1. Bölüm (Md. 1 - 4) Genel Hükümler
2. Bölüm (Md. 5 - 11) İlkeler
3. Bölüm (Md. 12 - 23) Veri sahibinin hakları
4. Bölüm (Md. 24 - 43) Kontrolör ve işleyici
5. Bölüm (Md. 44 - 50) Üçüncü ülkeler veya uluslararası kuruluşlara veri aktarımları
Madde 44 – Genel aktarım ilkesi
Üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasının ardından işlenen veya işlenmesi amaçlanan kişisel verilerin aktarılması, üçüncü ülkeden veya uluslararası bir kuruluştan başka bir üçüncü ülke veya başka bir uluslararası kuruluşa yönelik transit aktarımlar da dahil olmak üzere, ancak, bu Tüzük’ün diğer hükümlerine tabi olarak, bu Bölüm’de belirtilen koşullara kontrolör ve işleyici tarafından uyulması halinde gerçekleşir. Bu Tüzük ile temin edilen gerçek kişilere yönelik koruma düzeyine zarar verilmemesinin sağlanması amacı ile bu bölümdeki tüm hükümler uygulanır.
Madde 45 – Bir yeterlilik kararına dayalı olarak yapılan aktarımlar
- Komisyonun bir üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektörün ya da uluslararası bir kuruluşun yeterli düzeyde bir koruma sağladığına karar verdiği hallerde, bu ülke veya uluslararası kuruluşa yönelik bir kişisel veri aktarımı gerçekleşebilir. Böylesi bir aktarım için spesifik bir onay gerekmez.
- Komisyon, koruma düzeyinin yeterliliğini değerlendirirken, özellikle aşağıdaki hususları dikkate alır:
- hukukun üstünlüğü, insan hakları ve temel özgürlüklere saygı, kamu güvenliği, savunma, milli güvenlik ve ceza hukuku ile kamu kuruluşlarının kişisel verilere erişimi de dahil olmak üzere hem genel hem de sektörel mevzuatın yanı sıra söz konusu mevzuatın uygulanması, bir ülke veya uluslararası kuruluşta toplanan kişisel verilerin başka bir üçüncü ülke veya uluslararası kuruluşa transit aktarımına yönelik kurallar da dahil olmak üzere veri koruma kuralları, mesleki kurallar ve güvenlik tedbirleri, içtihadın yanı sıra etkili ve uygulanabilir veri sahibi hakları ile kişisel verileri aktarılmakta olan veri sahiplerine yönelik etkili idari ve adli tazmin;
- üçüncü ülkede bulunan veya bir uluslararası kuruluşun tabi olduğu ve yeterli uygulatma yetkileri dahil olmak üzere veri koruma kurallarına uyumluluk sağlanması ve sağlatılması, haklarının kullanımı hususunda veri sahiplerine destek olunması ve tavsiyede bulunulması ve üye devletlerin denetim makamları ile işbirliği yapılmasından sorumlu olan bir veya daha fazla sayıda bağımsız denetim makamının varlığı ve etkili bir şekilde işlev göstermesi ve
- ilgili üçüncü ülke veya uluslararası kuruluşun altına girdiği uluslararası taahhütler veya yasal bağlayıcılığı olan sözleşmeler veya belgelerin yanı sıra kişisel verilerin korunması ile ilgili olanlar başta olmak üzere çok taraflı veya bölgesel sistemlere katılımından kaynaklanan diğer yükümlülükler.
- Komisyon, koruma düzeyinin yeterliliğini değerlendirdikten sonra, uygulama tasarrufu vasıtasıyla, bir üçüncü ülke, söz konusu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya uluslararası bir kuruluşun bu maddenin 2. paragrafı bağlamında yeterli bir koruma düzeyi sağladığına karar verebilir. Uygulama tasarrufunda en az dört yılda bir gerçekleştirilen ve üçüncü ülke veya uluslararası kuruluştaki ilgili tüm gelişmelerin dikkate alındığı düzenli bir gözden geçirme mekanizması sağlanır. Uygulama tasarrufunda bu mekanizmanın bölgesel ve sektörel uygulaması belirtilir ve, uygun olduğu hallerde, bu maddenin 2. paragrafının (b) bendinde atıfta bulunulan denetim makamı veya makamları tanımlanır. Bu uygulama tasarrufu 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
- Komisyon, üçüncü ülkeler ve uluslararası kuruluşlarda meydana gelen ve bu maddenin 3. fıkrası uyarınca kabul edilen kararların ve 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak kabul edilen kararların işleyişini etkileyebilecek olan gelişmeleri sürekli olarak izler.
- Özellikle bu maddenin 3. paragrafında atıfta bulunulan gözden geçirmenin ardından, mevcut bilgilerin üçüncü bir ülke, bu ülke içerisindeki bir bölge veya bir ya da daha fazla sayıda sektörün veya bir uluslararası kuruluşun bu maddenin 2. paragrafı bağlamında artık yeterli bir koruma düzeyi sağlamadığını göstermesi durumunda, Komisyon geriye dönük etkisi olmayan uygulama tasarrufları vasıtasıyla bu maddenin 3. paragrafında atıfta bulunulan kararı gereken ölçüde yürürlükten kaldırır, değiştirir veya askıya alır. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
Usulüne uygun şekilde gerekçelendirilmiş zorunlu acil nedenlerle, Komisyon 93(3) maddesinde atıfta bulunulan usul uyarınca uygulanabilir uygulama tasarruflarını gecikmeksizin kabul eder. - Komisyon, 5. paragraf uyarınca verilen karara sebebiyet veren durumun düzeltilmesi amacı ile üçüncü ülke veya uluslararası kuruluşla istişarelere başlar.
- Bu maddenin 5. paragrafı uyarınca verilen bir karar ile üçüncü ülke veya söz konusu üçüncü ülke dahilindeki bir bölge veya bir ya da daha fazla sayıda sektör ya da söz konusu uluslararası kuruluşa ilişkin kişisel verilerin 46 ila 49. maddeler uyarınca aktarılmasına halel gelmez.
- Komisyon yeterli düzeyde bir korumanın sağlandığı veya artık sağlanmadığına karar verdiği üçüncü ülkeler, bir üçüncü ülke içerisindeki bölgeler ve sektörler ile uluslararası kuruluşları Avrupa Birliği Resmi Gazetesi ve web sitesinde yayımlar.
- 95/46/AT sayılı Direktif’in 25(6) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, bu maddenin 3 veya 5. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.
Madde 46 – Uygun güvencelere tabi olarak yapılan aktarımlar
- 45(3) maddesi uyarınca alınan bir karar olmaması halinde, ancak bir kontrolör veya işleyicinin uygun güvenceler sağlamış olması halinde ve uygulanabilir veri sahibi hakları ve veri sahiplerine yönelik etkili kanun yollarının mevcut olması koşuluyla, söz konusu kontrolör veya işleyici bir üçüncü ülke veya uluslararası bir kuruluşa kişisel veri aktarabilir.
- 1. paragrafta atıfta bulunulan uygun güvenceler, bir denetim makamından spesifik bir onay alınmasına gerek olmaksızın, aşağıdakilerle sağlanabilir:
- kamu kuruluşları veya organları arasında yasal bağlayıcılığı bulunan ve uygulanabilir bir belge;
- 47. madde uyarınca bağlayıcı kurumsal kurallar;
- 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca Komisyon tarafından kabul edilen standart veri koruma şartları;
- 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca bir denetim makamı tarafından kabul edilen ve Komisyon tarafından onaylanan standart veri koruma şartları;
- 40. madde uyarınca onaylı davranış kuralları ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri veya
- 42. madde uyarınca onaylı bir belgelendirme mekanizması ile birlikte üçüncü ülkedeki kontrolör veya işleyicinin veri sahibinin hakları ile ilgili de olmak üzere uygun güvenceler uygulamaya ilişkin bağlayıcı ve uygulanabilir taahhütleri.
- yetkin denetim makamından alınan yetkiye tabi olarak, 1. paragrafta atıfta bulunulan uygun güvenceler, öncelikle, aşağıdakilerle de sağlanabilir:
- kontrolör veya işleyici ile üçüncü ülke ya da uluslararası kuruluştaki kişisel veri kontrolörü, işleyicisi ya da alıcısı arasındaki sözleşme maddeleri veya
- kamu kuruluşları ya da organları arasındaki idari düzenlemelere eklenecek olan uygulanabilir ve etkili veri sahibi haklarını kapsayan hükümler.
- Denetim makamı, bu maddenin 3. paragrafında atıfta bulunulan hallerde 63. maddede atıfta bulunulan tutarlılık mekanizmasını uygular.
- 95/46/AT sayılı Direktif’in 26(2) maddesine dayalı olarak bir üye devlet veya denetim makamı tarafından verilen yetkiler, gerektiğinde söz konusu denetim makamı tarafından değiştirilene, yenilenene veya yürürlükten kaldırılana kadar geçerliliğini korur. 95/46/AT sayılı Direktif’in 26(4) maddesine dayalı olarak Komisyon tarafından kabul edilen kararlar, gerektiğinde bu maddenin 2. paragrafı uyarınca kabul edilen bir Komisyon Kararı ile değiştirilene, yenilenene veya yürürlükten kaldırılana kadar yürürlükte kalır.
Madde 47 – Bağlayıcı kurumsal kurallar
- yetkin denetim makamı, aşağıdaki koşulları sağlamaları durumunda, bağlayıcı kurumsal kuralları 63. maddede ortaya konan tutarlılık mekanizması uyarınca onaylar:
- çalışanları da dahil olmak üzere ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ilgili her üyesi açısından yasal bağlayıcılığının olması, bu üyelere uygulanması ve bu üyeler tarafından yürütülmesi;
- veri sahiplerine kişisel verilerinin işlenmesi ile ilgili olarak uygulanabilir hakları açık bir şekilde vermesi ve
- 2. paragrafta belirtilen gereklilikleri yerine getirmesi.
- 1. paragrafta atıfta bulunulan bağlayıcı kurumsal kurallarda en azından aşağıdakiler belirtilir:
- ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun ve her üyesinin yapısı ve irtibat bilgileri;
- kişisel veri kategorileri, işleme türü ve amaçları, etkilenen veri sahiplerinin türü ve söz konusu üçüncü ülke veya ülkelere ilişkin açıklama da dahil olmak üzere veri aktarımları veya aktarım dizisi;
- bunların hem içsel hem de dışsal olarak hukuki bağlayıcılık yapısı;
- amaç sınırlaması, verilerin en alt düzeye indirilmesi, sınırlı saklama süreleri, veri kalitesi, özel ve olağan veri koruması, işleme faaliyetine yönelik yasal dayanak, özel kategorilerdeki kişisel verilerin işlenmesi başta olmak üzere genel veri koruma ilkeleri, veri güvenliğinin sağlanmasına ilişkin tedbirler ve bağlayıcı kurumsal kurallara bağlı bulunmayan organlara transit aktarımlara ilişkin gerekliliklerin uygulanması;
- 22. madde uyarınca profil çıkarma da dahil olmak üzere yalnızca otomatik işleme faaliyetine dayalı kararlara tabi olmama hakkı, 79. madde uyarınca üye devletlerin yetkin denetim makamına ve yetkin mahkemelerine şikayette bulunma ve tazminat alma hakkı ve, uygun olduğu hallerde, bağlayıcı kurumsal kurallara ilişkin bir ihlalde dolayı tazminat hakkı da dahil olmak üzere veri sahiplerinin işleme faaliyetine ilişkin hakları ve bu hakları kullanma yöntemleri;
- bir üye devletin topraklarında kurulu kontrolör veya işleyicinin Birlik içerisinde kurulu olmayan herhangi bir üye tarafından bağlayıcı kurumsal kuralların ihlal edilmesi hususunda yükümlülüğü üstüne alması; kontrolör veya işleyici, ancak üyenin zarara neden olan olaydan sorumlu olmadığını kanıtlaması durumunda, bu yükümlülükten tamamen veya kısmen muaf tutulur;
- bu paragrafın (d), (e) ve (f) bentlerinde atıfta bulunulan hükümler başta olmak üzere bağlayıcı kurumsal kurallara ilişkin bilgilerin 13 ve 14. maddelere ek olarak veri sahiplerine nasıl sağlandığı;
- 37. madde uyarınca belirlenen herhangi bir veri koruma görevlisinin ya da ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun izlenmesinin yanı sıra eğitimin izlenmesi ve şikayetlerin ele alınmasından sorumlu olan diğer kişiler veya kuruluşların görevleri;
- şikayet usulleri;
- ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubu veya bir işletmeler grubu içerisinde bağlayıcı kurumsal kurallara uyumluluğun doğrulanmasının sağlanmasına yönelik mekanizmalar. Söz konusu mekanizmalar veri sahibinin haklarının korunmasına yönelik düzeltici eylemlerin sağlanmasına ilişkin veri koruma denetimleri ve yöntemlerini kapsar. Söz konusu doğrulamanın sonuçları (h) bendinde atıfta bulunulan kişi veya kuruluşa ve ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun ya da bir işletmeler grubunun denetleyici teşebbüsünün yönetim kuruluna iletilir ve talep üzerine yetkin denetim makamına sağlanmalıdır;
- kurallara ilişkin değişikliklerin raporlanması ve kaydedilmesi ile bu değişikliklerin denetim makamına raporlanmasına ilişkin mekanizmalar;
- özellikle (j) bendinde atıfta bulunulan tedbirlere ilişkin doğrulamaların sonuçlarının denetim makamına sağlanması suretiyle, ortak bir faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun herhangi bir üyesinin uyumluluğunu sağlamak üzere denetim makamı ile kurulan işbirliği mekanizması;
- ortak bir ekonomik faaliyette bulunan bir teşebbüsler grubunun veya bir işletmeler grubunun bir üyesinin üçüncü bir ülkede tabi olduğu ve bağlayıcı kurumsal kuralların sağladığı teminatlar açısından kayda değer bir olumsuz etkisinin bulunmasının muhtemel olduğu yasal gerekliliklerin yetkin denetim makamına raporlanmasına ilişkin mekanizmalar ve
- kişisel verilere daimi veya geçici olarak erişimi bulunan personele uygun veri koruma eğitimi.
- Komisyon kontrolörler, işleyiciler ve denetim makamları arasında bu madde kapsamındaki bağlayıcı kurumsal kurallara yönelik bilgi alışverişine ilişkin format ve usulleri belirtebilir. Bu uygulama tasarrufları 93(2) maddesinde atıfta bulunulan inceleme usulü uyarınca kabul edilir.
Madde 48 – Birlik hukuku çerçevesinde yetkilendirilmeyen aktarımlar veya açıklamalar
Bir kontrolör veya işleyicinin kişisel verileri aktarmasının veya açıklamasının istendiği herhangi bir mahkeme veya kurul kararı ve üçüncü bir ülkenin idari bir makamının herhangi bir kararı, bu Bölüm uyarınca diğer aktarım gerekçelerine halel gelmeksizin, ancak talepte bulunan üçüncü ülke ve Birlik ya da bir üye devlet arasında yürürlükte bulunan bir karşılıklı hukuki yardım antlaşması gibi bir uluslararası anlaşmaya dayanması halinde, herhangi bir şekilde tanınabilir veya uygulanabilir.
Madde 49 – Spesifik durumlara yönelik derogasyonlar
- 45(3) maddesi uyarınca bir yeterlilik kararı veya bağlayıcı kurumsal kurallar da dahil olmak üzere 46. madde uyarınca uygun güvenceler olmaması durumunda, kişisel verilerin veya bir kişisel veri dizisinin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması ancak aşağıdaki durumların birinde gerçekleşir:
- veri sahibinin, bir yeterlilik kararı ve uygun güvencelerin bulunmaması nedeniyle söz konusu aktarımların kendisine yönelik risklerin haberdar edilmesinin ardından, önerilen aktarıma açık bir şekilde rıza göstermesi;
- aktarımın veri sahibi ile kontrolör arasındaki bir sözleşmenin yürütülmesi veya veri sahibinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması açısından gerekli olması;
- aktarımın kontrolör ile başka bir gerçek veya tüzel kişi arasında veri sahibi yararına yapılan bir sözleşmenin imzalanması veya yürütülmesi açısından gerekli olması;
- aktarımın kamu yararına ilişkin önemli sebeplerden dolayı gerekli olması;
- aktarımın yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından gerekli olması;
- veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, aktarımın veri sahibi veya diğer kişilerin hayati menfaatlerinin korunması açısından gerekli olması;
- aktarımın Birlik veya üye devlet hukukuna göre kamuoyuna bilgi sağlanmasının amaçlandığı ve genel olarak kamuoyu veya meşru bir menfaati gösterebilen herhangi bir kişi tarafından, ancak Birlik veya üye devlet hukuku çerçevesinde istişareye yönelik olarak ortaya konan koşullar ilgili durumda yerine getirildiği ölçüde, istişareye açık olan bir sicilden yapılması.
Bir aktarımın bağlayıcı kurumsal kurallara ilişkin hükümler de dahil olmak üzere 45 veya 46. maddedeki bir hükme dayanmadığı ve bu paragrafın ilk alt paragrafında atıfta bulunulan spesifik bir duruma ilişkin derogasyonların herhangi birine uygulanabilir olmadığı hallerde, ancak aktarımın yinelemeli olmaması, yalnızca sınırlı sayıda veri sahibini ilgilendirmesi, kontrolör tarafından gözetilen ve veri sahibinin menfaatleri veya hakları ile özgürlüklerinin ağır basmadığı zorlayıcı meşru menfaatler doğrultusunda gerekli olması ve kontrolörün veri aktarımı ile ilgili tüm durumları değerlendirmiş olması ve bu değerlendirmeye dayalı olarak kişisel verilerin korunması ile ilgili uygun güvenceler sağlamış olması durumunda, üçüncü bir ülke veya uluslararası bir kuruluşa yönelik bir aktarım gerçekleşebilir. Kontrolör denetim makamını aktarım hususunda bilgilendirir. Kontrolör, 13 ve 14. maddelerde atıfta bulunulan bilgilerin sağlanmasına ek olarak, veri sahibini aktarım ve gözetilen zorlayıcı meşru menfaatler hususunda bilgilendirir. - 1. paragrafın ilk alt paragrafının (g) bendi uyarınca yapılacak bir aktarımda sicilde bulunan tüm kişisel verilere veya tüm kişisel veri kategorilerine yer verilmez. Sicilin meşru bir menfaati bulunan kişilerin istişaresine yönelik hallerde, yalnızca bu kişilerin talebi üzerine veya bu kişilerin alıcı olması halinde, aktarım yapılır.
- 1. paragrafın ilk alt paragrafının (a), (b) ve (c) bentleri ve ikinci alt paragrafı kamu yetkilerinin kullanımı hususunda kamu kuruluşları tarafından gerçekleştirilen faaliyetlere uygulanmaz.
- 1. paragrafın ilk alt paragrafının (d) bendinde atıfta bulunulan kamu yararı Birlik hukukunda veya kontrolörün tabi olduğu üye devlet hukukunda tanınır.
- Bir yeterlilik kararı olmaması durumunda, Birlik veya üye devlet hukukunda, önemli kamu yararı sebeplerinden dolayı, spesifik kategorilerdeki kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılmasına ilişkin sınırlar açık bir şekilde konabilir. Üye devletler söz konusu hükümleri Komisyon’a bildirir.
- Kontrolör veya işleyici değerlendirmenin yanı sıra bu maddenin 1. paragrafının ikinci alt paragrafında atıfta bulunulan uygun güvenceleri 30. maddede atıfta bulunulan kayıtlarda belgelendirir.
Madde 50 – Kişisel verilerin korunmasına yönelik uluslararası işbirliği
Üçüncü ülkeler ve uluslararası kuruluşlar ile ilgili olarak, Komisyon ve denetim makamları şunlara yönelik uygun adımları atar:
- kişisel verilerin korunmasına yönelik mevzuatın etkili bir şekilde uygulanmasının kolaylaştırılması için uluslararası işbirliği mekanizmalarının geliştirilmesi;
- kişisel veriler ve diğer temel haklar ile özgürlüklerin korunmasına yönelik uygun güvencelere tabi olarak, bildirim, şikayet yönlendirme, soruşturma desteği ve bilgi alışverişi de dahil olmak üzere kişisel verilerin korunmasına yönelik mevzuatın uygulanması hususunda karşılıklı uluslararası yardım sağlanması;
- ilgili paydaşların kişisel verilerin korunmasına yönelik mevzuatın uygulanmasına ilişkin uluslararası işbirliğinin ilerletilmesiyle ilgili görüşmeler ve faaliyetlere dahil edilmesi;
- üçüncü ülkelerle yargı yetkisine ilişkin olarak yaşanan anlaşmazlıklar da dahil olmak üzere kişisel veri koruma mevzuatı ve uygulamasının paylaşımı ve belgelendirmesinin teşvik edilmesi.
6. Bölüm (Md. 51 - 59) Bağımsız denetim makamları
7. Bölüm (Md. 60 - 76) İşbirliği ve tutarlılık
8. Bölüm (Md. 77 - 84) Çözüm yolları, sorumluluk ve yaptırımlar
9. Bölüm (Md. 85 - 91) Özel işleme durumlarına ilişkin hükümler
10. Bölüm (Md. 92 - 93) Yetki devrine dayanan tasarruflar ve uygulama tasarrufları
11. Bölüm (Md. 94 - 99) Nihai hükümler