Yabancı Ülkeye Veri Aktarımı KVKK Yeterli Koruma ve Kurul Karar Kriterleri
KVKK m.9 kapsamında kişisel verilerin yurt dışına aktarımı, “yeterli koruma” ilkesine ve Kişisel Verileri Koruma Kurulu tarafından yürütülen karar süreçlerine tabidir. Yeterli koruma bulunmayan ülkelere aktarımda ise, veri sorumluları arasında yazılı taahhütler ve Kurul kararı devreye girer.
Küresel ölçekte faaliyet gösteren şirketler için yabancı ülkeye veri aktarımı operasyonel bir zorunluluk hâline gelirken; hukuki, teknik ve etik risklerin doğru yönetilmesi, kurumsal sürdürülebilirlik ve itibar açısından stratejik önem taşımaktadır.
Bu rehber; Kurulun karar verme sürecinde dikkate aldığı faktörleri, 02/05/2019 tarihli 2019/125 sayılı karar ile belirlenen yeterli koruma kriterlerini, uluslararası sözleşmeler, sözleşmesel taahhütler, güvenlik tedbirleri ve silme–imha yükümlülükleri ekseninde kurumsal bir bakış açısıyla ele almaktadır.
Esas: Yurt dışına veri aktarımında yeterli koruma aranır.
Yeterli koruma yoksa: Taraflar arasında yazılı taahhüt ve
Kurul kararı gerekir.
Kurul kriterleri: Uluslararası sözleşmeler, karşılıklılık, yabancı ülke mevzuatı,
uygulama pratikleri, güvenlik önlemleri ve ilgili kişinin hakları.
2019/125 sayılı karar: Yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak
kriterleri detaylandıran formu düzenler.
1. Yeterli Koruma ve Kurul Kararı
KVKK’ya göre kişisel verilerin yabancı bir ülkeye aktarılmasında temel ilke, yeterli korumanın bulunup bulunmadığıdır. Yeterli koruma varsa, Kanun’daki diğer şartlar sağlandığında veri aktarımı yapılabilir. Yeterli koruma yoksa, devreye Kurul kararı ve yazılı taahhüt mekanizması girer.
Bu kapsamda; Türkiye’deki veri sorumlusu ile yabancı ülkedeki veri sorumlusu/veri işleyen, yeterli düzeyde korumayı yazılı olarak taahhüt eder ve bu taahhütnameler Kurul tarafından onaylanırsa kişisel verilerin yurt dışına aktarımı mümkün hâle gelir.
1.1. Yeterli Koruma Ne Anlama Gelir?
Yeterli koruma; yabancı ülkede, kişisel verilerin en az KVKK düzeyinde bir koruma rejimine tabi olmasını ifade eder. Bu çerçevede Kurul, veri aktarımı yapılacak ülkenin:
- Kişisel verilerin korunmasına ilişkin mevzuatını,
- Bu mevzuatın fiili uygulamasını ve denetim mekanizmalarını,
- İlgili kişilerin başvuru ve hak arama yollarını,
- İdari ve teknik güvenlik önlemlerinin olgunluğunu
değerlendirerek “yeterli koruma” olup olmadığını belirler.
1.2. 2019/125 Sayılı Karar ve Yeterli Koruma Formu
Kurulun 02/05/2019 tarihli ve 2019/125 sayılı Kararı ile, yeterli korumaya sahip ülkelerin belirlenmesinde esas alınacak kriterlere ilişkin form Kurumun internet sayfasında yayımlanmıştır. Bu form, yabancı ülkelerin veri koruma seviyesinin objektif bir çerçevede değerlendirilmesini sağlar.
Kurumlar açısından bu karar; yurt dışına veri aktarımı planlanırken hangi kriterlerin analiz edileceği, hangi hukuki ve teknik unsurların dosyaya konulması gerektiği bakımından önemli bir referans niteliği taşır.
2. Karar Verme Süreci ve Kurulun Dikkate Aldığı Faktörler
Kişisel Verileri Koruma Kurulu, yabancı ülkeye veri aktarımına ilişkin kararlarında; sadece mevzuat metnine değil, aynı zamanda uygulama ve fiili koruma seviyesine de odaklanır. Gerek duyulduğunda ilgili kurum ve kuruluşların görüşleri de alınır.
2.1. Kurulun Odaklandığı Başlıca Faktörler
| Kriter Başlığı | Açıklama | Kurumsal Örnek |
|---|---|---|
| Uluslararası Sözleşmeler | Türkiye’nin taraf olduğu veri koruma, insan hakları ve temel özgürlüklere ilişkin sözleşmeler. | Avrupa Konseyi sözleşmeleri, insan hakları rejimi, karşılıklılık ilkesi. |
| Karşılıklılık Durumu | Veri talep eden ülkenin, Türk vatandaşlarına ve Türkiye’de yerleşik kişilere yönelik koruma seviyesinin karşılıklılık içerip içermediği. | İki ülke arasında veri paylaşımına ilişkin ikili anlaşmalar, işbirliği protokolleri. |
| Mevzuat ve Uygulama | Yabancı ülkenin kişisel verilerin korunmasına dair kanunları, ikincil düzenlemeleri ve fiili uygulama pratikleri. | Bağımsız denetim otoritesinin varlığı, yaptırım gücü, içtihatlar. |
| Aktarım Amacı ve Süresi | Aktarılan verinin türü, işlenme amacı, saklama süresi ve aktarımın kapsamı. | Sadece bulut yedekleme mi, sürekli işleme mi, global CRM entegrasyonu mu? |
| Taahhüt Edilen Tedbirler | Yazılı taahhütlerde yer alan teknik ve idari önlemler ile veri güvenliği taahhütleri. | Şifreleme, erişim matrisi, denetim hakkı, alt tedarikçi sınırlamaları. |
Kurul, bu faktörlerin tümünü birlikte değerlendirerek hem ilgili ülke özelinde hem de somut aktarım senaryosu özelinde risk-temelli bir yaklaşım benimser.
2.2. Uluslararası ve İkili İlişkiler Boyutu
Türkiye’nin taraf olduğu uluslararası sözleşmeler ve yabancı ülke ile olan ekonomik, hukuki ve siyasi ilişkiler, veri aktarımına ilişkin karar sürecini etkileyen tamamlayıcı unsurlardır. Özellikle karşılıklılık, ikili işbirliği anlaşmaları ve bölgesel düzenlemeler, yeterli koruma değerlendirmesinde dikkate alınır.
3. Uluslararası Hukuki Zemin ve Mevzuat Uyumu
Yabancı bir ülkeye veri aktarımı planlanırken yalnızca KVKK’ya uyum değil, aynı zamanda veri aktarımının yapılacağı ülke mevzuatına da uyum sağlanması gerekir. Bu çifte uyum yaklaşımı, hem hukuki riskleri azaltır hem de sınır ötesi veri operasyonlarının sürdürülebilirliğini artırır.
3.1. Veri Aktarımının Amacı ve Kapsamının Netleştirilmesi
Her aktarım projesinde öncelikle aşağıdaki sorulara net yanıt verilmelidir:
- Hangi veri kategorileri (kimlik, iletişim, finans, özel nitelikli veri vb.) aktarılıyor?
- Aktarımın işleme amaçları nelerdir (barındırma, destek, analitik, pazarlama vb.)?
- Aktarım sürekli mi yoksa tek seferlik mi?
- Veriler ne kadar süreyle saklanacak ve hangi koşullarda imha edilecek?
Bu sorulara verilen cevaplar, hem KVKK m.9 kapsamındaki hukuki dayanağın hem de aydınlatma metinleri, sözleşmeler ve kayıt sistemlerinin sağlıklı kurgulanmasını sağlar.
3.2. Sözleşmeler ve Hukuki Düzenlemelerle Uyum
Veri aktarımı süreçleri, taraflar arasında imzalanan detaylı veri aktarım sözleşmeleri ve taahhütnameler ile güvence altına alınmalıdır. Bu metinlerde özellikle:
- Tarafların rol ve sorumlulukları (veri sorumlusu / veri işleyen),
- Veri işleme talimatlarının kapsamı ve sınırları,
- Alt işleyen (sub-processor) kullanım şartları ve onay mekanizmaları,
- Denetim hakkı, raporlama yükümlülükleri,
- İhlal bildirimi, sorumluluk ve tazminat hükümleri,
- Veri saklama süresi, silme ve anonimleştirme prosedürleri
net, denetlenebilir ve mevzuata uyumlu şekilde düzenlenmelidir.
4. Veri Güvenliği, Gizlilik ve Etik Farklılıklar
Sınır ötesi veri aktarımında yalnızca hukuki uygunluk değil, teknik güvenlik ve etik standartlar da kritik rol oynar. Farklı ülkelerdeki kültürel ve etik yaklaşımlar, bazı veri türlerinin işlenmesinde farklı beklentiler doğurabilir.
4.1. Teknik ve İdari Güvenlik Önlemleri
Yabancı ülkeye aktarımda asgari olarak aşağıdaki tedbirlerin değerlendirilmesi gerekir:
- Verilerin aktarım sırasında ve saklanırken kriptografik yöntemlerle şifrelenmesi,
- Güvenli iletişim protokollerinin (VPN, TLS vb.) kullanılması,
- Erişimlerin roller bazlı yetkilendirme ve MFA ile sınırlandırılması,
- Loglama, iz kayıtları ve düzenli güvenlik denetimleri,
- Veri ihlali durumunda bildirim prosedürlerinin net şekilde tanımlanması.
4.2. Etik ve Kültürel Farklılıklar
Bazı ülkelerde konum verileri, sağlık verileri, davranışsal veriler gibi kategorilerle ilgili etik hassasiyetler farklılaşabilir. Bu nedenle:
- İlgili kişinin makul beklentileri ve bilgilendirme düzeyi,
- Verinin kullanıldığı bağlam,
- Profil oluşturma, skorlamaya tabi tutma, otomatik karar verme süreçleri
hem KVKK hem de aktarım yapılan ülkenin etik ve hukuki çerçevesi ışığında ayrıca değerlendirilmelidir.
5. Sözleşmeler, Taahhütler ve Silme/İmha Yükümlülüğü
Yurt dışına veri aktarımı; sözleşmesel taahhütler, Kurul onayı ve silme–imha yükümlülüğü birlikte ele alındığında güvenli bir çerçeveye kavuşur.
5.1. Taahhütnameler ve Veri Aktarım Sözleşmeleri
Yeterli koruma bulunmayan ülkeler bakımından; Türkiye’deki ve yabancı ülkedeki veri sorumluları/veri işleyenler, Kurulun yayımladığı kriterler çerçevesinde yeterli korumayı taahhüt eden metinler hazırlamalı ve bunların onay süreçlerini yürütmelidir.
Bu taahhütnameler; teknik ve idari tedbirler, ihlal yönetimi, ilgili kişinin hakları, denetim ve fesih mekanizmalarını kapsayacak şekilde kurgulanmalıdır.
5.2. Geri Alınabilirlik ve Silinme/İmha Yükümlülüğü
Veri aktarımı sonrasında da ilgili kişinin silme, yok etme veya anonimleştirme talepleri devam eder. Bu nedenle veri sorumluları:
- Yabancı ülkedeki işlenen verilerin erişilebilir bir envanterini tutmalı,
- Talep hâlinde verinin geri alınabilmesi veya erişimin kesilebilmesi için teknik imkanları planlamalı,
- Veri aktarım sözleşmelerinde, süre sonunda veya amacın ortadan kalkması halinde verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin hükümlere yer vermelidir.
Bu yükümlülükler yalnızca KVKK kapsamında değil, aynı zamanda global regülasyonlarla da uyumlu bir veri yaşam döngüsü yönetimini zorunlu kılar.
6. Sık Sorulan Sorular
Yabancı ülkeye veri aktarımı için her zaman Kurul kararı gerekir mi?
Hayır. KVKK ve Kurul kararlarında sayılan hâllerde; örneğin yeterli korumaya sahip ülkeler listesinde yer alan ülkelere veya ilgili kişinin açık rızasına dayanan belirli senaryolarda Kurul kararı olmaksızın aktarım yapılabilir. Yeterli korumanın bulunmadığı durumlarda ise taahhüt + Kurul onayı mekanizması devreye girer.
2019/125 sayılı Kurul kararı neyi düzenliyor?
02/05/2019 tarihli ve 2019/125 sayılı karar, yeterli korumaya sahip ülkelerin belirlenmesinde kullanılacak kriter setini ve formu ortaya koyar. Böylece yabancı ülkelerin veri koruma seviyesinin objektif ve karşılaştırılabilir bir çerçevede değerlendirilmesi amaçlanır.
Veri aktarımı sözleşmelere yazmak zorunlu mu?
Kurumsal ölçekte yurt dışına veri aktarımında, sözleşmeye aktarım hükümlerinin konulması, uyum ve denetlenebilirlik açısından fiilen zorunlu kabul edilir. Taahhütnamelerin Kurul’a sunulması gereken senaryolarda ise sözleşmesel çerçeve, sürecin çekirdeğini oluşturur.
Veriler silinmek istendiğinde yabancı ülkedeki sistemlerden de silinmeli mi?
Evet. KVKK bakımından silme, yok etme veya anonimleştirme yükümlülüğü, yurt içi–yurt dışı ayrımı gözetmeksizin kişisel verilerin işlendikleri tüm ortamlar için geçerlidir. Bu nedenle veri aktarım sözleşmelerinde, yabancı ülkedeki sistemlerden silme ve imha yükümlülüğü açıkça düzenlenmelidir.
