Kişisel verilerin korunması, çağdaş hukuk sistemlerinde yalnızca bireysel mahremiyetin değil, aynı zamanda demokratik toplum düzeninin, ekonomik güvenliğin ve dijital piyasalarda adil rekabetin de temel unsurlarından biri hâline gelmiştir. Dijital platformlar aracılığıyla yürütülen veri işleme faaliyetleri, sınır ötesi nitelik kazanmış; kişisel veriler çoğu zaman ilgili kişinin farkında dahi olmadığı şekilde farklı ülkelerde depolanmakta, işlenmekte ve üçüncü kişilerle paylaşılmaktadır. Bu bağlamda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), yalnızca kavramsal bir çerçeve sunmakla kalmamış; Kişisel Verileri Koruma Kurulu’nun verdiği kararlar yoluyla uygulamaya yön veren somut kriterler ortaya koymuştur. Özellikle yurt dışına kişisel veri aktarımı, Kanun’un en hassas ve en sık ihlal edilen alanlarından biri olarak öne çıkmaktadır.

Bu çalışmada, Kurul’un Amazon.com.tr hakkında verdiği ve kamuoyunda “milyonluk ceza” olarak yankı bulan karar esas alınarak;

• açık rıza kavramının sınırları,
• aydınlatma yükümlülüğünün nasıl ve ne zaman yerine getirilmesi gerektiği,
• ticari elektronik iletiler ile kişisel veri işleme arasındaki ilişki,
• yurt dışına veri aktarımında hukuka uygunluk şartları

mevzuat, Kurul kararları ve ilkesel değerlendirmeler ışığında ayrıntılı biçimde ele alınacaktır. Bu yönüyle yazı, yalnızca bir haber veya karar özeti değil; veri sorumluları, hukukçular, uyum birimleri ve dijital platformlar için yol gösterici bir referans metni niteliği taşımayı amaçlamaktadır.

Açık Rıza Kavramı ve Kişisel Verilerin İşlenmesinde Temel Çerçeve

Kişisel Verilerin Açık Rıza Olmaksızın İşlenememesi

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 6698 sayılı Kanunun 5’inci maddesinin (1) numaralı fıkrası hükmü gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Maddenin (2) numaralı fıkrasında ise, ilgili kişinin açık rızası olmaksızın kişisel verilerin hangi hallerde işlenebileceği düzenlenmiştir.

Açık Rızanın Hukuki Niteliği

Açık rıza, Kanun’un 3. maddesinde “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmıştır. Bu tanım, üç temel unsuru zorunlu kılar: Birincisi, rızanın belirli bir veri işleme faaliyetine yönelik olması gerekir. Genel, muğlak veya gelecekteki belirsiz işlemleri kapsayan rızalar hukuken geçerli değildir. İkincisi, rızanın aydınlatmaya dayanması zorunludur. İlgili kişi; hangi verisinin, hangi amaçla, kimler tarafından ve ne kadar süreyle işleneceğini bilmeden verdiği bir onayla açık rıza iradesi ortaya koymuş sayılmaz. Üçüncüsü ise rızanın özgür irade ile verilmesidir. Hizmetten yararlanmanın, üyeliğin veya sözleşmenin açık rızaya bağlanması, rızayı sakatlar ve geçersiz hâle getirir. Kurul kararlarında da istikrarlı biçimde vurgulandığı üzere, açık rıza istisnai bir hukuki dayanak olup, veri sorumlularının “en güvenli yol” olarak her durumda başvurabileceği bir mekanizma değildir.

Ticari Elektronik İletiler ve Kişisel Veri İşleme İlişkisi

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 5’inci maddesinin (1)’nci fıkrası hükmü gereğince hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır.

Ticari Elektronik İleti Onayı ≠ KVKK Açık Rızası

Uygulamada sıkça yapılan hatalardan biri, ticari elektronik ileti onayı ile KVKK kapsamındaki açık rızanın birbirine karıştırılmasıdır. Oysa bu iki onay, farklı hukuki rejimlere tabidir ve biri diğerinin yerine geçmez. Ticaret Bakanlığı mevzuatı kapsamında alınan onay, yalnızca ticari ileti gönderimine ilişkindir. Buna karşılık, e-posta adresi veya telefon numarasının bir veri tabanında saklanması, profillenmesi, yurtdışına aktarılması veya farklı pazarlama kampanyalarında kullanılması KVKK kapsamında ayrı bir veri işleme faaliyetidir. Bu nedenle Kurul, ticari elektronik iletilere ilişkin denetimini yaparken dahi meseleyi kişisel verilerin işlenmesi perspektifinden ele almakta ve ihlali bu çerçevede değerlendirmektedir.

Kişisel Veri İşleme Faaliyetinin Başlangıç Anı

Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir…

“Henüz Gönderim Yapılmadı” Savunmasının Geçersizliği

Kurul kararlarında açıkça ortaya konulduğu üzere, kişisel veri işleme faaliyeti iletinin gönderilmesiyle değil, verinin kaydedilmesiyle başlar. Bu nedenle;

• “Henüz pazarlama e-postası göndermedik”,
• “Verileri sadece sistemde tutuyoruz”,
• “Aktif kampanya yok”

şeklindeki savunmalar, hukuki sorumluluğu ortadan kaldırmaz.

Aydınlatma Yükümlülüğü (KVKK m.10)

6698 sayılı KVKK m.10, veri sorumlusuna “kişisel verilerin elde edilmesi sırasında” ilgili kişiyi asgari içerikte bilgilendirme yükümlülüğü yükler. Bu yükümlülüğün pratikteki anlamı şudur: Veri işleme faaliyeti fiilen ne zaman başlıyorsa, aydınlatma da en geç o anda (tercihen hemen öncesinde) ve ilgili kişinin gerçekten fark edebileceği şekilde yapılmalıdır. E-ticaret siteleri bakımından veri işleme çoğu kez üyelik formu doldurulduğunda değil, site ilk ziyaret edildiği anda; çerezler, piksel etiketleri, cihaz parmak izi, oturum tanımlayıcıları ve benzeri araçlarla başlar. Bu nedenle “Gizlilik Bildirimi sitede var” yaklaşımı, tek başına KVKK m.10’un gerektirdiği şeffaflık standardını karşılamayabilir.

KVKK m.10’un saydığı asgari unsurlar (veri sorumlusu kimliği, işleme amaçları, aktarımın kimlere/ hangi amaçla yapılacağı, toplama yöntemi ve hukuki sebep, KVKK m.11 hakları) çoğu zaman uzun bir metin içinde teknik ifadelerle kaybolur. Oysa uygulamada iyi tasarlanmış bir aydınlatma, katmanlı bir yapı ile kurulur: İlk katmanda kısa ve anlaşılır bir özet; ikinci katmanda detaylı metin; üçüncü katmanda ise özel senaryolara ilişkin (çerezler, yurt dışı aktarım, pazarlama iletişimi, profilleme gibi) ayrı bilgilendirme katmanları yer alır. Böyle bir mimari, hem şeffaflık ilkesini güçlendirir hem de veri sorumlusunun ileride “aydınlatma yaptım” iddiasını ispat edebilmesini kolaylaştırır.

Amazon kararının metninizde öne çıkan yönlerinden biri, aydınlatmanın sadece “metnin erişilebilir olması” şeklinde pasif bir anlayışla ele alınmamasıdır. Siteye girişle birlikte veri işlenmeye başlanıyorsa, aydınlatma da site girişinde görünür olmalıdır. Bu, çoğu zaman çerez banner’ı/tercih paneli gibi arayüzlerle ve kullanıcı eylemiyle ilişkilendirilen bir bilgilendirme tasarımıyla mümkündür. Aksi halde, kullanıcı daha ilk anda izlenirken, aydınlatmanın metin içinde bir bağlantı olarak kalması, KVKK m.10’un “elde etme sırasında” ölçütüyle bağdaşmayacak şekilde yorumlanabilir.

Opt-in / Opt-out ayrımı

Opt-in / opt-out ayrımı, açık rıza tartışmasının arayüz tasarımına yansıyan en somut kısmıdır. KVKK m.3/1-a uyarınca açık rıza “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”dır. Bu tanım, varsayılan olarak işleyen ve kullanıcıyı “sonradan vazgeçmeye” zorlayan opt-out sistemleriyle gerilimlidir. Opt-out mantığında kullanıcı, başlangıçta rıza vermiş sayılır; rızayı kaldırma yükü kullanıcıya bırakılır. Oysa açık rızanın çekirdeğinde, rızanın kullanıcı tarafından bilinçli bir eylemle “verilmesi” bulunur. Bu da opt-in’i, yani kullanıcının kutucuğu bizzat işaretlemesini veya tercihini aktif biçimde seçmesini, daha uyumlu bir tasarım haline getirir.

Metninizde de açıkça belirtildiği gibi Kurul, “Promosyon E-postaları” bölümünde seçeneklerin önceden seçili gelmesini (pre-ticked checkboxes), açık rızanın özgür iradeyle verilmesi şartını zedeleyen bir tasarım olarak değerlendirmeye elverişli görmektedir. Önceden işaretli alanlar, kullanıcı davranışını veri sorumlusu lehine otomatikleştirir; kullanıcı çoğu zaman arayüzü hızla geçer ve gerçekte istemediği işleme faaliyetlerine onay vermiş gibi görünür. Bu durum, özellikle pazarlama amaçlı iletişimlerde “rıza yönetimi”nin (consent management) en sık hataya düşülen noktasıdır.

Opt-in/opt-out ayrımı sadece e-posta pazarlamasıyla sınırlı değildir. Çerezler ve izleme teknolojileri bakımından da benzer bir sorun vardır. Analitik ve reklam çerezleri gibi “zorunlu olmayan” işleme faaliyetleri için rıza gerekiyorsa, bu rızanın varsayılan açık olması ve “reddetmezsen kabul” mantığına dayandırılması, açık rıza standardı bakımından risk doğurur. Bu yüzden modern uyum pratikleri; “kabul et” kadar görünür bir “reddet” seçeneği, kategorilere ayrılmış tercihler ve rıza kayıtlarının saklanması gibi unsurları birlikte tasarlar. Buradaki amaç, rızanın gerçekten özgür iradeyle verildiğini göstermek ve sonradan “karanlık tasarım” (dark patterns) eleştirilerine maruz kalmamaktır.

Gizlilik bildirimi – açık rıza ayrımı

Kararın gerekçesinde dikkat çeken hususlardan biri, veri sorumlusunun yalnızca “ticari elektronik ileti” mevzuatına dayanarak KVKK boyutunu bertaraf etmeye çalışmasının Kurul tarafından açıkça kabul edilmemesidir. Kurul, ticari elektronik ileti göndermeye ilişkin ayrı bir düzenleme bulunmasını, iletişim kanallarının (telefon numarası, e-posta adresi gibi) kişisel veri olma niteliğini ortadan kaldıran bir gerekçe olarak görmemektedir. Bu yaklaşım, uygulamada sıklıkla karşılaşılan “Bu konu Ticaret Bakanlığı’nın alanına girer” savunmasının, kişisel veri işleme faaliyetleri yönünden Kurul denetimini dışlamadığını göstermektedir. Başka bir ifadeyle, elektronik iletilere ilişkin izin/ret mekanizmaları Ticaret Bakanlığı rejiminde düzenlenmiş olsa bile, bu iletilerin gönderilebilmesi için gerekli veri işleme süreçleri KVKK’nın temel ilkelerine ve şartlarına tabi olmaya devam eder.

Bu noktada aydınlatma metinleri ile açık rızanın birbirine karıştırılması, KVKK uyumunda en kritik ve en yaygın hatalardan biridir. “Gizlilik Bildirimi” veya “Privacy Notice”, kural olarak KVKK m.10 kapsamındaki aydınlatma yükümlülüğünün yerine getirilmesine hizmet eder; açık rızanın kendisi değildir. Açık rıza ise, bir irade beyanıdır ve ayrıca alınmalıdır. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in yaklaşımı da, açık rıza şartına dayalı işleme faaliyetlerinde aydınlatma ile rızanın “ayrı ayrı” yerine getirilmesini esas alır. Bu ayrımın pratik anlamı şudur: Veri sorumlusu, bir yandan kullanıcıya ne yaptığını şeffaf biçimde anlatmalı; diğer yandan, rıza gerekiyorsa kullanıcıdan “ayrı bir eylem” ile onay almalıdır. “Bu siteyi kullanarak kabul etmiş sayılırsınız” türü ifadeler, çoğu durumda rızayı zımni hale getirir; oysa KVKK açık rıza bakımından zımni onayı güvenli bir yöntem olarak görmez.

Metinlerde yer verilen “Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” yaklaşımı, iki ayrı riski aynı anda doğurur. İlk risk şeffaflıktır: Kullanıcı hangi işleme faaliyetlerini hangi amaçlarla “kabul ettiğini” somut olarak anlayamayabilir. İkinci risk irade sakatlığıdır: Kullanıcı, hizmeti kullanabilmek için mecburen kabul etmiş gibi bir duruma itilebilir. Bu nedenle uyumlu bir tasarım, gizlilik bildirimini “aydınlatma” fonksiyonunda tutar; açık rızayı ise pazarlama iletişimi, reklam/analitik çerezleri, yurt dışına aktarım gibi rıza gerektiren ayrı işleme faaliyetleri için ayrı ve spesifik bir irade beyanı olarak kurgular.

Bu çerçevede “hizmetin kişisel veri işlemeye bağlanması” meselesi özel önem taşır. Eğer pazarlama e-postaları, profilleme veya üçüncü taraf reklam çerezleri gibi sözleşmenin ifası için zorunlu olmayan faaliyetler, hizmete erişimin koşulu haline getiriliyorsa, açık rızanın özgür iradeyle verildiği iddiası zayıflar. Sözleşmenin kurulması ve ifası için zorunlu veriler ile “ek amaçlı” verileri, arayüzde de hukukî gerekçede de ayrıştırmak gerekir. Aksi halde hem KVKK m.4’teki ölçülülük ve dürüstlük ilkeleri hem de rıza mimarisi yönünden ciddi bir uyum açığı ortaya çıkar.

Amazon kararının teknik incelemesi (arayüz, checkbox, önceden işaretli alanlar)

Amazon kararının teknik boyutu, veri koruma hukukunun artık yalnızca “metin yazımı” değil, “ürün ve arayüz tasarımı” meselesi olduğunu göstermesi bakımından dikkat çekicidir. Kurulun incelemesinde, üyelik oluşturma sürecinde açık rızanın alınmadığı; üyelik tamamlandıktan sonra “Hesabım/İletişim Tercihleri” gibi alanlarda pazarlama iletişim kategorilerinin önceden seçili görünebildiği; ayrıca “lütfen bana artık pazarlama e-postaları göndermeyin” gibi opt-out mantığını çağrıştıran bir seçenek sunulduğu tespiti, rıza tasarımının nasıl çalıştığına dair somut bir arayüz eleştirisidir. Bu, “rıza”nın yalnızca hukuki bir kavram değil, kullanıcıya sunulan seçeneklerin varsayılan durumu, görünürlüğü ve kullanıcı davranışını yönlendirme biçimiyle doğrudan ilgili bir tasarım parametresi olduğunu ortaya koyar.

Önceden işaretli kutucuklar, pratikte en tartışmalı uygulamalardan biridir. Çünkü kullanıcı, rızayı bizzat “vermemiş” olur; sistem rızayı baştan vermiş sayar. Kullanıcının bunu fark edip geri çekmesi beklenir. Oysa açık rızanın mantığı, geri çekmeye dayalı değil, vermeye dayalıdır. Bu nedenle pazarlama e-postaları gibi rızaya dayalı bir işleme faaliyetinde, kategorilerin “varsayılan kapalı” gelmesi, kullanıcının dilerse kategorileri tek tek açması, “tümünü kabul et” seçeneği kadar “tümünü reddet” seçeneğinin de eşit görünürlükte sunulması, rıza tasarımını hukuka daha dayanıklı hale getirir.

Arayüz tasarımında bir diğer kritik nokta, rızanın kapsamının “belirli” olmasıdır. On adet kategori gibi çok sayıda pazarlama kategorisinin bir anda önceden seçili sunulması, rızanın belirli bir konuya ilişkin verilmesi şartını zayıflatabilir. Rıza tasarımının hedefi, kullanıcıya “neye onay verdiğini” açık biçimde göstermek olmalıdır. Kategori adları muğlaksa veya pazarlama ile hizmete ilişkin zorunlu bildirimler birbirine karışıyorsa, kullanıcı gerçekte pazarlamayı reddettiğini sanarken zorunlu bildirimleri de kaçırma endişesine kapılabilir. Bu da rızanın özgür iradeyle verilmesini dolaylı biçimde sakatlar.

Kararın teknik okuması, çerezler bağlamında daha da önemlidir. Siteye girişle birlikte çerezler üzerinden veri işlenmeye başlıyorsa, “banner/tercih paneli yok” veya “varsayılan açık” bir mekanizma, yalnız aydınlatma sorununu değil, rıza sorununu da büyütür. Zorunlu çerezler ile analitik/ reklam çerezleri ayrımı yapılmadan; kullanıcıya gerçek bir tercih sunulmadan veri işlenmesi, hem KVKK m.10 hem de açık rıza standardı bakımından riskli bir alan yaratır. Bu nedenle karar, yalnızca pazarlama e-postası rızası bakımından değil; site mimarisinin genelinde (çerezler, üyelik, profil alanları, üçüncü kişilere ait e-posta gibi veriler) “veri işleme akışlarının” denetlenebilir ve ispatlanabilir şekilde tasarlanması gerektiğini işaret eder.

Metinde yer verilen tespitlerden hareketle şu sonuç açıkça görülür: Uyum, “metinleri yayınladım” yaklaşımıyla bitmez; metinlerin kullanıcı deneyiminde nasıl çalıştığı, rızanın hangi ekranda nasıl alındığı, varsayılanların ne olduğu, kullanıcıdan hangi eylemin beklendiği ve rıza kayıtlarının nasıl tutulduğu gibi teknik ayrıntılarla tamamlanır. Veri sorumlusu için asıl kritik sorular şunlardır: Kullanıcı gerçekten bir şey seçti mi? Seçmediyse varsayılan neydi? Varsayılan kullanıcıyı veri sorumlusu lehine mi yönlendiriyordu? Rıza geri çekildiğinde süreç gerçekten duruyor mu? Geri çekilen rıza, daha önce yapılan işlemenin hukuka uygunluğunu geriye dönük meşrulaştırmak için mi kullanılıyor? Bu sorulara net cevap veren bir arayüz ve kayıt sistemi kurulmadıkça, aydınlatma metinleri ne kadar kapsamlı olursa olsun uyum programı kırılgan kalır.

Sonuç olarak, Amazon kararı bir “web sitesi kararı” olmaktan öte, KVKK’nın modern dijital ekonomide nasıl uygulanacağını gösteren bir “tasarım ve süreç denetimi” örneğidir. Kurulun yaklaşımı, veri sorumlularının ticari elektronik ileti rejimi ile KVKK rejimini birlikte yönetmesini; aydınlatma ile rızayı karıştırmamasını; opt-out mantığına dayanan, önceden işaretli, kullanıcıyı veri sorumlusu lehine sürükleyen arayüzlerden kaçınmasını; site girişinden itibaren veri işleme başladığı gerçeğini dikkate almasını ve tüm bu adımları ispatlanabilir bir uyum mimarisiyle belgelendirmesini zorunlu kılmaktadır.

Yurt Dışına Aktarımın Pratik Senaryoları ve Açık Rıza Tasarımı

Kişisel verilerin yurt dışına aktarımı, soyut bir mevzuat tartışmasının ötesinde, veri sorumlularının günlük faaliyetlerinde sıklıkla karşılaştığı pratik bir sorundur. Özellikle çok uluslu şirketler, e-ticaret platformları, bulut bilişim hizmetleri kullanan işletmeler, CRM ve pazarlama altyapılarını yurt dışı merkezli yazılımlar üzerinden yürüten veri sorumluları bakımından yurt dışına veri aktarımı neredeyse kaçınılmaz hâle gelmiştir. Bu nedenle, hukuka uygun bir yurt dışı aktarım rejiminin nasıl kurulacağı ve açık rızanın nasıl tasarlanması gerektiği, yalnızca hukuki değil aynı zamanda operasyonel bir mesele niteliği taşımaktadır.

Uygulamada en sık karşılaşılan yurt dışına aktarım senaryolarından biri, bulut hizmetleri üzerinden gerçekleştirilen veri depolama ve işleme faaliyetleridir. Veri sorumluları, e-posta altyapıları, dosya saklama sistemleri, müşteri ilişkileri yönetimi yazılımları ve analiz araçları gibi birçok hizmeti ABD veya AB merkezli sağlayıcılardan temin etmektedir. Bu durumda, Türkiye’de elde edilen kişisel veriler fiilen veya hukuken yurt dışındaki sunuculara aktarılmaktadır. Kurul kararlarında da açıkça vurgulandığı üzere, veri merkezinin fiili konumu, aktarımın varlığının tespitinde belirleyici unsurdur. Verinin Türkiye’den erişiliyor olması veya Türkiye’de bir şube üzerinden yönetiliyor olması, aktarım olgusunu ortadan kaldırmamaktadır.

Bir diğer yaygın senaryo, grup şirketleri arasında gerçekleştirilen veri paylaşımlarıdır. Ana şirketin veya bölgesel merkezin yurt dışında bulunması hâlinde, çalışan verileri, müşteri verileri veya tedarikçi bilgileri grup içi raporlama, denetim ve yönetim amaçlarıyla yurt dışına aktarılabilmektedir. Bu tür aktarımlar, çoğu zaman “kurumsal zorunluluk” veya “iç organizasyon” gerekçeleriyle meşrulaştırılmaya çalışılmakta; ancak Kurul uygulaması, bu gerekçelerin açık rıza veya Kanun’un 9. maddesinde öngörülen diğer hukuki mekanizmalar olmaksızın tek başına yeterli olmadığını ortaya koymaktadır.

Açık rıza tasarımında en sık yapılan hata, rızanın genel ve belirsiz ifadelerle alınmasıdır. Uygulamada sıkça rastlanan “Hizmetlerimizi kullanarak kişisel verilerinizin yurt dışına aktarılmasını kabul etmiş sayılırsınız” veya “Gizlilik politikamızı onaylamanız hâlinde verileriniz yurt dışına aktarılabilir” şeklindeki ifadeler, Kurul tarafından açık rıza olarak kabul edilmemektedir. Açık rızanın belirli, açık ve bilgilendirmeye dayalı olması zorunluluğu, yurt dışına aktarım bakımından daha da katı bir şekilde uygulanmaktadır.

Yurt dışına aktarım için geçerli bir açık rıza tasarımında, aktarımın hangi ülkelere yapılacağı, aktarımın amacı, aktarılacak veri kategorileri ve aktarımın süreklilik arz edip etmediği hususlarının açıkça belirtilmesi gerekir. Ayrıca rızanın, ilgili kişinin aktif bir irade beyanı ile verilmesi şarttır. Önceden işaretlenmiş kutucuklar, sessizlik hâli veya hizmetin kullanılmasının rıza olarak yorumlanması, hukuken geçerli kabul edilmemektedir.

Bununla birlikte, açık rızanın hizmetin ön koşulu hâline getirilmesi de ciddi bir hukuka aykırılık teşkil etmektedir. Kurul kararlarında vurgulandığı üzere, ilgili kişinin hizmetten yararlanabilmesi için yurt dışına veri aktarımına rıza göstermeye zorlanması, rızayı özgür iradeden yoksun bırakmakta ve geçersiz kılmaktadır. Bu nedenle, veri sorumlularının mümkün olduğu ölçüde alternatif çözümler sunması veya rıza vermeyen ilgili kişilere yönelik farklı işlem yolları tasarlaması gerekmektedir.

Pratikte sıkça karşılaşılan bir diğer sorun da rızanın zamanlamasıdır. Açık rızanın, en geç veri aktarımı anında alınması gerekmektedir. Aktarım gerçekleştikten sonra alınan rızalar, hukuka uygunluk sağlamamakta; geçmişe dönük ihlali ortadan kaldırmamaktadır. Bu durum, özellikle halihazırda yurt dışı merkezli sistemleri kullanan veri sorumluları bakımından ciddi idari para cezaları ve uyum riskleri doğurmaktadır.

Sonuç olarak, yurt dışına veri aktarımında açık rıza tasarımı, yalnızca metinsel bir onaydan ibaret olmayıp, veri işleme süreçlerinin baştan sona yeniden kurgulanmasını gerektiren stratejik bir uyum alanıdır. Bu alanda yapılacak yüzeysel düzenlemeler, Kurul denetimleri karşısında sürdürülebilir değildir.

Yurt Dışına Veri Aktarımında Mevzuat Değişiklikleri ve KVKK–GDPR Karşılaştırması

Kişisel verilerin yurt dışına aktarımına ilişkin hukuki çerçeve, hem ulusal hem de uluslararası düzeyde önemli bir dönüşüm sürecinden geçmektedir. Türkiye’de 6698 sayılı Kanun’un 9. maddesi uzun yıllar boyunca uygulamada ciddi belirsizlikler yaratmış, özellikle “yeterli korumaya sahip ülkeler” listesinin ilan edilmemiş olması nedeniyle açık rıza neredeyse tek uygulanabilir yol hâline gelmiştir. Bu durum, veri sorumlularını açık rızaya aşırı bağımlı bir uyum stratejisine zorlamış ve pratikte ciddi sorunlar doğurmuştur.

Bu bağlamda, Kanun’da yapılan değişiklikler ve Kurulun ikincil düzenlemeleri, yurt dışına veri aktarımında daha öngörülebilir ve çok katmanlı bir yapı oluşturma amacını taşımaktadır. Taahhütname mekanizmasının geliştirilmesi, standart sözleşme maddeleri (SCC benzeri yapılar) ve bağlayıcı şirket kuralları gibi araçların gündeme gelmesi, Türkiye’nin bu alanda Avrupa Birliği mevzuatına kademeli olarak yaklaşma iradesini ortaya koymaktadır.

GDPR ile karşılaştırıldığında, KVKK’nın yurt dışına aktarım rejiminin daha katı ve merkeziyetçi olduğu görülmektedir. GDPR, kişisel verilerin üçüncü ülkelere aktarımında yeterlilik kararları, uygun güvenceler ve istisnalar olmak üzere üçlü bir yapı öngörmektedir. Avrupa Komisyonu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere yapılan aktarımlar serbesttir. Yeterlilik kararı bulunmayan ülkeler bakımından ise standart sözleşme maddeleri, bağlayıcı şirket kuralları ve sertifikasyon mekanizmaları devreye girmektedir.

KVKK’da ise uzun süre boyunca yeterli koruma listesi bulunmaması, GDPR’daki esnek yapının Türkiye’de uygulanmasını fiilen imkânsız kılmıştır. Bu durum, özellikle AB merkezli şirketlerle çalışan Türk veri sorumluları bakımından çifte uyum yükümlülüğü doğurmuştur. Bir yandan GDPR’a uygun sözleşmeler yapılırken, diğer yandan KVKK kapsamında ayrıca açık rıza alınması gerekmiştir.

Güncel mevzuat tartışmaları ve Kurul uygulamaları, bu ikili yapının yumuşatılmasına yönelik bir eğilim olduğunu göstermektedir. Ancak uygulamada hâlen açık rızanın merkezi rolü devam etmektedir. Bu nedenle veri sorumlularının, GDPR uyumlu oldukları varsayımıyla KVKK yükümlülüklerini ihmal etmeleri ciddi bir yanılgıdır. Kurul kararlarında açıkça görüldüğü üzere, GDPR’a uyum, KVKK ihlallerini otomatik olarak bertaraf etmemektedir.

Öte yandan, GDPR’ın rıza anlayışı ile KVKK’daki açık rıza kavramı arasında da önemli nüanslar bulunmaktadır. GDPR’da rıza, hukuki dayanaklardan yalnızca biridir ve çoğu veri işleme faaliyeti sözleşmenin ifası, hukuki yükümlülük veya meşru menfaat gibi gerekçelere dayandırılabilmektedir. KVKK’da ise yurt dışına aktarım söz konusu olduğunda, bu hukuki dayanakların kapsamı daha sınırlı yorumlanmaktadır.

Bu karşılaştırma, Türkiye’de faaliyet gösteren veri sorumlularının yalnızca metin uyarlamalarıyla değil, süreç bazlı ve ülkeye özgü bir uyum stratejisi geliştirmeleri gerektiğini ortaya koymaktadır. Özellikle yurt dışına veri aktarımı gibi yüksek riskli alanlarda, “tek tip” uyum anlayışı hem hukuki hem de idari yaptırımlar açısından ciddi riskler barındırmaktadır.

Sektörel Risk Haritası: Yurt Dışına Kişisel Veri Aktarımında Yüksek Riskli Alanlar

Yurt dışına kişisel veri aktarımı bakımından hukuki riskler, veri sorumlusunun faaliyet gösterdiği sektöre göre önemli ölçüde farklılaşmaktadır. Her sektör, veri türü, işleme amacı, aktarım sıklığı ve aktarılan ülke bakımından kendine özgü riskler barındırmaktadır. Bu nedenle tek tip bir uyum yaklaşımı yerine, sektörel risk haritalarının çıkarılması zorunludur.

E-ticaret sektörü, yurt dışına veri aktarımı bakımından en yüksek riskli alanların başında gelmektedir. Kullanıcı hesaplarının yurt dışı merkezli altyapılarda barındırılması, sipariş, ödeme, teslimat ve müşteri ilişkileri süreçlerinin çoğunlukla global yazılımlar üzerinden yürütülmesi, hem kişisel verilerin hem de temas kişilerine ait verilerin Türkiye dışına aktarılmasına yol açmaktadır. Özellikle çok uluslu pazaryerleri ve bulut tabanlı CRM sistemleri, açık rıza tasarımı yapılmaksızın kullanıldığında, Kanun’un 9. maddesi kapsamında ciddi ihlal riski doğurmaktadır. Amazon örneğinde olduğu gibi, hizmetin kullanılmasının zımni rıza olarak yorumlanması, Kurul nezdinde kabul edilmemektedir.

Fintech sektörü ise, işlenen verilerin niteliği bakımından ayrı bir hassasiyet taşımaktadır. Kimlik bilgileri, finansal veriler, işlem geçmişleri, kredi risk bilgileri ve davranışsal analiz verileri çoğu zaman yurt dışı merkezli altyapılar üzerinde işlenmektedir. Bu tür verilerin yalnızca kişisel veri değil, aynı zamanda yüksek riskli veri kategorileri içinde yer alması, aktarım süreçlerinde daha sıkı teknik ve idari tedbirlerin alınmasını zorunlu kılmaktadır. Özellikle ödeme hizmetleri sağlayıcıları ve dijital cüzdan uygulamalarında, açık rızanın “hizmetin zorunlu unsuru” gibi sunulması, açık rızayı geçersiz hâle getirmektedir.

SaaS (Software as a Service) hizmetleri, veri sorumluları bakımından dolaylı fakat sürekli bir yurt dışı veri aktarımı riski yaratmaktadır. İnsan kaynakları yazılımları, muhasebe ve faturalama sistemleri, proje yönetim araçları ve e-posta servisleri, çoğunlukla yurt dışı merkezli sunucular üzerinden çalışmaktadır. Bu durum, veri sorumlusunun kendi faaliyet alanı her ne olursa olsun, kullandığı yazılım altyapısı üzerinden yurt dışına veri aktarımı yaptığı anlamına gelmektedir. Bu tür aktarım faaliyetlerinin çoğu zaman farkında olunmadan gerçekleşmesi, uyum eksikliğinin temel nedenlerinden biridir.

Sağlık sektörü bakımından yurt dışına veri aktarımı, Kanun’un 6. maddesi kapsamında özel nitelikli kişisel verilerin işlenmesini de içermesi nedeniyle daha yüksek bir risk alanı oluşturmaktadır. Hasta kayıt sistemleri, tıbbi görüntüleme yazılımları, genetik veri analizleri ve uzaktan sağlık hizmetleri, veri aktarımını kaçınılmaz hâle getirmektedir. Bu alanda açık rıza alınması tek başına yeterli olmayıp, aktarımın ölçülü, gerekli ve veri minimizasyonu ilkesine uygun olması gerekmektedir.

Hukuk büroları ve danışmanlık şirketleri ise, çoğu zaman kendi faaliyetlerini düşük riskli görmelerine rağmen, müvekkil verileri, dava dosyaları, adli sicil bilgileri ve hassas iletişim kayıtları nedeniyle yüksek riskli veri sorumluları arasında yer almaktadır. Yurt dışı merkezli e-posta servisleri, dosya paylaşım platformları ve bulut depolama çözümleri, açık rıza ve aydınlatma yapılmaksızın kullanıldığında ciddi ihlal riskleri doğurmaktadır. Özellikle yabancı müvekkillerle yürütülen dosyalarda, veri aktarımının sınırları net biçimde çizilmelidir.

Uyum İçin Pratik Yol Haritası ve Kontrol Listesi

Yurt dışına kişisel veri aktarımına ilişkin uyum süreci, yalnızca hukuki metinlerin güncellenmesiyle sınırlı değildir. Etkili bir uyum, teknik, idari ve organizasyonel tedbirlerin birlikte ele alınmasını gerektirir.

İlk aşamada, veri sorumlusunun hangi kişisel verileri işlediği, bu verilerin hangi sistemlerde tutulduğu ve hangi ülkelere aktarıldığı tespit edilmelidir. Bu envanter çalışması, soyut bir listeleme değil, fiili veri akışlarının haritalandırılması şeklinde yapılmalıdır. Özellikle üçüncü taraf yazılımlar ve bulut hizmetleri bu aşamada dikkatle incelenmelidir.

İkinci aşamada, her bir veri aktarımı için hukuki dayanak belirlenmelidir. Aktarım açık rızaya mı dayanıyor, yoksa Kanun’un 5/2 veya 6/3 maddelerinde öngörülen istisnalardan biri mevcut mu soruları somut biçimde cevaplanmalıdır. Açık rızaya dayalı bir aktarım söz konusuysa, rızanın aktarım öncesinde, belirli, bilgilendirilmiş ve özgür iradeyle alınıp alınmadığı denetlenmelidir.

Üçüncü aşamada, aydınlatma metinleri ile açık rıza metinleri birbirinden ayrılmalı ve her biri kendi amacına uygun şekilde yapılandırılmalıdır. Aydınlatma metinleri bilgilendirmeye, açık rıza metinleri ise irade beyanına hizmet etmelidir. Tek bir “gizlilik bildirimi” altında tüm işlemleri meşrulaştırmaya yönelik yaklaşım, Kurul içtihadı karşısında geçerliliğini yitirmiştir.

Dördüncü aşamada, teknik ve idari güvenlik tedbirleri gözden geçirilmelidir. Veri aktarımı sırasında şifreleme, erişim kısıtlaması, yetkilendirme politikaları ve log kayıtlarının tutulması, Kanun’un 12. maddesi kapsamında zorunludur. Bu tedbirlerin kâğıt üzerinde değil, fiilen uygulanıyor olması gerekmektedir.

Son olarak, uyum sürecinin sürekliliği sağlanmalıdır. Mevzuat değişiklikleri, Kurul kararları ve sektörel gelişmeler düzenli olarak takip edilmeli, veri işleme ve aktarım süreçleri periyodik denetimlere tabi tutulmalıdır. Uyum, tek seferlik bir proje değil, yaşayan bir süreçtir.

Bıçak’ın Yurt Dışına Veri Aktarımı Alanındaki Danışmanlık Yaklaşımı

Bıçak Hukuk, yurt dışına kişisel veri aktarımı konusunu yalnızca mevzuata uyum meselesi olarak değil, aynı zamanda kurumsal risk yönetimi ve itibar koruması alanı olarak ele almaktadır. Bu yaklaşım, salt metin üretimine dayalı danışmanlık modellerinden bilinçli biçimde ayrılmaktadır. Bıçak, öncelikle müvekkilin faaliyet alanına özgü veri akışlarını analiz etmekte, soyut uyum şablonları yerine somut risk senaryoları üzerinden hareket etmektedir. Her müvekkil için ayrı bir veri aktarım mimarisi çıkarılmakta, bu mimari hem Kanun hem de Kurul içtihatları ışığında değerlendirilmektedir.

Danışmanlık sürecinde, açık rıza tasarımları yalnızca hukuken geçerli değil, aynı zamanda kullanıcı deneyimini de gözeten bir anlayışla hazırlanmakta; rızanın baskı altında alındığı izlenimi yaratabilecek uygulamalardan özellikle kaçınılmaktadır. Aydınlatma yükümlülüğü ise, mevzuata uygunluk kadar şeffaflık ve öngörülebilirlik ilkeleri çerçevesinde ele alınmaktadır. Bıçak Hukuk, özellikle e-ticaret, fintech, SaaS ve profesyonel hizmetler alanında faaliyet gösteren yerli ve yabancı şirketlere, yurt dışına veri aktarımı kaynaklı idari para cezaları ve itibar risklerini en aza indirmeye yönelik bütüncül danışmanlık sunmaktadır. Kurul kararlarının analizi, mevzuat değişikliklerinin takibi ve iç denetim süreçlerinin kurgulanması, bu danışmanlığın temel bileşenleridir.

Sonuç olarak, yurt dışına kişisel veri aktarımı, günümüz dijital ekonomisinde kaçınılmaz olmakla birlikte, hukuki açıdan yüksek risk barındıran bir alandır. Bu riskin yönetilebilir hâle gelmesi, yalnızca mevzuatı bilmekle değil, mevzuatı somut süreçlere doğru biçimde uygulamakla mümkündür. Bu noktada, uzmanlaşmış ve içtihat temelli bir hukuki destek, veri sorumluları için bir tercih değil, zorunluluktur.