KVKK Yurt Dışı Veri Aktarımı 2026: Standart Sözleşme Rehberi

Şirketinizde Microsoft 365, Google Workspace ya da herhangi bir Amerikan bulut servisi kullanıyorsanız, çoğu zaman farkına bile varmadan kişisel veriyi yurt dışına aktarıyorsunuz. Çalışan e-postaları, müşteri kayıtları, CRM’deki iletişim bilgileri — bunların sunucuları büyük olasılıkla Türkiye dışında. KVKK’nın 2024’te yeniden yazılan 9. maddesi tam olarak bu durumu düzenliyor ve 1 Eylül 2024’ten beri eski “açık rıza alırım, mesele kapanır” yaklaşımı artık geçerli değil.

İşin can sıkıcı tarafı şu: pek çok KOBİ bunu hâlâ bir hukukçu meselesi sanıp erteliyor. Oysa kararı veren çoğu zaman BT tarafı oluyor — hangi bulut, hangi bölge, hangi sözleşme.

”Bulut kullanmak” ile “veri aktarmak” aynı kapıya çıkıyor

KVKK açısından kişisel verinin fiziksel olarak yurt dışındaki bir sunucuya yazılması, aktarım demektir. Outlook’taki bir maili açmak, bir Teams toplantısını kaydetmek ya da müşteri listesini bir SaaS panosuna girmek — hepsi teknik olarak sınır ötesi veri akışı yaratır.

“Microsoft’un İstanbul’da veri merkezi açtığını duydum, o zaman sorun yok” diyebilirsiniz. Pratikte çoğu KOBİ aboneliği Avrupa (genelde Hollanda veya İrlanda) bölgesinde tutuluyor; Türkiye bölgesinde değil. Yani veri yurt dışında. Hangi bölgede olduğunuzu Microsoft 365 yönetim merkezinden (“Veri konumu” / data residency) kontrol edebilirsiniz — emin değilseniz ilk yapılacak iş bu.

7499 ile ne değişti?

12 Mart 2024 tarihli Resmî Gazete’de yayımlanan 7499 sayılı Kanun, KVKK’nın 9. maddesini baştan kurdu. Yeni hükümler 1 Haziran 2024’te yürürlüğe girdi, eski rejim ise geçiş süresiyle 1 Eylül 2024’e kadar paralel işledi. O tarihten sonra herkes yeni sisteme geçmek zorunda.

Eskiden uygulamada iki seçenek vardı: ya her aktarım için açık rıza topluyordunuz ya da Kurul’dan tek tek izin alıyordunuz; ikincisi aylar sürebiliyordu. Yeni yapı GDPR’a daha yakın ve daha öngörülebilir.

Üç kademeli sistem: hangi kapıdan geçeceksiniz?

Yeni 9. madde aktarımı üç olası yola bağlıyor. Sırayla bakmak gerekiyor:

Kademe	Koşul	KOBİ için gerçeklik
1. Yeterlilik kararı	Kurul, ilgili ülkeyi/sektörü “güvenli” ilan etmiş olmalı	Kurul bugüne kadar hiçbir ülke için yeterlilik kararı vermedi — bu kapı fiilen kapalı
2. Uygun güvenceler	Standart sözleşme, bağlayıcı şirket kuralları ya da taahhütname + Kurul izni	KOBİ’ler için en pratik yol: standart sözleşme
3. Arızi haller	Tek seferlik, açık rızaya dayalı vb. istisnai durumlar	Sürekli ve düzenli bulut kullanımına uygun değil

Buradaki kritik nokta birinci satır. Kurul henüz tek bir yeterlilik kararı bile yayımlamadığı için, “ABD güvenli ülke listesinde” diye bir şeye yaslanamazsınız. Düzenli olarak yurt dışı bulut kullanan bir şirket için pratikte tek sürdürülebilir yol ikinci kademe — yani standart sözleşme.

Standart sözleşme ve 5 iş günü kuralı

Kurul, 4 Haziran 2024 tarihli kararıyla standart sözleşme metinlerini onayladı; ayrıntılı usul ve esaslar ise 10 Temmuz 2024’te yayımlanan yönetmelikte. Tarafların konumuna göre dört farklı modül var (veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene ve diğer ikisi). Doğru modülü seçmek ilk adım.

Asıl gözden kaçan yükümlülük şu: imzalanan standart sözleşmeyi, imza tarihinden itibaren 5 iş günü içinde Kurum’a bildirmek zorundasınız. Bildirim fiziksel olarak ya da KEP üzerinden yapılabiliyor. Sözleşmeyi imzalayıp dosyaya kaldırmak yetmiyor; bildirilmeyen sözleşme yapılmamış sayılıyor.

Pratik bir kontrol listesi:

• Hangi servislerin (e-posta, CRM, muhasebe, yedekleme) veriyi nereye taşıdığını çıkarın
• Her tedarikçi için doğru standart sözleşme modülünü belirleyin
• Sözleşmeyi imzalayın ve 5 iş günü içinde Kurum’a bildirin
• Bildirim tarihini ve evrakını saklayın — denetimde ilk istenen bu olur

Bildirimi atlamak ne kadara mal olur?

2026 için idari para cezaları, yeniden değerleme oranıyla (yaklaşık %25,5) güncellendi. Birkaç somut rakam:

• Veri güvenliği yükümlülüklerinin ihlali: yaklaşık 256.000 TL’den 17 milyon TL’ye kadar
• Standart sözleşmeyi 5 iş günü içinde bildirmemek: yaklaşık 90.000 TL’den 1,8 milyon TL’ye kadar

Rakamlar her yıl yukarı gidiyor. Daha da önemlisi, dayanaksız bir yurt dışı aktarım tek başına idari ceza değil, veri ihlali bildirimi ve itibar riski de getirir. Bir müşterinin verisi izinsiz yurt dışına gitti diye haber olmak, cezadan ağır.

Sık sorulan sorular

Microsoft 365’i Türkiye bölgesine taşısam aktarım biter mi? Verinin tamamı gerçekten Türkiye bölgesinde tutuluyorsa ilgili akış için aktarım sayılmaz. Ama destek, telemetri ve bazı yedek servisler hâlâ yurt dışına gidebilir; tedarikçinin veri işleme ekini dikkatle okuyun.

Açık rıza almak yetmez mi? Açık rıza yalnızca arızi (tek seferlik, düzenli olmayan) hallerde dayanak olabilir. Sürekli kullandığınız bir bulut servisi için açık rızaya yaslanmak Kurul’un beklentisiyle uyuşmuyor.

KOBİ olarak nereden başlamalıyım? Önce envanter: hangi veri, hangi servis, hangi ülke. Sonra her kritik tedarikçi için standart sözleşme. Bu ikisini netleştirdiğinizde işin yarısını bitirmiş olursunuz.

Yurt dışı aktarım haritanızı çıkarmak ve standart sözleşme sürecini doğru kurmak için bizimle iletişime geçin — kullandığınız bulut servislerini birlikte gözden geçirelim.

Kaynaklar

• KVKK — Yurt Dışına Aktarım
• Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Resmî Gazete, 10.07.2024)
• KVKK — 6698 Sayılı Kanun Kapsamında İdari Para Cezası Tutarları (2026)