Kişisel Verilerin Yurt Dışına Aktarılması: Yeni Düzenleme Rehberi ve 2026 Uyum Stratejileri
Türkiye’nin veri koruma hukukunda 2024 reformları ile başlayan ve 2026’da tam anlamıyla olgunlaşan süreç, yurt dışına veri aktarımı rejimini kökten değiştirdi. Artık “açık rıza” güvenli bir liman değil; işletmeler için Standart Sözleşmeler ve Yeterlilik Kararları gibi kurumsallaşmış güvence mekanizmaları esas alınıyor.
Bu rehberde, 1 Haziran 2024’te yürürlüğe giren yeni KVKK 9. madde yapısını, işletmelerin yapması gereken 5 iş günlük kritik bildirimleri ve 2026 yılı yeniden değerleme oranlarıyla 1.8 Milyon TL’yi aşan cezai riskleri en ince detayına kadar analiz ediyoruz.
Temel Değişim: Açık rıza artık genel kural değil, “istisna”dır. Asıl yöntem “Yeterlilik Kararı” veya “Uygun Güvenceler”dir.
Kritik Süreç: Standart sözleşmeler imzalandıktan sonra 5 iş günü içinde Kurul’a bildirilmek zorundadır.
2026 Riski: Bildirim yükümlülüğüne aykırılık cezası 1.806.177 TL seviyesine ulaşmıştır.
Teknoloji: Google, AWS, Yapay Zeka araçları kullanımında veri aktarımı kuralları sıkılaşmıştır.
1. Açık Rızadan Güvence Mekanizmalarına: Paradigma Değişimi
2016 yılında hayatımıza giren KVKK, yurt dışına veri aktarımı konusunda uzun yıllar boyunca “tıkanıklık” yaşadı. Eski sistemde ya “Yeterlilik Kararı” (ki uzun süre hiç yayınlanmadı) ya da “Açık Rıza” gerekiyordu. Şirketler de operasyonel kolaylık adına, çalışanlarından veya müşterilerinden aldıkları bir imza ile (Açık Rıza) tüm verileri yurt dışındaki sunuculara (AWS, Google Drive, Salesforce vb.) aktarma yolunu seçtiler.
Ancak 2024 reformu ve 2026 itibarıyla oturan yeni düzenleme bu yolu kapattı. Neden mi? Çünkü açık rıza, kişinin her an geri alabileceği bir haktır. Ticari hayatın sürekliliği (örneğin bir bankanın yurt dışı muhabir bankasıyla çalışması veya global bir şirketin İK verilerini merkezi sunucuda tutması) pamuk ipliğine bağlı bir “rıza”ya dayandırılamazdı.
Yeni mimari, Avrupa Birliği’nin GDPR (Genel Veri Koruma Tüzüğü) standartlarıyla birebir uyumlu, kademeli bir hiyerarşi getirdi:
- 1. Kademe (En Öncelikli): Yeterlilik Kararı (Güvenli Ülkeler).
- 2. Kademe (Eğer Karar Yoksa): Uygun Güvenceler (Standart Sözleşmeler, BŞK, Taahhütnameler).
- 3. Kademe (Son Çare): Arızi (İstisnai) Haller.
Bu sıralama keyfi değildir. Birinci veya ikinci maddedeki şartları sağlamadan, doğrudan üçüncü maddeye (açık rızaya) başvurmak artık hukuka aykırı kabul edilmektedir.
2. Yeterlilik Kararı Müessesesi ve Güvenli Bölgeler
Veri aktarımında en sorunsuz, en maliyetsiz ve operasyonel yükü en az olan yöntem, aktarım yapılacak ülkenin Türkiye tarafından “güvenli” ilan edilmesidir. Kurul, bir ülkeye “Yeterlilik Kararı” verdiğinde, o ülkeye yapılacak aktarımlar için ayrıca izin almanıza veya sözleşme yapmanıza gerek kalmaz (tabii ki Kanun’un genel işleme şartlarına uymak kaydıyla).
2026 itibarıyla Türkiye’nin güvenli kabul ettiği bölgeler şunlardır:
| Bölge / Yapı | Kapsamdaki Ülkeler | Pratik Anlamı |
|---|---|---|
| Avrupa Birliği (AB) | Almanya, Fransa, İtalya, Hollanda ve diğer tüm 27 üye ülke. | AB ülkelerine veri aktarırken ek izin gerekmez. |
| Avrupa Ekonomik Alanı | İzlanda, Lihtenştayn, Norveç. | AB kararı ile paralel statüdedir. |
| Birleşik Krallık | İngiltere, İskoçya, Galler, Kuzey İrlanda. | Brexit sonrası ayrı bir kararla güvenli bölgeye eklenmiştir. |
| Diğer Stratejik Ülkeler | İsviçre, Japonya, Güney Kore, Yeni Zelanda. | Bu ülkelere yapılan aktarımlar serbesttir. |
3. Uygun Güvencelere Dayalı Aktarımlar: Standart Sözleşmeler
Eğer veriyi aktaracağınız ülke yukarıdaki “Güvenli Liste”de yoksa (örneğin ABD, Çin, Rusya veya Hindistan), veri sorumlusu olarak güvenli bir tünel inşa etmek zorundasınız. Bu tünelin adı: Standart Sözleşmeler.
Kurul, içeriğini değiştiremeyeceğiniz, sadece ilgili boşlukları doldurabileceğiniz hazır sözleşme metinleri yayımlamıştır. Bu sözleşmeler, aktarımın taraflarına göre 4 farklı modüle ayrılır. Yanlış modülü seçmek, sözleşmeyi geçersiz kılar.
3.1. Dört Farklı Modül ve Anlamları
- Modül 1 (C2C – Veri Sorumlusundan Sorumluya): Örneğin Türkiye’deki bir holdingin, Almanya’daki ortağına (bağımsız karar alabilen) müşteri listesini göndermesi.
- Modül 2 (C2P – Veri Sorumlusundan İşleyene): En yaygın senaryo. Türkiye’deki bir e-ticaret sitesinin, verilerini ABD’deki bir bulut sunucusunda (AWS, Azure) saklaması.
- Modül 3 (P2P – Veri İşleyenden İşleyene): Yurt dışındaki ana veri merkezinin, başka bir alt yüklenici kullanması durumu.
- Modül 4 (P2C – Veri İşleyenden Sorumluya): Türkiye’de veri işleyen bir çağrı merkezinin, topladığı verileri yurt dışındaki ana müşterisine geri göndermesi.
3.2. Hayati Kural: 5 İş Günü İçinde Bildirim
Yeni düzenlemenin işletmelerin en çok canını yakan kısmı burasıdır. Standart sözleşmeyi imzalamak yetmez; imzalandığı tarihten itibaren 5 iş günü içinde Kurul’a bildirilmesi şarttır.
Bildirim Dosyasında Neler Olmalı?
- İmzalı Standart Sözleşme (Her sayfası paraflı).
- İmza Sirküleri (Tarafların yetkili olduğunu kanıtlayan belgeler).
- Yabancı dildeki belgelerin Noter Onaylı Türkçe Çevirisi.
- Yabancı resmi belgeler için Apostil Şerhi.
Bu süre çok kısadır. Evrakların apostil işlemleri veya tercümeleri genellikle 5 günü aşar. Bu nedenle sözleşme imzalanmadan önce tüm yan evrakların hazırlanmış olması stratejik bir zorunluluktur.
4. İstisnai (Arızi) Aktarım Nedir?
Yeterlilik kararı yok, standart sözleşme imzalama imkanı da yok (örneğin karşı taraf devasa bir platform ve sizin için imza atmıyor). Bu durumda veri aktaramaz mısınız? Kanun, “İstisnai” yani Arızi haller için bir kapı aralık bırakmıştır.
Ancak “Arızi” kelimesinin altını kalın çizgilerle çizmek gerekir. Süreklilik arz eden, tekrarlayan, iş akışının bir parçası olan aktarımlar arızi değildir.
Arızi Sayılan Durumlar (Örnekler):
- Fiili İmkansızlık: Yurt dışında kaza geçiren bir çalışanın sağlık verilerinin, oradaki hastaneyle paylaşılması.
- Sözleşmenin İfası: Bir müşterinizin yurt dışı otel rezervasyonunu yapmak için verilerini otele göndermeniz.
- Hakkın Tesisi: Yurt dışında açılan bir davada delil sunmak için veri paylaşımı.
Arızi SAYILMAYAN Durumlar (Yasaklı Örnekler):
- Şirketin sürekli kullandığı CRM yazılımının (Salesforce, HubSpot vb.) sunucularının yurt dışında olması. (Bu süreklidir, sözleşme gerekir).
- Global şirket çalışanlarının, sürekli olarak merkezi bir İK portalına veri girmesi.
- Yurt dışı kaynaklı bir e-posta hizmetinin kurumsal olarak kullanılması.
5. 2026 Yılı İdari Para Cezaları ve Mali Risk Analizi
2026 yılı, KVKK uyumunun “yapılsa iyi olur” kategorisinden çıkıp, “yapılmazsa şirket batabilir” kategorisine girdiği yıldır. Vergi Usul Kanunu uyarınca belirlenen %25,49’luk yeniden değerleme oranı, cezaları korkutucu seviyelere çekmiştir.
| İhlal Türü | 2026 Alt Sınır (TL) | 2026 Üst Sınır (TL) |
|---|---|---|
| Standart Sözleşme Bildirim Yükümlülüğüne Aykırılık | 90.308 TL | 1.806.177 TL |
| Aydınlatma Yükümlülüğüne Aykırılık | 85.437 TL | 1.709.200 TL |
| Veri Güvenliği Yükümlülüğüne Aykırılık | 256.357 TL | 17.092.242 TL |
| Kurul Kararını Yerine Getirmeme | 427.263 TL | 17.092.242 TL |
Gizli Tehlike: “Temadi Eden” (Devam Eden) İhlal
Şirket yöneticilerinin en sık yaptığı hata şudur: “Biz bu yazılımı 2023’te kullanmaya başladık, o zaman ceza düşüktü.” Hukuken, bildirim yükümlülüğü yerine getirilmediği sürece ihlal devam ediyor sayılır. Kurul, denetimi 2026 yılında yaptığında, ceza kesilirken 2026 yılının güncel tarifesini uygular. Yani 50.000 TL beklerken, 1.8 Milyon TL’lik bir tebligatla karşılaşabilirsiniz.
6. Teknoloji ve Yapay Zeka Perspektifinden Veri Aktarımı
2026 başında yayımlanan Kurul duyuruları, denetimlerin artık kağıt evraklardan çok dijital izlere odaklandığını gösteriyor. Özellikle Yapay Zeka (AI) ve Bulut Bilişim kullanımı mercek altında.
Yapay Zeka Asistanları (Google Assistant, GROK, ChatGPT)
Şirket çalışanlarının iş süreçlerinde yapay zeka araçlarını kullanması, arka planda devasa bir sınır ötesi veri akışı anlamına gelir. Bir çalışanın, müşteri listesini “analiz etmesi için” bir AI aracına yüklemesi, verinin ABD sunucularına aktarılması demektir.
- Erişim = Aktarım: Verinin fiziksel olarak taşınması şart değildir. Yurt dışındaki bir AI geliştiricisinin veriye uzaktan erişebilmesi de aktarım sayılır.
- Tek Tıkla Çoklu Rıza Yasağı: Bir uygulamaya üye olurken “Kullanım koşullarını, reklam iletilerini ve yurt dışı aktarımını kabul ediyorum” şeklinde tek bir kutucuk koymak artık kesinlikle yasaktır ve geçersizdir. Aktarım izni, diğerlerinden ayrıştırılmalıdır.
- Prompt Mühendisliği ve Veri Mahremiyeti: Yapay zeka sistemlerine girilen “prompt”ların (komutların) kişisel veri içermemesi için çalışanların eğitilmesi veya sistemlerin anonimleştirme filtrelerinden geçirilmesi gerekmektedir.
7. 2026 Yılı İçin Kurumsal Uyum Yol Haritası
Peki, bu karmaşık ve riskli tabloda işletmeler ne yapmalı? Cezai yaptırımlardan korunmak ve kurumsal itibarınızı zedelememek için izlemeniz gereken stratejik adımlar şunlardır:
Adım 1: Veri Akış Haritalama (Data Mapping)
Önce teşhis koymalısınız. Şirketinizdeki tüm departmanlarla (İK, Pazarlama, IT, Satış) görüşerek şu soruları sorun: “Hangi yazılımı kullanıyorsunuz?”, “Sunucusu nerede?”, “Hangi tedarikçilerle çalışıyoruz?”. Görünmez veri kaçaklarını (örneğin WeTransfer ile dosya gönderimi) tespit edin.
Adım 2: Hukuki Mekanizmayı Seçin
Haritaladığınız her bir yurt dışı aktarımı için bir etiket yapıştırın:
- Hedef ülke güvenli listede mi? -> Yeterlilik Kararı.
- Güvenli değil ama sürekli iş birliği mi? -> Standart Sözleşme (Doğru modülü seç!).
- Çok uluslu bir grup şirketi misiniz? -> Bağlayıcı Şirket Kuralları (BCR) başvurusu yapın.
- Çok nadir ve zorunlu bir durum mu? -> Arızi Hal / İstisnai Açık Rıza.
Adım 3: Belgeleme ve Bildirim
Standart sözleşmeleri imzaladığınız an kronometre başlar. 5 iş günü içinde, hazırladığınız imza sirküleri ve tercümelerle birlikte Kurul’a (fiziki, KEP veya online modül üzerinden) bildirimi yapın. “Nasılsa kimse fark etmez” demeyin; bir veri ihlali veya çalışan şikayeti durumunda ilk bakılan yer bu bildirim kayıtlarıdır.
Adım 4: Teknik Güvenlik ve Şeffaflık
Sadece kağıt üzerinde uyum yetmez. 7545 sayılı Siber Güvenlik Kanunu ile de uyumlu olacak şekilde teknik tedbirlerinizi artırın. Web sitenizdeki aydınlatma metinlerini ve çerez politikalarını güncelleyerek, verinin hangi ülkeye ve hangi hukuki sebebe (Standart Sözleşme vb.) dayanılarak aktarıldığını şeffafça yazın.
Sık Sorulan Sorular
Eskiden aldığımız açık rızalar artık geçersiz mi?
Eğer veri aktarımı süreklilik arz ediyorsa (örneğin bulut depolama), evet, eski açık rızalar artık yeterli değildir. Bu süreçler için standart sözleşme gibi “uygun güvence” mekanizmalarına geçiş yapılmalıdır.
Standart sözleşmeyi imzaladık ama Kurul’a bildirmeyi unuttuk. Ne yapmalıyız?
Derhal (gecikmeli de olsa) bildirim yapmalısınız. İhlalin kendiliğinden fark edilip giderilmesi, olası bir denetimde kesilecek cezadan indirim sebebi olabilir. Ancak risk devam etmektedir.
WhatsApp kullanmak yurt dışı veri aktarımı mıdır?
Evet, WhatsApp sunucuları yurt dışındadır. Kurumsal iletişimde WhatsApp kullanımı, teknik olarak kişisel verilerin yurt dışına aktarılması anlamına gelir ve uygun güvence gerektirir.
Bu karmaşık süreçte profesyonel destek ve KVKK uyum danışmanlığı için bize ulaşın.
İletişime Geçin
