AC
Anasayfa Makaleler

Yurt Dışına Veri Aktarımı (Cloud, SaaS): Yetersiz Ülke ve BCR Çözümleri

TL;DR

KVKK m.9 yurt dışı aktarımda "yeterli koruma" şartı; Türkiye listesi sınırlı, çoğu sağlayıcı için Standart Sözleşme veya açık rıza.

15 Şubat 2026 3 dk okuma 10 görüntülenme Son güncelleme: 9 Mayıs 2026

KVKK m.9 yurt dışı veri aktarımında "yeterli koruma" şartını koşar. Türkiye'nin "yeterli ülke" listesi henüz çok sınırlı; çoğu cloud sağlayıcı için Standart Sözleşme (TR-SCC) veya açık rıza tek seçenek.

KVKK m.9 — yurt dışı aktarım kuralı

  • Veri sahibinin açık rızası, veya
  • Yeterli koruma sağlayan ülke (KVKK ilan eder), veya
  • Yeterli olmayan ülke ise: Veri sorumlusu + alıcı arasında yazılı taahhütname + KVKK izni.

Yeterli ülke listesi (2025 güncel)

KVKK henüz resmi liste yayımlamadı. Pratik olarak her aktarım için ayrı taahhütname + KVKK izni gerekiyor.

Yaygın senaryolar

  • AWS, Azure, GCP: Veriler ABD/AB veri merkezlerinde — yurt dışı.
  • Salesforce, HubSpot: ABD merkezli SaaS — yurt dışı.
  • Google Workspace, M365: Veriler global — yurt dışı.
  • Stripe, PayPal: Ödeme işlemcisi — yurt dışı + ek finans regülasyonu.

3 çözüm yolu

  1. Açık rıza: Her veri sahibinden ayrı rıza (kullanıcı sayısı az ise pratik).
  2. Standart Sözleşme (TR-SCC): KVKK örnek metni + sağlayıcı imzası + KVKK iznini bekleme. Ortalama süre 4-6 ay.
  3. BCR (Bağlayıcı Şirket Kuralları): Çok uluslu grup içi aktarım için; KVKK onayı + global uyum çerçevesi. Süre: 12-18 ay.

Sıkça sorulan sorular

AWS Türkiye bölgesi var; bu yeterli mi?

İstanbul AWS bölgesi yerel veri saklama sağlar; ancak yedek/backup Frankfurt veya Dublin'e gidebilir. Sözleşme + teknik konfigürasyon ile "data residency" net belirlenmeli.

Müşterilerden tek tek rıza almak çok zor; alternatif?

Standart Sözleşme + KVKK izni. AB SCC örnek metni Türkçe çevirisi + lokal iyileştirmelerle Kurul başvurusu. KVKK izni 4-6 ay içinde gelir.

Google Analytics kullanıyoruz; sorun mu?

Avrupa'da bazı DPA'lar GA4 hakkında uyarı çıkardı (Schrems II sonrası). Türkiye için: anonim kullanım modu + IP anonymization + Standart Sözleşme önerilir. Alternatif: Plausible, Matomo (kendi sunucuda).

Schrems II Türkiye'de uygulanır mı?

Doğrudan değil; ancak KVKK örnek almakta. ABD'ye aktarımda CLOUD Act ve FISA 702 risklerini Kurul kararlarına yansıttı. Ek güvenlik (encryption at rest, key management Türkiye'de) önerilir.

İhlal olursa hangi otoriteye?

Türk veri sahibi etkilendiyse KVKK; AB veri sahibi etkilendiyse ilgili AB DPA. Çoğu ihlalde paralel bildirim gerek; her iki kurum da bağımsız işler.

İlgili mevzuat

  • 6698 sayılı KVKK m.12 — Veri güvenliği yükümlülüğü; ihlal bildirimi (m.12/5).
  • 6698 sayılı KVKK m.14Tazminat hakkı.
  • 6698 sayılı KVKK m.18 — İdari para cezası (5 milyon TL'ye kadar).
  • GDPR Art. 33-34 — AB sınır ötesi aktarımda 72 saat ihlal bildirimi.
  • TCK m.135-136 — Kişisel verilerin hukuka aykırı kaydedilmesi/yayılması.
Yasal uyarı: Bu yazı genel bilgilendirme amaçlıdır; somut olay için avukatlık görüşmesi gereklidir. Süreler, oranlar ve uygulama içtihatla şekillenir; başvuru öncesi güncel mevzuatı kontrol edin.

Kaynaklar ve referanslar

Kaynaklar

Yurt Dışına Veri Aktarımı (Cloud, SaaS): Yetersiz Ülke ve BCR Çözümleri içeriği hazırlanırken resmi mevzuat ve yüksek yargı kaynakları esas alınmıştır.

Telif bildirimi Bu içerik ve tüm bağlantılı soru-cevap metinleri 5846 sayılı FSEK kapsamında korunmaktadır. İzinsiz kopyalama, çoğaltma, yayımlama, yeniden işleme, toplu veri çekimi veya ticari kullanım yasaktır; ihlal halinde hukuki ve cezai yollara başvurulur.

Hukuki destek arıyorsanız

Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

Görüşme Planla