KVKK m.9 Kapsamında Kişisel Verilerin Yurt Dışına Aktarılması

KVKK · Yurt Dışına Aktarım · Madde 9

KVKK m.9 Kapsamında Kişisel Verilerin Yurt Dışına Aktarılması: Açık Rıza, İstisna ve Taahhütname

KVKK’ya göre yurt dışına kişisel veri aktarımı; Türkiye’de toplanan veya işlenen kişisel verilerin, yurt dışında bulunan veri sorumlusu / veri işleyen taraflara iletilmesi, erişime açılması ya da yurt dışındaki sistemlerde saklanması anlamına gelir. Bulut hizmetleri, global CRM/ERP sistemleri, e-posta altyapıları, tedarikçi çağrı merkezi hizmetleri gibi süreçlerde bu konu doğrudan gündeme gelir.

KVKK m.9’un temel yaklaşımı şudur: Genel kural açık rızadır. Ancak bazı durumlarda, KVKK m.5/2 ve m.6/3’teki işleme şartları mevcutsa ve ayrıca aktarım yapılacak ülkede yeterli koruma varsa veya taahhütname + Kurul izni sağlanıyorsa, aktarım açık rıza olmaksızın da mümkün olabilir. Bu nedenle kurumlar için “yurt dışına aktarım” konusu, hem hukuki hem de teknik-idari uyum gerektirir.

KVKK m.9 Dayanak Aktarım Kararı Nasıl Verilir?

İçindekiler 1. Hukuki Dayanak: KVKK m.9 ve Yurt Dışına Aktarım 2. Genel Kural ve Şartlar: Açık Rıza, İstisna ve Yeterli Koruma 3. Aktarım Kararı İçin Kontrol: Adım Adım Değerlendirme 4. Kurumsal Örnek Senaryolar: Bulut, Tedarikçi, Grup Şirketi 5. Uyum, Riskler ve En İyi Uygulamalar 6. Sık Sorulan Sorular

Hızlı Özet

Hukuki dayanak: KVKK m.9 (yurt dışına aktarım).
Genel kural: Açık rıza olmaksızın yurt dışına aktarım yapılamaz.
İstisna: m.5/2 veya m.6/3 şartı + yeterli koruma veya taahhütname + Kurul izni.
Kritik noktalar: Alıcı ülke/kurum, aktarım amacı, veri kategorisi, güvenlik tedbirleri, sözleşmesel güvenceler ve kayıt/kanıt mekanizması.
Tipik alanlar: Bulut barındırma, SaaS (CRM/ERP), e-posta, global çağrı merkezi, analitik/etiket yönetimi, grup şirketleri.

KVKK m.9 Açık Rıza Yeterli Koruma Taahhütname

Not: “Veri Türkiye’de duruyor ama erişim yurt dışından” veya “altyapı bulutta” gibi senaryolarda da fiilen yurt dışına aktarım / yurt dışından erişim riski doğabilir. Bu yüzden aktarım değerlendirmesi, yalnızca sözleşme metinleriyle değil; mimari, erişim yetkileri, loglar ve teknik güvenlik önlemleriyle birlikte ele alınmalıdır.

1. Hukuki Dayanak: KVKK m.9 ve Yurt Dışına Aktarım

Kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kanun’un 9. maddesi kapsamında düzenlenir. Bu madde, aktarıma ilişkin genel kuralı (açık rıza) ve istisnai şartları birlikte ele alır.

Pratikte veri sorumluları için m.9, üç ana soruyu netleştirir:

Hukuki zemin: Açık rıza var mı? Yoksa m.5/2 veya m.6/3 şartı mevcut mu?
Aktarım güvencesi: Alıcı ülkede yeterli koruma var mı? Yoksa taahhütname + Kurul izni gerekir mi?
Güvenlik ve ispat: Teknik-idari tedbirler, sözleşmesel hükümler ve kayıtlar denetimde sunulabilir mi?

1.1. “Yurt Dışına Aktarım” Neleri Kapsar?

Yurt dışına aktarım yalnızca “verinin fiziksel olarak başka ülkede saklanması” değildir. Aşağıdakiler de tipik aktarım örnekleridir:

Yurt dışındaki bir SaaS uygulamasına (CRM/ERP/Helpdesk) veri girilmesi,
Yurt dışındaki sunucularda barındırma / yedekleme yapılması,
Yurt dışındaki destek ekibinin (support) veriye erişebilmesi,
Analitik/etiket yönetimi servisleri ile veri paylaşılması.

1.2. “Yeterli Koruma” Mantığı

KVKK sistemi, yurt dışına aktarımda ülke bazlı koruma yaklaşımını esas alır. Alıcı ülkede yeterli koruma bulunması hâlinde süreç kolaylaşır; yeterli koruma yoksa, veri sorumluları yazılı taahhüt ve Kurul izni yoluna gider.

2. Genel Kural ve Şartlar: Açık Rıza, İstisna ve Yeterli Koruma

KVKK m.9’a göre genel kural; kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamamasıdır. Ancak aşağıdaki koşullar birlikte sağlanıyorsa, açık rıza olmaksızın aktarım gündeme gelebilir.

Senaryo	Gerekli Şart	Kurumsal Not
Açık rıza ile aktarım	İlgili kişiden bilgilendirmeye dayalı açık rıza	Rıza metni; alıcı ülke/kurum, amaç, veri kategorisi ve riskleri net anlatmalıdır.
Açık rıza olmadan aktarım	m.5/2 veya (özel nitelikli ise) m.6/3 işleme şartı	Önce “işleme şartı” doğrulanır; sonra ülke/güvence değerlendirmesi yapılır.
Yeterli koruma var	Alıcı ülkede yeterli koruma bulunması	Yine de veri minimizasyonu + güvenlik tedbirleri + sözleşme şartları önemlidir.
Yeterli koruma yok	Taahhütname + Kurul izni	Tedarikçi/grup şirketi ile yazılı güvence + izin süreci planlanmalıdır.

Ayrıca KVKK m.5/2 ve m.6/3’te yer alan işleme şartları (kanunda öngörülme, sözleşmenin ifası, hukuki yükümlülük, hakkın tesisi/korunması, meşru menfaat vb.) yurt dışına aktarımda da belirleyicidir.

3. Aktarım Kararı İçin Kontrol: Adım Adım Değerlendirme

Yurt dışına aktarım süreçleri kurum içinde “tek seferlik” değil, çoğu zaman süreklilik arz eden operasyonel akışlardır. Bu nedenle karar mekanizmasının yazılı, izlenebilir ve denetlenebilir olması önerilir.

3.1. Temel Kontrol Adımları

Aktarımın tanımlanması: Hangi sistem? Hangi ülke? Hangi alıcı (veri sorumlusu / veri işleyen)?
Veri kategorisi: Aktarılan veriler (kimlik, iletişim, finans, çalışan verisi, özel nitelikli veri vb.) netleştirilir.
Hukuki zemin: Açık rıza var mı? Yoksa m.5/2 veya m.6/3 şartı mevcut mu?
Ülke güvencesi: Yeterli koruma var mı? Yoksa taahhütname + Kurul izni gerekir mi?
Güvenlik tedbirleri: Şifreleme, erişim kontrolü, loglama, DLP, yedekleme, saklama/retention.
Sözleşmesel hükümler: Veri işleyen sözleşmesi, alt işleyenler, ihlal bildirimi, denetim hakkı, iade/imha.

3.2. İspat ve Denetim Açısından Minimum Kayıtlar

Uyumun sürdürülebilirliği için aşağıdaki kayıtların tutulması güçlü bir pratik sağlar:

Aktarım envanteri (sistem–ülke–alıcı–amaç–veri kategorisi)
Hukuki sebep değerlendirmesi (m.5/2 veya m.6/3 analizi)
Aydınlatma metni ve varsa açık rıza kayıtları
Taahhütname/izin süreci dokümantasyonu
Teknik kontrollerin kanıtları (log, politika, konfigürasyon özetleri)

Pratik öneri: Kurum içinde “yurt dışına aktarım kontrol formu” (checklist) oluşturup her yeni tedarikçi / yeni sistem devreye alımında bu formu onay akışına bağlamak, hem operasyonu hızlandırır hem de denetimlerde ispat kolaylığı sağlar.

4. Kurumsal Örnek Senaryolar: Bulut, Tedarikçi, Grup Şirketi

Yurt dışına aktarım çoğu kurumda “tek bir işlem” değil; farklı iş birimleri tarafından kullanılan çok sayıda sistem ve tedarikçi üzerinden gerçekleşir. Aşağıdaki örnekler, KVKK m.9 değerlendirmesinin pratikte nasıl çalıştığını gösterir.

4.1. Bulut (SaaS) CRM/ERP Kullanımı

Yurt dışında barındırılan bir CRM/ERP sistemine müşteri/çalışan verisi girilmesi, çoğu durumda yurt dışına aktarım olarak değerlendirilir. Bu senaryoda veri sorumlusu; alıcı ülke, veri kategorileri, alt işleyenler, erişim yetkileri ve ihlal yönetimini netleştirmelidir.

Açık rıza veya m.5/2–m.6/3 şartı doğrulanır.
Yeterli koruma yoksa taahhütname + Kurul izni planlanır.
Şifreleme, MFA, rol bazlı erişim, loglama gibi teknik kontroller uygulanır.

4.2. Yurt Dışındaki Çağrı Merkezi / Destek Hizmeti

Yurt dışındaki bir destek ekibinin veriye erişebilmesi, doğrudan aktarım riskini artırır. “Sadece görüntülüyorlar” yaklaşımı yeterli değildir; erişim de bir aktarım niteliği doğurabilir. Bu nedenle erişim yetki minimizasyonu ile tasarlanmalıdır.

4.3. Grup Şirketine Aktarım

Grup şirketleri arasında veri paylaşımı (ör. global İK, global finans, merkezi güvenlik), düzenli aktarımlarda “hukuki zemin + ülke güvencesi + sözleşme + teknik tedbir” bütünlüğü gerektirir.

5. Uyum, Riskler ve En İyi Uygulamalar

Yurt dışına aktarım süreçlerinde en sık görülen risk; “teknik süreç çalışıyor” diye hukuki şartların gözden kaçmasıdır. Oysa KVKK m.9, teknik altyapı kadar hukuki uygunluk ve kanıtlanabilirlik de ister.

5.1. Başlıca Riskler

Aktarım envanteri olmadan “gizli” yurt dışı veri akışlarının oluşması (shadow IT).
Taahhütname/izin gerektiren ülkelere kontrolsüz aktarım yapılması.
Alt işleyenlerin (sub-processor) yönetilmemesi ve zincir riskinin büyümesi.
Aydınlatma metinlerinin yurt dışı aktarımı açıkça kapsamaması.
İhlal halinde bildirim ve müdahale planlarının yetersiz kalması.

5.2. Uyum İçin En İyi Uygulamalar

Yurt dışı aktarım envanteri çıkarın (ülke, alıcı, sistem, veri kategorisi, amaç).
Tedarikçiler için veri işleyen sözleşmesi + alt işleyen kontrolü + denetim hakkı kurgulayın.
Erişimleri rol bazlı sınırlayın, MFA ve loglamayı zorunlu kılın.
Veri minimizasyonu uygulayın: Gereksiz veri alanlarını aktarım sürecinden çıkarın.
Kurumsal prosedür: Yeni sistem/tedarikçi alımında “KVKK m.9 kontrol formu” zorunlu olsun.

Kaynak (resmî): KVKK – Yurt Dışına Aktarım Bilgilendirmesi

6. Sık Sorulan Sorular

Yurt dışına aktarım için her zaman açık rıza mı gerekir?

Genel kural açık rızadır. Ancak KVKK m.5/2 veya (özel nitelikli verilerde) m.6/3 kapsamında bir işleme şartı varsa ve ayrıca alıcı ülkede yeterli koruma bulunuyorsa veya taahhütname + Kurul izni sağlanıyorsa, açık rıza olmaksızın aktarım gündeme gelebilir.

Veri Türkiye’de ama yurt dışındaki ekip erişebiliyorsa bu aktarım sayılır mı?

Erişim modeli, pratikte aktarım riskini doğurabilir. Bu nedenle “fiziksel konum” kadar erişim yetkileri, destek süreçleri ve uzaktan erişim altyapısı da değerlendirilmelidir.

Taahhütname ne zaman gerekir?

Alıcı ülkede yeterli koruma bulunmadığı durumda, Türkiye’deki ve yabancı ülkedeki veri sorumlularının kişisel verilerin korunacağına ilişkin yazılı taahhüt vermesi ve Kurul izni alınması gerekir.

Bulut (SaaS) kullanıyorsam ne yapmalıyım?

Önce veri akışını çıkarın (hangi veri, hangi ülke, hangi alıcı). Ardından hukuki zemini belirleyin (açık rıza veya m.5/2–m.6/3), ülke güvencesini değerlendirin (yeterli koruma / taahhütname) ve sözleşme + teknik kontrolleri tamamlayın.

KVKK m.9 Yurt Dışına Veri Aktarımı Taahhütname Yeterli Koruma Açık Rıza