Kişisel Verilerin Yurt Dışına Aktarımı ve Doğrudan Elde Edilmesi: Avrupa Birliği ve Türk Hukuku Çerçevesinde Bir Değerlendirme
Giriş
Küreselleşen dünya ekonomisi, dijitalleşmenin hız kazanması, uluslararası şirket yapılanmalarının yaygınlaşması ve teknolojik araçların iş süreçlerine giderek daha fazla entegre olması neticesinde, kişisel verilerin sınır ötesi dolaşımı kaçınılmaz ve süreklilik arz eden bir olgu haline geldi. Bununla birlikte, kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar, yalnızca veri koruma hukukunun bir teknik alt başlığı olarak değerlendirilmemelidir. Aksine, kişisel verilerin yurt dışına aktarımına ilişkin öngörülen bu kuralların niteliği; ülke ekonomilerinin büyümesi, yatırım ortamı, uluslararası ticaretin akışı, dijital pazarlardaki rekabet gücü bakımından kritik ve stratejik bir unsurdur. Zira, kişisel verilerin ticari amaçlarla kullanımı, dijital ticaretin gelişimini desteklemekte ve ekonomik büyümeye katkı sağlamaktadır.[1]
Nitekim, sınır ötesi veri akışının doğurduğu bu ihtiyaçlara cevap vermek amacıyla, 12 Mart 2024 tarihli Resmî Gazete’de yayımlanan 7499 sayılı Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), kişisel verilerin yurt dışına aktarımı da dahil olmak üzere çeşitli alanlarda önemli değişiklikler[2] (“Kanun Değişikliği”) yapılarak; bu değişikliklerle, Avrupa Birliği’nin (“AB”) 2016/679 sayılı Genel Veri Koruma Tüzüğü’nde (“GVKT”) yer alan yurt dışına aktarım rejimine büyük ölçüde paralel bir sistem getirildi. Zira, Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ocak 2025’de yayımlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi[3] (“Rehber”) kapsamında belirtildiği üzere, 7499 sayılı Kanun’un hazırlanmasına esas teşkil eden genel gerekçede, GVKT’nin yürürlüğe girmesinin ardından Kanun’un GVKT ile uyumlu hale getirilmesi hedefinin çeşitli eylem planlarında yer aldığı ve bu doğrultuda, Kanun değişikliği kapsamında öncelikli ihtiyaç duyulan alanlardan biri olarak kişisel verilerin yurt dışına aktarımına ilişkin hükümlerin değiştirildiği ifade edilmiştir.
Öte yandan, yabancılık unsuru içeren her veri akışının otomatik olarak kişisel verilerin yurt dışına aktarılması şeklinde nitelendirilmesi mümkün değildir. Özellikle, yabancı ülkede yerleşik bir veri sorumlusunun Türkiye’deki ilgili kişinin kişisel verilerini doğrudan elde ettiği hallerde, bunun bir yurt dışına aktarım teşkil etmediğinin altı çizilmelidir. Bununla birlikte, uygulamada yabancılık unsuru taşıyan birçok veri işleme faaliyetinin, doğrudan yurt dışına aktarım kapsamında ele alındığı ve kişisel verilerin doğrudan toplanması ile yurt dışına aktarılmasına ilişkin ayrımın çoğu zaman isabetli bir şekilde yapılamadığı görülmektedir.
Bu makalede, uygulamada sıklıkla birbirine karıştırılabilen kişisel verilerin yurt dışına aktarımı ile doğrudan elde edilmesi kavramları, Türk mevzuatı ve Avrupa Birliği düzenlemeleri çerçevesinde ele alınacaktır.
GVKT ve Kanun Çerçevesinde Kişisel Verilerin Yurt Dışına Aktarımına İlişkin Hukuki Çerçeve
Kanun Değişikliği kapsamında kişisel verilerin yurt dışına aktarımına ilişkin öngörülen usul ve esaslar, GVKT’de benimsenen kademeli sistematiğe paralel olarak Kanun’un 9’uncu maddesinde düzenlenmekte; yurt dışı aktarımına ilişkin ayrıntılı hükümler ise Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik[4] (“Yönetmelik”) çerçevesinde ortaya konulmaktadır.
Kişisel verilerin yurt dışına aktarılması, Yönetmelik’in 4(1)-e) maddesi uyarınca “Kişisel verilerin 6698 sayılı Kanun kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hale getirilmesi” olarak tanımlanmaktadır. Yönetmelik’te yer alan bu tanıma ilişkin açıklamalar Rehber’de ortaya konulmuş, bu suretle söz konusu kavramın kapsamı açıklığa kavuşturulmuş ve aktarım kavramı geniş yorumlanmıştır.
Rehber’de kişisel verilerin yurt dışına aktarımından söz edilebilmesi için üç unsurun birlikte bulunması gerektiği ifade edilmektedir: (i) veri aktarının ilgili kişisel veri işleme faaliyeti bakımından Kanun’a tabi olması, (ii) veri aktaran tarafından işlenen kişisel verilerin iletilmesi veya başka bir suretle erişilebilir hale getirilmesi ve (iii) veri aktarılan veri sorumlusu ya da veri işleyenin, Kanun’a tabi olup olmadığından bağımsız olarak, üçüncü bir ülkede bulunması. Buna ilave olarak Rehber’de, veri aktarımı sayılabilecek hallere ilişkin daha somut örneklere de yer verilmiştir. Bu kapsamda Rehber uyarınca Türkiye’de bulunan sistemler açısından hesap oluşturulması, mevcut bir hesaba erişim hakkı tanınması, uzaktan erişime yönelik geçerli bir talebin onaylanması veya kabul edilmesi, sabit sürücünün yerleştirilmesi ya da bir dosyaya ilişkin şifrenin paylaşılması gibi işlemler ile kişisel verilerin yalnızca ekranda görüntülenmesi suretiyle gerçekleşse dahi üçüncü bir ülkeden Türkiye’de bulunan bir sisteme uzaktan erişim sağlanması kişisel veri aktarımı olarak değerlendirilmektedir.
Kişisel verilerin yurt dışına aktarımı kavramına ilişkin olarak Rehber’de sağlanan geniş kapsamın AB uygulamasında da paralel bir biçimde sağlandığı görülmekte olup Avrupa Birliği Veri Koruma Kurulu’nun (“ABVK”) GDPR’ın 3’üncü maddesinin uygulanması ile GDPR’ın V. Bölümü Uyarınca Uluslararası Aktarımlara İlişkin Hükümler Arasındaki Etkileşim Rehberi[5] (“ABVK Rehberi”) uyarınca da veri aktaranın kişisel verileri AB dışına iletmesi veya söz konusu verileri AB dışında herhangi bir şekilde erişilebilir kılması hallerinin de yurt dışına aktarım olarak değerlendirileceği ifade edilmiştir. Ayrıca, ABVK, kişisel verilerin erişilebilir hale getirilmesi kavramını geniş yorumlamakta; bu kapsamda bilişim desteği veya sorun giderme faaliyetleri sırasında kişisel verilerin yalnızca ekran görüntülenmesiyle sınırlı dahi olsa AB dışından sağlanan uzaktan erişimi bu kavram kapsamında değerlendirdiği görülmektedir. Bu bağlamda, Rehber’de benimsenen yaklaşımın, ABVK kapsamında geliştirilen uygulama ve yorumlarla büyük ölçüde paralellik arz ettiği görülmektedir.
Yukarıda bahsedilen şekli ile bir kişisel veri aktarımından söz etmemiz durumunda hem Türk mevzuatı hem de GVKT açısından kişisel verilerin yurt dışına aktarılmasına ilişkin kurallar uygulama alanı bulacak olup bu durumda aktarımın, Kanun’un 9’uncu maddesi ve GVKT’nin 5’inci bölümünde öngörülen kademeli sistematik çerçevesinde değerlendirilmesi gerekmektedir. Buna göre kişisel veriler, işleme şartlarından birinin mevcut olması kaydıyla, öncelikle Türkiye’den yapılan aktarımlar bakımından Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından; AB’den yapılan aktarımlar bakımından ise Avrupa Komisyonu (“Komisyon”) tarafından ilgili ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında verilmiş bir yeterlilik kararına dayanılarak yurt dışına aktarılabilecektir. Yeterlilik kararının bulunmadığı hâllerde, Türkiye’den yapılacak aktarımlar bakımından ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ve standart sözleşmelerin akdedilmesi veya bağlayıcı şirket kuralları gibi Kanun’un 9’uncu maddesinde öngörülen uygun güvencelerden birinin sağlanması; AB’den yapılacak aktarımlar bakımından ise GVKT’nin 46’ncı ve devamı maddelerinde yer alan uygun güvencelerden birine dayanılması gerekecektir. Bu koşulların da mevcut olmaması hâlinde ise yurt dışına aktarım, ancak Kanun’da sınırlı olarak düzenlenen arızi aktarım hâllerinden birine dayanılarak yapılabilecektir.
GVKT ve Kanun Çerçevesinde Kişisel Verilerin Yurt Dışından Doğrudan Elde Edilmesi ve Yurt Dışına Aktarım Arasındaki Ayrım
Yukarıdaki bölümde belirtildiği üzere, kişisel verilerin yurt dışına aktarımı söz konusu olduğunda, yurt dışına aktarıma ilişkin özel kurallar uygulama alanı bulacak olup bu nedenle, yurt dışına aktarıma benzeyen ancak hukuken bu kapsamda değerlendirilmeyen durumların yurt dışı aktarımından ayırt edilmesi kritik önem taşımaktadır.
Uygulamada, kişisel verilerin doğrudan toplandığı hallerin sıklıkla yurt dışına aktarım olarak nitelendirildiği ve bu doğrultuda yurt dışına aktarıma ilişkin önlemlerin hatalı bir şekilde uygulanmaya çalışıldığı görülmektedir. Fakat Rehber’de, yurt dışında bulunan veri sorumlusu veya veri işleyenlerin kişisel verileri ilgili kişilerden doğrudan elde ettiği hâllerin, Kanun’un 9’uncu maddesi kapsamında yurt dışına veri aktarımı olarak değerlendirilmeyeceği açıkça belirtilmektedir. Örneğin Kurum, Rehber’de yer verilen örneklerde, Türkiye’de bulunan ilgili kişilerin Türkiye pazarını hedefleyen yurt dışındaki bir şirkete ait çevrim içi alışveriş sitesindeki forma ad, soyad ve e-posta adresini doğrudan girmesini, kişisel verilerin doğrudan elde edilmesi kapsamında değerlendirmiş ve bu durumda Kanun’un 9’uncu maddesinde düzenlenen yurt dışına aktarım kurallarının uygulanmayacağını belirtmiştir. Bununla birlikte Rehber’de, verileri doğrudan elde eden tarafın söz konusu verileri Türkiye dışında bulunan bir veri işleyene iletmesi hâlinde, bu işlemin Kanun kapsamında yurt dışına veri aktarımı olarak değerlendirileceği ve yurt dışına aktarıma ilişkin kuralların uygulanacağı belirtilmiştir. Dolayısıyla, kişisel verileri doğrudan elde eden Türkiye dışındaki tarafça gerçekleştirilecek sonraki aktarımlar bakımından, Kanun’un 9/4’üncü maddesinde öngörülen uygun güvencelerden birinin sağlanması; örneğin standart sözleşmelerin akdedilmesi veya grup içi aktarımlarda bağlayıcı şirket kurallarının kabul edilmesi gerekecektir.
Kişisel verilerin yurt dışındaki bir veri sorumlusu tarafından doğrudan ilgili kişiden elde edilmesine ilişkin Türk hukukunda benimsenen yaklaşımın, AB hukuku bakımından da karşılık bulduğu görülmektedir. Nitekim ABVK Rehberi’nde, kişisel verilerin ilgili kişiden doğrudan toplandığı hallerin, GVKT’nin 5. Bölümü’nde düzenlenen yurt dışına aktarım kurallarına tabi olmayacağı belirtilmektedir. Bununla birlikte, bu bağlamda veri sorumlusunun, işleme faaliyetleri nerede gerçekleşirse gerçekleşsin GVKT’ye uyum sağlamakla yükümlü olduğu ve söz konusu işleme faaliyetleri bakımından hesap verebilirlik sorumluluğunu sürdürdüğü göz önünde bulundurulmalıdır. Nitekim ABVK Rehber’inde sağlanan çevrimiçi alışveriş örneğinde, İtalya’da yaşayan ilgili kişinin ad, soyad ve posta adresini, AB’de herhangi bir yerleşikliği bulunmamakla birlikte AB pazarını hedefleyen üçüncü ülke şirketine ait internet sitesindeki forma doğrudan girmesi, verilerin bir veri aktaran tarafından iletilmemesi ve üçüncü ülkedeki veri sorumlusu tarafından doğrudan ilgili kişiden elde edilmesi nedeniyle GVKT’nin 5. Bölümü anlamında yurt dışına aktarım teşkil etmemekte; bununla birlikte söz konusu şirketin işleme faaliyetleri GVKT m. 3(2) uyarınca GVKT’nin coğrafi kapsamına girdiğinden, şirket GVKT’ye uyum yükümlülüğünden muaf olmamaktadır.
Sonuç
Sonuç olarak, kişisel verilerin yurt dışına aktarılması ile yurt dışındaki bir veri sorumlusu tarafından doğrudan ilgili kişiden elde edilmesi halleri arasındaki ayrımın doğru yapılması, uygulanacak hukuki mekanizmanın belirlenmesi bakımından büyük önem taşımaktadır. Uygulamada doğrudan elde etme hâllerinin hatalı şekilde yurt dışına aktarım olarak nitelendirilmesi, gerekli olmayan aktarım mekanizmalarına başvurulmasına yol açabilecektir. Bu durum, özellikle standart sözleşmeler bakımından Kurum’a bildirim yükümlülüğünün bulunması nedeniyle, ilave uyum risklerinin doğmasına neden olabilecektir. Bu bağlamda, Türkiye ve Avrupa Birliği düzenleme ve uygulamalarının önemli ölçüde paralellik gösterdiği; her iki yaklaşımda da kişisel verilerin ilgili kişilerden doğrudan yurt dışında bulunan veri sorumluları tarafından elde edildiği hâllerin, benzer ölçütler çerçevesinde yurt dışına veri aktarımı olarak değerlendirilmediği, ancak bu durumun ilgili veri sorumlusunun uygulanabilir veri koruma mevzuatından doğan yükümlülüklerini ortadan kaldırmadığı görülmektedir.
- Yakovleva, S. “Personal Data Transfers in International Trade and EU Law: A Tale of Two “Necessities”, Journal of World Investment & Trade (2020) 1-39, s.2-3.
- 6698 sayılı Kişisel Verilerin Korunmasına yönelik hükümler de içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır. Kişisel verilerin yurt dışına aktarımına ilişkin yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiş olup; kişisel verilerin yurt dışına aktarılmasın ilişkin usul ve esasları düzenleyen madde 9’un mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 01.09.2024 tarihine kadar uygulanmaya devam etmiştir.
- Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Yurt Dışına Aktarılması Rehberi (Erişim Tarihi 20.04.2026).
- Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete (Erişim Tarihi: 20.04.2026).
- Avrupa Birliği Veri Koruma Kurulu, Guidelines 05/2021 on the Interplay Between the Application of Article 3 and the Provisions on International Transfers as per Chapter V of the GDPR. (Erişim Tarihi: 20.04.2026)
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.