KVKK’ya Göre Kişisel Verilerin Aktarılması Şartları ve Yurtdışı Aktarım Kuralları
KVKK’ya göre kişisel verilerin aktarılması, verilerin yalnızca işlenmesi değil; başka bir gerçek veya tüzel kişiye iletilmesi, erişime açılması, paylaşılması veya başka bir veri sorumlusuna devredilmesi gibi işlemleri de kapsar. Bu nedenle aktarım süreçleri, kişisel verilerin korunması bakımından en riskli alanlardan biri olarak kabul edilir.
Kişisel verilerin aktarılmasında, KVKK’nın 5. ve 6. maddelerinde sayılan işleme şartlarından en az birinin bulunması ve özellikle özel nitelikli kişisel veriler ile yurtdışına veri aktarımı bakımından kanunda öngörülen ek güvencelerin sağlanması zorunludur. Aksi hâlde veri sorumluları, hem yüksek idari para cezaları hem de itibar kaybı riskiyle karşı karşıya kalabilir.
Temel kural: Aktarım için KVKK m.5 veya m.6’daki işleme şartlarından
en az birinin bulunması gerekir.
Özel nitelikli veriler: Kural olarak açık rıza, kanunda
öngörülen istisnai hâllerde ise ilave teknik ve idari tedbirlerle aktarım mümkündür.
Yurtdışı aktarım: Açık rıza, yeterli koruma bulunan ülkeler veya
Kurul tarafından onaylı yazılı taahhütler üzerinden yürütülmelidir.
Yükümlülük: Veri sorumluları, tüm aktarım süreçlerini KVKK’ya ve ikincil
düzenlemelere uygun şekilde tasarlamak ve belgelendirmek zorundadır.
1. Hukuki Çerçeve: KVKK m.5, m.6 ve Aktarım
Kişisel verilerin aktarılması, KVKK sistematiği içinde veri işleme faaliyetinin bir parçası olarak değerlendirilir. Bu nedenle bir aktarım yapılmadan önce, KVKK’nın 5. maddesindeki genel işleme şartları ile 6. maddesindeki özel nitelikli kişisel verilerin işlenme şartlarından en az birinin bulunması gerekir.
KVKK m.5 kapsamında, kişisel veriler kural olarak ilgili kişinin açık rızasına dayanarak işlenir; ancak aşağıdaki hallerde açık rıza aranmaksızın da işlenebilir ve aktarılabilir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rıza veremeyecek durumda bulunan kişinin veya başkasının hayatı ya da beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması.
Özel nitelikli kişisel veriler (sağlık, cinsel hayat, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, dernek/vakıf/sendika üyeliği vb.) için ise KVKK m.6’da çok daha sıkı şartlar öngörülmektedir. Bu verilerin aktarımı, kural olarak açık rıza ve kanunda sayılan istisnai durumlarla sınırlıdır.
2. Kişisel Verilerin Aktarılması Şartları Nelerdir?
Kişisel Verilerin Aktarılması Şartları çerçevesinde, kişisel verilerin üçüncü kişilere iletilmesi; KVKK’da öngörülen işleme hukuki sebeplerinden birinin bulunması ve bu işlemin amaçla bağlantılı, sınırlı ve ölçülü yürütülmesi şartına bağlıdır.
Kişisel verilerin işlenme ve aktarılma koşulları özetle şu şekilde sayılabilir:
- Açık rıza: İlgili kişinin, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızasının bulunması.
- Kanunda açıkça öngörülme: Verinin aktarımına ilişkin açık bir yasal düzenleme bulunması.
- Bir hakkın tesisi, kullanılması veya korunması: Örneğin bir uyuşmazlıkta delil oluşturmak amacıyla veri aktarımı.
- Fiili imkânsızlık hâli: İlgili kişinin rızasını veremeyecek durumda olması ve verinin aktarımının hayat veya beden bütünlüğünün korunması için zorunlu olması.
- Sözleşme ilişkisi: Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ve veri aktarımının zorunlu olması.
- Hukuki yükümlülük: Veri sorumlusunun kanuni bir yükümlülüğünü yerine getirmek için veriyi aktarmasının zorunlu olması.
- Alenileştirme: İlgili kişi tarafından kamuya açıklanmış verilerin, alenileştirme amacıyla sınırlı olmak kaydıyla aktarılması.
- Meşru menfaat: Veri sorumlusunun meşru menfaati için veri aktarımının zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi.
Özellikle iş ilişkilerinde, sözleşme süreçlerinde, denetim, raporlama ve iş sürekliliği faaliyetlerinde veri sorumluları bu hukuki sebeplerden bir veya birkaçına dayanarak veri aktarımı yapabilmektedir. Ancak her durumda, aktarımın kapsamı ve paylaşılan veri seti, işlemeye konu amaçla sınırlı tutulmalıdır.
| Şart | Açıklama | Örnek |
|---|---|---|
| Açık Rıza | Belirli bir amaç için özgür iradeyle verilmiş, bilgilendirmeye dayanan onay. | Müşteri verilerinin pazarlama amaçlı olarak üçüncü taraflarla paylaşılması. |
| Kanuni Yükümlülük | Veri sorumlusunun mevzuattan kaynaklanan zorunlulukları kapsamında veri aktarımı. | Vergi incelemesi kapsamında mali kayıtların ilgili kamu kurumuna iletilmesi. |
| Bir Hakkın Tesisi | Uyuşmazlık çözümü, dava veya tahkim süreçlerinde veri paylaşımı. | Dava dosyasında çalışan bordro bilgilerinin mahkemeye sunulması. |
| Meşru Menfaat | Temel haklara zarar vermemek kaydıyla, veri sorumlusunun hukuken korunmaya değer çıkarı. | Dolandırıcılık riskinin azaltılması için grup şirketiyle sınırlı veri paylaşımı. |
3. Özel Nitelikli Kişisel Verilerin Aktarımı
Özel nitelikli kişisel veriler; sağlık bilgileri, cinsel hayata ilişkin veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, dernek–vakıf–sendika üyeliği gibi, ilgili kişi hakkında ayrımcılığa yol açabilecek nitelikteki hassas verilerdir. Bu verilerin üçüncü kişilerin eline geçmesi hâlinde, ilgili kişi bakımından ciddi hak ihlalleri ve mağduriyetler ortaya çıkabilir.
Bu nedenle KVKK, özel nitelikli kişisel verilerin işlenmesi ve aktarılmasına ilişkin ayrı ve daha sıkı bir düzenleme öngörmüştür:
- Sağlık ve cinsel hayata ilişkin veriler; ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi; sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir ve aktarılabilir.
- Diğer özel nitelikli veriler kural olarak ilgili kişinin açık rızası ile işlenebilir ve aktarılabilir; kanunda sayılan istisnai hâller saklıdır.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin, yasada sayılan zorunlu hâller dışında, ilgili kişinin açık rızası olmadan aktarılması mümkün değildir. Öte yandan, bu veriler aktarılırken ilave teknik ve idari tedbirlerin (şifreleme, yetki matrisi, erişim loglarının tutulması vb.) uygulanması da zorunlu kabul edilir.
4. Şartlarının Amacı Nedir? Yurtiçi ve Yurtdışı Aktarım Ayrımı
Kişisel verilerin aktarılması şartlarının temel amacı, veri sorumlularının KVKK m.5 ve m.6’da sayılan hukuki sebeplere uygun hareket edip etmediğinin netleştirilmesi ve aktarım süreçlerinde ilgili kişilerin temel hak ve özgürlüklerinin korunmasıdır.
Buna göre:
- KVKK m.5 ve m.6’da belirtilen işleme şartlarından en az birinin mevcut olması,
- Özel nitelikli kişisel veriler bakımından kanunda sayılan ilave prensiplerin ve tedbirlerin sağlanması,
- Yurtiçinde, yetkili kişi veya kurumlara aktarımda açık rıza aranmayabilecek hâllerin doğru tespit edilmesi,
durumunda, kişisel veriler yurtiçinde ilgili hukuki sebebe dayanılarak aktarılabilir.
Kişisel verilerin yurtdışına aktarılması ise KVKK’nın 9. maddesinde ayrıca düzenlenmiştir. Bu kapsamda, genel işleme şartlarına ilave olarak, açık rıza, yeterli koruma bulunan ülkeler listesi veya Kurul tarafından onaylanan yazılı taahhütler gibi ek mekanizmalar gündeme gelir.
5. Yurtdışına Kişisel Veri Aktarımı ve Güvenceler
Kişisel verilerin yurtdışına aktarımı, KVKK 9. madde uyarınca daha sıkı güvenceye bağlanmış bir alandır. Kural olarak:
- İlgili kişinin açık rızası bulunmalı, veya
- Veri aktarılacak yabancı ülkede yeterli korumanın bulunduğu Kurul tarafından ilan edilmiş olmalı,
- Yeterli korumanın bulunmadığı hâllerde ise ilgili ülkedeki ve Türkiye’deki veri sorumluları, yeterli korumayı yazılı olarak taahhüt etmeli ve Kurul’un izni alınmalıdır.
Açık rıza bulunsa dahi, yurtdışı aktarım süreçlerinde:
- Verinin ulaşacağı kişi veya kurumların güvenilirliği,
- Aktarıma konu veri setinin kapsamı (gereğinden fazla veri aktarılmaması),
- Aktarılan verilerin saklanma süreleri ve imha süreçleri
dikkatle değerlendirilmelidir. Aksi hâlde, ilgili ülkede yeterli koruma sağlanamaması durumunda, veri sorumlusu KVKK ihlali ve buna bağlı yaptırımlarla karşılaşabilir.
6. Veri Sorumlusunun Yükümlülükleri ve Riskler
Veri sorumluları, gerek yurtiçi gerekse yurtdışı kişisel veri aktarımında son derece dikkatli ve KVKK ile ikincil düzenlemelere tam uyumlu hareket etmek zorundadır. Aksi hâlde; yüksek tutarlı idari para cezaları, veri işleme faaliyetlerinin durdurulması ve itibar kaybı gibi sonuçlarla karşılaşılabilir.
6.1. Temel Yükümlülükler
- Aktarıma konu her süreç için hukuki sebebin netleştirilmesi (KVKK m.5 ve m.6),
- Özel nitelikli kişisel veriler bakımından özel koruma rejiminin uygulanması,
- Yurtdışı aktarımda yeterli koruma, açık rıza ve taahhüt mekanizmalarının doğru kurgulanması,
- Tüm aktarım faaliyetlerinin aydınlatma metinleri ve veri envanteri ile uyumlu yürütülmesi,
- Teknik ve idari tedbirlerin (erişim yetkilendirmesi, loglama, şifreleme, eğitimler vb.) süreklilik arz edecek şekilde uygulanması.
6.2. Uygulamada Karşılaşılan Riskler
- Alt yüklenici, iş ortağı veya grup şirketlerine gereğinden fazla veri aktarımı,
- Açık rızanın geçersiz sayılmasına neden olabilecek eksik veya yetersiz bilgilendirme,
- Yurtdışına veri aktarımında yeterli koruma ve taahhüt mekanizmalarının göz ardı edilmesi,
- Özel nitelikli kişisel verilerin yanlış hukuki sebebe dayanarak üçüncü kişilere iletilmesi,
- Aktarım kayıtlarının tutulmaması ve denetime elverişli bir yapı kurulmamış olması.
7. Sık Sorulan Sorular
Kişisel verilerin aktarılabilmesi için her zaman açık rıza gerekir mi?
Hayır. Kişisel verilerin aktarımı için mutlaka açık rıza şartı aranmaz. KVKK m.5 ve m.6’da sayılan işleme şartlarından en az birinin bulunması yeterlidir. Ancak özel nitelikli kişisel veriler ve yurtdışı aktarım söz konusu olduğunda, açık rıza çoğu zaman temel hukuki sebep olarak karşımıza çıkar ve ek güvenceler aranır.
Özel nitelikli kişisel veriler hangi şartlarla aktarılabilir?
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi kanunda sayılan hâllerde ve sır saklama yükümlülüğü altındaki kişiler tarafından işlenebilir ve aktarılabilir. Diğer özel nitelikli veriler için kural olarak açık rıza aranır; ilgili istisnalar saklıdır.
Yurtdışına kişisel veri aktarırken nelere dikkat etmeliyim?
Öncelikle aktarım için geçerli bir işleme hukuki sebebinin bulunması gerekir. Ardından; açık rıza, yeterli koruma bulunan ülke veya Kurul tarafından onaylı yazılı taahhüt mekanizmalarından hangisinin uygulanacağı belirlenmelidir. Ayrıca aktarım yapılacak ülkenin veri koruma rejimi, veri güvenliği tedbirleri ve saklama süreleri mutlaka analiz edilmelidir.
Veri aktarımında hukuki sebep analizini kimin yapması gerekir?
Hukuki sebep analizi, veri sorumlusunun hukuk, uyum ve bilgi güvenliği birimleri başta olmak üzere ilgili iş birimleriyle birlikte yürütülmelidir. Her aktarım süreci için ayrı ayrı değerlendirme yapılması ve sonuçların veri envanteri, aydınlatma metinleri ve kayıt sistemlerine yansıtılması önerilir.
Yanlış kurgulanmış bir veri aktarımının yaptırımları neler olabilir?
Yanlış hukuki sebebe dayanmak, özel nitelikli kişisel verileri ölçüsüz şekilde aktarmak veya yurtdışı aktarım kurallarına uymamak; KVKK kapsamında yüksek idari para cezaları, veri işleme faaliyetinin durdurulması ve ciddi itibar kaybı gibi sonuçlara yol açabilir. Bu nedenle veri aktarımı, KVKK uyum programlarının en kritik bileşenlerinden biridir.
