2024 yılının sonu ve 2025 yılının başlangıcı Türkiye’de veri koruma mevzuatı alanındaki hukuki gelişmeler bakımından oldukça hareketli geçmiş, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) uygulanmasına ilişkin pek çok soru ve birtakım tereddütler Kişisel Verileri Koruma Kurumu (Kurum) tarafından çıkarılan ikincil mevzuat ve açıklayıcı rehberlerde ele alınmıştır.

Kurum tarafından Ocak 2025’te yayımlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’nde (Rehber) “yurt dışına veri aktarımı” kavramının tanımına yer verilmiş ve kişisel verilerin yurt dışına aktarılmasına ilişkin KVKK ve ilgili yönetmelik hükümlerinin detaylı bir analizi yapılmıştır. Rehber’de kişisel verilerin yurt dışına aktarımı için uygun hukuki mekanizmanın belirlenmesi adına dört aşamalı bir yaklaşım ortaya konmuş ve yurtdışına veri aktarımlara ilişkin hukuki düzenlemelerin bu sistematik çerçevede uygulanması gerektiği vurgulanmıştır. Rehber’de ayrıca, uygulamada en sık karşılaşılan yurtdışına aktarım yöntemlerinden biri olan standart sözleşme hükümleri ile istisnai veri aktarımları için arızi hallerin uygulaması açıklığa kavuşturulmuştur.

Kurum 2025 yılı için uygulanacak idari para cezası tutarlarını da güncellemiştir. Bu kapsamda idari para cezalarında geçtiğimiz yıla göre %43,93 oranında bir artış yapılmış olup, 2025 yılı itibariyle uygulanacak idari para cezası tutarları en düşük 68.083 TL ve en yüksek 13.620.402 TL olarak belirlenmiştir.

Son olarak, Kurum ile Sermaye Piyasası Kurulu arasında sermaye piyasalarında veri koruma konusunda daha gelişmiş işbirliği ve bilgi alışverişini kolaylaştırmak amacıyla yeni bir işbirliği ve bilgi paylaşımı protokolü imzalanmıştır.

Kişisel verilerin yurt dışına aktarılması rehberi

Kişisel verilerin yurt dışına aktarılmasına ilişkin olarak KVKK ve ilgili yönetmelik hükümlerinin açıklığa kavuşturulması amacıyla Kurum tarafından bir rehber yayımlanması yaygın bir şekilde beklenmekteydi. Yurt dışına veri aktarımına ilişkin olarak KVKK’da görece yakın zamanda yapılan değişiklikler dikkate alındığında, ilgili hükümlerin uygulanmasına yönelik tereddütlerin ancak Kurum tarafından sunulacak resmi ve kapsamlı bir yol haritası ile giderilebilmesi söz konusuydu.

Yurt dışına veri aktarımı tanımı

Kişisel verilerin yurt dışına aktarılmasına ilişkin olarak KVKK’da açık bir tanımlama yer almamaktadır. Bununla birlikte Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik uyarınca yurt dışına aktarım “kişisel verilerin KVKK kapsamındaki bir veri sorumlusu veya veri işleyen tarafından yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesi” olarak tanımlanmıştır. Bu doğrultuda Rehber’de “yurt dışına veri aktarım” faaliyetinden bahsedilebilmesi için aşağıdaki üç kriter üzerinden değerlendirme yapılması gerektiği ifade edilmiştir:

• KVKK’ya tabi olan veri aktaran taraf. Veri sorumlusunun veya veri işleyenin (veri aktaran taraf), ilgili kişisel veri işleme faaliyeti bakımından KVKK’ya tabi olması gerekmektedir. Rehber’de yer bakımından uygulanma ilkesi açıklanmış ve KVKK’nın uygulanmasının “etki ilkesi” üzerinden yorumlanmasının gerektiği ifade edilmiştir. Başka bir deyişle, bir kişisel veri aktarımının Türk hukuku kapsamında değerlendirilebilmesi için, KVKK kapsamında faaliyet gösteren bir veri sorumlusu veya veri işleyenin bulunması gerekmektedir.
• Veri aktarımı veya erişilebilir olması. Veri aktaran tarafça işlenen kişisel verilerin aktarılması veya erişilebilir hale getirilmesi gerekmektedir. Ayrıca, aktarımın bir veri sorumlusu veya veri işleyen tarafından Türkiye dışında bulunan başka bir veri sorumlusu veya veri işleyene gerçekleştirilmesi zorunludur. Bu bağlamda, kişisel verilerin bizzat ilgili kişinin kendisi tarafından aktarılması halinde, bu durum KVKK kapsamında bir yurt dışına aktarım teşkil etmeyecektir.
• Veri alıcısı tarafın bulunduğu yer. Kişisel verilerin aktarıldığı veri sorumlusu veya veri işleyenin, KVKK’ya tabi olup olmadığına bakılmaksızın, üçüncü bir ülkede bulunması gerekmektedir.

Yurt dışına aktarımlarda kademeli yaklaşım

İlk aşama olarak, uluslararası anlaşmalarda veya yürürlükteki diğer kanunlarda açıkça öngörülmüş olması halinde kişisel verilerin KVKK’da düzenlenen kurallara tabi olmadan yurt dışına aktarılıp aktarılamayacağının belirlenmesi gerekmektedir. Bu şekilde bir uluslararası anlaşma veya kanun hükmünün bulunmadığı durumlarda Rehber, KVKK’nın 9. maddesinde sayılan kurallara uygun bir yurt dışına aktarım hukuki mekanizmasının belirlenmesi için ilave üç aşamayı ortaya koymaktadır. Kişisel verilerin yurt dışına aktarımı için uygulanabilir yöntem belirlenirken Rehber’de yer alan söz konusu sistematik, kademeli yaklaşım benimsenmeli ve aşağıda özetlenen süreç takip edilmelidir:

• Yeterlilik kararı. Kişisel veriler, KVKK’nın kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen 5. ve 6. maddelerinde sayılan şartlardan birinin varlığı halinde ve belirli bir ülke, uluslararası kuruluş veya sektöre ilişkin olarak Kurum tarafından verilmiş bir yeterlilik kararının bulunması durumunda yurt dışına aktarılabilmektedir. Bununla birlikte Kurum tarafından henüz herhangi bir ülke, uluslararası kuruluş veya sektöre ilişkin olarak verilmiş bir yeterlilik kararı bulunmamaktadır.
• Uygun güvenceler. Yeterlilik kararının bulunmadığı hallerde, kişisel veriler KVKK’da sayılan uygun güvencelerden birinin varlığı halinde yurt dışına aktarılabilecektir. Uygun güvencelerin yanı sıra, ilgili kişinin verilerinin aktarıldığı ülkede haklarını kullanabilmesi ve etkili yasal çözümlere başvurabilme imkânın bulunması şartı da aranmaktadır. KVKK’da düzenlenen uygun güvenceler Rehber’de de değinildiği üzere Kurum’a bildirilen standart sözleşmelerin yanı sıra yine Kurum tarafından onaylanmış bağlayıcı şirket kurallarını, uluslararası sözleşme niteliğinde olmayan anlaşmaları ve yazılı taahhütnameleri kapsamaktadır.
• İstisnai aktarımla İstisnai aktarımlar arızi nitelik arz eden, yalnızca tek veya birkaç kez gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan yurt dışına aktarımları ifade eder. Bu tür aktarımlar ancak yeterlilik kararının bulunmadığı ve uygun güvencelerin hiçbirinin mevcut olmadığı durumlarda mümkün olabilir. Yurt dışına istisnai aktarımlar için arızi haller KVKK uyarınca sınırlı sayıda düzenlenmiştir. Rehber’de istisnai aktarımlar için örnek durumlara yer verilmiş olup iş sözleşmesinin ifası gereği yurt dışındaki farklı müşterileri ziyaret etmek amacıyla seyahat eden bir satış müdürünün kişisel verilerinin söz konusu müşteriler ile toplantı düzenlemek amacıyla işvereni tarafından aktarılması arızi bir aktarım kapsamında değerlendirilmiştir. Rehber’de ayrıca, açık rızaya dayalı istisnai aktarım hallerinde, aktarımın aydınlatma yükümlülüğüne uygun şekilde yapılmasına ilaveten ilgili kişinin aktarım sonucunda meydana gelebilecek muhtemel riskler hakkında da bilgilendirilmesi gerektiği vurgulanmıştır.

Standart sözleşmelerin uygulanması

Rehber, standart sözleşmelerin uygulanmasına ilişkin olarak daha fazla açıklık getirmektedir. Buna göre Rehber’de Kurum tarafından yayımlanan standart sözleşme metinlerinde, seçimlik veya alternatif hükümler haricinde, maddelerde herhangi bir ekleme, silme veya değişiklik yapılamayacağının altı çizilmiştir. Tarafların aralarındaki ilgili veri akışına göre veri sorumlusu veya veri işleyen olarak hareket etmelerine bağlı olarak Kurum tarafından yayımlanmış dört adet taslak belgeden uygun olan standart sözleşme tipini seçmeleri gerekmektedir. Standart sözleşmeler birden fazla dilde hazırlanabilir ve çift kolon bir format içerisinde Kurum’a sunulabilecektir, ancak Türkçe metin geçerli olacaktır.

Standart sözleşmelerin imzalandığı tarihten itibaren beş iş günü içinde Kurum’a bildirilmesi gerekmektedir, söz konusu bildirim yükümlülüğüne uyulmaması idari para cezası yaptırımının uygulanmasına sebep olacaktır. Bildirim yükümlülüğünün hangi tarafta olacağı hususu standart sözleşmede belirlenebilecek olup, bu şekilde bir belirlemenin bulunmaması halinde bildirimin veri aktaran tarafça yapılması gerekmektedir.

Standart sözleşmeler Kurum’a (i) fiziki olarak (örneğin elden veya posta yoluyla); (ii) kayıtlı elektronik posta (KEP) adresi aracılığıyla; veya (iii) Kurum tarafından belirlenecek diğer alternatif yöntemlerle (örneğin Kurum tarafından 25 Ekim 2024 tarihinde duyurulan ve internet sitesi üzerinden erişim sağlanabilen “Standart Sözleşme Bildirim Modülü”) bildirilebilir.

Rehber’de açıklandığı üzere Kurum’a yapılacak bildirimlerin (i) aktarımın niteliğine uygun standart sözleşme metninin ilgili bölümleri doldurulmuş ve aktarım taraflarının kendisi veya aktarım taraflarını temsile ve imzaya yetkili kişilerce imzalanmış nihai hâlini; (ii) standart sözleşmeyi imzalayanların yetkili olduğunu gösterir belgeleri; ve (iii) yabancı dildeki belgelerin noter tasdikli tercümesini içermesi gerekmektedir. Rehber’de ayrıca Kurum’a sunulacak belgelerde yurt dışında bulunan resmi makamlar tarafından düzenlenen belgelerin ancak apostil şerhi bulunması halinde Kurum tarafından kabul edileceği de belirtilmiştir.

2025 yılı için güncellenmiş idari para cezaları

KVKK’nın 18. maddesi uyarınca düzenlenen idari para cezaları yıllık yeniden değerleme oranı dikkate alınarak %43,93 oranında artırılmış olup 2025 yılı itibariyle uygulanacak idari para cezası tutarları en düşük 68.083 TL ve en yüksek 13.620.402 TL olarak belirlenmiştir.

Kurum tarafından ilan edilen 2025 yılı için uygulanacak idari para cezaları aşağıdaki şekildedir:

• Aydınlatma yükümlülüğünün yerine getirilmemesi: 68.083 TL – 1.362.021 TL
• Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi: 204.285 TL – 13.620.402 TL
• Kurum kararlarının yerine getirilmemesi: 340.476 TL – 13.620.402 TL
• Veri Sorumluları Sicili’ne (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi: 272.380 TL – 13.620.402 TL
• Standart sözleşmelerin imza tarihinden itibaren beş iş günü içinde Kurum’a bildirilmesi yükümlülüğünün yerine getirilmemesi: 71.965 TL – 1.439.300 TL

Kurum ile Sermaye Piyasası Kurulu arasında yeni bir işbirliği protokolü

Kurum 6 Ocak 2025 tarihinde internet sitesinde yayımladığı duyuru ile, Kurum ile Sermaye Piyasası Kurulu arasında sermaye piyasalarında veri koruma konusunda daha gelişmiş işbirliği ve bilgi alışverişini kolaylaştırmak amacıyla yeni bir işbirliği ve bilgi paylaşımı protokolü imzalandığını kamuoyuna duyurmuştur.

Yeni işbirliği protokolü, her iki kurumun görev alanına giren ortak konularda bilgi ve görüş paylaşımı yapılmasını öngörmektedir. Bu çerçevede; kişisel verilerin korunması, veri mahremiyeti ve veri güvenliği konularında ortak projeler ve çalışmaların gerçekleştirilmesi, meslek personelinin yetiştirilmesi, ortak yayınlar ve farkındalık artırıcı etkinliklerin düzenlenmesi planlanmaktadır.