KVKK m.9: Kişisel verinin yurt dışına aktarılması, sınırlı koşullarda mümkündür.
Yurt Dışı Aktarım Hâlleri
- Açık rıza (ilgili kişinin)
- Yeterli koruma sağlanan ülkeye aktarım
- Yeterli koruma yoksa taahhütname + Kurul izni
Yeterli Korumalı Ülke Listesi
KVKK Kurulu tarafından henüz yeterli ülke ilan edilmemiştir. Bu nedenle her yurt dışı aktarım için ya açık rıza ya da taahhütname/Kurul izni gerekmektedir.
Taahhütname
- Veri aktaran ile veri alan arasında
- KVKK ile uyumlu güvenlik taahhüdü
- İlgili kişinin haklarının korunması
- Kurul tarafından imzalanması veya onaylı
Kurul İzni
- Taahhütname imzalanmışsa Kurul'a başvuru
- Kurul, ilgili menfaatleri değerlendirir
- İzin verilirse aktarım yapılabilir
Yaygın Aktarım Senaryoları
- Bulut hizmetleri (AWS, Azure, GCP)
- Yurt dışı yazılım/SaaS
- Pazarlama otomasyonu (HubSpot, Salesforce)
- Çağrı merkezi off-shore
- Yedekleme sunucuları
KVKK Kurulu Kararı
KVKK Kurulu, son yıllarda yurt dışına veri aktaran şirketlere ciddi idari para cezaları uygulamış, özellikle "hizmet sözleşmesi içinde gizlenen aktarımlar" için sıkı denetim yapmaktadır.
Pratik Tavsiyeler
- Tedarikçilerin veri saklama lokasyonunu kontrol edin
- Bulut sözleşmelerinde "veri lokasyonu" maddesi ekleyin
- Yurt içi alternatifler değerlendirilebilir
KVKK uzmanı avukat önerilir.