Türkiye’de uzun bir süredir erişilemeyen PayPal ve iPhone’larda bulunan NFC tabanlı ödeme hizmeti Apple Pay gibi gelişmiş ödeme sistemlerini de ilgilendiren yeni düzenleme yayınlandı.

PayPal, Kişisel Verilerin Korunması Kanunu (KVKK) mevzuatındaki yeni düzenlemeler nedeniyle Türkiye’de yeniden faaliyete geçemeyecek. Bunun nedeni, 6493 sayılı kanun kapsamında, birincil ve ikincil sistemlerin Türkiye sınırları içerisinde bulunma zorunluluğu ve bu konuda herhangi bir değişikliğin yapılmamış olmasıdır.

KVKK’deki değişiklikler, PayPal ve Apple Pay’in Türkiye’de faaliyete geçmesiyle doğrudan bir ilişki içermez. PayPal’ın Türkiye’de hizmet verebilmesi için Türkiye’de şirket kurması ve Türkiye Cumhuriyet Merkez Bankası’ndan (TCMB) elektronik para lisansı alması gerekmektedir. Bu lisansın alınabilmesi için, PayPal’ın sistemlerini Türkiye içinde barındırması zorunludur, bu zorunluluk TCMB’nin elektronik para kuruluşlarına yönelik düzenlemelerinde belirtilmiştir.

PayPal ve Apple Pay gibi kuruluşların Türkiye pazarına girmesi, bu düzenlemelere uyum sağlayıp sağlayamamalarına ve çeşitli ticari faktörleri değerlendirme sonuçlarına bağlıdır. Bu nedenle, bu şirketlerin Türkiye’de faaliyet göstermemesinin nedeni, bu düzenlemelere uyum sağlamanın getireceği maliyet ve operasyonel zorluklar olabilir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde yapılan değişikliklerle, kişisel verilerin yeterlilik kararı verilen ülkelere aktarılabilmesi için yeni kurallar getirilmiştir. Bu değişiklikler, yeterlilik kararı verilme süreci, uygun güvencelerin sağlanması ve arızi aktarım halleri gibi konuları içerir. Bu düzenlemeler, Türkiye’nin veya ilgili kişinin menfaatlerinin ciddi zarar göreceği durumlarda, Kurul izniyle veri aktarımına olanak tanır ve kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

 

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesinde Yapılan Değişiklikler Özetini Aşağıda Bulabilirsiniz. 

Yeterlilik Kararı:

  • Kişisel verilerin aktarılacağı ülke, sektör veya uluslararası kuruluş için Kurul tarafından yeterlilik kararı verilirse, veri sorumlusu ve veri işleyenler bu ülkeye veri aktarabilir.
  • Yeterlilik kararı 4 yılda bir gözden geçirilir ve gerekli görüldüğünde değiştirilebilir, askıya alınabilir veya kaldırılabilir.
  • Yeterlilik kararı verilirken dikkate alınacak kriterler şunlardır:
    • Karşılıklılık durumu
    • Kişisel verileri koruma mevzuatı ve uygulaması
    • Bağımsız ve etkin veri koruma kurumunun varlığı
    • Uluslararası sözleşmelere taraf olma durumu
    • Küresel veya bölgesel kuruluşlara üye olma durumu

Yeterlilik Kararının Bulunmaması Durumu:

  • Yeterlilik kararı yoksa, aşağıdaki uygun güvencelerden biri sağlanırsa veri aktarımı yapılabilir:
    • Uluslararası sözleşme niteliğinde olmayan anlaşma ve Kurul izni
    • Bağlayıcı şirket kuralları ve Kurul onayı
    • Kurul tarafından ilan edilen standart sözleşme
    • Yeterli korumayı sağlayacak yazılı taahhütname ve Kurul izni

Arızi Aktarım Haller:

  • Yeterlilik kararı ve uygun güvenceler yoksa, aşağıdaki hallerde arızi olarak veri aktarımı yapılabilir:
    • İlgili kişinin açık rızası
    • Sözleşmenin ifası veya öncesi tedbirler için zorunluluk
    • Kişi yararına sözleşmenin kurulması veya ifası için zorunluluk
    • Üstün kamu yararı
    • Bir hakkın korunması için zorunluluk
    • Acil durumlar
    • Kamuya açık sicilden aktarım
  • Bu haller kamu kurumlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

Sonraki Aktarım ve Uluslararası Kuruluşlar:

  • Yurt dışına aktarılan kişisel verilerin sonraki aktarımı ve uluslararası kuruluşlara aktarımı da bu kanun kapsamında değerlendirilir.

Diğer Hususlar:

  • Türkiye’nin veya ilgili kişinin menfaatinin ciddi zarar göreceği durumlarda Kurul izniyle veri aktarımı yapılabilir.
  • Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
  • Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.