Yurt Dışına Kişisel Veri Aktarımı: 2024 KVKK Düzenlemesi

Türkiye'de faaliyet gösteren ancak yurt dışındaki bir ana şirkete veya iştirake bağlı çalışan firmalar, neredeyse her gün sınır ötesi kişisel veri aktarımı yapar: bordrolar Almanya'daki bir İK sistemine, müşteri kayıtları İrlanda'da barındırılan bir CRM'ye, destek talepleri global bir yardım masasına gider. Yakın zamana kadar yurt dışına kişisel veri aktarımı büyük ölçüde tek bir hukuki temele dayanıyordu: ilgili kişilerin açık rızası. 2024'te bu durum değişti. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK) yapılan kapsamlı değişiklikle, yurt dışına veri aktarımı için yeni bir çerçeve getirildi. Bu çerçeve Avrupa'daki GDPR'a benzese de onunla aynı değildir. Türkiye'deki yabancı sermayeli şirketlerin artık birden fazla meşru aktarım yolu var; ancak her birinin kendine özgü belge ve bildirim yükümlülükleri bulunuyor.

2024 Değişikliği Neyi Değiştirdi

Değişiklik, KVKK'nın yurt dışına aktarımı düzenleyen 9. maddesini kapsamlı biçimde yeniledi. Eski sistemde yurt dışına kişisel veri aktarımı kural olarak ilgili kişinin açık rızasıyla mümkündü; istisnası ise Kişisel Verileri Koruma Kurulu'nun (KVKK Kurulu) ilan etmesi gereken "yeterli korumaya sahip ülkeler listesi"ydi. Bu liste hiç yayımlanmadığı için işletmeler fiilen açık rızaya bağımlı kalıyordu. Açık rıza ise hem büyük ölçekte alınması zor, hem de ilgili kişi tarafından her an geri çekilebilen kırılgan bir araçtır.

Yeni sistem bu ikilik yerine üç katmanlı bir yapı getirdi: yeterlilik kararları, uygun güvenceler ve arızi durumlar. Her katmanın kendine özgü koşulları ve bildirim yükümlülükleri vardır.

Birinci Katman: Yeterlilik Kararları

KVKK Kurulu artık belirli bir ülke, sektör veya uluslararası kuruluşun Türkiye ile eşdeğer düzeyde veri koruma sağladığını tespit eden yeterlilik kararı (yeterlilik kararı) verebilir. Hedef ülke böyle bir karar kapsamındaysa aktarım, ek bir güvenceye gerek olmadan, yurt içi işlemeyle aynı koşullarda yapılabilir.

Pratikte Kurul yeterlilik kararı verirken temkinli davranmaktadır. Bu nedenle çoğu aktarım ikinci katmana dayanmak zorunda kalır.

İkinci Katman: Uygun Güvenceler

Yeterlilik kararı yoksa, aktarımdan önce aşağıdaki güvencelerden birinin sağlanmış olması gerekir:

• Kurul tarafından onaylanmış standart sözleşme: Türkiye'deki veri ihracatçısı ile yurt dışındaki alıcı arasında imzalanır. İmzalanan sözleşme, beş iş günü içinde Kurul'a bildirilmek zorundadır.
• Bağlayıcı şirket kuralları: Çok uluslu şirket grubu içindeki aktarımlar için uygulanır ve Kurul onayına tabidir.
• Uluslararası anlaşma: Yalnızca kamu kurumları arasındaki aktarımlar için anlam taşır.
• Tarafların yazılı taahhüdü: Belirli koruyucu yükümlülükler içerecek şekilde Kurul tarafından onaylanmalıdır.

Antalya'da ve Türkiye genelinde yabancı sermayeli şirketlerin büyük kısmı için pratik çözüm standart sözleşmelerdir. Bu sözleşmeler GDPR'daki SCC'lere benzese de aynı değildir; bu yüzden bir AB şablonu olduğu gibi kullanılamaz.

Üçüncü Katman: Arızi Durumlar

Değişiklik, dar kapsamlı, arızi (geçici, istisnai) aktarımlar için bir dizi istisna da tanımıştır. İlgili kişinin o aktarıma ilişkin açık rızasının bulunması, sözleşmenin ifası, hayati menfaatlerin korunması ya da bir hakkın tesisi, kullanılması veya korunması için zorunlu olması bu kapsamdadır. Bu istisnalar dar yorumlanır. Düzenli, sistematik aktarımlar için birinci ya da ikinci katmana başvurmak gerekir; arızi durumlar bunların yerine kullanılamaz.

Yabancı Sermayeli Şirketler İçin Anlamı

Yurt dışındaki bir ana şirkete, grup İK sistemine veya ortak bulut platformuna bağlı çalışan firmaların veri akışlarını gözden geçirmesi ve her akış için doğru hukuki yolu seçmesi gerekiyor. Tipik bir uyum projesi; tüm yurt dışı veri akışlarının haritalanması, her bir akıştaki veri sorumlusu ve veri işleyenin belirlenmesi, uygun aktarım mekanizmasının seçilmesi, gerekli sözleşmelerin imzalanması ve aydınlatma metninin güncellenmesi adımlarını kapsar. Ayrıca sürekli kayıt tutma yükümlülüğü vardır: Kurul, sözleşmeleri ve veri akış envanterini her zaman talep edebilir.

Uyumsuzluk; KVKK Kurulu tarafından idari para cezası, ilgili kişilerin şikâyetleri ve itibar zararıyla sonuçlanabilir. E-ticaret sektöründe veya SaaS sağlayan şirketlerde bir yaptırım kararı, müşteri kabul süreçlerini doğrudan aksatabilir. Daha geniş bir bakış için KVKK uyum rehberimize ve e-ticarette KVKK ve çerez politikası yazımıza göz atabilirsiniz.

Sıkça Sorulan Sorular

S: Avrupa'daki ana şirketimizle GDPR uyumlu SCC imzaladık. Türk SCC'sini ayrıca yapmak gerekir mi?

İki sistem benzer olsa da denk değildir. KVKK Kurulu'nun standart sözleşmesi kendi şablonuyla imzalanır ve imzadan sonra Kurul'a bildirilir. GDPR SCC'leri tek başına Türkiye'den yapılan aktarımlar için yeterli değildir.

S: Açık rıza hâlâ aktarım dayanağı olarak kullanılabilir mi?

Evet, ancak yalnızca üçüncü katman kapsamındaki arızi aktarımlar için. Türkiye'deki bir iştirakin global grup içindeki rutin veri akışları için sürdürülebilir bir dayanak değildir.

S: Hatalı yapıldığında ceza var mı?

Evet. KVKK Kurulu, ihlalin ağırlığına göre değişen idari para cezaları uygulayabilir. Tekrarlayan ihlaller, büyük ölçekli işleme veya özel nitelikli kişisel verilerin söz konusu olması yaptırım riskini önemli ölçüde artırır.

S: Yurt dışındaki İK sistemine gönderilen çalışan verileri için ne yapmalı?

Çalışan verileri en yaygın sınır ötesi akışlardan biridir. Genellikle standart sözleşme ya da bağlayıcı şirket kurallarına dayanır; aydınlatma metninin güncellenmesi ve kullanılan hukuki yolun belgelenmesi şarttır.

Mona Hukuk Nasıl Yardımcı Olabilir

Antalya merkezli ekibimiz, yabancı sermayeli şirketlere KVKK uyumu konusunda danışmanlık verir; veri akışlarının haritalanmasını ve belgelenmesini destekler; standart sözleşmelerin hazırlanması ve KVKK Kurulu'na bildirilmesi sürecini yürütür; çok uluslu gruplar için bağlayıcı şirket kuralları projelerinde yer alır. Türkçe ve İngilizce çalışıyoruz, böylece sizin hukuk ekibinizle bizim ekibimiz aynı dilde konuşabiliyor.

Antalya'da bir danışmanlık için info@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.