top of page
Ara

KVKK: Yurt Dışına Veri Aktarımı (2026 Rehberi)

  • Yazarın fotoğrafı: Merih Okuyaz
    Merih Okuyaz
  • 22 Oca
  • 3 dakikada okunur

Bu yazı kimin için?

KVKK yurt dışına aktarım yolları: standart sözleşme, bağlayıcı şirket kuralları, taahhütname + Kurul izni, istisnalar

  • Yurt dışındaki yazılım/hizmetleri (bulut, SaaS) kullanan ekipler

  • Grup şirketleri arasında veri paylaşımı yapan şirketler

  • Türkiye’den yurt dışına müşteri veya çalışan verisi aktaran işletmeler


Kişisel verilerin yurt dışına aktarımında aşağıda belirtilen şekilde aşamalı bir rejim yürürlüğe konulmuştur. Buna göre:


  1. Aktarım yapılacak ülkenin Kişisel Verilerin Korunması Kurulu ("Kurul") tarafından yeterli korumanın bulunduğu ülke olarak ilan edilmiş olması (Kişisel verilerin yurt dışına aktarımında “yeterlilik kararı” en kolay yol olurdu; ancak şu an için ilan edilen bir ülke/kurum bulunmuyor. Bu nedenle aktarım için uygun güvence kurmanız gerekiyor).

  2. Yeterli korumanın bulunmaması durumunda Kanunda düzenlenmiş uygun güvencelerin sağlanması (Standart sözleşme, bağlayıcı şirket kuralları, taahhütname + Kurul izni).

  3. Yeterli korumanın bulunmaması ve Kanunda düzenlenecek uygun güvencelerin sağlanmaması durumunda sınırlı sayıda belirlenmiş istisnai hallerden birinin varlığı (Arızi aktarım; açık rıza, sözleşmenin ifası vb.).


Durum özeti (kısa ve net)

Bugün itibarıyla yeterlilik kararı ilan edilmiş bir ülke/kurum bulunmuyor. Bu nedenle pratikte üç yoldan biri (artı istisnai haller) seçiliyor:

  1. Standart sözleşme (imzadan sonra 5 iş günü içinde bildirim şart),

  2. Bağlayıcı şirket kuralları (grup içi sürekli aktarım için),

  3. Taahhütname + Kurul izni (esnek ama onay gerektirir),

  4. İstisnai haller (tekil/arızi aktarımlar; açık rıza vb.).


Hangi yolu seçeceğinizi nasıl belirlersiniz?

  • Süreklilik var mı? Düzenli/tekrarlayan aktarımlar için kalıcı bir mekanizma gerekir (standart sözleşme, bağlayıcı kurallar veya taahhütname + izin).

  • Zaman ve maliyet baskısı? Hızlı ve çoğu senaryoya uygun olduğundan standart sözleşme genelde ilk tercih olur.

  • Grup içi karmaşık mimari mi? Çok ülkeli, çok şirketli akışlarda bağlayıcı şirket kuralları daha temiz olabilir (hazırlık/onay süresi uzundur).

  • Tek seferlik mi? İstisnai haller düşünülebilir; ancak kalıcı çözüm değildir.


Yol 1 — Standart Sözleşme (en pratik ve yaygın kullanılan seçenek)

Ne sağlar? Yeterlilik kararı yoksa, taraflar arasında veri güvenliğini sağlayan hükümler ve teknik/idarî tedbirleri yazılı hale getirir; ek bir izin gerekmeden aktarım yapılabilir.

Ne zaman bildirilir? İmzadan itibaren 5 iş günü içinde Kuruma bildirim zorunludur. Bildirim; fizikî, KEP veya Standart Sözleşme Bildirim Modülü üzerinden yapılabilir.

Nasıl ilerler? (3 adım)

  1. Rolleri yazın: Hangi taraf veri sorumlusu, hangisi veri işleyen (ve alt işleyici var mı) açıkça belirtilir.

  2. Sözleşmeyi ve ekleri tamamlayın: Ülkeler, veri kategorileri, amaç, saklama süresi; güvenlik tedbirleri ayrı ek olarak yazılır.

  3. Bildirim yapın: Modül/KEP/fizikî yolla, 5 iş günü kuralına uyarak iletin. (İmza tarihlerini sözleşmede belirtmeyi unutmayın.)

Sık hatalar: Yanlış rol/yanlış şablon, güvenlik ekinin boş kalması, ülke adının yazılmaması, imza ve yetki belgelerinin eksikliği, 5 iş günü süresinin kaçırılması.


Yol 2 — Bağlayıcı Şirket Kuralları (grup içi, sürekli aktarım)

Ne sağlar? Aynı grup içindeki şirketler arasında, farklı ülkelerdeki çok sayıda ve sürekli aktarımlar için tek çerçeve sunar. Kurulun yayımladığı yardımcı kılavuzlar vardır; hazırlık ve onay süreci standart sözleşmeden daha uzundur.

Ne zaman mantıklı? Çok ülkeli/çok şirketli, uzun vadeli ve tekrar eden akışlarda; denetim ve yönetişim yükünü tek belge setine toplamak istediğinizde.


Yol 3 — Taahhütname + Kurul İzni

Ne sağlar? Tarafların yazılı taahhütname ile uygun güvenceleri üstlenmesi ve Kuruldan izin alınması koşuluyla aktarım yapılabilir. Not: Başvuru–değerlendirme–izin süreci zaman alır; her alıcı/akış için ayrı başvuru gerekebilir.


İstisnai haller (tekil/arızi aktarım için)

Süreklilik taşımayan, zorunlu ve sınırlı durumlarda: açık rıza, ilgili kişiyle yapılan sözleşmenin ifası için zorunluluk, hukuki hakların tesisi/kullanılması/korunması, hayati çıkar gibi istisnalar gündeme gelebilir. Bunlar kalıcı aktarım rejimi yerine geçmez; düzenli akışlar için uygun değildir.


Uygulama kontrol listesi


  •  Taraf rolleri (veri sorumlusu / veri işleyen) ve alt işleyici açık yazıldı mı?

  •  Ülke(ler), veri kategorileri, amaç, saklama süresi net mi?

  •  Güvenlik tedbirleri ayrıntılı (erişim, şifreleme, log, denetim) bir şekilde gösterildi mi?

  •  Standart sözleşmeyse, imzadan 5 iş günü içinde bildirim yapıldı mı?

  •  Grup içiyse, bağlayıcı kurallar veya uygun alternatif planlandı mı?

  •  Taahhütname yoluna gidilecekse, izin takvimi ve evrak listesi hazır mı?

  •  İstisna kullanıldıysa, kalıcı mekanizmaya geçiş planlandı mı?


Sık Sorulan Sorular

  1. “Standart sözleşmeyi Kurum onaylıyor mu?”Onay değil, bildirim var. İmzadan sonra 5 iş günü içinde Modül/KEP/fizikî kanaldan bildirirsiniz.

  2. “Neden bağlayıcı şirket kuralları düşüneyim?”Grup çapında çok ülkeye düzenli aktarım yapıyorsanız tek çerçeveyle yönetim ve denetimi kolaylaştırır.

  3. “Taahhütname + izin uzun sürer mi?”Evet, hazırlık ve Kurul değerlendirmesi nedeniyle süresi standart sözleşmeden uzundur. Her alıcı için ayrı başvuru gerekebilir.


Avukatın rolü

  • Aktarım yöntemlerinin; sıklık, hız, maliyet ve denetim gereksinimleri dikkate alınarak hukuka uygunluk açısından değerlendirilmesi ve bir yol haritasının ortaya konulması.

  • İlgili sözleşme ve eklerin hazırlanması, bildirim süreçlerine ilişkin usulî yönlendirme ve kayıt/denetim dosyasının oluşturulması.

  • Belgelerin ve iç süreçlerin fiilî işleyişle uyumlandırılması; sürdürülebilir ve denetlenebilir bir uyum çerçevesinin tesis edilmesi.

Bu metin bilgilendirme amaçlıdır; hukuki tavsiye veya reklam içermez.

Yorumlar

Bu sitedeki içerikler yalnızca bilgilendirme amaçlıdır ve hiçbir şekilde reklam, teklif veya hukuki tavsiye niteliği taşımaz.

Sitenin Türkçe ve İngilizce bölümleri birbirinden farklılık gösterebilir.

Tüm hakları saklıdır. Okuyaz Hukuk & Danışmanlık Hizmetleri 

bottom of page