KVKK’ya Göre Kişisel Verilerin Yurtdışına Aktarılması
Kişisel verilerin yurtdışına aktarılması, KVKK kapsamında en hassas alanlardan biridir. Veri, ülke sınırlarını aştığı anda; hem ilgili kişinin temel hak ve özgürlükleri hem de veri sorumlusunun sorumlulukları açısından daha karmaşık bir hukuki çerçeve devreye girer. Bu nedenle KVKK, kişisel verilerin yurtdışına aktarılması için özel hükümler düzenlemiştir.
Bu hükümler; kişisel verilerin yurtdışına aktarımında açık rıza, yeterli koruma, yazılı taahhüt ve Kurul izni gibi çok katmanlı şartlar öngörür. Özellikle uluslararası iş yapan, bulut hizmetleri kullanan veya grup şirket yapısına sahip kurumlar için bu hükümlere uyum, hem yasal hem de operasyonel açıdan kritik öneme sahiptir.
KVKK’ya göre kişisel verilerin yurtdışına aktarımında kural; ilgili kişinin açık rızası olmaksızın aktarım yapılamamasıdır. Ancak Kanun’da sayılan hukuki sebeplerden biri mevcutsa ve yeterli koruma sağlanıyorsa ya da yazılı taahhüt ve Kurul izni varsa, açık rıza olmaksızın da aktarım mümkündür.
2. Kişisel Verilerin Yurtdışına Aktarımı Hakkında Özel Düzenlemeler
KVKK, kişisel verilerin yurtdışına aktarımı için genel kuralı ve bu kurala getirilen istisnaları açıkça belirler. Genel kural şudur:
- Kişisel veriler, ilgili kişinin açık rızası olmadan yurtdışına aktarılamaz.
Ancak bu genel kural, kişisel verilerin işlenmesine imkân veren kanuni sebeplerle birlikte değerlendirildiğinde, belirli şartlar altında açık rıza olmaksızın da yurtdışı aktarım yapılabilmesini mümkün kılar.
Temel unsurlar:
- İlgili kişinin açık rızası,
- KVKK’da sayılan hukuki sebepler (m.5 ve m.6 hükümleri),
- Yeterli koruma bulunan ülkeler listesi,
- Yeterli koruma yoksa yazılı taahhüt ve Kurul izni.
3. Açık Rıza, Yeterli Koruma ve İstisnalar
Kişisel verilerin yurtdışına aktarımında iki temel senaryo söz konusudur:
3.1. Açık Rıza ile Yurtdışına Aktarım
Kural olarak, kişisel verilerin yurtdışına aktarımı için ilgili kişinin açık rızası aranır. Açık rızanın;
- Belirli bir konuya ilişkin,
- Bilgilendirmeye dayanan ve
- Özgür iradeyle açıklanan
bir irade beyanı olması gerekir. Özellikle yurtdışına aktarım senaryolarında, açık rıza metinlerinde aktarımın kapsamı, alıcı ülke ve amaçların net olarak belirtilmesi önemlidir.
3.2. Açık Rıza Olmaksızın Yurtdışına Aktarım
Kişisel verilerin;
- KVKK m.5’te sayılan hukuki sebeplerden (örneğin sözleşmenin ifası, hukuki yükümlülük, meşru menfaat vb.),
- KVKK m.6’da özel nitelikli veriler için öngörülen şartlardan
birine dayanılarak işlendiği durumlarda, aşağıdaki koşullardan biri sağlanıyorsa açık rıza olmaksızın da yurtdışına aktarım yapılabilir:
- Yeterli koruma bulunan ülkelere aktarım: Kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması.
- Yeterli koruma yoksa taahhüt + Kurul izni: Yeterli koruma bulunmayan ülkelerde, Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’ndan izin alınması.
Yeterli korumanın bulunduğu ülkeler, Kurul tarafından belirlenir ve ilan edilir.
4. Kurulun Değerlendirme Kriterleri
Yabancı ülkede yeterli koruma bulunup bulunmadığına veya yazılı taahhüt sunulan hâllerde izin verilip verilmeyeceğine Kişisel Verileri Koruma Kurulu karar verir. Kurul bu kararı verirken aşağıdaki kıstasları dikkate alır:
- Türkiye’nin taraf olduğu uluslararası sözleşmeler,
- Kişisel veri talep eden ülke ile Türkiye arasında karşılıklılık durumu,
- Her somut aktarım için kişisel verinin kapsamı, işlenme amacı ve süresi,
- Verinin aktarılacağı ülkedeki ilgili mevzuat ve uygulamalar,
- Aktarım yapılacak ülkedeki veri sorumlusu tarafından alınan teknik ve idari tedbirler,
- Gerektiğinde, ilgili ülke kurumları ve firmaların görüşleri.
Kurul; tüm bu kriterleri değerlendirerek, belirli ülkelere ilişkin genel kararlar alabileceği gibi; somut aktarım senaryoları için de özel izin verebilir veya talebi reddedebilir.
5. İstisnai Haller ve Uluslararası Sözleşmeler
KVKK, temel sisteme ek olarak bazı istisnai haller de öngörür. Buna göre:
- Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak kaydıyla, Türkiye’nin veya ilgili kişinin çıkarlarının ciddi şekilde zarar göreceği durumlarda; ilgili kamu kurum ve kuruluşlarının görüşleri alınarak, Kurul izniyle yurtdışına aktarılabilir.
- Kişisel verilerin yurtdışına aktarılması ile ilgili diğer kanunlarda yer alan özel hükümler saklıdır. Yani KVKK dışında, sektörel veya uluslararası düzenlemelerle getirilen ek şartlar da dikkate alınmalıdır.
Dolayısıyla yurtdışı aktarım planlanırken yalnızca KVKK değil; aynı zamanda ilgili sektörel mevzuat, uluslararası standartlar ve varsa bağlayıcı uluslararası sözleşmeler de göz önünde bulundurulmalıdır.
6. NESİL TEKNOLOJİ ile Yurtdışı Aktarım Uyum Süreci
Yurtdışı aktarım senaryoları; hem teknik hem de hukuki açıdan çok katmanlı riskler içerir. Bulut servisleri, global CRM ve ERP sistemleri, grup şirketler arası veri paylaşımı gibi alanlarda, her adımın KVKK hükümlerine ve ikincil düzenlemelere uygun olarak tasarlanması gerekir.
NESİL TEKNOLOJİ olarak; özellikle yurtdışı bağlantısı bulunan kurumlara, uçtan uca KVKK uyum ve danışmanlık hizmetleri sunuyoruz:
- Mevcut sistemler için A’dan Z’ye altyapı analizi,
- Yurtiçi ve yurtdışı veri akışlarının çıkarılması ve veri envanteri oluşturulması,
- Yurtdışı aktarım senaryoları için hukuki dayanak analizleri,
- Açık rıza ve aydınlatma metinlerinin, yurtdışı aktarım vurgulu şekilde hazırlanması,
- Yeterli koruma, taahhüt ve Kurul izni süreçlerinde dokümantasyon ve başvuru desteği,
- İlgili ülke mevzuatları ve teknik önlemler açısından bilgi güvenliği danışmanlığı,
- Süreçlerin düzenli olarak izlenmesi ve denetim / uyum kontrolleri.
Kurumunuza özgü mevcut durum analizi sonrasında; uyumlandırma süreçlerini kurguluyor, bilgi güvenliği ile KVKK gerekliliklerini aynı çatı altında birleştiriyor ve talimatlarımıza uygun şekilde sistematik ve sürdürülebilir bir uyum modeli oluşturmanıza destek oluyoruz.
7. Sık Sorulan Sorular
Yurtdışına veri aktarımı için her zaman açık rıza şart mı?
Kural olarak, kişisel verilerin yurtdışına aktarımı için açık rıza aranır. Ancak KVKK’da yer alan hukuki sebeplerden biri mevcutsa ve yeterli koruma bulunan ülkeye aktarım yapılıyorsa ya da yeterli koruma yoksa yazılı taahhüt + Kurul izni sağlanmışsa, açık rıza olmaksızın da yurtdışına aktarım mümkündür.
Yeterli koruma bulunan ülkeleri kim belirliyor?
Kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma bulunup bulunmadığına Kişisel Verileri Koruma Kurulu karar verir. Kurul, belirlediği ülkeleri ilan eder ve gerektiğinde bu listeyi güncelleyebilir.
Yeterli koruma yoksa yurtdışına aktarım tamamen yasak mı?
Hayır. Yeterli koruma yoksa; Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’dan izin almaları hâlinde, ilgili kişinin açık rızası olmaksızın da yurtdışına aktarım yapılabilir.
Yurtdışı bulut hizmeti kullanmak KVKK’ya aykırı mı?
Tek başına bulut hizmeti kullanmak KVKK’ya aykırı değildir; ancak bu hizmetin yurtdışında sunulması durumunda, KVKK’daki yurtdışı aktarım hükümlerinin sağlanması gerekir. Bu nedenle sözleşmeler, veri işleme şartları, ülke mevzuatı ve Kurul kararları birlikte değerlendirilmelidir.
Yurtdışına aktarımda açık rıza metninde neler yer almalı?
Açık rıza metninde; verinin hangi amaçla, hangi ülkeye / ülkelere, hangi kapsamda ve ne kadar süreyle aktarılacağı, ayrıca ilgili kişinin hakları açık ve anlaşılır bir dille yer almalıdır. Genel, belirsiz ve soyut ifadelerden kaçınılması gerekir.
Yurtdışı aktarım uyumu için danışmanlık almak zorunlu mu?
Hukuken zorunlu değildir; ancak yurtdışı aktarım senaryoları hem hukuki hem teknik yönden karmaşık ve riskli olabilir. Bu nedenle pek çok kurum, hatalı uygulamaların önüne geçmek ve süreci hızlandırmak için profesyonel KVKK ve bilgi güvenliği danışmanlığı almayı tercih eder.
