KVKK Madde 9 Kişisel Verilerin Yurt Dışına Aktarım Şartları
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesi, kişisel verilerin yurt dışına aktarılmasını sıkı koşullara bağlar. Kanun; yurt dışına veri aktarımı için üç temel yolu düzenler: açık rıza, yeterli korumaya sahip ülkeler ve taahhütname + Kurul izni.
Yurt dışı bulut hizmetleri, global CRM sistemleri, yurtdışı merkezli grup şirketleri veya e-posta servisleri kullanan Türkiye yerleşik veri sorumluları için Madde 9 kapsamının doğru anlaşılması; hem idari para cezalarından kaçınmak hem de uyumlu bir veri aktarım mimarisi kurgulamak açısından kritik önemdedir.
Bu rehber, KVKK Madde 9 çerçevesinde kişisel verilerin yurt dışına aktarım şartlarını; açık rıza, yeterli korumalı ülkeler listesi, taahhütname ve Kurul izni ekseninde kurumsal bir bakışla özetler.
Hedef; Türkiye’de faaliyet gösteren veri sorumlularının yurt dışı bulut, SaaS ve grup şirketi aktarım senaryolarını, hukuka uygun, denetlenebilir ve sürdürülebilir bir yapıda kurgulamasına yardımcı olmaktır.
1. Kişisel Verilerin Yurt Dışına Aktarımı İçin Genel Şartlar
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesi, kişisel verilerin yurt dışına aktarımına ilişkin özel hükümler içerir. Kanuna göre bir kişisel verinin yurt dışına aktarılabilmesi için aşağıdaki yöntemlerden en az birinin sağlanması gerekir:
- İlgili kişinin açık rızasının bulunması,
- Kurul tarafından yeterli korumaya sahip olduğu ilan edilmiş ülkelere aktarımda, KVKK Madde 5 veya Madde 6’daki işleme şartlarından birinin mevcut olması,
- Yeterli korumaya sahip olmayan ülkelere aktarımda ise; işleme şartlarının mevcut olması VE Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yazılı taahhütname ile yeterli korumayı üstlenmesi ve Kişisel Verileri Koruma Kurulu’ndan izin alınması.
KVKK, yurt içine veri aktarımında aranan hukuki şartlarla paralel hükümler getirirken, yurt dışına aktarımda ek güvenlik ve gözetim katmanı kurarak, kişisel verilerin ülke sınırları dışına çıkması halinde de korumanın devam etmesini hedefler.
Kısaca: Yurt içine aktarımda kullanılan hukuki sebepler tek başına yeterli değildir; yurt dışı söz konusu olduğunda “açık rıza / yeterli koruma / taahhütname + Kurul izni” üçlüsünden en az biri devreye girmelidir.
2. İlgili Kişinin Açık Rızasının Bulunması
Kanun uyarınca, ilgili kişinin açık rızasının bulunması halinde kişisel verilerin yurt dışına aktarılması mümkündür. Açık rıza, KVKK ve Kurul rehberlerinde belirtildiği üzere; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir irade beyanı olmalıdır.
Açık Rıza Yönteminin Zorlukları
Teorik olarak pratik bir çözüm gibi görünse de, yurt dışına veri aktarımında açık rıza yönteminin ciddi operasyonel zorlukları bulunur:
- Pratik erişim güçlüğü: Bir kurumun yurt dışına veri aktardığı tüm süreçlerde, verisi aktarılan her bir ilgili kişiye tek tek ulaşıp geçerli açık rıza almak çoğu zaman organizasyonel olarak mümkün değildir.
- Geri çekilme riski: Açık rıza her zaman hiçbir gerekçe göstermeksizin geri alınabilir. Rızanın geri çekilmesi, devam eden yurt dışı aktarım süreçlerinde uyum ve iş sürekliliği bakımından ciddi riskler doğurabilir.
- Bağımlılık etkisi: İş süreçlerinin tümünü açık rızaya bağlamak, rızanın geri çekildiği durumlarda kritik iş akışlarının durmasına sebep olabilir.
Bu nedenlerle, açık rıza yaklaşımı daha çok tamamen isteğe bağlı, alternatifli, gerçek anlamda özgür iradeye dayanan veri işleme senaryoları için tercih edilmeli; zorunlu veya sözleşmesel nitelikteki çekirdek süreçlerde Madde 5 ve 6’daki diğer işleme şartları öncelikli olarak değerlendirilmelidir.
3. Yeterli Korumaya Sahip Ülkelere Aktarım Halinde
Kişisel veriler, Kurul tarafından “yeterli korumaya sahip ülke” olarak ilan edilmiş bir ülkeye aktarılacak ise, Madde 9 uyarınca, verinin özel nitelikli olup olmamasına göre KVKK Madde 5 veya Madde 6’daki işleme şartlarından birinin sağlanması yeterlidir. Bu durumda ayrıca açık rıza veya taahhütname aranmaz.
3.1. Özel Nitelikli Kişisel Veriler (Madde 6/3)
Aktarılacak veri özel nitelikli kişisel veri ise (sağlık ve cinsel hayata ilişkin olanlar hariç) aşağıdaki şartlar çerçevesinde yurt dışına aktarılabilir:
- Kanunlarda açıkça öngörülmüşse özel nitelikli veriler işlenebilir ve yeterli korumalı ülkelere aktarılabilir.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum/kuruluşlar tarafından işlenmesi halinde ve yeterli korumalı ülkelere gönderilebilir.
3.2. Özel Nitelikli Olmayan Kişisel Veriler (Madde 5/2)
Aktarılacak veri özel nitelikli değilse, aşağıdaki işleme şartlarından en az birine dayanarak yeterli korumaya sahip ülkelere aktarım yapılabilir:
- Kanunlarda açıkça öngörülmesi,
- Hayat veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ve bu işleme faaliyetinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesi.
Özetle: Yeterli korumalı ülkeye aktarımda, ilgili veri kategorisine göre Madde 5 veya Madde 6’daki hukuki sebepler doğru eşleştirildiği sürece, ayrıca taahhütname veya Kurul izni aranmamaktadır.
4. Yeterli Korumanın Bulunmaması Halinde Aktarım
KVKK, kişisel verilerin aktarılacağı ülkede yeterli koruma bulunmaması durumunda ek bir koruma mekanizması öngörür. Bu durumda veri sorumluları, hem hukuki hem de fiilî güvenliği sağlamakla yükümlüdür.
Aktarım yapılacak ülke Kurul’un “yeterli korumalı ülkeler” listesinde yer almıyorsa, aşağıdaki şartların birlikte sağlanması gerekmektedir:
- Türkiye’deki veri sorumlusu ile ilgili yabancı ülkedeki veri sorumlusu/veri işleyen, yeterli korumayı yazılı olarak taahhüt eder (Taahhütname düzenlenir),
- Düzenlenen taahhütname Kurul onayına sunulur ve Kurul’dan izin alınır,
- Aktarılan verinin niteliğine göre yine Madde 5/2 veya Madde 6/3 kapsamındaki işleme şartlarından en az biri sağlanır.
Taahhütnamede; veri işleme amaçları, veri kategorileri, ilgili kişi grupları, güvenlik tedbirleri, alt işleyen kullanımı, denetim hakları, veri ihlali bildirim mekanizmaları ve iade/imhaya ilişkin ayrıntılı hükümler yer almalı; taahhüdün pratikte uygulanabilirliği de dikkate alınmalıdır.
Kurul uygulamasında, yalnızca taahhütnamenin sunulmuş olması yeterli görülmemekte; onay süreci tamamlanana kadar yurt dışı aktarımların uyumlu hale getirilmesi beklenmektedir. Bu nedenle, “onay bekliyor” gerekçesi, başlı başına bir uyum kalkanı olarak değerlendirilemez.
Yurt Dışı Aktarımda Uyum İçin Pratik İpuçları
KVKK Madde 9 kapsamındaki yurt dışı veri aktarımı süreçlerini tasarlarken aşağıdaki adımlar, kurumsal uyumun sürdürülebilirliği açısından yol gösterici olacaktır:
- Aktarım envanteri çıkarın: Hangi kişisel verilerin, hangi sistemler üzerinden, hangi ülkelere ve hangi hukuki sebebe dayanarak aktarıldığını envanter bazında netleştirin.
- Aydınlatma metinlerini güncelleyin: Yurt dışı aktarım yapılan süreçleri, aydınlatma metinlerinde açık ve anlaşılır şekilde belirtin; gerekli ise ayrı yurt dışı aktarım açık rıza metinleri tasarlayın.
- Açık rızayı istisnaî kullanın: Özellikle zorunlu iş süreçlerinde açık rızaya dayalı mimarilerden kaçının; mümkün olduğunca Madde 5 ve 6’daki diğer hukuki sebepleri önceliklendirin.
- Taahhütname & ek tedbirleri planlayın: Yeterli koruma olmayan ülke senaryolarında, Kurul formatına uygun taahhütname hazırlığı yapın; teknik ve idari tedbirleri (şifreleme, erişim kontrolü, loglama vb.) dokümante edin.
- Sözleşmelerinizi gözden geçirin: Yurt dışı bulut, SaaS ve hizmet sağlayıcı sözleşmelerinde veri işleyen hükümlerini, alt işleyen kullanımını ve ihlal bildirimi SLA’larını KVKK ile hizalayın.
- Denetim ve kayıt tutun: Yurt dışı aktarım süreçlerine ilişkin log, rapor ve denetim çıktılarınızı saklayarak hesap verebilirlik ilkesini güçlendirin.
KVKK Uyum Danışmanlığı ve Yurt Dışı Aktarım Projeleri
Yurt dışına kişisel veri aktarımı; teknik altyapı, sözleşme yönetimi, KVKK ve global veri koruma düzenlemelerinin kesişim noktasında kapsamlı bir uyum çalışması gerektirir. Doğru kurgulanmamış aktarım senaryoları, hem yüksek idari para cezaları hem de itibar kaybı riskini beraberinde getirir.
Yurt dışı veri aktarımı süreçlerinizi KVKK ile uyumlu hale getirmek, taahhütname, aydınlatma ve sözleşme metinlerinizi gözden geçirmek isterseniz:
KVKK Uyum Danışmanlığı teklifi veya Denetim teklifi için buraya tıklayınız.
Not: Bu içerik bilgilendirme amaçlıdır; somut olaylar için uzman desteği alınması ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan güncel rehber ve kararların takip edilmesi önerilir.
