info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Yurt Dışına Veri Aktarımı Hangi Hukuki Şartlara Bağlıdır? Onaysız Aktarım Suç Teşkil Eder mi?

07 Ağu 2025
0

Giriş

Dijitalleşmenin hız kazandığı günümüzde, şirketlerin iş süreçleri yalnızca sınırları içinde kalmayıp globalleşmektedir. Bu globalleşme beraberinde kişisel verilerin yurt dışına aktarılması ihtiyacını doğurur. Ancak bu aktarım süreci, Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında ciddi yükümlülükler içerir. Bu makalede, veri sorumlularının yurt dışına veri aktarımı yaparken uyması gereken kurallar, onaysız aktarımın doğurabileceği cezai ve idari yaptırımlar ile kurgu bir örnek olay üzerinden uygulamalı analiz yapılacaktır.

I. Yurt Dışına Veri Aktarımının Tanımı

KVKK m.9’a göre, kişisel verilerin yurt dışına aktarılması, verilerin Türkiye Cumhuriyeti sınırları dışındaki gerçek veya tüzel kişilere iletilmesi anlamına gelir. Bu aktarım, doğrudan (e-posta, FTP vb.) ya da dolaylı (bulut hizmet sağlayıcılar, sunucu lokasyonları vb.) yollarla gerçekleşebilir.

II. Yurt Dışına Veri Aktarımı Şartları

KVKK kapsamında yurt dışına veri aktarımı için üç ana koşulun sağlanması gerekir:

1. Açık Rıza Veya Kanuni İstisna

KVKK’ya göre veri sahibinin açık rızası alınmaksızın yurt dışına veri aktarımı yalnızca kanunda öngörülen hallerde mümkündür. Bu haller KVKK m.5 ve m.6’da sınırlı olarak sayılmıştır (örneğin, bir sözleşmenin ifası için gerekli olması, bir hakkın tesisi için zorunlu olması vb.).

2. Yeterli Korumanın Bulunması

Kişisel Verileri Koruma Kurulu tarafından ilan edilen güvenli ülkeler listesinde yer alan bir ülkeye veri aktarılacaksa, veri sahibinin açık rızası şart olmaksızın veri aktarımı mümkündür.

Ancak şu an itibariyle Kurul tarafından ilan edilmiş resmi bir güvenli ülke listesi bulunmamaktadır. Bu durum pratikte veri sorumlularını daha dikkatli olmaya zorlamaktadır.

3. Taahhütname ile Kurul Onayı

Yeterli korumanın bulunmadığı ülkelere yapılacak veri aktarımı için:

  • Veri sorumlusu ile veri alıcısı arasında Kurul tarafından onaylanan taahhütname imzalanmalıdır,

  • Ve Kurul onayı alınmalıdır.

III. Açık Rıza Olmaksızın Aktarım ve Suç Teşkil Etmesi

1. KVKK Kapsamında İdari Yaptırımlar

KVKK m.18 uyarınca, veri sahibinin açık rızası olmaksızın ya da Kurul’un belirlediği usullere aykırı şekilde veri aktarımı yapılması durumunda idari para cezası uygulanır. Bu cezalar 2025 yılı itibarıyla milyon TL seviyelerine ulaşabilmektedir.

2. TCK Kapsamında Cezai Sorumluluk

Türk Ceza Kanunu m.136’ya göre, kişisel verilerin hukuka aykırı şekilde yurt dışına aktarılması durumunda veri sorumluları bir yıldan dört yıla kadar hapis cezası ile cezalandırılabilir.

Bu suçun faili yalnızca tüzel kişi değil, gerçek kişi yöneticiler de olabilir. Özellikle veri güvenliği önlemlerini almayan yönetim kurulu üyeleri şahsen sorumlu tutulabilir.

IV. Uygulamada Karşılaşılan Sorunlar

• Kurul Tarafından Güvenli Ülke Listesinin Bulunmaması

Veri aktarımında sıklıkla kullanılan bulut servisleri çoğunlukla ABD merkezlidir. Ancak ABD, Türkiye açısından “güvenli ülke” statüsünde olmadığından, şirketler Kurul onayı almadan bu servislere veri gönderemez.

• Açık Rızanın Yanlış Alınması

“Verileriniz yurtdışında işlenebilir” gibi genel ifadelerle alınan rızalar geçerli sayılmaz. Açık rıza spesifik, bilgilendirilmiş ve özgür olmalıdır.

V. Kurgusal Örnek Olay: F Ltd. Şirketinin Hatası

F Ltd. adlı bir yazılım firması, müşteri destek hizmetlerini Hindistan’daki bir çağrı merkezine devretmiştir. Ancak, çağrı merkeziyle imzalanan sözleşmede KVKK’ya uygun taahhütname yer almamaktadır. Ayrıca şirket, müşterilerinden yurt dışı aktarımı konusunda açık rıza almamıştır.

Çağrı merkezi çalışanlarından biri, müşteri verilerinin bir kısmını sızdırmış ve bu durum kamuoyuna yansımıştır. Müşterilerden biri, kişisel verilerinin hukuka aykırı şekilde yurt dışına aktarıldığı gerekçesiyle Kişisel Verileri Koruma Kurumu’na başvurmuştur.

Hukuki Sonuçlar:

  • KVKK’ya aykırı işlem nedeniyle Kurul, F Ltd.’ye 1.200.000 TL idari para cezası vermiştir.

  • Müşteri, ayrıca veri sızıntısı nedeniyle manevi tazminat davası açmıştır.

  • Kurul ayrıca savcılığa suç duyurusunda bulunmuş; şirket yöneticisi hakkında TCK m.136 kapsamında cezai işlem başlatılmıştır.

VI. Alıcı Şirketin Sorumluluğu

Veri aktarımının bir başka boyutu da şirket devralmalarında veya birleşmelerde alıcının yükümlülüğüdür. Satın alınan şirkette geçmişte yapılmış hukuka aykırı veri aktarımı varsa, alıcı şirket de maddi ve cezai sorumlulukla karşılaşabilir.

VII. Uyum İçin Öneriler

Şirketlerin veri aktarım sürecinde şu adımları atması gereklidir:

  • Veri envanteri çıkarılmalı ve yurt dışına aktarılacak veri türleri tespit edilmelidir.

  • Açık rıza metinleri güncellenmeli, spesifik bilgilendirme yapılmalıdır.

  • Aktarım yapılan ülke için Kurul onayı gerekiyorsa, taahhütname hazırlanmalı ve sürece uygun hareket edilmelidir.

  • Veri aktarımı gerçekleştiren üçüncü taraf firmalarla gizlilik sözleşmeleri yapılmalıdır.

Sonuç

Kişisel verilerin yurt dışına aktarımı, yalnızca teknik değil aynı zamanda ciddi hukuki bir süreçtir. KVKK ve ilgili düzenlemelere uygun davranılmadığı takdirde, şirketler hem yüksek para cezaları, hem de cezai sorumluluklarla karşılaşabilir. Hukuka uygun hareket edilmesi, yalnızca bir yükümlülük değil; şirketin itibarını ve müşteri güvenini korumak açısından da bir zorunluluktur.

Hukuk Fakültesi Öğrencisi Gamze Akbulut

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button