KVKK Kapsamında Yurt Dışına Kişisel Veri Aktarımı ve Açık Rıza
Verilerin daha güvenli aktarımı için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) yürürlüğe girmiş, kanunun uygulanmasını gözetmek ve denetlemek üzere Kişisel Verileri Koruma Kurulu (Kurul) oluşturulmuştur. KVKK ile yakından ilgilenen kurumlar ve uygulayıcılar açısından yurt dışına kişisel veri aktarımı halen en tartışmalı ve belirsiz alanlardan biridir.
Kanunda uluslararası düzenlemelerle uyumlu çeşitli aktarım yöntemleri öngörülmüş olsa da, Kurul kararları fiiliyatta açık rızayı yurt dışına veri aktarımında temel yöntem haline getirmiştir. Veri aktarım taahhütnamesi sunmuş ve onay bekleyen bir kurumun, bu süreç askıdayken alternatif aktarım yöntemleriyle süreci hukuka uygun hale getirmesinin beklendiği, salt taahhütname sunmuş olmanın idari yaptırımı hafifletmeye yetmediği görülmektedir.
Odak: KVKK m.9 kapsamında yurt dışına veri aktarımı, Kurul’un
açık rıza merkezli yaklaşımı, çok uluslu şirketler ve yurtdışı e-posta sağlayıcıları
için pratik senaryolar ve geçerli bir açık rıza kurgusunun nasıl oluşturulacağı.
Sorun: Taahhütnamelerin onay süreçlerindeki belirsizlik, Kurul’un “süre tanıma ve düzeltme”
yerine doğrudan sorumluluk atfetmesi ve açık rızanın her durumda uygulanabilir
olmaması.
Çözüm: Araçların ve veri akışlarının tespiti, yurt dışı aktarıma özgü
aydınlatma ve açık rıza metinleri, geri alınabilir rızaya karşı aksiyon planı ve
ticari risk yönetimi.
1. KVKK ve Yurt Dışına Veri Aktarımı: Hukuki Çerçeve
KVKK, kişisel verilerin daha güvenli işlenmesi ve aktarılması için temel ilkeleri belirlerken, yurt dışına veri aktarımına ilişkin hükümleriyle de uluslararası veri hareketlerini düzenlemektedir. Bu kapsamda, Kişisel Verileri Koruma Kurulu (Kurul), hem denetim hem de rehberlik rolü üstlenmektedir.
Kanun yurt dışına veri aktarımı için birden fazla hukuki mekanizma öngörse de, Kurul uygulamalarında fiilen tek geçerli yöntem olarak açık rızaya ağırlık vermektedir. Veri aktarım taahhütnamesi sunmuş ve Kurul’dan onay bekleyen kurumların, bu süreç devam ederken diğer mevzuat yollarını kullanarak aktarımı hukuka uygun hale getirmesinin beklendiği anlaşılmaktadır.
1.1. Taahhütname ve Kurul’un Beklentisi
Uygulamada Kurul, yurt dışına veri aktarımı için taahhütname sunan veri sorumlularının;
- Taahhütnamenin onay sürecinde olmasını, idari yaptırımı hafifleten bir unsur olarak görmeyebilmektedir.
- Taahhütname onayı beklenirken de veri sorumlusunun süreci hukuka uygun kılmasını ve gerektiğinde alternatif yöntemlerle (örneğin açık rıza) çözüm üretmesini beklemektedir.
- Veri sorumlusuna belirli bir süre tanıyarak süreci düzeltme imkânı vermek yerine, doğrudan sorumluluk atfı yolunu tercih edebilmektedir.
Bu yaklaşım, yurt dışına veri aktarımı süreçlerinin yalnızca “formel bir taahhüt” ile yönetilemeyeceğini, aksine süreç tasarımının baştan itibaren uyum perspektifiyle kurgulanması gerektiğini ortaya koymaktadır.
2. Yurt Dışına Veri Aktarım Senaryoları
“Yurt dışına veri aktarımı” denildiğinde akla yalnızca klasik dosya transferleri gelmemelidir. Kurumsal hayatın içinde, günlük iş uygulamalarıyla ortaya çıkan birçok dolaylı aktarım senaryosu vardır.
2.1. Çok Uluslu Şirketler ve Ana Merkeze Aktarım
İlk senaryo, ana merkezi yurt dışında bulunan ve Türkiye’de iştiraki veya şubesi bulunan çok uluslu şirketlerdir. Türkiye’deki yapı, çoğu zaman:
- İçeriğinde kişisel veri bulunan iş süreçlerini ana merkeze raporlamakta,
- Finans, insan kaynakları, satış, risk yönetimi gibi alanlarda karar mekanizmasını yurt dışı merkezle paylaşmaktadır.
Bu tür raporlama ve sistem kullanımları, ilgili çalışan ve müşterilerin kişisel verilerinin fiilen yurt dışına aktarılması sonucunu doğurur.
2.2. Yurt Dışı Tabanlı Kurumsal E-Posta ve Bulut Servisleri
İkinci ve en yaygın senaryo, kurumsal e-posta veya iş birliği platformlarının yurt dışı tabanlı hizmet sağlayıcılardan alınmasıdır. Özellikle:
- Küçük ve orta ölçekli işletmeler,
- Büyük ölçekli kurumsal yapılarda
hizmet kalitesi, ölçeklenebilirlik ve veri güvenliği gerekçeleriyle bu tür servisleri tercih etmektedir. Ancak bu tercih, e-posta içerikleri ve eklerinde yer alan kişisel verilerin yurt dışına aktarımı anlamına gelir.
| Senaryo | Açıklama | Tipik Kişisel Veriler |
|---|---|---|
| Çok Uluslu Grup Şirketi | Türkiye’deki şirketten ana merkeze raporlama ve sistem erişimi | Çalışan verileri, satış kayıtları, müşteri listeleri, performans verileri |
| Yurtdışı E-Posta Hizmeti | Office 365, Google Workspace vb. bulut tabanlı e-posta servisleri | E-posta içerikleri, ekler, rehber bilgileri, log kayıtları |
| Bulut CRM / ERP / HR Çözümleri | Yurtdışı merkezli SaaS uygulamaları | Müşteri, çalışan, tedarikçi verileri, işlem ve sözleşme kayıtları |
3. Uyum Projesi Olan Kurumlar İçin Hazırlık Adımları
KVKK uyum projesini tamamlamış veya sürdürmekte olan kurumların, özellikle yurt dışına veri aktarımı söz konusu olduğunda ayrı bir dikkat seviyesi göstermesi gerekir. Bu süreçte:
3.1. Yurt Dışı Aktarım Araçlarının Tespiti
- Yurt dışına veri aktarımı niteliğinde olabilecek tüm araçların ve sistemlerin belirlenmesi (e-posta, bulut servisler, grup şirket sistemleri vb.).
- Bu araçlar üzerinden verisi aktarılan ilgili kişi gruplarının (müşteri, çalışan, tedarikçi, aday çalışan vb.) netleştirilmesi.
- Aktarım amaçlarının, veri kategorilerinin ve işleme faaliyetlerinin detaylı şekilde haritalanması.
3.2. Aydınlatma Metinlerinin Güncellenmesi
Yapılan inceleme ve tespitler sonrasında:
- Aydınlatma metinleri, yurt dışına veri aktarımını açıkça kapsayacak şekilde yenilenmelidir.
- Bu metinlere referans verecek şekilde, ayrı açık rıza metinleri kurgulanmalı ve ilgili iş süreçlerine entegre edilmelidir.
- Gerektiğinde mevcut aydınlatma metinleri kullanılmayıp, sadece yurt dışı veri aktarımına özgü aydınlatma ve açık rıza metni ile süreç işletilebilir.
Genel olarak yurt dışı aktarım, çoğu zaman ilgili iş sürecinin ayrılmaz bir parçasıdır. Bu nedenle pratikte, mevcut aydınlatma metinlerinin güncellenmesi ve buna uygun açık rıza kurgusuyla ilerlemek sıklıkla tercih edilen bir yöntemdir.
4. Açık Rıza Nasıl Olmalı? Unsurlar ve Kurgulama
Kurul rehberleri incelendiğinde, açık rızanın taşıması gereken temel unsurlar şöyle sıralanmaktadır:
- Belirli bir konuya ilişkin olma
- Bilgilendirmeye dayalı olma
- Özgür irade ile açıklanma
4.1. Belirli Konu ve Bilgilendirmeye Dayalı Olma
Uygulamada aydınlatma metinlerinde çoğu zaman birden fazla hukuki sebep aynı anda yer alır. Bu nedenle:
- Açık rıza metinlerinde, hangi işleme faaliyeti için rıza talep edildiği net ve anlaşılır şekilde ifade edilmelidir.
- İlgili kişinin ayrıştırılmış ve ayırt edilebilir bir bilgilendirme formatı ile karşılaşması sağlanmalıdır (örneğin; ayrı kutucuklar, ayrı metinler).
- Açık rıza metnindeki ifadeler, atıf yaptığı aydınlatma metniyle tutarlı olmalı ve işlemi aşan, belirsiz/genel rıza cümlelerinden kaçınılmalıdır.
4.2. Özgür İrade ve İspat Edilebilirlik
Açık rızanın geçerli sayılabilmesi için:
- İlgili kişinin rızayı herhangi bir baskı veya zorunlu tutma olmadan vermesi,
- Rıza vermemenin, ilgili kişi üzerinde ölçüsüz olumsuz sonuçlar doğurmaması,
- Rızanın “olumlu irade beyanı” ile alınması ve bunun ispat edilebilir şekilde kayda geçirilmesi (log, form, onay ekranı vb.)
gerekir. Özellikle yurt dışına veri aktarımı için alınacak rızalarda, hangi ülkelerde hangi alıcı gruplara aktarım yapılacağı mümkün olduğunca somutlaştırılmalıdır.
5. Yurt Dışı Aktarımda Açık Rızanın Sınırları ve Pratik Sorunlar
Kurul açık rızayı yurt dışına veri aktarımında fiili olarak başat yöntem haline getirmiş olsa da, bu yaklaşımın pratikte her zaman uygulanabilir ve sürdürülebilir olmadığı açıktır.
5.1. Tüm Vakalar İçin Uygulanabilir mi?
Yurt dışına veri aktarımının şekilleri ve kapsamı düşünüldüğünde, her senaryoda işlevsel bir açık rıza almak kolay değildir. Özellikle:
- Çok sayıda ilgili kişi içeren yoğun sistemlerde,
- Teknik akışların arka planda ve gerçek zamanlı gerçekleştiği entegrasyonlarda,
- Temas noktalarının sınırlı olduğu iş süreçlerinde
her bir ilgili kişiden eksiksiz ve geçerli bir açık rıza toplamak ciddi operasyonel zorluklar yaratabilir.
5.2. Geri Alınabilirlik ve İş Sürecine Etkisi
Açık rızanın en kritik yönlerinden biri, ilgili kişi tarafından hiçbir gerekçe gösterilmeksizin geri alınabilir olmasıdır. Bu özellik:
- Belli bir iş sürecinin kesintisiz yürümesini gerektiren organizasyonlarda,
- Kritik iş uygulamalarının ve raporlama süreçlerinin yurt dışı sistemlere bağlı olduğu yapılarda
iş sürekliliği ve süreç tasarımı açısından ciddi riskler doğurabilir.
Bu nedenle, teorik olarak açık rıza almak her ne kadar çözüm gibi görünse de, pratikte her durumda “tek geçerli yöntem” olarak kabul edilmesi tartışmalıdır.
6. Aksiyon Planı ve Ticari Risk Yönetimi
Yurt dışı aktarımına ilişkin araçlar ve sürecin gerektirdiği tespitler yapıldıktan sonra, organizasyonların gecikmeden bir aksiyon planı oluşturması gerekir. Bu plan; yalnızca hukuki değil, aynı zamanda teknik ve ticari boyutları da kapsamalıdır.
6.1. Aksiyon Planının Temel Bileşenleri
- Yurt dışı aktarım araç ve kanallarının risk önceliklendirmesi (kritik, yüksek, orta, düşük).
- Her bir kanal için açık rızanın teknik ve operasyonel olarak mümkün olup olmadığının analizi.
- Mümkün olduğu ölçüde; alternatif çözümler (yerel sistemler, hibrit çözümler, sözleşmesel güvenceler) geliştirilmesi.
- Açık rızanın uygulanabilir olduğu alanlar için; geri alınması halinde iş süreçlerinin nasıl etkileneceğini dikkate alan iş sürekliliği planı hazırlanması.
- Uyum sürecinin bir defaya mahsus değil, periyodik gözden geçirmelere tabi dinamik bir yapı olarak yönetilmesi.
Kurum sayfasını incelemek için buraya, KVKK Uyum Danışmanlığı teklifi almak için buraya tıklayınız.
7. Sık Sorulan Sorular
Yurt dışına veri aktarımında her zaman açık rıza almak zorunlu mu?
Kurul uygulamalarında açık rızaya büyük ağırlık verilse de, KVKK’da farklı aktarım mekanizmaları da düzenlenmiştir. Ancak mevcut kararlar ışığında, taahhütname onaylarının gecikmesi ve güvenli ülke listesi gibi araçların belirsizliği, pratikte açık rızayı başat yöntem konumuna taşımaktadır.
Taahhütname sunmak, idari yaptırımı hafifletmek için yeterli mi?
Hayır. Kurul’un yaklaşımında, taahhütname sunmuş olmanın tek başına hafifletici bir unsur olmadığı, veri sorumlusunun süreci fiilen hukuka uygun hale getirmesinin beklendiği görülmektedir.
Açık rıza geri alındığında ne olur?
Açık rızanın geri alınması, ileriye dönük olarak rızaya dayalı işlemenin durdurulması anlamına gelir. Bu durum, yurt dışına veri aktarımı iş sürecin ayrılmaz parçasıysa, süreçlerin aksamasına neden olabilir. Bu nedenle açık rıza stratejisi, her zaman bir risk ve iş sürekliliği analiziyle birlikte değerlendirilmelidir.
KVKK uyum danışmanlığı bu süreçte ne sağlar?
KVKK uyum danışmanlığı; mevcut durum analizi, veri envanteri, aktarım kanallarının tespiti, aydınlatma ve açık rıza metinlerinin tasarımı, taahhütname ve sözleşme süreçleri gibi kritik adımları sistematik hâle getirir ve Kurul uygulamalarıyla uyumlu bir yol haritası sunar.
