Kişisel Verilerinizin Aktarılması: Yurtiçi ve Yurtdışı Aktarım Şartları
Kişisel verilerinizin aktarılması ve gizlenmesi (saklanması), KVKK çerçevesinde detaylı olarak düzenlenmiştir. Verilerin bir kurumdan başka bir kuruma, bir sistemden başka bir sisteme ya da yurtiçi ve yurtdışı ortamlara aktarılması; hem teknik hem de hukuki açıdan dikkatle yönetilmesi gereken, en kritik veri işleme faaliyetlerinden biridir.
Kişisel Verilerin Korunması Kanunu; aktarım süreçlerinde açık rıza gerekmeyen istisna hallerini de tek tek saymakta ve veri sorumlularının bu istisnaları ancak kanunda öngörülen güvenlik önlemlerini eksiksiz alarak kullanmasına izin vermektedir. Bu çerçeve, öncelikle yurtiçi aktarımlar için geçerli olup, yurtdışı aktarımlar bakımından ayrıca çok daha sıkı kurallar içermektedir.
Yurtiçi aktarım: KVKK madde 5/2 ve 6/3’teki işleme şartlarından en az biri varsa ve
gerekli güvenlik tedbirleri alınmışsa, her durumda açık rıza aranmayabilir.
Yurtdışı aktarım: Kural olarak açık rıza veya
yeterli korumaya sahip ülke + yazılı taahhüt + Kurul izni gerektirir.
Kurul’un rolü: Hangi ülkelere aktarımda “yeterli koruma” olduğu ve hangi hâllerde izin
verileceği, Kişisel Verileri Koruma Kurulu tarafından değerlendirilip karara bağlanır.
1. Yurtiçinde Kişisel Verilerinizin Aktarılması
Kişisel verilerinizin aktarılması ve korunması, kanunda detaylı biçimde düzenlenmiş; özellikle yurtiçi aktarımlar bakımından veri sorumluları için hem teknik hem hukuki organizasyon yükümlülüğü getirilmiştir. Verilerin başka bir veri sorumlusuna veya veri işleyene aktarılması halinde, KVKK madde 5 ve 6’da sayılan işleme şartlarından en az birinin bulunması zorunludur.
Kanunun 5. maddesinin ikinci fıkrasında yer alan kişisel veri işleme şartları (örneğin kanunda açıkça öngörülme, sözleşmenin kurulması veya ifası, veri sorumlusunun hukuki yükümlülüğü, bir hakkın tesisi/kullanılması/korunması, meşru menfaat vb.) ile 6. maddenin üçüncü fıkrasında özel nitelikli kişisel veriler için öngörülen istisnalar birlikte değerlendirildiğinde:
- Bu işleme koşullarından en az birinin varlığı,
- Özel nitelikli kişisel veriler açısından ayrıca kanunda öngörülen yeterli teknik ve idari güvenlik tedbirlerinin alınmış olması
hâlinde, açık rıza şartı aranmadan yurtiçinde kişisel veri aktarımı yapılabilmektedir. Yani her veri aktarımı için mutlaka açık rıza almak gerekmeyebilir; ancak istisnaların hangi somut olaya uygulanacağı dikkatle analiz edilmelidir.
Özel nitelikli kişisel verilerin (sağlık verileri, biyometrik veriler, ceza mahkûmiyeti vb.) işlenmesi ve aktarımında ise, hem KVKK’nın 6. maddesinde sayılan açık istisnalar hem de ikincil mevzuatta yer alan özel koruma yükümlülükleri dikkate alınmalıdır.
2. Yurtdışına Kişisel Verilerinizin Aktarılması
Kişisel verilerinizin yurtdışına aktarılması, KVKK’da ayrıca ve daha sıkı kurallarla düzenlenmiştir. Kanunun 9. maddesi temel olarak şu ilkeye dayanır:
“Kişisel veriler, kural olarak ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz.”
Ancak, tıpkı yurtiçi aktarımlarda olduğu gibi, KVKK madde 5/2 ve 6/3’te sayılan işleme şartlarından en az birinin bulunması ve ayrıca aktarım yapılacak yabancı ülkede yeterli korumanın sağlanması hâlinde, açık rıza aranmaksızın da yurtdışı aktarım mümkün olabilmektedir. Bu bağlamda:
- Yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu tarafından değerlendirilerek ilan edilir.
- Yeterli korumanın bulunmadığı durumlarda; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’dan gerekli iznin alınması gereklidir.
Özel nitelikli kişisel veriler söz konusu olduğunda, risk seviyesi yükseldiği için; açık rıza olmasa dahi kanunun istisnai hükümleri, ikincil düzenlemeler ve Kurul kararları çerçevesinde, yurtdışı aktarımda güvenlik önlemleri katmanlı şekilde uygulanmalıdır.
Özetle, yurtdışı aktarımda iki temel eksen bulunur:
- Hukuki temel: Açık rıza veya istisnai işleme şartlarından en az biri,
- Güvenlik seviyesi: Yeterli korumaya sahip ülke + yazılı taahhüt + Kurul izni.
3. KVKK Kurulu’nun Rolü ve Yeterli Koruma Kriterleri
Kişisel verilerin yurtdışına aktarılmasında hangi ülkelerin “yeterli korumaya sahip” sayılacağına ve hangi hâllerde yazılı taahhütler üzerinden aktarım izni verileceğine, Kişisel Verileri Koruma Kurulu karar verir.
Kurul bu değerlendirmede özetle şu unsurları dikkate alır:
- Türkiye’nin taraf olduğu uluslararası sözleşmeler,
- Veri talep eden ülke ile Türkiye arasında karşılıklılık (reciprocity) durumu,
- Kişisel verinin niteliği, işlenme amacı ve saklama süresi,
- Aktarım yapılacak ülkedeki veri koruma mevzuatı ve bu mevzuatın uygulama pratiği,
- Aktarım yapılacak ülkedeki veri sorumlusu/veri işleyenin aldığı teknik ve idari güvenlik tedbirleri.
Bu değerlendirme sonucunda Kurul; ilgili ülkenin yeterli korumaya sahip olup olmadığına karar verir veya somut taahhütler çerçevesinde belirli bir aktarım modeline izin verir. Taraf olunan uluslararası belgeler, ikili ilişkiler ve pratik uygulamalar, bu kararların arka planında önemli rol oynar.
Bu nedenle, yurtdışı veri aktarımı planlayan kurumların Kurul kararlarını, rehberlerini ve güncel duyuruları yakından takip etmesi; aktarım sözleşmelerini ve teknik altyapısını buna göre yapılandırması gerekir.
4. Kurumsal Altyapı ve Danışmanlık İhtiyacı
Kişisel verilerinizin yurtiçi ve yurtdışına aktarımında, yalnızca teorik olarak kanun maddelerini bilmek yeterli değildir. Bu kuralların, şirketinizin uygulamadaki iş süreçlerine ve bilgi sistemlerine entegre edilmesi gerekir. Aksi hâlde; iyi niyetli olsanız bile, eksik veya hatalı uygulamalar sebebiyle ciddi idari ve cezai yaptırımlarla karşılaşabilirsiniz.
Bu yüzden, kişisel verilerin aktarımı konusunda:
- Veri envanteri ve veri akış haritalarının çıkarılması,
- Yurtiçi ve yurtdışı aktarım noktalarının tespit edilmesi,
- Sözleşmelerin, açık rıza metinlerinin ve aydınlatma metinlerinin gözden geçirilmesi,
- Yeterli koruma analizlerinin yapılması ve Kurul kararlarının takip edilmesi,
- Teknik ve idari güvenlik tedbirlerinin (şifreleme, erişim kontrolü, loglama vb.) uygulanması
gibi adımlar, mutlaka profesyonel rehberlik eşliğinde yürütülmelidir.
NESİL TEKNOLOJİ olarak, özellikle yurtdışı bağlantısı olan kurumlar için; aktarım süreçlerinin baştan sona KVKK’ya, ikincil düzenlemelere ve Kurul kararlarına uyumlu olacak şekilde tasarlanmasını, uygulanmasını ve düzenli olarak denetlenmesini sağlayacak danışmanlık hizmetleri sunmaktayız.
5. Sık Sorulan Sorular
Kişisel verilerim açık rızam olmadan yurtiçinde aktarılabilir mi?
Evet, KVKK’nın 5/2 ve 6/3 maddelerinde sayılan işleme şartlarından en az biri varsa ve gerekli teknik ile idari güvenlik tedbirleri alınmışsa, her durumda açık rıza aranmayabilir. Ancak bu istisnalar dar yorumlanmalı ve her aktarım için ayrı ayrı hukuki değerlendirme yapılmalıdır.
Yurtiçi ve yurtdışı veri aktarımı arasında ne fark var?
Yurtiçi aktarımlarda KVKK madde 5 ve 6’daki işleme şartları esas alınırken, yurtdışı aktarımlarda buna ek olarak aktarılacak ülkenin yeterli korumaya sahip olup olmadığı ve Kurul’un bu konudaki kararları da dikkate alınır. Yani yurtdışı aktarımda hem hukuki temel hem de uluslararası düzeyde güvenlik seviyesi birlikte değerlendirilir.
Yeterli koruma ne demek, hangi ülkeler güvenli sayılır?
Yeterli koruma; kişisel verilerin aktarıldığı ülkede, KVKK’ya benzer seviyede bir veri koruma rejiminin ve etkin bir uygulamanın bulunması anlamına gelir. Hangi ülkelerin bu kapsama girdiği, Kişisel Verileri Koruma Kurulu’nun “güvenli ülke” kararlarıyla belirlenir ve ilan edilir.
Açık rıza almadan yurtdışına veri aktarabilir miyiz?
Ancak sınırlı şartlarda mümkündür. KVKK’daki istisnai işleme şartlarından en az biri varsa ve aktarım yapılacak ülke yeterli korumaya sahipse veya taraflar yazılı taahhütlerle yeterli korumayı garanti edip Kurul’dan izin almışsa, açık rıza olmadan da yurtdışı aktarım yapılabilir. Aksi durumda açık rıza genel kuraldır.
“Açık rıza” metninde nelere dikkat etmeliyim?
Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olmalıdır. Bu nedenle; hangi verinin, hangi amaçla, hangi ülkelere ve kimlere aktarılacağı açık ve anlaşılır şekilde belirtilmeli; rızanın koşula bağlanmış, genel ve belirsiz ifadeler içermemesine dikkat edilmelidir.
Yurtdışı aktarım süreçleri için neden danışmanlık alınmalı?
Çünkü yurtdışı aktarım; sadece teknik bir entegrasyon değil, aynı zamanda karmaşık bir hukuki süreçtir. Ülke mevzuatlarının, Kurul kararlarının, sözleşme hükümlerinin ve güvenlik tedbirlerinin bir arada yönetilmesi gerekir. Profesyonel danışmanlık, hem cezai riskleri azaltır hem de veri aktarım sürecinin iş sürekliliğini bozmadan yürütülmesini sağlar.
