Kişisel Verilerin Yurt Dışına Aktarılmasında Yeni Dönem

Published On - Temmuz, 2025

Adv. Batuhan Serdaroğlu

Yeterlilik Kararı, Uygun Güvenceler ve Arızi Haller

KVKK, ilk haliyle Avrupa Birliği’nde yürürlükte olan 95/46 sayılı Direktif temel alınarak hazırlanmıştı. Ancak KVKK’nın yürürlüğe girmesinden kısa bir süre sonra bu Direktif yürürlükten kaldırılmış ve yerine Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) getirilmiştir. KVKK’nın günümüz ihtiyaçlarını karşılamada yetersiz kalması ve GDPR ile uyum gerekliliği doğrultusunda, 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Kanun ile 6698 sayılı Kanun’un 9. maddesinde önemli değişiklikler yapılmıştır.

1 Eylül 2024 itibarıyla yürürlüğe giren değişiklikle birlikte, kişisel verilerin yurt dışına aktarımında yeni bir sistem benimsenmiştir. GDPR’deki Standard Contractual Clauses benzeri “uygun güvence” mekanizması Türk sistemine entegre edilmiş; açık rıza önceliği kaldırılmış, yerine yeterlilik kararı, uygun güvence ve arızi hallerden oluşan üç kademeli sistem getirilmiştir.

Kişisel Verileri Koruma Kurumu tarafından yayımlanan 10 Temmuz 2024 tarihli Yönetmelik ile bu sistemin detayları belirlenmiş, ayrıca kullanılacak standart sözleşmeler, bağlayıcı şirket kuralları ve başvuru formları da aynı gün Kurum internet sitesinde yayımlanmıştır.

 

Yeterlilik Kararı

Yeterlilik kararı bulunması halinde, verilerin yurt dışına aktarımı Kurul iznine gerek kalmaksızın gerçekleştirilebilecektir. Yeni sistemle birlikte, yeterlilik kararı sadece ülkeler düzeyinde değil, belirli sektörler ve uluslararası kuruluşlar özelinde de verilebilecektir. Kurul, yeterlilik kararlarını dört yılda bir gözden geçirecek, gerekli görmesi halinde süre dolmadan da kararları değiştirebilecek, askıya alabilecek veya iptal edebilecektir.
Yeterlilik kararında dikkate alınacak başlıca unsurlar şunlardır:

  • Karşılıklılık durumu
  • Mevzuat ve uygulama düzeyi
  • Veri koruma otoritesinin etkinliği
  • Uluslararası sözleşmelere üyelik
  • Türkiye’nin üye olduğu kuruluşlarla ilişkiler

 

Uygun Güvenceler

Yeterlilik kararı bulunmayan durumlarda, kişisel verilerin yurt dışına aktarımı ancak aşağıdaki üç şartın birlikte sağlanması hâlinde mümkündür:

  • KVKK’nın 5. ve 6. maddelerinde düzenlenen işleme şartlarından en az birinin mevcut olması,
  • İlgili kişinin, verilerin aktarılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânına sahip olması,
  • Kurul tarafından öngörülen uygun güvence yöntemlerinden birinin sağlanması.

Yeni sistemle birlikte dört farklı uygun güvence yöntemi belirlenmiştir:

  1. Uluslararası sözleşme niteliğinde olmayan kamu kurumları arası anlaşmalar:
    Türkiye’deki kamu kurumları veya kamu kurumu niteliğindeki meslek kuruluşlarının, yurt dışındaki muhataplarıyla imzalayacakları ve kişisel verilerin korunmasına yönelik hükümler içeren iş birliği anlaşmaları, Kurul onayıyla uygun güvence olarak kabul edilebilecektir. Bu anlaşmalarda veri aktarımının amacı, kapsamı, güvenlik önlemleri, ilgili kişi haklarının korunması ve denetim mekanizmalarına yer verilmesi gerekmektedir.
  1. Bağlayıcı Şirket Kuralları (BŞK):
    Ortak ekonomik faaliyette bulunan şirketler topluluğu içindeki veri aktarımında, Kurul tarafından önceden onaylanmış bağlayıcı şirket kuralları aracılığıyla uygun güvence sağlanabilir. Bu kurallar, ilgili kişilere uygulanabilir haklar tanımalı, veri güvenliğine dair taahhütler içermeli ve teşebbüs grubunun her üyesi için hukuken bağlayıcı nitelikte olmalıdır.
  1. Standart Sözleşmeler:
    Kurul tarafından yayımlanan ve herhangi bir değişiklik yapılmadan aynen imzalanması gereken bu sözleşmeler, veri aktarımı için ek bir onay gerektirmez. Ancak sözleşmenin imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi zorunludur. Bu yöntemin, önümüzdeki dönemde en sık tercih edilen yöntemlerden biri olması beklenmektedir.
  1. Taahhütnameler:
    Standart sözleşmenin kullanılamadığı durumlarda, taraflarca hazırlanacak kişisel verilerin korunmasına yönelik özel taahhütnameler Kurul onayına sunularak uygun güvence sağlanabilir. Taahhütnamede veri güvenliği önlemleri, ilgili kişi hakları, sonraki aktarımlara dair sınırlamalar ve Kurul kararlarına uyum gibi hususlara yer verilmesi gerekir.

 

Arızi Haller

Yeterlilik kararı ya da uygun güvence bulunmayan ve veri aktarımının kaçınılmaz olduğu istisnai durumlar için “arızi aktarım” yolları düzenlenmiştir.
Bu haller şunlardır:

  • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
  • Aktarımın üstün bir kamu yararı için zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Arızi hallerde Kurul izni aranmaz, ancak bu tür aktarım olağan dışı, tekil ve süreklilik arz etmeyen nitelikte olmalıdır. Düzenli veri aktarımı arızi aktarım kapsamında değerlendirilemez.

 

Sonuç

Bu yeni sistem, Türkiye’de faaliyet gösteren veri sorumluları ve veri işleyenlerin yurt dışı aktarım süreçlerini hem esnetmiş hem de netleştirmiştir. Yeterlilik kararı ve uygun güvence seçeneklerinin çoğaltılması, açık rızaya dayalı sistemin yerini daha sürdürülebilir ve denetlenebilir bir yapıya bırakmasını sağlamıştır.

Detaylı bilgi ve danışmanlık hizmeti için bizimle iletişime geçebilirsiniz.