Kişisel Verilerin Yurt Dışına Aktarılması KVKK m.9, Açık Rıza ve Yeterli Koruma
KVKK’nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasına ilişkin temel çerçeveyi belirler. Kural olarak ilgili kişinin açık rızası aranır; ancak Kanunun 5/2 ve 6/3 hükümlerindeki istisnai işleme şartları ile “yeterli koruma” ilkesi birlikte sağlandığında, açık rıza olmaksızın da yurt dışına aktarım mümkün olabilmektedir.
Bu rehber; açık rıza ve istisnaî hukuki sebepler ile yeterli koruma–taahhüt–Kurul kararı dengesini, kişisel veri aktarımının yarar ve risklerini ve GDPR başta olmak üzere düzenleyici çerçeveyi kurumsal bir perspektifle ortaya koymaktadır.
Asıl kural: Açık rıza ile yurt dışına aktarım.
İstisna: KVKK 5/2 ve 6/3 kapsamındaki işleme şartları +
yurt dışında yeterli koruma veya taahhüt + Kurul izni.
Taahhütnameler: KVKK Kurumu’nun
“Mevzuat > Taahhütnameler” bölümünden erişilebilen örnekler esas alınır.
Ek hüküm (m.9/5): Türkiye’nin veya ilgili kişinin menfaatinin ciddi zarar göreceği
durumlarda Kurul, ilgili kamu kurum ve kuruluşunun görüşünü alarak karar verir.
1. Hukuki Dayanak: KVKK m.9 ve Temel İlkeler
KVKK’nın 9. maddesinin 1. fıkrası, kişisel verilerin yurt dışına aktarılmasını kural olarak ilgili kişinin açık rızası şartına bağlar:
Buna göre kişisel veriler, ilgili kişinin açık rızası bulunmak koşuluyla yurt dışına aktarılabilir. Ancak Kanunun sistematiği gereği, yalnızca açık rıza ile sınırlı bir aktarım rejimi öngörülmemiş; 5. maddenin 2. fıkrası kapsamındaki genel işleme şartları ile 6. maddenin 3. fıkrası kapsamındaki özel nitelikli kişisel verilerin işlenmesine izin veren istisnalar da, belirli şartların varlığında yurt dışına aktarım bakımından hukuki dayanak olarak kabul edilmiştir.
1.1. İstisnaî Hukuki Sebeplerin Aktarıma Uygulanması
KVKK m.9 uyarınca; Kanunun 5/2 ve 6/3 hükümlerine göre açık rıza aranmaksızın işlenebilen kişisel veriler, aşağıdaki ek şartlardan birinin sağlanması hâlinde yurt dışına aktarılabilir:
- İlgili ülkede yeterli korumanın bulunması, veya
- Yeterli korumanın bulunmaması hâlinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin alınması.
1.2. Menfaatin Ciddi Zarar Görmesi Hâlleri (m.9/5)
Kanunun 9. maddesinin 5. fıkrasında, kişisel verilerin Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, uluslararası sözleşme hükümleri saklı kalmak üzere, ilgili kamu kurum ve kuruluşunun görüşü alınarak Kurulun karar vereceği hüküm altına alınmıştır.
Bu hüküm, özellikle ulusal güvenlik, kamu düzeni ve yüksek menfaat içeren senaryolarda Kurula tanınan esnek bir müdahale yetkisi niteliğindedir.
2. Yurt Dışına Aktarım Şartları ve Yeterli Koruma
Özetle, KVKK kapsamında kişisel verilerin yurt dışına aktarılabilmesi için aşağıdaki şartlardan en az birinin sağlanması gerekir:
| Aktarım Şartı | Açıklama | Örnek Kurumsal Senaryo |
|---|---|---|
| İlgili Kişinin Açık Rızası | İlgili kişi; belirli bir yurt dışı aktarım amacı, kapsamı ve veri kategorisi hakkında açık, bilgilendirilmiş ve özgür iradeye dayalı onay verir. | Global bulut CRM çözümü için müşterilerin verilerinin AB’deki veri merkezine aktarılması. |
| 5/2 ve 6/3 Kapsamında İşleme + Yeterli Koruma | KVKK 5/2 ve 6/3 kapsamındaki istisnaî işleme şartlarından biri mevcutsa ve aktarım yapılacak yabancı ülkede yeterli koruma sağlanıyorsa, açık rıza aranmaksızın aktarım yapılabilir. | Sözleşmenin ifası için gerekli verilerin, yeterli korumalı bir ülkeye bağlı hizmet sağlayıcıya aktarılması. |
| 5/2 ve 6/3 + Taahhütname + Kurul İzni | Yeterli koruma bulunmayan ülkelerde; veri sorumluları yeterli korumayı yazılı olarak taahhüt eder ve bu taahhütnameler Kurulca onaylanır. | Türkiye’deki bir şirketin, destek operasyonlarını yürüttüğü üçüncü ülkedeki hizmet sağlayıcısına müşteri verisi aktarması. |
2.1. Taahhütnameler ve Kurul İzni
Yeterli koruma bulunmayan ülkeler bakımından; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve bu taahhütnamelerin Kurulun onayına sunulması zorunludur. Bu taahhütnamelerde en azından:
- Kişisel veri kategorileri, işleme amaçları ve aktarım kapsamı,
- Teknik ve idari güvenlik tedbirleri,
- İhlal bildirim prosedürleri,
- İlgili kişinin hakları ve başvuru yolları,
- Silme, yok etme, anonimleştirme kuralları,
- Alt işleyen kullanımı, denetim ve fesih hükümleri
açık, ölçülebilir ve denetlenebilir bir dille düzenlenmelidir.
2.2. Yeterli Koruma Bulunan Ülkeler
Yeterli korumanın bulunduğu ülkeler, Kurul tarafından belirlenerek ilan edilir. Bu kapsamda Kurul; yabancı ülkenin veri koruma mevzuatını, uygulamasını, denetim ve yaptırım kapasitesini dikkate alarak değerlendirme yapar. Yeterli korumalı liste; veri sorumluları için hem uyum hem de operasyonel planlama açısından önemli bir referans noktasıdır.
3. Kişisel Veri Aktarımının Önemi ve Yararları
Kişisel veri aktarımı, günümüzün dijital ekonomisi ve küresel iş modelleri için vazgeçilmez hâle gelmiştir. Doğru kurgulandığında; hem bireyler hem de kurumlar açısından ciddi faydalar sağlar.
3.1. Küresel İşbirliği ve Veri Paylaşımı
- Farklı ülkeler arasındaki ticari ilişkilerin ve iş ortaklıklarının etkin biçimde yürütülmesine imkân tanır.
- Çok uluslu gruplarda; insan kaynakları, finans, tedarik zinciri ve müşteri yönetimi gibi merkezî süreçlerin yürütülmesini kolaylaştırır.
3.2. Yenilikçilik ve Teknolojik Gelişmeler
- Araştırma merkezleri ve teknoloji şirketleri için yapay zekâ, makine öğrenmesi ve analitik projelerinde geniş veri setlerine erişim sağlar.
- Yeni ürün ve hizmetlerin tasarımında, global kullanıcı davranışlarının analizine olanak verir.
3.3. Kişiselleştirilmiş Hizmetler ve Kullanıcı Deneyimi
- Farklı ülkelerdeki kullanıcı tercihleri dikkate alınarak daha kişiselleştirilmiş dijital deneyimler sunulmasına katkı sağlar.
- Küresel ölçekte tutarlı müşteri deneyimi (müşteri hesabına her ülkeden erişim, ortak sadakat programları vb.) yaratılmasına yardımcı olur.
3.4. Veri Analitiği, Büyük Veri ve Sektörel İlerleme
- Büyük veri analitiği ve veri madenciliği uygulamaları sayesinde işletmelerin risk yönetimi, pazarlama, operasyonel verimlilik alanlarında karar kalitesi artar.
- Sağlık, finans, eğitim ve lojistik gibi sektörlerde, uluslararası veri setleri üzerinden bilimsel ve istatistiksel araştırmalara imkân tanır.
- Kriz ve acil durum yönetimi süreçlerinde (salgın, afet, siber saldırı vb.) hızlı ve koordineli müdahaleyi destekler.
4. Kişisel Veri Aktarımının Riskleri ve Kontrolü
Kişisel veri aktarımı, sağladığı faydalar kadar; gizlilik, güvenlik ve uyum perspektifinden ciddi riskleri de beraberinde getirir. Bu nedenle aktarım süreçlerinin risk-temelli bir yaklaşımla kurgulanması gerekir.
4.1. Veri Güvenliği ve Gizlilik İhlalleri
- Yurt dışındaki sistemlerdeki güvenlik açıkları, yetkisiz erişim, veri sızıntısı veya veri hırsızlığı riskini artırabilir.
- Özellikle özel nitelikli kişisel veriler bakımından ihlaller, ağır hukuki ve itibarî sonuçlar doğurabilir.
4.2. Hukuki ve Düzenleyici Uyum Riskleri
- Farklı ülkelerin farklı veri koruma rejimleri, çelişen yükümlülüklere ve uyum baskısına yol açabilir.
- Yurt dışı sistemler üzerinde yürütülen işleme faaliyetleri, KVKK’ya veya ilgili ülke hukukuna aykırılık hâlinde idari para cezaları ve yaptırımlarla sonuçlanabilir.
4.3. Amaç Sınırlaması ve Veri Kontrolü Riskleri
- Verilerin yurt dışına aktarılması, orijinal toplama amacı dışındaki kullanımlara kapı aralayabilir; bu da amaçla sınırlı işleme ilkesinin ihlaline yol açabilir.
- Veri sahipleri, verilerinin yabancı sistemlerde nasıl işlendiğine dair kontrol kaybı endişesi yaşayabilir.
4.4. Teknolojik Altyapı ve Operasyonel Riskler
- Uygun olmayan teknik altyapı, zayıf şifreleme, eski yazılımlar ve uyumsuz entegrasyonlar, siber güvenlik risklerini yükseltir.
- Yedekleme, felaket kurtarma ve iş sürekliliği planlarının yurt dışı sistemlerle uyumsuzluğu, kritik bir kesintide verinin geri getirilememesine sebep olabilir.
5. Kişisel Verilerin Yurt Dışına Aktarılması için Düzenleyici Çerçeve
Kişisel verilerin yurt dışına aktarımı; yalnızca KVKK ile sınırlı olmayan, çok katmanlı bir düzenleyici çerçeveye tabidir. Özellikle Avrupa Birliği’nde yürürlükte olan Genel Veri Koruma Tüzüğü (GDPR) ve diğer bölgesel düzenlemeler, global ölçekte faaliyet gösteren şirketler için ilave yükümlülükler doğurur.
5.1. GDPR ve Uluslararası Veri Transferi
- GDPR, AB içinde ve dışında işlenen kişisel veriler için sıkı transfer kuralları öngörür.
- AB dışına aktarımda; adequacy decision (yeterlilik kararı), standart sözleşme maddeleri (SCC), bağlayıcı şirket kuralları (BCR) gibi mekanizmalar kullanılır.
5.2. Veri Koruma Otoriteleri ve Denetim
- Pek çok ülkede, KVKK’ya benzer şekilde bağımsız veri koruma otoriteleri faaliyet göstermekte; yurt dışına veri aktarımı süreçlerini denetleyip rehberlik sağlamaktadır.
- Bu otoriteler; ihlal hâlinde para cezası, faaliyet sınırlaması veya durdurma gibi yaptırımlar uygulayabilir.
5.3. Yeterli Koruma Düzeyi Değerlendirmeleri
Hem KVKK hem GDPR perspektifinde; bazı ülkelerin veri koruma rejiminin “yeterli” olup olmadığına dair değerlendirmeler yapılır. Bu değerlendirmeler:
- İlgili ülkenin mevzuat uyumu, uygulama pratikleri ve yargı sistemini,
- Temel hak ve özgürlüklere saygı düzeyini,
- Bağımsız denetim otoritelerinin etkinliğini
dikkate alır.
5.4. Uluslararası Anlaşmalar ve Sektörel Düzenlemeler
- Bazı bölgelerde, veri akışını kolaylaştırmak için uluslararası veri transfer anlaşmaları ve işbirliği protokolleri imzalanmıştır.
- Finans, sağlık, telekom gibi sektörlerde ek düzenleyici çerçeveler söz konusudur; bu çerçeveler veri aktarımına ilave sınırlamalar ve güvenlik şartları getirebilir.
Bu geniş çerçeve; kişisel verilerin yurt dışına aktarımı sırasında hem veri güvenliği ve gizliliğini korumayı, hem de kurumların uluslararası veri operasyonlarını sürdürebilmesini hedefler.
6. Sık Sorulan Sorular
Yurt dışına veri aktarımı için her zaman açık rıza almak zorunlu mu?
Hayır. KVKK m.9 kapsamında; Kanunun 5/2 ve 6/3 hükümlerinde düzenlenen istisnaî işleme şartlarından birinin mevcut olması ve yeterli koruma + taahhüt + Kurul izni mekanizmalarının sağlanması hâlinde açık rıza aranmaksızın da yurt dışına aktarım mümkündür.
Taahhütnameleri nereden temin edebilirim?
Veri sorumlularınca imzalanarak Kurulun onayına sunulması gereken taahhütnamelere www.kvkk.gov.tr adresinde yer alan “Mevzuat > Taahhütnameler” başlığından erişilebilir. Somut aktarım senaryosuna göre bu metinlerin uyarlanması gerekir.
Yeterli koruma bulunan ülkeler listesini nasıl takip etmeliyim?
Yeterli koruma bulunan ülkeler, Kurul tarafından belirlenerek ilan edilir. Uygulamada bu listenin güncel hâlinin, Kurumun resmi internet sitesi üzerinden düzenli olarak kontrol edilmesi, mevzuata uyum açısından kritik öneme sahiptir.
Veri aktarımı riskli ise hiç mi yurt dışına veri göndermemek gerekir?
Veri aktarımı; doğru hukuki dayanak, güçlü teknik/idari tedbirler, sözleşmesel güvence ve şeffaf aydınlatma ile kurgulandığında yönetilebilir bir risktir. Amaç; aktarımı tamamen engellemek değil, kontrollü ve mevzuata uyumlu hâle getirmektir.
