Yurt Dışına Veri Aktarımı: 7499 Sayılı Kanun Sonrası Yeni Sistem (2026)
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
7499 sayılı Kanun'la KVKK'nın 9. maddesi 1 Haziran 2024 itibarıyla köklü biçimde değişti; yurt dışı veri aktarımında açık rıza artık genel kural değil, son çare.
Yeni sistem üç basamaklı: yeterlilik kararı → uygun güvenceler (standart sözleşme veya bağlayıcı şirket kuralları) → istisnai haller.
Kurul, 4 farklı standart sözleşme tipi yayımlamıştır; her biri farklı aktör ilişkisini düzenler.
Standart sözleşme imzalandıktan sonra 5 iş günü içinde Kurul'a bildirim zorunludur.
Mayıs 2026 itibarıyla Kurul henüz yeterlilik kararı yayımlamamıştır; pratikte standart sözleşme en yaygın mekanizmadır.
AWS, Google Cloud, Slack, Notion, WhatsApp gibi günlük kullanılan araçların her biri yurt dışı veri aktarımı kapsamındadır.
Yalnızca açık rızaya dayanan sürekli aktarımlar artık hukuken sürdürülemez.
2026 yılında yurt dışı aktarım bildirim ihlali cezası 90.308 TL – 1.806.177 TL, veri güvenliği ihlali cezası 256.357 TL – 17.092.242 TL arasındadır.
Eski Sistem Neden Değişti?
KVKK'nın 2016'daki orijinal 9. maddesi yurt dışı aktarımda iki yol öngörüyordu: Kurul'un yeterlilik kararı veya ilgili kişinin açık rızası. Yeterlilik kararı uzun yıllar hiç yayımlanmadığı için şirketler operasyonel zorunluluk nedeniyle neredeyse tüm aktarımlarını açık rızaya dayandırdı.
Bu durum üç temel sorun yaratıyordu. Açık rıza her an geri alınabilir nitelikteydi; geri alındığında SaaS aboneliği, bulut depolama veya CRM hizmeti durmalıydı — bu operasyonel olarak sürdürülemezdi. Açık rızanın "hizmet şartına bağlanması" özgür irade ilkesini ihlal ediyordu. Kurul rehberlerinde süreklilik arz eden aktarımlarda açık rızanın tek başına yeterli olmadığı vurgulanıyordu.
7499 sayılı Kanun, bu tıkanıklığı çözmek için GDPR'a paralel bir çok mekanizmalı sistem getirdi.
Yeni Sistemin Üç Basamağı
Basamak 1: Yeterlilik Kararı
Kurul, belirli ülkelerin veya uluslararası kuruluşların yeterli koruma düzeyine sahip olduğuna karar verebilir. Yeterlilik kararı verilen ülkelere veri aktarımı, yurt içi aktarım gibi serbestçe yapılabilir — ek güvence mekanizması gerekmez.
Kurul, yeterlilik kararı verirken şu kriterleri değerlendirir: ilgili ülkenin mevzuatı ve uygulaması, bağımsız veri koruma otoritesinin varlığı ve etkinliği, uluslararası taahhütler ve karşılıklılık ilkesi.
Mayıs 2026 durumu: Kurul henüz hiçbir ülke veya kuruluş hakkında yeterlilik kararı yayımlamamıştır. Bu nedenle pratikte bu basamak henüz kullanılamamaktadır. Karar yayımlandığında hangi ülkelerin kapsama alınacağı büyük önem taşıyacaktır; AB ülkeleri güçlü aday olarak değerlendirilmektedir.
Basamak 2: Uygun Güvenceler
Yeterlilik kararı olmayan ülkelere aktarım için iki güvence mekanizması öngörülmüştür.
Standart sözleşme: Kurul tarafından yayımlanan ve tarafların imzalaması gereken standart sözleşme hükümleri. Mayıs 2026 itibarıyla en yaygın kullanılan mekanizma budur.
Bağlayıcı şirket kuralları (BCR): Çok uluslu şirket gruplarının grup içi veri aktarımları için hazırlayıp Kurul'un onayına sunduğu kurallardır. Onay süreci uzun ve karmaşıktır; genellikle büyük ölçekli holding yapıları için uygundur.
Basamak 3: İstisnai (Arızi) Haller
İlk iki basamaktan hiçbirinin uygulanamadığı durumlarda, tek seferlik ve arızi aktarımlar için kanunda sayılı istisnalar kullanılabilir.
Bu istisnalar şunlardır: ilgili kişinin açık rızası (yalnızca arızi aktarımlar için), sözleşmenin ifası için zorunlu olması, hukuki yükümlülük, hayati menfaat, kamuya açık veriler ve bir hakkın tesisi veya korunması.
Kritik uyarı: Bu istisnalar sürekli aktarımlar için kullanılamaz. Bir SaaS platformuna günlük veri akışı, bulut sunucuda sürekli depolama veya CRM'de müşteri verisi tutma gibi düzenli faaliyetler "arızi" değildir. Bu nedenle sürekli aktarımlar için mutlaka Basamak 2 (standart sözleşme veya BCR) kullanılmalıdır.
4 Standart Sözleşme Tipi: Karşılaştırma
Kurul, farklı aktör ilişkilerini düzenlemek üzere 4 farklı standart sözleşme tipi yayımlamıştır.
Tip 1: Veri Sorumlusundan Veri Sorumlusuna (Controller to Controller)
Türkiye'deki veri sorumlusunun, yurt dışındaki bağımsız bir veri sorumlusuna veri aktardığı durumlarda kullanılır.
Örnek senaryolar: Türk şirketin yurt dışındaki iş ortağına müşteri verisi aktarması, franchise veren şirketin yurt dışındaki franchise alana müşteri verisi göndermesi, Türk hastanenin yurt dışındaki uzman kliniğe hasta verisi aktarması.
Tip 2: Veri Sorumlusundan Veri İşleyene (Controller to Processor)
Türkiye'deki veri sorumlusunun, yurt dışındaki veri işleyene veri aktardığı durumlarda kullanılır. En yaygın kullanılan tip budur.
Örnek senaryolar: AWS, Google Cloud, Azure gibi bulut sağlayıcılara veri depolama, Salesforce, HubSpot gibi CRM platformlarına müşteri verisi yükleme, Mailchimp, SendGrid gibi e-posta servislerine iletişim verisi aktarma, Stripe, PayPal gibi ödeme sağlayıcılarına işlem verisi gönderme.
Tip 3: Veri İşleyenden Veri İşleyene (Processor to Processor)
Türkiye'deki veri işleyenin, yurt dışındaki alt işlemciye veri aktardığı durumlarda kullanılır.
Örnek senaryolar: Türkiye'deki bordro şirketinin yurt dışındaki bulut altyapısında veri depolaması, Türkiye'deki yazılım firmasının yurt dışındaki test hizmeti sağlayıcısına veri aktarması.
Tip 4: Veri İşleyenden Veri Sorumlusuna (Processor to Controller)
Yurt dışındaki veri sorumlusunun Türkiye'deki veri işleyenden veri geri alması veya Türkiye'deki veri işleyenin aktardığı verinin yurt dışında veri sorumlusu tarafından işlenmesi durumlarını kapsar. En az kullanılan tiptir.
4 Tipin Karşılaştırma Tablosu
Özellik | Tip 1 (C2C) | Tip 2 (C2P) | Tip 3 (P2P) | Tip 4 (P2C) |
|---|---|---|---|---|
Aktaran | TR Veri Sorumlusu | TR Veri Sorumlusu | TR Veri İşleyen | TR Veri İşleyen |
Alan | Yurt dışı Veri Sorumlusu | Yurt dışı Veri İşleyen | Yurt dışı Alt İşlemci | Yurt dışı Veri Sorumlusu |
Yaygınlık | Orta | Çok yüksek | Orta | Düşük |
Tipik senaryo | İş ortağı, franchise | Bulut, SaaS, CRM | Alt işlemci, test hizmeti | Veri iadesi |
Kurul bildirimi | 5 iş günü | 5 iş günü | 5 iş günü | 5 iş günü |
5 İş Günü Bildirim Yükümlülüğü
Standart sözleşme imzalandıktan sonra 5 iş günü içinde Kurul'a bildirim yapılması zorunludur. Bu süre, sözleşmenin her iki tarafça imzalanarak yürürlüğe girdiği tarihten itibaren başlar.
Bildirimde Yer Alması Gerekenler
Aktarımı yapan ve alan tarafların kimlik bilgileri, aktarılacak kişisel veri kategorileri, aktarımın amacı, aktarımın yapılacağı ülke, imzalanan standart sözleşmenin bir nüshası ve aktarımın sürekli mi yoksa tek seferlik mi olduğu.
Bildirim Nasıl Yapılır?
Bildirim, KVKK Kurumu'nun belirleyeceği usule göre yapılır. Kurul'un çevrimiçi bildirim sistemi bu amaçla kullanılmaktadır.
Bildirimi Kaçırmanın Sonucu
5 iş günü içinde bildirim yapılmaması, KVKK m. 18/1-d kapsamında yurt dışı aktarımda bildirim ihlali olarak değerlendirilir. 2026 yılında bu ihlalin cezası 90.308 TL – 1.806.177 TL arasındadır.
Ayrıca bildirimsiz aktarım, veri güvenliği yükümlülüğünün de ihlali olarak nitelendirilebilir; bu durumda 256.357 TL – 17.092.242 TL arasında ek ceza doğabilir.
Günlük Kullanılan Araçların Durumu
Teknoloji şirketlerinin ve modern işletmelerin günlük kullandığı araçların büyük çoğunluğu yurt dışı merkezlidir. Her birinin KVKK yurt dışı aktarım kapsamındaki durumu ayrıca değerlendirilmelidir.
İletişim ve İşbirliği Araçları
Araç | Merkez | Veri Lokasyonu | Standart DPA | KVKK Durumu |
|---|---|---|---|---|
Slack | ABD | ABD (varsayılan) | GDPR DPA mevcut | Standart sözleşme gerekli |
Notion | ABD | ABD | GDPR DPA mevcut | Standart sözleşme gerekli |
WhatsApp Business | ABD (Meta) | ABD/İrlanda | GDPR DPA mevcut | Standart sözleşme gerekli |
Microsoft Teams | ABD | AB seçimi mümkün | GDPR DPA mevcut | Standart sözleşme gerekli |
Zoom | ABD | ABD (varsayılan) | GDPR DPA mevcut | Standart sözleşme gerekli |
Google Workspace | ABD | AB seçimi mümkün | GDPR DPA mevcut | Standart sözleşme gerekli |
Bulut ve Altyapı
Araç | Merkez | Veri Lokasyonu | Standart DPA | KVKK Durumu |
|---|---|---|---|---|
AWS | ABD | AB bölgesi seçilebilir | GDPR DPA mevcut | Standart sözleşme gerekli |
Google Cloud | ABD | AB bölgesi seçilebilir | GDPR DPA mevcut | Standart sözleşme gerekli |
Azure | ABD | AB bölgesi seçilebilir | GDPR DPA mevcut | Standart sözleşme gerekli |
DigitalOcean | ABD | AB/ABD seçilebilir | GDPR DPA mevcut | Standart sözleşme gerekli |
Vercel | ABD | ABD (varsayılan) | GDPR DPA mevcut | Standart sözleşme gerekli |
SaaS ve İş Araçları
Araç | Merkez | KVKK Durumu |
|---|---|---|
Salesforce | ABD | Standart sözleşme gerekli |
HubSpot | ABD | Standart sözleşme gerekli |
Intercom | ABD | Standart sözleşme gerekli |
Mailchimp | ABD | Standart sözleşme gerekli |
Stripe | ABD | Standart sözleşme gerekli |
Jira/Atlassian | Avustralya | Standart sözleşme gerekli |
GitHub | ABD | Standart sözleşme gerekli |
Yapay Zeka Araçları
Araç | Merkez | KVKK Durumu |
|---|---|---|
OpenAI (ChatGPT) | ABD | Standart sözleşme gerekli; model eğitimi riski ayrıca değerlendirilmeli |
Anthropic (Claude) | ABD | Standart sözleşme gerekli |
Google Gemini | ABD | Standart sözleşme gerekli |
Midjourney | ABD | Kişisel veri aktarımı varsa standart sözleşme gerekli |
Kritik not: Bu araçların GDPR DPA'ları genellikle KVKK'nın temel gereksinimlerini karşılar. Ancak KVKK'nın 5 iş günü bildirim yükümlülüğü, Kurul'a bildirim formatı ve Türkiye'ye özgü yükümlülükler konusunda ek protokol veya iç prosedür oluşturulması önerilir.
"Açık Rıza Alıyoruz, Yeter" Yanılgısı
Bu, 2026'da hâlâ en sık karşılaşılan ve en tehlikeli yanılgıdır.
7499 sayılı Kanun sonrası açık rıza, yurt dışı aktarımda yalnızca arızi (tek seferlik, süreklilik arz etmeyen) aktarımlar için kullanılabilecek bir istisna haline gelmiştir. Sürekli veri akışı gerektiren SaaS abonelikleri, bulut depolama, CRM kullanımı ve API entegrasyonları arızi değildir.
Açık rızanın sürekli aktarımlar için kullanılmasının riskleri şunlardır. İlgili kişi rızasını geri aldığında tüm veri aktarımı durmalıdır — bu operasyonel olarak mümkün değildir. Hizmet kullanımının rızaya bağlanması özgür irade ilkesini ihlal eder. Kurul rehberlerinde sürekli aktarımlarda açık rızanın "kaçış yolu" olarak kullanılamayacağı açıkça belirtilmiştir.
Doğru yaklaşım: sürekli aktarımlar için standart sözleşme imzalanması ve 5 iş günü içinde Kurul'a bildirim yapılmasıdır.
Standart Sözleşme İmzalama Süreci
Adım 1: Aktarım Envanteri Çıkarma
Şirketinizin yurt dışına veri aktardığı tüm noktaları tespit edin: hangi araçlar, hangi bulut sağlayıcılar, hangi iş ortakları ve hangi veri kategorileri. Bu envanter, kaç adet ve hangi tipte standart sözleşme imzalamanız gerektiğini belirler.
Adım 2: Doğru Sözleşme Tipini Seçme
Her aktarım ilişkisi için 4 tipten uygun olanı seçin. Çoğu teknoloji şirketi için Tip 2 (Controller to Processor) en yaygın kullanılan tiptir.
Adım 3: Sözleşmenin İmzalanması
Kurul'un yayımladığı standart sözleşme metninin taraflarca imzalanması gerekir. Sözleşme metnine ek madde eklenebilir; ancak standart hükümlerin değiştirilmesi veya çıkarılması mümkün değildir.
Büyük teknoloji şirketlerinin (AWS, Google, Microsoft) kendi DPA'ları genellikle standart sözleşme hükümlerini karşılayacak biçimde tasarlanmıştır. Ancak KVKK standart sözleşmesinin metninin aynen kullanılıp kullanılması gerektiği konusunda Kurul'un kesin tutumu netleşme aşamasındadır.
Adım 4: Kurul'a Bildirim (5 İş Günü)
Sözleşmenin yürürlüğe girdiği tarihten itibaren 5 iş günü içinde Kurul'a bildirim yapılmalıdır. Bildirimin gecikmesi ayrı bir ihlal kategorisi oluşturur.
Adım 5: Periyodik Gözden Geçirme
Standart sözleşme imzalandıktan sonra veri akışının sözleşme kapsamında kalıp kalmadığı düzenli olarak gözden geçirilmelidir. Yeni veri kategorisi eklenmesi, aktarım amacının değişmesi veya yeni alt işlemci kullanılması güncelleme gerektirebilir.
Bağlayıcı Şirket Kuralları (BCR)
BCR, çok uluslu şirket gruplarının grup içi yurt dışı veri aktarımları için hazırladığı ve Kurul'un onayına sunduğu kapsamlı kurallardır.
BCR süreci, standart sözleşmeye kıyasla çok daha uzun ve karmaşıktır: hazırlık aylar sürebilir, Kurul'un onay süreci ek zaman gerektirir ve kurallarda yapılacak her değişiklik yeniden onaya tabidir.
Bu nedenle BCR, genellikle çok uluslu holding yapıları ve sürekli grup içi veri transferi yapan büyük ölçekli şirketler için uygun bir mekanizmadır. KOBİ'ler ve orta ölçekli şirketler için standart sözleşme daha pratik ve hızlıdır.
Veri Lokasyonu Stratejisi
Yurt dışı aktarım riskini minimize etmenin en doğrudan yolu, veriyi Türkiye'de veya yeterlilik kararı verilmesi beklenen ülkelerde (örneğin AB) tutmaktır.
Seçenekler ve Değerlendirme
Strateji | Avantaj | Dezavantaj |
|---|---|---|
Türkiye'de barındırma | Yurt dışı aktarım sorunu yok | Maliyet yüksek, sağlayıcı seçeneği sınırlı |
AB bölgesinde sunucu | Risk azalır (yeterlilik kararı beklentisi) | ABD şirketinin teknik erişimi devam edebilir |
ABD sunucu + standart sözleşme | Operasyonel esneklik | En yüksek hukuki risk, tam uyum zorunlu |
Hibrit model | Risk dağıtılır | Karmaşık yönetim |
AB bölgesinde sunucu seçimi, Kurul'un AB ülkelerine yeterlilik kararı vermesi halinde yurt dışı aktarım sorununu büyük ölçüde çözecektir. Bu nedenle mümkünse AB sunucu seçimi uzun vadeli stratejik tercih olarak önerilir.
Sık Sorulan Sorular
Yurt dışına veri aktarımı nedir?
Kişisel verilerin Türkiye dışındaki bir sunucu, kuruluş veya kişiye fiziksel veya dijital ortamda aktarılmasıdır. Bulut depolama, SaaS kullanımı, API entegrasyonu, e-posta hizmeti ve yapay zeka araçları dahil pek çok günlük operasyon bu kapsamdadır.
Standart sözleşme zorunlu mu?
Yeterlilik kararı olmayan ülkelere sürekli veri aktarımı yapılıyorsa evet, standart sözleşme (veya BCR) zorunludur. Yalnızca açık rızaya dayanan sürekli aktarımlar artık hukuken sürdürülemez.
Standart sözleşme ücretsiz mi?
Kurul'un yayımladığı sözleşme metni ücretsizdir; ancak hukuki danışmanlık, sözleşme müzakeresi ve ek protokol hazırlığı maliyetleri değişkendir.
Her tedarikçi için ayrı standart sözleşme mi imzalamam gerekiyor?
Evet. Her bir yurt dışı veri aktarımı ilişkisi için ayrı standart sözleşme imzalanmalı ve her biri için ayrı Kurul bildirimi yapılmalıdır. 10 farklı yurt dışı SaaS aracı kullanıyorsanız 10 ayrı sözleşme ve 10 ayrı bildirim gerekir.
5 iş günü bildirimini kaçırırsam ne olur?
KVKK m. 18/1-d kapsamında 90.308 TL – 1.806.177 TL arasında idari para cezası uygulanır. Ayrıca bildirimsiz aktarım veri güvenliği ihlali olarak da nitelendirilebilir ve 256.357 TL – 17.092.242 TL arasında ek ceza doğabilir.
WhatsApp Business kullanıyorum, standart sözleşme gerekli mi?
Evet. WhatsApp Business üzerinden müşteri verileri işleniyorsa bu veriler ABD/İrlanda sunucularına aktarılır. Bu aktarım için standart sözleşme mekanizması kullanılmalıdır.
Slack'te iç iletişim yapıyoruz, bu da yurt dışı aktarım mı?
Evet. Slack mesajlarında çalışan isimleri, e-postaları ve paylaşılan dosyalardaki kişisel veriler ABD sunucularına aktarılır. Bu aktarım için standart sözleşme gereklidir.
Okuyucular Bunları da Soruyor
Yeterlilik kararı ne zaman gelecek?
Kurul'un yeterlilik kararı takvimi kamuoyuyla paylaşılmamıştır. AB ülkeleri, GDPR'ın güçlü koruma düzeyi nedeniyle güçlü adaylar olarak değerlendirilmektedir. Yeterlilik kararı yayımlandığında o ülkelere aktarım standart sözleşme gerektirmeden yapılabilecektir.
GDPR DPA'sı KVKK standart sözleşmesi yerine geçer mi?
Doğrudan geçmez. GDPR DPA'sı KVKK'nın pek çok gereksinimini karşılamakla birlikte, KVKK standart sözleşmesinin metninin aynen kullanılması ve 5 iş günü Kurul bildirimi gibi Türkiye'ye özgü yükümlülükler ayrıca yerine getirilmelidir.
Türkiye'deki bir şirketin yurt dışındaki şubesine aktarım standart sözleşme gerektirir mi?
Evet. Aynı şirketin yurt dışındaki şubesi ayrı bir hukuki kişilik oluşturmasa bile, verinin fiziksel olarak Türkiye dışına çıkması yurt dışı aktarım kapsamındadır. Ancak çok uluslu şirket grupları için BCR daha uygun bir mekanizma olabilir.
Açık rıza hiç kullanılamaz mı artık?
Kullanılabilir; ancak yalnızca arızi (tek seferlik, süreklilik arz etmeyen) aktarımlar için. Örneğin bir müşterinin verilerinin tek seferlik bir yurt dışı konsültasyon için aktarılması arızi sayılabilir. Günlük SaaS kullanımı, bulut depolama veya CRM operasyonu arızi değildir.
Sonuç
Yurt dışına veri aktarımı, 7499 sayılı Kanun sonrasında Türk veri koruma hukukunun en dinamik ve en yüksek riskli alanı haline gelmiştir. Eski "açık rıza alıyoruz, sorun yok" modeli artık hukuken sürdürülemez; standart sözleşme mekanizması ve 5 iş günü bildirim yükümlülüğü tüm şirketler için zorunlu bir gerçekliktir.
AWS'den Slack'e, Notion'dan WhatsApp'a kadar günlük kullandığınız her yurt dışı merkezli araç bu kapsamdadır. Her biri için ayrı standart sözleşme imzalanması ve Kurul'a bildirim yapılması gerekir.
Güneş Partners olarak yurt dışı veri aktarımı uyum süreçlerinde — aktarım envanteri çıkarılması, standart sözleşme hazırlığı ve müzakeresi, Kurul'a bildirim, BCR başvurusu ve Kurul incelemesinde savunma — şirketlere kapsamlı hukuki destek sağlıyoruz. Yurt dışı aktarım uyumunuzu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 9 (7499 sayılı Kanun'la değişik), Yurt Dışına Kişisel Veri Aktarımında Standart Sözleşmeye İlişkin Usul ve Esaslar Hakkında Yönetmelik, Kurul'un standart sözleşme bildirim duyuruları, KVKK Kurumu resmi rehberleri ve büyük teknoloji şirketlerinin DPA dokümanları temelinde hazırlanmıştır. Yurt dışı veri aktarımı ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.