Kişisel verilerin yurt dışına aktarımı, Kanun'un 9. maddesi çerçevesinde özel olarak düzenlenmiş olup bu madde kapsamında aktarımın gerçekleştirilebilmesi için ek şartların sağlanması gerekmektedir.1

Yurt dışına aktarım, ulusal sınırlar ötesinde veri işleme faaliyetinin genişlemesini ifade ettiğinden, ilgili kişilerin haklarının korunması bakımından daha titiz bir denetim mekanizması öngörülmektedir.

Temel ilke olarak yurt dışına aktarımın hukuka uygunluğu açısından öncelikle aktarımın gerçekleştirileceği ülkede yeterli korumanın mevcudiyeti değerlendirilmelidir.2

2024 değişiklikleri ile yurt dışına aktarım rejimi esaslı biçimde yeniden düzenlenmiştir.3

Madde 9/2(a) hükmü, yeterli korumanın bulunduğu ülkelere yapılacak aktarımları düzenlemektedir. Bu ülkelere veri aktarımında, taahhütname veya Kurul izni gibi ek mekanizmalara başvurulması gerekmemektedir. Yeterlilik kararı, hedef ülkenin veri koruma mevzuatı ve uygulamasının Türk hukukundaki koruma seviyesine denk olduğunun Kurul tarafından tespit edilmesidir.1

Yeterlilik değerlendirmesinde Kurul, madde 9/3te sayılan kriterleri gözetmektedir. Bu kriterler arasında Türkiyenin taraf olduğu uluslararası sözleşmeler, iki ülke arasındaki karşılıklılık durumu, aktarılacak verinin niteliği ve işlenme amacı, hedef ülkenin mevzuatı ve fiili uygulaması ile alıcı tarafından taahhüt edilen önlemler yer almaktadır.

Kurul, bugüne kadar herhangi bir ülkeyi yeterli koruma sağlayan ülke olarak ilan etmemiştir. Bu durum, Türkiyeden gerçekleştirilen yurt dışı aktarımların büyük çoğunluğunun madde 9/2(b) kapsamındaki taahhütname mekanizmasına dayanmasını zorunlu kılmaktadır. Karşılaştırmalı hukuk perspektifinden bakıldığında, Avrupa Komisyonunun onlarca ülke için yeterlilik kararı vermiş olduğu görülmektedir.

Yeterlilik kararının yokluğunda veri sorumlularının üzerindeki yük artmaktadır. Her bir aktarım için ayrı ayrı taahhütname hazırlanması ve Kurul izninin beklenmesi, iş süreçlerini yavaşlatabilmektedir. Bu nedenle Kurulun yeterlilik değerlendirmelerini hızlandırması, uluslararası veri akışlarının kolaylaştırılması bakımından önem taşımaktadır.

Yeterli korumanın bulunmadığı ülkelere aktarım için taahhütname mekanizması uygulanabilir.

Taahhütname süreci şu şekilde işlemektedir: Öncelikle Türkiye'deki ve yurt dışındaki veri sorumlularının Kurul'un yayımladığı taahhütname metnini imzalaması gerekmektedir. Ardından taahhütname Kurul'a sunulmakta ve Kurul değerlendirmesinin ardından onay vermesi beklenmektedir. Onay sonrasında aktarım gerçekleştirilebilir.

Taahhütname içeriğinde aktarılacak veri kategorileri, aktarım amacı ve süresi, alıcı ülkedeki koruma önlemleri ile ilgili kişi haklarının kullanımına ilişkin düzenlemeler yer almalıdır.

Kurul onayı alınmadan taahhütname kapsamında aktarım yapılması mümkün değildir.

Bağlayıcı Şirket Kuralları (BCR), çok uluslu şirketler için alternatif bir aktarım mekanizması oluşturmaktadır. BCR, grup şirketleri arasında kişisel veri aktarımını düzenleyen iç politikalar niteliğinde olup Kurul tarafından onay verilmesi halinde grup içi aktarımlar için ayrıca taahhütname aranmamaktadır.

BCR'nin avantajları arasında her aktarım için ayrı taahhütname gerekliliğinin ortadan kalkması, grup genelinde standart veri koruma uygulaması oluşturulması ve uluslararası uyum kolaylığı bulunmaktadır.

BCR'nin dezavantajları ise hazırlık sürecinin uzun ve külfetli olması, Kurul onay sürecinin belirsiz olması ve Türkiye'de henüz yaygın bir uygulamanın mevcut olmamasıdır.

Kurul, yurt dışına aktarım için yeterli önlemleri belirleme yetkisine sahiptir.

Teknik önlemler kapsamında şifreleme ve anonimleştirme teknikleri, erişim kontrolleri ve yetkilendirme mekanizmaları, güvenli iletişim kanallarının kullanımı (VPN, sFTP) ile veri bütünlüğü kontrollerinin oluşturulması aranmaktadır.

İdari önlemler kapsamında veri koruma politikalarının oluşturulması, personel eğitimlerinin verilmesi, düzenli denetimlerin yapılması ve olay müdahale planlarının hazırlanması gerekmektedir.

Hukuki önlemler kapsamında ise aktarım sözleşmelerinin hazırlanması, ilgili kişi haklarının güvence altına alınması ve şikayet ile başvuru mekanizmalarının oluşturulması zorunludur.

Schrems II ilkesi çerçevesinde aktarım yapılan ülkedeki mevzuat ve uygulamanın da dikkate alınması gerekmektedir.

Yeterli korumanın bulunmadığı ülkelere veri aktarımında en yaygın kullanılan mekanizmalardan biri, standart sözleşme hükümleridir. Bu hükümler, veri aktaran ile veri alan taraflar arasında akdedilen ve önceden belirlenmiş koruma taahhütlerini içeren sözleşme maddeleridir. Türk hukukunda Kurul, yurt dışına veri aktarımında kullanılabilecek taahhütname örneklerini yayımlamış olup bu belgeler standart sözleşme hükümleri işlevi görmektedir.

Standart sözleşme hükümlerinin etkinliği, tarafların bu hükümlere fiilen riayet etmesine bağlıdır. Salt sözleşmenin imzalanması yeterli olmayıp, taahhüt edilen güvenlik önlemlerinin pratikte uygulanması zaruridir. Bu bağlamda veri aktaran tarafın, alıcının taahhütlerine uygunluğunu periyodik olarak denetlemesi ve gerektiğinde aktarımı askıya alması önem arz etmektedir.

Kurul tarafından yayımlanan taahhütname örnekleri, veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene aktarım olmak üzere iki farklı senaryo için ayrı ayrı düzenlenmiştir. Her iki durumda da alıcı tarafın, Türk mevzuatının öngördüğü koruma seviyesine denk bir güvence sunması aranmaktadır.

Genel Veri Koruma Tüzüğünün beşinci bölümü (Art. 44-49), kişisel verilerin üçüncü ülkelere aktarılmasını kapsamlı biçimde düzenlemektedir. KVKK madde 9 ile GDPR Bölüm V arasında önemli paralelliklerin yanı sıra bazı farklılıklar da mevcuttur. Her iki sistemde de temel ilke, aktarımın ancak yeterli koruma güvencesiyle gerçekleştirilebileceğidir.

Yeterlilik kararı mekanizması bakımından, GDPR Art. 45 Komisyona yeterli koruma sağlayan ülkeleri belirleme yetkisi tanırken, KVKKda bu yetki Kurula aittir. Ancak Kurul, bugüne kadar herhangi bir ülkeyi yeterli koruma sağlayan ülke olarak ilan etmemiştir. Bu durum, Türkiyeden yapılan yurt dışı aktarımların büyük çoğunluğunun taahhütname mekanizmasına dayanmasını zorunlu kılmaktadır.

Uygun güvenceler kategorisinde GDPR, standart sözleşme hükümlerinin yanı sıra davranış kuralları ve sertifikasyon mekanizmalarını da kabul etmektedir. KVKKda ise bu alternatif mekanizmalar henüz düzenlenmemiş olup, taahhütname sistemi ağırlıklı olarak uygulanmaktadır.

Avrupa Birliği Adalet Divanı'nın Schrems I (2015) ve Schrems II (2020) kararları, uluslararası veri aktarımı hukukunda dönüm noktası niteliğindedir. Schrems I kararıyla Safe Harbor anlaşması, Schrems II kararıyla ise Privacy Shield düzenlemesi geçersiz kılınmıştır. Bu kararlar, üçüncü ülkelerdeki gözetim mevzuatının veri koruma standartlarıyla bağdaşırlığını merkeze almaktadır.

Söz konusu kararların Türk hukuku bakımından doğrudan bağlayıcılığı bulunmamakla birlikte, önemli yorum ilkeleri sunmaktadır. Özellikle yeterli koruma değerlendirmesinde, hedef ülkenin mevzuatının yanı sıra istihbarat servisleri ve kolluk kuvvetlerinin veri erişim yetkilerinin de gözetilmesi gerektiği ortaya konmuştur. Bu perspektif, KVKK madde 9/3'te sayılan değerlendirme kriterlerinin yorumlanmasında dikkate alınmalıdır.

Schrems II kararı sonrasında AB'de standart sözleşme hükümlerinin tek başına yeterli olmayabileceği, ek tedbirlerin (supplementary measures) gerekebileceği kabul edilmiştir. Şifreleme, takma ad kullanımı ve veri minimizasyonu gibi teknik önlemler, bu ek tedbirler arasında sayılmaktadır. Türk uygulamasında da benzer bir yaklaşımın benimsenmesi isabetli olacaktır.

Madde 9/1 hükmü, yurt dışına aktarımın kural olarak ilgili kişinin açık rızasına bağlı olduğunu hükme bağlamaktadır. Açık rızaya dayalı aktarımda, yeterli koruma şartı veya taahhütname mekanizması aranmamaktadır. Ancak açık rızanın geçerliliği, belirli koşulların sağlanmasına bağlıdır.

İlgili kişinin açık rızası, yurt dışı aktarımın tüm boyutlarını kapsayacak şekilde aydınlatılmış olmalıdır. Verinin aktarılacağı ülke, alıcının kimliği ve aktarım amacı hakkında yeterli bilgilendirme yapılmadan alınan rıza, geçerli bir hukuki dayanak teşkil etmeyecektir. Bilhassa yeterli korumanın bulunmadığı ülkelere aktarımda, bu riskin ilgili kişiye açıkça bildirilmesi zaruridir.

Açık rızanın geri alınabilir niteliği, yurt dışı aktarım bağlamında özel önem taşımaktadır. İlgili kişi rızasını geri aldığında, veri sorumlusu yurt dışındaki alıcıya bu durumu bildirmek ve mümkün olduğu ölçüde verilerin silinmesini veya iadesini sağlamakla mükelleftir.

Avrupa Birliği'nin Dijital Alana Yönelik Hukuk Politikası

Veri temelli ekonominin düzenlenmesi sürecinde Avrupa Birliği, dijital alanlara ilişkin politikasını bütüncül bir perspektifle şekillendirmektedir. Bu doğrultuda Komisyon tarafından yayımlanan dijital strateji ve bunun tamamlayıcısı niteliğindeki veri stratejisi, Birlik nezdinde gerçekleştirilen düzenlemelerin arkasındaki hukuk politikasının kavranması bakımından merkezi öneme sahiptir.

Dijital Strateji

Avrupa Birliği, yeşil dönüşüm ve dijital dönüşüm gündemlerine verdiği öncelik çerçevesinde 19 Şubat 2020 tarihinde Dijital Strateji ve Veri Stratejisi belgelerini yayımlamıştır. Dijital Strateji belgesi, özellikle yeşil ve dijital dönüşümün hayata geçirilmesi için ihtiyaç duyulan makro düzeydeki önlemlerin çerçevesini çizmeyi amaçlamaktadır. Bu önlemler, "Avrupa'nın Dijital Geleceğini Şekillendirmek" başlığı altında yayımlanan ve elliden fazla somut tedbir içeren Bildiri'de belirtilmiştir. Bu sayede Birlik, dijitalleşmenin toplumsal ve ekonomik etkilerine kapsamlı bir yanıt vermek suretiyle köklü bir dönüşüm gerçekleştirmeyi hedeflemektedir.

Stratejinin temel gayesi, dijital dönüşümün Birlik değerleri çerçevesinde gerçekleşmesini temin etmektir. Bu kapsamda herkesin yararına sonuçlar üreten, insan merkezli ve ekonomiye yeni fırsatlar sunan bir dijital ekosistem inşa edilmesi öngörülmektedir. Strateji üç ana hedef üzerine kurgulanmıştır: Birincisi, Birlik değerleri ışığında güvenilir teknolojilerin geliştirilmesi ve kullanımının teşvikidir; bu bağlamda insan odaklı bir yaklaşım esas alınarak dijital teknolojilerin temel hak ve özgürlüklere uygun biçimde tasarlanması ve işlerlik kazanması amaçlanmaktadır. İkincisi, adil ve rekabetçi bir tek pazar ekonomisi oluşturulmasıdır; tüm işletmelerin dijital teknolojileri geliştirip pazarlayarak küresel rekabet güçlerini artırma imkânına kavuşması, tüketicilerin ise haklarının güvence altında olduğundan emin olması hedeflenmektedir. Üçüncüsü ise dijital teknolojilerin açık, demokratik ve sürdürülebilir bir topluma katkı sağlamasıdır.

Bu üç hedefe ulaşmak amacıyla strateji belgesinde dijital altyapıların hızlandırılmış biçimde genişletilmesi, siber tehditlerin engellenmesi ve yapay zekâ temelli teknolojiler dâhil olmak üzere dijital uygulamaların güvenlik seviyesinin artırılması gibi konulara vurgu yapılmaktadır. Bunun yanı sıra tüm Birlik vatandaşlarının dijital becerilerini geliştirmeye yönelik yatırım yapılması, veriye adil erişimin ve veri paylaşımının teşvik edilmesi ile büyük dijital şirketlerin pazar gücünün sınırlandırılması gibi hususlar da stratejinin temel unsurları arasında yer almaktadır.

Veri Stratejisi

Komisyon, 19 Şubat 2020 tarihli "Avrupa Veri Stratejisi" başlıklı bildiriminde 2025 yılına kadar Avrupa değerleri ve temel haklarla uyumlu, işlevsel ve yenilikçi bir veri ekonomisinin teşviki amacıyla çeşitli politikalar ve somut yatırımlar öngörmüştür. Bu strateji belgesine göre artan veri miktarından kaynaklanan potansiyelin toplumsal ve ekonomik refah bakımından değerlendirilebilmesi, veriye erişim imkânlarının geliştirilmesi ve verinin sorumlu bir şekilde kullanımının teşvik edilmesiyle mümkün olacaktır. Komisyon'un vizyonu, kişisel veya kişisel olmayan tüm verilerin koruma altında olduğu, teşebbüslerin ihtiyaç duydukları veriye kolayca ulaşabildiği ve hukuka uygun şekilde veriyi yeniden kullanabildiği tek bir Avrupa veri alanı oluşturmaktır.

Komisyon, strateji belgesinde öncelikle veri ekonomisindeki sorunları tespit etmekte, ardından bu sorunların çözümüne yönelik politika önerileri ve mali teşvik unsurlarını belirlemektedir. Bu öneriler dört ana başlık altında özetlenebilir: Birincisi, Birlik pazarındaki farklı sektörler ile üye devletlerdeki çeşitli yaklaşımları önlemek amacıyla veri erişimi ve veri kullanımına yönelik yatay düzlemde bir yönetişim çerçevesinin oluşturulmasıdır; bu amaca hizmet etmesi öngörülen düzenleme Veri Yönetişimi Yasası'dır. İkincisi, yenilikçi ve veri odaklı iş modellerinin desteklenmesi ile Tek Avrupa Veri Alanı vizyonunun altyapısının oluşturulmasıdır. Üçüncüsü, stratejik sektörlerde ve kamusal menfaatin bulunduğu alanlarda müşterek veri alanlarının oluşturulmasıdır. Dördüncüsü ise veri okuryazarlığı hususunda bireylerin yetkinliğinin artırılmasıdır.

Veri Stratejisi 2025

Avrupa Komisyonu, 2020 tarihli Avrupa Veri Stratejisi'nin bir devamı niteliğinde ve yapay zekâ alanındaki küresel rekabete yanıt vermek amacıyla 19 Kasım 2025 tarihinde "Veri Birliği Stratejisi" başlıklı yeni bir bildiri yayımlamıştır. Bu strateji belgesiyle Birlik, yapay zekâ için verinin potansiyelini tam olarak ortaya çıkarmayı hedeflemektedir.

Komisyon, Birliğin yapay zekâ teknolojilerinin geliştirilmesi bağlamında karşılaştığı başlıca zorlukları üç temel alanda tespit etmiştir: Birincisi veri kıtlığıdır; üretken yapay zekânın yükselişiyle birlikte yüksek hacimli, kaliteli ve kullanım için öngörülen ilgili alana özgü veri kümelerine erişim, küresel rekabet gücünün belirleyici faktörü haline gelmiştir. İkincisi mevzuat karmaşıklığıdır; veriye ilişkin mevcut düzenlemelerin ve üye devletler arasındaki yeknesak olmayan uygulamaların sebebiyet verdiği durum, yasal belirsizliğe ve uyum maliyetlerinin artmasına neden olmaktadır. Üçüncüsü küresel rekabettir; verinin stratejik bir varlık haline gelmesiyle birlikte veriye ilişkin korumacı yaklaşımlar, Birlik şirketlerinin küresel kaynaklara erişimini kısıtlamakta ve ekonomik ile güvenlik riskleri oluşturmaktadır.

Veri Birliği Stratejisinin Üç Ana Direği

Veri Birliği Stratejisi, yukarıda işaret edilen sorunların bertaraf edilmesi ve kurallardan sonuçlara geçiş yapılması amacıyla üç ana öncelikli alan belirlemiştir: Birincisi, yapay zekâ ve inovasyon için kaliteli veriye erişimin ölçeklendirilmesidir; bu kapsamda güvenilir şifreleme hizmetleri sunan Veri Laboratuvarları gibi mekanizmalar yer almaktadır. İkincisi, veri kurallarının uyumlaştırılmasıdır; işletmeler ve araştırmacılar için veri paylaşımını kolaylaştırmak amacıyla veri kurallarının sadeleştirilmesi ve Dijital Omnibus gibi yasa teklifleriyle uyum yüklerinin azaltılması amaçlanmaktadır. Üçüncüsü, uluslararası veri akışlarında Birliğin küresel konumunun güçlendirilmesidir.

Temel Düzenleme ve Kavramsal Gelişmeler

Strateji kapsamında önemli yeni mekanizmalar ve yasal değişiklikler öngörülmektedir. Veri Laboratuvarları, Veri Yönetişimi Yasası ile hayata geçirilmesi amaçlanan Ortak Avrupa Veri Alanları ile yapay zekâ ekosistemini birbirine bağlamayı amaçlayan kuruluşlardır. Ortak Avrupa Veri Alanlarının Ölçeklendirilmesi bağlamında, hâlihazırda on dört stratejik veri alanının pilot projelerden Birlik çapında etkiye sahip, kesintisiz ve birlikte işleyebilir bir ekosisteme dönüştürülmesi hedeflenmektedir. Bulut Bilişim ve Yapay Zekâ Gelişimi Yasası, 2026'nın ilk çeyreğinde teklif edilmesi planlanan yasal düzenleme olup Birlik işletmeleri ve kamu idareleri için sürdürülebilir veri merkezi kapasitesi ve egemen bulut ile yapay zekâ hizmetlerinin kullanılabilirliğini sağlamayı amaçlamaktadır. Dijital Omnibus ise Birlik hukukunda dijital alandaki, özellikle yatay veri mevzuatındaki karmaşıklığı gidermek amacıyla sunulacak bir yasa teklifidir.

Bulut bilişim hizmetlerinin yaygınlaşması, yurt dışı aktarım düzenlemelerinin uygulanmasında yeni sorunları beraberinde getirmiştir. Bulut altyapısında veriler, fiziksel olarak farklı ülkelerdeki sunucularda depolanabilmekte ve işlenebilmektedir. Bu durum, her bir veri transferinin ayrı ayrı değerlendirilmesini güçleştirmektedir.

Veri lokalizasyonu gereklilikleri açısından Türk hukuku, belirli sektörler için özel düzenlemeler içermektedir. Bankacılık verileri, sağlık verileri ve kamu kurumlarına ait veriler için yurt içinde tutma zorunlulukları öngörülmüştür. Bu sektörel düzenlemeler, KVKK madde 9/4te yer alan diğer kanunlarda yer alan hükümler saklıdır ibaresiyle uyumludur.

Bulut hizmeti sağlayıcısının veri işleyen konumunda olduğu hallerde, veri sorumlusu ile hizmet sağlayıcı arasındaki sözleşmede veri lokasyonu, alt işleyenler ve aktarım mekanizmaları açıkça düzenlenmelidir. Verinin hangi ülkelerde işlenebileceğine dair sınırlamalar getirilmesi, hukuki belirsizliklerin önlenmesi bakımından tavsiye edilmektedir.

GDPR Art. 49, yeterlilik kararı veya uygun güvencelerin bulunmadığı hallerde istisnai olarak aktarıma izin veren derogasyonları düzenlemektedir. KVKK ise bu tür arızi aktarım hallerini açıkça düzenlememiş olmakla birlikte, madde 5 ve 6daki hukuka uygunluk sebepleri çerçevesinde benzer sonuçlara ulaşılabilmektedir.

Sözleşmenin ifası için zorunlu aktarımlar, bu bağlamda en sık karşılaşılan senaryolardandır. Uluslararası bir otel rezervasyonu, yurt dışı uçuş bileti alımı veya sınır ötesi e-ticaret işlemleri, sözleşmenin doğası gereği veri aktarımını gerektirmektedir. Bu hallerde madde 5/2-c kapsamında sözleşmenin ifası şartına dayanılabilecektir.

Hayati menfaatlerin korunması da istisnai aktarıma dayanak teşkil edebilir. Yurt dışında acil tıbbi müdahaleye ihtiyaç duyan bir kişinin sağlık verilerinin ilgili sağlık kuruluşuna iletilmesi, bu kategoride değerlendirilebilir. Ancak bu istisnanın dar yorumlanması ve gerçek anlamda acil durumlarla sınırlı tutulması gerekmektedir.