Veri Aktarımı Kapsamında Modern ve Standart Veri Koruma Maddeleri
TL;DR — KVKK Kapsamında Modernleştirilmiş Standart Veri Koruma Maddeleri
7499 sayılı Kanun ile 01.06.2024 tarihinde yürürlüğe giren yeni KVKK m.9 düzenlemesi, Türkiye'nin yurt dışı veri aktarım rejimini köklü biçimde dönüştürdü. Eski açık rıza merkezli sistemin yerini "yeterlilik kararı → uygun güvenceler → istisnai haller" hiyerarşisi aldı. Bu dönüşümün en kritik aracı ise Kişisel Verileri Koruma Kurulu'nun 4 Haziran 2024 tarihli ve 2024/959 sayılı kararıyla yayımlanan dört adet standart sözleşme metnidir: (1) Veri Sorumlusundan Veri Sorumlusuna, (2) Veri Sorumlusundan Veri İşleyene, (3) Veri İşleyenden Veri İşleyene, (4) Veri İşleyenden Veri Sorumlusuna. Bu sözleşmeler, imzalandıktan sonra 5 iş günü içinde Kurum'a bildirilmek zorundadır; aksi hâlde 2026 yılı itibarıyla 90.308 TL ile 1.806.377 TL arasında idari para cezası uygulanabilmektedir. Bağlayıcı Şirket Kuralları (BŞK) ise çok uluslu gruplar için Kurul onayına tabi ayrı bir uyum mekanizması sunar.
Yazar: Avukat Yusuf KILIÇKAN
Tarih: 18 Nisan 2026
Veri Aktarımı Kapsamında Modernleştirilmiş Standart Veri Koruma Maddeleri: Kapsamlı Bir Hukuki Rehber
Neden Bu Kadar Önemli?
Bir Türk şirketinin muhasebe yazılımını bulut tabanlı, sunucuları Avrupa'da veya ABD'de bulunan bir platforma taşıdığını düşünün. Çalışanların, müşterilerin veya iş ortaklarının kişisel verilerinin her gece otomatik olarak yurt dışındaki sunuculara yedeklendiği bu senaryoda hukuki soru basittir: Bu aktarım yasal mı?
2024 öncesinde Türk hukukunun cevabı büyük ölçüde şuydu: ya açık rıza alın ya da Kişisel Verileri Koruma Kurulu'ndan izin isteyin. Her iki mekanizma da pratikte işlevsizdi. Eski düzenleme, sıklıkla kullanılan ve sunucuları yurt dışında bulunan, çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi, ülkemize yapılacak yatırımları da engelleyici bir hal almıştı.
Bu sorunun çözümü için gereken yasal reform 2024 yılında hayata geçirildi. 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Kanunun 34. maddesi ile Kanunun "Kişisel verilerin yurt dışına aktarılması" başlıklı 9. maddesinde değişiklikler yapılmış ve yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiştir. Yapılan değişiklik kapsamında, "standart sözleşmeler" ve "bağlayıcı şirket kuralları" kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği birer uygun güvence sağlama yöntemi olarak öngörülmüştür.
Yeni Yurt Dışı Aktarım Rejimi: Üç Katmanlı Hiyerarşi
2024 değişikliğinin getirdiği en köklü yenilik, yurt dışı aktarımının hiyerarşik bir silsileye bağlanmasıdır. KVKK m.9, kişisel verilerin yurt dışına aktarılmasında açık rıza merkezli anlayıştan "yeterlilik kararı > uygun güvenceler > arızi haller" şeklindeki silsileyi içeren bir sistematiğe geçiş yapılmasını; böylelikle yurt dışı aktarım mekanizmasının uygulamadaki ihtiyaçlara göre kolaylaştırılmasını ve GDPR'yle uyumlu hâle getirilmesini amaçlamaktadır.
Bu üç katmanı tek tek ele alalım.
Birinci katman — Yeterlilik Kararı:
KVKK, yurt dışına kişisel veri aktarımlarının artık Kurum'un yeterlilik kararı vermiş olması, uygun güvencelerden birinin mevcut olması veya diğer sayılan istisnai durumlardan biri hâlinde mümkün olduğunu öngörmektedir.
Yeterlilik kararı, belirli bir ülkenin, uluslararası kuruluşun ya da sektörün veri koruma seviyesinin Türkiye'deki ile eşdeğer olduğunu Kurul'un teyit etmesidir. Yeterlilik kararının yalnızca bir ülkeye değil, uluslararası kuruluş veya bir ülkedeki sektöre yönelik olabileceği öngörülmüş; böylelikle, örneğin yeterlilik kararının ülkenin tamamı yerine, o ülkedeki otomotiv sektörüne yönelik olması imkânı tanınmıştır.
Yeterlilik kararı en geç 4 yılda bir yeniden değerlendirilir; koşullar değişmişse herhangi bir zamanda geri alınabilir.
İkinci katman — Uygun Güvenceler:
Yeterlilik kararı bulunmayan ülkelere aktarım için dört uygun güvence mekanizması öngörülmüştür: standart sözleşmeler, bağlayıcı şirket kuralları, taahhütnameler (Kurul izniyle) ve uluslararası sözleşme niteliğinde olmayan anlaşmalar (yalnızca kamu kurumları için, Kurul izniyle).
Üçüncü katman — Arızi İstisnalar:
Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve yukarıda listelenen uygun güvencelerden birinin sağlanamaması durumunda, arızi olmak kaydıyla şu hâllerden birinde yurt dışına kişisel veri aktarabilir: veri sahibinin mevcut riskler hakkında bilgilendirmeye dayalı açık rızası, veri sahibi ile veri sorumlusu arasındaki sözleşmenin ifası, veri sahibi yararına üçüncü taraf sözleşmesinin kurulması veya ifası için zorunlu olması, üstün kamu yararı.
Bu istisnalar yalnızca "arızi" durumlarda geçerlidir; süreklilik arz eden faaliyetlerde kullanılamaz.
Standart Sözleşme Nedir?
Standart Sözleşmeler, Türkiye'deki veri sorumlusu/veri işleyen ile yurt dışındaki alıcı arasında, aktarılan verilere yurt dışında da KVKK'ya eşdeğer bir koruma düzeyinin sağlanacağını hukuken garanti altına almak üzere oluşturulmuş şablon sözleşmelerdir. Sözleşmelerin içeriği ve formatı, Kişisel Verileri Koruma Kurulu tarafından belirlenir ve Resmî Gazete'de yayımlanarak ilan edilir. Veri aktarımını yapacak taraflar, bu ilana uygun standart sözleşmeyi kullanmak zorundadır.
Bu mekanizmanın en büyük pratik avantajı, önceki sistemden farklı olarak aktarım için Kurul'un önceden iznini gerektirmemesidir. Dolayısıyla, Kurul'un iznine gerek olmaksızın veri sorumlusu veya işleyenler tarafından standart sözleşmelerin imzası ve bildirimiyle birlikte yurt dışı aktarımı mümkün hale gelmiştir.
Türk modeli bu yönüyle Avrupa Birliği'nin Standart Sözleşme Maddeleri (SCCs) uygulamasıyla paralel bir yaklaşım benimsemektedir.
Dört Standart Sözleşme Modeli: Hangi Durumda Hangisi?
Kişisel Verileri Koruma Kurulunun 4/6/2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak dört standart sözleşme metni kabul edilmiştir.
Kurul tarafından dört standart sözleşme modeli geliştirilmiştir: Veri Sorumlusundan Veri Sorumlusuna, Veri Sorumlusundan Veri İşleyene, Veri İşleyenden Veri İşleyene, Veri İşleyenden Veri Sorumlusuna.
Standart Sözleşme 1 — Veri Sorumlusundan Veri Sorumlusuna: Türkiye'de yerleşik bir veri sorumlusu (örneğin bir banka), yurt dışındaki başka bir veri sorumlusuna (örneğin yabancı ortağı) müşteri verilerini aktarırken bu sözleşmeyi kullanır. Her iki taraf da kendi başına kişisel verilerin nasıl işleneceğine karar vermektedir. Bu durum en yaygın kurumsal veri akışı senaryosuna karşılık gelir.
Standart Sözleşme 2 — Veri Sorumlusundan Veri İşleyene: Türkiye'deki bir veri sorumlusu, yurt dışındaki bir hizmet sağlayıcıya (bulut, yazılım, muhasebe hizmeti gibi) veri aktarırken bu model kullanılır. Veri işleyen, veri sorumlusunun talimatları doğrultusunda hareket etmekte olup kendi başına bir işleme amacı belirlememektedir. Bu model, özellikle SaaS ve bulut bilişim hizmetleri alan şirketler için kritiktir.
Standart Sözleşme 3 — Veri İşleyenden Veri İşleyene: Türkiye'deki bir veri işleyen, başka bir yurt dışı veri işleyene alt hizmet aldığı durumlarda bu modeli kullanır. Örneğin Türkiye'de yerleşik bir BT şirketi, müşteri adına işlediği verileri yurt dışındaki bir alt yükleniciye aktarıyorsa bu sözleşme devreye girer.
Standart Sözleşme 4 — Veri İşleyenden Veri Sorumlusuna: Türkiye'deki bir veri işleyenin, yurt dışındaki veri sorumlusuna kişisel veri aktarımı yaparken uyması gereken kuralları ve güvenceleri belirlemektedir. Bu senaryo, yurt dışında merkezleri olan çok uluslu şirketlerin Türkiye'deki alt işlemcilerinin kullandığı modeldir.
Standart Sözleşmelerin Zorunlu İçeriği
Kurul'un onayladığı standart sözleşme metinleri, değiştirilmesi mümkün olmayan zorunlu hükümler içermektedir. Standart Sözleşmelerde değişiklik yapılmaması, üçüncü taraf yararlanıcı hakları, aktarım detayları; kişisel verilerin korunmasına yönelik güvenceler, talimatlar, bilgilendirme yükümlülüğü, veri güvenliği, özel nitelikli kişisel veriler, hak arama yöntemleri, sonraki aktarımlar, denetim, sorumluluk, belgeleme ve uyumluluk gibi taraf yükümlülükleri, ulusal hukuk ve kamu makamları tarafından erişim hâlinde yükümlülükler, sözleşmeye uyulmaması halinde fesih ve sözleşmenin Kurum'a bildirilmesine ilişkin düzenlemeler yer almaktadır.
Her standart sözleşme metninde aktarım detayları bölümü özellikle önem taşımaktadır. Bu bölümde; aktarılan kişisel veri kategorileri, ilgili kişi grupları, aktarımın amacı ve hukuki dayanağı, özel nitelikli kişisel verilerin aktarım gerekçesi, alıcının KVKK kapsamında veri sorumlusu mu veri işleyen mi olduğu, aktarım ve son işleme tarihleri ile veri sahibinin yetkili makama başvuru hakkı yer almalıdır.
Sözleşmenin değiştirilemeyen hükümleri dışında, taraflar kendi özel koşullarını sözleşmenin boş bırakılan bölümlerine ekleyebilir. Ancak zorunlu şablona herhangi bir müdahale, sözleşmenin geçerliliğini tehlikeye atar.
Bildirim Yükümlülüğü ve Ceza Rejimi
Standart sözleşmeler imzalandıktan sonra belirli süre ve yöntemle Kurum'a bildirilmek zorundadır. Standart sözleşmeler, imzalanma aşamasının tamamlanmasına müteakip 5 (beş) işgünü içerisinde Kurum'a bildirilmesi gerekmektedir. Kurum'a bildirim; fiziken gönderim, KEP üzerinden yahut Kurul tarafından belirlenen diğer yöntemlerle yapılabilmektedir.
Kişisel Verileri Koruma Kurulunun 17.10.2024 tarihli ve 2024/1793 sayılı kararı ile, veri sorumlusu ve veri işleyenlerin bildirim yükümlülüklerini internet üzerinden daha hızlı ve etkin bir biçimde yerine getirebilmeleri amacıyla hazırlanan "Standart Sözleşme Bildirim Modülü" oluşturulmuştur.
Bildirim yükümlülüğü yalnızca ilk imzayla sınırlı değildir. Standart sözleşmenin imzalanmasından itibaren 5 iş günü içinde Kurum'a bildirilmesi ve standart sözleşme taraflarında veya standart sözleşme içeriğinde bir değişiklik olması ya da standart sözleşmenin sona ermesi halinde de bu hususun Kurum'a bildirim yapılması şarttır.
Yaptırımlar son derece caydırıcıdır. Kanun'a uygun olarak yurt dışı veri aktarımına ilişkin bildirim yükümlülüğünü yerine getirmeyenler hakkında 2026 yılı için 90.308 TL ila 1.806.377 TL arasında idari para cezasına hükmolunması belirlenmiştir. Bu ceza her yıl yeniden değerleme katsayısıyla güncellenmektedir.
Bağlayıcı Şirket Kuralları: Çok Uluslu Yapılar için Özel Çözüm
Standart sözleşmelerin yanı sıra, 2024 reformu çok uluslu şirket gruplarına yönelik "bağlayıcı şirket kuralları" (BŞK) mekanizmasını da hayata geçirmiştir.
Aynı teşebbüs grubu içinde bulunan şirketler arasında, Kurul tarafından önceden onaylanmış ve kişisel verilerin korunmasını içeren bağlayıcı şirket kurallarının bulunması durumunda, Kanunun 5 ve 6. maddelerindeki veri işleme şartlarından biri de mevcut ise, Kurul'dan ek bir izin alınmadan bu şirketler arası veri aktarımı gerçekleştirilebilecektir. Böylece Kurul'ca onaylanan bağlayıcı şirket kuralları olan bir teşebbüs grubunun Türkiye'deki şirketinden, aynı grubun yabancı ülkedeki şirketine Kurul'dan bir kez daha izin alınmaksızın veri aktarımı yapılabilecektir.
BŞK'lar iki ayrı türde düzenlenmiştir: veri sorumluları için bağlayıcı şirket kuralları (VS BŞK) ve veri işleyenler için bağlayıcı şirket kuralları (Vİ BŞK). VS BŞK'da Türkiye'de yerleşik bir BŞK üyesi diğer üyelerin eylemlerinden sorumlu tutulurken, Vİ BŞK'da veri işleyenler öncelikle veri sorumlusuna karşı sorumlu tutulmaktadır.
BŞK, standart sözleşmelerden farklı olarak önceden Kurul onayı gerektirmekte ve her grup için özgün olarak hazırlanmaktadır. Onay süreci uzun olsa da bir kez alındığında tüm grup içi aktarımlar için geçerlidir; dolayısıyla yüksek hacimli veya sürekli veri akışı gerçekleştiren çok uluslu şirketler için uzun vadede daha verimli bir çözüm sunar.
Türk Modelini AB Modelinden Ayıran Temel Farklar
Türk standart sözleşme rejimi, açıkça GDPR uyumunu hedeflemekte, ancak birkaç kritik noktada AB modelinden ayrışmaktadır.
Kapsam genişliği: AB'deki SCCs yalnızca üçüncü ülkelere aktarım için geçerliyken, Türk modelinde standart sözleşmeler hem yeterlilik kararı bulunmayan ülkelere hem de bazı uygun güvence mekanizmalarının yetersiz kaldığı durumlara uygulanabilir.
Bildirim zorunluluğu: AB'de standart sözleşmeler veri koruma otoritesine otomatik olarak bildirilmez; Türk sisteminde ise 5 iş günlük zorunlu bildirim süresi mevcuttur. Bu bildirim yükümlülüğü, Kurum'un fiilî aktarım haritasını gerçek zamanlıya yakın takip etmesini sağlamaktadır.
Denetim sıklığı: Yeterlilik kararları en geç 4 yılda bir gözden geçirilmektedir. Bu süre, AB'nin 4 yıllık döngüsüyle örtüşmektedir ancak koşulların değişmesi hâlinde daha kısa aralıklarla güncelleme yapılabilir.
Özel nitelikli verilere ek güvence: Türk standart sözleşmelerinde, ırkî veya etnik köken, siyasi düşünce, din, sağlık ve biyometrik veriler gibi özel kategorideki verilerin aktarımı için sözleşmede ayrı bir bölüm öngörülmüş ve ek teknik-idari tedbirler alınması zorunlu tutulmuştur.
Sonraki Aktarımlar Meselesi: Zincirin Bütününe Uyum
2024 reformunun getirdiği ve özellikle teknoloji şirketleri ile bulut hizmet sağlayıcılarını yakından ilgilendiren bir diğer kritik yenilik, "sonraki aktarımlar" sorununa getirilen çözümdür.
Veri sorumlusu ve veri işleyenlerin, yurt dışına aktarılan kişisel verilerin sonraki aktarımları bakımından da Kanunda öngörülen güvenceleri taşıması zorunlu kılınmaktadır.
Bu düzenleme, aktarım zincirinde halka halka uzayan bir güvence sistemini zorunlu kılmaktadır. Türkiye'den Almanya'ya aktarılan veri, Almanya'dan ABD'deki sunuculara iletilecekse bu ikincil aktarım da KVKK uyumluluğunu korumak zorundadır. Standart sözleşmelerde bu "sonraki aktarım" maddesi ayrıca düzenlenmiş; taraflara sonraki aktarımlar için de eşdeğer güvence sağlama yükümlülüğü yüklenmiştir.
Uygulamada Sık Karşılaşılan Senaryolar
Senaryo A — Bulut tabanlı ERP yazılımı kullanan bir üretim firması: Türkiye merkezli firma (veri sorumlusu), ABD'de sunucu barındıran bir ERP sağlayıcısına (veri işleyen) çalışan ve müşteri verilerini iletmektedir. Kullanılacak model Standart Sözleşme 2'dir. Sözleşme imzalandıktan sonra 5 iş günü içinde Kurum'a bildirim yapılmalıdır. Sonraki aktarım varsa —örneğin ERP'nin kendi alt işlemcilerine aktarım yapıyorsa— bu aktarım için da yeterli güvence sağlanmalıdır.
Senaryo B — Çok uluslu holdingin Türkiye şirketi: Yabancı merkezli bir holdingin Türkiye şirketi, insan kaynakları verilerini merkezî sisteme aktarıyor. Grup genelinde BŞK alınmışsa standart sözleşmeye gerek kalmaz; BŞK'nın kapsamında kaldığı sürece aktarım otomatik olarak güvence altındadır.
Senaryo C — Veri işleyenin kendi alt veri işleyeni: Türkiye'de yerleşik bir dijital pazarlama ajansı, müşteri adına yönettiği verileri analiz için yurt dışındaki bir analytics platformuna aktarıyor. Bu durumda Standart Sözleşme 3 (Veri İşleyenden Veri İşleyene) kullanılır; ancak alt veri işleyenin atanması için veri aktaranın yazılı onayı her seferinde alınmalı veya sözleşme imzasında önceden listeye dahil edilmelidir.
İdari Para Cezaları ve Yaptırım Riski
2024 değişikliğiyle getirilen en somut caydırıcılık mekanizması, bildirim yükümlülüğüne uymayanlara uygulanacak idari para cezasıdır. Kanun'la, yurt dışına aktarım mekanizması çerçevesinde öngörülen yollardan biri olan standart sözleşmeleri imzasından sonraki beş iş günü içinde Kurul'a bildirmeyen veri sorumlusu ve veri işleyenler hakkında yeni bir kabahat öngörülmektedir.
Ayrıca Madde 18 ile standart sözleşmelere ilişkin bildirim yükümlülüğüne uymayanlara idari para cezası verileceği eklenmiş; bu cezanın veri sorumlusu veya veri işleyenler hakkında uygulanabileceği düzenlenmiştir.
Yaptırımlar bildirim yükümlülüğüyle sınırlı değildir. Standart sözleşmede değişiklik yapılması, hükümlerin özünü bozacak şekilde sözleşmenin tadil edilmesi ya da sözleşme olmaksızın veri aktarımı yapılması da ciddi yaptırımlara konu olabilecektir. Kurum'un 2024 yılı faaliyetlerine ilişkin açıklanan verilere göre, incelemeler sonucunda 552 milyon 668 bin Türk lirası idari para cezası uygulanmıştır.
Uyum Yol Haritası: Şirketler Ne Yapmalı?
Şirketlerin 2024 reformuna uyum sürecinde şu adımları takip etmesi önerilir.
Birinci adım olarak veri envanteri çıkarılmalıdır: şirket içindeki hangi veri akışlarının yurt dışına aktarım niteliği taşıdığı tespit edilmelidir. Sadece kasıtlı aktarımlar değil, otomatik yedekleme ve üçüncü taraf yazılımlara veri iletimi de bu kapsama girmektedir.
İkinci adımda, her bir aktarım için doğru standart sözleşme türü belirlenmelidir. Veri sorumlusu mu veri işleyen mi olduğunuzu, karşı tarafın konumunu ve aktarımın niteliğini doğru değerlendirmek gereklidir.
Üçüncü adım standart sözleşmelerin imzalanması ve 5 iş günlük bildirim süresine uyulmasıdır. Bildirim modülü üzerinden yapılan elektronik bildirim en pratik yol olarak öne çıkmaktadır.
Dördüncü adım, sözleşme değişikliklerini takip etmektir. Taraflarda veya içerikte değişiklik olduğunda bu değişiklik de Kurum'a bildirilmelidir; sonraki aktarımlar için de yeterli güvencenin sağlandığından emin olunmalıdır.
Beşinci adımda, çok uluslu yapılar için BŞK seçeneği değerlendirilmelidir. Sürekli ve hacimli grup içi aktarımlar söz konusuysa uzun vadede BŞK başvurusu yapmak daha verimli bir çözüm sunabilir.
Dönem Değişikliğinin Gerektirdiği Yeni Uyum Anlayışı
2024 reformuyla gelen standart sözleşme mekanizması, Türkiye'nin veri koruma mimarisindeki en önemli modernleşme adımlarından birini temsil etmektedir. Eski dönemin açık rıza bağımlılığı ve taahhütname zorunluluğu, küresel ticaret gerçeklikleriyle çelişen bir yapıydı. Yeni sistem, sınır ötesi aktarımları engellemeyi değil; temel hak ve özgürlüklerin korunması temelinde öngörülebilir ve şeffaf bir aktarım rejimi oluşturmayı hedeflemektedir.
Ancak bu modernleşmenin bir maliyeti vardır: uyumluluk yükümlülükleri artık daha somut, daha izlenebilir ve yaptırımları çok daha belirgindir. 2024 yılı içinde 1345 standart sözleşme Kurum'a bildirilmiştir— bu rakam, mekanizmanın hızla hayata geçtiğinin somut göstergesidir. Standart sözleşme imzalamadan ya da zamanında bildirmeden yurt dışına veri aktaran şirketler, yalnızca para cezasıyla değil, itibar kaybı ve olası hukuki sorumlulukla da yüzleşmek zorunda kalacaktır.
Avukat Yusuf KILIÇKAN
18.04.2026
Sıkça Sorulan Sorular
Standart sözleşme Kurul'un ön iznini gerektiriyor mu? Hayır. Standart sözleşme imzalanması Kurul iznini gerektirmez; yalnızca 5 iş günü içinde Kurum'a bildirilmesi yeterlidir. Bu, eski taahhütname sisteminden en kritik farkıdır.
Yabancı şirketle mevcut hizmet sözleşmemiz varsa ayrıca standart sözleşme gerekiyor mu? Evet. Mevcut ticari sözleşmeniz, kişisel veri aktarımı güvencesinin yerini tutmaz. Aktarım için ayrıca doğru standart sözleşme modeli imzalanmalı ve Kurum'a bildirilmelidir.
Sözleşmenin dilini değiştirebilir miyiz? Zorunlu hükümler değiştirilemez. Ancak Kurum, standart sözleşmelerin Türkçe ve İngilizce resmi çevirilerini yayımlamıştır; bu iki dilde imzalanabilir. Bunun dışında içerik değişikliği sözleşmenin geçerliliğini riske atar.
Aynı şirkete birden fazla veri aktarımı varsa her biri için ayrı sözleşme mi gerekiyor? Her bir aktarım ilişkisi için ayrı sözleşme gerekmez; aynı taraflar arasındaki tüm aktarımlar tek bir sözleşmede aktarım detayları bölümünde kapsamlı biçimde düzenlenebilir. Ancak farklı aktarım ilişki türleri (örneğin hem VS→Vİ hem VS→VS aktarımı varsa) için ayrı model sözleşmeler imzalanması gerekebilir.
Bildirim süresini kaçırırsam ne olur? 5 iş günlük süre hak düşürücü süre değildir; ancak bildirim yükümlülüğüne uyulmaması kabahati oluşturmakta ve 2026 yılı için 90.308 TL ile 1.806.377 TL arasında idari para cezası uygulanabilmektedir.
Yeterlilik kararı bulunmayan ülkelere yönelik aktarımlarda standart sözleşme tek güvence midir? Hayır. Standart sözleşme, bağlayıcı şirket kuralları ve taahhütname (Kurul izniyle) alternatif mekanizmalardır. Ayrıca arızi hallerde açık rıza ve diğer istisnai mekanizmalara da başvurulabilir.
Yazar Hakkında: Avukat Yusuf KILIÇKAN, Türk dijital hukuku, veri koruma hukuku ve idare hukuku alanlarında uzmanlaşmış avukattır.
yusufkilickan.av.tr hukuk blogunun yazarıdır.
⚖️ Yasal Uyarı: Bu makale, Nisan 2026 tarihi itibarıyla yürürlükte bulunan 6698 sayılı KVKK, 7499 sayılı Kanun değişiklikleri, 10.07.2024 tarihli Yönetmelik ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde genel bilgilendirme amacıyla hazırlanmıştır. Standart sözleşme düzenlenmesi, bildirim süreçleri ve uyum stratejileri her kurum için farklılık gösterebilir. Veri aktarım mekanizmanızı yapılandırmadan önce kişisel veri koruma hukuku alanında uzman bir avukattan bireysel danışmanlık almanız önerilir.