TR EN DE

Yurt Dışına Veri Aktarımı

Küreselleşen iş dünyasında kişisel verilerin yurt dışına aktarımı kaçınılmaz hale gelmiştir. KVKK, bu aktarımları belirli şartlara bağlamış ve ilgili kişilerin haklarının korunmasını amaçlamıştır. Bu yazıda yurt dışı aktarım mekanizmaları detaylı olarak ele alınmaktadır.

Summary in English

Overview

In today's globalized business environment, cross-border transfer of personal data has become inevitable. KVKK Article 9 regulates such transfers with specific conditions to protect the rights of data subjects. This article examines the mechanisms for international data transfers in detail.

Key Points

  • Transfer Mechanisms: Explicit consent, adequacy decisions, or written undertakings with Board approval.
  • Adequacy Decisions: The Board has not yet published a list of countries with adequate protection.
  • Undertakings: Written commitments between Turkish data controllers and foreign recipients require Board approval.
  • Binding Corporate Rules: Available for multinational corporate groups for intra-group transfers.
  • GDPR Comparison: KVKK's system is largely parallel to GDPR but requires Board approval for each undertaking.
Full article in Turkish below

Überblick

In der heutigen globalisierten Geschäftswelt ist die grenzüberschreitende Übermittlung personenbezogener Daten unvermeidlich geworden. KVKK Artikel 9 regelt solche Übermittlungen mit spezifischen Bedingungen zum Schutz der Rechte betroffener Personen. Dieser Artikel untersucht die Mechanismen für internationale Datenübermittlungen im Detail.

Kernpunkte

  • Übermittlungsmechanismen: Ausdrückliche Einwilligung, Angemessenheitsbeschlüsse oder schriftliche Zusicherungen mit Genehmigung der Behörde.
  • Angemessenheitsbeschlüsse: Die Behörde hat noch keine Liste von Ländern mit angemessenem Schutz veröffentlicht.
  • Zusicherungen: Schriftliche Verpflichtungen zwischen türkischen Verantwortlichen und ausländischen Empfängern erfordern die Genehmigung der Behörde.
  • Verbindliche Unternehmensregeln: Verfügbar für multinationale Unternehmensgruppen für konzerninterne Übermittlungen.
  • DSGVO-Vergleich: Das KVKK-System entspricht weitgehend der DSGVO, erfordert aber für jede Zusicherung eine Genehmigung der Behörde.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Küreselleşen iş dünyasında kişisel verilerin yurt dışına aktarımı kaçınılmaz hale gelmiştir. Bulut hizmetleri, çok uluslu şirket yapıları ve uluslararası ticaret, sınır ötesi veri akışını zorunlu kılmaktadır. KVKK, bu aktarımları belirli şartlara bağlayarak ilgili kişilerin haklarının korunmasını amaçlamaktadır.

Karşılaştırmalı Hukuk
AB (GDPR Madde 44-49): Yeterlilik kararı (adequacy decision), standart sözleşme hükümleri (SCCs), bağlayıcı şirket kuralları (BCRs) ve istisnai durumlar gibi mekanizmalar öngörülmüştür. Türkiye henüz yeterlilik kararı almamıştır.

ABD: Federal düzeyde kapsamlı düzenleme yoktur. AB-ABD Veri Gizliliği Çerçevesi (DPF) 2023'te yürürlüğe girmiştir.

Almanya: GDPR kuralları doğrudan geçerlidir. Schrems II kararı sonrası ek güvencelere önem verilmektedir.

Türkiye: KVKK m.9 üç mekanizma öngörür: açık rıza, yeterli koruma bulunan ülkeler ve taahhütname ile Kurul izni.

2. Yasal Çerçeve

KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarımını düzenlemektedir. Kanun, verilerin yurt dışına çıkışını tamamen yasaklamamakta, ancak belirli güvencelerin sağlanmasını zorunlu kılmaktadır.

KVKK Madde 9 — Kişisel Verilerin Yurt Dışına Aktarılması
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
KARŞILAŞTIRMALI HUKUK
GDPR'da Yurt Dışı Aktarım (Madde 44-49)
GDPR da benzer bir yaklaşım benimsemiş olup, yeterlilik kararı (adequacy decision), standart sözleşme hükümleri (SCCs), bağlayıcı şirket kuralları (BCRs) ve istisnai durumlar gibi mekanizmalar öngörmektedir. KVKK'nın sistemi GDPR ile büyük ölçüde paralellik göstermektedir.

3. Yurt Dışı Aktarım Mekanizmaları

KVKK kapsamında kişisel verilerin yurt dışına aktarılabilmesi için üç temel mekanizma bulunmaktadır:

Mekanizma Koşul Kurul İzni
Açık rıza İlgili kişinin bilgilendirilmiş açık rızası Gerekmez
Yeterli koruma bulunan ülke Kurul tarafından ilan edilen güvenli ülkeler listesi + m.5/2 veya m.6/3 şartları Gerekmez
Taahhütname Yazılı taahhütname + Kurul izni + m.5/2 veya m.6/3 şartları Gerekli

4. Açık Rıza ile Aktarım

İlgili kişinin açık rızası alındığında, herhangi bir ülkeye veri aktarımı yapılabilir. Ancak açık rıza mekanizması, belirli koşullara tabidir ve her durumda uygun değildir.

Açık Rıza Şartı Yurt Dışı Aktarımda Uygulanması
Belirli bir konuya ilişkin olma Hangi verilerin, hangi ülkeye aktarılacağı belirtilmeli
Bilgilendirilmeye dayanma Hedef ülkedeki koruma düzeyi hakkında bilgi verilmeli
Özgür irade ile verilme Hizmet/sözleşme şartı olarak zorlama yapılmamalı
KURUL KARARI
Toptan Rıza Geçersizliği
Kurul, 2020/559 sayılı kararında, "tüm ülkelere aktarım için rıza veriyorum" şeklindeki genel ifadelerin geçerli açık rıza olmadığını belirtmiştir. Açık rızanın geçerli olabilmesi için hangi verilerin, hangi ülkelere, hangi amaçlarla aktarılacağının spesifik olarak belirtilmesi gerekmektedir.

5. Yeterli Koruma Bulunan Ülkeler

Kurul, kişisel verilerin korunması açısından yeterli korumaya sahip olduğuna karar verdiği ülkeleri ilan eder. Bu ülkelere, KVKK'nın 5/2 veya 6/3 maddelerindeki işleme şartlarından birinin varlığı halinde açık rıza olmaksızın veri aktarılabilir.

Yeterlilik Değerlendirme Kriterleri

Kriter Değerlendirme Unsurları
Yasal çerçeve Veri koruma mevzuatının varlığı ve kapsamı
Bağımsız denetim otoritesi Etkin bir veri koruma otoritesinin varlığı
Uluslararası taahhütler Uluslararası veri koruma sözleşmelerine taraf olma
Karşılıklılık İkili ilişkiler ve karşılıklı güvenceler
Hukuki başvuru yolları İlgili kişilerin haklarını kullanabilmesi
ÖNEMLİ NOT
Kurul, şu ana kadar yeterli korumaya sahip ülkeler listesini henüz yayımlamamıştır. Bu nedenle pratikte, yurt dışı aktarımların büyük çoğunluğu ya açık rıza ya da taahhütname mekanizmasıyla gerçekleştirilmektedir.

6. Taahhütname ile Aktarım

Yeterli korumanın bulunmadığı ülkelere veri aktarımı için, Türkiye'deki veri sorumlusu ile yurt dışındaki alıcı arasında yazılı taahhütname imzalanması ve Kurul'dan izin alınması gerekmektedir.

Taahhütname Türleri

Taahhütname Türü Kullanım Alanı
Veri Sorumlusundan Veri Sorumlusuna Bağımsız veri sorumluları arasında aktarım
Veri Sorumlusundan Veri İşleyene Yurt dışındaki hizmet sağlayıcılara aktarım
Bağlayıcı Şirket Kuralları (BCR) Çok uluslu şirket grupları içinde aktarım

Taahhütname İçeriği

Kurul tarafından belirlenen taahhütname formatında bulunması gereken temel unsurlar:

Unsur Açıklama
Taraf bilgileri Aktaran ve alıcı tarafların kimlik ve iletişim bilgileri
Aktarım detayları Aktarılacak veri kategorileri, ilgili kişi grupları, aktarım amaçları
KVKK uyumu Alıcının KVKK'ya denk koruma sağlama taahhüdü
Güvenlik tedbirleri Teknik ve idari güvenlik önlemleri
Alt aktarım Üçüncü taraflara aktarım koşulları
İlgili kişi hakları Hakların kullanımına ilişkin düzenlemeler
Denetim Aktaranın denetim yetkisi
İhlal bildirimi Veri ihlali halinde bildirim yükümlülüğü
Sözleşme sonu Verilerin iadesi veya imhası

Kurul İzin Süreci

Aşama Açıklama
1. Başvuru Taahhütname ve ek belgelerle Kurul'a başvuru
2. İnceleme Kurul'un taahhütnameyi değerlendirmesi
3. Ek bilgi talebi Gerekirse eksikliklerin tamamlanması
4. Karar İzin verilmesi veya başvurunun reddi
5. Aktarım İzin sonrası aktarımın başlaması
UYGULAMA ÖNERİSİ
Taahhütname Başvuru Süresi
Kurul'un taahhütname başvurularını değerlendirme süresi değişkenlik gösterebilmektedir. Yurt dışı aktarım gerektiren projeler için başvurunun erkenden yapılması ve alternatif planların hazırlanması önerilir. Acil durumlarda açık rıza mekanizması geçici çözüm olarak değerlendirilebilir.

7. Bağlayıcı Şirket Kuralları (BCR)

Çok uluslu şirket grupları için KVKK, bağlayıcı şirket kuralları (Binding Corporate Rules) mekanizmasını tanımaktadır. BCR, grup şirketleri arasındaki veri aktarımlarını düzenleyen kapsamlı politikalardır.

BCR Avantajı Açıklama
Tek seferlik onay Her aktarım için ayrı taahhütname gerekmez
Esneklik Grup içi aktarımlar için geniş kapsam
Standartlaşma Tüm grup şirketlerinde ortak veri koruma standartları

8. Yaygın Yurt Dışı Aktarım Senaryoları

Senaryo Örnek Önerilen Mekanizma
Bulut hizmetleri AWS, Google Cloud, Microsoft Azure Taahhütname veya açık rıza
Grup şirketleri Ana şirket - Türkiye şubesi BCR veya taahhütname
Dış kaynak hizmetleri Çağrı merkezi, IT destek Taahhütname
E-ticaret Uluslararası ödeme sistemleri Açık rıza veya taahhütname
İK yönetimi Global HR sistemleri Taahhütname (çalışan verisi için rıza zor)
KURUL KARARI
Bulut Hizmetleri ve Yurt Dışı Aktarım
Kurul, 2019/157 sayılı kararında, yurt dışı sunucularda veri depolayan bulut hizmetlerinin kullanılmasının yurt dışına aktarım teşkil ettiğini belirlemiştir. Bu nedenle bulut hizmeti sağlayıcılarıyla çalışırken verilerin hangi ülkede depolandığının tespit edilmesi ve gerekli mekanizmaların kurulması gerekmektedir.

9. KVKK ve GDPR Karşılaştırması

Özellik KVKK GDPR
Yeterlilik kararı Henüz ilan edilmedi 13+ ülke (Japonya, Kanada, İsviçre vb.)
Standart sözleşme hükümleri Taahhütname (Kurul formatı) AB Komisyonu SCCs
BCR Var (Kurul onayı gerekli) Var (lead DPA onayı)
İzin süreci Her taahhütname için Kurul izni SCCs için otorite izni gerekmez
Açık rıza Geçerli mekanizma Sınırlı/son çare (m.49)

10. Dikkat Edilmesi Gerekenler

11. Sonuç

Yurt dışına veri aktarımı, KVKK'nın en karmaşık konularından biridir. Kurul'un yeterli korumaya sahip ülkeler listesini henüz yayımlamamış olması, pratikte taahhütname sürecini ağırlaştırmaktadır. Bu durum, birçok şirketi açık rıza mekanizmasına yöneltmektedir.

Veri sorumluları, yurt dışı aktarım gerektiren iş süreçlerini dikkatli bir şekilde değerlendirmeli, uygun hukuki mekanizmaları kurmalı ve ilgili kişilerin haklarını koruyacak tedbirleri almalıdır. Global operasyonlar için erken planlama ve proaktif yaklaşım kritik önem taşımaktadır.

KVKK Makale Serisi 10 / 15
Veri İhlali Bildirimi Veri Sorumlusu ve Veri İşleyen

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.