Kişisel Verilerin Yurt Dışına Aktarılması: KVKK Kapsamında Şartlar ve Yeni Düzenlemeler
Giriş
Kişisel verilerin yurt dışına aktarılması, şirketler açısından KVKK uyum sürecinin en önemli ve en riskli alanlarından biridir. Günümüzde şirketlerin önemli bir kısmı e-posta servisleri, bulut depolama hizmetleri, CRM yazılımları, insan kaynakları platformları, muhasebe programları, çağrı merkezi sistemleri, reklam ve analiz araçları, çerez teknolojileri, ödeme altyapıları ve global yazılım sağlayıcıları üzerinden veri işlemektedir. Bu hizmetlerin bir kısmı Türkiye dışında yerleşik şirketler tarafından sunulmakta veya kişisel veriler yurt dışındaki sunucularda barındırılmaktadır. Bu nedenle birçok şirket farkında olmadan yurt dışına kişisel veri aktarımı gerçekleştirebilmektedir.
Örneğin bir şirketin müşteri verilerini yurt dışı merkezli bir CRM sistemine kaydetmesi, çalışan bilgilerini global insan kaynakları yazılımında tutması, internet sitesinde üçüncü taraf reklam çerezleri kullanması, müşteri e-posta listelerini yabancı bir e-posta pazarlama platformuna aktarması veya verileri yurt dışındaki bulut sunucularda saklaması KVKK kapsamında yurt dışına veri aktarımı olarak değerlendirilebilir. Aktarımın mutlaka manuel olarak dosya gönderilmesi şeklinde yapılması gerekmez; uzaktan erişim, bulut sistemi, API bağlantısı, çerez teknolojisi veya yabancı hizmet sağlayıcının sisteme erişimi de somut olayın niteliğine göre aktarım sayılabilir.
Kişisel verilerin yurt dışına aktarılması konusunda 2024 yılında önemli değişiklikler yapılmıştır. 7499 sayılı Kanun ile 6698 sayılı KVKK’nın 9. maddesi değiştirilmiş, yeni düzenleme 1 Haziran 2024 tarihinde yürürlüğe girmiştir. Eski sistemde yurt dışına aktarım büyük ölçüde açık rıza veya Kurul iznine dayalı taahhütname mekanizması üzerinden yürürken, yeni sistemde yeterlilik kararı, uygun güvenceler, standart sözleşmeler, bağlayıcı şirket kuralları ve istisnai aktarım halleri şeklinde kademeli bir yapı benimsenmiştir. KVKK Kurumu da yeni rejimi; yeterlilik kararı, uygun güvenceler ve istisnai haller olmak üzere aşamalı bir aktarım sistemi olarak açıklamaktadır.
Yurt Dışına Veri Aktarımı Nedir?
Yurt dışına veri aktarımı, Türkiye’de işlenen veya Türkiye’de bulunan ilgili kişilere ait kişisel verilerin yurt dışındaki bir alıcıya, sunucuya, hizmet sağlayıcıya, bağlı şirkete, iş ortağına veya üçüncü kişiye aktarılmasıdır. Burada önemli olan yalnızca verinin fiziksel olarak yurt dışına gönderilmesi değildir. Veriye yurt dışından erişilmesi, verinin yurt dışındaki bir sunucuda saklanması, yabancı bir yazılım sağlayıcısının veriye teknik destek kapsamında erişmesi veya üçüncü taraf çerezler aracılığıyla yurt dışındaki reklam/analiz şirketlerine veri iletilmesi de yurt dışına aktarım tartışmasını gündeme getirebilir.
Kişisel veri; ad, soyad, telefon numarası, e-posta adresi, IP adresi, müşteri işlem bilgisi, çalışan özlük bilgisi, sağlık verisi, ödeme bilgisi, konum verisi, kamera görüntüsü, çerez verisi veya kullanıcı davranış verisi olabilir. Bu verilerden herhangi biri Türkiye dışındaki bir alıcıyla paylaşıldığında veya yurt dışındaki sistemlere kaydedildiğinde, KVKK’nın yurt dışına aktarım hükümleri dikkate alınmalıdır.
Uygulamada en sık karşılaşılan yurt dışına aktarım örnekleri şunlardır: Google, Microsoft, Amazon, Meta, HubSpot, Salesforce, Mailchimp, Zoom, Slack, Shopify, global HR yazılımları, bulut tabanlı muhasebe sistemleri, yabancı veri merkezi hizmetleri, reklam piksel kodları, sosyal medya eklentileri ve yabancı çağrı merkezi altyapıları. Her bir hizmette öncelikle şu soru sorulmalıdır: Kişisel veri yurt dışındaki bir alıcıya aktarılıyor mu veya yurt dışındaki bir kişi ya da sistem bu verilere erişebiliyor mu? Cevap evet ise KVKK m.9 kapsamında ayrıca hukuki değerlendirme yapılmalıdır.
2024 Değişikliği Sonrası Yeni Sistem
KVKK’nın yurt dışına veri aktarımını düzenleyen 9. maddesi, 7499 sayılı Kanun ile değiştirilmiştir. KVKK Kurumu’nun kamuoyu duyurusuna göre değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmiş; ancak eski 9. maddenin mevcut birinci fıkrası, yeni düzenlemeyle birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam etmiştir. Bu geçiş süreci, veri sorumluları ve veri işleyenlerin yeni aktarım sistemine uyum sağlaması için öngörülmüştür.
Yeni sistemde yurt dışına aktarım için önce Kanun’un 5. veya 6. maddesinde yer alan kişisel veri işleme şartlarından birinin mevcut olması gerekir. Yani bir kişisel verinin yurt dışına aktarılabilmesi için öncelikle o verinin işlenmesinin hukuka uygun olması gerekir. Hukuka aykırı şekilde toplanmış veya işlenmiş bir veri, sırf standart sözleşme imzalandı diye yurt dışına hukuka uygun aktarılmış sayılmaz.
Yeni düzenleme kademeli bir yapı kurmuştur. İlk aşamada aktarım yapılacak ülke, ülke içindeki sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunup bulunmadığına bakılır. Yeterlilik kararı yoksa, Kanun’da sayılan uygun güvencelerden biri sağlanmalıdır. Yeterlilik kararı ve uygun güvence yoksa, ancak arızi olmak kaydıyla ve Kanun’da sınırlı sayıda sayılan istisnai hallerden biri mevcutsa aktarım yapılabilir. KVKK Kurumu da bu üç aşamalı yapıyı açıkça belirtmektedir.
Bu sistem, Avrupa Birliği Genel Veri Koruma Tüzüğü’ndeki yaklaşıma daha yakın bir model getirmiştir. Özellikle standart sözleşmeler ve bağlayıcı şirket kuralları, şirketlerin uluslararası veri aktarım süreçlerinde daha uygulanabilir mekanizmalar oluşturmasını sağlamaktadır. Ancak bu araçların kullanılması, şirketlerin diğer KVKK yükümlülüklerini ortadan kaldırmaz. Aydınlatma, veri güvenliği, veri minimizasyonu, saklama süresi, açık rıza gerekip gerekmediği ve ilgili kişi hakları ayrıca değerlendirilmelidir.
Birinci Aşama: Yeterlilik Kararı
Yeni KVKK m.9 sisteminde en güvenli aktarım yolu, aktarım yapılacak ülke, ülke içindeki sektör veya uluslararası kuruluş hakkında Kurul tarafından verilmiş bir yeterlilik kararının bulunmasıdır. Kanun’un yeni sistemine göre, KVKK m.5 veya m.6’daki veri işleme şartlarından biri mevcutsa ve aktarım yapılacak ülke, sektör ya da uluslararası kuruluş hakkında yeterlilik kararı varsa kişisel veriler yurt dışına aktarılabilir. KVKK Kurumu, yeni düzenlemeyle yeterlilik kararının yalnızca bir ülkenin tamamı için değil, belirli sektörler veya uluslararası kuruluşlar için de verilebileceğini açıklamaktadır.
Yeterlilik kararı, Kurul’un ilgili ülke veya kuruluşun kişisel verilerin korunması bakımından yeterli güvence sağladığını kabul etmesi anlamına gelir. Kurul bu değerlendirmeyi yaparken karşılıklılık durumu, ilgili ülkenin kişisel veri mevzuatı, bağımsız denetim otoritelerinin varlığı, uluslararası sözleşmelere taraf olma durumu, etkili başvuru yolları ve benzeri hususları dikkate alabilir.
Ancak uygulamada önemli bir nokta vardır: KVKK Kurumu’nun yurt dışına aktarım sayfasında, yeterli korumanın bulunduğu ülkeler konusunda Kurul tarafından henüz bir belirleme yapılmadığı belirtilmektedir. Bu nedenle uygulamada şirketlerin büyük çoğunluğu şu an için yalnızca yeterlilik kararına dayanarak aktarım yapamamaktadır. Bu durumda ikinci aşama olan uygun güvenceler devreye girer.
İkinci Aşama: Uygun Güvenceler
Yeterlilik kararı yoksa, kişisel verilerin yurt dışına aktarılması için Kanun’da sayılan uygun güvencelerden birinin sağlanması gerekir. Ancak uygun güvence tek başına yeterli değildir. Yine Kanun’un 5. veya 6. maddesinde yer alan işleme şartlarından biri bulunmalı ve ilgili kişinin aktarım yapılacak ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânı mevcut olmalıdır. KVKK Kurumu, yeterlilik kararı bulunmayan hallerde uygun güvencelerden birinin sağlanması halinde aktarım yapılabileceğini açıklamaktadır.
Uygun güvenceler dört temel başlık altında toplanabilir. Birincisi, yurt dışındaki kamu kurum veya kuruluşları ya da uluslararası kuruluşlar ile Türkiye’deki kamu kurumları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul iznidir. İkincisi, aynı teşebbüs grubu içinde yer alan şirketler bakımından Kurul tarafından onaylanmış bağlayıcı şirket kurallarıdır. Üçüncüsü, Kurul tarafından ilan edilen standart sözleşmelerin imzalanması ve Kuruma bildirim yapılmasıdır. Dördüncüsü ise yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı taahhütname ve Kurul iznidir. KVKK Kurumu bu uygun güvence yöntemlerini yurt dışı aktarım sayfasında ayrı ayrı açıklamaktadır.
Uygulamada özel sektör şirketleri açısından en çok önem taşıyan yöntemler standart sözleşmeler ve bağlayıcı şirket kurallarıdır. Çok uluslu şirket gruplarında bağlayıcı şirket kuralları daha uygun olabilirken, tekil hizmet sağlayıcı ilişkilerinde standart sözleşmeler daha pratik bir yöntem olarak öne çıkmaktadır.
Standart Sözleşmeler
Standart sözleşmeler, yurt dışına kişisel veri aktarımında yeni sistemin en önemli araçlarından biridir. KVKK Kurumu’nun açıklamasına göre standart sözleşmeler ve bağlayıcı şirket kuralları, 7499 sayılı Kanun değişikliği kapsamında veri sorumluları ve veri işleyenlerin başvurabileceği uygun güvence yöntemleri olarak öngörülmüş; Kurul’un 04.06.2024 tarihli ve 2024/959 sayılı kararı ile standart sözleşme metinleri ve bağlayıcı şirket kurallarına ilişkin dokümanlar kabul edilmiştir.
Standart sözleşmelerin önemli avantajı, Kurul’dan ayrıca izin alınmasını gerektirmeden yurt dışına aktarım imkânı sağlamasıdır. Ancak bu sözleşmelerin Kurul tarafından yayımlanan metinlere uygun şekilde imzalanması gerekir. Standart sözleşme, yalnızca genel bir veri aktarım sözleşmesi değildir; veri kategorileri, aktarım amaçları, alıcı ve alıcı grupları, veri alıcısının alacağı teknik ve idari tedbirler, özel nitelikli kişisel veriler için ek önlemler gibi unsurları içermelidir. KVKK Kurumu, standart sözleşmelerin bu unsurları barındırdığını ve imzalanmasının ek izin gerektirmeden aktarım sağlayabileceğini açıklamaktadır.
Kurul tarafından dört farklı standart sözleşme tipi yayımlanmıştır: veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna aktarım. KVKK Kurumu’nun standart sözleşmeler sayfasında bu dört model ayrı ayrı yer almaktadır. Bu ayrım son derece önemlidir; çünkü yanlış sözleşme tipinin seçilmesi aktarım mekanizmasının hukuki sağlamlığını zayıflatabilir.
Örneğin Türkiye’deki bir e-ticaret şirketi, müşteri verilerini yurt dışındaki bir bulut hizmet sağlayıcısına aktarıyorsa genellikle veri sorumlusundan veri işleyene aktarım modeli gündeme gelebilir. Buna karşılık Türkiye’deki bir grup şirketinin müşteri verilerini yurt dışındaki başka bir grup şirketiyle kendi amaçları doğrultusunda paylaşması, veri sorumlusundan veri sorumlusuna aktarım niteliğinde olabilir. Her somut olayda tarafların veri sorumlusu mu veri işleyen mi olduğu ayrı ayrı analiz edilmelidir.
Standart sözleşmeler bakımından dikkat edilmesi gereken bir diğer nokta bildirim yükümlülüğüdür. Kanun’un 9. maddesinin beşinci fıkrasında, standart sözleşmelerin imzalanmasından itibaren beş iş günü içinde Kuruma bildirileceği düzenlenmiştir. KVKK Kurumu ayrıca standart sözleşme bildirimlerinin fiziki olarak, KEP yoluyla veya Kurul tarafından belirlenen diğer yöntemlerle yapılabileceğini; 17.10.2024 tarihli ve 2024/1793 sayılı kararla Standart Sözleşme Bildirim Modülü üzerinden bildirim yapılmasına imkân tanındığını duyurmuştur.
Bu nedenle standart sözleşme imzalamak tek başına yeterli görülmemelidir. Sözleşmenin doğru tipte seçilmesi, eklerinin gerçek veri aktarımını yansıtması, taraflarca usulüne uygun imzalanması, beş iş günü içinde Kuruma bildirilmesi ve fiili aktarımın sözleşmeye uygun yürütülmesi gerekir.
Bağlayıcı Şirket Kuralları
Bağlayıcı şirket kuralları, özellikle çok uluslu şirket grupları bakımından önemlidir. Aynı teşebbüs grubu içinde bulunan şirketler arasında düzenli ve sürekli veri aktarımı yapılıyorsa, her aktarım için ayrı standart sözleşme kullanmak pratik olmayabilir. Bu durumda grup içinde kişisel verilerin korunmasına ilişkin bağlayıcı, denetlenebilir ve Kurul tarafından onaylanmış kurallar oluşturulabilir.
KVKK Kurumu, aynı teşebbüs grubu içindeki şirketler arasında Kurul tarafından onaylanmış bağlayıcı şirket kuralları bulunması halinde, Kanun’un 5. ve 6. maddelerindeki işleme şartlarından biri de mevcutsa Kurul’dan ek izin alınmaksızın grup içi veri aktarımı yapılabileceğini açıklamaktadır.
Bağlayıcı şirket kuralları yalnızca kâğıt üzerinde bir politika değildir. Grup şirketlerinin tamamı bakımından uygulanabilir, ilgili kişilerin haklarını koruyan, veri güvenliği tedbirlerini içeren, denetim ve yaptırım mekanizmaları barındıran ve etkili başvuru yolları sunan bir sistem kurulmalıdır. Bu nedenle bağlayıcı şirket kuralları, daha çok çok uluslu ve kurumsal yapısı güçlü şirket grupları için uygun bir araçtır.
Yazılı Taahhütname ve Kurul İzni
Yurt dışına veri aktarımında kullanılabilecek bir diğer uygun güvence yöntemi, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı taahhütname ve Kurul iznidir. Bu yöntem eski sistemde de bilinen bir mekanizmaydı. Yeni sistemde standart sözleşmelerin getirilmesiyle birlikte uygulamadaki önemi kısmen azalsa da bazı özel durumlarda hâlâ kullanılabilir.
KVKK Kurumu, sektörel veya bölgesel zorunluluklar sebebiyle standart taahhütname ile veri aktarımı gerçekleştiremeyecek tarafların, kişisel verilerin korunmasına ilişkin taahhütleri içeren taahhütnameyi Kurul onayına sunmaları halinde aktarım yapabileceğini açıklamaktadır.
Bu yöntem standart sözleşmeden farklıdır. Standart sözleşmede Kurul izni gerekmez; ancak Kuruma bildirim yapılır. Yazılı taahhütnamede ise Kurul izni gerekir. Bu nedenle şirketler açısından hızlı ve pratik yöntem çoğu zaman standart sözleşme olurken, özel nitelikli veya standart sözleşmeye uygun olmayan aktarım yapılarında taahhütname yöntemi değerlendirilebilir.
Arızi ve İstisnai Aktarım Halleri
Yeni sistemde yeterlilik kararı yoksa ve uygun güvence sağlanamıyorsa, yurt dışına aktarım ancak arızi olmak kaydıyla ve Kanun’da sınırlı sayıda sayılan istisnai hallerden birinin varlığı halinde mümkündür. KVKK Kurumu, bu istisnaların düzenli olmayan, süreklilik göstermeyen ve nadiren gerçekleşen aktarım faaliyetleri bakımından geçerli olduğunu; kişisel verilerin korunması hakkı temel hak niteliğinde olduğundan istisnai hallerin dar yorumlanması gerektiğini belirtmektedir.
Bu istisnai haller arasında ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi şartıyla açık rıza vermesi, aktarımın ilgili kişi ile veri sorumlusu arasındaki sözleşmenin ifası için zorunlu olması, ilgili kişi yararına veri sorumlusu ile üçüncü kişi arasında yapılacak sözleşme için zorunlu olması, üstün kamu yararı, bir hakkın tesisi veya korunması, fiili imkânsızlık nedeniyle rıza veremeyen kişinin hayatı veya beden bütünlüğünün korunması ve kamuya açık sicillerden belirli şartlarla aktarım yapılması yer alır. KVKK Kurumu bu halleri sınırlı şekilde saymaktadır.
Burada en çok yapılan hata, istisnai aktarım hallerinin sürekli ve düzenli veri aktarımına dayanak yapılmasıdır. Örneğin bir şirketin tüm müşteri verilerini sürekli olarak yurt dışındaki CRM sistemine aktarması, “sözleşme için gerekli” veya “açık rıza aldık” denilerek arızi istisna kapsamında kolayca değerlendirilemez. Arızi aktarım; nadiren, tekil ve zorunlu hallerde başvurulacak bir mekanizmadır. Sürekli bir yazılım, bulut, pazarlama veya insan kaynakları sistemi kullanılıyorsa uygun güvence mekanizması kurulmalıdır.
Açık Rıza Yeterli midir?
Eski sistemde yurt dışına aktarım uygulamada çoğu zaman açık rıza üzerinden yürütülüyordu. Ancak yeni sistemde açık rıza, yurt dışına aktarımda ilk ve genel çözüm değildir. Açık rıza, arızi aktarım hallerinden biri olarak düzenlenmiştir. Bu nedenle şirketlerin sürekli veri aktarımı süreçlerini yalnızca açık rızaya dayandırması yeni sistem bakımından ciddi risk oluşturabilir.
Açık rızanın geçerli olması için ilgili kişi muhtemel riskler hakkında bilgilendirilmeli, rıza belirli bir aktarım faaliyetine ilişkin olmalı ve özgür iradeyle verilmelidir. “Kişisel verilerimin yurt dışına aktarılmasına onay veriyorum” şeklindeki genel ve belirsiz rıza metinleri yeterli olmayabilir. Hangi verinin, hangi ülkeye, hangi alıcıya, hangi amaçla aktarılacağı ve aktarımın riskleri ilgili kişiye açıkça anlatılmalıdır.
Ayrıca açık rıza her zaman geri alınabilir. Sürekli bir hizmetin temel altyapısı yurt dışı aktarımına dayanıyorsa, açık rızanın geri alınması halinde hizmetin nasıl devam edeceği ayrıca planlanmalıdır. Bu nedenle şirketler, özellikle düzenli ve sistematik aktarımlarda açık rıza yerine mümkünse standart sözleşme, bağlayıcı şirket kuralları veya diğer uygun güvence mekanizmalarını değerlendirmelidir.
Aydınlatma Metninde Yurt Dışı Aktarım Nasıl Yazılmalıdır?
Yurt dışına veri aktarımı yapan şirketlerin aydınlatma metinlerinde bu durumu açıkça belirtmesi gerekir. Aydınlatma metninde yalnızca “kişisel verileriniz yurt içinde ve yurt dışında paylaşılabilir” şeklinde genel bir ifade kullanılması yeterli değildir. Hangi veri kategorilerinin, hangi amaçlarla, hangi alıcı gruplarına ve hangi hukuki sebebe dayanarak aktarılabileceği açıklanmalıdır.
Örneğin bir e-ticaret şirketi müşteri iletişim bilgilerini yurt dışı merkezli e-posta pazarlama platformuna aktarıyorsa, bu aktarımın pazarlama amacı, alıcı grubu, hukuki sebebi ve aktarım mekanizması belirtilmelidir. Bir şirket çalışan verilerini global insan kaynakları sisteminde tutuyorsa, çalışan aydınlatma metninde bu sistemin yurt dışı bağlantısı, aktarım amacı ve hukuki dayanağı açıklanmalıdır.
Aydınlatma metni ile açık rıza metni birbirine karıştırılmamalıdır. Aydınlatma bilgilendirme yükümlülüğüdür; açık rıza ise belirli bir veri işleme faaliyetine ilişkin irade beyanıdır. Yurt dışı aktarım standart sözleşmeye dayanıyorsa, aydınlatma metninde bu aktarım hukuki zemini açıklanmalı; ayrıca gereksiz şekilde açık rıza alınarak hukuki sebep karmaşası yaratılmamalıdır.
Şirketler İçin Uygulamada En Sık Karşılaşılan Riskler
Şirketlerin yurt dışına veri aktarımı konusunda en sık yaptığı hata, kullandığı yazılım ve hizmetlerin veri aktarımı yaratıp yaratmadığını analiz etmemesidir. Birçok şirket, “veriler bizde duruyor” düşüncesiyle hareket etmekte; ancak kullandığı bulut, CRM, e-posta, reklam, analiz veya insan kaynakları sistemleri üzerinden yurt dışı aktarımı yaptığını fark etmemektedir.
İkinci hata, yabancı hizmet sağlayıcının sunduğu genel gizlilik politikasına güvenmektir. Hizmet sağlayıcının kendi sözleşmesinde veri koruma hükümleri bulunması, Türkiye’deki veri sorumlusunun KVKK m.9 yükümlülüğünü kendiliğinden yerine getirdiği anlamına gelmez. Türkiye’deki veri sorumlusu, aktarım için KVKK’ya uygun mekanizmayı ayrıca kurmalıdır.
Üçüncü hata, standart sözleşmenin eklerini boş veya genel ifadelerle doldurmaktır. Standart sözleşme eklerinde veri kategorileri, ilgili kişi grupları, aktarım amaçları, alıcılar, saklama süreleri, güvenlik tedbirleri ve özel nitelikli veri varsa ek önlemler gerçeğe uygun şekilde yazılmalıdır. Sözleşme ile fiili aktarım arasında uyumsuzluk varsa, sözleşmenin koruyucu etkisi zayıflar.
Dördüncü hata, beş iş günlük bildirim süresinin kaçırılmasıdır. Standart sözleşme imzalandıktan sonra Kuruma bildirim yükümlülüğü bulunmaktadır. Bu bildirimin süresinde ve doğru yöntemle yapılmaması idari yaptırım riski doğurabilir. KVKK Kurumu, standart sözleşmelerin imzalanmasından itibaren beş iş günü içinde Kuruma bildirileceğini ve Standart Sözleşme Bildirim Modülü üzerinden bildirim yapılabileceğini duyurmuştur.
Beşinci hata, çerezler ve reklam teknolojileri üzerinden gerçekleşen aktarımların gözden kaçırılmasıdır. İnternet sitelerinde kullanılan üçüncü taraf analiz ve reklam çerezleri, kullanıcı verilerinin yurt dışındaki platformlara aktarılmasına neden olabilir. Bu nedenle çerez politikası, açık rıza paneli ve yurt dışı aktarım analizi birlikte yapılmalıdır.
Altıncı hata, özel nitelikli kişisel verilerin yurt dışına aktarımında ek tedbirlerin unutulmasıdır. Sağlık verisi, biyometrik veri, ceza mahkûmiyeti bilgisi veya sendika üyeliği gibi özel nitelikli veriler aktarılıyorsa, yalnızca genel aktarım mekanizması yeterli görülmemeli; özel nitelikli verilere ilişkin ek güvenlik tedbirleri ayrıca alınmalıdır.
Yurt Dışına Aktarım Envanteri Nasıl Hazırlanmalıdır?
KVKK’ya uyumlu bir yurt dışı aktarım süreci için şirketlerin öncelikle veri aktarım envanteri hazırlaması gerekir. Bu envanterde hangi kişisel verilerin yurt dışına aktarıldığı, veri konusu kişi grupları, aktarım amaçları, alıcılar, alıcının ülkesi, kullanılan sistem veya hizmet sağlayıcı, aktarım sıklığı, hukuki sebep ve aktarım mekanizması gösterilmelidir.
Örneğin insan kaynakları departmanı çalışan verilerini yurt dışı merkezli bir HR platformuna aktarıyor olabilir. Pazarlama departmanı müşteri e-posta adreslerini yabancı bir e-posta pazarlama sisteminde tutuyor olabilir. Bilgi işlem departmanı yedekleri yabancı bulut sunucularda saklıyor olabilir. Web sitesi üçüncü taraf reklam ve analiz çerezleri kullanıyor olabilir. Hukuk veya finans departmanı grup şirketleriyle veri paylaşımı yapıyor olabilir. Bu süreçlerin tamamı ayrı ayrı tespit edilmelidir.
Envanter hazırlanırken yalnızca sözleşmelere bakmak yeterli değildir. Fiili teknik akış da incelenmelidir. Sunucular nerede? Destek ekibi hangi ülkeden erişiyor? Hangi API’ler veri gönderiyor? Çerezler hangi üçüncü taraflara veri aktarıyor? Kullanılan yazılımın alt işleyenleri kimler? Bu sorulara net cevap verilmeden yurt dışı aktarım uyumu sağlıklı kurulamaz.
Uygulamada İzlenmesi Gereken Yol
Yurt dışına veri aktarımı yapan bir şirketin izlemesi gereken yol özetle şu şekilde olmalıdır:
İlk olarak, işlenen kişisel verinin hukuka uygun şekilde elde edilip edilmediği ve KVKK m.5 veya m.6’da yer alan işleme şartlarından birinin mevcut olup olmadığı değerlendirilmelidir. Hukuka aykırı veri işleme faaliyeti üzerine yurt dışı aktarım mekanizması kurulamaz.
İkinci olarak, aktarımın gerçekten yurt dışı aktarımı olup olmadığı belirlenmelidir. Hizmet sağlayıcı Türkiye’de görünse bile sunucular, alt işleyenler veya erişim noktaları yurt dışında olabilir.
Üçüncü olarak, aktarım yapılacak ülke veya kuruluş hakkında yeterlilik kararı bulunup bulunmadığı kontrol edilmelidir. Şu an Kurul tarafından yeterli korumanın bulunduğu ülkeler konusunda belirleme yapılmadığı için çoğu uygulamada uygun güvence mekanizmalarına yönelmek gerekecektir.
Dördüncü olarak, uygun güvence yöntemi seçilmelidir. Tekil hizmet sağlayıcı ilişkilerinde standart sözleşme; grup içi aktarımlarda bağlayıcı şirket kuralları; kamu kurumları arası iş birliklerinde anlaşma ve Kurul izni; özel durumlarda taahhütname ve Kurul izni değerlendirilebilir.
Beşinci olarak, aydınlatma metinleri ve gerekiyorsa açık rıza metinleri güncellenmelidir. İlgili kişi, kişisel verilerinin yurt dışına aktarılabileceğini açık ve anlaşılır şekilde öğrenebilmelidir.
Altıncı olarak, teknik ve idari tedbirler alınmalıdır. Şifreleme, erişim kontrolü, log kaydı, veri minimizasyonu, sözleşmesel denetim, alt işleyen kontrolü, ihlal bildirimi prosedürü ve saklama-imha politikası aktarım sürecinin parçası olmalıdır.
Yedinci olarak, standart sözleşme kullanılıyorsa beş iş günü içinde Kuruma bildirim yapılmalıdır. Bildirim süreci ihmal edilmemeli ve belgelendirme düzenli saklanmalıdır.
Yurt Dışına Veri Aktarımı ve İdari Para Cezası Riski
Yurt dışına veri aktarımı hükümlerine aykırı davranılması, şirketler açısından idari yaptırım riski doğurur. Özellikle standart sözleşme bildirim yükümlülüğünün yerine getirilmemesi, veri güvenliği tedbirlerinin alınmaması, aydınlatma yükümlülüğünün eksik yerine getirilmesi veya hukuka aykırı aktarım yapılması Kurul incelemesine konu olabilir.
Bunun yanında ilgili kişiler maddi veya manevi zarar iddiasıyla tazminat talebinde bulunabilir. Örneğin sağlık verilerinin yurt dışındaki bir hizmet sağlayıcıya hukuka aykırı aktarılması, müşteri verilerinin üçüncü taraf reklam ağlarına izinsiz gönderilmesi veya çalışan verilerinin global sistemlerde gerekli hukuki mekanizma olmaksızın tutulması, yalnızca idari para cezası değil, itibar kaybı ve tazminat riski de doğurabilir.
Bu nedenle şirketler yurt dışına aktarımı yalnızca sözleşme veya teknik altyapı konusu olarak görmemelidir. Konu; veri envanteri, aydınlatma, açık rıza, sözleşme yönetimi, bilgi güvenliği, çerez yönetimi, insan kaynakları süreçleri ve grup şirketleri arasındaki veri akışlarıyla birlikte değerlendirilmelidir.
Sonuç
Kişisel verilerin yurt dışına aktarılması, KVKK uyum sürecinin en teknik ve en dikkatli yürütülmesi gereken alanlarından biridir. 7499 sayılı Kanun ile değişen yeni KVKK m.9 sistemi, yurt dışı aktarımda kademeli bir model öngörmektedir. Buna göre öncelikle KVKK m.5 veya m.6’daki veri işleme şartlarından biri bulunmalı; ardından yeterlilik kararı, uygun güvence veya arızi istisna hallerinden biri çerçevesinde aktarım yapılmalıdır. Yeni düzenleme 1 Haziran 2024 tarihinde yürürlüğe girmiş ve geçiş süreci 1 Eylül 2024 tarihine kadar devam etmiştir.
Bugün itibarıyla Kurul tarafından yeterli korumanın bulunduğu ülkeler konusunda henüz belirleme yapılmadığı için uygulamada standart sözleşmeler, bağlayıcı şirket kuralları, taahhütname ve Kurul izni gibi uygun güvence mekanizmaları öne çıkmaktadır. Özellikle standart sözleşmeler, şirketler için pratik bir aktarım aracı olmakla birlikte, doğru sözleşme tipinin seçilmesi, eklerin gerçek veri akışını yansıtması ve imzadan itibaren beş iş günü içinde Kuruma bildirim yapılması gerekir.
Şirketlerin en sık yaptığı hata, kullandıkları bulut, CRM, e-posta, reklam, analiz, insan kaynakları ve yazılım hizmetlerinin yurt dışına veri aktarımı doğurup doğurmadığını analiz etmemesidir. Oysa günümüzde yurt dışına aktarım çoğu zaman görünmez teknik altyapılar üzerinden gerçekleşmektedir. Bu nedenle her şirketin yurt dışı aktarım envanteri hazırlaması, kullanılan hizmet sağlayıcıları incelemesi, aydınlatma metinlerini güncellemesi, uygun güvence mekanizmasını kurması ve teknik-idari tedbirleri uygulaması gerekir.
Sonuç olarak, KVKK’ya uygun yurt dışına veri aktarımı yalnızca bir sözleşme imzalama işlemi değildir. Bu süreç, şirketin veri işleme faaliyetlerinin bütüncül şekilde analiz edilmesini, hukuki sebebin doğru belirlenmesini, aktarım mekanizmasının seçilmesini, ilgili kişilerin bilgilendirilmesini, güvenlik tedbirlerinin alınmasını ve tüm sürecin belgelenmesini gerektirir. Doğru yönetilen bir yurt dışı aktarım süreci, şirketi idari para cezası ve tazminat riskinden korurken; müşteri, çalışan ve iş ortakları nezdinde güvenilir ve şeffaf bir veri yönetimi anlayışı oluşturur.