Yurtdışına Veri Aktarımı (KVKK m.9): Şartlar, Açık Rıza ve Yeterli Korumalı Ülkeler

KVKK · Yurtdışına Veri Aktarımı · Veri Koruma

Yurtdışına Veri Aktarımı (KVKK m.9) Şartlar ve Uygulama Rehberi

6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel verinin yurtdışına aktarımı, yalnızca belirli şartların sağlanması halinde mümkündür. İlgili kişinin açık rızası, yeterli korumaya sahip ülkelere aktarım, yeterli korumanın bulunmadığı ülkelere aktarımda yazılı taahhüt ve Kurul izni gibi kavramlar, bu sürecin merkezinde yer alır.

Bu rehber, KVKK’nın 9. maddesi uyarınca yurtdışına veri aktarımı için aranan hukuki şartları; açık rıza, yeterli koruma, özel nitelikli kişisel veriler, yazılı taahhüt ve Kurul izni perspektifinden sade ve uygulamaya dönük bir dille açıklamaktadır. Böylece hem veri sorumluları hem de ilgili kişiler, hangi durumlarda verinin yurtdışına aktarılabileceğini daha net görebilecektir.

Genel Çerçeveyi Gör Yeterli Koruma Şartları

İçindekiler 1. KVKK m.9 ve Yurtdışına Veri Aktarımı 2. Açık Rıza ile Yurtdışına Veri Aktarımı 3. Yeterli Korumaya Sahip Ülkelere Aktarım 4. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarımı 5. Yeterli Koruma Olmayan Ülkelere Aktarım ve Taahhüt 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Temel kural: Kişisel verilerin yurtdışına aktarımı için ya açık rıza ya da KVKK’da sayılan işleme şartları + yeterli koruma ve gerektiğinde Kurul izni aranır.
Yeterli koruma varsa: KVKK m.5/2 veya m.6/3’teki işleme şartlarından biri mevcutsa, açık rıza aranmaksızın aktarım mümkündür.
Yeterli koruma yoksa: İşleme şartlarına ek olarak, Türkiye’deki ve yurtdışındaki veri sorumlularının yazılı taahhüt vermesi ve Kurul izni gereklidir.

Yazı, kvkk.gov.tr sitesinde yer alan resmi açıklamalar temel alınarak hazırlanmış olup bilgilendirme amaçlıdır; somut dosyalarınız için hukuki danışmanlık yerine geçmez.

Yurtdışına Veri Aktarımı KVKK m.9 Yeterli Korumalı Ülkeler

Kaynak: Bu içerik, Kişisel Verileri Koruma Kurumunun yurtdışına veri aktarımı konulu bilgilendirme metinleri ve KVKK m.9 çerçevesinde hazırlanmıştır. Orijinal metinler için www.kvkk.gov.tr adresine başvurulmalıdır.

1. KVKK m.9 ve Yurtdışına Veri Aktarımı: Genel Çerçeve

6698 sayılı Kişisel Verilerin Korunması Kanununun 9. maddesi, kişisel verilerin yurtdışına aktarılmasına ilişkin özel kuralları düzenler. Kanun, temel olarak kişisel verilerin yurtiçinde işlenmesi için aranan şartları, yurtdışına aktarımda da aramakta; buna ek olarak “yeterli koruma” ve Kurul izni gibi ilave güvenceler öngörmektedir.

Kişisel verinin yurtdışına aktarılabilmesi için aşağıdaki durumlardan en az birinin bulunması zorunludur:

İlgili kişinin (örneğin çalışan, üye, müşteri) açık rızasının bulunması,
Kişisel verinin yeterli korumaya sahip ülkelere aktarılmasında, verinin niteliğine göre KVKK m.5/2 veya m.6/3’te belirtilen işleme şartlarından birinin mevcut olması,
Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında; yine verinin niteliğine göre KVKK m.5/2 veya m.6/3’teki işleme şartlarından birinin varlığı + Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.

Özetle, Kanun; kişisel verilerin işlenmesi bakımından aradığı hukuka uygunluk sebeplerini yurtdışına aktarım için de aramakta, fakat yurtdışı aktarımda ek koruma katmanları talep etmektedir.

2. İlgili Kişinin Açık Rızası ile Yurtdışına Veri Aktarımı

KVKK m.9 kapsamında en temel yurtdışı veri aktarım şartı, ilgili kişinin açık rızasıdır. Eğer ilgili kişi; kapsamı, amacı, hangi ülkeye/kuruluşa aktarım yapılacağını ve olası sonuçları hakkında bilgilendirildikten sonra özgür iradesiyle açık rıza veriyorsa, kişisel verinin yurtdışına aktarılması kural olarak mümkündür.

Açık rızanın “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan” bir irade beyanı olması gerekir. Uygulamada açık rıza;

Elektronik ortamda kutucuk işaretleme,
SMS doğrulaması,
Bağlantı (link) üzerinden onay verme,
Gerekli log ve kayıtlarla saklanan dijital formlar

yoluyla alınabilmektedir.

Açık rızanın ispatı için, kullanılan yöntemlerin zaman damgası ile desteklenmesi önemlidir. Örneğin; TÜBİTAK zaman damgası ile desteklenen bir “Açık Rıza Yazılımı” kullanılarak, rızanın alındığı zaman ve içerik kayıt altına alınabilir. Böylece hem ilgili kişiye şeffaflık sağlanır hem de veri sorumlusu, sonradan doğabilecek uyuşmazlıklarda rızayı ispat edebilir.

Hatırlatma: Açık rıza, her zaman zorunlu ve tek seçenek değildir. KVKK m.5/2 ve m.6/3 kapsamındaki diğer işleme şartları mevcutsa, bazı durumlarda açık rıza olmaksızın da yurtdışına veri aktarımı mümkün olabilir. Ancak bu durumda “yeterli koruma” ve Kurul izni şartları ayrıca değerlendirilmelidir.

3. Yeterli Korumaya Sahip Ülkelere Yurtdışına Veri Aktarımı

Kişisel verinin, Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip ülke olarak belirlenip ilan edilen bir ülkeye aktarılması söz konusu ise, açık rıza dışında şu şartlar devreye girer:

Öncelikle aktarılacak verinin özel nitelikli kişisel veri olup olmadığı belirlenir ve buna göre iki ayrı senaryo ortaya çıkar.

3.1. Özel Nitelikli Olmayan Kişisel Veriler

Aktarılacak veri, özel nitelikli kişisel veri değilse; KVKK m.5/2’de sayılan işleme şartlarından en az birinin mevcut olması gerekir. Bu şartlar şunlardır:

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından verinin alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu şartlardan biri mevcutsa ve hedef ülke “yeterli korumaya sahip ülke” olarak belirlenmişse, ilgili kişinin açık rızası aranmaksızın yurtdışına veri aktarımı yapılabilir.

3.2. Özel Nitelikli Kişisel Veriler

Aktarılacak veri özel nitelikli kişisel veri ise; bu kez KVKK m.6/3 devreye girer. İlgili hükme göre:

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde işlenebilir/aktarılabilir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir/aktarılabilir.

Bu şartlardan biri mevcutsa ve aktarım yapılan ülke Kurul tarafından yeterli korumalı ülke olarak ilan edilmişse, ilgili kişinin açık rızası aranmaksızın yurtdışına veri aktarımı mümkündür.

4. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarımı

Özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, din, mezhep, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik ve genetik veriler), KVKK’da daha sıkı koruma altına alınmıştır.

Yurtdışına aktarımda da bu sıkı koruma devam eder. Bu nedenle veri sorumlularının:

Verinin özel nitelikli olup olmadığını doğru sınıflandırması,
İşleme/aktarımı dayandıracağı hukuki sebebi netleştirmesi,
Teknik ve idari tedbirleri (şifreleme, erişim kontrolü, loglama vb.) artırması,
Yeterli koruma, taahhüt ve Kurul izni süreçlerini dikkatle yönetmesi

gerekmektedir.

Pratik ipucu: Özel nitelikli verilerin yurtdışına aktarıldığı her senaryoda, yalnızca hukuki şartlara değil, aynı zamanda “ölçülülük” ilkesine de dikkat edilmelidir. İşlem için gerçekten gerekli olmayan hiçbir veri aktarılmamalıdır.

5. Yeterli Koruma Olmayan Ülkelere Aktarım ve Yazılı Taahhüt

Kişisel verinin aktarılacağı ülke, Kurul tarafından ilan edilen yeterli korumaya sahip ülkeler listesinde değilse, yani yeterli korumanın bulunmadığı bir ülke ise; bu durumda daha sıkı bir mekanizma devreye girer.

Böyle bir durumda yurtdışına veri aktarımı için şu şartların birlikte sağlanması gerekir:

Aktarılan veri özel nitelikli değilse KVKK m.5/2; özel nitelikli kişisel veri ise KVKK m.6/3 kapsamındaki işleme şartlarından en az birinin varlığı,
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının, yeterli bir korumayı yazılı olarak taahhüt etmeleri,
Söz konusu taahhütlere ilişkin Kurul’dan izin alınmış olması.

Bu şartlar sağlandığında, yeterli korumaya sahip olmayan bir ülkeye de, ilgili kişinin açık rızası aranmaksızın veri aktarımı yapılabilecektir.

5.1. Yazılı Taahhüt Nasıl Olmalıdır?

Türkiye’deki ve yurtdışındaki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri; pratikte genellikle standart sözleşme maddeleri, veri aktarım sözleşmeleri veya taahhütname metinleri üzerinden gerçekleşir. Bu metinlerde en azından:

Aktarımın amacı ve kapsamı,
İşlenecek veri kategorileri,
Alıcı tarafın teknik ve idari tedbirleri,
İlgili kişilerin haklarına saygı ve başvuru mekanizmaları,
Veri ihlali bildirim yükümlülükleri,
Veri saklama süreleri ve imha prosedürleri

açık ve anlaşılır şekilde düzenlenmelidir.

Yeterli koruma bulunmayan ülkeler Kurul izni Yazılı taahhüt

6. Sık Sorulan Sorular (SSS)

Yurtdışına veri aktarımı için her zaman açık rıza almak zorunlu mu?

Hayır. Açık rıza, yurtdışına veri aktarımının bir hukuki sebebidir ancak tek yol değildir. Yeterli korumaya sahip ülkelere aktarımda, KVKK m.5/2 veya m.6/3’teki işleme şartlarından biri mevcutsa, bazı durumlarda açık rıza olmaksızın da veri aktarımı yapılabilir. Yeterli koruma olmayan ülkelere aktarımda ise işleme şartlarına ek olarak yazılı taahhüt ve Kurul izni aranır.

“Yeterli korumaya sahip ülkeler” listesine nereden ulaşabilirim?

Yeterli korumaya sahip ülkeler, Kişisel Verileri Koruma Kurulu tarafından belirlenir ve ilan edilir. Güncel listeye ulaşmak için Kişisel Verileri Koruma Kurumunun resmi internet sitesini (kvkk.gov.tr) düzenli olarak takip etmek gerekir.

Yurtdışındaki bulut hizmetleri de “yurtdışına veri aktarımı” sayılır mı?

Evet. Kişisel verilerin Türkiye sınırları dışındaki bir sunucuda depolanması, işlenmesi veya yedeklenmesi genel olarak “yurtdışına veri aktarımı” kapsamına girer. Bu nedenle bulut sağlayıcıların bulunduğu ülke veya ülkeler de KVKK m.9 çerçevesinde değerlendirilmelidir.

Yeterli koruma olmayan ülkeye aktarımda hangi ek adımlar gerekir?

Öncelikle verinin niteliğine göre KVKK m.5/2 veya m.6/3’teki işleme şartlarından en az biri mevcut olmalıdır. Buna ek olarak, Türkiye’deki ve yurtdışındaki veri sorumluları yeterli korumayı yazılı olarak taahhüt etmeli ve bu taahhüt Kurulun onayından geçmelidir. Bu şartlar sağlanmadan, ilgili kişinin açık rızası da yoksa veri aktarımı yapılamaz.

Açık rızayı nasıl ispat edebilirim?

Açık rıza elektronik ortamda alınmışsa; tarih, içerik ve ilgili kişiye özgü bilginin log kayıtları, zaman damgası, imzalı formlar veya benzeri ispat araçlarıyla saklanması gerekir. Örneğin SMS veya link yoluyla alınan rızaların, TÜBİTAK zaman damgalı kayıtlarla desteklenmesi, hem şeffaflık hem de ispat açısından önemlidir.

Bu metin hukuki danışmanlık yerine geçer mi?

Hayır. Bu metin, KVKK m.9 ve Kurumun yayımladığı bilgilendirme notları temel alınarak hazırlanmış genel bir rehber niteliğindedir. Somut bir yurtdışı veri aktarımı projesi yürütüyorsanız, mutlaka KVKK alanında uzman bir hukukçudan profesyonel danışmanlık almanız gerekir.