Yurt dışına veri aktarımı, kişisel verinin ulusal sınırların ötesine — örneğin yurt dışındaki bir bulut sağlayıcısına veya grup şirketine — iletilmesidir. Alıcı ülke daha zayıf koruma sunabileceğinden, veri koruma hukuku bu aktarımlara yalnızca belirli güvenceler altında izin verir.
AB GDPR’da aktarımlar yeterlilik kararlarına, Standart Sözleşme Hükümlerine veya bağlayıcı şirket kurallarına dayanır. Türkiye’de 2024’te önemli ölçüde değiştirilen KVKK rejimi, artık aktarımlara yeterlilik kararı, uygun güvenceler (Kurum’a bildirilen standart sözleşmeler dahil) veya belirli istisnalara dayanarak izin vermekte; önceki açık-rıza ağırlıklı modeli değiştirmektedir.
Türkiye’nin 2024 yurt dışı aktarım rejimi
Türkiye, kişisel verilerin yurt dışına aktarımına ilişkin kurallarını 2024’te köklü biçimde değiştirerek GDPR modeline önemli ölçüde yaklaştı. Aktarımlar artık üç yoldan birine dayanabilir: (i) hedef ülke, sektör veya uluslararası kuruluş için bir yeterlilik kararı; (ii) standart sözleşme hükümleri, bağlayıcı şirket kuralları veya Kurul onaylı yazılı taahhütnameler gibi uygun güvenceler; ya da (iii) ilgili kişinin belirli bir aktarıma açık rızası dâhil olmak üzere dar kapsamlı, somut olaya özgü istisnalar. Bu düzenleme, uygulamada çoğu aktaranı açık rızaya veya alınması güç taahhütnamelere zorlayan eski çerçevenin yerini aldı. Yurt dışına veri gönderen kuruluşlar veri akışlarını haritalamalı, her biri için doğru mekanizmayı seçip belgelemeli ve standart sözleşme hükümlerini öngörülen süre içinde Kurum’a bildirmelidir.
Sık gözden kaçan iki ayrıntı: standart sözleşmenin Kurul’a bildirimi (beş iş günü) idari para cezası yaptırımına bağlıdır ve aynı veri akışına GDPR de uygulanıyorsa AB standart sözleşme maddeleri ile KVKK standart sözleşmesi yan yana yaşar — iki belge tek akış için birlikte yürütülmelidir. Türk hedef şirketlerde aktarım evrakı örneklemesi artık standart due diligence adımıdır.