1. Giriş
Küreselleşen iş dünyasında kişisel verilerin yurt dışına aktarımı kaçınılmaz hale gelmiştir. Bulut hizmetleri, çok uluslu şirket yapıları ve uluslararası ticaret, sınır ötesi veri akışını zorunlu kılmaktadır. KVKK, bu aktarımları belirli şartlara bağlayarak ilgili kişilerin haklarının korunmasını amaçlamaktadır.
ABD: Federal düzeyde kapsamlı düzenleme yoktur. AB-ABD Veri Gizliliği Çerçevesi (DPF) 2023'te yürürlüğe girmiştir.
Almanya: GDPR kuralları doğrudan geçerlidir. Schrems II kararı sonrası ek güvencelere önem verilmektedir.
Türkiye: 7499 sayılı Kanun ile değişik KVKK m.9, kademeli bir sistem öngörür: yeterlilik kararı, uygun güvenceler (standart sözleşme, BCR, taahhütname) ve arızi istisnalar.
2. Yasal Çerçeve
KVKK'nın 9. maddesi, 7499 sayılı Kanun (12.03.2024) ile köklü biçimde değiştirilmiştir. Yeni düzenleme, 01.06.2024 tarihinde yürürlüğe girmiş olup GDPR'daki kademeli yaklaşıma yakınlaştırılmış bir aktarım sistemi getirmiştir.
(2) Yeterlilik kararı Kurul tarafından verilir, Resmî Gazete'de yayımlanır ve en geç dört yılda bir değerlendirilir.
(3) Yeterlilik kararının bulunmaması halinde; 5 inci ve 6 ncı maddelerdeki işleme şartlarından birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin sağlanması halinde aktarım yapılabilir (standart sözleşme, bağlayıcı şirket kuralları, taahhütname, kamu kurumları arası anlaşma).
(4) Yeterlilik kararı ve uygun güvence yoksa, arızi olmak kaydıyla sadece belirli istisnai hallerde aktarım yapılabilir (muhtemel riskler hakkında bilgilendirilme kaydıyla açık rıza, sözleşmenin ifası için zorunluluk, üstün kamu yararı, bir hakkın tesisi/kullanılması/korunması için zorunluluk vb.).
3. Yurt Dışı Aktarım Mekanizmaları (Kademeli Sistem)
7499 sayılı Kanun ile KVKK m.9, GDPR'daki kademeli yaklaşıma yakınlaştırılmış bir aktarım sistemi getirmiştir. Üç kademe arasında hiyerarşik bir ilişki vardır:
| Kademe | Mekanizma | Koşul | Kurul İzni |
|---|---|---|---|
| 1. Kademe | Yeterlilik kararı | Kurul'un ülke/sektör bazında yeterlilik kararı + m.5 veya m.6 kapsamında bir işleme şartı | Gerekmez |
| 2. Kademe | Standart sözleşme | Kurul tarafından ilan edilen standart sözleşme + m.5 veya m.6 kapsamında bir işleme şartı | Gerekmez |
| Bağlayıcı şirket kuralları (BCR) | Kurul onaylı BCR + m.5 veya m.6 kapsamında bir işleme şartı | Gerekli | |
| Yazılı taahhütname | Taraflar arası taahhütname + m.5 veya m.6 kapsamında bir işleme şartı | Gerekli | |
| 3. Kademe | Arızi istisnalar | Açık rıza, sözleşme ifası, zorunlu hukuki menfaat vb. (yalnızca arızi aktarımlarda) | Gerekmez |
4. Arızi İstisnalar ve Açık Rıza
7499 ile değişik m.9/6 uyarınca, yeterlilik kararı ve uygun güvence bulunmadığında, yalnızca arızi nitelikteki aktarımlar için açık rıza dahil belirli istisnalar uygulanabilir. Açık rıza artık birincil mekanizma değil, son çare olarak konumlandırılmıştır.
| Açık Rıza Şartı | Yurt Dışı Aktarımda Uygulanması |
|---|---|
| Belirli bir konuya ilişkin olma | Hangi verilerin, hangi ülkeye aktarılacağı belirtilmeli |
| Bilgilendirilmeye dayanma | Hedef ülkedeki koruma düzeyi hakkında bilgi verilmeli |
| Özgür irade ile verilme | Hizmet/sözleşme şartı olarak zorlama yapılmamalı |
5. Yeterlilik Kararı
7499 ile değişik m.9/2 uyarınca Kurul, ülke veya ülke içindeki sektörler bazında yeterlilik kararı verebilir. Yeterlilik kararı verilen ülkelere, m.5 veya m.6 kapsamında bir işleme şartının varlığı halinde ek güvence aranmaksızın aktarım yapılabilir.
Yeterlilik Değerlendirme Kriterleri
| Kriter | Değerlendirme Unsurları |
|---|---|
| Yasal çerçeve | Veri koruma mevzuatının varlığı ve kapsamı |
| Bağımsız denetim otoritesi | Etkin bir veri koruma otoritesinin varlığı |
| Uluslararası taahhütler | Uluslararası veri koruma sözleşmelerine taraf olma |
| Karşılıklılık | İkili ilişkiler ve karşılıklı güvenceler |
| Hukuki başvuru yolları | İlgili kişilerin haklarını kullanabilmesi |
6. Uygun Güvenceler ile Aktarım
Yeterlilik kararı bulunmayan ülkelere aktarım için, m.9/4 kapsamında aşağıdaki uygun güvencelerden biri sağlanmalıdır. GDPR'daki SCCs sistemine benzer şekilde, standart sözleşme için Kurul izni aranmaz; ancak sözleşmenin imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi zorunludur (m.9/5).
Uygun Güvence Türleri
| Güvence Türü | Kullanım Alanı | Kurul İzni |
|---|---|---|
| Standart sözleşme | Kurul tarafından ilan edilen format, her tür aktarım | Gerekmez |
| Yazılı taahhütname | Bağımsız veri sorumluları/işleyenler arası aktarım | Gerekli |
| Bağlayıcı Şirket Kuralları (BCR) | Çok uluslu şirket grupları içinde aktarım | Gerekli |
| Uluslararası sözleşme niteliğinde olmayan anlaşma | Kamu kurum/kuruluşları arası aktarım | Gerekli |
Taahhütname/Standart Sözleşme İçeriği
Uygun güvence belgelerinde bulunması gereken temel unsurlar:
| Unsur | Açıklama |
|---|---|
| Taraf bilgileri | Aktaran ve alıcı tarafların kimlik ve iletişim bilgileri |
| Aktarım detayları | Aktarılacak veri kategorileri, ilgili kişi grupları, aktarım amaçları |
| KVKK uyumu | Alıcının KVKK'ya denk koruma sağlama taahhüdü |
| Güvenlik tedbirleri | Teknik ve idari güvenlik önlemleri |
| Alt aktarım | Üçüncü taraflara aktarım koşulları |
| İlgili kişi hakları | Hakların kullanımına ilişkin düzenlemeler |
| Denetim | Aktaranın denetim yetkisi |
| İhlal bildirimi | Veri ihlali halinde bildirim yükümlülüğü |
| Sözleşme sonu | Verilerin iadesi veya imhası |
Kurul İzin Süreci (Taahhütname ve BCR İçin)
| Aşama | Açıklama |
|---|---|
| 1. Başvuru | Taahhütname ve ek belgelerle Kurul'a başvuru |
| 2. İnceleme | Kurul'un taahhütnameyi değerlendirmesi |
| 3. Ek bilgi talebi | Gerekirse eksikliklerin tamamlanması |
| 4. Karar | İzin verilmesi veya başvurunun reddi |
| 5. Aktarım | İzin sonrası aktarımın başlaması |
7. Bağlayıcı Şirket Kuralları (BCR)
Çok uluslu şirket grupları için KVKK, bağlayıcı şirket kuralları (Binding Corporate Rules) mekanizmasını tanımaktadır. BCR, grup şirketleri arasındaki veri aktarımlarını düzenleyen kapsamlı politikalardır.
| BCR Avantajı | Açıklama |
|---|---|
| Tek seferlik onay | Her aktarım için ayrı taahhütname gerekmez |
| Esneklik | Grup içi aktarımlar için geniş kapsam |
| Standartlaşma | Tüm grup şirketlerinde ortak veri koruma standartları |
8. Yaygın Yurt Dışı Aktarım Senaryoları
| Senaryo | Örnek | Önerilen Mekanizma |
|---|---|---|
| Bulut hizmetleri | Yurt dışı merkezli bulut altyapı sağlayıcıları | Standart sözleşme veya taahhütname |
| Grup şirketleri | Ana şirket - Türkiye şubesi | BCR veya standart sözleşme |
| Dış kaynak hizmetleri | Çağrı merkezi, IT destek | Standart sözleşme veya taahhütname |
| E-ticaret | Uluslararası ödeme sistemleri | Standart sözleşme (sürekli aktarım için rıza uygun değil) |
| İK yönetimi | Global HR sistemleri | BCR veya standart sözleşme (çalışan verisi için rıza uygun değil) |
9. KVKK ve GDPR Karşılaştırması
| Özellik | KVKK | GDPR |
|---|---|---|
| Yeterlilik kararı | Yasal zemin mevcut (m.9/2), Kurul çalışmaları devam ediyor | 13+ ülke (Japonya, Kanada, İsviçre vb.) |
| Standart sözleşme | Kurul formatı, Kurul izni gerekmez (m.9/4-c) | AB Komisyonu SCCs, DPA izni gerekmez |
| BCR | Var (Kurul onayı gerekli) | Var (lead DPA onayı) |
| Taahhütname | Var (Kurul izni gerekli) | SCCs ile büyük ölçüde ikame edilmiştir |
| Açık rıza | Yalnızca arızi aktarımlarda, son çare (m.9/6) | Sınırlı/son çare (m.49) |
10. Dikkat Edilmesi Gerekenler
- Veri haritası: Yurt dışına hangi verilerin, nereye aktarıldığını bilin
- Hukuki dayanak: Her aktarım için uygun mekanizmayı belirleyin
- Aydınlatma: İlgili kişileri yurt dışı aktarım hakkında bilgilendirin
- Tedarikçi yönetimi: Alt yüklenici zincirinizi kontrol edin
- Güvenlik: Aktarım sırasında verilerin güvenliğini sağlayın
- Dokümantasyon: Tüm aktarımları kayıt altına alın
11. Sonuç
7499 sayılı Kanun ile KVKK'nın yurt dışı aktarım rejimi köklü biçimde yenilenmiştir. Kademeli sistem (yeterlilik kararı → uygun güvenceler → arızi istisnalar), GDPR ile uyumlu bir yapı oluşturmuştur. Özellikle standart sözleşme mekanizması, Kurul izni gerektirmediğinden pratik çözüm sunmaktadır.
7499 sayılı Kanun ile getirilen en önemli değişikliklerden biri, açık rızanın yurt dışı aktarımda artık yalnızca arızi hallerde ve diğer mekanizmaların kullanılamadığı durumlarda son çare olarak kabul edilmesidir. Bu düzenleme, GDPR'ın yaklaşımıyla paralel bir yönelimi yansıtmaktadır.