Sınır Ötesi Veri Aktarımı ve Yargı Çatışmaları

5 dk okuma Yayınlanma: 11.02.2025 Güncelleme: 02.06.2026

KAMU YARARI GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) CEZA HUKUKU AÇIK RIZA KVKK

Küreselleşen dijital dünyada kişisel verilerin yurt dışına aktarılması, hukuki ve ticari sınırların ötesine geçen oldukça karmaşık bir yapıya bürünmüştür. Bireylerin ve kurumların etkileşimleri sonucunda oluşan bu veri akışı, devletlerin kendi egemenlik sınırları içerisindeki hukuki koruma mekanizmalarını doğrudan ilgilendirmektedir. Bir devletin sınırları içerisinde toplanan ancak farklı bir ülkedeki veri merkezlerinde muhafaza edilen verilere yönelik erişim talepleri, farklı devletlerin yargı yetkilerinin çatışmasına sebebiyet vermektedir. Gerek iç hukukumuzdaki yasal mevzuatlar gerekse uluslararası alanda kabul gören düzenlemeler, söz konusu aktarımların hukuka uygun bir şekilde gerçekleştirilebilmesi için sıkı denetim kuralları öngörmektedir. Özellikle çok uluslu şirketlerin veri işleme faaliyetlerinde hangi devletin kanunlarına tabi olacağı sorunu, devletlerin yargı haklarını koruma refleksleriyle birleştiğinde, çözümü oldukça güç uluslararası yargı uyuşmazlıklarını beraberinde getirmektedir.

KVKK Kapsamında Yurt Dışına Veri Aktarımı

Türk hukukunda kişisel verilerin sınır ötesine iletilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesi ile sıkı kurallara bağlanmıştır. Verilerin yurt dışına aktarılmasında hukuki uygunluğun sağlanabilmesi için mevzuatta belli bir denetim hiyerarşisi öngörülmüştür. Bu denetim mekanizması, hem veri sorumlularının hem de veri işleyenlerin uluslararası alanda uyması gereken katı yükümlülükleri ortaya koymaktadır. 10 Temmuz 2024 tarihinde yayımlanan yönetmelik çerçevesinde, sınır ötesi aktarımın temel adımları şu şekildedir:

Yeterlilik Kararının Bulunması: Aktarımın yapılacağı ülke, sektör veya uluslararası kuruluş hakkında Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararının mevcut olması.
Uygun Güvencelerin Sağlanması: Yeterlilik kararı yoksa, ilgili kişinin aktarım yapılan ülkede yasal haklarını kullanabilmesi şartıyla; bağlayıcı şirket kuralları, yazılı taahhütname veya standart sözleşmelerle uygun güvencelerin sunulması.
İstisnai Aktarım Halleri: Yukarıdaki şartların sağlanamadığı hallerde; açık rıza, üstün kamu yararı, hukuki uyuşmazlıklarda hakkın tesisi veya fiili imkânsızlık gibi kanunda sınırlı sayılan özel durumların varlığı.

Yargı Çatışmalarını Doğuran Uluslararası Davalar

Farklı devletlerin aynı veriler üzerinde yargı yetkisi iddia etmesi, uluslararası hukukta ciddi uyuşmazlıkların temelini oluşturmaktadır. Bu durumun en belirgin örneklerinden biri, ABD ile Microsoft arasında yaşanan uyuşmazlıktır. Davada, ABD makamları Depolanan İletişimler Kanunu kapsamında bir ceza soruşturması için Microsoft'tan İrlanda'daki veri merkezlerinde saklanan e-posta içeriklerini talep etmiştir. Microsoft ise bu verilerin ABD dışında olduğunu ve teslim edilmesinin İrlanda hukukunu ihlal edeceğini savunmuştur. Benzer bir yargı yetkisi tartışması, Walsh v. National Irish Bank LTD davasında da yaşanmıştır. İrlanda Gelir İdaresi Başkanlığı, Man Adası'nda bulunan bir banka şubesinden vergi soruşturması kapsamında müşteri bilgilerinin ifşasını istemiş, ancak Yüksek Mahkeme bu talebin Man Adası'nın egemen yargı yetkisine saygısızlık teşkil edeceğini ve yargı sisteminin bütünlüğünü bozacağını belirterek reddetmiştir. Bu davalar, sınır ötesi veri taleplerinin doğrudan veya dolaylı olarak nasıl yargı çatışmalarına yol açtığını açıkça göstermektedir.

Bölgesel Düzenlemeler ve GDPR'ın Etkisi

Yargı çatışmalarının çözümünde ve sınır ötesi veri akışının denetiminde bölgesel mevzuatların, özellikle de Avrupa Birliği'nin Genel Veri Koruma Tüzüğü'nün (GDPR) rolü büyüktür. GDPR, yalnızca birlik içindeki veri sorumlularını değil, aynı zamanda birlik dışındaki aktörlerin faaliyetlerini de kapsayacak şekilde genişletilmiş bir bölgesel kapsam benimsemiştir. Tüzüğün 48. maddesi, birlik dışına veri aktarımında yabancı mahkeme kararlarının nasıl tanınacağını açıkça düzenlemiştir. İlgili madde uyarınca, üçüncü bir ülkenin idari makamı veya mahkemesi tarafından istenen veri açıklamaları, ancak talepte bulunan ülke ile Birlik arasında yürürlükte olan bir uluslararası anlaşmaya dayanması hâlinde geçerli ve uygulanabilir kabul edilmektedir. Bu düzenleme, devletlerin birbirlerinin yargı yetkisine tek taraflı olarak müdahale etmesini engellemeyi amaçlamakta olup, verilerin korunmasında idari ve adli taleplerin hukuki zeminde çözümlenmesini zorunlu kılmaktadır.

Müşterilerimin bilgilerini yurt dışındaki bir sunucuda tutabilir miyim? expand_more

Müşteri verilerini yurt dışındaki sunucularda saklamak, kişisel verilerin yurt dışına aktarımı sayılmaktadır ve bu durum devletlerin egemenlik hakları bağlamında hukuki bir denetime tabidir. Türk hukukunda bu süreç, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesi ile son derece sıkı kurallara bağlanmıştır. Bu aktarımı hukuka uygun yapabilmeniz için öncelikle Kişisel Verileri Koruma Kurulu tarafından o ülke veya sektör için verilmiş bir yeterlilik kararının bulunması gerekir. Eğer böyle bir karar yoksa, standart sözleşmeler, yazılı taahhütname veya bağlayıcı şirket kuralları gibi hukuki güvenceleri sunmanız şarttır.

Yabancı bir devlet, başka ülkedeki sunucuda olan verilerimi isteyebilir mi? expand_more

Yabancı bir devletin kendi sınırları dışında depolanan verilere yönelik erişim talepleri, uluslararası alanda ciddi yargı yetkisi çatışmalarına neden olmaktadır. Örneğin, ABD makamlarının bir soruşturma için Microsoft'un İrlanda'daki sunucularından veri istemesi davasında, verilerin tesliminin İrlanda hukukunu ihlal edeceği savunulmuştur. Benzer şekilde, Man Adası'ndaki bir bankadan bilgi isteyen İrlanda makamlarının talebi, egemen yargı yetkisine saygısızlık teşkil edeceği gerekçesiyle reddedilmiştir. Dolayısıyla, yabancı bir makamın doğrudan veri talep etmesi, verinin bulunduğu ülkenin yargı sisteminin bütünlüğüne müdahale sayıldığından hukuken oldukça zorlu bir süreçtir.

Avrupa'daki bir şirket, yabancı mahkeme kararıyla verimi başkasına verir mi? expand_more

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), üçüncü ülkelerin idari makamları veya mahkemeleri tarafından yapılan veri erişim taleplerini oldukça sıkı bir bölgesel kapsama almıştır. GDPR'ın 48. maddesine göre, yabancı bir mahkemenin veya idari makamın veri ifşası talebi doğrudan geçerli ve uygulanabilir kabul edilmez. Bu tür bir kararın uygulanabilmesi için talepte bulunan ülke ile Avrupa Birliği arasında yürürlükte olan bir uluslararası anlaşmanın bulunması zorunludur. Bu hukuki düzenleme, devletlerin birbirlerinin yargı yetkisine tek taraflı müdahalesini engelleyerek verilerinizin adli talepler karşısında da korunmasını sağlamaktadır.

Yurt dışı için yeterlilik kararı ve güvence yoksa veri aktarmak imkânsız mı? expand_more

Kurulun yeterlilik kararı almadığı ve bağlayıcı şirket kuralları gibi uygun güvencelerin de sağlanamadığı durumlar için kanun koyucu bazı istisnai aktarım halleri düzenlemiştir. Bu gibi zorunlu durumlarda; ilgili kişinin açık rızasının alınması, üstün bir kamu yararının bulunması veya fiili imkânsızlık halleri gibi sınırlı sayılan şartların varlığı durumunda veri aktarımı gerçekleştirilebilir. Ayrıca, hukuki bir uyuşmazlıkta hakkın tesisi söz konusuysa da bu istisnalardan yararlanılabilmektedir. Ancak bu haller kanunda sınırlı olarak sayılan özel durumlar olduğu için, aktarım süreçlerinizin hukuki zemininin çok dikkatli bir şekilde değerlendirilmesi gerekmektedir.

Av. Hanifi Bayrı | İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama

star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir