Jump to

TIA (Transfer Etki Değerlendirmesi)

Transfer Etki Değerlendirmesi (TIA) nedir?

Transfer Etki Değerlendirmesi (TIA); veri ihracatçısının, kişisel veriyi standart sözleşme hükümleri gibi uygun güvencelere dayanarak üçüncü ülkeye aktarmadan önce yaptığı belgeli analizdir: hedef ülkenin hukuku ve uygulaması — özellikle devletin veriye erişim rejimleri — ithalatçının bu güvenceleri yerine getirmesini engelliyor mu?

Nereden geliyor, ne zaman gerekiyor?

Gereklilik ABAD’ın Schrems II kararıyla billurlaştı: SCC’ler geçerli kalır, ama ancak taraflar bunlara pratikte uyulabileceğini doğrularsa. GDPR’da SCC temelli her aktarım için TIA beklenir ve aynı mantık, KVKK’nın 2024 standart sözleşme rejiminde Türk pratiğini de giderek şekillendiriyor — Kurul’un güvenceleri, ithalatçının bunları fiilen sunabilmesini varsayar. Startup için gündelik tetikleyiciler: müşteri verisini ABD’de barındırılan model API’sinden geçirmek, yabancı bulut veya analitik yığını kullanmak, yabancı ana şirketin destek ekibine üretim erişimi vermek.

Savunulabilir bir TIA neleri içerir?

Kısa ve dürüst tutulmuş beş bölüm. Aktarım haritası: veri kategorileri, amaçlar, alıcılar, sonraki aktarımlar. Dayanılan güvence (SCC modülü, BCR). Hedef ülke hukuku değerlendirmesi: ithalatçının sektörüne uygulanan gözetim ve devlet erişimi rejimleri, kaynaklarıyla. İthalatçının pratik deneyimi: erişim talebi geçmişi, bunlara itiraz edebilme, şeffaflık raporlaması. Ve risk kalıyorsa ek tedbirler — anahtarı ihracatçıda kalan şifreleme, ihracat öncesi takma adlaştırma, bölünmüş işleme. Sonuç bir takdir kararıdır ama belgelenmiş bir takdir — düzenleyicilerin ve kurumsal müşterilerin görmek istediği tam olarak budur.

TIA, KVKK’da kanunen zorunlu mu?

KVKK aracı adıyla anmaz; ama 2024 standart sözleşmeleri tarafları ancak böyle bir analizden sonra anlam kazanan güvencelere bağlar. TIA’yı SCC dosyasının parçası saymak savunulabilir okumadır ve oluşan pratiğe uyar.

Ne sıklıkla güncellenmeli?

Esaslı değişiklikte — yeni alt işleyici, yeni hedef ülke, yeni gözetim kanunu — ve bunun dışında işleme envanterinizle birlikte yıllık döngüde.

İlgili: yurt dışı aktarım, DPIA.