
Bir yurt dışı e-posta servisi, bir bulut CRM, yabancı bir muhasebe ya da depolama hizmeti kullanıyorsanız, farkında olmadan kişisel veriyi yurt dışına aktarıyor olabilirsiniz. KVKK bu konuyu 2024'te yeniden düzenledi ve pek çok işletme bu değişikliği hâlâ kaçırıyor. Bu yazı, yurt dışına veri aktarımının yeni düzenini ve sizden ne beklendiğini net biçimde açıklıyor.
Neden bu konu sizi de ilgilendiriyor?
"Biz yurt dışına veri göndermiyoruz" demek kolay, ama uygulamada çoğu işletme gönderiyor. Sunucusu yurt dışında olan bir e-posta, CRM, İK yazılımı ya da bulut depolama kullanmak, çoğu zaman yurt dışına kişisel veri aktarımı anlamına gelir. Müşteri, çalışan ve tedarikçi verileri bu kapsama girer. Dolayısıyla konu yalnızca büyük şirketlerin değil, KOBİ'lerin de meselesidir.
Yeni düzen: 10 Temmuz 2024 yönetmeliği
Kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar, 10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete'de yayımlanan yönetmelikle yeniden düzenlendi. Bu düzenleme, aktarımın hangi yollarla ve hangi şartlarda yapılabileceğini netleştiriyor.
Kişisel Verileri Koruma Kurulu, 4 Haziran 2024 tarihli kararıyla yurt dışı aktarımda kullanılacak standart sözleşme metinlerini ve bağlayıcı şirket kurallarına ilişkin dokümanları kabul etti. Ardından Kurum, Ocak 2025'te yurt dışına aktarım rehberini, Şubat 2025'te ise özel nitelikli kişisel verilere ilişkin rehberi yayımladı.
En kritik pratik kural: standart sözleşme + 5 iş günü bildirim
İşletmeler açısından günlük hayatı en çok etkileyen mekanizma standart sözleşme. Mantığı şu:
- Kurul tarafından ilan edilen standart sözleşme metni kullanıldığında, aktarım için Kuruldan ayrıca izin almanız gerekmez.
- Ancak imzaların tamamlanmasından itibaren 5 iş günü içinde standart sözleşmenin KVKK'ya bildirilmesi zorunludur.
Bu bildirim yükümlülüğü sık atlanıyor. Standart sözleşmeyi imzalayıp "tamamdır" demek yetmez; süresinde bildirmezseniz uyum eksik kalır ve yaptırım riski doğar.
Yurt dışına aktarımın yolları — özet
Yeni düzende aktarım, kabaca şu kademelerde mümkün:
- Yeterlilik kararı bulunan ülkelere aktarım (Kurul ilan ederse).
- Uygun güvencelerle aktarım — standart sözleşme, bağlayıcı şirket kuralları gibi araçlarla (yukarıdaki bildirim kuralı burada devreye girer).
- İstisnai hallerde (arızi, sınırlı durumlar) aktarım.
Hangi yolun size uygun olduğu, aktardığınız verinin niteliğine ve karşı tarafa göre değişir. Bu, hukuki değerlendirme gerektiren bir konudur.
Yapay zeka çağında konu daha da önemli
Yurt dışı merkezli yapay zeka ve bulut hizmetlerinin yaygınlaşması, veri aktarımını gündelik bir işlem haline getirdi. Bir yapay zeka aracına müşteri verisi girmek, bir yurt dışı sunucuya veri göndermek anlamına gelebilir. Bu yüzden hangi aracın veriyi nerede işlediğini bilmek, artık bir uyum gerekliliği. Kullandığınız her yurt dışı hizmet için "bu, kişisel veri aktarımı mı?" sorusunu sormak sağlıklı bir alışkanlıktır.
İşletme olarak ne yapmalısınız?
- Envanter çıkarın. Hangi hizmet, hangi veriyi, nereye aktarıyor? Önce bunu görün.
- Aktarım yolunu belirleyin. Standart sözleşme mi, başka bir güvence mi uygun?
- Bildirim yükümlülüğünü kaçırmayın. Standart sözleşmede 5 iş günü kuralını takviminize alın.
- Aydınlatma ve rızayı gözden geçirin. Aktarım, aydınlatma metinlerinize ve gerekli hallerde rıza süreçlerine yansımalı.
Birasyo'da nasıl?
Birasyo ERP, Microsoft Azure altyapısında barındırılır ve KVKK uyumlu çalışacak şekilde tasarlanmıştır. KVKK envanteri, aydınlatma metni yönetimi, açık rıza takibi ve veri sahibi başvuru akışları ürünün içinde standarttır; böylece verinin nerede işlendiğini ve kime aktarıldığını kayıt altında tutmanız kolaylaşır.
Birasyo Uyum (Compliance) modülünü inceleyin →
Özet
Yurt dışı bulut, e-posta, İK veya muhasebe hizmeti kullanan işletmeler, çoğu zaman farkında olmadan yurt dışına kişisel veri aktarıyor. 10 Temmuz 2024 yönetmeliği bu alanı yeniden düzenledi; en kritik pratik nokta, standart sözleşme kullanıldığında imzadan itibaren 5 iş günü içinde KVKK'ya bildirim yapılmasının zorunlu olması. Önce hangi hizmetin hangi veriyi nereye aktardığını envanterleyin, uygun aktarım yolunu seçin ve bildirim yükümlülüğünü kaçırmayın. Bu, hukuki değerlendirme gerektiren bir konudur; süreçlerinizi bir hukukçu veya veri koruma uzmanıyla birlikte kurgulayın.
Kaynaklar: Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (10 Temmuz 2024 tarihli, 32598 sayılı Resmî Gazete); Kişisel Verileri Koruma Kurulu'nun 4 Haziran 2024 tarihli standart sözleşme ve bağlayıcı şirket kuralları kararı; Kurumun Ocak 2025 yurt dışına aktarım ve Şubat 2025 özel nitelikli veri rehberleri (kvkk.gov.tr). Genel bilgilendirmedir, hukuki danışmanlık değildir; süreçlerinizi bir hukukçu/veri koruma uzmanıyla teyit edin.
Bu yazıyı LinkedIn'de paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, LinkedIn paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.


