Yurtdışına Veri Aktarımı: KVKK ve GDPR Arasındaki Farklar
Giriş
Bulut servisleri, e-posta sistemleri, CRM yazılımları veya dış kaynaklı destek ekipleri…
Bugün hemen her işletme bir şekilde kişisel veriyi yurtdışına aktarıyor.
Ancak bu işlem hem Türkiye’deki KVKK hem de Avrupa’daki GDPR (General Data Protection Regulation) kapsamında sıkı kurallara tabidir.
Bu yazıda, yurtdışına veri aktarımının yasal dayanağını, KVKK ve GDPR arasındaki farkları ve kurumların nelere dikkat etmesi gerektiğini anlatıyoruz.
Yurtdışına Veri Aktarımı Nedir?
Kişisel verilerin Türkiye dışındaki bir ülkeye aktarılmasıdır.
Bu aktarım:
- Bulut tabanlı sistemlerin (ör. Microsoft 365, Google Drive, AWS) kullanılması,
- Yedekleme sistemlerinin yabancı veri merkezlerinde tutulması,
- Yabancı tedarikçilerle paylaşım yapılması,
- Uluslararası şirket içi veri akışları,
gibi birçok durumda gerçekleşebilir.
Kısacası; veri fiziksel olarak Türkiye’de kalsa bile, yurtdışındaki bir sistem üzerinden erişim sağlanıyorsa aktarım sayılır.
KVKK’ya Göre Yurtdışına Veri Aktarımı
6698 sayılı Kanun’un 9. maddesi, kişisel verilerin yurtdışına aktarımını özel kurallara bağlar.
Kurumlar veriyi yurtdışına aktarırken şu koşullardan birini sağlamak zorundadır:
- Açık rıza alınmış olması,
- Aktarım yapılacak ülkenin KVKK Kurulu tarafından “güvenli ülke” listesinde yer alması,
- Yeterli koruma taahhüdü verilerek Kurul onayının alınması.
KVKK’nın güncel durumu
2025 itibarıyla KVKK Kurulu henüz “güvenli ülkeler listesi” yayımlamamıştır.
Bu nedenle çoğu kurum, taahhütname yöntemi veya açık rıza üzerinden aktarım yapmaktadır.
Ancak “açık rıza” her zaman en güvenli yöntem değildir; çalışan veya müşteri rızası geri çekildiğinde veri aktarımı hukuka aykırı hale gelir.
GDPR’a Göre Yurtdışına Veri Aktarımı
GDPR, Avrupa Birliği sınırları dışına veri aktarımında daha detaylı bir yapı tanımlar.
Başlıca aktarım yöntemleri:
- Adequacy Decision (Yeterlilik Kararı): AB Komisyonu, bazı ülkeleri “güvenli ülke” olarak tanımlar.
- Standard Contractual Clauses (SCC): Standart veri aktarım sözleşmeleri kullanılır.
- Binding Corporate Rules (BCR): Uluslararası şirketler için grup içi veri aktarım kurallarıdır.
Yani GDPR, KVKK’ya göre daha esnek ama daha kapsamlı bir mekanizmaya sahiptir.
KVKK ve GDPR Arasındaki Temel Farklar
| Kriter | KVKK | GDPR | |---------|------|-------| | Yasal Dayanak | 6698 sayılı Kanun, Madde 9 | AB GDPR Madde 44-49 | | Güvenli Ülke Listesi | Henüz yayımlanmadı | Avrupa Komisyonu tarafından belirleniyor | | Sözleşme Şablonları (SCC) | Henüz resmi olarak yayınlanmadı | Standart sözleşmeler mevcut | | Kurul Onayı | Zorunlu (taahhütname yöntemiyle) | Her durumda zorunlu değil | | Yaptırımlar | 68.000 TL – 13.620.000 TL arası idari para cezası | Yıllık cironun %4’üne kadar ceza | | Esneklik Seviyesi | Daha kısıtlayıcı | Daha esnek, risk temelli yaklaşım |
Kurumlar İçin En Uygun Yaklaşım
Türkiye’de faaliyet gösteren kurumlar için önerilen yaklaşım:
- Veri Envanteri Güncellemesi
- Hangi kişisel verilerin yurtdışına aktarıldığını net biçimde belirleyin.
- Sözleşme ve Taahhüt Düzenlemeleri
- Yabancı tedarikçilerle yapılan sözleşmelere veri koruma hükümleri ekleyin.
- Teknik ve İdari Tedbirler
- Veriler şifrelenmeli (ör. AES-256), aktarım TLS 1.3 ile yapılmalı, erişimler loglanmalıdır.
- Açık Rıza ve Aydınlatma Süreçleri
- Kişisel verilerin yurtdışına aktarılacağı açıkça belirtilmelidir.
- Danışman ve Hukuk Desteği
- Süreç hem teknik hem hukuki olduğu için, deneyimli KVKK danışmanı ve avukat iş birliğiyle yürütülmelidir.
Uyum Sağlamamanın Riskleri
- KVKK’ya göre bildirim yapılmadan veri aktarımı tespit edilirse,
204.000 TL – 13.620.000 TL arası idari para cezası uygulanabilir. - GDPR kapsamında ise bu ceza şirket cirosunun %4’üne kadar çıkabilir.
- Ayrıca kamuoyuna duyuru yapılması zorunlu hale gelebilir, bu da itibar kaybına yol açar.
Sonuç
Yurtdışına veri aktarımı, artık yalnızca global şirketlerin değil, bulut tabanlı çalışan her kurumun gündeminde.
Doğru teknik önlemler, açık rıza yönetimi ve hukuki sözleşmelerle bu süreç yasal hale getirilebilir.
Unutmayın: Veri aktarımı risk değildir — kontrolsüz aktarım risktir.
💬 KVKK ve GDPR uyumlu veri aktarım süreci kurmak için profesyonel destek almak isterseniz bizimle iletişime geçebilirsiniz.
İlgili Yazılar
- KVKK Nedir, Sadece VERBİS’e Kayıt Olmak Yeterli mi?
- Kişisel Veri İhlalinde Ne Yapılmalı? Bildirim Süreci ve Cezalar
- KVKK Uyum Sürecinin Maliyeti Nedir?
#KVKK #GDPR #VeriAktarımı #YurtdışınaVeriAktarımı #KişiselVeriler #VeriKoruma #KVKKDanışmanlık #VERBIS #SiberGüvenlik #BGYS