Standart sözleşme ile kişisel verilerin yurt dışına aktarılması, günümüzde yalnızca çok uluslu şirketlerin değil; bulut tabanlı yazılım kullanan, yabancı menşeli e-posta altyapılarından yararlanan, uluslararası insan kaynakları veya müşteri ilişkileri sistemleriyle çalışan hemen her işletmenin hukuki gündeminde yer almaktadır. Özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde yapılan değişiklikler ve bunu izleyen ikincil düzenlemeler sonrasında, yurt dışına veri aktarımı alanında önceki döneme göre daha sistematik, katmanlı ve uygulamaya dönük bir rejim benimsenmiştir. KVKK’nın güncel açıklamalarına göre bu rejim; yeterlilik kararı, uygun güvenceler ve arızi haller ekseninde işlemektedir. Ayrıca “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” 10 Temmuz 2024 tarihinde yayımlanmıştır.
Bu yeni yapıda, uygulamada en çok başvurulan hukuki araçlardan biri standart sözleşmedir. Bunun başlıca sebebi, Kurul tarafından yeterli korumanın bulunduğu ülkelere ilişkin henüz bir belirleme yapılmamış olması ve bu nedenle birçok veri aktarım senaryosunda “uygun güvence” mekanizmalarının ön plana çıkmış bulunmasıdır. KVKK’nın Yurt Dışına Aktarım sayfasında açıkça belirtildiği üzere, yeterlilik kararı bulunmayan durumlarda Kanun’un 5. ve 6. maddelerindeki işleme şartlarından birinin varlığına ek olarak, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanabilmesi ve etkili kanun yollarına başvurabilmesi imkânı bulunmalı; ayrıca Kanun’da öngörülen uygun güvencelerden biri sağlanmalıdır. Standart sözleşme de bu uygun güvence yollarından biridir.
Ancak önemle vurgulamak gerekir ki, standart sözleşme tek başına otomatik bir “hukuka uygunluk zırhı” yaratmaz. Öncelikle kişisel verinin işlenmesi bakımından Kanun’un 5. veya 6. maddesinde öngörülen hukuki şartlardan biri mevcut olmalıdır. Standart sözleşme, esasen yurt dışına aktarım ayağında uygun güvence işlevi görür; temel veri işleme faaliyetinin hukuki sebebini ikame etmez. Bu nedenle sağlıklı bir uyum çalışması, yalnızca form imzalamaya değil; veri akışının niteliği, tarafların hukuki sıfatı, işleme amacı, veri kategorileri ve alınan teknik-idari tedbirlerin bütüncül biçimde değerlendirilmesine dayanmalıdır.
Standart sözleşme nedir?
KVKK’nın rehberi ve Kurul tarafından ilan edilen metinler uyarınca standart sözleşme; veri aktaran ile yurt dışındaki veri alıcısı arasında akdedilen, içeriği Kurul tarafından önceden belirlenmiş ve kişisel verilerin yurt dışına aktarımında uygun güvence sağlamaya yönelik model sözleşmedir. Kurul, 4 Haziran 2024 tarihli ve 2024/959 sayılı kararıyla standart sözleşme metinlerini kabul etmiş; bu belgeleri kamuya açık şekilde yayımlamıştır. Rejimin temel mantığı, tarafların serbestçe oluşturduğu bir sözleşme yerine, Kurul tarafından belirlenmiş ve belli güvenceleri asgari düzeyde içeren bir metnin kullanılmasını sağlamaktır.
Bu çerçevede tek tip bir sözleşme bulunmamaktadır. Kurul tarafından dört ayrı model öngörülmüştür: veri sorumlusundan veri sorumlusuna, veri sorumlusundan veri işleyene, veri işleyenden veri işleyene ve veri işleyenden veri sorumlusuna aktarım. Dolayısıyla sürecin ilk ve en kritik aşaması, tarafların KVKK bakımından hangi sıfatı taşıdığının doğru tespit edilmesidir. Yanlış model üzerinden ilerlenmesi, sözleşmenin hukuki dayanağını tartışmalı hale getirebilir ve tüm uyum sürecini zayıflatabilir. Özellikle grup şirketi aktarımları, yabancı yazılım sağlayıcıları, dış hizmet sağlayıcılar ve global SaaS altyapıları bakımından bu sıfat tespitinin ayrıca dikkatle yapılması gerekir.
Standart sözleşme ile yurt dışına veri aktarımı nasıl yapılır?
Sürecin ilk aşaması, somut olayda gerçekten bir yurt dışına veri aktarımı bulunup bulunmadığının tespit edilmesidir. Yabancı menşeli e-posta hizmetleri, yurt dışındaki sunucularda çalışan CRM veya ERP sistemleri, global bordro altyapıları, destek yazılımları, uluslararası bulut depolama hizmetleri ya da yurtdışındaki grup şirketlerinin erişebildiği veri tabanları çoğu durumda bu tartışmayı gündeme getirir. Uygulamada pek çok işletme bu veri akışlarını yalnızca “teknik altyapı kullanımı” olarak görse de, veri alıcısının yurt dışında bulunması veya veriye yurt dışından erişilebilmesi, çoğu kez aktarım değerlendirmesini gerekli kılar. Bu nedenle teknik kullanım ile hukuki aktarım kavramı birbirine karıştırılmamalıdır. Bu cümle, rehber ve Kurum yaklaşımından çıkan uygulama sonucudur.
İkinci aşama, işleme şartının belirlenmesidir. Kanun’un 9. maddesi, yurt dışına aktarımı bağımsız bir rejime bağlamış olsa da, bu rejim 5. ve 6. maddelerdeki işleme şartlarından kopuk değildir. Başka bir ifadeyle, aktarım konusu kişisel veri için geçerli bir işleme sebebi bulunmaksızın yalnızca standart sözleşmeye dayanılarak yurt dışına veri aktarımı yapılması hukuken güvenli bir yaklaşım değildir. Özellikle açık rıza dışındaki işleme şartlarının değerlendirilmesi, veri minimizasyonu ilkesine uygunluğun denetlenmesi ve aktarılan veri setinin gerçekten gerekli olup olmadığının incelenmesi bu aşamada önem taşır.
Üçüncü aşama, doğru standart sözleşme tipinin seçilmesi ve sözleşme eklerinin somut veri akışına uygun şekilde doldurulmasıdır. Yönetmelik ve rehber uyarınca standart sözleşme; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler ile özel nitelikli kişisel veriler için öngörülen ek önlemler gibi hususları içermelidir. Uygulamada yapılan en önemli hatalardan biri, bu bölümlerin genel ve soyut ifadelerle doldurulmasıdır. Oysa hukuken güçlü bir kurgu için hangi veri kategorilerinin, hangi amaçla, hangi alıcıya ve hangi koruma mekanizmalarıyla aktarıldığının açık biçimde gösterilmesi gerekir.
Dördüncü aşama, standart sözleşmenin Kurul tarafından ilan edilen metne sadık kalınarak kullanılmasıdır. Yönetmelik’in 14. maddesinde, standart sözleşmenin üzerinde herhangi bir değişiklik yapılmaksızın kullanılmasının zorunlu olduğu açıkça düzenlenmiştir. Aynı maddede, metnin yabancı dilde de akdedilmesi halinde Türkçe metnin esas alınacağı belirtilmiştir. Kurumun 5 Şubat 2025 tarihli kamuoyu duyurusu da, standart sözleşmeler üzerinde seçimlik hükümler dışında ekleme, çıkarma veya değişiklik yapılmaması gerektiğini özellikle vurgulamaktadır. Dolayısıyla tarafların ticari kaygılarla veya sözleşme dili tercihiyle metni yeniden kurgulamaları, standart sözleşmenin hukuki niteliğini zedeleyebilir.
Beşinci aşama, imza ve temsil yetkisinin usulüne uygun şekilde kurulmasıdır. Kurumun kamuoyu duyurusunda açıkça belirtildiği üzere, standart sözleşmenin aktarım taraflarınca veya tarafları temsile ve imzaya yetkili kişilerce imzalanması zorunludur; taraflardan birinin ya da her ikisinin geçerli imzasının bulunmaması halinde standart sözleşme geçerli kabul edilmez. Yönetmelik ayrıca, yapılacak bildirime sözleşmeyi imzalayanların yetkili olduğuna dair tevsik edici belgelerin eklenmesini şart koşmaktadır. Yabancı ülkede düzenlenmiş belgeler bakımından ise noter onaylı tercüme ve somut olaya göre apostil veya diğer doğrulama süreçleri ayrıca önem kazanabilir. Özellikle uluslararası grup şirketlerinde, imza yetkisi ve temsil belgelerinin eksik hazırlanması uygulamada ciddi risk doğurmaktadır.
Altıncı aşama, bildirim yükümlülüğünün süresinde ve usulüne uygun şekilde yerine getirilmesidir. Kanun ve rehber uyarınca standart sözleşme, imzaların tamamlanmasından itibaren beş iş günü içinde Kuruma bildirilmelidir. Yönetmelik, bildirimin fiziki olarak, KEP adresi aracılığıyla veya Kurul tarafından belirlenen diğer yöntemlerle yapılabileceğini düzenlemektedir. Kurum da 17 Ekim 2024 tarihli kararı doğrultusunda Standart Sözleşme Bildirim Modülü’nü kullanıma açmıştır. Rehberde ayrıca, bildirim yükümlülüğünün yerine getirilmemesinin Kanun’un 18. maddesi kapsamında idari para cezası sonucunu doğurabileceği açıkça ifade edilmiştir. Bu nedenle sözleşmenin imzalanması, sürecin sonu değil; bildirim yükümlülüğünün başlangıcıdır.
Uygulamada en sık karşılaşılan hukuki hatalar
Uygulamada en sık görülen yanlışlardan biri, standart sözleşme mekanizması ile arızi aktarım istisnalarının birbirine karıştırılmasıdır. Yönetmelik’e göre arızi aktarım; düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımı ifade eder. Bu nedenle her gün kullanılan yabancı e-posta altyapısı, sürekli çalışan bordro sistemi, düzenli grup şirketi raporlaması veya devamlı bulut depolama hizmeti gibi veri akışları çoğu durumda arızi olarak nitelendirilemez. Süreklilik taşıyan aktarım ilişkilerinde, uygun güvence yapısının kurulması esastır.
Bir diğer önemli hata, standart sözleşmenin tek başına yeterli görüldüğü, veri envanteri ve aydınlatma yükümlülüğü gibi tamamlayıcı alanların ihmal edildiği senaryolardır. Oysa sağlıklı bir uyum yaklaşımında aktarım konusu verinin niteliği, özel nitelikli veri içerip içermediği, sonraki aktarımların olup olmadığı, veri alıcısının hangi teknik ve idari tedbirleri aldığı ve ilgili kişinin haklarını fiilen nasıl kullanabileceği birlikte değerlendirilmelidir. Nitekim Kurumun rehberinde de, standart sözleşmelerin sadece metin olarak değil; içerdiği güvencelerin işlerlik kazanacağı bir sistem içinde ele alınması gerektiği anlaşılmaktadır. Bu ifade, rehberdeki sistematikten yapılan hukuki bir çıkarımdır.
Sonuç
Standart sözleşme ile yurt dışına veri aktarımı, mevcut Türk veri koruma hukukunda şirketler bakımından en işlevsel ve en sık başvurulan uygun güvence yöntemlerinden biridir. Bununla birlikte, bu mekanizmanın güvenli biçimde işletilebilmesi için doğru sözleşme modelinin seçilmesi, metnin değiştirilmeden kullanılması, işleme şartının ayrıca kurulması, imza ve temsil yetkisinin ispatlanması ve beş iş günlük bildirim süresinin titizlikle takip edilmesi gerekir. Aksi halde görünüşte tamamlanmış bir süreç, idari yaptırım riski taşıyan eksik bir uyum çalışmasına dönüşebilir.
Özellikle yabancı bulut çözümleri kullanan, yurt dışı merkezli yazılım sağlayıcılarından hizmet alan, grup şirketleri arasında veri paylaşan veya uluslararası iş gücü ve müşteri yönetimi sistemleriyle çalışan şirketler bakımından standart sözleşme artık tali bir belge değil; kurumsal veri yönetiminin merkezindeki hukuki araçlardan biridir. Bu nedenle konuya yalnızca teknik veya operasyonel değil, aynı zamanda sözleşmesel, kurumsal yönetişim ve risk yönetimi perspektifiyle yaklaşılması gerekir.