Kişisel Verilerin Yurt Dışına Aktarılması ve Hukuki Şartları
Giriş
Kişisel verilerin yurt dışına aktarılması, günümüzde şirketlerin, e-ticaret işletmelerinin, sağlık kuruluşlarının, finansal teknoloji şirketlerinin, yazılım firmalarının, insan kaynakları platformlarının ve internet sitesi sahiplerinin en dikkatli yönetmesi gereken KVKK başlıklarından biridir. Dijitalleşme ile birlikte birçok işletme e-posta altyapısını, bulut depolama hizmetlerini, müşteri ilişkileri yönetim sistemlerini, reklam araçlarını, analiz çerezlerini, ödeme altyapılarını, canlı destek uygulamalarını veya insan kaynakları yazılımlarını yurt dışı merkezli sağlayıcılar üzerinden kullanmaktadır. Bu durum, çoğu zaman fark edilmese bile kişisel verilerin yurt dışına aktarılması sonucunu doğurabilir.
Örneğin bir şirketin yabancı bulut sunucusunda müşteri kayıtlarını saklaması, internet sitesinde yabancı analiz ve reklam çerezleri kullanması, çalışan verilerini yurt dışındaki grup şirketine göndermesi, e-ticaret müşterilerinin sipariş ve iletişim bilgilerini yabancı CRM sistemine işlemesi veya online toplantı platformu üzerinden kişisel veri paylaşması yurt dışına veri aktarımı kapsamında değerlendirilebilir.
Türkiye’de kişisel verilerin yurt dışına aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde düzenlenmiştir. 7499 sayılı Kanun ile KVKK m.9’da önemli değişiklikler yapılmış ve bu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmiştir. Yeni rejimde standart sözleşmeler ve bağlayıcı şirket kuralları, yurt dışına veri aktarımı için kullanılabilecek uygun güvence yöntemleri arasına alınmıştır.
Bu nedenle artık kişisel verilerin yurt dışına aktarılması bakımından yalnızca “ilgili kişiden açık rıza alındı” şeklinde bir yaklaşım yeterli değildir. Yeni sistemde veri aktarımı kademeli olarak değerlendirilmelidir. Önce veri işleme şartı belirlenmeli, ardından yeterlilik kararı, uygun güvence veya arızi aktarım istisnası bulunup bulunmadığı incelenmelidir.
Kişisel Verilerin Yurt Dışına Aktarılması Nedir?
Kişisel verilerin yurt dışına aktarılması, Türkiye’de bulunan veya Türkiye’deki veri sorumlusu tarafından işlenen kişisel verilerin yurt dışındaki bir kişi, kurum, şirket, sunucu, hizmet sağlayıcı, grup şirketi, veri işleyen veya uluslararası kuruluşa iletilmesi ya da bu kişiler tarafından erişilebilir hâle getirilmesidir.
Aktarımın mutlaka manuel şekilde e-posta gönderilmesiyle yapılması gerekmez. Bir yazılımın yurt dışındaki sunucuda çalışması, yabancı teknik destek ekibinin sisteme uzaktan erişebilmesi, reklam çerezleriyle kullanıcı bilgilerinin yurt dışındaki platforma iletilmesi, yabancı CRM sistemine müşteri verisi girilmesi veya yurt dışındaki ana şirketin Türkiye’deki çalışan verilerine erişmesi de aktarım sayılabilir.
Bu nedenle şirketlerin ilk yapması gereken şey, kullandıkları tüm dijital araçları incelemektir. Google, Microsoft, Amazon Web Services, Meta, TikTok, LinkedIn, HubSpot, Salesforce, Mailchimp, Zoom, Slack, yabancı hosting firmaları, global ödeme altyapıları veya uluslararası insan kaynakları yazılımları kullanılıyorsa yurt dışına veri aktarımı ihtimali mutlaka değerlendirilmelidir.
KVKK m.9 Kapsamında Yeni Sistem
KVKK m.9’daki yeni sistem, kişisel verilerin yurt dışına aktarılması bakımından üç aşamalı bir yapı kurmaktadır. İlk aşamada aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararı bulunup bulunmadığına bakılır. Yeterlilik kararı yoksa uygun güvencelerden birinin sağlanıp sağlanmadığı incelenir. Bunlar da yoksa yalnızca sınırlı ve arızi nitelikteki istisnai aktarım hâlleri değerlendirilebilir.
Ancak bu üç aşamaya geçmeden önce unutulmaması gereken temel kural şudur: Yurt dışına aktarım da bir kişisel veri işleme faaliyetidir. Bu nedenle önce KVKK m.5 veya özel nitelikli kişisel veriler bakımından KVKK m.6 kapsamında geçerli bir veri işleme şartı bulunmalıdır. Başka bir ifadeyle, yurt dışına aktarım mekanizması seçilmeden önce verinin işlenmesi ve aktarılması için hukuki sebep belirlenmelidir.
Örneğin bir e-ticaret sitesinin siparişin teslimi için müşterinin ad, soyad, adres ve iletişim bilgilerini yabancı kargo entegrasyon sistemine aktarması sözleşmenin ifası bakımından değerlendirilebilir. Bir şirketin çalışan verilerini global bordro sistemine aktarması ise iş sözleşmesi, hukuki yükümlülük, meşru menfaat veya açık rıza açısından ayrıca analiz edilmelidir. Sağlık verileri, biyometrik veriler veya ceza mahkûmiyetine ilişkin veriler gibi özel nitelikli verilerde daha sıkı şartlar aranır.
Yeterlilik Kararı
Yeterlilik kararı, aktarım yapılacak ülke, ülke içindeki sektör veya uluslararası kuruluş bakımından yeterli veri koruma seviyesinin bulunduğuna ilişkin Kurul kararıdır. Eğer aktarım yapılacak yer hakkında yeterlilik kararı varsa ve KVKK m.5 veya m.6 kapsamında uygun işleme şartı da mevcutsa, kişisel veriler yurt dışına aktarılabilir.
Yeterlilik kararı, veri sorumluları açısından en kolay aktarım yoludur. Çünkü bu durumda ayrıca standart sözleşme imzalanması, bağlayıcı şirket kuralı hazırlanması veya Kuruldan izin alınması gerekmez. Ancak uygulamada Türkiye bakımından yeterlilik kararlarının sınırlı olması nedeniyle birçok şirket için uygun güvence yöntemleri daha fazla önem taşımaktadır.
Yeterlilik kararı verilmesinde karşı ülkenin kişisel verileri koruma mevzuatı, uygulama düzeyi, bağımsız denetim mekanizmaları, ilgili kişilerin hak arama imkânları, uluslararası taahhütler ve veri güvenliği standartları gibi hususlar dikkate alınır.
Uygun Güvenceler
Yeterlilik kararı yoksa kişisel verilerin yurt dışına aktarılabilmesi için uygun güvencelerden birinin sağlanması gerekir. Uygun güvence, aktarım yapılacak ülkede yeterlilik kararı bulunmasa bile ilgili kişilerin haklarını korumayı ve etkili başvuru yollarını güvence altına almayı amaçlayan hukuki mekanizmadır.
KVKK m.9 kapsamında uygun güvenceler arasında standart sözleşmeler, bağlayıcı şirket kuralları, Kurul iznine tabi taahhütnameler ve kamu kurumları ya da uluslararası kuruluşlar arasında yapılacak belirli nitelikteki anlaşmalar yer almaktadır. Kurum, standart sözleşmeler ve bağlayıcı şirket kurallarını yeni aktarım rejiminin önemli uygun güvence yöntemleri olarak duyurmuştur.
Uygun güvence yöntemleri özellikle düzenli ve sistematik veri aktarımı yapan şirketler için önemlidir. Bulut altyapısı, CRM, e-posta sağlayıcısı, reklam aracı, insan kaynakları yazılımı veya yabancı grup şirketiyle düzenli veri aktarımı yapan bir işletme, bu aktarımları “arızi” olarak nitelendiremez. Bu tür düzenli aktarımlarda çoğu zaman standart sözleşme veya bağlayıcı şirket kuralı gibi kalıcı bir hukuki mekanizma kurulmalıdır.
Standart Sözleşmeler
Standart sözleşmeler, kişisel verilerin yurt dışına aktarılması için en pratik uygun güvence yöntemlerinden biridir. Kurulun 4 Haziran 2024 tarihli ve 2024/959 sayılı kararıyla yurt dışına veri aktarımında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve yardımcı kılavuzlar kabul edilerek yayımlanmıştır.
Kurum tarafından dört ayrı standart sözleşme tipi hazırlanmıştır. Bunlar; veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna aktarım modelleridir.
Bu ayrım son derece önemlidir. Çünkü her aktarım ilişkisinde tarafların sıfatı aynı değildir. Türkiye’deki bir e-ticaret şirketi, müşteri verilerini yurt dışındaki CRM sağlayıcısına aktarıyorsa çoğu durumda veri sorumlusundan veri işleyene aktarım söz konusu olabilir. Türkiye’deki bir yazılım şirketi, müşterisi adına işlediği verileri yurt dışındaki alt işleyene aktarıyorsa veri işleyenden veri işleyene aktarım gündeme gelebilir. Türkiye’deki bir veri işleyen, yurt dışındaki veri sorumlusu müşterisine veri gönderiyorsa veri işleyenden veri sorumlusuna aktarım modeli uygulanabilir.
Yanlış standart sözleşme tipinin seçilmesi aktarımın hukuki güvenliğini zayıflatır. Bu nedenle standart sözleşme imzalanmadan önce tarafların veri sorumlusu mu yoksa veri işleyen mi olduğu doğru tespit edilmelidir.
Standart Sözleşmenin Bildirilmesi
Standart sözleşme imzalandıktan sonra süreç tamamlanmış olmaz. KVKK m.9 uyarınca standart sözleşmeler imzalandıktan itibaren beş iş günü içinde Kuruma bildirilmelidir. Kurum, bu bildirimlerin daha hızlı ve etkin şekilde yapılabilmesi için Standart Sözleşme Bildirim Modülü’nü kullanıma sunmuştur.
Bildirim süresi uygulamada çok önemlidir. Sözleşmenin imzalanma tarihleri açıkça belirtilmelidir. Kurumun standart sözleşmelerde dikkat edilmesi gereken hususlara ilişkin duyurusunda, standart sözleşmenin imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak, KEP adresiyle veya Standart Sözleşme Bildirim Modülü üzerinden Kuruma bildirilmesi gerektiği vurgulanmıştır. Ayrıca taraf isimleri, imzacı isimleri, adres, irtibat noktası ve yetki belgeleri gibi unsurların açık ve tutarlı olması gerektiği belirtilmiştir.
Bu nedenle standart sözleşme, yalnızca form doldurma işlemi olarak görülmemelidir. Tarafların ticaret unvanı, imza yetkilisi, imza tarihi, veri kategorileri, aktarım amacı, alıcı grupları, teknik ve idari tedbirler, özel nitelikli veri varsa ek önlemler ve bildirim süresi dikkatle takip edilmelidir.
Bağlayıcı Şirket Kuralları
Bağlayıcı şirket kuralları, çok uluslu şirket grupları bakımından önemli bir aktarım mekanizmasıdır. Bir grup şirketi Türkiye’deki çalışan, müşteri veya tedarikçi verilerini düzenli olarak yurt dışındaki grup şirketlerine aktarıyorsa, her aktarım için ayrı standart sözleşme kullanmak pratik olmayabilir. Bu durumda grup genelinde bağlayıcı şirket kuralları hazırlanması değerlendirilebilir.
Kurumun 2024 faaliyet bilgi notunda bağlayıcı şirket kurallarının, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için yurt dışına veri aktarımında kullanılan ve yeterli korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olduğu belirtilmiştir.
Bağlayıcı şirket kuralları, şirket grubunun tüm üyeleri için veri koruma standartları getirir. Bu kurallar; ilgili kişilerin hakları, başvuru mekanizması, veri güvenliği tedbirleri, denetim, sorumluluk, eğitim, şikâyet yönetimi ve ihlal bildirimi gibi konuları içermelidir. Bu yöntem, özellikle global insan kaynakları sistemleri, müşteri veri tabanları ve grup içi raporlama süreçleri bulunan şirketler için güçlü bir uyum aracıdır.
Taahhütname ve Kurul İzni
Uygun güvence yöntemlerinden biri de yeterli korumayı sağlayacak hükümler içeren yazılı taahhütname ve Kurul iznidir. Bu yöntem, standart sözleşmenin veya bağlayıcı şirket kurallarının uygun olmadığı özel durumlarda gündeme gelebilir.
Taahhütname yönteminde taraflar, kişisel verilerin korunmasına ilişkin özel hükümler içeren bir metin hazırlar ve Kurulun onayına sunar. Kurul izin vermeden aktarım yapılamaz. Bu nedenle taahhütname, standart sözleşmeye göre daha uzun ve izin sürecine bağlı bir yöntemdir.
Taahhütname hazırlanırken veri kategorileri, aktarım amacı, alıcı ülke, alıcı taraf, teknik ve idari tedbirler, ilgili kişilerin hakları, denetim imkânı, başvuru yolları ve ihlal hâlinde alınacak önlemler ayrıntılı şekilde düzenlenmelidir.
Arızi Aktarım ve Açık Rıza
Yeterlilik kararı yoksa ve uygun güvence sağlanamıyorsa kişisel veriler ancak kanunda sayılan istisnai ve arızi hâllerde yurt dışına aktarılabilir. Burada “arızi” kavramı kritik önemdedir. Arızi aktarım; düzenli, sürekli ve sistematik olmayan, belirli olayla sınırlı, istisnai nitelikteki aktarımdır.
Açık rıza bu aşamada devreye girebilir. Ancak yeni rejimde açık rıza, düzenli yurt dışı veri aktarımları için genel ve sürekli bir çözüm olarak görülmemelidir. Açık rızaya dayalı arızi aktarımda ilgili kişi muhtemel riskler hakkında bilgilendirilmeli ve rıza belirli, bilgilendirilmiş ve özgür iradeyle verilmiş olmalıdır.
Örneğin kullanıcının tek seferlik talebi üzerine yurt dışındaki bir hizmet sağlayıcıya belirli bir belgenin gönderilmesi arızi aktarım kapsamında değerlendirilebilir. Ancak her gün çalışan yabancı CRM sistemi, sürekli yedekleme yapan bulut hizmeti, internet sitesinde devamlı çalışan reklam çerezi veya global insan kaynakları platformu arızi aktarım olarak kabul edilemez.
Bu nedenle şirketlerin en sık yaptığı hatalardan biri, düzenli aktarım faaliyetlerini açık rıza metniyle çözmeye çalışmaktır. Yeni KVKK m.9 sisteminde düzenli aktarımlar bakımından öncelikle yeterlilik kararı veya uygun güvence yöntemleri değerlendirilmelidir.
İnternet Siteleri ve Çerezler Bakımından Yurt Dışına Aktarım
İnternet siteleri, yurt dışına veri aktarımı bakımından özel risk taşır. Çünkü birçok internet sitesi analiz araçları, reklam pikselleri, sosyal medya eklentileri, canlı destek yazılımları, harita servisleri, video oynatıcılar ve üçüncü taraf çerezler kullanır. Bu araçlar kullanıcıların IP adresi, cihaz bilgisi, çerez kimliği, tarayıcı bilgisi ve davranışsal verilerini yurt dışındaki platformlara aktarabilir.
Örneğin Meta Pixel, Google Analytics, TikTok Pixel, LinkedIn Insight Tag, yabancı canlı destek uygulamaları veya global reklam ağları kullanılıyorsa çerez politikası, açık rıza mekanizması ve yurt dışına aktarım şartları birlikte değerlendirilmelidir.
Burada yalnızca “çerez politikası yayımlandı” demek yeterli değildir. Hangi çerezlerin çalıştığı teknik olarak tespit edilmeli, zorunlu olmayan çerezler kullanıcı açık rıza vermeden çalıştırılmamalı ve yurt dışına aktarım için KVKK m.9 kapsamında uygun mekanizma belirlenmelidir.
Bulut Hizmetleri ve Yazılım Kullanımı
Bulut bilişim, yurt dışına veri aktarımının en yaygın sebeplerinden biridir. Şirketler dosya depolama, e-posta, proje yönetimi, CRM, muhasebe, insan kaynakları, çağrı merkezi, siber güvenlik ve yedekleme hizmetlerini çoğu zaman yurt dışı merkezli sağlayıcılardan almaktadır.
Bu durumda şu sorular mutlaka sorulmalıdır: Veriler hangi ülkede tutuluyor? Hizmet sağlayıcı verilere erişebiliyor mu? Alt işleyen kullanılıyor mu? Veri sadece saklanıyor mu, yoksa analiz ediliyor mu? Şirket veri sorumlusu mu, sağlayıcı veri işleyen mi? Standart sözleşme gerekli mi? Aydınlatma metninde bu aktarım belirtilmiş mi?
Özellikle müşteri verisi, çalışan verisi, finansal veri, sağlık verisi veya çocuklara ait veriler bulut sistemlerinde işleniyorsa güvenlik ve aktarım şartları daha dikkatli değerlendirilmelidir.
Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması
Özel nitelikli kişisel verilerin yurt dışına aktarılması daha hassas bir hukuki değerlendirme gerektirir. Sağlık verileri, biyometrik veriler, genetik veriler, cinsel hayata ilişkin veriler, ceza mahkûmiyeti ve güvenlik tedbirleri, siyasi düşünce, dini inanç, mezhep, dernek, vakıf veya sendika üyeliği gibi veriler özel nitelikli kişisel veri kapsamında değerlendirilebilir.
Bu verilerin aktarılmasında önce KVKK m.6 kapsamında geçerli işleme şartı bulunmalıdır. Daha sonra KVKK m.9 kapsamında yeterlilik kararı, uygun güvence veya arızi aktarım istisnası değerlendirilmelidir. Standart sözleşme kullanılacaksa özel nitelikli veriler için alınacak ek teknik ve idari tedbirler açıkça belirtilmelidir. Kurumun açıklamalarında standart sözleşmelerin veri kategorileri, aktarım amacı, alıcılar, teknik-idari tedbirler ve özel nitelikli veriler için ek önlemler gibi unsurları içermesi gerektiği ifade edilmektedir.
Sağlık turizmi şirketleri, hastaneler, klinikler, sigorta şirketleri, biyometrik doğrulama kullanan işletmeler ve insan kaynakları platformları bu konuda özellikle dikkatli olmalıdır. Örneğin yabancı hasta koordinasyonu, sağlık raporlarının yurt dışındaki doktor veya sigorta şirketine gönderilmesi ya da biyometrik doğrulama hizmetinin yabancı sistem üzerinden alınması ayrı bir aktarım analizi gerektirir.
Aydınlatma Metinlerinde Yurt Dışına Aktarım
Yurt dışına veri aktarımı yapılıyorsa, ilgili kişilere yapılacak aydınlatmada bu husus açıkça belirtilmelidir. Aydınlatma metni; veri sorumlusunun kimliğini, işlenen veri kategorilerini, işleme amaçlarını, hukuki sebepleri, aktarım yapılan alıcı gruplarını, aktarım amaçlarını ve ilgili kişinin haklarını içermelidir.
“Verileriniz yurt içine ve yurt dışına aktarılabilir” şeklindeki genel ifadeler uygulamada yetersiz kalabilir. Bunun yerine daha somut açıklamalar yapılmalıdır. Örneğin “müşteri ilişkileri yönetimi süreçlerinin yürütülmesi amacıyla yurt dışı merkezli CRM hizmet sağlayıcısından hizmet alınmaktadır” veya “e-posta altyapısının sağlanması amacıyla yurt dışı merkezli bulut hizmet sağlayıcısına aktarım yapılmaktadır” gibi ifadeler daha uygundur.
Aktarım açık rızaya dayanıyorsa açık rıza metni aydınlatmadan ayrı düzenlenmeli ve ilgili kişi muhtemel riskler hakkında bilgilendirilmelidir. Aktarım standart sözleşmeye dayanıyorsa, şirketin veri envanteri ve uyum belgeleri de buna uygun şekilde güncellenmelidir.
Şirketler İçin Yurt Dışına Veri Aktarımı Kontrol Listesi
Yurt dışına veri aktarımı yapan şirketler öncelikle veri aktarım haritası çıkarmalıdır. Kullanılan tüm yazılımlar, bulut sistemleri, reklam araçları, çerezler, CRM, ERP, ödeme altyapıları, insan kaynakları platformları, e-posta sağlayıcıları, çağrı merkezi sistemleri ve grup şirketi veri akışları listelenmelidir.
Ardından her aktarım için şu sorular cevaplanmalıdır:
Hangi kişisel veri aktarılıyor? Aktarım kime yapılıyor? Alıcı hangi ülkede bulunuyor? Alıcı veri sorumlusu mu, veri işleyen mi? Aktarım düzenli mi, arızi mi? KVKK m.5 veya m.6 kapsamında hukuki sebep var mı? Yeterlilik kararı var mı? Yoksa hangi uygun güvence kullanılacak? Standart sözleşme gerekiyorsa doğru sözleşme tipi seçildi mi? Sözleşme beş iş günü içinde Kuruma bildirildi mi? Aydınlatma metni güncellendi mi? Özel nitelikli veri aktarımı var mı? Teknik ve idari tedbirler yeterli mi?
Bu kontrol yapılmadan yurt dışına veri aktarımı uyumlu kabul edilmemelidir.
Sık Yapılan Hatalar
Uygulamada en sık yapılan hata, yurt dışına aktarımın fark edilmemesidir. Bir şirket “biz veriyi yurt dışına göndermiyoruz” diyebilir; ancak kullandığı yazılımın sunucuları yurt dışında olabilir. Bu nedenle teknik veri akışı analiz edilmeden hukuki değerlendirme yapılamaz.
İkinci hata, her aktarımı açık rıza ile çözmeye çalışmaktır. Yeni rejimde açık rıza düzenli ve sürekli aktarımlar için genel çözüm değildir. Düzenli aktarımda standart sözleşme, bağlayıcı şirket kuralları veya diğer uygun güvence yöntemleri değerlendirilmelidir.
Üçüncü hata, standart sözleşmede yanlış taraf tipini seçmektir. Veri sorumlusu-veri işleyen ayrımı yapılmadan sözleşme imzalanması, aktarımı hukuki yönden sorunlu hâle getirebilir.
Dördüncü hata, standart sözleşmenin Kuruma süresinde bildirilmemesidir. Beş iş günlük süre kaçırılırsa bildirim yükümlülüğünün ihlali gündeme gelebilir.
Beşinci hata, aydınlatma metninin güncellenmemesidir. Şirket yeni bir yabancı yazılım kullanmaya başlıyor, çerez paneline yeni reklam aracı ekliyor veya global grup şirketiyle veri paylaşımına başlıyorsa aydınlatma metinlerini ve veri envanterini güncellemelidir.
Hukuka Aykırı Aktarımın Sonuçları
Kişisel verilerin yurt dışına hukuka aykırı aktarılması idari yaptırım, tazminat, itibar kaybı ve bazı hâllerde ceza hukuku riski doğurabilir. KVKK kapsamında Kurul tarafından idari para cezası uygulanabilir, veri sorumlusuna talimat verilebilir ve veri işleme süreçlerinin düzeltilmesi istenebilir.
Eğer hukuka aykırı aktarım nedeniyle ilgili kişi zarara uğramışsa maddi veya manevi tazminat talep edebilir. Örneğin müşterinin finansal verilerinin yurt dışındaki güvensiz bir sisteme aktarılması ve burada sızdırılması hâlinde şirketin sorumluluğu gündeme gelebilir.
Bazı durumlarda kişisel verilerin hukuka aykırı olarak üçüncü kişilere verilmesi, yayılması veya ele geçirilmesi Türk Ceza Kanunu kapsamında da değerlendirilebilir. Bu nedenle şirket yöneticileri, çalışanlar veya tedarikçiler kişisel verileri hukuka aykırı şekilde yurt dışındaki kişi veya kuruluşlara aktarıyorsa ceza hukuku boyutu ayrıca incelenmelidir.
Avukatın ve Hukuki Danışmanlığın Rolü
Kişisel verilerin yurt dışına aktarılması teknik, sözleşmesel ve hukuki boyutları olan karmaşık bir süreçtir. Bu nedenle yalnızca hukuk metni hazırlamak yeterli değildir. Önce teknik veri akışı çıkarılmalı, ardından KVKK m.5, m.6 ve m.9 kapsamında hukuki analiz yapılmalıdır.
KVKK ve bilişim hukuku alanında çalışan avukat; veri aktarım haritasını incelemeli, tarafların veri sorumlusu veya veri işleyen sıfatını belirlemeli, uygun aktarım mekanizmasını seçmeli, standart sözleşme tipini tespit etmeli, aydınlatma metinlerini güncellemeli, yurt dışı aktarım kayıtlarını oluşturmalı ve şirketin tedarikçi sözleşmelerini KVKK’ya uygun hâle getirmelidir.
Özellikle yabancı yazılım sağlayıcılarıyla çalışan, sağlık verisi işleyen, e-ticaret yapan, çok uluslu grup şirketi bulunan, reklam çerezleri kullanan veya özel nitelikli veri aktaran işletmelerin yurt dışına veri aktarımı sürecini profesyonel şekilde yönetmesi gerekir.
Sonuç
Kişisel verilerin yurt dışına aktarılması, KVKK uyumunun en kritik alanlarından biridir. 1 Haziran 2024 tarihinde yürürlüğe giren yeni KVKK m.9 rejimiyle birlikte, yurt dışına aktarımda yeterlilik kararı, uygun güvenceler ve arızi istisnalar üzerinden kademeli bir sistem kabul edilmiştir. Standart sözleşmeler ve bağlayıcı şirket kuralları, bu yeni sistemin en önemli uygun güvence araçlarıdır.
Şirketler artık yurt dışına veri aktarımı konusunda genel açık rıza metinleriyle yetinmemelidir. Düzenli ve sistematik aktarımlarda uygun güvence yöntemleri belirlenmeli; standart sözleşme kullanılacaksa doğru sözleşme tipi seçilmeli, sözleşme yetkili kişilerce imzalanmalı ve imzadan itibaren beş iş günü içinde Kuruma bildirilmelidir.
İnternet siteleri, e-ticaret platformları, yazılım şirketleri, sağlık kuruluşları, finansal teknoloji şirketleri ve çok uluslu grup şirketleri açısından yurt dışına veri aktarımı; çerez yönetimi, bulut hizmetleri, CRM sistemleri, çalışan verileri, müşteri verileri, ödeme altyapıları ve tedarikçi ilişkileriyle birlikte değerlendirilmelidir.
Sonuç olarak kişisel verilerin yurt dışına aktarılması basit bir onay veya sözleşme meselesi değildir. Bu süreç; veri envanteri, teknik veri akışı analizi, hukuki sebep tespiti, uygun aktarım mekanizması seçimi, standart sözleşme bildirimi, aydınlatma metni güncellemesi, çerez yönetimi, veri işleyen sözleşmeleri ve güvenlik tedbirlerini birlikte gerektiren kapsamlı bir KVKK uyum çalışmasıdır. Bu nedenle yurt dışına veri aktarımı yapan tüm veri sorumlularının süreci dikkatle ve profesyonel şekilde yürütmesi, idari yaptırım, tazminat ve itibar kaybı risklerinin önlenmesi açısından büyük önem taşır.