Küresel sermaye hareketlerinin ivme kazanarak hızlandığı günümüzde, uluslararası yatırımlar yalnızca finansal anlamda değil hukuki boyutlarıyla da önem addetmektedir. Bu anlamda en önemli konuların başında ise kişisel verilerin yerel ve uluslararası standartlarda değerlendirilmesi ve korunması geliyor. Türkiye’de faaliyet göstermek isteyen yabancı yatırımcılar, Türkiye’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel verileri işlerken ve yurt dışına aktarırken belirli hukuki ve teknik şartlara uymak zorundadır. Bu, tıpkı GDPR (EU) ve CCPA (ABD) gibi bir veri koruma rejimi olup ancak farklılıklar barındırmaktadır. Bu rehberde, AMER (Amerika) ve EMEA (Avrupa- Orta Doğu- Afrika) bölgelerinden olan yabancı yatırımcıların Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uyum sağlamaları için dikkat etmeleri gereken temel noktalar incelenecektir.
Veri Koruma Sürecindeki Temel KVKK İlkeleri
Madde 9 Kapsamında Yurtdışına Veri Aktarımı : Yeni Sistemle Güncel Değerlendirme (1 Eylül 2024 Sonrası)
Türkiye’de 7 Nisan 2016’da yürürlüğe giren Kişisel Verilerin Korunması Kanunu (KVKK), 4 Mayıs 2016 tarihli Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile büyük ölçüde uyumlu temel ilkelere sahiptir. Eski sistemde güvenli ülke listesi, taahhütname veya açık rıza gibi dayanaklar varken; yeni sistemde uygunluk kararları, yeterli güvenceler ve istisnai durumlar öne çıkmaktadır. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanmış, yayımı tarihinde yürürlüğe girmiştir. 2024 yılında yapılan değişikliklerle birlikte, KVKK madde 9 çerçevesinde kişisel verilerin yurt dışına aktarımına ilişkin sistem tamamen yenilenmiş, yeni düzenleme GDPR’a uyumlu bir aktarım sürecini getirmiştir.
KVKK’nın 9. maddesi uyarınca, kişisel verilerin yurt dışına aktarılabilmesi için öncelikle Kanun’un 5. veya 6. maddelerinde belirtilen veri işleme şartlarından birinin varlığı gerekmektedir. Bunlar; açık rıza alınması, bir sözleşmenin ifasının gerekliliği, kamu yararı veya hayatı koruma gerekçesi, bir hakkın tesisi/kullanımıdır. Bunlara ek olarak yurt dışına aktarım şartları, iki temel sistem üzerine oturtulmuştur:
1) Yeterlilik Kararı: Kişisel verilerin, yeterli korumanın bulunduğu ülkeler olarak belirlenen ülkelere aktarımı mümkündür. Bu yeterlilik kararları, Kişisel Verileri Koruma Kurulu tarafından, uluslararası ilişkiler, veri aktarımının niteliği, karşılıklılık ilkesi ve ilgili ülkenin kişisel verileri koruma seviyesinin yeterliliği gibi kriterler göz önünde bulundurularak verilir.
2) Güvence Yöntemleri: Eğer aktarım yapılacak ülke hakkında yeterlilik kararı bulunmuyorsa, Kurul tarafından onaylanan taahhütnameler ya da imzalanacak uluslararası sözleşmeler gibi ek güvence yöntemleriyle kişisel veriler yurt dışına aktarılabilir.
İlk Aşama Yeterlilik
Kurul, yeterlilik kararını yalnızca ülke bazında değil, aynı zamanda sektör ya da uluslararası kuruluş bazında da verebilir. Örneğin, Türkiye otomotiv sektörünün yoğun ilişki içinde olduğu bir yabancı ülkenin yalnızca otomotiv sektörü için yeterlilik kararı alınabilir. Ancak bugüne kadar (Mayıs 2025) Kurul tarafından açıklanmış bir yeterlilik kararı bulunmamaktadır. Bu nedenle AMER ve EMEA kökenli yatırımcılar için bir sonraki adım olan uygun güvence yöntemleri önem kazanmaktadır.
Uygun Güvenceler
Yeterlilik kararı bulunmayan durumlarda, kişisel verilerin yurt dışına aktarımı ancak belirli uygun güvence araçlarının kullanılmasıyla mümkündür. KVKK kapsamında, bu güvence yöntemleri aşağıda açıklanmıştır:
- Standart Sözleşme: Kurul’un yayımladığı örnek sözleşmeler kullanılarak veri aktarımı yapılabilir. Kurul’a 5 iş günü içinde bildirim zorunludur.
- Bağlayıcı Şirket Kurallar (Binding Corporate Rules): Aynı grup içindeki şirketler arasında veri aktarımı için uygundur.
- Taahhütname ve Kurul İzni: Aktarım taraflarının karşılıklı taahhüt vermesi ve Kurul’dan buna ilişkin izin alması gerekir.
- Uluslararası Anlaşma (Kamu): Kamu kurumları arasında yapılan, uluslararası nitelikte olmayan iş birlikleri anlamına gelmektedir. Burada da kurul onayı zorunludur.
Amer & Emea Yatırımcıları Ne Yapmalı ?
Yukarıdaki açıklamalar ışığında, Türkiye’de kişisel veri işleme faaliyetlerine başlayan ya da halihazırda yatırım yapan AMER ve EMEA merkezli yatırımcıların, yeni KVKK düzenlemesi doğrultusunda uyum sürecini sistematik bir şekilde planlaması gerekmektedir. Bu kapsamda aşağıdaki adımlar, şirketlerin uyum sürecini güvence altına alacaktır.
- Veri işleme envanteri oluşturularak Türkiye’de yürütülen faaliyetlerde işlenen kişisel veriler açıkça belirlenmeli; veri türleri, veri sahipleri, işleme amaçları ve saklama süreleri gibi unsurlar detaylı şekilde oluşturulmalıdır.
- Veri aktarım stratejisi netleştirilmeli, yapılacak uluslararası veri aktarımlarının süreklilik arz eden ya da tek seferlik işlem olup olmadığı değerlendirilmelidir.
- Yeterlilik kararı bulunmayan ülkelere yapılacak aktarımlar için, KVKK tarafından tanınan aktarım araçlarından biri seçilmelidir. AMER ve EMEA merkezli şirketler açısından standart sözleşmeler ve bağlayıcı şirket kuralları uygulamada en sık başvurulan yöntemlerdendir.
- Kurul’a bildirim veya izin yükümlülüğü yerine getirilmeli, seçilen aktarım yöntemine göre veri sorumlusu veya veri işleyici sıfatıyla Kurul’a bildirim yapılması ya da izin başvurusu gerçekleştirilmelidir.
- Veri güvenliği için tedbirler alınmalı, teknik ve idari önemler detaylı olarak ele alınmalıdır.
Sonuç
Türkiye’de kişisel verilerin yurt dışına aktarımına ilişkin yeni düzenlemeler, yatırımcılara daha öngörülebilir bir çerçeve sunmaktadır. EMEA merkezli şirketler, GDPR uyumlu yapıları sayesinde Türkiye’deki yeni sisteme kolay adapte olabilirken; AMER merkezli yatırımcıların, CCPA veya HIPAA gibi düzenlemelerin Türkiye’de geçerli olmadığını dikkate alarak ayrıca uyum süreci yürütmeleri gerekmektedir. Bu nedenle, her yatırımcının Türkiye’ye özel mevzuata uygunluk göstermesi kritik önem taşımaktadır.
