16 Nisan 2026

KVKK Yurt Dışı Aktarımında “Yeterli Koruma” Kriterleri: 2019/125 Sayılı Karar Analizi

Özgür Eralp 11 Nisan 2026
Sosyal medyada paylaşın

Kişisel verilerin yurt dışına aktarılması, dijital ekonominin ve küresel operasyonların ayrılmaz bir parçasıdır. Ancak bu süreç, Türk vatandaşlarının verilerinin sınır ötesinde nasıl korunacağı sorusunu da beraberinde getirir. Kişisel Verileri Koruma Kurulu (Kurul), 02/05/2019 tarihli ve 2019/125 sayılı kararı ile yabancı ülkelerin “yeterli korumaya sahip” olup olmadığını belirlerken kullanacağı objektif kriterleri ve değerlendirme formunu yayımlamıştır.

İçerik gizle
1 Yurt Dışına Aktarımın Hukuki Altyapısı
2 Kurul Tarafından İncelenen Temel Kriterler
3 Özgür Eralp Perspektifi: “Veri Sınır Tanımaz, Ancak Hukuk İzini Sürer”
3.1 SSS (Sıkça Sorulan Sorular)
3.2 Kaynaklar

Yurt Dışına Aktarımın Hukuki Altyapısı

6698 sayılı Kanun’un 9. maddesi uyarınca, kişisel verilerin açık rıza olmaksızın yurt dışına aktarılabilmesi için iki temel yol bulunmaktadır:

  1. Verinin aktarılacağı ülkede “Yeterli Koruma” bulunması ve bu ülkenin Kurul tarafından ilan edilmiş olması.
  2. Yeterli koruma yoksa, tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’dan izin almaları.

Kurul Tarafından İncelenen Temel Kriterler

Yeterli korumaya sahip ülkelerin tayininde kullanılan form, bir ülkenin veri koruma ekosistemini tüm yönleriyle masaya yatırmaktadır:

  • Mevzuat ve Uygulama: Kişisel verilerin korunmasının Anayasal bir hak olup olmadığı, temel bir kanunun varlığı ve bu düzenlemelerin Türkiye mevzuatıyla uyumu.
  • Genel İlkeler ve Şartlar: Veri işleme şartlarının ve özel nitelikli veriler için ek güvenlik tedbirlerinin 6698 sayılı Kanun ile benzerliği.
  • Bağımsız Otorite: İlgili ülkede bağımsız bir veri koruma otoritesinin bulunup bulunmadığı, denetim yetkileri ve kararlarına karşı başvuru yolları.
  • İlgili Kişinin Hakları: Kişilerin veri sorumlusuna başvuru, otoriteye şikayet ve genel hükümlere göre tazminat haklarının mevcudiyeti.
  • Uluslararası Bağlılık: 108 Sayılı Sözleşme ve Avrupa İnsan Hakları Sözleşmesi gibi uluslararası antlaşmalara taraf olma durumu.
  • Ticari İlişkiler: Türkiye ile söz konusu ülke arasındaki ticaret hacmi ve karşılıklılık durumu.

Özgür Eralp Perspektifi: “Veri Sınır Tanımaz, Ancak Hukuk İzini Sürer”

Bilişim hukukunda 25 yılı devirirken ve 700’den fazla bilirkişi raporu tecrübemizle gördük ki; bulut bilişim ve küresel yazılım çözümleri (SaaS) veriyi coğrafyadan bağımsız bir hale getirdi. Ancak verinin fiziksel olarak nerede durduğu, hangi ülkenin yargı yetkisine tabi olduğu halen en kritik sorudur.

Kurul’un bu kararı, sadece bir “ülke listesi” çalışması değil, küresel veri diplomasisinin bir parçasıdır. Bir yatırımcı avukat vizyonuyla uyarım şudur: Yurt dışı kaynaklı bir hizmet (Amazon AWS, Google Cloud, Microsoft Azure vb.) kullanırken, sadece teknik performansa değil, o sunucuların bulunduğu ülkenin bu formdaki “puanına” da bakmanız gerekir. Yeterli korumanın bulunmadığı bir ülkeye Kurul izni olmadan veri aktarmak, işletmeniz için ciddi yaptırım riskleri barındırır.

SSS (Sıkça Sorulan Sorular)

1. “Yeterli Koruma” bulunan ülkeler listesi yayımlandı mı? Kurul, bu kriterleri kullanarak değerlendirmelerini sürdürmektedir; güncel güvenli ülkeler listesi için Kurum’un resmi internet sayfasındaki duyurular takip edilmelidir.

2. Açık rıza varsa bu kriterlere bakılmasına gerek var mı? Eğer ilgili kişiden yurt dışına aktarım için usulüne uygun “açık rıza” alınmışsa, ülkenin yeterli korumaya sahip olup olmadığına bakılmaksızın aktarım yapılabilir.

3. Sunucularım yurt dışında ise bu kural beni bağlar mı? Evet. Verinin Türkiye dışındaki bir sunucuda tutulması teknik olarak bir “yurt dışına aktarım” işlemidir ve 9. madde hükümlerine tabidir.

4. Taahhütname yoluyla izin almak zor mu? Yeterli korumanın olmadığı ülkelere aktarım için hazırlanan taahhütnamelerin Kurul tarafından onaylanması gerekir. Bu süreç, veri güvenliği ve hukuki garantiler açısından sıkı bir incelemeye tabidir.

5. 108 Sayılı Sözleşme’ye taraf olan her ülke “güvenli” sayılır mı? Bu sözleşmeye taraf olmak önemli bir kriterdir ancak Kurul kararı verilirken formdaki diğer tüm maddeler (mevzuat uygulaması, otorite bağımsızlığı vb.) bir bütün olarak değerlendirilir.

Kaynaklar

  • KVKK Kurumu – 2019/125 Sayılı Karar ve Kriter Formu
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 9)
  • [şüpheli bağlantı kaldırıldı]
  • Avrupa İnsan Hakları Sözleşmesi
  • Ankara Barosu Bilişim Kurulu Yayınları

Tags: , , , , , , , , , ,

İlgili haberler

“Dürüstlükle Likidite” (Liquidity with Integrity) Nedir? Finansal Piyasaların Etik ve Hukuki Temeli

Özgür Eralp 15 Nisan 2026

“Lider Yatırımcı” (Lead Investor) Nedir? Yatırım Turunun Orkestra Şefi ve Hukuki Mimarı

Özgür Eralp 15 Nisan 2026

“Koordine Sermaye” (Coordinated Capital) Nedir? Yatırım Dünyasında Güç Birliği ve Hukuki Strateji

Özgür Eralp 15 Nisan 2026

Son haberler

Marka Hukukunda “Kullan ya da Kaybet” İlkesi: Markanın Kullanım İspatı Rehberi

Özgür Eralp 15 Nisan 2026 0

Tax Haven (Vergi Cenneti) Nedir? Küresel Sermayenin “Görünmez” Durakları ve Hukuki Şeffaflık

Özgür Eralp 15 Nisan 2026 0

Race to the Bottom (En Altta Yarış) Nedir? Küresel Rekabetin Karanlık Yüzü ve Hukuki Erozyon

Özgür Eralp 15 Nisan 2026 0

Forum Shopping Nedir? Hukuki Labirentte En Avantajlı Mahkemeyi Seçme Sanatı

Özgür Eralp 15 Nisan 2026 0

Regulatory Arbitrage (Düzenleme Arbitrajı) Nedir? Hukuki Boşluklardan Stratejik Kazanç Sağlamak

Özgür Eralp 15 Nisan 2026 0