KVKK Yurt Dışına Veri Aktarımı (KVKK m.9): SCC ve Yeterlilik

KVKK m.9, kişisel verilerin yurt dışına aktarımını sıkı koşullara bağlar. Bulut hizmetleri (Microsoft, Google, AWS) bu konuyu kritik kılar.

Aktarım Koşulları (KVKK m.9)

• İlgili kişinin açık rızası, veya
• Verinin aktarılacağı ülkenin yeterli korumaya sahip olması, veya
• Veri sorumlularının yazılı taahhütte bulunması ve KVKK izni

Yeterli Korumaya Sahip Ülkeler

KVKK Kurumu, ülke listesini henüz yayımlamamıştır. Bu nedenle her aktarım için açık rıza veya SCC + KVKK izni alınması gerekir.

Standart Sözleşme Hükümleri (SCC)

2024'te KVKK Kurulu, GDPR'a benzer SCC kalıpları yayımlamıştır. Şirketler bu sözleşmeyi imzalayıp 5 iş günü içinde Kuruma bildirim yaparak aktarım yapabilir.

Bağlayıcı Şirket Kuralları (BCR)

Çok uluslu şirket grubu içi veri aktarımı için bağlayıcı şirket kuralları hazırlanıp KVKK Kurumu'ndan onay alınabilir.

Yaptırım

• Yurt dışına izinsiz aktarım: yüksek idari para cezası
• İlgili kişiye karşı tazminat sorumluluğu

Pratik Tavsiyeler

• Tüm bulut sağlayıcıları için aktarım envanteri çıkarın
• SCC imzalanması için sağlayıcılarla iletişim
• Sözleşmelere veri aktarım maddeleri
• İlgili kişilere aktarım bilgilendirmesi

KVKK uyum danışmanlığı önerilir.