Kişisel Verilerin Yurt Dışına Aktarılması ve Hukuki Şartları
Giriş
Kişisel verilerin yurt dışına aktarılması, dijitalleşen ticari hayatın en önemli hukuki konularından biridir. Günümüzde birçok şirket e-posta altyapısını, CRM sistemini, bulut depolama hizmetlerini, insan kaynakları yazılımlarını, muhasebe programlarını, canlı destek araçlarını, reklam ve analiz teknolojilerini, ödeme sistemlerini veya müşteri yönetim panellerini yurt dışı merkezli hizmet sağlayıcılar üzerinden kullanmaktadır. Bu nedenle Türkiye’de bulunan bir şirket, farkında olmadan dahi kişisel verileri yurt dışına aktarıyor olabilir.
Örneğin bir şirketin Google Workspace, Microsoft 365, AWS, Meta Pixel, Google Analytics, HubSpot, Salesforce, Mailchimp, Zoom, Slack, yabancı hosting sağlayıcıları, uluslararası ödeme kuruluşları veya yurt dışı merkezli insan kaynakları yazılımları kullanması kişisel verilerin yurt dışına aktarılması meselesini gündeme getirebilir. Aynı şekilde Türkiye’deki bir şirketin yurt dışındaki ana şirketine çalışan verilerini göndermesi, müşterilerin verilerini yabancı bir sunucuda saklaması, e-ticaret müşterilerinin sipariş bilgilerini yabancı bir CRM sistemine işlemesi veya internet sitesinde üçüncü taraf reklam çerezleri kullanması da yurt dışına veri aktarımı kapsamında değerlendirilebilir.
Türkiye’de kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde düzenlenmiştir. 12.03.2024 tarihli Resmî Gazete’de yayımlanan 7499 sayılı Kanun ile KVKK m.9’da önemli değişiklikler yapılmış ve bu değişiklikler 01.06.2024 tarihinde yürürlüğe girmiştir. Değişiklikle birlikte yurt dışına veri aktarımında standart sözleşmeler ve bağlayıcı şirket kuralları gibi yeni uygun güvence yöntemleri getirilmiştir.
Bu nedenle artık yurt dışına veri aktarımı değerlendirilirken eski alışkanlıklarla yalnızca “açık rıza aldık” demek yeterli değildir. Yeni sistemde aktarım faaliyeti kademeli olarak incelenmeli; önce genel veri işleme şartı, ardından yeterlilik kararı, uygun güvence veya arızi aktarım istisnaları değerlendirilmelidir.
Kişisel Verilerin Yurt Dışına Aktarılması Nedir?
Kişisel verilerin yurt dışına aktarılması, Türkiye’de bulunan kişisel verilerin yurt dışındaki bir gerçek veya tüzel kişiye, veri sorumlusuna, veri işleyene, sunucuya, bulut hizmet sağlayıcısına, grup şirketine, yazılım platformuna veya uluslararası kuruluşa iletilmesi, erişime açılması ya da teknik olarak yurt dışındaki sistemlerde işlenmesidir.
Aktarım her zaman aktif şekilde e-posta gönderme şeklinde gerçekleşmez. Kişisel verilerin yurt dışındaki sunucularda saklanması, yabancı hizmet sağlayıcısının Türkiye’deki verilere uzaktan erişebilmesi, internet sitesindeki çerezler aracılığıyla kullanıcı bilgilerinin yurt dışındaki reklam platformlarına iletilmesi, yabancı CRM yazılımına müşteri bilgisi girilmesi veya yurt dışındaki grup şirketinin çalışan verilerine erişmesi de yurt dışına aktarım sayılabilir.
Bu noktada veri sorumlularının “veriyi biz Türkiye’de giriyoruz” veya “sunucu nerede bilmiyoruz” şeklindeki yaklaşımı yeterli değildir. Kullanılan yazılımın, bulut altyapısının, reklam teknolojisinin, e-posta hizmetinin, müşteri yönetim sisteminin ve ödeme altyapısının veri akışı teknik olarak incelenmelidir. Çünkü KVKK bakımından önemli olan, kişisel verinin fiilen yurt dışındaki bir alıcıya aktarılıp aktarılmadığı veya yurt dışından erişilebilir hâle gelip gelmediğidir.
KVKK m.9’daki Yeni Aktarım Rejimi
KVKK m.9’da yapılan değişiklik sonrası yurt dışına kişisel veri aktarımı için kademeli bir rejim kabul edilmiştir. Kişisel Verileri Koruma Kurumu’nun açıklamasına göre bu sistem genel olarak üç aşamadan oluşmaktadır: aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunması; yeterlilik kararı yoksa Kanun’da düzenlenen uygun güvencelerden birinin sağlanması; bunlar da yoksa sadece sınırlı ve arızi hâllerde istisnai aktarım yapılması.
Ancak bu üç aşamaya geçmeden önce unutulmaması gereken temel bir şart vardır: Kişisel verinin yurt dışına aktarılması da bir kişisel veri işleme faaliyetidir. Bu nedenle öncelikle KVKK m.5 veya özel nitelikli kişisel veriler bakımından KVKK m.6 kapsamında bir veri işleme şartı bulunmalıdır. Yani aktarım faaliyeti yalnızca m.9’a göre değil, aynı zamanda genel veri işleme şartlarına göre de hukuka uygun olmalıdır.
Örneğin bir e-ticaret müşterisinin sipariş bilgisinin yabancı kargo entegrasyon sistemine aktarılması sözleşmenin ifası için gerekli olabilir. Bir çalışanın maaş bilgilerinin yurt dışındaki ana şirkete raporlama amacıyla aktarılması meşru menfaat veya sözleşmesel zorunluluk bakımından ayrıca değerlendirilmelidir. Sağlık verisi, biyometrik veri veya ceza mahkûmiyeti verisi gibi özel nitelikli kişisel veriler söz konusuysa KVKK m.6’daki daha sıkı şartlar dikkate alınmalıdır.
Birinci Yol: Yeterlilik Kararı Bulunması
Yeni rejimin ilk aşaması yeterlilik kararıdır. KVKK m.9’a göre, Kanun’un 5. ve 6. maddelerinde belirtilen işleme şartlarından birinin varlığı ve aktarım yapılacak ülke, ülke içerisindeki sektörler veya uluslararası kuruluş hakkında yeterlilik kararı bulunması hâlinde kişisel veriler yurt dışına aktarılabilir.
Yeterlilik kararı, aktarım yapılacak ülke veya sektörün kişisel veriler bakımından yeterli koruma seviyesine sahip olduğunu gösteren Kurul kararıdır. Bu karar, veri sorumluları açısından pratik bir kolaylık sağlar. Çünkü yeterlilik kararı bulunan ülkeye aktarım yapılacaksa ayrıca standart sözleşme, bağlayıcı şirket kuralı veya Kurul izni gibi mekanizmalara ihtiyaç duyulmayabilir.
Ancak Kişisel Verileri Koruma Kurumu’nun yurt dışına aktarım sayfasında, yeterli korumanın bulunduğu ülkeler konusunda Kurul tarafından henüz bir belirleme yapılmadığı belirtilmektedir. Bu nedenle uygulamada şu an birçok şirket bakımından yeterlilik kararına dayanarak aktarım yapmak mümkün değildir; aktarım çoğunlukla uygun güvenceler veya dar istisnalar üzerinden değerlendirilmek zorundadır.
İkinci Yol: Uygun Güvenceler
Yeterlilik kararı bulunmuyorsa, kişisel verilerin yurt dışına aktarılması için uygun güvencelerden birinin sağlanması gerekir. Uygun güvence, aktarım yapılan ülkede yeterlilik kararı olmasa bile ilgili kişinin haklarını kullanabilmesini ve etkili kanun yollarına başvurabilmesini güvence altına alan hukuki mekanizmadır.
KVKK m.9 kapsamında uygun güvenceler arasında kamu kurumları veya uluslararası kuruluşlar arasında uluslararası sözleşme niteliğinde olmayan anlaşma ve Kurul izni, bağlayıcı şirket kuralları, standart sözleşmeler ve yeterli korumayı sağlayacak hükümler içeren yazılı taahhütname ile Kurul izni gibi yöntemler bulunmaktadır. Kurum’un açıklamalarında bu yöntemler, yeterlilik kararı bulunmadığında başvurulabilecek mekanizmalar olarak gösterilmektedir.
Uygun güvence yöntemleri, uygulamada özellikle şirketler için büyük önem taşır. Çünkü yabancı bulut hizmeti, CRM yazılımı, insan kaynakları platformu, global grup şirketi, uluslararası ödeme kuruluşu veya yurt dışı teknik destek hizmeti kullanan şirketlerin düzenli ve sürekli aktarımlarında “arızi aktarım” istisnalarına dayanması çoğu zaman mümkün değildir. Bu şirketlerin standart sözleşme, bağlayıcı şirket kuralları veya taahhütname gibi uygun güvence araçlarını değerlendirmesi gerekir.
Standart Sözleşmeler
Yeni aktarım rejiminin en pratik yöntemlerinden biri standart sözleşmelerdir. Standart sözleşmeler, Kişisel Verileri Koruma Kurulu tarafından yayımlanan ve yurt dışına kişisel veri aktarımında kullanılabilecek metinlerdir. 04.06.2024 tarihli ve 2024/959 sayılı Kurul kararıyla standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve yardımcı kılavuzlar kabul edilmiş ve Kurum internet sitesinde yayımlanmıştır.
Kurum tarafından dört farklı standart sözleşme modeli hazırlanmıştır: veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna aktarım. Bu ayrım son derece önemlidir. Çünkü aktarımın taraflarının hukuki sıfatı yanlış belirlenirse, yanlış standart sözleşme kullanılmış olur. Kurum’un standart sözleşmeler sayfasında bu dört sözleşme tipi ayrıca listelenmektedir.
Örneğin Türkiye’deki bir e-ticaret şirketi, müşteri verilerini yurt dışındaki bir CRM sağlayıcısına aktarıyorsa çoğu durumda veri sorumlusundan veri işleyene aktarım söz konusu olabilir. Buna karşılık Türkiye’deki bir şirketin müşteri verilerini yurt dışındaki bağımsız bir iş ortağına kendi amaçları için işlemesi üzere aktarması veri sorumlusundan veri sorumlusuna aktarım olarak değerlendirilebilir. Veri işleyen konumundaki bir hizmet sağlayıcının alt işleyene veri aktarması ise veri işleyenden veri işleyene aktarım olabilir.
Standart sözleşmelerin en önemli yönlerinden biri, Kurul’dan ayrıca izin alınmasını gerektirmeden aktarım imkânı sağlamasıdır. Ancak standart sözleşmenin imzalanması tek başına yeterli değildir. KVKK m.9’a göre standart sözleşmenin imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi gerekir. Kurum, bu bildirimin daha hızlı yapılabilmesi için Standart Sözleşme Bildirim Modülü’nü kullanıma sunmuştur.
Standart Sözleşmelerde Dikkat Edilecek Hususlar
Standart sözleşme hazırlarken en sık yapılan hatalardan biri, sözleşmeyi imzalamakla yükümlülüğün tamamen bittiğini düşünmektir. Oysa standart sözleşmenin geçerli şekilde kurulması, doğru taraflarca imzalanması, imzaya yetkili kişilerin yetkilerinin belgelenmesi ve süresinde Kuruma bildirilmesi gerekir.
Kişisel Verileri Koruma Kurumu’nun standart sözleşmelerde dikkat edilmesi gereken hususlara ilişkin güncel duyurusunda; standart sözleşmenin aktarım taraflarınca veya onları temsile ve imzaya yetkili kişilerce imzalanmasının zorunlu olduğu, geçerli imzanın bulunmaması hâlinde sözleşmenin geçerli olmayacağı, yabancı dilde akdedilse bile Türkçe metin üzerinde imzaların bulunması gerektiği ve imza yetkisini gösteren belgelerin Kuruma sunulması gerektiği açıklanmıştır.
Bu nedenle şirketler standart sözleşme sürecini yalnızca “form imzalama” işlemi olarak görmemelidir. Aktarım taraflarının doğru belirlenmesi, veri kategorilerinin doğru yazılması, aktarım amaçlarının somutlaştırılması, teknik ve idari tedbirlerin gerçek durumu yansıtması, özel nitelikli veriler için ek tedbirlerin belirtilmesi ve beş iş günlük bildirim süresinin kaçırılmaması gerekir.
Ayrıca standart sözleşme kullanılsa bile, veri sorumlusu genel KVKK yükümlülüklerinden kurtulmaz. Aydınlatma metni güncellenmeli, veri envanteri revize edilmeli, yurt dışı alıcılar ve aktarım amaçları açıkça belirtilmeli, üçüncü taraf hizmet sağlayıcılarla veri işleme ilişkisi ayrıca düzenlenmeli ve güvenlik tedbirleri alınmalıdır.
Bağlayıcı Şirket Kuralları
Bağlayıcı şirket kuralları, özellikle çok uluslu şirket grupları için önemli bir yurt dışına veri aktarımı yöntemidir. Birden fazla ülkede faaliyet gösteren grup şirketleri arasında düzenli ve sistematik kişisel veri aktarımı yapılıyorsa, her aktarım için ayrı standart sözleşme düzenlemek pratik olmayabilir. Bu durumda grup genelinde bağlayıcı şirket kuralları hazırlanması değerlendirilebilir.
Kurum’un açıklamasına göre bağlayıcı şirket kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır. Bu kapsamdaki şirketlerin ilgili formu doldurarak Kuruma başvuru yapması gerekir.
Bağlayıcı şirket kuralları, grup içi veri aktarımı yapan holdingler, uluslararası şirketler, çok ülkeli teknoloji şirketleri, global insan kaynakları yönetimi kullanan şirketler ve uluslararası müşteri veri tabanı yöneten işletmeler açısından güçlü bir uyum aracıdır. Ancak bu yöntem hazırlık, iç politika, denetim, hak kullanımı, sorumluluk, şikâyet mekanizması ve Kurul onayı gerektirdiği için standart sözleşmeye göre daha kapsamlı bir süreçtir.
Taahhütname ve Kurul İzni
Uygun güvence yöntemlerinden biri de yeterli korumayı sağlayacak hükümleri içeren yazılı taahhütname ve Kurul iznidir. Bu yöntem, standart sözleşmenin kullanılamadığı veya aktarımın özel niteliği nedeniyle tarafların ayrıca taahhütname hazırlamasının gerektiği durumlarda gündeme gelebilir.
Kurum’un yurt dışına aktarım açıklamasında, standart taahhütname ile aktarım yapılamayacak sektörel veya bölgesel zorunluluklar sebebiyle tarafların kişisel verilerin korunmasına ilişkin taahhütleri içeren taahhütnameyi Kurulun onayına sunmaları sonucunda aktarım yapılabileceği belirtilmektedir.
Taahhütname yöntemi Kurul iznine tabi olduğu için standart sözleşmeye göre daha uzun ve dikkatli yürütülmesi gereken bir süreçtir. Başvuruda tarafların yetkileri, veri kategorileri, aktarım amacı, alıcı ülke, teknik ve idari tedbirler, ilgili kişi hakları, başvuru mekanizmaları ve güvenlik önlemleri somut şekilde gösterilmelidir. Eski uygulamada taahhütname en önemli araçlardan biriyken, yeni rejimde standart sözleşmelerin getirilmesi pratikte bu yükü önemli ölçüde azaltmıştır.
Arızi Aktarım Halleri
Yeterlilik kararı yoksa ve uygun güvencelerden biri sağlanamıyorsa, yurt dışına kişisel veri aktarımı ancak istisnai ve arızi hâllerde mümkündür. Burada “arızi” kelimesi çok önemlidir. Bu istisnalar düzenli, sürekli, sistematik ve tekrarlayan veri aktarımlarında kullanılamaz.
Kurum’un açıklamasına göre arızi aktarım, yalnızca Kanun ve Yönetmelik’te sınırlı şekilde sayılan hâllerden birinin varlığı hâlinde mümkündür. Bu hâller arasında ilgili kişinin muhtemel riskler hakkında bilgilendirilerek aktarıma açık rıza vermesi, aktarımın sözleşmenin ifası için zorunlu olması, ilgili kişi yararına yapılacak sözleşmenin kurulması veya ifası için zorunlu olması, üstün kamu yararı, bir hakkın tesisi veya korunması için zorunluluk, fiili imkânsızlık hâlinde hayat veya beden bütünlüğünün korunması ve kamuya açık sicilden belirli şartlarla aktarım yapılması yer almaktadır. Kurum ayrıca bu istisnaların dar yorumlanması gerektiğini belirtmektedir.
Bu nedenle şirketlerin sürekli kullandığı yabancı bulut hizmeti, CRM yazılımı, e-posta altyapısı, reklam pikseli veya insan kaynakları platformu için “ilgili kişiden açık rıza aldık” diyerek arızi aktarım istisnasına dayanması çoğu durumda risklidir. Açık rıza, yeni rejimde özellikle düzenli aktarımlar için genel bir çözüm olmaktan çıkmış; arızi ve istisnai durumlarda, muhtemel riskler hakkında bilgilendirme şartıyla kullanılabilecek dar bir mekanizma hâline gelmiştir.
Açık Rıza ile Yurt Dışına Aktarım
Yurt dışına veri aktarımında açık rıza hâlen tamamen ortadan kalkmış değildir. Ancak yeni rejimde açık rızanın konumu değişmiştir. Önceki dönemde şirketler çoğu zaman yurt dışına aktarımı açık rıza ile çözmeye çalışıyordu. Yeni sistemde ise açık rıza, uygun güvence bulunmayan ve aktarımın arızi olduğu sınırlı hâllerden biri olarak değerlendirilmelidir.
Açık rızanın geçerli olabilmesi için ilgili kişi aktarımın muhtemel riskleri hakkında bilgilendirilmelidir. Ayrıca rıza belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verilmiş olmalıdır. “Kişisel verilerimin yurt dışına aktarılmasına izin veriyorum” şeklinde genel ve soyut ifadeler sağlıklı değildir. Hangi verilerin, hangi ülkeye, hangi alıcıya, hangi amaçla aktarılacağı mümkün olduğunca somutlaştırılmalıdır.
Özellikle hizmetin sunulması için zorunlu olmayan yurt dışı aktarımında açık rızanın hizmet şartı hâline getirilmesi, özgür irade tartışması doğurabilir. Örneğin internet sitesindeki reklam çerezleri için açık rıza vermeyen kişiye siteyi kullanma imkânı tanınmıyorsa, bu rızanın özgür iradeyle verilip verilmediği tartışmalı hâle gelir. Bu nedenle açık rıza mekanizması dikkatle kurgulanmalıdır.
Yurt Dışına Aktarımda Şirketlerin Yapması Gereken Analiz
Yurt dışına veri aktarımı yapıp yapmadığını tespit etmek isteyen şirketlerin ilk yapması gereken şey veri haritası ve veri envanteri çıkarmaktır. Hangi kişisel veriler toplanıyor, hangi sistemlerde tutuluyor, hangi hizmet sağlayıcılar kullanılıyor, sunucular nerede, kimler verilere erişebiliyor, hangi grup şirketlerine veri gidiyor, hangi çerezler çalışıyor ve hangi yabancı platformlar veri alıyor soruları cevaplanmalıdır.
İkinci aşamada tarafların sıfatı belirlenmelidir. Türkiye’deki şirket veri sorumlusu mu, veri işleyen mi? Yurt dışındaki alıcı veri sorumlusu mu, veri işleyen mi? Aktarım veri sorumlusundan veri işleyene mi, veri sorumlusundan veri sorumlusuna mı, veri işleyenden alt işleyene mi yapılıyor? Bu tespit, hangi standart sözleşmenin kullanılacağını doğrudan etkiler.
Üçüncü aşamada aktarımın sürekliliği değerlendirilmelidir. Aktarım düzenli ve sistematik mi, yoksa gerçekten arızi mi? Her gün çalışan bir CRM sistemi, sürekli çalışan reklam çerezi veya düzenli bulut yedekleme arızi kabul edilemez. Buna karşılık istisnai bir dava dosyasında yurt dışındaki mahkemeye belirli belgelerin gönderilmesi veya ilgili kişinin talebiyle tek seferlik bir işlem yapılması arızi aktarım kapsamında değerlendirilebilir.
Dördüncü aşamada uygun aktarım mekanizması seçilmelidir. Yeterlilik kararı yoksa ve aktarım düzenliyse çoğu şirket için standart sözleşme en pratik yoldur. Çok uluslu grup içi aktarımlarda bağlayıcı şirket kuralları değerlendirilebilir. Özel durumlarda taahhütname ve Kurul izni gerekebilir. Arızi hâller ise dar yorumlanmalı ve sürekli aktarımlar için genel çözüm olarak kullanılmamalıdır.
İnternet Siteleri, Çerezler ve Yurt Dışına Veri Aktarımı
Yurt dışına veri aktarımı denildiğinde çoğu şirketin aklına yalnızca sözleşmeler veya müşteri veri tabanları gelir. Oysa internet sitelerinde kullanılan çerezler ve üçüncü taraf araçlar da yurt dışına veri aktarımına yol açabilir.
Örneğin Google Analytics, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, yabancı canlı destek yazılımları, harita servisleri, video gömme araçları veya reklam ağları kullanıcıların IP adresi, cihaz bilgisi, davranışsal verisi veya çerez kimliklerini yurt dışındaki alıcılara iletebilir. Bu durumda hem çerezler bakımından açık rıza ve aydınlatma yükümlülüğü hem de yurt dışına aktarım şartları birlikte değerlendirilmelidir.
İnternet sitesinde “çerez politikamız vardır” demek yeterli değildir. Gerçekten hangi çerezlerin çalıştığı teknik olarak tespit edilmeli; zorunlu olmayan çerezler kullanıcı rızası olmadan çalıştırılmamalı; yurt dışına aktarım varsa çerez aydınlatmasında ve genel aydınlatma metninde bu husus belirtilmelidir. Standart sözleşme veya başka uygun güvence gerekip gerekmediği de ayrıca incelenmelidir.
Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel verilerin yurt dışına aktarılması daha hassas bir konudur. Sağlık verileri, biyometrik veriler, genetik veriler, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri, siyasi düşünce, dini inanç, mezhep, sendika üyeliği gibi veriler yüksek riskli veri kategorileri arasındadır.
Bu tür verilerin aktarımında öncelikle KVKK m.6 kapsamında geçerli işleme şartı bulunmalıdır. Ardından m.9 kapsamında yeterlilik kararı, uygun güvence veya arızi istisna değerlendirilmelidir. Standart sözleşmelerde özel nitelikli kişisel veriler için alınacak ek teknik ve idari tedbirlerin ayrıca belirtilmesi gerekir. Kurum’un yurt dışına aktarım açıklamalarında standart sözleşmelerin veri kategorileri, aktarım amaçları, alıcılar, teknik-idari tedbirler ve özel nitelikli veriler için ek önlemler gibi unsurları içermesi gerektiği ifade edilmektedir.
Sağlık turizmi şirketleri, hastaneler, klinikler, biyometrik doğrulama kullanan işletmeler, insan kaynakları platformları ve sigorta şirketleri bu konuda özellikle dikkatli olmalıdır. Örneğin yabancı hasta koordinasyonu için sağlık verilerinin yurt dışındaki doktor, aracı kuruluş veya sigorta şirketiyle paylaşılması ayrı bir hukuki analiz gerektirir.
Yurt Dışına Aktarımda Aydınlatma Metni Nasıl Düzenlenmelidir?
Yurt dışına veri aktarımı yapılıyorsa, ilgili kişiye yapılacak aydınlatmada bu husus açıkça belirtilmelidir. Aydınlatma metninde veri sorumlusunun kimliği, işlenen veri kategorileri, işleme amaçları, hukuki sebepler, aktarım yapılacak alıcı grupları, aktarım amacı ve ilgili kişinin hakları yer almalıdır. Eğer yurt dışına aktarım varsa, alıcı grupları ve aktarım sebebi somutlaştırılmalıdır.
Örneğin “kişisel verileriniz yurt dışına aktarılabilir” gibi genel bir ifade çoğu durumda yetersizdir. Bunun yerine “müşteri ilişkileri yönetim süreçlerinin yürütülmesi amacıyla yurt dışı merkezli CRM hizmet sağlayıcısına aktarılabilir” veya “e-posta iletişim altyapısının sağlanması amacıyla yurt dışı merkezli bulut hizmet sağlayıcısından hizmet alınmaktadır” gibi daha somut ifadeler kullanılmalıdır.
Eğer aktarım açık rızaya dayanıyorsa, rıza metni aydınlatma metninden ayrı olmalı ve ilgili kişi muhtemel riskler hakkında bilgilendirilmelidir. Standart sözleşme veya bağlayıcı şirket kuralları gibi uygun güvence kullanılıyorsa, bu mekanizmanın varlığı veri envanteri ve uyum belgelerinde gösterilmelidir.
Yurt Dışına Veri Aktarımında Sık Yapılan Hatalar
Uygulamada en sık yapılan hatalardan biri, yurt dışına aktarım yapıldığının fark edilmemesidir. Bir şirket “biz veriyi kimseye göndermiyoruz” diyebilir; ancak kullandığı yazılım yurt dışındaki sunucuda çalışıyor olabilir. Bu nedenle teknik altyapı ve tedarikçiler incelenmeden sağlıklı hukuki değerlendirme yapılamaz.
İkinci hata, her aktarımı açık rıza ile çözmeye çalışmaktır. Yeni KVKK m.9 rejiminde açık rıza, düzenli aktarımlar için genel çözüm değildir. Düzenli ve sistematik aktarımlarda standart sözleşme, bağlayıcı şirket kuralları veya diğer uygun güvence yöntemleri değerlendirilmelidir.
Üçüncü hata, standart sözleşmede yanlış taraf tipini seçmektir. Veri sorumlusu-veri işleyen ayrımı yapılmadan standart sözleşme imzalanırsa, aktarım mekanizması hukuken sorunlu hâle gelebilir. Dört farklı standart sözleşme modelinin bulunmasının nedeni de bu taraf ilişkisidir.
Dördüncü hata, standart sözleşmenin süresinde Kuruma bildirilmemesidir. Kanun, standart sözleşmenin imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesini öngörmektedir. Kurum’un Standart Sözleşme Bildirim Modülü bu bildirimlerin elektronik ortamda yapılabilmesi için oluşturulmuştur.
Beşinci hata, aydınlatma metinlerinin güncellenmemesidir. Yeni bir yabancı yazılım kullanmaya başlayan, reklam pikselleri ekleyen veya yurt dışı grup şirketine veri aktarmaya başlayan şirketler aydınlatma metinlerini ve veri envanterini güncellemelidir.
Hukuka Aykırı Aktarımın Sonuçları
Kişisel verilerin yurt dışına hukuka aykırı aktarılması, KVKK kapsamında idari yaptırım riskini doğurabilir. Veri sorumlusu, veri güvenliği yükümlülüklerini ve aktarım şartlarını yerine getirmediği takdirde Kurul incelemesi, idari para cezası, veri işleme faaliyetinin durdurulması, talimatlandırma ve itibar kaybı gibi sonuçlarla karşılaşabilir.
Bunun yanında ilgili kişiler zarar görmüşse tazminat talepleri de gündeme gelebilir. Örneğin müşterinin finansal verileri yurt dışındaki güvensiz bir sisteme aktarılmış ve burada sızdırılmışsa, ilgili kişi maddi ve manevi zararlarının giderilmesini talep edebilir. Özel nitelikli verilerin hukuka aykırı aktarılması hâlinde bu risk daha da artar.
Ayrıca hukuka aykırı aktarım bazı durumlarda ceza hukuku boyutu da taşıyabilir. Kişisel verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesi TCK m.136 kapsamında cezai sorumluluk doğurabilir. Bu nedenle şirket yöneticileri, çalışanlar veya üçüncü taraflar kişisel verileri hukuka aykırı şekilde yurt dışındaki kişi veya kurumlara aktarıyorsa ceza hukuku riskleri de ayrıca değerlendirilmelidir.
Şirketler İçin Uyum Kontrol Listesi
Yurt dışına veri aktarımı yapan veya yapma ihtimali bulunan şirketlerin öncelikle tüm dijital araçlarını listelemesi gerekir. E-posta sağlayıcısı, bulut depolama, CRM, ERP, insan kaynakları sistemi, muhasebe yazılımı, ödeme altyapısı, reklam teknolojileri, çerezler, canlı destek aracı, çağrı merkezi sistemi ve grup şirketleri ayrı ayrı incelenmelidir.
Ardından her aktarım için şu sorular sorulmalıdır: Hangi kişisel veri aktarılıyor? Alıcı kim? Alıcı hangi ülkede? Alıcı veri sorumlusu mu veri işleyen mi? Aktarım düzenli mi arızi mi? KVKK m.5 veya m.6 kapsamında işleme şartı var mı? Yeterlilik kararı var mı? Uygun güvence sağlanmış mı? Standart sözleşme gerekiyorsa doğru sözleşme tipi seçilmiş mi? Beş iş günü içinde bildirim yapılmış mı? Aydınlatma metni güncel mi? Özel nitelikli veri var mı? Teknik ve idari tedbirler yeterli mi?
Bu analiz yapılmadan “KVKK uyumluyuz” demek sağlıklı değildir. Yurt dışına veri aktarımı artık şirketlerin KVKK uyum süreçlerinde ayrı bir başlık olarak ele alınmalı; sözleşmeler, teknik altyapı, aydınlatma metinleri, çerez paneli, tedarikçi yönetimi ve veri envanteri birlikte güncellenmelidir.
Avukatın ve Hukuki Danışmanlığın Rolü
Kişisel verilerin yurt dışına aktarılması teknik, sözleşmesel ve hukuki boyutları olan karmaşık bir süreçtir. Bu nedenle yalnızca bilişim ekibinin veya yalnızca hukuk ekibinin tek başına değerlendirmesi çoğu zaman yeterli olmaz. Teknik ekip veri akışlarını, sunucu konumlarını, çerezleri ve yazılım entegrasyonlarını tespit etmeli; hukuk ekibi ise KVKK m.5, m.6 ve m.9 kapsamında hukuki aktarım mekanizmasını belirlemelidir.
KVKK ve bilişim hukuku alanında çalışan avukatın rolü; veri aktarım haritasını hukuki yönden incelemek, uygun güvence yöntemini belirlemek, standart sözleşme tipini seçmek, aydınlatma metinlerini güncellemek, veri işleyen sözleşmelerini düzenlemek, yurt dışı aktarım risklerini analiz etmek, çerez ve reklam teknolojileri bakımından rıza mekanizmasını değerlendirmek ve olası Kurul incelemelerine hazırlık yapmaktır.
Özellikle yabancı yazılım sağlayıcılarla çalışan, çok uluslu grup şirketi olan, e-ticaret yapan, sağlık verisi işleyen, reklam teknolojileri kullanan veya özel nitelikli veri aktaran şirketlerin yurt dışına veri aktarımı konusunda profesyonel hukuki destek alması büyük önem taşır.
Sonuç
Kişisel verilerin yurt dışına aktarılması, KVKK uyumunun en kritik ve en teknik başlıklarından biridir. 7499 sayılı Kanun ile KVKK m.9’da yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiş ve yurt dışına veri aktarımında yeni bir kademeli sistem kabul edilmiştir. Bu sistemde öncelikle KVKK m.5 veya m.6 kapsamında geçerli bir işleme şartı bulunmalı; ardından yeterlilik kararı, uygun güvence veya sınırlı arızi istisnalar değerlendirilmelidir.
Uygulamada yeterlilik kararı bulunmadığı için birçok şirket açısından standart sözleşmeler, bağlayıcı şirket kuralları veya taahhütname gibi uygun güvence yöntemleri önem kazanmıştır. Standart sözleşmeler pratik bir araç olmakla birlikte doğru sözleşme tipinin seçilmesi, yetkili kişilerce imzalanması, Türkçe metin üzerinde imzaların bulunması ve imzadan itibaren beş iş günü içinde Kuruma bildirilmesi gerekir.
Açık rıza ise artık düzenli ve sürekli aktarımlar için kolay bir genel çözüm olarak görülmemelidir. Açık rıza, yeterlilik kararı ve uygun güvence bulunmayan durumlarda, ancak arızi ve istisnai aktarım hâllerinde, ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi şartıyla kullanılabilecek dar bir yoldur. Kurum’un açıklamalarına göre arızi aktarım istisnaları dar yorumlanmalı, düzenli olmayan ve nadiren gerçekleşen aktarım faaliyetleri bakımından uygulanmalıdır.
Sonuç olarak şirketler, internet siteleri, e-ticaret platformları, sağlık kuruluşları, teknoloji şirketleri ve uluslararası grup şirketleri yurt dışına veri aktarımı süreçlerini yeniden gözden geçirmelidir. Kullanılan yabancı yazılımlar, bulut hizmetleri, reklam ve analiz çerezleri, CRM sistemleri, insan kaynakları araçları, ödeme altyapıları ve grup içi veri akışları tek tek incelenmelidir. Her aktarım için alıcı, ülke, veri kategorisi, işleme amacı, hukuki sebep, aktarım mekanizması ve teknik-idari tedbirler açıkça belirlenmelidir.
Kişisel verilerin yurt dışına aktarılması basit bir sözleşme veya onay meselesi değildir. Bu süreç; veri envanteri, teknik veri akışı analizi, KVKK m.5 ve m.6 değerlendirmesi, m.9 aktarım rejimi, standart sözleşme bildirimi, aydınlatma metni güncellemesi, çerez yönetimi, veri işleyen ilişkisi ve güvenlik tedbirlerini birlikte gerektiren kapsamlı bir hukuki uyum çalışmasıdır. Bu nedenle yurt dışına veri aktarımı yapan tüm veri sorumlularının süreci profesyonel şekilde yönetmesi, olası idari yaptırım, tazminat ve itibar kaybı risklerinin önlenmesi açısından büyük önem taşır.