Anasayfa/ Makale/ KVKK Madde 9 Kapsamında Yurt Dışına Veri Aktarımı ve Yeterlilik Kararı

KVKK Madde 9 Kapsamında Yurt Dışına Veri Aktarımı ve Yeterlilik Kararı

KVKK m.9 uyarınca kişisel verilerin yurt dışına aktarılması ve Kişisel Verileri Koruma Kurulu'nun yeterlilik kararı, 7499 sayılı Kanun değişiklikleri ışığında incelenmektedir. Yeterlilik kararının şartları, karşılıklılık ilkesi ve veri güvenliğine etkileri hukuki bir perspektifle ele alınmıştır.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişisel verilerin yurt dışına aktarılması, gelişen teknoloji ve küreselleşen ticari hayatın kaçınılmaz bir sonucu olarak büyük bir hukuki önem taşımaktadır. KVKK'nın 9. maddesi, yurt dışına veri aktarımı konusunda temel kuralları belirlerken, veri sahiplerinin haklarını uluslararası boyutta da güvence altına almayı hedefler. Yakın zamanda yürürlüğe giren 7499 sayılı Kanun ile yapılan değişiklikler, Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ile uyumu artırmış ve yeterlilik kararı müessesesini yeniden şekillendirmiştir. Bu yeni düzenleme ışığında, aktarım yapılacak ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilecek yeterlilik kararı, veri aktarımının hukuka uygunluğu açısından temel bir ön koşul haline gelmiştir. Bu yazımızda, uzman bir KVKK avukatı perspektifiyle, yeterlilik kararının hukuki doğası, bu kararın alınmasında rol oynayan kriterler ve yurt dışına aktarımın genel çerçevesi analiz edilmektedir.

Yurt Dışına Veri Aktarımında Temel Yaklaşım

KVKK, yurt dışına veri aktarımı hususunda, verilerin serbest dolaşımı ile kişi haklarının korunması arasında bir denge kurmayı hedefleyen koşullu sınırlandırma yaklaşımını benimsemiştir. 7499 sayılı Kanun ile değişen madde 9 uyarınca, kişisel veriler, ancak Kanun'un ilgili maddelerinde belirtilen temel işleme şartlarından birinin varlığı ve aktarımın yapılacağı yer hakkında yeterlilik kararı bulunması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. Önceki düzenlemede yalnızca ülkeler için öngörülen bu karar mekanizması, artık ülke içerisindeki belirli sektörler veya uluslararası kuruluşları da kapsayacak şekilde genişletilmiştir. Bu esneklik, Kurul'a somut ihtiyaçlar doğrultusunda nokta atışı kararlar alma yetkisi tanımakta ve uluslararası veri akışını hukuki bir güven zeminine oturtmaktadır. Dolayısıyla, yeterlilik kararının varlığı, veri sorumluları için ek bir idari izne gerek kalmaksızın ve istisnai yollara başvurulmaksızın hukuka uygun veri aktarımının ana rotasını oluşturmaktadır.

Yeterlilik Kararının Hukuki Niteliği ve Geçerlilik Süresi

Kişisel Verileri Koruma Kurulu tarafından verilen yeterlilik kararı, aktarım yapılacak destinasyonda kişisel veriler için etkin ve yeterli bir koruma kalkanı bulunduğunu tescil eden resmi bir idari işlemdir. Kanun koyucu, uluslararası hukuktaki hızlı değişimleri ve teknolojik gelişmeleri dikkate alarak bu kararların kalıcı olmadığını hüküm altına almıştır. KVKK madde 9/2 uyarınca, alınan yeterlilik kararları en geç dört yılda bir değerlendirmeye tabi tutulur. Bu süre düzenleyici nitelikte olup, Kurul gerekli gördüğü hallerde dört yıllık sürenin dolmasını beklemeden de inceleme yapma yetkisine sahiptir. Yapılan bu periyodik veya istisnai değerlendirmeler neticesinde Kurul, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya tamamen kaldırabilir. Bu dinamik yapı, sınır ötesi veri güvenliğinin zamanın gerisinde kalmasını engelleyen ve veri sorumlularının uyum süreçlerini sürekli güncel tutmalarını gerektiren hayati bir hukuki mekanizmadır.

Yeterlilik Kararı Verilirken Dikkate Alınan Temel Kriterler

Yabancı bir ülke, sektör veya uluslararası kuruluş hakkında yeterlilik kararı verilirken Kurul'un dikkate alacağı objektif kriterler KVKK madde 9/3 içerisinde tahdidi olmamak kaydıyla açıkça sayılmıştır. Kurul'un güvenli bir veri aktarım koridoru açarken dayandığı bu temel hukuki kriterler şunlardır:

  • Aktarım yapılacak merci ile Türkiye arasındaki karşılıklılık durumu,
  • İlgili ülkenin veya kuruluşun tabi olduğu veri koruma mevzuatı ve kuralları,
  • Aktarım yapılacak yerde bağımsız ve etkin bir veri koruma otoritesinin ve başvuru yollarının varlığı,
  • İlgili aktarım noktasının uluslararası sözleşmelere taraf olma veya küresel örgütlere üye olma durumu,
  • Türkiye'nin taraf olduğu uluslararası sözleşmeler. Bu kriterler arasında özellikle karşılıklılık ilkesi, Kurul'un mevcut uygulamalarında ve uluslararası müzakerelerinde en ön planda tuttuğu stratejik bir unsurdur. İlgili ülkenin iç hukukundaki veri koruma standartlarının, asgari olarak KVKK normlarına eşdeğer bir güvence sağlaması hedeflenmektedir.
Yurt dışındaki bulut sistemlerine müşteri verisi aktarırken nelere dikkat etmeliyiz? expand_more
6698 sayılı Kanun'un 9. maddesine göre, kişisel verileri yurt dışına aktarabilmeniz için öncelikle kanunda belirtilen temel veri işleme şartlarından birine sahip olmanız gerekmektedir. Bununla birlikte, yeni mevzuat değişiklikleri kapsamında aktarım yapacağınız yer, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararı bulunması şarttır. Eğer bu yeterlilik kararı mevcutsa, ek bir idari izne veya istisnai yollara başvurmanıza gerek kalmaksızın hukuka uygun bir biçimde yurt dışına veri aktarımı yapabilirsiniz.
Kurulun verdiği bu yeterlilik kararı veya yurt dışı aktarım izni ömür boyu geçerli mi? expand_more
Hayır, Kişisel Verileri Koruma Kurulu tarafından verilen yeterlilik kararları hukuken kalıcı nitelikte değildir. İlgili kanun maddesi uyarınca, alınan yeterlilik kararları en geç dört yılda bir değerlendirmeye tabi tutulmak zorundadır. Hatta Kurul, uluslararası hukuktaki ve teknolojideki değişimleri dikkate alarak gerekli gördüğü hallerde dört yılı beklemeden de inceleme yapabilir ve kararı ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. Bu nedenle, hukuki uyum süreçlerinizi ve veri güvenliğinizi sürekli güncel tutmanız oldukça önemlidir.
KVKK Kurulu hangi ülkelere veri göndermemize izin veriyor, bunun kriteri nedir? expand_more
Kurul, yurt dışı aktarımı için yeterlilik kararı verirken objektif ve hukuki bazı temel kriterleri dikkate almaktadır. Uygulamada ve müzakerelerde en ön planda tutulan şart, Türkiye ile aktarım yapılacak merci arasındaki karşılıklılık durumudur. Bunun yanı sıra, aktarım yapılacak ülkenin veya kuruluşun tabi olduğu veri koruma mevzuatının Türkiye'deki standartlara eşdeğer bir güvence sağlaması ve o bölgede bağımsız bir veri koruma otoritesinin bulunması gerekmektedir. Ayrıca, aktarım noktasının uluslararası sözleşmelere taraf olup olmadığı da kararı doğrudan etkileyen önemli bir hukuki kriterdir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir