AC
Anasayfa Makaleler

نقل البيانات في الخارج (السحابة، SaaS): حلول غير كافية للدولة وBCR

TL;DR

KVKK m.9 yurt dışı aktarımda "yeterli koruma" şartı; Türkiye listesi sınırlı, çoğu sağlayıcı için Standart Sözleşme veya açık rıza.

15 Şubat 2026 3 dk okuma 7 görüntülenme Son güncelleme: 9 Mayıs 2026

تنص المادة 9 من KVKK على "الحماية الكافية" في نقل البيانات الدولية. لا تزال قائمة "الدول المؤهلة" في تركيا محدودة للغاية؛ بالنسبة إلى معظم موفري الخدمات السحابية، يعد العقد القياسي (TR-SCC) أو الموافقة الصريحة هو الخيار الوحيد.

المادة 9 من KVKK — قاعدة النقل الدولي

  • موافقة صريحة من مالك البيانات، أو
  • البلد الذي يوفر الحماية الكافية (يعلن KVKK)، أو
  • إذا كانت الدولة غير كافية: تعهد كتابي بين مراقب البيانات + المستلم + إذن KVKK.

قائمة الدول المناسبة (حتى 2025)

لم تنشر KVKK القائمة الرسمية بعد. ومن الناحية العملية، يلزم تقديم خطاب تعهد منفصل + إذن KVKK لكل عملية نقل.

السيناريوهات الشائعة

  • AWS، وAzure، وGCP: البيانات في مراكز بيانات الولايات المتحدة/الاتحاد الأوروبي - في الخارج.
  • Salesforce، HubSpot: SaaS ومقرها الولايات المتحدة - في الخارج.
  • Google Workspace، M365: البيانات عالمية - في الخارج.
  • Stripe، PayPal: معالج الدفع — تنظيم مالي أجنبي + إضافي.

3 حلول

<يكون>
  • موافقة صريحة: موافقة منفصلة من كل مالك بيانات (عملي إذا كان عدد المستخدمين صغيرًا).
  • العقد القياسي (TR-SCC): نموذج نص KVKK + توقيع الموفر + لا تنتظر إذن KVKK. متوسط المدة 4-6 أشهر.
  • BCR (قواعد الشركة الملزمة): للنقل متعدد الجنسيات داخل المجموعة؛ موافقة KVKK + إطار الامتثال العالمي. المدة: 12-18 شهرًا.

    • ال��سئلة الشائعة

    توجد منطقة AWS Türkiye؛ فهل هذا يكفي؟

    توفر منطقة إسطنبول AWS تخزينًا محليًا للبيانات؛ ولكن يمكن أن تذهب النسخة الاحتياطية إلى فرانكفورت أو دبلن. يجب تحديد "مقر البيانات" بوضوح في العقد + التكوين الفني.

    من الصعب جدًا الحصول على موافقة العملاء الأفراد؛ البديل؟

    العقد القياسي + إذن KVKK. عينة من نص EU SCC ترجمة تركية + تطبيق على متن الطائرة مع التحسينات المحلية. يأتي إذن KVKK في غضون 4-6 أشهر.

    نحن نستخدم Google Analytics؛ مشكلة؟

    في أوروبا، أصدرت بعض اتفاقيات حماية البيانات (DPA) تحذيرات بشأن GA4 (بعد Schrems II). بالنسبة إلى تركيا: وضع الاستخدام المجهول + إخفاء هوية IP + يوصى بالاتفاقية القياسية. البديل: معقول، ماتومو (على الخادم الخاص).

    هل تم تطبيق Schrems II في تركيا؟

    ليس بشكل مباشر؛ لكن KVKK تأخذها كمثال. وقد انعكس قانون CLOUD ومخاطر FISA 702 في النقل إلى الولايات المتحدة الأمريكية في قرارات مجلس الإدارة. يوصى بالأمان الإضافي (التشفير أثناء عدم النشاط، وإدارة المفاتيح في تركيا).

    إذا تم الانتهاك، لأي جهة؟

    إذا تأثر مالك البيانات التركي، KVKK؛ إذا تأثر أحد أصحاب البيانات في الاتحاد الأوروبي، فإن DPA ذي الصلة في الاتحاد الأوروبي. تتطلب معظم الانتهاكات إخطارًا موازيًا؛ تعمل كلا المؤسستين بشكل مستقل.

    التشريعات ذات الصلة

    • رقم KVKK. 6698 المادة 12 - التزام أمن البيانات؛ إشعار بالمخالفة (المادة 12/5).
    • رقم KVKK. 6698 مادة 14 — الحق في التعويض.
    • رقم KVKK. 6698 المادة 18 — غرامة إدارية (تصل إلى 5 مليون ليرة تركية).
    • المادة الخاصة باللائحة العامة لحماية البيانات. 33-34 — إشعار انتهاك لمدة 72 ساعة بشأن النقل عبر حدود الاتحاد الأوروبي.
    • TCK art.135-136 — التسجيل/النشر غير القانوني للبيانات الشخصية.
    إشعار قانوني: هذه المقالة لأغراض المعلومات العامة؛ مطلوب لقاء مع محام لقضية محددة. تتشكل الفترات والمعدلات والتطبيق من خلال الفقه. تحقق من التشريع الحالي قبل التقديم.

    Kaynaklar ve referanslar

    Kaynaklar

    Yurt Dışına Veri Aktarımı (Cloud, SaaS): Yetersiz Ülke ve BCR Çözümleri içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

    Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

    Hukuki destek arıyorsanız

    Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

    Görüşme Planla