YETERLİ KORUMANIN TESPİTİNDE UYGULANACAK KRİTERLER
Kişisel Verileri Koruma Kurulu, 02/05/2019 tarihli ve 2019/125 sayılı kararı ile açık rıza olmaksızın yurtdışına veri aktarımı halinde, veri aktarımı yapılacak ülkede yeterli koruma bulunup bulunmadığının tespitinde uygulanacak kriterleri açıkladı.
Karara göre ilgili ülkedeki karşılıklılık, kişisel verilerin işlenmesine ilişkin mevzuat ve uygulama, bağımsız veri koruma otoritesinin varlığı, kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olmaya ek olarak ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu ve ilgili ülke ile yürütülen ticaret hacmi de yeterli korumanın belirlenmesinde dikkate alınacaktır.
- Karşılıklılık Durumu
- İlgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatı ve uygulaması
2.1. Kişisel verilerin korunmasının Anayasal bir hak olması
2.2. Kişisel verilerin korunmasına ilişkin temel bir kanunun bulunması
2.3. Temel Kanunun yürürlük tarihi
2.4. İkincil düzenlemeler ve bu düzenlemelerin ülkemiz mevzuatıyla uyumu
2.5. Kişisel verilerin korunmasına ilişkin temel kavramlar
2.6. Kişisel Verilerin Korunması ile ilgili Genel ilkeler
2.7. Kişisel veri işleme şartlarının 6698 sayılı Kanunda yer alan kişisel veri işleme şartları ile uyumu
2.8. Özel nitelikli kişisel verilerin işlenmesi konusunda özel işleme şartlarının ve ek güvenlik tedbirlerinin bulunması
2.9. Kişisel veri işleme faaliyetinin şeffaflık ilkesine uygun olarak gerçekleştirildiğine yönelik gerekli hukuki teminatların varlığı
2.10. Kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınması zorunluluğu
2.10.1. Teknik Tedbirler
2.10.2. İdari Tedbirler
2.11. Veri ihlallerine karşı idari ve/veya cezai yaptırım uygulanma durumu ile veri ihlallerinin önüne geçilmesini temin edecek diğer mekanizmalar
2.12. İlgili kişinin hakları
2.13. İlgili kişilerin veri sorumlusuna başvuru hakkı ve veri koruma otoritesine şikâyet hakkı
2.14. Kişisel veriler ile ilgili hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı bulunması
2.15. Referans niteliğinde uygulamaya ilişkin rehberler/yayınlar
2.16. Kanunun uygulanmasına ilişkin istisnalar
2.17. Veri aktarımı rejimi
- Bağımsız veri koruma otoritesinin bulunması
3.1. Yapısı
3.2. Bağımsızlık durumu
3.3. Görev ve Yetkileri
3.4. Denetim/inceleme yetkisi
3.5. Kararlarına karşı başvuru yolunun bulunup bulunmadığı
- Kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olma ile uluslararası kuruluşlara üye olma durumu
4.1. 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi
4.2. 181 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınır Aşan Veri Akışına İlişkin Protokol
4.3. Ceza İşlerinde Karşılıklı Yardım Sözleşmesine Ek 2 nci Protokol (CETS 182)
4.4. Avrupa İnsan Hakları Sözleşmesi
4.5. International Conference of Data Protection and Privacy Commissioners (ICDPPC)
4.6. Global Privacy Enforcement Network (GPEN)
- Ülkemizin üye olduğu küresel ve bölgesel örgütlere üye olma durumu
- İlgili ülke ile yürütülen ticaret hacmi
- Diğer