2024 Reformu Işığında Yurt Dışına Veri Aktarımı

6 dk okuma Yayınlanma: 26.09.2025 Güncelleme: 02.06.2026

KVKK KAMU YARARI AÇIK RIZA

12 Mart 2024 tarihinde yayımlanan 7499 sayılı Kanun, Türkiye'nin veri koruma hukukunda yeni bir dönemin kapılarını aralamıştır. Uzun yıllardır uygulamada en çok tartışılan ve ticari hayatı zorlaştıran konulardan biri olan kişisel verilerin yurt dışına aktarılması, bu reformla birlikte uluslararası standartlara çok daha uyumlu ve esnek bir yapıya kavuşmuştur. Değişiklik öncesinde uygulamada fiilen tek yöntem haline gelen açık rıza zorunluluğu, yerini kademeli ve sistematik bir aktarım rejimine bırakmıştır. Yeni düzenleme, işletmelerin uluslararası veri akışlarını hukuki güvenlik ve öngörülebilirlik ilkeleri çerçevesinde sürdürebilmeleri için yeterlilik kararı, uygun güvenceler ve istisnai aktarım halleri olmak üzere üç temel dayanak sunmaktadır. Bu makalede, veri aktarımı rejiminde yapılan devrim niteliğindeki değişiklikler ve yeni dönemin kurumsal uygulamalara yansımaları hukuki bir perspektifle ele alınacaktır.

Yeterlilik Kararı ile Veri Aktarımı

Yeni aktarım rejiminin ilk ve öncelikli basamağını yeterlilik kararı oluşturmaktadır. Kişisel Verileri Koruma Kurulu tarafından verilecek bu karar, verilerin aktarılacağı yabancı ülke, o ülke içerisindeki belirli bir sektör veya uluslararası kuruluş nezdinde yeterli veri koruma standartlarının bulunduğunu tescil eder. Kurul, kararını alırken karşılıklılık durumu, ilgili ülkenin mevzuatı, bağımsız bir denetim otoritesinin varlığı ve uluslararası sözleşmelere katılım gibi kriterleri dikkate alır. Yeterlilik kararı bulunması durumunda, veri sorumluları ve veri işleyenler, ek bir idari izne veya onaya ihtiyaç duymaksızın yurt dışına veri aktarımı gerçekleştirebilirler. İlgili kararlar, en geç dört yılda bir Kurul tarafından yeniden değerlendirilmekte olup, koruma seviyesinin düşmesi halinde kararın değiştirilmesi, askıya alınması veya tamamen kaldırılması mümkündür.

Uygun Güvenceler Çerçevesinde Veri Aktarımı

Aktarım yapılacak ülke, sektör veya kuruluş hakkında bir yeterlilik kararı bulunmadığı senaryolarda, veri aktarımının hukuka uygun şekilde yapılabilmesi için ikinci kademe olan uygun güvenceler devreye girmektedir. Bu yöntemlerin kullanılabilmesi için, aktarılacak ülkede ilgili kişilerin haklarını kullanma ve etkili kanun yollarına başvurma imkânına sahip olması şarttır. Kanun koyucu, ticari hayatın gerekliliklerini gözeterek dört farklı uygun güvence mekanizması öngörmüştür. İşletmelerin somut olayın niteliğine göre tercih edebileceği bu yöntemler, uluslararası veri akışlarının esnek ve yasal zeminde yürütülmesini garanti altına alır.

Uygun Güvence Yöntemi	Aktarımın Tarafı / Kapsamı	Kurul Onayı / Bildirimi
Standart Sözleşmeler	Veri Sorumlusu ve/veya Veri İşleyenler	İmzadan itibaren 5 iş günü içinde Kuruma bildirim
Bağlayıcı Şirket Kuralları (BŞK)	Aynı şirketler topluluğu (Grup şirketleri)	Kurul İzni zorunlu
Taahhütnameler	Yeterli koruma sağlayacak veri aktaran ve alıcı	Kurul İzni zorunlu
İdari Anlaşmalar	Kamu kurum ve meslek kuruluşları	Kurul İzni zorunlu

Standart Sözleşmelerin Uygulama Esasları

Reformun özel sektöre sunduğu en pratik çözüm olan standart sözleşmeler, veri aktaran ve veri alıcısı arasında imzalanan ve Kurul tarafından standart şablonları yayımlanan metinlerdir. Sözleşmelerin imzalanması tek başına yeterli olmayıp, beş iş günü içerisinde Kuruma bildirim yapılması zorunludur. Bildirim yükümlülüğünün ihlali halinde, yeni düzenleme ile birlikte hem veri sorumluları hem de veri işleyenler hakkında doğrudan idari para cezası uygulanması hüküm altına alınmıştır. Önceden sadece veri sorumlularına uygulanan idari yaptırımların, artık veri işleyenleri de bağlaması, yeni dönemin en kritik yasal sonuçlarından biridir. Standart sözleşme metinlerinde, Kurulun belirlediği boşluklar haricinde esaslı bir değişiklik yapılamaz. Metinde oynama yapılması, aktarımı doğrudan hukuka aykırı hale getirecektir.

İstisnai Aktarım Halleri ve Arızi Aktarımlar

Yeterlilik kararının bulunmadığı ve uygun güvencelerden hiçbirinin sağlanamadığı son ihtimalde, kanun koyucu istisnai aktarım hallerini öngörmüştür. Ancak bu hallere dayanarak veri aktarımı yapılabilmesi için aktarımın mutlaka arızi (tek seferlik veya nadir) olması gerekmektedir. Düzenli veya sistematik aktarımlar için bu istisnalara dayanılması hukuken mümkün değildir. İstisnai haller arasında en dikkat çekeni, eski sistemin temel kuralı olan açık rızanın artık sadece bir son çare olarak kurgulanmasıdır. Üstelik bu kapsamda alınacak açık rızanın geçerli olabilmesi için, ilgili kişinin uygun güvencelerin bulunmamasından doğan muhtemel riskler hakkında özel olarak aydınlatılması zorunludur. Sözleşmenin ifası, üstün kamu yararı, bir hakkın tesisi ve fiili imkânsızlık gibi diğer istisnalar da, yalnızca katı gereklilik testlerini geçen durumlarda işletilebilecektir.

Verileri yurtdışına çıkarmak için her seferinde KVKK'dan izin almamız şart mı? expand_more

Her seferinde Kurul'dan idari bir izin veya onay almanıza gerek bulunmamaktadır. 7499 sayılı Kanun ile getirilen yeni rejime göre, eğer verilerin aktarılacağı yabancı ülke, o ülkedeki belirli bir sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir "yeterlilik kararı" varsa, ek bir izne ihtiyaç duymadan doğrudan veri aktarımı yapabilirsiniz. Böyle bir kararın bulunmadığı senaryolarda ise, kanunda sayılan uygun güvencelerden birini sağlayarak aktarım sürecini hukuka uygun şekilde ve onay beklemeksizin yürütebilirsiniz.

Müşterilerden açık rıza alarak sürekli yurtdışına veri aktarabilir miyim? expand_more

Hayır, yeni hukuki düzenlemeler ışığında yalnızca açık rızaya dayanarak düzenli ve sistematik veri aktarımı yapmanız mümkün değildir. Yeterlilik kararının veya uygun güvencelerin bulunmadığı durumlarda açık rıza alma yöntemi, artık kanun koyucu tarafından sadece istisnai bir son çare olarak kurgulanmıştır. Bu istisnaya dayanarak veri aktarabilmeniz için işlemin mutlaka arızi, yani tek seferlik veya çok nadir nitelikte olması şartı aranmaktadır. Üstelik böyle bir durumda dahi, ilgili kişiyi uygun güvencelerin bulunmamasından doğabilecek muhtemel riskler hakkında özel olarak aydınlatmak zorundasınız.

Yurtdışına veri gönderirken sözleşmeyi KVKK'ya bildirmeyi unuttuk, ceza yer miyiz? expand_more

Evet, bildirim yükümlülüğünün ihlali durumunda doğrudan idari para cezası yaptırımı ile karşı karşıya kalırsınız. Özel sektörün sıklıkla başvurduğu standart sözleşmelerin taraflar arasında imzalanması, veri aktarımını tek başına hukuka uygun hale getirmemektedir. İlgili standart sözleşmelerin imzalandığı tarihten itibaren en geç beş iş günü içerisinde mutlaka Kuruma bildirilmesi yasal bir zorunluluktur. Ayrıca, sözleşme metninde Kurulun belirlediği boşluklar haricinde esaslı bir oynama yapmanızın da tüm aktarım sürecini hukuka aykırı kılacağını önemle hatırlatırım.

Biz sadece veriyi işleyen aracı firmayız, yurtdışı aktarım cezasını biz de öder miyiz? expand_more

Kesinlikle böyle bir yasal riskiniz bulunmaktadır. Önceki düzenlemelerde idari yaptırımlar büyük ölçüde veri sorumlularına uygulanırken, 2024 reformuyla getirilen yeni düzende bildirim yükümlülüğü açısından veri işleyenler de bizzat sorumlu tutulmuştur. Dolayısıyla, standart sözleşme bildiriminin beş iş günü içinde yapılmaması halinde, veri sorumlularının yanı sıra veri işleyenler hakkında da doğrudan idari para cezası uygulanması yasa ile hüküm altına alınmıştır. Bu bağlamda, aracı hizmet sağlayıcı sıfatıyla sürecin bildirim aşamasını titizlikle takip etmeniz hukuki sorumluluğunuz gereğidir.

Av. Hanifi Bayrı | İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama

star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir