byKVKK

Giriş

 

Küreselleşme ve dijital dönüşüm çağında, verinin sınır tanımadan akışı iş dünyasının vazgeçilmez bir parçası haline geldi. Ancak farklı ülkelerin gizlilik standartları ve hukuk sistemleri arasındaki farklılıklar, kişisel verilerin yurt dışına aktarımı konusunu son derece karmaşık kılıyordu. Türkiye’deki kişisel veri koruma mevzuatı da bu zorluklardan payını almış; uzun süre KVKK (Kişisel Verilerin Korunması Kanunu) uyarınca yurt dışına veri aktarımı büyük ölçüde katı şartlara tabi olmuştu. Özellikle geçmiş dönemde şirketlerin veri transferi yapabilmek için çoğunlukla ilgili kişilerin açık rızasını almak zorunda kalması, bulut hizmetleri veya yurt dışı merkezli yazılımlar kullanan işletmeler için ciddi engeller yaratıyordu. Nitekim 2024 yılı öncesinde, Kişisel Verileri Koruma Kurulu’ndan aktarım izni almak için gereken prosedür ve uzun bekleme süreleri nedeniyle fiiliyatta pek çok şirket tek çare olarak veri sahiplerinin açık rızasına başvuruyordu. Bu durum, yurt dışında sunucuları bulunan SaaS uygulamalarını kullanmak isteyen KOBİ’lerden uluslararası faaliyet gösteren büyük şirketlere kadar hemen herkesi zorluyor; ticari operasyonlarda tıkanıklıklara yol açıyordu.

İşte bu nedenlerle, 2024 yılında Türkiye’de kişisel verilerin yurt dışına aktarım kurallarında köklü değişikliklere gidilerek yeni bir döneme girildi. Yapılan yasal düzenlemelerle açık rıza önceliği terk edildi ve yerine Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu, üç kademeli daha sürdürülebilir bir sistem getirildi. Bu yeni sistem, 2024 KVKK değişiklikleri, bu değişiklikleri somutlaştıran Temmuz 2024 Yönetmeliği ve uygulamaya yön veren 2025 Rehberi ile şekillenmiştir. Aşağıda, bu değişikliklerin içeriğini, getirdiği yenilikleri ve hem Türkiye’de hem de dünyada konuya ilişkin doktrindeki görüşleri açıklayıcı bir şekilde ele alacağız.

2024 Yılında KVKK’da Yapılan Değişiklikler ve Yeni Yönetmelik

KVKK’nın 2016’da yürürlüğe giren ilk hali, büyük ölçüde Avrupa Birliği’nin eski 95/46 sayılı Veri Koruma Direktifi’ni temel alıyordu. Ancak Avrupa’da GDPR’ın devreye girmesiyle KVKK bazı konularda güncel ihtiyaçları karşılamada yetersiz kalmaya başladı. Bu eksikliği gidermek ve GDPR ile uyum sağlamak amacıyla, Mart 2024’te çıkarılan 7499 sayılı Kanun ile KVKK’nın yurt dışına veri aktarımını düzenleyen 9. maddesinde önemli reformlar yapıldı. Kanundaki değişiklik hükümleri 2024 ortasında yürürlüğe girerek Türkiye’nin uzun zamandır beklenen yeni yurt dışına veri transferi rejimini yürürlüğe koymuştur.

Kanun değişikliğiyle birlikte KVKK md. 9 tamamen yeni bir sistem öngördü. Eski sistemde, kişisel veriler karşı tarafta “yeterli koruma” bulunması veya Kurul’un izni şartıyla aktarılabiliyordu; fiiliyatta Kurul’un güvence değerlendirmesi için taahhütname adı verilen sözleşmeler sunuluyor ve onay bekleniyordu. Yeni düzenlemede ise AB’deki yaklaşıma paralel şekilde üç aşamalı bir yapı benimsenmiştir: Artık Türkiye’den yurt dışına kişisel veri aktarımı için sırasıyla (1) Yeterlilik Kararı (yeterli koruma seviyesi) olup olmadığına, (2) Uygun Güvenceler sağlayıp sağlamadığına ve (3) herhangi bir İstisnai Durumun mevcut olup olmadığına bakılmaktadır. Bu aşamalardan birine uyulması halinde, veriler yurt dışına aktarılabilir hale gelmektedir.

Bahsi geçen kanun değişikliğini somutlaştırmak amacıyla, Kişisel Verileri Koruma Kurumu 10 Temmuz 2024’te “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”’i yayımlamıştır. Yönetmelik, aynı gün yürürlüğe girmiş ve KVKK madde 9’daki yeni sistemin uygulama detaylarını netleştirmiştir. Ayrıca yine 10 Temmuz 2024 tarihinde Kurum, internet sitesinde şirketlerin kullanması için bazı önemli dokümanları da duyurmuştur. Bu kapsamda:

      • Standart Sözleşme Metinleri: Yurt dışına aktarımda kullanılmak üzere Kurum tarafından hazırlanmış dört farklı standart sözleşme şablonu yayımlandı (Veri Sorumlusundan Veri Sorumlusuna, Veri Sorumlusundan Veri İşleyene, Veri İşleyenden Veri İşleyene, Veri İşleyenden Veri Sorumlusuna şeklinde dört senaryoya uygun).

      • BCR Başvuru Dokümanları: Bağlayıcı Şirket Kuralları (BŞK) başvuruları için veri sorumluları ve veri işleyenler özelinde ayrı ayrı başvuru formları ve BŞK’ların içermesi gereken temel unsurlara dair yardımcı kılavuzlar paylaşıldı.

    Bu ikincil düzenlemeler sayesinde, kanundaki yeni mekanizmaların hayata geçirilebilmesi için ihtiyaç duyulan altyapı ve standartlar sağlanmış oldu. Özellikle standart sözleşmelerin Kurum tarafından hazır olarak sunulması, işletmelerin uzun izin süreçlerine gerek kalmadan belirli sözleşme hükümlerini kullanarak veri transferi yapabilmesinin önünü açmıştır. Aşağıda, yeni getirilen üç kademeli sistemin unsurlarını tek tek inceleyelim.

    Üç Kademeli Yeni Sistem ve Unsurları

    1. Yeterlilik Kararına Dayalı Aktarımlar

    Yeni sistemin ilk basamağını Yeterlilik Kararı (yeterli koruma kararı) oluşturuyor. Yeterlilik kararı, Kişisel Verileri Koruma Kurulu’nun, belirli bir yabancı ülke, o ülke içindeki belirli bir sektör veya belirli bir uluslararası kuruluş için “kişisel veriler için yeterli koruma sağlanıyor” yönünde verdiği resmi karardır. Böyle bir kararın varlığı halinde, ilgili yere Kurul izni gerekmeden Türkiye’den kişisel veri aktarılabilecektir. Yani kurul, söz konusu ülke/kurum için veri koruma seviyesinin Türkiye’dekiyle denk veya yeterli olduğunu kabul etmiş sayılacaktır.

    Yeterlilik kararı mekanizması aslında AB hukukundaki “adequacy decision” kavramına çok benzemektedir. Nasıl ki Avrupa Birliği, örneğin Kanada, Japonya, Birleşik Krallık gibi ülkeleri yeterli korumaya sahip kabul edip bu ülkelere veri akışına izin veriyorsa; Türkiye de benzer şekilde ileride bazı ülkeleri güvenli ilan edebilecektir. Nitekim KVKK’nın 2024-2028 Stratejik Planı’nda, Türkiye ile Azerbaycan arasında karşılıklı olarak yeterli koruma statüsü tanınmasına yönelik müzakereler yürütüldüğü belirtilmiştir. Henüz (2025 itibarıyla) Kurul tarafından ilan edilmiş bir yeterli ülke listesi bulunmasa da, gerekli hazırlıklar devam etmektedir ve yakın gelecekte ilk yeterlilik kararlarının çıkması beklenebilir.

    Yönetmelik ve KVKK, Kurul’un bir ülkeye/kuruma yeterlilik kararı verip vermeyeceğini değerlendirirken dikkat edeceği kriterleri de belirlemiştir. Başlıca değerlendirme unsurları şöyle sıralanıyor:

        • Mevzuat ve Uygulama Düzeyi: İlgili ülkenin kişisel verileri korumaya ilişkin kanunlarının kapsamı ve uygulamadaki etkinliği.

        • Karşılıklılık Durumu: İlgili ülkenin de Türkiye’ye benzer şekilde veri aktarımına izin verip vermediği, yani karşılıklı bir anlayış olup olmadığı.

        • Veri Koruma Otoritesinin Etkinliği: O ülkede Türkiye’deki KVKK benzeri bir veri koruma denetim otoritesi varsa, bu kurumun bağımsızlığı ve yaptırım uygulama kapasitesi.

        • Uluslararası Sözleşmelere Üyelik: Özellikle veri koruma alanındaki uluslararası anlaşmalara (örn. Avrupa Konseyi’nin 108 nolu sözleşmesi) katılıp katılmadığı.

        • Türkiye’nin Üye Olduğu Kuruluşlarla İlişkiler: İlgili ülkenin OECD, G20 gibi Türkiye’nin de üyesi olduğu uluslararası platformlardaki konumu ve ilişkileri.

      Kurul, verdiği yeterlilik kararlarını en az dört yılda bir gözden geçirecektir. Koşulların değişmesi halinde dört yılı beklemeden de bir ülkenin yeterli koruma statüsünü askıya alma veya iptal etme yetkisi vardır. Yeterlilik kararları Resmî Gazete’de ve Kurumun internet sitesinde ilan edilecektir. Bu mekanizma, uygulamada şirketler için en sorunsuz ve ideal aktarım yoludur; zira yeterli ülke listesinde yer alan bir yere veri gönderirken ayrıca bir sözleşme yapılmasına veya izin alınmasına gerek kalmaz (elbette yine de veriyi işlemenin KVKK 5 veya 6. maddelerindeki genel şartlardan birine dayanması gerekir). Ancak henüz böyle bir liste olmadığı için işletmeler fiilen ikinci kademeye, yani uygun güvencelere, odaklanmak durumundadır.

      2. Uygun Güvencelere Dayalı Aktarımlar

      Yeterlilik kararı olmayan durumlarda, kişisel verilerin yurt dışına aktarımı ancak “uygun güvenceler” adı verilen koruma tedbirlerinden biri sağlanarak yapılabilir. Bu ikinci kademeye başvurabilmek için öncelikle söz konusu veri aktarımının KVKK’da belirtilen yasal işleme şartlarından birine dayanması gerekir (örneğin kanuni bir yükümlülük, sözleşmenin ifası, meşru menfaat gibi veri işlemenin dayanağı olmalıdır). Ayrıca ilgili kişinin, verilerin gideceği ülkede kendi haklarını kullanabilme ve etkili hukuki yollara başvurabilme imkânının bulunması şart koşulmuştur. Bu önemli bir noktadır; yani kâğıt üzerinde bir güvencenin varlığı yetmez, pratikte de kişinin dış ülkede hak arayabileceği bir ortam olmalıdır. Bu şart, şirketlerin veri göndermeyi planladıkları ülkenin hukuk düzenini göz önünde bulundurmasını gerektirir (tıpkı GDPR kapsamında uygulanan “aktarımı etkileyecek yabancı mevzuat değerlendirmesi”, diğer adıyla transfer etkisi değerlendirmesi (TIA) gibi bir yaklaşım benimsenmiştir).

      Yukarıdaki şartlar sağlandığında, Kurul tarafından öngörülen aşağıdaki dört uygun güvence yönteminden biri uygulanarak veri aktarımı yapılabilir:

          • Kamu Kurumları Arası Sözleşmeler: Türkiye’deki kamu kurum ve kuruluşları (veya kamu kurumu niteliğindeki meslek kuruluşları) ile yabancı bir ülkenin kamu otoriteleri veya uluslararası kuruluşları arasında imzalanan ve veri korumaya ilişkin hükümler içeren özel anlaşmalar, Kurul’un izniyle bir uygun güvence yöntemi sayılmaktadır. Burada bahsedilen anlaşma, klasik bir uluslararası antlaşma statüsünde olmayıp idari iş birliği sözleşmesi niteliğindedir. Yönetmelik, böyle bir anlaşmada bulunması gereken asgari unsurları detaylandırmıştır: aktarımın amacı, kapsamı, alınacak güvenlik tedbirleri, ilgili kişilerin haklarının korunması ve denetim mekanizmaları gibi hususlar mutlaka düzenlenmelidir. Bu yöntem kamu kurumlarının veya düzenleyici otoritelerin yurtdışı muadilleriyle yapacağı veri paylaşımlarında devreye girebilir. Anlaşmanın uygulanabilmesi için Kurul’dan önceden izin almak şarttır; ilgili kamu kurumu, hazırlanan metni Kurul’a sunup onay almalı, ancak onaydan sonra veriyi aktarmaya başlamalıdır.

          • Bağlayıcı Şirket Kuralları (BŞK/BCR): Çok uluslu şirket grupları içinde, grup içi veri aktarımlarını kolaylaştırmak amacıyla geliştirilen BCR’lar, yeni düzenlemede açıkça uygun bir güvence olarak tanınmıştır. Bağlayıcı Şirket Kuralları, aynı ekonomik bütünlük içindeki farklı ülkelerde yerleşik şirketlerin benimsediği ve uymakla yükümlü olduğu veri koruma kuralları bütünüdür. Bu kurallar, grubun tüm üyeleri bakımından hukuken bağlayıcı olmalı; ilgili kişilere karşı uygulanabilir haklar tanımalı ve veri güvenliğine dair taahhütler içermelidir. Bir şirket grubu, BCR metnini hazırlayıp Kurul’a onay için başvurduktan ve Kurul onayını aldıktan sonra, BCR kapsamındaki şirketler arasında Türkiye’den yurtdışına veri aktarımı yapabilir hale gelecektir. Kurum, 10 Temmuz 2024’te BCR başvuruları için gerekli formları ve rehberleri yayınlayarak şirketlere bu süreçte yol göstermiştir. BCR’lar özellikle düzenli olarak çok sayıda ülkeye veri aktaran büyük ölçekli şirketler için avantajlı bir mekanizma olarak değerlendirilmektedir; zira tek seferlik bir onayla birden fazla ülkeye tekrar eden aktarımlar gerçekleştirilebilir.

          • Standart Sözleşmeler (SCC – Standart Çerçeve Sözleşmeler): En dikkat çeken yeniliklerden biri, standart sözleşme hükümlerinin Türk sistemine entegre edilmiş olmasıdır. GDPR ile hayatımıza giren Standard Contractual Clauses (SCC) benzeri bu mekanizma sayesinde, veri sorumlusu veya veri işleyenlerin Kurul tarafından hazırlanmış standart sözleşme metinlerini aynen kullanarak yapacağı veri transferlerinde ayrıca Kurul izni aranmamaktadır. 10 Temmuz 2024’te Kurumun duyurduğu dört adet standart sözleşme şablonu, farklı aktarım senaryolarına (veri sorumlusu ve veri işleyen kombinasyonlarına) göre hazırlandı. Bu sözleşmeler, kişisel veri aktarımının detaylarını düzenleyen maddeler içeriyor: aktarılacak veri kategorileri, aktarım amaçları, *veri alıcılarının türü, alıcı tarafın uygulayacağı teknik ve idari tedbirler, özel nitelikli veriler varsa bunlara yönelik ek önlemler gibi kritik hususlar standart metinlerde tanımlanmış durumda. Standart sözleşme yoluyla aktarım yapmak isteyen şirketlerin, Kurulun yayımladığı metni hiçbir değişiklik yapmaksızın taraflar arasında imzalaması gerekiyor. Sözleşmenin dili Türkçe olmalı (yabancı dil versiyonu hazırlanabilir ancak resmi olarak Türkçe metin esas kabul ediliyor). Önemle vurgulanan bir yükümlülük de, imzaların tamamlanmasını takiben en geç 5 iş günü içinde imzalanan standart sözleşmenin bir örneğinin Kurum’a bildirilmesidir. Bildirim, fiziken doküman gönderimiyle veya kayıtlı elektronik posta (KEP) yoluyla ya da Kurum’un belirleyebileceği diğer yöntemlerle yapılabilir. Bildirim yapılırken, sözleşmeyi imzalayan tarafların temsil yetkisini gösterir belgeler ve eğer imzalanan belgeler arasında yabancı dilde metinler varsa bunların noter onaylı Türkçe tercümeleri de Kurum’a sunulmalıdır. Standart sözleşme kullanımı sırasında taraflar, Kurum’a bildirim yapma yükümlülüğünün kimin sorumluluğunda olacağını kendi aralarında kararlaştırabilir; eğer sözleşmede bu konuda bir belirleme yoksa varsayılan olarak veri aktaran taraf bildirimi yapmakla yükümlü olacaktır. İlerleyen süreçte sözleşme taraflarında değişiklik olması, sözleşme içeriğine dair tarafların ek bilgi/açıklama değişiklikleri yapması veya sözleşmenin sona ermesi gibi durumlar oluşursa, bunların da 5 iş günü içinde tekrar Kurum’a bildirilmesi mecburidir. Kurul’un yayınladığı standart metinlerde herhangi bir değişiklik yapılması veya sözleşmenin taraflarca usulüne uygun imzalanmaması halinde, bu yönteme uygun yapılmayan transferler KVKK hükümleri çerçevesinde incelenebilir (yani mevzuata aykırı işlem sayılabilir). Tüm bu şartlar sağlandığında, standart sözleşmelerle yapılan veri aktarımları için ayrıca bir izin alınmasına gerek kalmamakta, bu da şirketler için pratik ve hızlı bir çözüm sunmaktadır. Nitekim Kurum, standart sözleşme yönteminin yeni dönemde en sık tercih edilecek yöntem olacağını öngörmektedir. Özellikle özel sektörde, yurtdışındaki hizmet sağlayıcılarına (örneğin uluslararası bulut bilişim, CRM, pazarlama yazılımları vb.) kişisel veri aktaran şirketlerin, önceden aylar süren izin prosedürleri yerine artık Kurum’un hazırladığı bu sözleşmeleri imzalayıp bildirim yaparak vakit kaybı olmaksızın faaliyetlerini sürdürmesi beklenmektedir.

          • Özel Taahhütnameler: Standart sözleşmelerin kullanılamadığı veya uygun olmadığı istisnai durumlarda, veri aktarımının tarafları özel bir sözleşme/taahhütname hazırlayarak da uygun güvence sağlayabilirler. Bu yöntem aslında eski sistemdeki temel yoldu ve yeni düzenlemede de alternatif bir yöntem olarak korunmuştur. Tarafların hazırladığı taahhütname, kişisel verilerin korunmasına yönelik alınacak teknik ve idari tedbirleri, ilgili kişilerin haklarına saygıyı, verinin gittiği yerde tekrar başka bir yere aktarılmayacağına dair sınırlamaları, Kurul kararlarına uyum taahhüdünü vs. içermelidir. Yönetmelik’te taahhütnamelerde bulunması gereken asgari koşullar detaylı biçimde sayılmıştır. Hazırlanan taahhütname metni, Kurul onayına sunulmalı ve Kurul izin verirse veri aktarımına başlanmalıdır. Yani bu yöntemde eski usulde olduğu gibi önceden resmi izin mecburiyeti vardır. Taahhütnameli aktarım yolu, şirkete özel düzenlemeler veya standart sözleşmeye sığmayan daha kompleks durumlar için bir esneklik sunabilir. Ancak uygulamada bu yolun dezavantajı, izin sürecinin zaman alıcı olması ve Kurul’un değerlendirmesine bağlı belirsizlikler içermesidir. Bu nedenle, standart sözleşme imkanı varken çoğu şirketin taahhütname yöntemine başvurma gereği kalmayacaktır. Yine de örneğin birden fazla tarafın dahil olduğu karmaşık veri transferlerinde veya standart metne ek hükümler eklemeyi zaruri gören durumlarda, şirketler taahhütname yoluyla Kurul’a başvurup onay alma seçeneğine sahiptir.

        3. İstisnai Durumlar (Arızi Haller)

        Yeni sistemin üçüncü ve son aşaması, istisnai haller olarak adlandırılan özel durumları kapsar. Bu aşama, ne bir yeterlilik kararı bulunan ne de uygun güvenceler sağlanabilen ancak veri aktarımının zorunlu ve kaçınılmaz olduğu durumlar için devreye girer. KVKK ve Yönetmelik, bu tür durumlarda “arızi aktarım” yollarının kullanılabileceğini düzenlemiştir. Arızi terimi, burada sehrekaz anlamda değil “olağan dışı ve tek seferlik” anlamında kullanılıyor. Nitekim Yönetmelik’e göre arızi (istisnai) aktarım, “düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan” aktarım demektir. Yani bu istisnai gerekçelere dayanılarak yapılan bir veri aktarımı, sürekli bir işlem haline gelmemelidir. Aksi takdirde, istisnaya dayanan aktarım yolu kötüye kullanılmış sayılır ve mevzuata aykırı duruma düşer.

        İstisnai veri aktarım halleri KVKK’da GDPR’ın 49. maddesindeki istisnalara benzer şekilde tek tek sayılmıştır. Şu durumlarda, yukarıda anlatılan hiçbir mekanizma yoksa bile, bir defaya mahsus veya çok nadiren olmak kaydıyla yurt dışına veri aktarımı yapılabilir:

            • İlgili kişinin açık rızası: Eğer veri konusu kişi (veri sahibi), olası riskler konusunda bilgilendirilmiş olması kaydıyla özgür iradesiyle açık rıza vermişse, verileri yurt dışına aktarılabilir. (Not: Bu rıza, her zamanki gibi belirli bir konuya özgü ve bilgilendirmeye dayalı olmalıdır. Uluslararası aktarım riski özel bir durum olduğu için, bu konuda ayrıntılı bilgilendirme yapılarak rıza alınması gerekir.)

            • Bir sözleşmenin ifası: Veri aktarımı, ilgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili ve gerekli ise gerçekleştirilebilir. Örneğin yurt dışında yerleşik bir şirketle ilgili kişinin akdettiği bir satış sözleşmesi gereği, teslimat için verinin o ülkeye aktarılması zorunlu olabilir.

            • Sözleşme öncesi önlemler: İlgili kişinin talebi üzerine, onunla yapılacak bir sözleşme öncesinde bazı adımlar atmak gerekiyorsa ve bu amaçla veri aktarımı gerekiyorsa, bu durum da istisna kapsamındadır. (Örneğin, yurt dışındaki bir eğitim kurumu ile burs başvurusu sürecinde öğrencinin verilerinin karşı tarafa iletilmesi.)

            • İlgili kişinin yararına sözleşme: Veri aktarımı, ilgili kişinin menfaatine olarak veri sorumlusu ile üçüncü bir taraf arasında kurulacak veya ifa edilecek bir sözleşme için zorunluysa yapılabilir. Burada ilgili kişi sözleşmeye doğrudan taraf değildir ama aktarım onun lehine bir sözleşme için gerekli olmaktadır (örneğin bir çalışanın yabancı ülkedeki bir sigorta poliçesinden faydalanması için veri gönderimi).

            • Kamu yararı: Aktarımın üstün bir kamu yararı için zorunlu olduğu haller de istisnalar arasındadır. Bu, toplumun genelini ilgilendiren acil veya önemli bir menfaat söz konusuysa verinin aktarılabileceği anlamına gelir (örn. uluslararası salgın hastalıkla mücadele kapsamında sağlık verilerinin paylaşımı gibi).

            • Bir hakkın tesisi veya korunması: Bir hakkın tesis edilmesi, kullanılması veya korunması için kişisel verilerin yurt dışına aktarılması zorunlu ise bu durum da müstesna tutulmuştur. Örneğin bir davada delil olarak sunmak üzere yurt dışındaki bir kuruluştan kişisel veri alınması ya da gönderilmesi gerekebilir.

            • Hayati tehlike (yaşam veya beden bütünlüğünün korunması): İlgili kişinin kendisinin ya da bir başkasının hayatını veya beden bütünlüğünü korumak için acilen veri aktarılması gerekiyorsa ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa (örneğin bilinçsiz durumda bir hastanın yurt dışına sevki için tıbbi bilgilerinin paylaşımı gibi acil durumlar), veri aktarımı yapılabilir.

            • Açık kaynak siciller: Son olarak, kamuya açık bir sicilden veya sadece meşru menfaati bulunan kişilere açık bir sicilden alınan veriler, eğer ilgili mevzuatta öngörülen erişim koşullarına uyularak ve talep eden kişinin de o sicilden veriyi istemekte meşru menfaati bulunması kaydıyla, yurt dışına aktarılabilir. (Örneğin yurtdışından bir alacak tahsilatı için Türkiye’deki ticaret sicilinden alınan kayıtların paylaşılması gibi bir senaryo.)

          Yukarıdaki istisnai hallerde, Kurul izni aranmamaktadır. Şirketler veya kurumlar, bu durumlarla karşılaştıklarında veri aktarımını doğrudan gerçekleştirebilirler. Ancak tekrar vurgulamak gerekir ki, bu tür aktarım senaryoları olağan dışı, tekil ve süreklilik göstermeyen nitelikte olmalıdır. Eğer bir şirketin faaliyeti gereği düzenli olarak yurt dışına veri aktarımı yapması gerekiyorsa, bunu istisnalar kapsamında her seferinde açık rıza alarak yapmak artık kabul edilebilir bir yöntem değildir. Düzenli veri aktarımı, arızi (istisnai) aktarım sayılmaz. Örneğin her ay yüzlerce müşteri verisini yurtdışına gönderen bir şirketin her seferinde açık rızaya dayanması, yeni sistemin ruhuna aykırı olacaktır. Bu şirket, uygun olan bir güvence yöntemine geçmeli (örneğin karşı tarafla standart sözleşme imzalamalı) veya mümkünse Kurul’dan bir defaya mahsus izin alarak durumu kalıcı çözüme kavuşturmalıdır.

          2025 Rehberi ile Gelen Açıklamalar ve Uyum Adımları

          Kanun ve yönetmelik değişikliklerinin ardından uygulamada ortaya çıkabilecek soruları yanıtlamak ve şirketlere yol göstermek amacıyla, Ocak 2025’te Kişisel Verileri Koruma Kurumu tarafından “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi” yayımlandı. Bu Rehber, yeni aktarım sistematiğinin pratikte nasıl işleyeceğine dair bir kılavuz niteliği taşımaktadır. Rehberin yayınlanmasıyla birlikte, yurt dışı veri aktarımına ilişkin usul ve esaslar çok daha belirgin hale gelmiştir. Mevzuat ve Rehber bir arada değerlendirildiğinde, Türkiye’den yurtdışına hukuka uygun şekilde kişisel veri aktarımı için net bir yol haritası çizilmiş oldu.

          Rehber öncelikle, kavramsal olarak hangi durumların “yurt dışına kişisel veri aktarımı” sayılacağını tanımlamış ve somut örneklerle açıklamıştır. Örneğin Rehber’e göre, eğer Türkiye’de yerleşik bir veri sorumlusu veya işleyen, kontrolündeki kişisel verileri doğrudan yabancı bir tarafa iletiyor veya o yabancı tarafın erişimine sunuyorsa, bu bir yurtdışı aktarım faaliyetidir. Aksi durumda – örneğin veri Türkiye’de barındırılıyor ve yurt dışından sadece uzaktan erişim sağlanıyor, fakat erişen taraf da KVKK’ya tabiyse – teknik olarak yurtdışı aktarımı sayılmayabilecek senaryolar olabileceğine değinilmiştir. Rehber’in bu gibi tanımlamaları, şirketlerin hangi işlemlerinin yurtdışına aktarım kapsamına girdiğini netleştirmesi açısından önemlidir. Zira ortada gerçek anlamda bir yurtdışı aktarım yoksa, yukarıda sayılan ek yükümlülüklerin doğmayacağı belirtilmiştir. Bu da, örneğin yurt dışındaki grup şirketinin Türkiye’deki sistemlere uzaktan erişiminin mi yoksa verinin fiilen yurtdışına kopyalanmasının mı aktarım sayılacağı gibi konularda tereddütleri gidermektedir.

          Rehber, temel olarak yeni yasal çerçeveyi detaylandırmakta ve hangi durumda hangi yöntemin kullanılabileceğine dair yol göstermektedir. Özellikle, uygulamada en çok merak edilen konu olan standart sözleşmelerin hazırlanması ve imzalanması süreci, Rehber’de somut örneklerle açıklanmıştır. Örneğin, standart sözleşme imzalarken nelere dikkat edilmesi gerektiği (taraf bilgilerinin tam yazılması, yetkili imzaların olması, sözleşmenin eklerinin doğru doldurulması vb.) adım adım anlatılmıştır. Hatta Rehber yayımlandıktan kısa süre sonra Kurum, şirketlerin sıkça yaptığı hataları önlemek için bir kamuoyu duyurusu bile yayımladı. Bu duyuruda, standart sözleşmeyi imzalayanların gerçekten yetkili olup olmadığının kontrolü, taraf isim/ünvan bilgilerinin eksiksiz yazılması, yabancı dilde metin varsa tercümelerin eklenmesi gibi pratik hususlar yeniden hatırlatıldı. Bu durum, birçok şirketin yeni prosedürleri uygularken başlangıçta bazı hatalar yaptığını, ancak Kurum’un da bunları düzeltmeye yönelik şeffaf bir iletişim yürüttüğünü göstermektedir.

          Rehber aynı zamanda, veri sorumlularının ve veri işleyenlerin uyum sürecinde atmaları gereken adımlar konusunda da yol gösteriyor. Özellikle standart sözleşmelerin ne zaman tercih edilmesi gerektiği, BCR onayı için nasıl başvuru yapılacağı, taahhütname yolunun hangi hallerde düşünülebileceği gibi konularda Rehber’de çeşitli senaryolar ele alınmış durumda. Ayrıca Rehber’de, yeni sistemle sunulan mekanizmaların daha öngörülebilir hale geldiği vurgulanırken, teknoloji ve iş ihtiyaçlarının hızla geliştiği günümüzde uygulamada ortaya çıkabilecek yeni durumlara karşı Rehber’in de gerektiğinde güncelleneceği belirtilmiştir. Gerçekten de Rehber’in önsözünde, uygulama deneyimleri ışığında zamanla gözden geçirileceği ve ihtiyaç halinde güncelleneceği ifade ediliyor. Bu da, ileride uygulamadan doğacak ihtiyaçlara göre gerek Rehber’de gerekirse mevzuatta yeni düzenlemelerin yapılabileceğine işaret ediyor.

          Şirketler açısından, Rehber’in mesajı nettir: Artık yurt dışına veri aktarımı süreçleri hem esnemiş hem de netleşmiştir. Ancak bu esnekliğin sağlıklı işlemesi için, sunulan opsiyonların doğru kullanılması ve yükümlülüklerin eksiksiz yerine getirilmesi gerekmektedir. Örneğin, bir şirket düzenli veri transferleri için açık rıza yerine standart sözleşme kullanmalı; sözleşmeyi imzaladıktan sonra 5 gün içinde Kurum’a bildirmeyi unutmamalıdır. Yine bir grup şirket, sürekli veri akışı için her seferinde ayrı ayrı işlem yapmak yerine bir defa BCR onayı alarak işini kolaylaştırabilir. Rehber, bu gibi kararları verirken şirketlerin nelere dikkat etmesi gerektiğini ortaya koymuştur. Son tahlilde, 2024’teki yasa değişikliği ile şirketlere sunulan yeni aktarım mekanizmaları, Rehber sayesinde uygulamada somut örneklerle desteklenmiş ve bazı soru işaretleri giderilmiştir. Bu sayede veri sorumluları, yeni sisteme uyum sağlarken daha emin adımlarla ilerleyebileceklerdir.

          Yabancı Doktrin ve Yüksek Mahkeme Kararlarının Etkisi

          Türkiye’deki yurt dışı veri aktarımı rejiminin dönüşümü, küresel ölçekte veri koruma alanındaki gelişmelerden bağımsız düşünülemez. Nitekim getirilen yeterlilik kararı, standart sözleşmeler, BCR gibi kavramlar, doğrudan Avrupa Birliği GDPR sistematiğinden esinlenilerek mevzuata kazandırılmıştır. Bu bağlamda, yabancı doktrindeki görüşler ve önemli mahkeme kararları Türkiye’deki düzenlemelerin şekillenmesine ışık tutmuştur. Özellikle Avrupa’daki yasal ve yargısal gelişmeler, uluslararası veri transferlerinde evrensel prensiplerin oluşmasını sağlamıştır.

          En dikkat çekici örneklerden biri, Avrupa Birliği Adalet Divanı’nın (ABAD) uluslararası veri transferlerine ilişkin verdiği kritik kararlardır. Schrems II kararı olarak bilinen, 16 Temmuz 2020 tarihli ABAD kararı, hem AB’de hem de dünya genelinde ses getirmiştir. Bu kararla AB ile ABD arasındaki veri transferlerini kolaylaştıran “Privacy Shield” adlı yeterlilik mekanizması, ABD’nin gözetim yasalarının Avrupa’daki mahremiyet standartlarına uygun düzeyde koruma sağlamadığı gerekçesiyle iptal edilmiştir. Mahkeme, ABD istihbarat kurumlarının Avrupa vatandaşlarının verilerine erişimine dair kapsamlı yetkileri olduğunu ve bu kişiler için ABD’de etkili bir hukuki başvuru yolu bulunmadığını tespit etmiştir. Schrems II kararı, uluslararası veri aktarımında temel hakların korunmasının ne kadar kritik olduğunu ortaya koymuştur.

          Bu karar aynı zamanda AB içinde uzun süredir kullanılan Standart Sözleşme Maddeleri (SCC) için de bazı koşullar getirmiştir. Mahkeme, SCC’lerin tek başına yeterli olmayabileceğini, veri ihracatçılarının her bir aktarıma özel olarak hedef ülkenin durumunu değerlendirip gerekirse ek tedbirler (şifreleme, anonimleştirme, ek sözleşmesel güvenceler vb.) alması gerektiğini vurgulamıştır. Yani bir nevi, transfer risk değerlendirmesi yapılmasını zorunlu hale getirmiştir. Bu gelişme, çok uluslu şirketlerin veri koruma uygulamalarını gözden geçirmesine ve uyum süreçlerini daha titiz şekilde ele almasına yol açtı. Sonuç olarak Schrems II, uluslararası veri transferleri alanında bir dönüm noktası sayılmakta ve tüm dünya çapında düzenleyici otoritelerin yaklaşımını etkilemektedir.

          Türkiye özelinde değerlendirirsek, Schrems II kararının dolaylı etkileri olduğunu söyleyebiliriz. Esasen Türkiye-ABD arasında Privacy Shield benzeri bir anlaşma yoktu; ancak kararın ortaya koyduğu ilkeler Türk şirketlerinin de dikkatini çekti. Özellikle Avrupa’dan Türkiye’ye veri aktaran şirketler, bu karar sonrası Türkiye’yi “güvenli ülke” kategorisine alabilmek için kendi iç değerlendirmelerini yapmaya başladılar. Ayrıca Türkiye’den ABD’ye veya benzer şekilde güçlü veri koruma yasaları olmayan ülkelere veri aktaran firmalar, ek güvenlik önlemleri almaları gerektiğinin farkına vardılar. Örneğin, bulut hizmet sağlayıcıları ABD’de olan Türk şirketleri, ilettikleri verilerin ABD’deki otoritelerce incelenme riskine karşı şifreleme gibi teknik tedbirler uygulamaya yöneldiler.

          Yabancı doktrin, genel olarak uluslararası veri transferlerinde “gözetim yasaları – mahremiyet dengesi” tartışmasına dikkat çekmektedir. Birçok uzman, sadece kağıt üzerindeki sözleşmelerin yeterli olmayabileceğini, önemli olanın pratikte verinin gittiği ülkede de korunması olduğunu belirtmektedir. Bu yüzden hem AB hem de diğer ülkelerde, veri ihraç eden şirketlere kendi sorumluluklarını hatırlatan yaklaşımlar gelişmiştir. Nitekim Avrupa Komisyonu, Schrems II sonrası yeni SCC metinleri yayımlarken, şirketlerin alıcı ülke hukukunu analiz etmelerini ve raporlamalarını şart koşmuştur. Aynı bakış açısı, Türk hukukunda da “ilgili kişinin haklarını kullanabileceği ve etkin yargı yoluna sahip olduğu ülke” şartı olarak karşımıza çıkıyor. Bu şart, esasında Türkiye’nin de “yeterli koruma” standardını bir anlamda her transfer bazında aradığını gösteriyor.

          Öte yandan, ABD ile AB arasında Privacy Shield’ın iptalinin ardından 2023 yılında Trans-Atlantic Data Privacy Framework adıyla yeni bir yeterlilik anlaşması yapıldı ve AB Komisyonu ABD için yeniden olumlu bir karar aldı. Ancak bu yeni mekanizma da yine yargısal denetime tabi olacak ve muhtemelen Schrems III tartışmalarıyla karşılaşacak. Bu dinamik ortam, uluslararası veri transferi kurallarının sürekli evrim halinde olduğunu ortaya koyuyor. Yerli ve yabancı doktrinde yaygın kanı, ülkelerin mevzuatlarını giderek ortak standartlarda buluşturmaya çalıştığı yönündedir. Türkiye’nin 2024 değişiklikleri de bu çerçevede değerlendiriliyor: Uzmanlar, Türkiye’nin GDPR ile büyük ölçüde paralel bir yapıya geçmesini memnuniyetle karşılamakta ve bunun uluslararası ticaret için olumlu bir adım olduğunu vurgulamaktadır. Artık Türkiye’deki şirketler, AB’de olduğu gibi standart sözleşmeler ve BCR gibi araçları kullanarak veri aktarabilecek, bu da onları küresel rekabette daha rahatlatacaktır. Ayrıca ileride Türkiye ile AB arasında veya diğer ülkeler arasında karşılıklı yeterlilik kararları alma ihtimali de bu uyum sayesinde artabilir. Örneğin, Türkiye’nin Avrupa Konseyi’nin 108 sayılı sözleşmesine taraf olması ve şimdi de GDPR’a benzer bir mekanizmayı benimsemesi, AB nezdinde olumlu bir sinyal olarak görülmektedir.

          Son olarak, uluslararası doktrinde vurgulanan bir diğer konu da denetim ve yaptırım boyutudur. Yasal çerçeve ne kadar uyumlu hale getirilirse getirilsin, önemli olanın bu kuralların etkin şekilde uygulanması olduğu belirtilir. Avrupa’da GDPR ihlallerine karşı yüksek cezalar verildiği biliniyor. Türkiye’de de KVKK ihlallerine yönelik ciddi idari yaptırımlar mevcuttur. Özellikle yurt dışına usulsüz veri aktarımı, kanun kapsamında ağır cezalara tabi kılınmıştır. 2025 yılı itibarıyla KVKK’da öngörülen idari para cezaları, ihlalin niteliğine göre yaklaşık 72 bin TL’den 1 milyon 440 bin TL’ye kadar çıkabilmektedir. Kurul, gerekli gördüğü hallerde veri işleme faaliyetlerini durdurma kararı da alabilmektedir. Bu nedenle, şirketlerin yeni dönemde sunulan esneklikleri kullanırken kurallara harfiyen uyması son derece önemlidir.

          Netice ve Tavsiyeler

          Yurt dışına veri aktarımında yeni dönem, Türkiye’de faaliyet gösteren KOBİ’lerden büyük ölçekli şirketlere kadar tüm işletmeler için hem fırsatlar hem de sorumluluklar getirmektedir. 2024’te yürürlüğe giren değişikliklerle, uzun süredir eleştirilen açık rızaya dayalı aktarım zorunluluğu yerini dünya standartlarına uygun alternatiflere bırakmıştır. Bu sayede, şirketler bir yandan global hizmetleri ve bulut çözümlerini daha rahat kullanabilir hale gelirken, diğer yandan veri güvenliği konusunda daha hesap verebilir ve denetlenebilir bir yapıya kavuşmuştur. Yeterlilik kararı ve uygun güvence seçeneklerinin çoğalması, uluslararası veri akışının önündeki bürokratik engelleri önemli ölçüde azaltmıştır.

          Bununla birlikte, yeni sistemin başarıya ulaşması büyük ölçüde şirketlerin uyum çabalarına bağlı olacaktır. Her işletme, kendi veri akışlarını gözden geçirerek yurtdışına aktardığı kişisel veriler için en uygun mekanizmayı belirlemelidir. Sürekli ve büyük çaplı transferler yapanlar için standart sözleşmeler neredeyse vazgeçilmez bir araç olacaktır. Grup şirketleri, BCR başvurusuyla uzun vadeli bir çözüm düşünebilir. Kamu kurumları, kardeş kuruluşlarla uluslararası anlaşmalar yapma seçeneğine sahip olduklarını unutmamalıdır. Elde olmayan nedenlerle tek seferlik veri paylaşımı gereken durumlarda ise istisnai haller can simidi görevi görecektir – fakat bunun bir istisna olduğu ve süreklilik kazanmaması gerektiği akılda tutulmalıdır.

          Şirketlerin ayrıca dokümantasyon ve raporlama yükümlülüklerine de özen göstermesi gerekir. KVKK ve ilgili yönetmelik, veri envanteri tutulmasını, süreçlerin kayıt altına alınmasını ve Kurum’a gereken bildirimlerin zamanında yapılmasını şart koşuyor. Yeni dönemde bir şirket yurt dışına veri aktarmaya başlamadan önce, sırasıyla yeterli ülke listesine bakmalı (yoksa), uygun güvence yöntemlerinden birini seçmeli, bunun gereğini (sözleşme, başvuru vs.) yerine getirmeli; hiçbiri olmuyorsa istisnai hallerden birine dayanıp dayanmadığını değerlendirmelidir. Bu değerlendirme süreci iç kontrol mekanizmalarıyla desteklenmeli, mümkünse bir iç politika veya prosedür belgesi hazırlanmalıdır. Rehber’de açıklandığı üzere, bir aktarımın hangi kategoriye girdiğini belirlemek kritik önem taşır; zira yanlış sınıflandırma, ya gereksiz yere zor yollara başvurmaya ya da tersine gerekli önlemi almadan veri göndermeye sebep olabilir.

          Unutulmamalıdır ki, kişisel verilerin korunması uluslararası alanda gittikçe daha fazla önem kazanıyor ve ülkeler arası veri trafiği ancak ortak değerlere uygun şekilde yürütülürse sürdürülebilir oluyor. Türkiye, 2024/2025’te attığı adımlarla bu alanda güçlü bir uyum iradesi göstermiştir. Bu yeni dönemde şirketler de farkındalıklarını artırarak ve gereken yatırımı yaparak hem kanuna uyumu sağlayabilir, hem de uluslararası arenada veri transferi engellerinden kurtulmuş olmanın avantajını yaşayabilirler. Sonuç olarak, yeni veri aktarım rejimi işletmeler için bir yük olmaktan ziyade doğru uygulandığında bir kolaylaştırıcı olacaktır. Kurallara uygun hareket eden, sözleşmelerini ve izinlerini düzgün yöneten şirketler, global pazarda rekabet ederken veri gizliliği konusunda da güven veren aktörler haline gelecektir. Bu da uzun vadede hem şirket itibarını koruyacak hem de müşteri ve iş ortaklarının güvenini pekiştirecektir.

          Kaynakça

          Türkiye (KVKK ve ikincil düzenlemeler)

            Avrupa Birliği (GDPR ve yargı/içtihat)

                • GDPR – Regulation (EU) 2016/679 (tam metin, EUR-Lex). EUR-Lex

                • SCC’ler hakkında Komisyon Uygulama Kararı (EU) 2021/914. EUR-Lex

                • ABAD “Schrems II” (C-311/18, 16.07.2020) – Privacy Shield’ın iptali ve aktarım araçlarına ek tedbir vurgusu. EUR-Lex

                • EDPB Tavsiyeleri 01/2020 (aktarımı tamamlayıcı tedbirler – nihai sürüm 18.06.2021). edpb.europa.eu

                • EU-U.S. Data Privacy Framework yeterlilik kararı (EU) 2023/1795. EUR-Lex

              Avrupa Konseyi (uluslararası çerçeve)

                  • Sözleşme 108 – Kişisel verilerin otomatik işlenmesine ilişkin sözleşme. Portal

                  • Modernize Sözleşme 108+ (özet ve ana değişiklikler). Portal

                4 Comments

                1. Brady

                  Thanks for sharing such a pleasant idea, post is pleasant,
                  thats why i have read it fully

                  Yanıtla

                2. Dominique

                  This is a very good tip particularly to those fresh to the
                  blogosphere. Short but very precise information… Thanks for sharing this one.
                  A must read post!

                  Yanıtla

                  • Admin

                    Thank you for your kind comment; I hope you find the article helpful.

                    Yanıtla

                Yorum Yazın

                Nunc velit metus, volutpat elementum euismod eget, cursus nec nunc.