Yurtdışına Veri Aktarımı: KVKK Kuralları ve Uyum Rehberi

BumerangData Hukuk Ekibi · · 18 dk okuma
Yurtdışına Veri Aktarımı: KVKK Kuralları ve Uyum Rehberi

Yurtdışına Veri Aktarımı: KVKK Kuralları ve Uyum Rehberi

Dijital çağda işletmeler, müşteri verilerini, çalışan bilgilerini veya iş verilerini yurtdışındaki sunucular, bulut hizmetleri ya da iş ortaklarıyla paylaşmak durumunda kalabilir. Ancak Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) bu tür veri aktarımlarını sıkı kurallarla düzenlemektedir. Bu yazıda, yurtdışına veri aktarımının yasal çerçevesini, uyulması gereken şartları ve pratik uygulamaları detaylı bir şekilde ele alacağız.

KVKK'da Yurtdışına Veri Aktarımı Nedir?

Yurtdışına veri aktarımı, Türkiye'de ikamet eden veya bulunun kişilere ait kişisel verilerin, Türkiye sınırları dışındaki başka ülkelere veya uluslararası kuruluşlara aktarılmasını ifade eder. KVKK m.5'e göre, kişisel veriler yalnızca kanunlarda öngörülen hallerde yurtdışına aktarılabilir.

Örneğin, bir e-ticaret platformu müşterilerin verilerini Amerika'daki bir bulut sunucusunda saklamak istediğinde veya bir yazılım şirketi çalışan verilerini Avrupa merkezli bir insan kaynakları yönetim sistemine aktarmak istediğinde, bu işlem yurtdışına veri aktarımı kapsamında değerlendirilir.

KVKK m.5: Yurtdışına Veri Aktarımının Yasal Dayanağı

KVKK'nın 5. maddesinin 2. fıkrası yurtdışına veri aktarımının şartlarını belirler. Buna göre, kişisel veriler yurtdışına aktarılabilmek için aşağıdaki koşullardan birinin sağlanması gerekir:

  • Kişinin açık rızası: Veri sahibi kişi, verilerinin yurtdışına aktarılması hakkında tam ve net bir şekilde rıza vermiştir.
  • Kanunda öngörülen haller: İlgili kanunlar tarafından yurtdışına aktarım zorunlu kılınmışsa veya izin verilmişse.
  • Yeterli koruma seviyesi: Veri aktarılacak ülke, KVKK'da belirtilen yeterli koruma seviyesine sahiptir.
  • Uygun güvenceler: Veri aktarılacak alan için Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından kabul edilen uygun güvenceler mevcuttur.

Bu şartlardan en az biri yerine getirilmediği takdirde, yurtdışına veri aktarımı KVKK'ya aykırı olur ve şirket idari para cezasıyla karşı karşıya kalabilir.

Yeterli Koruma Seviyesi Konsepti

KVKK m.5'e göre, yeterli koruma seviyesi Kişisel Verileri Koruma Kurulu tarafından belirlenmiştir. Avrupa Birliği ülkeleri, Liechtenstein, Norveç ve İzlanda, KVKK Kurulu kararlarıyla yeterli koruma seviyesine sahip ülkeler olarak kabul edilmiştir.

Ancak bu ülkeler dışında kalanlar, verilerin aktarılması öncesinde Kurula başvuru yapılması veya diğer güvenceler sağlanması gerekir. Örneğin, Birleşik Devletler, Çin, Hindistan gibi ülkelere veri aktarımında ek güvenceler alınmalıdır.

KVKK Kurulu Kararları: Yeterli Koruma Seviyesi

Kişisel Verileri Koruma Kurulu, Karar No: 2020/1 ile Avrupa Birliği ve anılan ülkelerin yeterli koruma seviyesine sahip olduğunu teyit etmiştir. Aynı şekilde, belirli ülkelere yapılan veri aktarımı için Kurul, şartlı izinler vermiş veya iptal kararları almıştır.

Örneğin, ABD'ye yapılacak veri aktarımları için Standard Kontraktual Hükümler (SCCs) veya Bağlayıcı Kurumsal Kurallar (BCRs) yoluyla güvence sağlanması gerekmektedir.

Açık Rıza Prensibi: Doğru Rıza Formu Nasıl Hazırlanır?

Yurtdışına veri aktarımında rıza almak, en yaygın yöntemlerden biridir. Ancak bu rızanın geçerli ve uygun şekilde alınması gerekmektedir.

Geçerli Rıza için Gerekli Şartlar

  • Özgür olmalı: Kişi, zorlama veya tehdit altında olmaksızın rıza vermelidir.
  • Bilgilendirilmiş olmalı: Veri aktarımının nedeni, hangi veriler aktarılacağı ve hedef ülkenin koruma seviyesi açıklanmalıdır.
  • Spesifik olmalı: Rıza, genel ve muğlak ifadeler içermemeli, yurtdışına aktarım özel olarak belirtilmelidir.
  • Yazılı şekilde alınmalı: Rıza, yazılı, dijital veya başka uygun formda belgelendirilmelidir.
  • Geri çekilebilir olmalı: Kişi, herhangi bir zamanda rızasını geri çekebilmelidir.

Rıza Formu Örneği

Bir e-ticaret şirketi, müşterilerin verilerini Amazon Web Services (AWS) bulut hizmetine aktarmak istiyor. Rıza formu şu şekilde hazırlanabilir:

"Verilerinizin, ödeme işlemleri, kargo takibi ve müşteri destek hizmetleri için Birleşik Devletler'de bulunan Amazon Web Services (AWS) sunucularında depolanmasına rıza mı veriyorsunuz? AWS, ISO 27001 ve SOC 2 sertifikaları ile uluslararası güvenlik standartlarını karşılamaktadır. Herhangi bir zamanda bu rızayı geri çekebilirsiniz."

Bu formda, veri aktarımının amacı, hedef ülke, hizmet sağlayıcı ve güvenlik önlemleri açıkça belirtilmiştir.

Standard Kontraktual Hükümler (SCCs) ve Bağlayıcı Kurumsal Kurallar (BCRs)

KVKK m.5'e göre, yeterli koruma seviyesine sahip olmayan ülkelere veri aktarımında, sözleşmeli güvenceler kullanılabilir.

Standard Kontraktual Hükümler (SCCs) Nedir?

SCCs, KVKK Kurulu tarafından onaylanmış, veri aktarımını yapan şirket ile veri alan taraf arasında imzalanan standart sözleşme hükümleridir. Bu hükümler, veri aktarılacak ülkede de benzer koruma seviyesi sağlanmasını garantiler.

Örneğin, bir Türk yazılım geliştirme firması, geliştirici ekibinin verilerini ABD'deki bir hizmet sağlayıcıya aktarmak istediğinde, SCCs içeren bir sözleşme imzalamalıdır.

Bağlayıcı Kurumsal Kurallar (BCRs)

BCRs, çok uluslu şirketler için uygun bir yöntemdir. Bir şirketin merkez ofisinin, tüm şubelerine ve bağlı kuruluşlara karşı uyguladığı ve Kurula onaylatılan veri koruma kurallarıdır. Bu kurallar, yurtdışındaki tüm irtibatlı kuruluşlarda kişisel verilerin korunmasını sağlar.

Örneğin, küresel çapta faaliyet gösteren bir perakende şirketi, BCRs aracılığıyla tüm mağazaların müşteri verilerini güvenli şekilde merkez sisteme aktarabilir.

KVKK Kurulu Kararları: Uygulamalı Örnekler

KVKK Kurulu, yurtdışına veri aktarımı konusunda çeşitli kararlar almıştır. Bu kararlar, işletmelere rehberlik sağlamaktadır.

Karar Örneği 1: Cloud Hizmetleri ve Veri Aktarımı

KVKK Kurulu, Microsoft 365, Google Workspace gibi popüler bulut hizmetlerinin kullanılması durumunda, sözleşmenin yeterli koruma maddeleri içermesi gerektiğini vurgulamıştır. Şirketler, bu hizmetleri kullanmadan önce sözleşmelerin KVKK uyumlu olup olmadığını kontrol etmelidir.

Karar Örneği 2: Danışman ve Hukuk Müşaviri Hizmetleri

KVKK Kurulu, hukuk müşavirleri ve danışmanların müşteri verilerini yurtdışındaki ofislere göndermesi konusunda, rıza ve SCCs kombinasyonunu önermiştir. Özellikle uluslararası hukuk danışmanlığında bu durum yaygındır.

Karar Örneği 3: İnsan Kaynakları Verileri

İnsan kaynakları yönetim sistemleri çoğunlukla yurtdışında barındırılır. KVKK Kurulu, çalışan verilerinin bu sistemlere aktarılması için, işletmelerin Çalışan Rıza Formu imzalattıktan sonra, hizmet sağlayıcı ile güvenli veri işleme sözleşmesi imzalaması gerektiğini belirtmiştir.

Pratik Uygulamalar: Yurtdışına Veri Aktarımı Prosedürü

Yurtdışına veri aktarımı yapan şirketler, aşağıdaki adımları izlemelidir:

1. Adım: Veri Envanteri Çıkarma

Öncelikle, şirketin hangi veriler yurtdışına aktaracağı belirlenmelidir. Müşteri verileri mi, çalışan verileri mi, finansal veriler mi? Her veri türü, farklı koruma seviyeleri gerektirebilir.

2. Adım: Hedef Ülkenin Koruma Seviyesini Kontrol Etme

Verinin gideceği ülke, KVKK Kurulu tarafından yeterli koruma seviyesine sahip olarak kabul edilmiş mi? Değilse, ek güvenceler alınmalıdır.

3. Adım: Rıza Formu Hazırlama veya Sözleşme Yaptırma

Rıza almacak ise uygun formu hazırla, sözleşme yapacak ise SCCs veya BCRs ekle. Her iki yöntemi kombinasyon halinde kullanabilirsin.

4. Adım: Teknolojik Güvenlik Ölçüleri

Veri aktarımı sırasında şifrelenmiş bağlantılar (HTTPS, VPN), hızlı iletim protokolleri ve uçtan uca şifreleme kullanılmalıdır.

5. Adım: Kayıtları Tutma ve Denetim

Veri aktarımları hakkında kayıtlar tutulmalı, kimin hangi verileri ne zaman aktardığı belgelenmelidir. KVKK Kurulu denetiminde bu kayıtlar istenebilir.

Yurtdışına Veri Aktarımında Yaygın Hatalar

Şirketler, yurtdışına veri aktarımında sık sık aşağıdaki hataları yapabilir:

  • Rıza Olmadan Aktarım: En sık hata, veri aktarımı öncesi rıza alınmamasıdır. Birçok şirket, teknik nedenlerle verileri yurtdışında saklayıp, kullanıcıların haberi olmadığını sordukları sırada ceza almışlardır.
  • Yetersiz Rıza Formu: Rıza formu, genel ve muğlak yazılmış ise, KVKK Kurulu tarafından geçersiz sayılabilir. Yurtdışına aktarım, özel olarak belirtilmelidir.
  • Sözleşme Kontrolü Yapılmaması: Cloud hizmet sağlayıcılarının sözleşmeleri incelenmeden imzalanması, yasal riskleri artırır.
  • Verilerin Korunmasında Yetersizlik: Aktarılan veriler, hedef ülkede iyi korunmuyorsa, aktarımı yapan şirket sorumlu tutulabilir.
  • Kayıt Tutulmaması: KVKK Kurulu denetiminde veri aktarımı hakkında kayıtlar istendiğinde, şirketler ceza almışlardır.

Farklı Sektörlerde Yurtdışına Veri Aktarımı

E-Ticaret Sektörü

E-ticaret şirketleri, müşteri verilerini genellikle AWS, Google Cloud veya Microsoft Azure gibi bulut hizmetlerine aktarır. Bu durumda, hizmet sağlayıcı sözleşmesi mutlaka KVKK uyumlu olmalıdır.

Finans ve Bankacılık

Finans şirketleri, müşteri verilerini yurtdışındaki uydu ofislere gönderebilir. Bu durumda, veri aktarımı BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) kurallarına da uymalıdır.

Yazılım ve Teknoloji

Yazılım şirketleri, geliştirici bilgilerini ya da ürün verilerini yurtdışında saklayabilir. Bu durumda, geliştirici rızasının alınması ve verilerin şifrelenmesi önemlidir.

Sağlık ve Pharma

Sağlık verileri, GDPR (Avrupa Birliği'nin veri koruma yasası) uyumlu ülkelere aktarılabilir. Ancak sağlık sırrı kapsamında korunması gereken veriler, ek güvenceler gerektirebilir.

GDPR ve KVKK Arasındaki Farklılıklar

KVKK m.5, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (GDPR) ile benzelik gösterir. Ancak bazı farklılıklar vardır:

  • GDPR Madde 6: GDPR, veri işlemenin yasal dayanakları konusunda daha ayrıntılıdır. KVKK ise daha genel bir çerçeve sunmaktadır.
  • Schrems II Kararı: GDPR, ABD'ye veri aktarımında sıkı kurallar koymaktadır. KVKK, henüz benzer bir karar almamıştır.
  • Ek Güvenceler: GDPR'de Standard Kontraktual Hükümler (SCCs) zorunlu iken, KVKK'da rıza ve SCRs kombinasyonu da mümkündür.

2023-2024 Yılında KVKK Kurulu'nun Yurtdışına Veri Aktarımı Hakkındaki Düzenlemeleri

Son dönemde KVKK Kurulu, yurtdışına veri aktarımı konusunda daha sıkı denetimler yapıyor. Özellikle aşağıdaki alanlara fokus edilmiştir:

  • Bulut Hizmetleri: SaaS uygulamalarının KVKK uyumlu olup olmadığı sıkı kontrol ediliyor.
  • Third-Party Veri Aktarımları: Şirketlerin, müşteri verilerini reklamcılara, analitik firmalara vermeden önce rıza alması gerektiği vurgulanıyor.
  • Uluslararası İşbirliği: GDPR ve diğer uluslararası veri koruma yasaları ile uyum sağlanması teşvik ediliyor.

Yurtdışına Veri Aktarımı Kontrol Listesi

Şirketler, veri aktarımı öncesi aşağıdaki kontrol listesini takip etmelidir:

  • ☑ Veri aktarımının amacı açıkça belirtildi mi?
  • ☑ Hedef ülkenin koruma seviyesi kontrol edildi mi?
  • ☑ Gerekli rıza alındı mı veya sözleşme yapıldı mı?
  • ☑ Rıza formu KVKK uyumlu mu?
  • ☑ Sözleşmeler SCCs içeriyor mu?
  • ☑ Veri aktarımı teknik olarak güvenli mi (şifrelenmiş bağlantı)?
  • ☑ Kayıtlar tutulu mu?
  • ☑ Hizmet sağlayıcı sözleşmeleri incelendi mi?
  • ☑ Çalışanlar yurtdışına veri aktarımı hakkında eğitim aldı mı?
  • ☑ Düzenli denetim ve uyum kontrolleri yapılıyor mu?

BumerangData ile Yurtdışına Veri Aktarımı Yönetimi

BumerangData, Türkiye'deki şirketlerin KVKK uyumluluğunu sağlayan kapsamlı bir SaaS platformudur. Platform, yurtdışına veri aktarımı konusunda şirketlere şu şekilde yardımcı olur:

  • Veri Envanteri: Şirketlerin tüm kişisel verilerini merkezi olarak takip etmesi sağlanır. Hangi veriler yurtdışına aktarılıyor, kim erişebiliyor, korunuyor mu soruları yanıtlanır.
  • Rıza Yönetimi: Geçerli rıza formları hazırlanır ve elektronik imza ile yönetilir. Rızaların geri çekilmesi otomatik olarak işlenir.
  • Sözleşme Yönetimi: Cloud hizmet sağlayıcısı sözleşmeleri, KVKK uyumluluğu açısından değerlendirilir. SCCs ve BCRs otomatik olarak takip edilir.
  • Uyum Raporları: KVKK Kurulu denetimlerine karşı hazırlık için uyum raporları hazırlanır. Veri aktarımı kayıtları otomatik olarak tutulur.
  • Risk Analizi: Yurtdışına veri aktarımının riskler açısından analiz edilir. Hangi veriler daha hassas, hangi ülkeler daha riskli değerlendirilir.

BumerangData platform, yazılım geliştirme firmaları, e-ticaret işletmeleri, finans şirketleri ve sağlık kuruluşlarının KVKK uyumluluğunu kolaylaştırır. Özellikle yurtdışına veri aktarımı yapan şirketler, platformun rıza ve sözleşme yönetimi modülleri ile yasal riskleri minimize edebilir.

Sonuç

Yurtdışına veri aktarımı, KVKK m.5 tarafından sıkı şekilde düzenlenmektedir. Şirketlerin, veri aktarımı öncesi hedef ülkenin koruma seviyesini kontrol etmesi, geçerli rıza alması veya sözleşme yapması gerekmektedir. Rıza almayan, yetersiz sözleşmeler yapan veya verilerinin korunmasını sağlamayan şirketler, KVKK Kurulu tarafından cezalandırılabilir.

Doğru prosedür, uygun rıza formları, sözleşmeler ve teknolojik güvenlik ölçüleri ile şirketler, yasal risklerini minimize edebilir. BumerangData gibi KVKK uyum platformları, bu süreci otomatik hale getirerek, şirketlerin KVKK uyumluluğuna ulaşmasını kolaylaştırıyor.