DT-hukuk-logo
DT-hukuk-logo

KVKK, Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma Kapsamında İlk Yurt Dışı Veri Aktarımına İzin Verdi

12 Kasım 2025 tarihinde Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından yayımlanan kamuoyu duyurusuyla, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından uluslararası sözleşme niteliğinde olmayan bir anlaşma kapsamında yurt dışına kişisel veri aktarımına izin verildiği kamuoyuna açıklanmıştır.

Söz konusu duyuruya göre, İçişleri Bakanlığı Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği (UNHCR) arasında akdedilen ve kişisel verilerin yurt dışına aktarımına dayanak teşkil eden “uluslararası sözleşme niteliğinde olmayan anlaşma”, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 11. maddesi uyarınca Kurul tarafından değerlendirilmiş ve 21 Ekim 2025 tarihi itibarıyla söz konusu aktarıma izin verilmiştir.

Bu karar, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9. maddesi uyarınca, yeterlilik kararı bulunmayan ülkelere veya uluslararası kuruluşlara veri aktarımı yapılabilmesi için gerekli “uygun güvence” mekanizmalarından biri olan uluslararası sözleşme niteliğinde olmayan anlaşmaların fiilen uygulanmaya başladığını göstermesi bakımından önem taşımaktadır.

Hukuki Dayanak ve Kapsam

Kanun’un 9. maddesine göre, kişisel veriler yalnızca:

  1. Aktarım yapılacak ülke veya uluslararası kuruluş hakkında Kurul tarafından yeterlilik kararı verilmişse, veya
  2. Yeterlilik kararı bulunmamakla birlikte uygun güvenceler sağlanmış ve Kurul’dan izin alınmışsa

yurt dışına aktarılabilmektedir.

10 Temmuz 2024 tarihinde yürürlüğe giren Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, uygun güvence araçlarını açıkça tanımlamış olup bunlar arasında taahhütnameler, bağlayıcı şirket kuralları (BCR), standart sözleşme hükümleri (SCC) ve uluslararası sözleşme niteliğinde olmayan anlaşmalar yer almaktadır.

Kurul’un söz konusu duyurusu ile bu mekanizmalardan sonuncusuna ilişkin ilk somut örneklerden biri olarak, kamu kurumları ve uluslararası kuruluşlar arasındaki veri aktarım süreçlerinin nasıl işletilebileceğine dair önemli bir uygulama rehberi oluşturmuştur.

Değerlendirme

Bu gelişme, hem kamu kurumları hem de özel sektör açısından yurt dışına kişisel veri aktarımı süreçlerinde izlenmesi gereken izin prosedürlerinin uygulamada nasıl işletileceğine dair açıklık kazandırmaktadır.

Veri sorumluları ve veri işleyenlerin, yurt dışına aktarım planları kapsamında:

  • Aktarım yapılacak ülke veya kuruluş hakkında yeterlilik kararı olup olmadığını kontrol etmesi,
  • Eğer yeterlilik kararı bulunmuyorsa, Yönetmelik’te düzenlenen uygun güvence mekanizmalarından birini seçerek Kurul izni alınması,
  • Anlaşma metinlerinde veri kategorileri, aktarım amacı, hukuki sebep, tarafların yükümlülükleri, güvenlik önlemleri ve denetim mekanizmalarına açık şekilde yer verilmesi,
  • Ayrıca ilgili kişilere yapılacak aydınlatma metinlerinin bu doğrultuda güncellenmesi
    gerekmektedir.

Kurul’un söz konusu izni, Türkiye’nin kişisel verilerin yurt dışına aktarım rejiminin uluslararası uygulamalara paralel biçimde gelişmeye devam ettiğini göstermekte olup, bundan sonraki süreçte benzer taleplerin Kurul tarafından değerlendirilmesinin önünü açmaktadır.

Konuya ilişkin herhangi bir sorunuz olması veya daha detaylı bilgiye ihtiyaç duymanız halinde, bizlerle iletişime geçebilirsiniz.

Saygılarımızla,

DT Hukuk