Yurt Dışına Veri Aktarımı: KVKK m.9 ve Güvence Mekanizmaları
6698 sayılı KVKK m.9 kapsamında kişisel verilerin yurt dışına aktarım şartları, yeterlilik kararı, standart sözleşme ve alınan güvenceler.
KVKK m.9 — yurt dışına aktarım neden ayrı düzenleniyor?
6698 sayılı KVKK m.9 uyarınca kişisel veriler, kural olarak yurt dışına aktarılamaz. Ancak belirli güvence mekanizmalarının varlığı hâlinde aktarım mümkündür.
Düzenlemenin amacı: Türkiye'de toplanan verilerin, Türk hukukunun sağladığı koruma düzeyinin altında güvence sunan ülkelere aktarılmasını engellemek.
Dijital dünyada yurt dışı aktarım son derece yaygındır:
- Bulut hizmetleri (AWS, Azure, Google Cloud),
- CRM ve ERP yazılımları (Salesforce, SAP),
- E-posta ve iletişim araçları (Microsoft 365, Slack),
- Sosyal medya ve reklam platformları (Meta, Google Ads),
- İşe alım platformları (LinkedIn, Workday).
Aktarım şartları — KVKK m.9
Yurt dışı aktarım için iki temel koşuldan biri sağlanmalıdır:
1. Yeterlilik kararı
Kurul, kişisel verilerin yeterli düzeyde koruma sağlayan ülkelere aktarılmasına izin verir. Ancak Türkiye'nin yeterlilik kararı verdiği ülkeler listesi henüz son derece sınırlıdır. Aktarılacak ülke listede yoksa ikinci yola geçilir.
2. Uygun güvenceler
Yeterlilik kararı yoksa şu güvencelerden biri sağlanmalıdır:
| Güvence Mekanizması | Açıklama |
|---|---|
| Standart sözleşme (Kurul onaylı) | Türkiye'deki veri sorumlusu ile yurt dışındaki alıcı arasında Kurul'un belirlediği standart maddeleri içeren sözleşme |
| Taahhütname | Yurt dışındaki alıcının yeterli koruma sağlayacağını taahhüt etmesi |
| Bağlayıcı şirket kuralları (BCR) | Çok uluslu şirketlerde grup içi aktarım standartları |
| Açık rıza | Veri sahibinin bilgilendirilmiş ve gönüllü onayı (en zayıf güvence) |
2024 güncellemesi — standart sözleşme zorunluluğu
Kurul, 2024 yılı itibarıyla yurt dışı aktarımların büyük çoğunluğu için standart sözleşme mekanizmasını zorunlu hâle getirdi. Bu sözleşmeler:
- Kurul'un yayımladığı standart maddeler temel alınarak hazırlanır,
- Türkçe ve aktarılan ülkenin dilinde düzenlenebilir,
- Alıcı kuruluş tarafından imzalanarak Türkiye'deki veri sorumlusuna iletilir.
GDPR kapsamındaki "Standart Sözleşme Maddeleri (SCCs)" ile yapısal benzerlik taşır.
Bulut hizmeti kullanımında yurt dışı aktarım
Bulut hizmeti kullanan her şirket, pratikte yurt dışı aktarım gerçekleştirir:
- AWS ve Azure sunucuları Avrupa'da barındırılıyor → AB ülkelerine aktarım,
- Google Workspace → ABD merkezli aktarım.
Bu aktarımların yasal dayanağı olmadan yapılması KVKK ihlali doğurabilir. Çözüm:
- Bulut sağlayıcısının sunduğu DPA (Veri İşleme Sözleşmesi) ve ek standart maddeleri gözden geçirmek,
- Türkiye'ye özel güvence mekanizması için sağlayıcıyla müzakere etmek veya mevcut belgelerden yararlanmak.
Özel nitelikli verilerin yurt dışı aktarımı
Özel nitelikli kişisel veriler (sağlık, biyometrik, din vb.) yurt dışına aktarılacaksa:
- Hem KVKK m.9 güvence şartı hem de m.6 özel nitelikli veri işleme koşulları birlikte sağlanmalı,
- Kurul'un bu konudaki kararlarına özellikle dikkat edilmeli.
Aktarım kaydı zorunluluğu
VERBİS kaydında yurt dışı aktarım faaliyetleri ayrıca belirtilmeli:
- Aktarım yapılan ülke/kuruluş,
- Kullanılan güvence mekanizması,
- Aktarılan veri kategorileri.
Bu kayıt, Kurul denetiminde aktarımların belgelenmiş olmasını sağlar.
İhlal yaptırımları
Yurt dışı aktarım kurallarını ihlal eden veri sorumlusuna KVKK m.18 kapsamında:
- 1.951.534 TL – 9.757.677 TL idari para cezası (2024),
- Aktarımın durdurulması kararı.
Kurul, yurt dışı aktarımla ilgili şikâyetleri aktif biçimde takip etmektedir.
GDPR ile karşılaştırma
| Konu | KVKK | GDPR |
|---|---|---|
| Yeterlilik kararı | Kurul tarafından verilir | Avrupa Komisyonu verir |
| Standart sözleşme | Kurul maddeleri | AB SCCs |
| BCR onayı | Kurul onaylar | DPA onaylar |
| Açık rıza güvencesi | Var ama zayıf | Var ama kısıtlı kullanılmalı |
AB'de yerleşik şirketlerle çalışan Türk şirketleri çoğunlukla hem KVKK hem GDPR gerekliliklerini karşılamak zorundadır.
Pratik kontrol listesi
| Kontrol | Durum |
|---|---|
| Hangi hizmetlerin yurt dışı aktarım yaptığı tespit edildi mi? | Zorunlu |
| Her aktarım için güvence mekanizması belirlendi mi? | Zorunlu |
| Bulut sağlayıcılarıyla standart sözleşme imzalandı mı? | Zorunlu |
| VERBİS kaydında yurt dışı aktarımlar belirtildi mi? | Zorunlu |
| Alıcı ülkenin güvence durumu izleniyor mu? | Zorunlu |
Sık yapılan 5 hata
1. Bulut hizmetinin otomatik KVKK uyumlu olduğunu varsaymak — GDPR uyumlu sertifika, KVKK uyumunu garanti etmez; ayrı değerlendirme şart.
2. Sadece açık rızayı güvence olarak kullanmak — açık rıza her an geri alınabilir; rıza geri çekilince aktarım için başka dayanak yoksa ihlal doğar.
3. Çalışan verileri için yurt dışı aktarımı gözden kaçırmak — insan kaynakları sistemleri ve bordro yazılımları yurt dışı sunucularda çalışıyorsa bu da aktarım sayılır.
4. Standart sözleşmeleri güncel tutmamak — Kurul standart maddeleri güncellediğinde mevcut sözleşmelerin de revize edilmesi gerekebilir.
5. Alt yüklenicilerin yurt dışı aktarımını kontrol etmemek — Türkiye'deki bir veri işleyen, işlediği verileri başka bir ülkedeki alt yükleniciye aktarıyorsa bu da veri sorumlusunu etkiler.
Kapanış
Yurt dışı veri aktarımı, KVKK'nın en sık ihlal edilen ve en az anlaşılan alanlarından biridir. Özellikle bulut hizmetleri ve uluslararası yazılım kullanımı, fark edilmeden yasa dışı aktarımlara yol açabilir. Standart sözleşmeler ve VERBİS kaydının güncel tutulması, bu riskin yönetilmesinin temel araçlarıdır. Avukatın görevi şirketin tüm veri akış haritasını çıkarmak ve her aktarım için uygun güvenceyi sağlamaktır.
KVKK alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.