PayPal’ın geri dönüşü için yeşil ışık

Kişisel Verileri Koruma Kanunu’nda (KVKK) yapılan değişiklikle global firmalar müşteri verilerini yurtdışına taşıyabilecek. Böylece 2016 yılında Türkiye’den çıkan PayPal’ın geri dönüşünün önü açılırken Apple Pay için de tüm engeller ortadan kalkmış oldu. Resmi Gazete’de yayınlanan yeni KVKK değişiklikleri yurtdışında faaliyet gösteren firmaların müşteri verilerini yurt dışına aktarmasına imkan sağlıyor. Ancak bu değişiklikten sadece yeterlilik kararı olan firmalar yararlanacak.

Kişisel verilerin yurt dışına taşınmasını yasaklayan kanun değişikliği ile Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) lisans başvurusunu iptal etmesinin ardından 2016’da PayPal’ın Türkiye pazarından çekilmesini diğer büyük şirketler izlemişti. Bu değişiklik bu düşüşün eğrisini ters yöne doğru kırmayı hedefliyor. Benzer nedenlerden dolayı Türkiye’deki operasyonlarına son veren firmalar için geri dönüş mümkün görünüyor. Türkiye’de uzun bir süredir kullanılamayan PayPal, iPhone’da yer alan NFC tabanlı ödeme hizmeti Apple Pay gibi gelişmiş ödeme sistemleri ve Meta, X, Facebook, Instagram gibi yurtdışı tabanlı şirketleri ilgilendiren bu değişiklikle birçok şirketin önü açılmış oldu.

Kanun değişikliği ne diyor?

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde yapılan değişiklikler özetle şu hükümleri içeriyor:

Yeterlilik kararı:

Kişisel verilerin aktarılacağı ülke sektör veya uluslararası kuruluş için kurul tarafından yeterlilik kararı verilirse veri sorumlusu ve veri işleyenler bu ülkeye veri aktarabilir.

Yeterlilik kararı dört yılda bir gözden geçirilir ve gerekli görüldüğünde değiştirilebilir, askıya alınabilir veya kaldırılabilir.

Yeterlilik kararı verilirken dikkate alınacak kriterler şunlardır:

Karşılıklılık durumu:

Kişisel verileri koruma mevzuatı ve uygulaması

Bağımsız ve etkin veri koruma kurumunun varlığı

Uluslararası sözleşmelere taraf olma durumu

Küresel veya bölgesel kuruluşlara üye olma durumu

Yeterlilik kararının bulunmaması durumu:

Yeterlilik kararı yoksa aşağıdaki uygun güvencelerden biri sağlanırsa veri aktarımı yapılabilir:

Uluslararası sözleşme niteliğinde olmayan anlaşma ve kurul izni

Bağlayıcı şirket kuralları ve kurul onayı

Kurul tarafından ilan edilen standart sözleşme

Yeterli korumayı sağlayacak yazılı taahhütname ve kurul izni

Arızi aktarım haller:

Yeterlilik kararı ve uygun güvenceler yoksa, aşağıdaki hallerde arızi olarak veri aktarımı yapılabilir:

İlgili kişinin açık rızası

Sözleşmenin ifası veya öncesi tedbirler için zorunluluk

Kişi yararına sözleşmenin kurulması veya ifası için zorunluluk

Üstün kamu yararı

Bir hakkın korunması için zorunluluk

Acil durumlar:

Kamuya açık sicilden aktarım

Bu haller kamu kurumlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

Sonraki aktarım ve uluslararası kuruluşlar:

Yurt dışına aktarılan kişisel verilerin sonraki aktarımı ve uluslararası kuruluşlara aktarımı da bu kanun kapsamında değerlendirilir.

Diğer hususlar:

Türkiye’nin veya ilgili kişinin menfaatinin ciddi zarar göreceği durumlarda kurul izniyle veri aktarımı yapılabilir.

Kişisel verilerin yurtdışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.