Yurt Dışına Kişisel Veri Aktarımı Rehberi Neleri Düzenliyor?
Giriş
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin yurt dışına aktarımı konusunda belirli kurallar öngörse de, uygulamada yaşanan bazı zorluklar nedeniyle yurt dışına aktarım kurallarının etkin işleyişi zamanla sınırlanmıştı. Özellikle 2024 yılının sonlarına kadar, Kişisel Verilerin Korunması Kurulu’na (Kurul) aktarım izni için başvuru sürecinin oldukça zaman alması nedeniyle, Türkiye’den yurt dışına veri aktarımı büyük ölçüde veri sahibinin açık rızasına bağlı hale gelmişti. Bu durum, özellikle sunucuları yurt dışında bulunan bulut tabanlı yazılım ve uygulamaları kullananlar için büyük bir engel oluşturmuş ve ticari hayatta da ciddi tıkanıklıklara yol açmıştı.
Gelişen teknoloji ile ticari hayatın dinamikliğinin doğurduğu ihtiyaçlar dikkate alınarak veri aktarım süreçlerini daha sürdürülebilir hale getirmek ve uygulamadaki sorunları gidermek amacıyla 2024 yılında önemli bir kanun değişikliği[1] yapılmış; yeni düzenleme ile Avrupa Birliğinin Genel Veri Koruma Tüzüğü ile uyumlu olacak şekilde alternatif mekanizmalar getirilmişti.
Ocak 2025’te ise Kişisel Verileri Koruma Kurumu (Kurum), yurt dışı aktarım sistematiğinde yaşanan bu değişikliklerin uygulamada nasıl yorumlanması gerektiğine dair kılavuz niteliğinde bir çalışma yayımlamıştır: "Kişisel Verilerin Yurt Dışına Aktarılması Rehberi"[2] (Rehber). Rehber, kişisel veri aktarımlarının uygulanması ile Kurul’un aktarım sırasında beklediği güvenceler hakkında yol gösterilmesi amacıyla hazırlanmıştır.
Bu makalede, söz konusu Rehber’de öne çıkan düzenlemeler ele alınacak ve özellikle uygulamada en çok merak edilen standart sözleşmelerin düzenlenmesi ve imzasına dair süreç Rehber’deki somut örneklerle birlikte detaylandırılacaktır.
Kişisel Verilerin Yurt Dışına Aktarımı: Hukuki Çerçeve
Kişisel verilerin yurt dışına aktarımı KVKK ve Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik[3] kapsamında ele alınmaktadır. Rehber’in yayımlanmasıyla birlikte yurt dışı aktarımına dair usul ve esaslar daha belirgin hale gelmiştir. Mevzuat ve Rehber kapsamında, Türkiye’den yurt dışına hukuka uygun şekilde kişisel veri aktarılabilmesi için üç basamaklı bir yapı oluşturulmuştur. Buna göre, veri aktarımında aşağıdaki güvencelerin sağlanması gerekir:
- KVKK madde 5 ve madde 6’da belirtilen şartlardan (kanunlarda açıkça öngörülme, sözleşmenin ifası, meşru menfaat gibi) birinin varlığı ve yeterli koruma seviyesine sahip ülkeler (yeterlilik kararı) listesinde yer alma (Kurul tarafından yayımlanacak liste kapsamında, yeterli korumaya sahip bir ülkeye aktarım yapılacaksa, ayrıca bir izin veya ek taahhüt gerekmez.)[4]
- Yeterlilik kararı mevcut değilse, yine kişisel veri işleme şartlarından birinin varlığı ve ilgili kişinin yurt dışında haklarını kullanma ve hukuki yollara başvurma imkanına sahip olması koşuluyla aşağıdaki uygun güvencelerden birini sağlayarak veri sorumlusu ve veri işleyenler tarafından sınır ötesi veri aktarımı yapabilir:
- Kamu Kurumları Arasında Anlaşma + Kurul İzni: Türkiye’deki kamu kurumları ile yurt dışındaki kamu kurumları veya uluslararası kuruluşlar arasında uluslararası sözleşme niteliğinde olmayan bir anlaşma varsa ve Kurul tarafından izin verilirse aktarım yapılabilir.
- Bağlayıcı Şirket Kuralları (BCRs): Ortak ekonomik faaliyette bulunan grup şirketleri, Kurul tarafından onaylanmış bağlayıcı şirket kuralları[5] vasıtasıyla yurt dışına veri aktarımında uygun güvence sağlayabilir.
- Standart Sözleşmeler (SCCs): Kurul tarafından ilan edilen standart sözleşmelerin[6] kullanılması halinde, ek bir izin gerekmeksizin veri aktarımı yapılabilir. Ancak bu durumda imzaların tamamlanmasından itibaren beş iş günü içerisinde standart sözleşmenin Kurum’a bildirilmesi gereklidir.
- Taahhütname + Kurul İzni: Veri sorumlusu, yeterli korumayı sağladığını belirten yazılı bir taahhütname sunarsa ve Kurul söz konusu taahhütnameyi onaylarsa yasaya uygun şekilde veri aktarımı gerçekleştirilebilir.
Yukarıda listelenen uygun güvenceyi sağlayan veri aktarım mekanizmalarından hiçbiri uygulanamazsa, arızi olmak kaydıyla, aşağıdaki istisnai hallerde sınır ötesi aktarım mümkün olabilecektir:
- İlgili kişinin bilgilendirilmiş ve özgür iradesiyle verdiği açık rızanın mevcudiyeti.
- Veri sahibinin taraf olduğu bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için aktarımın zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve üçüncü taraf arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Kamu yararı için veri aktarımının zorunluluğu.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Bireyin yaşamını veya güvenliğini korumak için ivedi bir şekilde aktarım yapılması gerekliliği.
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Yeni yurt dışı aktarımı sistematiği bir bütün olarak incelendiğinde, sınır ötesi aktarımlarda veri sorumlusu ve veri işleyenlere alternatif mekanizmalar sunulmuş ve özellikle Kurul onayı gerektirmeyen standart sözleşmeler ile şirketlerin veri aktarım süreçlerinin bir nebze olsun kolaylaştırdığı görülmektedir.
Rehber Neleri Düzenliyor?
Rehber, yeni yasal çerçeveyi detaylandırarak, hangi durumlarda hangi yöntemlerin kullanılabileceğini düzenlemektedir. Rehber ayrıca, standart sözleşmelerin hazırlanma süreci ve bildirimi ile bağlayıcı şirket kurallarının düzenlenmesi, Kurul’a onay için sunulması ve aktarım sürecinde dikkate alınması gereken hususları örneklerle açıklamaktadır. Ancak sözleşmelere dair detaylara geçmeden önce Rehber’de, “kişisel verilerin yurt dışı aktarımı” olarak kabul edilecek hallerin tanımlandığı ve somutlaştırıldığı bölüm üzerinde durulması faydalı olacaktır. Zira şayet ortada bir yurt dışı aktarım faaliyeti yoksa ek yükümlülükler de doğmayacaktır.
Rehber’de aktarım faaliyeti üç kriterle tanımlanır: (i) veri aktaranın kişisel veri işleme faaliyeti açısından KVKK’ya tabi olması; (ii) veri aktaran tarafından işlenen verilerin doğrudan paylaşımı ya da farklı bir surette erişilebilir hale getirilmesi ve (iii) veri aktarılan tarafın KVKK’ya tabi olup olmadığına bakılmaksızın üçüncü bir ülkede olması. Bu kapsamda örneğin, üçüncü bir ülkeden teknik destek, sorun giderme veya yönetim amaçlarıyla uzaktan erişim (verilerin sadece ekranda görüntülenmesi yoluyla olsa dahi) sağlanması halinde kişisel verilerin yurt dışına aktarıldığı kabul edilmelidir.
Bu tanımdan hareketle, bir Türk otel zincirinin, rezervasyon sistemini yurt dışındaki bir hizmet sağlayıcı üzerinden yönetmesi ve böylece Türkiye’deki müşterilere ait verilerin yurt dışındaki sunucularda işlenmesi, Türkiye’de faaliyet gösteren bir firmanın, çalışan bilgilerini içeren veri tabanına yurt dışındaki bir grup şirketinin erişim sağlaması ya da Türkiye’deki bir hastanenin, hasta bilgilerini analiz etmek için yurt dışında barındırılan bir yapay zekâ tabanlı sağlık platformunu kullanması yurt dışına kişisel veri aktarımı olarak nitelendirilecektir. Buna karşılık, üçüncü ülkede yerleşik veri sorumlusunun Türkiye’de yerleşik veri sahibinden doğrudan kişisel veri elde etmesi aktarım teşkil etmeyecek ve yurt dışı aktarım mekanizmalarının uygulanması gerekli olmayacaktır. Ancak elbette söz konusu kişisel veri işleme faaliyetinin her zaman KVKK’nın temel ilkelerine uygun yürütülmesi gerektiği unutulmamalıdır.
Standart sözleşmelerin nasıl düzenlenmesi ve imzalanarak bildirilmesi gerektiğini detaylandıran Rehber içeriği ise kuşkusuz en çok üzerinde durulacak ve uygulamaya ışık tutacak bölümlerden biridir.
Standart sözleşmeler, dört farklı aktarım senaryosu dikkate alınarak Kurum’un sitesinde ilan edilmiş olup veri sorumlusu ve veri işleyen taraflar, her bir aktarım özelinde uygun standart sözleşme tipini belirleyerek seçmelidir. Sözleşme tipi seçildikten sonra sadece seçimlik hak tanıyan standart sözleşme maddeleri üzerinde değişiklik yapılabilmektedir. Fakat bunun dışında metnin gövdesinde revizyon yapılması mümkün değildir. Taraflar, kişisel veri aktarımına dair detaylara sözleşmenin ayrılmaz bir parçası olan ekinde yer verecektir. Sözleşmenin eklerinin düzenlenmesi ve imzası, kritik öneme sahip olup bu süreçte dikkate alınması gereken hususlar Rehber’de ele alınmaktadır. Önem arz eden bölümler aşağıdaki şekilde özetlenebilir:
- Veri aktarımına konu kişisel verilerin hangi ilgili kişi grubuna ait olduğu ve hangi veri sahiplerinin hangi kişisel verisinin aktarılacağı açıkça belirtilmeli; kişisel veri kategorileri detaylandırılmalıdır. Örneğin, iletişim veri kategorisi altında e-posta adresinin aktarıldığı belirtilmelidir.
- Aktarılacak kişisel verilerin ne kadar süreyle saklanacağına; eğer bu sürenin tespiti mümkün değilse saklama süresinin belirlenmesinde dikkate alınan kriterlere (örneğin, kişisel veri işleme faaliyeti içerir sözleşmenin yürürlükte olacağı süre gibi) yer verilmelidir.
- Veri alıcısı tarafından yapılacak sonraki aktarım kapsamında, standart sözleşmeye dayanılarak kişisel verilerin aktarılacağı diğer alıcılar belirtilmelidir. Zira yeni aktarım sistematiği uyarınca, yurt dışına aktarılan kişisel verilerin sonraki aktarımları bakımından da KVKK’da yer alan güvencelerin sağlanması gerekecektir.
- Veri alıcısının veri işleyen sıfatı taşıdığı ve alt veri işleyenlerle çalıştığı senaryoda (sonraki aktarım), alt veri işleyenler tarafından gerçekleştirilen veri işleme faaliyetleri mutlaka açıklanmalıdır.
- Sonraki aktarımlar açısından Kurum’a standart sözleşmenin bildiriminden sonra değişiklik olması durumunda bu değişikliklerin de bildirilmesi gereklidir.
- Standart sözleşme sadece aktarımın tarafları veya tarafları temsile ve imzaya yetkili kişiler tarafından imzalanmalıdır. Aksi takdirde, standart sözleşme geçerli olmayacaktır.
Rehber’i takiben standart sözleşmelerin düzenlenmesi ve bildirimi sırasında sıkça yapılan hataların önüne geçilmesi amacıyla bir kamuoyu duyurusu da[7] yayımlanmıştır. Kamuoyu duyurusu, standart sözleşmeyi imzalayanların yetkili olup olmadığının kontrolüne, taraf isimlerinin detaylı şekilde yazılmasının önemine, sözleşmenin imza tarihine ve sözleşmede geçmişe yönelik yürürlük tarihi belirlenmesinin mümkün olmadığına özellikle vurgu yapmaktadır.
Sonuç
Uygulamada dört gözle beklenen Rehber, 2024 yılındaki yasa değişikliği vasıtasıyla veri sorumlularına sunulan yeni aktarım mekanizmaları daha öngörülebilir hale getirmiş; özellikle standart sözleşmelerin uygulanmasına dair bazı soru işaretlerini gidermiştir. Ancak, teknolojinin hızla gelişimi ve dijitalleşmenin dinamik yapısı nedeniyle, veri aktarım süreçlerinde halen bazı soruların cevapsız kaldığı da görülmektedir.
Rehber’in girişinde, uygulama deneyimlerine dayanarak gözden geçirileceği ve gerektiğinde güncelleneceği belirtilmiştir. Bu ifade, gelecekte uygulamadan doğacak ihtiyaçlara göre yeni düzenlemelerin yapılabileceği ve açıkta kalan bazı konuların zamanla netleşebileceği yönünde bir beklenti yaratmaktadır. Dolayısıyla, veri sorumlularının ve uygulayıcıların, mevcut düzenlemelere uyum sağlamanın yanı sıra, süreci yakından takip etmeye devam etmeleri büyük önem taşımaktadır.
- 6698 sayılı Kişisel Verilerin Korunması Kanununa yönelik hükümler de içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır. Yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiş olup; kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen madde 9’un mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 01.09.2024 tarihine kadar uygulanmaya devam etmiştir.
- Kişisel Verileri Koruma Kurumu, https://www.kvkk.gov.tr/Icerik/8143/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi , (Erişim Tarihi: 15.02.2025).
- Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete, https://www.resmigazete.gov.tr/eskiler/2024/07/20240710-2.htm, (Erişim Tarihi: 15.02.2025).
- Henüz liste yayımlanmadığı için şu an için uygulamada bir karşılığı bulunmamaktadır.
- Kişisel Verileri Koruma Kurumu, https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU , (Erişim Tarihi: 15.02.2205).
- Kişisel Verileri Koruma Kurulu tarafından ilan edilen standart sözleşmeler için bkz. https://www.kvkk.gov.tr/Icerik/7929/Standart-Sozlesmeler , (Erişim Tarihi: 15.02.2025). Kurul’un 04.06.2024 tarihli ve 2024/959 sayılı kararı ile farklı aktarım senaryoları içeren 4 tip standart sözleşme metni kabul edilerek Kurum’un sitesinde ilan edilmiştir.
- Kişisel Verileri Koruma Kurumu, “Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu”, https://www.kvkk.gov.tr/Icerik/8170/Yurt-Disina-Kisisel-Veri-Aktariminda-Kullanilacak-Standart-Sozlesmelerde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Kamuoyu-Duyurusu, (Erişim Tarihi: 15.02.2025).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 95/46/EC Sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi esas alınarak hazırlanmış ve 2016 yılında yürürlüğe girmiştir. Anılan direktif ise, Avrupa Birliği Veri...
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Günümüz dünyasında artık pek çok ürün ve hizmeti bulunduğumuz yerden tek bir tık ile e-ticaret platformları aracılığıyla satın alma imkanına sahibiz. Bu alışverişler sırasında, siparişin alınması, yönetimi ve teslimi, sipariş sonrası bilgilendirme, reklam ve pazarlama gibi çeşitli nedenlerle kişisel verilerimiz...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
