+90 540 239 77 77
TR EN DE

Yurt Dışına Veri Aktarımı

7499 sayılı Kanun ile değişik KVKK m.9 kapsamında yurt dışına veri aktarımının kademeli sistemi: yeterlilik kararı, uygun güvenceler (standart sözleşme, BCR, taahhütname) ve arızi istisnalar.

Summary in English

Overview

In today's globalized business environment, cross-border transfer of personal data has become inevitable. KVKK Article 9 regulates such transfers with specific conditions to protect the rights of data subjects. This article examines the mechanisms for international data transfers in detail.

Key Points

  • Transfer Mechanisms: Explicit consent, adequacy decisions, or written undertakings with Board approval.
  • Adequacy Decisions: The Board has not yet published a list of countries with adequate protection.
  • Undertakings: Written commitments between Turkish data controllers and foreign recipients require Board approval.
  • Binding Corporate Rules: Available for multinational corporate groups for intra-group transfers.
  • GDPR Comparison: KVKK's system is largely parallel to GDPR but requires Board approval for each undertaking.
Full article in Turkish below

Überblick

In der heutigen globalisierten Geschäftswelt ist die grenzüberschreitende Übermittlung personenbezogener Daten unvermeidlich geworden. KVKK Artikel 9 regelt solche Übermittlungen mit spezifischen Bedingungen zum Schutz der Rechte betroffener Personen. Dieser Artikel untersucht die Mechanismen für internationale Datenübermittlungen im Detail.

Kernpunkte

  • Übermittlungsmechanismen: Ausdrückliche Einwilligung, Angemessenheitsbeschlüsse oder schriftliche Zusicherungen mit Genehmigung der Behörde.
  • Angemessenheitsbeschlüsse: Die Behörde hat noch keine Liste von Ländern mit angemessenem Schutz veröffentlicht.
  • Zusicherungen: Schriftliche Verpflichtungen zwischen türkischen Verantwortlichen und ausländischen Empfängern erfordern die Genehmigung der Behörde.
  • Verbindliche Unternehmensregeln: Verfügbar für multinationale Unternehmensgruppen für konzerninterne Übermittlungen.
  • DSGVO-Vergleich: Das KVKK-System entspricht weitgehend der DSGVO, erfordert aber für jede Zusicherung eine Genehmigung der Behörde.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Küreselleşen iş dünyasında kişisel verilerin yurt dışına aktarımı kaçınılmaz hale gelmiştir. Bulut hizmetleri, çok uluslu şirket yapıları ve uluslararası ticaret, sınır ötesi veri akışını zorunlu kılmaktadır. KVKK, bu aktarımları belirli şartlara bağlayarak ilgili kişilerin haklarının korunmasını amaçlamaktadır.

Karşılaştırmalı Hukuk
AB (GDPR Madde 44-49): Yeterlilik kararı (adequacy decision), standart sözleşme hükümleri (SCCs), bağlayıcı şirket kuralları (BCRs) ve istisnai durumlar gibi mekanizmalar öngörülmüştür. Türkiye henüz yeterlilik kararı almamıştır.

ABD: Federal düzeyde kapsamlı düzenleme yoktur. AB-ABD Veri Gizliliği Çerçevesi (DPF) 2023'te yürürlüğe girmiştir.

Almanya: GDPR kuralları doğrudan geçerlidir. Schrems II kararı sonrası ek güvencelere önem verilmektedir.

Türkiye: 7499 sayılı Kanun ile değişik KVKK m.9, kademeli bir sistem öngörür: yeterlilik kararı, uygun güvenceler (standart sözleşme, BCR, taahhütname) ve arızi istisnalar.

2. Yasal Çerçeve

KVKK'nın 9. maddesi, 7499 sayılı Kanun (12.03.2024) ile köklü biçimde değiştirilmiştir. Yeni düzenleme, 01.06.2024 tarihinde yürürlüğe girmiş olup GDPR'a paralel kademeli bir aktarım sistemi getirmiştir.

KVKK Madde 9 — Kişisel Verilerin Yurt Dışına Aktarılması (7499 s.K. ile değişik)
(1) Kişisel veriler, bu Kanunda öngörülen şartlara uyulmak kaydıyla yurt dışına aktarılabilir.

(2) Kişisel veriler, yeterlilik kararı verilen ülkelere 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasındaki şartlardan birinin varlığı halinde aktarılabilir.

(3) Yeterlilik kararının bulunmaması halinde, 5/2 veya 6/3 şartlarından birinin varlığı ve uygun güvencelerden birinin sağlanması kaydıyla aktarım yapılabilir (standart sözleşme, BCR, taahhütname vb.).

(4) Yeterlilik kararı ve uygun güvence yoksa, arızi olmak kaydıyla belirli istisnai durumlarda aktarım yapılabilir (açık rıza, sözleşme ifası, zorunlu hukuki menfaat vb.).
KARŞILAŞTIRMALI HUKUK
GDPR'da Yurt Dışı Aktarım (Madde 44-49)
GDPR da benzer kademeli bir yaklaşım benimsemiştir: yeterlilik kararı (adequacy decision), standart sözleşme hükümleri (SCCs), bağlayıcı şirket kuralları (BCRs) ve istisnai durumlar. 7499 sayılı Kanun ile KVKK'nın sistemi GDPR ile büyük ölçüde uyumlu hale getirilmiştir.

3. Yurt Dışı Aktarım Mekanizmaları (Kademeli Sistem)

7499 sayılı Kanun ile KVKK m.9, GDPR'a paralel kademeli bir aktarım sistemi getirmiştir. Üç kademe arasında hiyerarşik bir ilişki vardır:

Kademe Mekanizma Koşul Kurul İzni
1. Kademe Yeterlilik kararı Kurul'un ülke/sektör bazında yeterlilik kararı + m.5/2 veya m.6/3 Gerekmez
2. Kademe Standart sözleşme Kurul tarafından ilan edilen standart sözleşme + m.5/2 veya m.6/3 Gerekmez
Bağlayıcı şirket kuralları (BCR) Kurul onaylı BCR + m.5/2 veya m.6/3 Gerekli
Yazılı taahhütname Taraflar arası taahhütname + m.5/2 veya m.6/3 Gerekli
3. Kademe Arızi istisnalar Açık rıza, sözleşme ifası, zorunlu hukuki menfaat vb. (yalnızca arızi aktarımlarda) Gerekmez

4. Arızi İstisnalar ve Açık Rıza

7499 ile değişik m.9/4 uyarınca, yeterlilik kararı ve uygun güvence bulunmadığında, yalnızca arızi nitelikteki aktarımlar için açık rıza dahil belirli istisnalar uygulanabilir. Açık rıza artık birincil mekanizma değil, son çare olarak konumlandırılmıştır.

Açık Rıza Şartı Yurt Dışı Aktarımda Uygulanması
Belirli bir konuya ilişkin olma Hangi verilerin, hangi ülkeye aktarılacağı belirtilmeli
Bilgilendirilmeye dayanma Hedef ülkedeki koruma düzeyi hakkında bilgi verilmeli
Özgür irade ile verilme Hizmet/sözleşme şartı olarak zorlama yapılmamalı
KURUL KARARI
Toptan Rıza Geçersizliği
Kurul, 2020/559 sayılı kararında, "tüm ülkelere aktarım için rıza veriyorum" şeklindeki genel ifadelerin geçerli açık rıza olmadığını belirtmiştir. Açık rızanın geçerli olabilmesi için hangi verilerin, hangi ülkelere, hangi amaçlarla aktarılacağının spesifik olarak belirtilmesi gerekmektedir.

5. Yeterlilik Kararı

7499 ile değişik m.9/2 uyarınca Kurul, ülke veya ülke içindeki sektörler bazında yeterlilik kararı verebilir. Yeterlilik kararı verilen ülkelere, m.5/2 veya m.6/3 şartlarından birinin varlığı halinde ek güvence aranmaksızın aktarım yapılabilir.

Yeterlilik Değerlendirme Kriterleri

Kriter Değerlendirme Unsurları
Yasal çerçeve Veri koruma mevzuatının varlığı ve kapsamı
Bağımsız denetim otoritesi Etkin bir veri koruma otoritesinin varlığı
Uluslararası taahhütler Uluslararası veri koruma sözleşmelerine taraf olma
Karşılıklılık İkili ilişkiler ve karşılıklı güvenceler
Hukuki başvuru yolları İlgili kişilerin haklarını kullanabilmesi
ÖNEMLİ NOT
7499 sayılı Kanun ile ülke bazında yeterlilik kararı mekanizması yasal zemine kavuşmuştur. Kurul'un yeterlilik kararı vereceği ülkelere ilişkin çalışmalar devam etmektedir. Yeterlilik kararı yayımlanana kadar uygun güvenceler (standart sözleşme, BCR veya taahhütname) kullanılmalıdır.

6. Uygun Güvenceler ile Aktarım

Yeterlilik kararı bulunmayan ülkelere aktarım için, m.9/3 kapsamında aşağıdaki uygun güvencelerden biri sağlanmalıdır. GDPR'daki SCCs sistemine benzer şekilde, standart sözleşme için Kurul izni aranmaz.

Uygun Güvence Türleri

Güvence Türü Kullanım Alanı Kurul İzni
Standart sözleşme Kurul tarafından ilan edilen format, her tür aktarım Gerekmez
Yazılı taahhütname Bağımsız veri sorumluları/işleyenler arası aktarım Gerekli
Bağlayıcı Şirket Kuralları (BCR) Çok uluslu şirket grupları içinde aktarım Gerekli
Uluslararası sözleşme niteliğinde olmayan anlaşma Kamu kurum/kuruluşları arası aktarım Gerekli

Taahhütname/Standart Sözleşme İçeriği

Uygun güvence belgelerinde bulunması gereken temel unsurlar:

Unsur Açıklama
Taraf bilgileri Aktaran ve alıcı tarafların kimlik ve iletişim bilgileri
Aktarım detayları Aktarılacak veri kategorileri, ilgili kişi grupları, aktarım amaçları
KVKK uyumu Alıcının KVKK'ya denk koruma sağlama taahhüdü
Güvenlik tedbirleri Teknik ve idari güvenlik önlemleri
Alt aktarım Üçüncü taraflara aktarım koşulları
İlgili kişi hakları Hakların kullanımına ilişkin düzenlemeler
Denetim Aktaranın denetim yetkisi
İhlal bildirimi Veri ihlali halinde bildirim yükümlülüğü
Sözleşme sonu Verilerin iadesi veya imhası

Kurul İzin Süreci (Taahhütname ve BCR İçin)

Aşama Açıklama
1. Başvuru Taahhütname ve ek belgelerle Kurul'a başvuru
2. İnceleme Kurul'un taahhütnameyi değerlendirmesi
3. Ek bilgi talebi Gerekirse eksikliklerin tamamlanması
4. Karar İzin verilmesi veya başvurunun reddi
5. Aktarım İzin sonrası aktarımın başlaması
UYGULAMA ÖNERİSİ
Standart Sözleşme Avantajı
7499 ile getirilen standart sözleşme mekanizması, Kurul izni gerektirmediğinden en hızlı aktarım güvencesidir (GDPR'daki SCCs'e benzer). Kurul'un standart sözleşme formatını ilan etmesiyle birlikte, taahhütname sürecine kıyasla çok daha pratik bir çözüm sunulmaktadır. Taahhütname ve BCR başvurularında Kurul değerlendirme süresinin uzayabileceği göz önünde bulundurulmalıdır.

7. Bağlayıcı Şirket Kuralları (BCR)

Çok uluslu şirket grupları için KVKK, bağlayıcı şirket kuralları (Binding Corporate Rules) mekanizmasını tanımaktadır. BCR, grup şirketleri arasındaki veri aktarımlarını düzenleyen kapsamlı politikalardır.

BCR Avantajı Açıklama
Tek seferlik onay Her aktarım için ayrı taahhütname gerekmez
Esneklik Grup içi aktarımlar için geniş kapsam
Standartlaşma Tüm grup şirketlerinde ortak veri koruma standartları

8. Yaygın Yurt Dışı Aktarım Senaryoları

Senaryo Örnek Önerilen Mekanizma
Bulut hizmetleri AWS, Google Cloud, Microsoft Azure Standart sözleşme veya taahhütname
Grup şirketleri Ana şirket - Türkiye şubesi BCR veya standart sözleşme
Dış kaynak hizmetleri Çağrı merkezi, IT destek Standart sözleşme veya taahhütname
E-ticaret Uluslararası ödeme sistemleri Standart sözleşme (sürekli aktarım için rıza uygun değil)
İK yönetimi Global HR sistemleri BCR veya standart sözleşme (çalışan verisi için rıza uygun değil)
KURUL KARARI
Bulut Hizmetleri ve Yurt Dışı Aktarım
Kurul, 2019/157 sayılı kararında, yurt dışı sunucularda veri depolayan bulut hizmetlerinin kullanılmasının yurt dışına aktarım teşkil ettiğini belirlemiştir. Bu nedenle bulut hizmeti sağlayıcılarıyla çalışırken verilerin hangi ülkede depolandığının tespit edilmesi ve gerekli mekanizmaların kurulması gerekmektedir.

9. KVKK ve GDPR Karşılaştırması

Özellik KVKK GDPR
Yeterlilik kararı Yasal zemin mevcut (m.9/2), Kurul çalışmaları devam ediyor 13+ ülke (Japonya, Kanada, İsviçre vb.)
Standart sözleşme Kurul formatı, Kurul izni gerekmez (m.9/3-c) AB Komisyonu SCCs, DPA izni gerekmez
BCR Var (Kurul onayı gerekli) Var (lead DPA onayı)
Taahhütname Var (Kurul izni gerekli) SCCs ile büyük ölçüde ikame edilmiştir
Açık rıza Yalnızca arızi aktarımlarda, son çare (m.9/4) Sınırlı/son çare (m.49)

10. Dikkat Edilmesi Gerekenler

  • Veri haritası: Yurt dışına hangi verilerin, nereye aktarıldığını bilin
  • Hukuki dayanak: Her aktarım için uygun mekanizmayı belirleyin
  • Aydınlatma: İlgili kişileri yurt dışı aktarım hakkında bilgilendirin
  • Tedarikçi yönetimi: Alt yüklenici zincirinizi kontrol edin
  • Güvenlik: Aktarım sırasında verilerin güvenliğini sağlayın
  • Dokümantasyon: Tüm aktarımları kayıt altına alın

11. Sonuç

7499 sayılı Kanun ile KVKK'nın yurt dışı aktarım rejimi köklü biçimde yenilenmiştir. Kademeli sistem (yeterlilik kararı → uygun güvenceler → arızi istisnalar), GDPR ile uyumlu bir yapı oluşturmuştur. Özellikle standart sözleşme mekanizması, Kurul izni gerektirmediğinden pratik çözüm sunmaktadır.

7499 sayılı Kanun ile getirilen en önemli değişikliklerden biri, açık rızanın yurt dışı aktarımda artık yalnızca arızi hallerde ve diğer mekanizmaların kullanılamadığı durumlarda son çare olarak kabul edilmesidir. Bu düzenleme, GDPR'ın yaklaşımıyla paralel bir yönelimi yansıtmaktadır.

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.