2025 Yılında Uygulanacak KVKK İdari Para Cezaları ve Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Rehber hakkında Bülten
- 2025 Yılında Uygulanacak KVKK İdari Para Cezaları:
Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamındaki idari para ceza tutarları 2025 yılı için aşağıdaki gibidir:
| İhlal | 2025 Yılı İdari Para Cezası Tutarı | |
| En Düşük | En Yüksek | |
| Aydınlatma Yükümlülüğünü yerine getirmemek | 68.083 TL | 1.362.021 TL |
| Veri güvenliğine ilişkin yükümlülükleri yerine getirmemek | 204.285 TL | 13.620.402 TL |
| Kurul tarafından verilen kararları yerine getirmemek | 340.476 TL | 13.620.402 TL |
| VERBIS kayıt ve bildirim yükümlülüğüne aykırı hareket etmek | 272.380 TL | 13.620.402 TL |
| Standart Sözleşme Bildirim Yükümlülüğüne Uyulmaması | 71.965 TL | 1.439.300 TL |
- Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Rehber:
Kişisel Verileri Koruma Kurumu (“Kurum”), 2 Ocak 2025 tarihinde internet sitesinde Kişisel Verilerin Yurt Dışına Aktarılması Rehberini[1] (“Rehber”) yayımlamıştır.
Rehber çoğunlukla (i) KVKK ve (ii) Kişisel Verilerin Yurt Dışına Aktarılmasına ilişkin Usul ve Esaslar Hakkında Yönetmelik’te belirtilen hususları tekrarlamakla beraber, bazı ek bilgiler de içermektedir. Bültenimizde önemli olduğunu düşündüğümüz ve Rehber’de ek olarak verilmiş bilgileri aşağıda özetledik. Bir başka deyişle, mevzuatta belirtilen hususlar tekrarlanmamıştır.
- Standart Sözleşmeler Hakkında:
- Dual format: Dual format olarak hazırlanacak standart sözleşmenin de kabul edileceği belirtilmiştir[2]. Bu kapsamda, (i) sözleşmeler dual olarak ya da (ii) Türkçe ve İngilizce olarak ayrı ayrı imzalanabilir[3].
- İmza yetkilerine ilişkin belgeler: Standart sözleşmelerin tarafların imza yetkililerince imzalanması ve bu kişilerin imza yetkilerini gösteren dokümanların da Kurum’a sunulması gerekiyor. Mevzuatta, yabancı belgelerin noter tasdikli tercümesinin yeterli olacağı belirtilirken Rehber’de yabancı ülke makamlarınca düzenlenmiş resmî belge olması durumunda, bu dokümanda apostil şerhi olması gerektiği belirtilmiştir.
- Sonraki aktarımlar konusu: Sonraki aktarım yapılan taraflarla da standart sözleşme imzalanıp imzalanmamasına gerek olup olmadığına dair Rehber’de net bir açıklama yapılmamış olup mevzuat hükümleri tekrarlanmıştır.
- Standart Sözleşme eklerinin doldurulması: Standart sözleşme eklerinin nasıl doldurulması gerektiğine ilişkin ek bilgiler verilmiştir:
| Ekteki ilgili hüküm | Açıklama |
| Veri Aktaran ve Veri Alıcısının Standart Sözleşme Kapsamında Aktarılan Kişisel Verilere İlişkin Faaliyetleri | Bu bölüm altında standart sözleşmeye dayanılarak gerçekleştirilecek kişisel veri aktarımına ilişkin olarak genel açıklamalara yer verilir. Açıklama yapılırken aktarıma konu kişisel veriler üzerinde aktarım taraflarınca yürütülen faaliyetler belirtilir. |
| İlgili Kişi Grubu veya Grupları | Kişisel verilerin hangi ilgili kişi grubuna veya gruplarına ilişkin olduğu kişisel veri bazında belirtilir. |
| Aktarılan Kişisel Veri Kategorileri ve (Varsa) Aktarılan Özel Nitelikli Kişisel Veri Kategorileri | Aktarımına konu kişisel veri kategorileri (örn: iletişim) ve türlerine (örn: e-posta adresi) göre belirtilir. |
| Aktarımın Hukuki Sebebi | Aktarımın KVKK’nın 5 ve 6 ncı maddelerinde düzenlenen hangi işleme şartına dayanılarak gerçekleştirileceği belirtilir. |
| Aktarım Sıklığı | Aktarımın bir seferliğe mahsus mu yoksa sürekli olarak mı aktarılacağı gibi açıklamalara yer verilir. |
| İşleme Faaliyetinin Niteliği | Aktarıma konu kişisel veriler üzerinde ne tür bir kişisel veri işleme faaliyeti gerçekleştirileceği (örn: saklama, kaydetme, yayımlama, birleştirme, kategorize etme vb.) açıklanır. |
| Veri Aktarımının ve Devamında Gerçekleştirilecek İşleme Faaliyetinin Amaçları | Standart sözleşmeye dayanılarak gerçekleştirilecek aktarımın ve sonrasında veri alıcısı tarafından gerçekleştirilecek kişisel veri işleme faaliyetinin amaçları (örn: banka ödemelerinin gerçekleştirilmesi, müşteri destek hizmetlerinin sağlanması, piyasa araştırması vb.) açıklanır. |
| Kişisel Verileri Saklama Süresi | Aktarıma konu kişisel verilerin ne kadar süreyle saklanacağı (örn: beş yıl) belirtilir. Böyle bir kesin sürenin belirtilmesinin mümkün olmaması hâlinde saklama süresinin belirlenmesinde kullanılan kriterler (örn: kişisel veri işleme sözleşmesinin yürürlükte bulunduğu süre) açıklanır. Farklı kişisel veri kategorilerinin farklı saklama sürelerine tabi olması durumunda süreler ayrıca belirtilir. |
| Alıcılar veya Alıcı Grupları | Veri alıcısı tarafından yapılacak sonraki aktarım kapsamında, standart sözleşmeye dayanılarak veri aktarandan alınan kişisel verilerin aktarıldığı alıcılar belirtilir. Bu bölüm standart sözleşme süresince güncel tutulmalıdır. |
| Veri Aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri | Veri aktaran veri sorumlusunun Veri Sorumluları Siciline kayıt ve bildirimle yükümlü olması durumunda ilgili sözleşmedeki ilgili bölüm altında VERBİS bilgilerine yer verilir. Bu kapsamda, standart sözleşme eklerinde veri aktaran veri sorumlusu tarafından sağlanan bilgilerin VERBİS kayıtlarıyla uyumlu olması gerekmektedir. |
| (Alt) Veri İşleyene Aktarımlarda İşleme Faaliyetinin Konusu, Niteliği ve Süresi | Veri alıcısı veri işleyen tarafından alt veri işleyenlere sonraki aktarımın yapıldığı durumlarda söz konusu aktarım ve alt veri işleyen tarafından gerçekleştirilen işleme faaliyetleri ilgili sözleşmenin ilgili bölümü altında açıklanır. |
- Rehber’de, standart sözleşmeye ek olarak, diğer yurtdışı aktarım yolları hakkında da (bağlayıcı şirket kuralları, taahhütname vs.) hakkında bilgiler verilmiştir.
- Türkiye’deki 2 firma arasındaki aktarımın yurtdışına aktarım sayılmaması: Türkiye’deki 2 firma arasında yapılan aktarımın (diğer tarafın sunucusu (server’ı) yurtdışında olsa bile) yurtdışına aktarım sayılmayacağı netleştirilmiştir. Sonrasında bir taraf bu veriyi yurtdışına aktarıyorsa (örn. sunucusunun yurtdışında olması vs. sebebiyle), o taraf ile yurtdışındaki alıcının yurtdışı aktarım hükümlerine göre aksiyon alması gerekecektir (örn. standart sözleşme imzalaması gibi).
Rehber’den bir örnek vermek gerekirse:
“Türkiye’deki veri işleyenin üçüncü ülkedeki alt veri işleyene veri iletmesi: Türkiye’de yerleşik olan veri sorumlusu şirketin, bir Türk şirketini kendi adına veri işleyen olarak görevlendirmesi ve Türk veri işleyen şirketin işleme faaliyetlerinin bir kısmını üçüncü ülkedeki alt veri işleyen şirkete devretmesi sonucunda Türkiye’de yerleşik olan veri sorumlusu şirket ve veri işleyen Türk şirketi tarafından gerçekleştirilen kişisel veri işleme faaliyeti Türkiye’deki kuruluşu kapsamında gerçekleştiğinden KVKK’ya tabi olmaktadır. Üçüncü ülkedeki alt veri işleyenin gerçekleştirdiği işleme faaliyeti üçüncü ülkede olduğundan kişisel verilerin Türk veri işleyen şirket tarafından üçüncü ülkedeki alt veri işleyene iletilmesi kişisel veri aktarımı teşkil edecek olup KVKK kapsamında yurt dışına aktarım hükümleri uygulanacaktır.”
- Arızi Aktarım: Arızi aktarım durumunda, standart sözleşme veya benzer yollara gerek kalmadan, (KVKK madde 6/b’deki hususların varlığı halinde) yurtdışına veri aktarılabiliyor. Ancak arızi aktarımın tam olarak ne olduğu çok net değildi.
Arızi aktarım mevzuatta tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan durumlardaki aktarım olarak tanımlanmıştır. Rehber’de arızi aktarım örneklerine yer verilmiştir:
- Örneğin iş sözleşmesinin ifası gereği yurt dışındaki farklı müşterileri ziyaret etmek amacıyla seyahat eden bir satış müdürünün kişisel verilerinin bu müşterilerle toplantı düzenlemek amacıyla işvereni tarafından aktarılması arızi olarak kabul edilebilir.
- Bir Türk şirketinin müşterinin ödeme talebini yerine getirmek amacıyla kişisel verileri yurt dışındaki başka bir şirkete aktarması, iki şirket arasındaki aktarımların düzenli olmaması, tek veya birkaç sefer gerçekleşmesi, süreklilik arz etmemesi ve olağan faaliyet akışı içinde bulunmaması kaydıyla arızi olarak kabul edilebilir.
- Buna karşılık çok uluslu bir şirketin, yurt dışındaki bir eğitim merkezinde eğitimler düzenlemesi ve eğitim kursuna katılan çalışanlarının ad, soyad, iş unvanı gibi kişisel verilerini sistematik olarak aktarması durumunun arızi olarak kabul edilemeyeceği belirtilmiştir.
Konular hakkında sorunuz olursa, bizimle irtibata geçebilirsiniz.
[1] Rehberi detaylı incelemek isterseniz https://www.kvkk.gov.tr/Icerik/8143/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi linkinden ulaşabilirsiniz.
[2] Dual formata getirilecek bile olsa, standart sözleşme içeriğinin değiştirilemeyeceğini hatırlatırız.
[3] KVKK ve Yönetmeliğin ilgili maddeleri uyarınca Türkçe versiyon geçerli olacaktır.
Batuhan Şahmay
Buyukdere Cad. No: 193/4, 34394 Levent, Istanbul, Türkiye