Kişisel Verilerin Yurt Dışına Aktarımı Nedir?
Kişisel verilerin yurt dışına aktarımı, küreselleşen dünyada veri sorumlularının en kritik uyum konularından biridir. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) 9. maddesi, kişisel verilerin yurt dışına aktarılmasına ilişkin temel çerçeveyi belirler. 2026 yılı itibarıyla, bulut bilişim, uzaktan çalışma ve küresel veri akışının artmasıyla birlikte yurt dışı veri aktarımı konusundaki uyum gereklilikleri daha da önem kazanmıştır. Bu rehberde, KVKK madde 9 kapsamındaki yurt dışı veri aktarımı şartlarını, yeterli koruma kararlarını, açık rıza sürecini, standart sözleşmeleri ve oranlılık ilkesini detaylı şekilde inceliyoruz. Bilişim hukuku rehberi yazımızda KVKK temel kavramlarını bulabilirsiniz.
KVKK Madde 9: Yurt Dışı Veri Aktarımının Hukuki Çerçevesi
KVKK madde 9, kişisel verilerin yurt dışına aktarılmasını iki temel koşula bağlar. Birincisi: verinin KVKK madde 5'te belirtilen işleme şartlarından en az birine dayanması gerekir. İkincisi: yurt dışı aktarım için ek koşulların (yeterli koruma kararı, açık rıza, KVKK Kurulu izni) karşılanması gerekir. Bu ikili koşul sistemi, ilgili kişinin verilerinin yurt dışında da aynı koruma seviyesinde işlenmesini garanti altına almayı amaçlar.
Yeterli Korumaya Sahip Ülkeler
KVKK Kurulu, kişisel verilerin korunması açısından Türkiye'deki koruma düzeyine eşdeğer koruma sağlayan ülkeleri belirler. Yeterli korumaya sahip ülkeler listesi (whitelist) KVKK Kurulu tarafından ilan edilir. Bu ülkelere veri aktarımı, KVKK'nın 5. maddesindeki işleme şartlarından birinin varlığı halinde açık rıza olmaksızın yapılabilir. Yeterli koruma kararı verilirken:
- İlgili ülkenin veri koruma mevzuatı ve etkin uygulaması
- Bağımsız veri koruma otoritesinin varlığı
- Uluslararası taahhütler ve sözleşmeler
- İlgili kişinin haklarını kullanma imkanları
- Karşılıklılık ilkesi
Açık Rıza ile Yurt Dışı Veri Aktarımı
Yeterli korumaya sahip olmayan bir ülkeye veri aktarımı için ilgili kişinin açık rızası alınmalıdır. KVKK kapsamında geçerli bir açık rıza:
- Belirli bir konuya ilişkin: Hangi verinin, hangi amaçla, hangi ülkeye aktarılacağı açıkça belirtilmeli
- Bilgilendirilmeye dayanan: Veri sorumlusu, ilgili kişiyi aktarımın tüm yönleriyle aydınlatmalı
- Özgür iradeyle verilen: Rıza, baskı veya şart koşma olmaksızın verilmeli
- Geri alınabilir: İlgili kişi rızasını her zaman geri alabilmeli
KVKK veri ihlali bildirimi yazımızda veri ihlali durumunda atılması gereken adımları detaylıca ele aldık.
KVKK Kurulu Kararı ile Veri Aktarımı
KVKK Kurulu, belirli şartların varlığı halinde yurt dışına veri aktarımına izin verebilir. Bu izin, özellikle ilgili kişinin açık rızasının alınamadığı ancak veri aktarımının zorunlu olduğu hallerde devreye girer. Kurul kararında: aktarımın amacı, süresi, veri kategorileri, alıcı grubu ve alınan güvenlik tedbirleri değerlendirilir. Kurul, aktarımı belirli şartlara bağlayabilir veya reddedebilir.
Standart Sözleşme ile Veri Aktarımı
KVKK Kurulu tarafından onaylanan standart sözleşme, veri sorumlusu ile veri alıcısı arasında imzalanan ve KVKK'ya eşdeğer koruma sağlayan bir hukuki araçtır. Standart sözleşmenin temel unsurları:
- Taraflar: Veri sorumlusu (gönderen) ve veri alıcısı (alan)
- Kapsam: Aktarılacak veri kategorileri ve amaç
- Koruma tedbirleri: Veri güvenliği, erişim sınırlamaları, veri minimizasyonu
- İlgili kişi hakları: Erişim, düzeltme, silme, şikayet hakları
- Sorumluluk: İhlal halinde tazminat ve yaptırım şartları
Standart sözleşme, AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki standart sözleşme hükümleri (Standard Contractual Clauses - SCC) ile uyumlu olarak hazırlanır.
Oranlılık (Ölçülülük) İlkesi
KVKK'nın temel ilkelerinden biri olan oranlılık ilkesi, yurt dışı veri aktarımında da uygulanır. Veri sorumlusu:
- Aktarımın zorunlu olup olmadığını değerlendirmelidir
- Aktarılacak veri miktarını amaca uygun şekilde sınırlandırmalıdır
- Anonimleştirme veya maskeleme gibi alternatif yöntemleri değerlendirmelidir
- Aktarım amacı ile ilgili kişinin temel hak ve özgürlükleri arasında denge kurmalıdır
Oranlılık ilkesine aykırı aktarımlar, KVKK ihlali sayılır ve idari para cezası gerektirir.
Yurt Dışı Veri Aktarımında Sektörel Yaklaşımlar
Farklı sektörler, yurt dışı veri aktarımında farklı düzenlemelere tabidir. Ticaret hukuku rehberi yazımızda da değindiğimiz gibi, finans, sağlık ve telekomünikasyon sektörlerinde ek düzenlemeler bulunur. Bankacılık sektöründe Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ek koşullar getirebilir. Sağlık verilerinin yurt dışına aktarımı ise özel nitelikli veri kategorisinde olduğu için daha sıkı koşullara tabidir.
Yaptırımlar ve İdari Para Cezaları
KVKK madde 18 uyarınca yurt dışı veri aktarımı ihlallerinde uygulanan idari para cezaları:
- Veri aktarım şartlarına aykırılık: 50.000 TL'den 10.000.000 TL'ye kadar
- Aydınlatma yükümlülüğüne aykırılık: Ayrıca idari para cezası
- Açık rıza şartına uyulmaması: Üst sınırdan ceza uygulanabilir
- KVKK Kurulu kararına uyulmaması: Ağırlaştırılmış ceza
KVKK Kurulu ayrıca, ihlalin devam etmesi halinde veri aktarımının geçici veya kalıcı olarak durdurulmasına karar verebilir. Cezalar her yıl yeniden değerleme oranında güncellenir.
KVKK Uyum Süreci ve Hukuki Destek
Yurt dışı veri aktarımı, kapsamlı bir KVKK uyum süreci gerektirir. Veri sorumlusu: (1) Veri envanteri çıkarmalı, (2) Veri akış haritası oluşturmalı, (3) Aktarımın hukuki dayanağını belirlemeli, (4) Gerekli sözleşmeleri hazırlamalı, (5) İlgili kişi aydınlatma metinlerini güncellemeli, (6) Düzenli KVKK uyum denetimi yapmalıdır. Hukuk AI platformu, KVKK madde 9 uyumu, yurt dışı veri aktarım sözleşmeleri ve KVKK Kurulu başvuruları konusunda hukuki analiz ve doküman hazırlığında destek sağlar. Bununla birlikte, her kurumun veri işleme faaliyeti farklı olduğundan, somut uyum çalışmaları için bir hukuk danışmanına başvurulması önerilir. Hukuk AI ile Hemen Başla.