İçeriğe geç

Kişisel Verilerin Yurt Dışına Aktarımı: KVKK Açık Rıza ve İstisnalar (2026)

Kişisel verilerin yurt dışına aktarımı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesinde düzenlenmiştir. Yeterli korumaya sahip ülkeler, açık rıza şartı, KVKK Kurulu kararı, standart sözleşme ve oranlılık ilkesi çerçevesinde yurt dışı veri aktarımının hukuki dayanakları ve sınırları hakkında kapsamlı rehber.

8 dk okuma (1.300 kelime)

Kişisel Verilerin Yurt Dışına Aktarımı Nedir?

Kişisel verilerin yurt dışına aktarımı, küreselleşen dünyada veri sorumlularının en kritik uyum konularından biridir. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 9. maddesi, kişisel verilerin yurt dışına aktarılmasına ilişkin temel çerçeveyi belirler. 2026 yılı itibarıyla, bulut bilişim, uzaktan çalışma ve küresel veri akışının artmasıyla birlikte yurt dışı veri aktarımı konusundaki uyum gereklilikleri daha da önem kazanmıştır. Bu rehberde, KVKK madde 9 kapsamındaki yurt dışı veri aktarımı şartlarını, yeterli koruma kararlarını, açık rıza sürecini, standart sözleşmeleri ve oranlılık ilkesini detaylı şekilde inceliyoruz. Bilişim hukuku rehberi yazımızda KVKK temel kavramlarını bulabilirsiniz.

KVKK Madde 9: Yurt Dışı Veri Aktarımının Hukuki Çerçevesi

KVKK madde 9, kişisel verilerin yurt dışına aktarılmasını iki temel koşula bağlar. Birincisi: verinin KVKK madde 5'te belirtilen işleme şartlarından en az birine dayanması gerekir. İkincisi: yurt dışı aktarım için ek koşulların (yeterli koruma kararı, açık rıza, KVKK Kurulu izni) karşılanması gerekir. Bu ikili koşul sistemi, ilgili kişinin verilerinin yurt dışında da aynı koruma seviyesinde işlenmesini garanti altına almayı amaçlar.

Yeterli Korumaya Sahip Ülkeler

KVKK Kurulu, kişisel verilerin korunması açısından Türkiye'deki koruma düzeyine eşdeğer koruma sağlayan ülkeleri belirler. Yeterli korumaya sahip ülkeler listesi (whitelist) KVKK Kurulu tarafından ilan edilir. Bu ülkelere veri aktarımı, KVKK'nın 5. maddesindeki işleme şartlarından birinin varlığı halinde açık rıza olmaksızın yapılabilir. Yeterli koruma kararı verilirken:

  • İlgili ülkenin veri koruma mevzuatı ve etkin uygulaması
  • Bağımsız veri koruma otoritesinin varlığı
  • Uluslararası taahhütler ve sözleşmeler
  • İlgili kişinin haklarını kullanma imkanları
  • Karşılıklılık ilkesi

Açık Rıza ile Yurt Dışı Veri Aktarımı

Yeterli korumaya sahip olmayan bir ülkeye veri aktarımı için ilgili kişinin açık rızası alınmalıdır. KVKK kapsamında geçerli bir açık rıza:

  • Belirli bir konuya ilişkin: Hangi verinin, hangi amaçla, hangi ülkeye aktarılacağı açıkça belirtilmeli
  • Bilgilendirilmeye dayanan: Veri sorumlusu, ilgili kişiyi aktarımın tüm yönleriyle aydınlatmalı
  • Özgür iradeyle verilen: Rıza, baskı veya şart koşma olmaksızın verilmeli
  • Geri alınabilir: İlgili kişi rızasını her zaman geri alabilmeli

KVKK veri ihlali bildirimi yazımızda veri ihlali durumunda atılması gereken adımları detaylıca ele aldık.

KVKK Kurulu Kararı ile Veri Aktarımı

KVKK Kurulu, belirli şartların varlığı halinde yurt dışına veri aktarımına izin verebilir. Bu izin, özellikle ilgili kişinin açık rızasının alınamadığı ancak veri aktarımının zorunlu olduğu hallerde devreye girer. Kurul kararında: aktarımın amacı, süresi, veri kategorileri, alıcı grubu ve alınan güvenlik tedbirleri değerlendirilir. Kurul, aktarımı belirli şartlara bağlayabilir veya reddedebilir.

Standart Sözleşme ile Veri Aktarımı

KVKK Kurulu tarafından onaylanan standart sözleşme, veri sorumlusu ile veri alıcısı arasında imzalanan ve KVKK'ya eşdeğer koruma sağlayan bir hukuki araçtır. Standart sözleşmenin temel unsurları:

  • Taraflar: Veri sorumlusu (gönderen) ve veri alıcısı (alan)
  • Kapsam: Aktarılacak veri kategorileri ve amaç
  • Koruma tedbirleri: Veri güvenliği, erişim sınırlamaları, veri minimizasyonu
  • İlgili kişi hakları: Erişim, düzeltme, silme, şikayet hakları
  • Sorumluluk: İhlal halinde tazminat ve yaptırım şartları

Standart sözleşme, AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki standart sözleşme hükümleri (Standard Contractual Clauses - SCC) ile uyumlu olarak hazırlanır.

Oranlılık (Ölçülülük) İlkesi

KVKK'nın temel ilkelerinden biri olan oranlılık ilkesi, yurt dışı veri aktarımında da uygulanır. Veri sorumlusu:

  • Aktarımın zorunlu olup olmadığını değerlendirmelidir
  • Aktarılacak veri miktarını amaca uygun şekilde sınırlandırmalıdır
  • Anonimleştirme veya maskeleme gibi alternatif yöntemleri değerlendirmelidir
  • Aktarım amacı ile ilgili kişinin temel hak ve özgürlükleri arasında denge kurmalıdır

Oranlılık ilkesine aykırı aktarımlar, KVKK ihlali sayılır ve idari para cezası gerektirir.

Yurt Dışı Veri Aktarımında Sektörel Yaklaşımlar

Farklı sektörler, yurt dışı veri aktarımında farklı düzenlemelere tabidir. Ticaret hukuku rehberi yazımızda da değindiğimiz gibi, finans, sağlık ve telekomünikasyon sektörlerinde ek düzenlemeler bulunur. Bankacılık sektöründe Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ek koşullar getirebilir. Sağlık verilerinin yurt dışına aktarımı ise özel nitelikli veri kategorisinde olduğu için daha sıkı koşullara tabidir.

Yaptırımlar ve İdari Para Cezaları

KVKK madde 18 uyarınca yurt dışı veri aktarımı ihlallerinde uygulanan idari para cezaları:

  • Veri aktarım şartlarına aykırılık: 50.000 TL'den 10.000.000 TL'ye kadar
  • Aydınlatma yükümlülüğüne aykırılık: Ayrıca idari para cezası
  • Açık rıza şartına uyulmaması: Üst sınırdan ceza uygulanabilir
  • KVKK Kurulu kararına uyulmaması: Ağırlaştırılmış ceza

KVKK Kurulu ayrıca, ihlalin devam etmesi halinde veri aktarımının geçici veya kalıcı olarak durdurulmasına karar verebilir. Cezalar her yıl yeniden değerleme oranında güncellenir.

KVKK Uyum Süreci ve Hukuki Destek

Yurt dışı veri aktarımı, kapsamlı bir KVKK uyum süreci gerektirir. Veri sorumlusu: (1) Veri envanteri çıkarmalı, (2) Veri akış haritası oluşturmalı, (3) Aktarımın hukuki dayanağını belirlemeli, (4) Gerekli sözleşmeleri hazırlamalı, (5) İlgili kişi aydınlatma metinlerini güncellemeli, (6) Düzenli KVKK uyum denetimi yapmalıdır. Hukuk AI platformu, KVKK madde 9 uyumu, yurt dışı veri aktarım sözleşmeleri ve KVKK Kurulu başvuruları konusunda hukuki analiz ve doküman hazırlığında destek sağlar. Bununla birlikte, her kurumun veri işleme faaliyeti farklı olduğundan, somut uyum çalışmaları için bir hukuk danışmanına başvurulması önerilir. Hukuk AI ile Hemen Başla.

Kaynakça ve Referanslar

Hukuk AI ile Hukuki İşlemlerinizi Hızlandırın

UYAP uyumlu dilekçe üretimi, anlamsal arama ve karar havuzu ile hukuk pratiğinizi dönüştürün. Tamamen ücretsiz.

Hemen Başlayın — Ücretsiz

Sıkça Sorulan Sorular

Kişisel verilerin yurt dışına aktarımı nedir?
Kişisel verilerin yurt dışına aktarımı, Türkiye'de yerleşik bir veri sorumlusu veya veri işleyen tarafından işlenen kişisel verilerin, Türkiye sınırları dışındaki bir ülkeye gönderilmesi, aktarılması veya yurt dışından erişilebilir hale getirilmesidir. KVKK madde 9 kapsamında düzenlenir. Aktarım, ancak KVKK'nın 5. maddesindeki veri işleme şartlarından birinin varlığı ve yurt dışı aktarım koşullarının karşılanması halinde mümkündür.
Yeterli korumaya sahip ülkeler (whitelist) nedir?
Yeterli korumaya sahip ülkeler, KVKK Kurulu tarafından kişisel verilerin korunması açısından Türkiye'deki koruma düzeyine eşdeğer koruma sağladığı belirlenen ülkelerdir. Bu ülkelerin listesi KVKK Kurulu tarafından ilan edilir. Yeterli korumaya sahip bir ülkeye veri aktarımı, KVKK'nın 5. maddesindeki işleme şartlarından birinin varlığı halinde açık rıza olmaksızın yapılabilir. Yeterli koruma kararı bulunmayan ülkeler için ise açık rıza veya KVKK Kurulu izni gerekir.
Açık rıza nasıl alınmalıdır?
KVKK madde 9 kapsamında yurt dışına veri aktarımı için alınacak açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olmalıdır. Açık rıza metninde: (1) Aktarılacak veri kategorileri, (2) Aktarım amacı, (3) Aktarım yapılacak ülke ve veri alıcısı, (4) Aktarımın hukuki dayanağı, (5) İlgili kişinin rızasını geri alma hakkı açıkça belirtilmelidir. Rıza, şartlı olmamalı ve ilgili kişi üzerinde baskı oluşturmayacak şekilde alınmalıdır.
Oranlılık (ölçülülük) ilkesi veri aktarımında nasıl uygulanır?
Oranlılık ilkesi, kişisel verilerin yurt dışına aktarımında aktarılacak verinin amaca uygun, sınırlı ve ölçülü olmasını gerektirir. Veri sorumlusu: (1) Aktarımın zorunlu olup olmadığını değerlendirmeli, (2) Aktarılacak veri miktarını minimize etmeli, (3) Alternatif yöntemleri (anonimleştirme, maskeleme) değerlendirmeli, (4) Aktarım amacı ile veri sahibinin temel hak ve özgürlükleri arasında denge kurmalıdır. Oranlılık ilkesine aykırı aktarımlar KVKK ihlali sayılır.
KVKK yurt dışı veri aktarımı ihlalinde yaptırımlar nelerdir?
KVKK madde 18 kapsamında yurt dışına veri aktarımı ihlalinde idari para cezası uygulanır. KVKK Kurulu, 2026 yılında güncellenen yeniden değerleme oranına göre: (1) Veri aktarım şartlarına aykırılık halinde 50.000 TL'den 10.000.000 TL'ye kadar idari para cezası, (2) Aydınlatma yükümlülüğüne aykırılık halinde ayrıca ceza, (3) Açık rıza şartına uyulmaması halinde ceza üst sınırdan uygulanabilir. Ayrıca, KVKK Kurulu geçici veya kalıcı olarak veri aktarımının durdurulmasına karar verebilir.
Veri aktarım sözleşmesi (standart sözleşme) nedir?
KVKK Kurulu tarafından onaylanan standart sözleşme, yeterli korumaya sahip olmayan ülkelere veri aktarımı için kullanılan hukuki araçlardan biridir. Standart sözleşme: (1) Veri sorumlusu ile veri alıcısı arasında imzalanır, (2) KVKK'ya eşdeğer koruma sağlar, (3) İlgili kişinin haklarını garanti altına alır, (4) Veri ihlali durumunda sorumluluk ve tazminat şartlarını belirler, (5) KVKK Kurulu'na bildirilmelidir. Sözleşme, AB standart sözleşme hükümleri (SCC) ile uyumlu şekilde hazırlanır.

Bunları da Okuyun