Türk kişisel verilerin korunması hukuku, 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) yürürlüğe girmesinden bu yana en köklü değişimini 12 Mart 2024 tarihli Resmi Gazete'de yayımlanan 7499 sayılı Kanun ile yaşamıştır. 12 Mart 2024 tarihinde yayımlanan 7499 sayılı kanun KVKK değişikliği, özellikle KVKK yurt dışı veri aktarımı 2026 uygulama standartlarını tamamen yeni bir zemine taşımıştır. Bu reformun temel motivasyonu, Türk mevzuatını Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu hale getirerek, küresel veri ekonomisinde Türkiye'nin yerini sağlamlaştırmaktır.
Özellikle yurt dışına veri aktarımı rejimini düzenleyen 9. maddede yapılan değişiklikler, bugüne kadar uygulamanın önündeki en büyük engel olan “güvenli ülke listesinin ilan edilmemesi” sorununa yapısal bir çözüm getirmiştir. Bu makalede, KVKK m. 9'un yeni mimarisi, yeterlilik kararı ve uygun güvence mekanizmaları ile uygulama hayatına yeni giren Standart Sözleşmelerin (SCC) hukuki rejimi incelenecektir.
I. 7499 Sayılı Kanun KVKK Değişikliği: Yurt Dışına Veri Aktarımı
KVKK'nın eski metninde yurt dışına veri aktarımı; ya ilgili kişinin açık rızasına ya da yeterli korumanın bulunduğu ülkelere (yeterlilik kararı) veya taahhütname/kurumsal kurallar gibi sınırlı güvencelere dayandırılmaktaydı. Ancak Kişisel Verileri Koruma Kurulu'nun (Kurul) sekiz yıl boyunca hiçbir ülkeyi “güvenli” olarak ilan etmemesi, şirketleri hukuken kırılgan ve sürdürülemez bir yöntem olan “açık rıza” mekanizmasına hapsetmiştir.1 Doktrinde haklı olarak eleştirilen bu durum, açık rızanın her an geri alınabilir olması nedeniyle ticari hayatın sürekliliğini tehdit etmekteydi.2
7499 sayılı Kanun ile getirilen yeni sistem, GDPR'ın 44-49. maddeleri arasındaki hiyerarşik yapıyı benimsemiştir. Artık veri aktarımı üç aşamalı bir süzgeçten geçmektedir:
- Yeterlilik Kararı (KVKK m. 9/1): Kurul tarafından belirli bir ülke, sektör veya uluslararası kuruluş için verilen karardır.
- Uygun Güvenceler (KVKK m. 9/2): Yeterlilik kararının bulunmadığı hallerde; Standart Sözleşmeler, Bağlayıcı Şirket Kuralları veya Taahhütnameler ile sağlanan güvencedir.
- Arizi Haller (KVKK m. 9/6): Süreklilik arz etmeyen, tek seferlik durumlar için öngörülen istisnai hallerdir.
II. KVKK m. 9 Yeterlilik Kararı ve Uygun Güvence Mekanizmaları
Yeni düzenlemede Kurul, yeterlilik kararı verirken sadece o ülkenin mevzuatına değil, aynı zamanda veri koruma otoritesinin varlığına, uluslararası sözleşmelere taraf olup olmadığına ve mütekabiliyet (karşılıklılık) esasına bakacaktır. Bu noktada en önemli yenilik, kararın sadece “ülke” bazlı değil, belirli bir “sektör” (örneğin sadece finans veya sağlık sektörü) veya “uluslararası kuruluş” bazlı da verilebilecek olmasıdır.3 Bu esneklik, Türkiye'nin belirli ekonomik bölgelerle (örneğin AB veya ABD ile sınırlı sektörlerde) daha hızlı veri trafiği kurmasına olanak tanıyacaktır.
Kurul, yeterlilik kararını en geç dört yılda bir gözden geçirecek ve şartların değişmesi durumunda bu kararı askıya alabilecek veya iptal edebilecektir. Bu durum, veri sorumluları için “sürekli izleme” (monitoring) yükümlülüğünü de beraberinde getirmektedir.
III. Standart Sözleşmeler (SCC) ve Bildirim Yükümlülüğü
Yeni rejimin en işlevsel aracı kuşkusuz Standart Sözleşmelerdir. Kurul, 10 Temmuz 2024 tarihli yönetmelik ile dört farklı aktarım senaryosu için standart metinler yayımlamıştır:
- Veri sorumlusundan veri sorumlusuna,
- Veri sorumlusundan veri işleyene,
- Veri işleyenden veri işleyene,
- Veri işleyenden veri sorumlusuna.4
Bu metinler üzerinde tarafların herhangi bir değişiklik yapma yetkisi bulunmamaktadır (harici hükümler eklenebilir ancak standart maddelerle çelişemez). GDPR uygulamasından farklı olarak, Türk hukukunda bu sözleşmelerin imzalanmasından itibaren beş iş günü içerisinde Kurul'a bildirilmesi zorunluluğu getirilmiştir.5 Bu bildirim bir “onay” süreci değildir; ancak bildirim yükümlülüğünün yerine getirilmemesi, veri aktarımını hukuka aykırı hale getirmemekle birlikte, ağır idari para cezalarını tetikleyen bağımsız bir kabahattir.
IV. Bağlayıcı Şirket Kuralları (BCR) ve Diğer Güvenceler
Çok uluslu şirket grupları için öngörülen Bağlayıcı Şirket Kuralları (BCR), grup içi veri akışını tek bir global politika ile yasallaştırmayı hedefler. GDPR m. 47 ile paralel düzenlenen bu mekanizma, Kurul'un onayına tabidir. 7499 sayılı Kanun sonrası yayımlanan yönetmelik, BCR başvuru süreçlerini daha net kurallara bağlamıştır.6 Ayrıca, kamu kurumları arasındaki veri aktarımları için “kamu otoriteleri arasındaki idari düzenlemeler” de uygun bir güvence olarak sisteme dahil edilmiştir.
V. Arizi Hallerde Aktarım (İstisnalar)
Yeterlilik kararının veya uygun güvencelerin bulunmadığı, ancak veri aktarımının zorunlu olduğu durumlarda m. 9/6 devreye girer. Bu maddede sayılan durumlar (ilgili kişinin açık rızası, sözleşmenin ifası için zorunluluk, üstün kamu yararı vb.) sadece “arizi” yani süreklilik arz etmeyen aktarımlar için kullanılabilir.7 Doktrinde “arizi” kavramı, genellikle yılda bir veya birkaç kez yapılan, düzenli bir veri akışı içermeyen işlemler olarak yorumlanmaktadır.8 Dolayısıyla, bir şirketin her gün yaptığı müşteri verisi aktarımı için “açık rıza” gibi bir arizi hale dayanması artık mümkün olmayacaktır.
VI. Uygulama Süreci ve Geçiş Hükümleri
7499 sayılı Kanun ile getirilen bu yeni rejim için 1 Eylül 2024 tarihine kadar bir geçiş süreci tanınmıştır. Bu tarihe kadar, eski sistemdeki açık rıza mekanizması yürürlükte kalmış; ancak bu tarihten sonra şirketlerin tüm aktarım süreçlerini yeni m. 9 hükümlerine (yeterlilik kararı veya SCC gibi güvenceler) taşıması zorunlu hale gelmiştir.9
Sonuç
KVKK m. 9 reformu, Türk hukukunu dijital çağın gerekliliklerine ve GDPR standartlarına yaklaştıran devrimsel bir adımdır. Standart sözleşmelerin bir “uygun güvence” olarak tanınması, sekiz yıllık “açık rıza” kördüğümünü çözmüştür. Ancak bu yeni özgürlük, beraberinde sıkı bir uyum (compliance) sorumluluğu getirmektedir. Beş günlük bildirim süreleri, doğru standart metnin seçilmesi ve “arizi hallerin” suistimal edilmemesi, şirket avukatlarının ve veri koruma görevlilerinin en öncelikli gündemi olmalıdır. Türkiye'nin gelecekte Avrupa Komisyonu'ndan bir “yeterlilik kararı” alabilmesi için, bu yeni mekanizmaların sahada ne kadar titizlikle uygulandığı belirleyici kriter olacaktır.
Şirketlerin, Standart Sözleşme SCC bildirim süresi gibi usuli şartlara riayet etmesi, 7499 sayılı düzenleme ile gelen yeni rejime uyumun en kritik parçasıdır.
Footnotes
1. Mesut Serdar Çekin, Kişisel Verilerin Korunması Hukuku (2. baskı, Onikilevha 2022) 215.
2. Elif Küzeci, Kişisel Verilerin Korunması (3. baskı, Turhan Kitabevi 2019) 158.
3. 6698 sayılı Kişisel Verilerin Korunması Kanunu, m 9/3 (7499 sayılı Kanun ile değişik).https://mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
4. Kişisel Verileri Koruma Kurumu, ‘Standart Sözleşme Formları' (10 Temmuz 2024) https://kvkk.gov.tr/ erişim 18 Şubat 2026.
5. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, m 14.
6. Yönetmelik (n 5) m 13.
7. 6698 sayılı Kanun, m 9/6.
8. Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku (2. baskı, Hukuk Akademisi 2020) 345.
9. 7499 sayılı Kanun, m 17 (Geçici Madde 3). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=7499&MevzuatTur=1&MevzuatTertip=5
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]