GDPR ve KVKK Uyumu: Sınır Ötesi Veri Aktarımı

Türkiye’de faaliyet gösteren veya AB vatandaşlarının verisini işleyen şirketler için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve AB Genel Veri Koruma Tüzüğü (GDPR) ile çift uyum zorunluluğu doğmaktadır. Sınır ötesi veri aktarımları her iki rejim altında ayrı koşullara tabidir.

Çift Uyum Zorunluluğu

AB pazarına hizmet sunan veya AB’deki kişilerin davranışlarını izleyen Türk şirketleri GDPR’a doğrudan tabidir. Aynı şirket Türkiye’de bulunan kişisel verileri işlerken KVKK düzenlemelerine uyum sağlamak zorundadır. Her iki rejim de hesap verebilirlik, veri minimizasyonu ve şeffaflık ilkelerine dayanır.

KVKK’da Yurtdışı Aktarım

KVKK’nın 9. maddesi 2024 yılında yapılan değişiklikle yeniden düzenlenmiştir. Yurtdışı aktarım için yeterli koruma kararı bulunan ülkelere aktarım, uygun güvencelere dayalı aktarım ve istisnai hallere dayalı aktarım olmak üzere üç ana yöntem belirlenmiştir.

Standart Sözleşme Hükümleri

Kişisel Verileri Koruma Kurulu tarafından yayımlanan standart sözleşme hükümleri kullanılarak AB’deki taraflarla yapılacak veri aktarımları yasal hale getirilebilir. Standart sözleşmenin imzalanmasından itibaren beş iş günü içinde Kurula bildirim yapılması zorunludur.

GDPR’da Aktarım Mekanizmaları

GDPR çerçevesinde yeterlilik kararı, standart sözleşmesel hükümler (SCC), bağlayıcı şirket kuralları (BCR) ve sertifikasyon mekanizmaları kullanılabilir. Schrems II kararından sonra ek güvence önlemleri ve transfer etki değerlendirmesi (TIA) yapılması zorunlu hale gelmiştir.

İdari Para Cezaları

KVKK kapsamında veri ihlalleri için 5.788.380 TL’ye kadar (2026 yılı) idari para cezası uygulanabilmektedir. GDPR’da ise 20 milyon Euro veya yıllık cironun yüzde 4’üne kadar yaptırım söz konusudur. KVKK’nın yargısal denetimi konusunda Danıştay İDDK 26.11.2025 tarih ve 2025/2915 K. sayılı kararı idari yaptırımların değerlendirilmesinde rehber niteliktedir.

Veri Sorumlusu Yükümlülükleri

Hem KVKK hem GDPR aydınlatma yükümlülüğü, açık rıza, veri ihlali bildirimi ve VERBİS/RoPA kayıtlarını zorunlu kılmaktadır. Çift uyumlu bir veri envanteri ve aydınlatma metni hazırlanması operasyonel açıdan kritiktir.

Sıkça Sorulan Sorular

Yurtdışı aktarım için her zaman açık rıza mı gerekir?

Hayır, yeterli koruma kararı veya uygun güvenceler varsa açık rıza alınmaksızın da aktarım yapılabilir.

GDPR cezaları Türk şirketlere uygulanabilir mi?

Evet, GDPR sınır ötesi etkisi nedeniyle AB’deki kişileri hedefleyen Türk şirketlerine de uygulanabilmektedir.

Standart sözleşme nasıl Kurula bildirilir?

KVKK’nın bildirim formu doldurularak elektronik ortamda Kişisel Verileri Koruma Kurumuna iletilir.

Sonuç

Sınır ötesi veri aktarımı her iki rejim altında titizlikle planlanması gereken bir süreçtir. Çift uyumlu bir veri yönetişim çerçevesi kurulması hem yasal risklerin azaltılması hem de uluslararası iş ortaklıklarının sürdürülebilirliği için gereklidir.

İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.
0545 199 25 25 WhatsApp @bilalalyar info@bilalalyar.av.tr