Sınır Ötesi Veri Aktarımı: Hukuki Çerçeve ve Uygulamadaki Sorunlar

1. Giriş
Küreselleşen dijital ekonomiyle birlikte kişisel verilerin farklı ülkelere aktarımı günümüz iş dünyasının temel ihtiyaçlarından biri hâline gelmiştir. Bulut hizmetleri, çok uluslu şirketler, e-ticaret platformları ve sosyal medya uygulamaları nedeniyle kişisel veriler artık coğrafi sınırların ötesinde işlenmektedir.
Ancak bu durum, kişisel verilerin yetkisiz erişim, ihlal ve kötüye kullanım riskini artırmakta ve hukuki açıdan veri koruma rejimlerini ön plana çıkarmaktadır.

2. Sınır Ötesi Veri Aktarımı Nedir?
Sınır ötesi veri aktarımı; kişisel verilerin, bir ülkenin veri koruma mevzuatına tabi olan sistemden başka bir ülkeye aktarılması veya o ülkede işlenmesidir.
Örnek: Türkiye’deki bir bankanın, müşteri verilerini Almanya’daki bir veri merkezinde yedeklemesi.

3. Türk Hukukunda Sınır Ötesi Veri Aktarımı (KVKK m.9)
3.1. Genel Kural
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.9 uyarınca:

“Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.”

3.2. Rıza Aranmaksızın Aktarım Koşulları
KVKK m.5/2 ve m.6/3 hükümleri kapsamında işleme hukuka uygun olmalı,

Verilerin aktarılacağı ülke, Kişisel Verileri Koruma Kurulu (Kurul) tarafından yeterli koruma sağlanan ülkeler listesinde yer almalı veya

Taraflar arasında taahhütname bulunmalı ve Kurul’dan izin alınmalıdır.

3.3. “Güvenli Ülke Listesi” Sorunu
KVKK yürürlüğe girdiğinden beri, Kurul tarafından güvenli ülke listesi yayımlanmamıştır.

Bu nedenle fiilen yurt dışı veri aktarımı yapılabilmesi için ya açık rıza alınmalı ya da Kurul onaylı taahhütname prosedürü izlenmelidir.

Bu durum, özellikle çok uluslu şirketler ve bulut servis sağlayıcıları için hukuki belirsizlik yaratmaktadır.

4. Avrupa Birliği’nde Sınır Ötesi Veri Aktarımı (GDPR m.44-50)
4.1. GDPR Yaklaşımı
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) sınır ötesi veri aktarımını detaylı olarak düzenlemiştir:

Madde 44: AB dışına veri aktarımı için yeterli koruma seviyesi gerekir.

Madde 45: Avrupa Komisyonu tarafından güvenli ülke kararı verilmişse veri aktarımı serbesttir (örn. İsviçre, Kanada, Japonya).

Madde 46: Güvenli ülke yoksa, standard sözleşme hükümleri (SCC), bağlayıcı şirket kuralları (BCR) gibi araçlar kullanılmalıdır.

4.2. Schrems II Kararı ve Etkisi
ABAD’ın 2020 tarihli Schrems II kararı ile ABD’ye veri aktarımına dayanak olan Privacy Shield iptal edilmiş, ABD’ye aktarımlar riskli hâle gelmiştir. Bu karar, dünya çapında şirketlerin veri aktarım süreçlerini yeniden yapılandırmasına neden olmuştur.

5. Uygulamada Karşılaşılan Hukuki Sorunlar
Açık Rıza Sorunu:
Kullanıcıların sınır ötesi veri aktarımı konusunda gerçek anlamda bilgilendirilip bilgilendirilmediği tartışmalıdır.

Kurul Onayı ve Taahhütname Prosedürü:
Uygulamada yavaş ve karmaşık ilerlemekte, şirketleri belirsizliğe sürüklemektedir.

Bulut Hizmetleri ve Global Platformlar:
AWS, Google Cloud, Microsoft gibi servis sağlayıcılarla çalışan şirketlerin veri işleme faaliyetleri genellikle yurt dışında gerçekleşmektedir.

İhlal Durumunda Sorumluluk:
Veri aktarımı sonucunda yaşanan bir veri ihlalinde hem veri sorumlusu hem de yurt dışındaki alıcı, müteselsilen sorumlu olabilir.

6. KVKK ve GDPR Kıyaslaması
Kriter KVKK GDPR
Rıza Şartı Esas kural olarak açık rıza gerekir Alternatif yasal dayanaklar mümkündür
Güvenli Ülke Listesi Henüz yayımlanmadı Komisyon tarafından belirlenmiş ülkeler vardır
Alternatif Mekanizma Taahhütname + Kurul onayı SCC, BCR, Code of Conduct
Veri İhlali Bildirimi Derhal Kurul’a bildirilir 72 saat içinde otoriteye bildirilir

7. Çözüm Önerileri
KVKK Kurulu tarafından güvenli ülke listesinin yayımlanması,

Sektörel örnek taahhütnameler ve sözleşme şablonları geliştirilmesi,

Kurul tarafından GDPR uyumlu çerçeve mekanizmaların tanınması,

Veri ihlallerinde cezai değil, önleyici bir yaklaşım benimsenmesi,

Şirket içi veri aktarım politikalarının oluşturulması ve denetim sistemleri kurulması.

8. Sonuç
Sınır ötesi veri aktarımı, küresel dijital ekonominin ayrılmaz bir parçası hâline gelmiştir. Ancak bu veri hareketliliği, bireylerin temel haklarını da tehdit edebilecek nitelikte olduğundan, hukuki denge büyük önem arz etmektedir.

Türkiye’de KVKK m.9 bu çerçeveyi oluşturmakla birlikte, uygulamada eksik kalan güvenli ülke listesi ve taahhüt onay süreçleri nedeniyle belirsizlik devam etmektedir.
Uluslararası uygulamalara uyum sağlamak ve dijital ekonomide geri kalmamak için Türkiye’nin KVKK’yı GDPR uyumlu hâle getirmesi ve Kurul’un uygulama rehberleriyle süreci desteklemesi gereklidir.