Sınır Ötesi Veri Aktarımları

GlobalB Law, kişisel verilerin sınır ötesi aktarımını yöneten hukuki mekanizmalar, sözleşmesel güvenceler ve düzenleyici gereklilikler konusunda danışmanlık sunmaktadır; özellikle müvekkillerimizin büyük çoğunluğunun içinde hareket ettiği Türkiye–AB–ABD üçgeninde.

Kişisel verilerin yargı bölgeleri arasında taşınması, modern gizlilik hukukunun teknik olarak en karmaşık alanlarından birini oluşturmaktadır. GDPR'ın V. Bölümü, kişisel verilerin üçüncü ülkelere aktarılmasını belirli koşulların karşılanmasına, yeterlilik kararları, Standart Sözleşme Maddeleri (SCC), Bağlayıcı Şirket Kuralları (BCR) veya istisnalar, bağlamaktadır. Öte yandan Türk KVKK'sı kendi paralel aktarım rejimini uygulamakta; ABD gizlilik hukuku ise sektörel kurallar ve eyalet düzeyindeki yükümlülüklerle ek bir katman eklemektedir. Bu alanda yapılan hatalar yalnızca düzenleyici riski değil, ürün işlevselliğini ve yatırımcı güvenini de bir anda alt üst edebilmektedir.

GlobalB Law, müvekkillere teorik olarak doğru ancak mühendislik veya tedarikçi gerçeklikleriyle örtüşmeyen cevaplar yerine, operasyonel gerçekliklerine uyan aktarım mekanizmaları konusunda danışmanlık yapar. AB–Türkiye veri akışları için, Türkiye'nin 2024 KVKK değişikliklerinin ardından süregelen geçiş dönemini ve Kurum'un yeterlilik ve güvenceler konusundaki gelişen yönlendirmesini yönetiyoruz. AB–ABD akışları için AB–ABD Veri Gizliliği Çerçevesi ve ihtiyatlı şirketlerin her hâlükârda koruduğu sözleşmesel güvenceler konusunda görüş veriyoruz. Çok yargı bölgeli akışlar için ise tüm ilgili düzenleyicileri eş zamanlı olarak tatmin eden katmanlı aktarım çerçeveleri tasarlıyoruz.

Ele Aldığımız Yaygın Senaryolar

  • AB kullanıcı verilerini ABD bulut altyapısından geçiren SaaS ürünleri
  • Çalışan veya müşteri verilerini yurt dışındaki grup şirketlerine gönderen Türk şirketleri
  • Türk veya AB kullanıcıları sisteme dahil eden ve verileri ABD veri merkezlerinde saklayan ABD şirketleri
  • Hem GDPR hem KVKK aktarım kurallarına tabi fintech ve ödeme platformları
  • Birden fazla ülkede çalışan verilerini işleyen İK platformları

Ne yapıyoruz

Bu uygulamada sunduğumuz hizmetler

01Aktarım mekanizması seçimi (SCC, yeterlilik kararı, BCR, istisnalar)
02Standart Sözleşme Maddeleri'nin hazırlanması ve müzakeresi
03Yüksek riskli ülkeler için Aktarım Etki Değerlendirmesi (TIA)
04KVKK kapsamında yurt dışı aktarım uyumu ve VERBİS uyumu
05AB–ABD Veri Gizliliği Çerçevesi sertifika danışmanlığı
06Küresel operasyonlar için çok yargı bölgeli aktarım çerçevesi tasarımı

SSS

Sıkça sorulan sorular

AB kullanıcılarımızın verilerini barındırmak için AWS (ABD bölgesi) kullanıyoruz. Ne yapmamız gerekiyor?

AB varlığınız (veri sorumlusu olarak) ile AWS (veri işleyen olarak) arasında geçerli bir aktarım mekanizması kurmanız gerekmektedir. AWS, Veri İşleme Eki kapsamında SCC sunmaktadır ve çoğu şirket buna dayanmaktadır. Ancak bunun yanı sıra, ABD gözetim mevzuatı ışığında SCC'nin yeterli korumayı sağladığından neden emin olduğunuzu belgeleyen bir Aktarım Etki Değerlendirmesi de tamamlamanız gerekmektedir, pek çok şirketin atlattığı ve AB denetim otoritesi uygulamalarında giderek daha fazla odak noktası hâline gelen bir adım.

Türkiye, GDPR kapsamında 'yeterli' bir ülke olarak kabul ediliyor mu?

Hayır. Avrupa Komisyonu, Türkiye için GDPR kapsamında yeterlilik kararı vermemiştir. Bu, bir AB veri sorumlusundan Türk bir alıcıya yapılacak aktarımların geçerli bir aktarım mekanizması, çoğunlukla SCC veya kurumsal grup içinde BCR, gerektirdiği anlamına gelmektedir. Öte yandan KVKK'nın, AB listesini yansıtmayan kendi yeterlilik listesi bulunmaktadır. Türkiye–AB aktarım denkleminin her iki yönünde de danışmanlık sunuyoruz.

Aktarım Etki Değerlendirmesi (TIA) nedir ve ne zaman gereklidir?

TIA, ABAD'ın Schrems II kararının ardından, yeterli sayılmayan bir ülkeye veri aktarmak için SCC'ye dayandığınızda hazırlanması gereken belgelenmiş bir analizdir. Hedef ülkenin mevzuatı ve uygulamasının SCC'nin etkinliğini zayıflatıp zayıflatmayacağını değerlendirir. Avrupa Veri Koruma Kurulu (EDPB) TIA metodolojisine ilişkin rehber yayımlamıştır; ancak pratikte uygulaması, söz konusu veri, taraflar ve hedef ülke açısından hukuki değerlendirme gerektirmektedir.

Girişimimiz İstanbul merkezli ve tüm altyapımız Türkiye'de. Sınır ötesi aktarım kuralları bize de uygulanır mı?

AB'deki kullanıcılardan veri topladığınız veya Türk olmayan herhangi bir hizmet sağlayıcıyı, ki bu neredeyse tüm büyük bulut, analitik, CRM veya destek platformlarını kapsar, kullandığınız andan itibaren bu kurallar devreye girer. Sunucularınız Türkiye'de olsa bile Google Analytics, Stripe, HubSpot veya Intercom kullanımınız büyük ihtimalle GDPR aktarım yükümlülüklerini tetikler. İstanbul merkezli teknoloji şirketlerinin bu konuda AB'ye olan maruziyetlerini sıklıkla küçümsediğini gözlemliyoruz.

Başlayın

Randevu alın

Konunuzu bize anlatın, sizi doğru avukatla buluşturalım.

Ekiple iletişime geçin