← Önceki Madde [8]
[10] Sonraki Madde →
RESMİ METİN

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (Değişik:2/3/2024-7499/34 md.) (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. (3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar. c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir. (6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. (7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz. (8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır. (9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, 6698 sayılı Kanun'un ilk kabul edildiği 2016 yılından itibaren Türkiye'deki bulut bilişim, e-posta, SaaS (yazılım servisleri) altyapılarını fiilen hukuka aykırı duruma düşüren ve 1 Haziran 2024 tarihinde yürürlüğe giren 7499 sayılı Kanun reformuyla baştan aşağı tamamen yeniden yazılan yurt dışına veri aktarımı rejimini düzenleyen en kritik ve radikal usul normudur.

Eski rejim, rızasız aktarım için "yeterli koruma bulunan ülkelerin ilanı" (8 yıl boyunca tek bir ülke dahi ilan edilememiştir) veya "yazılı taahhütname alarak Kuruldan izin alınması" (neredeyse hiçbir izin çıkmamıştır) gibi pratikte tamamen ölü doğmuş iki yönteme dayanıyordu. Bu durum Türkiye'deki tüm şirketlerin meşru olarak kullandıkları Office 365, Google Workspace, AWS, Salesforce gibi küresel bulut hizmetlerini fiilen hukuka aykırı kılıyordu. Yeni Madde 9; Avrupa Birliği'nin GDPR (m. 44-49) standartlarını birebir Türkiye'ye ithal ederek, 3 aşamalı son derece modern, dinamik ve uygulanabilir bir sınır ötesi veri akışı (cross-border data flow) mekanizması kurmuştur.

2. Maddedeki Kavramların Analizi

Yeni rejim, hiyerarşik olarak birbirini takip eden 3 yasal aşamadan oluşur:

  • 1. AŞAMA: Yeterlilik Kararı (Adequacy Decision) (m. 9/1-2-3): Kurulun, verilerin aktarılacağı yabancı ülkenin, o ülkedeki belirli bir sektörün (örn: bankacılık sektörü) veya uluslararası kuruluşun "güvenli veri limanı" olduğunu resen karara bağlamasıdır. Bu karar varsa, m. 5 ve 6'daki işleme şartlarından biriyle veri yurt dışına serbestçe (rıza aramaksızın) aktarılabilir. Karşılıklılık, bağımsız otorite varlığı gibi kriterler dikkate alınır.
  • 2. AŞAMA: Uygun Güvenceler (Appropriate Safeguards) (m. 9/4): Yeterlilik kararı yoksa (ki Türkiye henüz bir ülkeye yeterlilik kararı vermemiştir), veri sorumluları şu 4 güvenceden birini sağlayarak aktarım yapabilir:
    1. Uluslararası Protokoller: İki ülke kamu kurumları arası sözleşme dışı anlaşma + Kurul izni.
    2. Bağlayıcı Şirket Kuralları (BCR): Çok uluslu holding gruplarının kendi iç veri aktarım kurallarını Kurula onaylatması.
    3. Standart Sözleşmeler (Standard Contractual Clauses - SCC) (m. 9/4-c): Kurulun yayımladığı matbu sözleşmelerin taraflarca (veri sorumlusu ve yurt dışındaki veri alıcısı) imzalanmasıdır. En pratik ve yaygın yöntemdir.
    4. Yazılı Taahhütname: Yeterli koruma taahhüdü + Kurul izni.
  • Standart Sözleşmelerde 5 İş Günlük Bildirim Zorunluluğu (m. 9/5): Yeni yasanın en sert ve takip gerektiren kuralıdır. İmzalanan standart sözleşmeler, imzalandığı tarihten itibaren 5 iş günü içinde Kuruma bildirilmek (gönderilmek) zorundadır. Göndermeyen veri sorumluları veya veri işleyenler hakkında m. 18 uyarınca 50.000 TL ila 1.000.000 TL (2026 yılı yeniden değerleme oranlarıyla en az 99.339 TL) idari para cezası kesilir.
  • 3. AŞAMA: Arızi Haller (Derogations/Exceptions) (m. 9/6): Yeterlilik kararı ve uygun güvence yoksa, sadece geçici, arızi ve tek seferlik olmak şartıyla şu durumlarda aktarım yapılabilir:
    • Risk Bildirimli Açık Rıza (m. 9/6-a): İlgili kişiye "verinin gittiği ülkede adli hakların olmayabileceği" gibi riskler anlatılarak alınan rızadır. Sürekli aktarımlar (örn: her gün buluta veri yedeklemek) arızi sayılamayacağı için bu rıza ile yapılamaz.
    • Sözleşme İfası Zorunluluğu (m. 9/6-b-c): Yurt dışındaki bir otel rezervasyonunun yapılması için verilerin oraya gönderilmesi zorunluluğu gibi durumlar arızi aktarım sayılır ve serbesttir.

3. Sistematik İlişkiler

Madde 9; GDPR Article 44-49 hükümleriyle tamamen entegredir. Kanun içinde m. 5-6 (işleme şartları), m. 8 (yurt içi aktarım), m. 12 (veri güvenliği) ve standart sözleşmeyi bildirmeme kabahatini cezalandıran m. 18/1-d hükümleriyle doğrudan bir usul zinciri kurar.

4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı

1 Haziran 2024 sonrasında yayımlanan "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik" ve Kurulun yayımladığı 4 farklı Standart Sözleşme şablonu (Veri Sorumlusundan Veri Sorumlusuna, Veri Sorumlusundan Veri İşleyene vb.) uygulamanın ana rehberidir. Kurul kararlarında, şirketlerin yurt dışı bulut entegrasyonlarını (örn: Google Drive veya Salesforce kullanımı) yasallaştırmak için bu standart sözleşmeleri imzalayıp 5 gün içinde Kuruma bildirmesi süreçleri titizlikle denetlenmektedir. Süreyi kaçıran veya bildirim yapmayan şirketlere m. 18/1-d uyarınca cezalar yağdırılmaktadır.

5. Pratik Örnek Olaylar

Örnek (Standart Sözleşme ve Ceza Süreci): Türkiye'deki A Şirketi, müşteri verilerini yurt dışındaki Amazon Web Services (AWS) bulut sunucularında barındırmak istemektedir. AWS veri işleyendir. A Şirketi, AWS ile Kurulun yayımladığı "Veri Sorumlusundan Veri İşleyene Yurt Dışı Standart Sözleşmesi"ni 10 Mart tarihinde karşılıklı olarak imzalamıştır. A Şirketi, bu sözleşmeyi en geç 17 Mart (5 iş günü sonu, hafta sonu hariç) tarihine kadar KVK Kurumu'na resmi olarak (KEP veya elden dilekçeyle) bildirmek zorundadır. Şirket bu bildirimi Nisan ayında yaparsa veya hiç yapmazsa, Kurulca Madde 18 uyarınca en az 99.339 TL idari para cezasına çarptırılır.

6. Pratik Uygulama Notları

  • Standart Sözleşme Metnine Dokunmayın: Kurul tarafından ilan edilen standart sözleşme şablonlarının içeriğinde, maddelerinde, eklerinde hiçbir değişiklik, çıkarma veya daraltma yapılamaz. Sözleşmeler sadece boş bırakılan kısımlar (tarafların unvanları, veri kategorileri, teknik tedbirler listesi) doldurularak ıslak imzalı veya güvenli elektronik imzalı olarak Kuruma sunulmalıdır. Metinde yapılacak en ufak bir modifikasyon, bildirimin reddedilmesine ve sürenin kaçırılarak ceza yenmesine yol açabilir.

7. Eleştirel Değerlendirme

  • 5 İş Günlük Bildirim Süresinin Aşırı Kısalığı: Kanunun 5. fıkrasında yer alan standart sözleşmelerin "beş iş günü içinde" bildirilmesi zorunluluğu, küresel şirketler ve holding yapıları için ciddi bir bürokratik tıkanıklık yaratmaktadır. Küresel devlerin (örn: Microsoft, Google) Türkiye'deki tek bir limited şirketin talebiyle standart sözleşmeleri 5 gün içinde imzalayıp geri göndermesi operasyonel olarak çok zordur. Bildirim yükümlülüğünün "aktarım faaliyeti başlamadan önce veya her halükarda imza tarihini izleyen 30 gün içinde" şeklinde daha esnek ve rasyonel bir süreye çekilmesi, iş dünyasının yasal uyum kalitesini artıracak ve gereksiz idari para cezalarının önünü kesecektir.

Metodolojik Not

Bu akademik yorum ve analiz, sınır ötesi veri akışının yeni yasal mimarisini, 7499 sayılı Kanun ile yapılan tarihi 2024 reformunun yansımalarını, standart sözleşmelerin (SCC) hukuki doğasını ve 5 günlük bildirim süresi yaptırımlarını 6698 sayılı Kanun'un 9. maddesi ve GDPR ilkeleri dairesinde Av. Fethi Güzel'in uluslararası bilişim hukuku uzmanlığıyla tahlil etmektedir.

← Önceki Madde [8]
[10] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.