Google Drive, Microsoft 365 veya AWS kullanan hukuk büroları müvekkil verilerini yurt dışına aktarıyor sayılır. 7499 sayılı Kanun'la yenilenen KVKK rejiminde standart sözleşme imzalandıktan sonra 5 iş günü içinde bildirim zorunlu; ihmal edenler için ceza 90.000 TL'den başlıyor. İşte 4 modül ve pratik uyum adımları.

Hukuk büronuz Google Drive, Dropbox, Microsoft 365 veya başka bir yabancı bulut hizmetini kullanıyorsa müvekkil verilerini yurt dışına aktarıyor sayılırsınız. 2024'te 7499 sayılı Kanun'la temelden yenilenen KVKK yurt dışı aktarım rejimi, 2026 itibarıyla tam uygulama kapsamına girdi ve Kişisel Verileri Koruma Kurulu denetimleri bulut bilişim, yapay zeka ve SaaS alanlarına yoğunlaştı. Standart sözleşme imzalandıktan sonra 5 iş günü içinde yapılması gereken bildirim yükümlülüğünü kaçıranlar için ceza aralığı 90.000 TL — 1.800.000 TL olarak belirlenmiş durumda.

Yurt Dışına Veri Aktarımı: Kimler Kapsamda?

Pek çok avukat "yurt dışına veri aktarımı" kavramını uluslararası ticaret sözleşmelerinde veya büyük şirketlerde karşılaşılan bir mesele olarak değerlendiriyor. Oysa aşağıdaki günlük pratiklerden herhangi biri, KVKK kapsamında yurt dışına veri aktarımı anlamına gelir:

  • Müvekkil belgelerini Google Drive veya Dropbox'ta saklamak
  • Microsoft 365 veya Gmail gibi ABD sunucularında barındırılan e-posta hizmeti kullanmak
  • Zoom, Teams veya Meet gibi yabancı video konferans araçlarıyla müvekkille görüşmek
  • Yabancı tabanlı CRM veya dava takip yazılımı kullanmak
  • Muhasebe verilerini yabancı kaynaklı bir SaaS platformunda işlemek

Bu faaliyetlerin hiçbiri başlı başına yasak değildir; ancak 6698 sayılı Kanun'un yeni aktarım rejimine uygun hukuki zemin kurulmadan yürütülürse KVKK ihlali oluşturabilir.

Yurt Dışına Veri Aktarımı Nedir? 6698 sayılı KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasını özel kurallara bağlamaktadır. "Yurt dışına aktarım", söz konusu verinin Türkiye sınırları dışındaki bir sunucu, sistem veya kişiye iletilmesini ifade eder. Kişinin Türkiye'de yerleşik olması değil, verinin işlendiği altyapının konumu belirleyicidir.

Üç Yasal Aktarım Mekanizması

7499 sayılı Kanun değişikliğiyle KVKK'ya dahil edilen yeni rejim, yurt dışına veri aktarımını üç mekanizmadan birine dayandırmayı zorunlu kılmaktadır:

  1. Yeterlilik Kararı: KVKK Kurulu, bazı ülkelerin kişisel veri koruma düzeyini "yeterli" olarak tanıyabilir. Bu kararla belirlenen ülkelere veri aktarımı ek bir mekanizma gerektirmez. Yeterlilik kararları en az dört yılda bir gözden geçirilir ve revize edilebilir; yeterlilik kaldırılırsa diğer mekanizmalara geçilmesi ve bu geçişin belgelenmesi gerekir. Türkiye Kurulu'nun yeterlilik kararı verdiği ülke listesi için kvkk.gov.tr adresi takip edilmelidir.
  2. Standart Sözleşmeler: Yeterlilik kararı bulunmayan ülkeler için en yaygın mekanizma. Kurul tarafından belirlenen standart sözleşme metinleri, veri sorumlusu ile yabancı taraf arasında imzalanarak KVKK'ya bildirilir.
  3. İstisnai Haller (Açık Rıza dahil): Belirli koşullarda (ilgili kişinin açık rızası, sözleşme ifası zorunluluğu vb.) yukarıdaki iki mekanizma olmaksızın aktarım yapılabilir. Ancak bu yol sınırlı ve istisnai niteliktedir; rutin bulut hizmet kullanımı için uygun değildir.

Standart Sözleşmeler: 4 Modül ve Doğru Seçim

Standart sözleşme yolunu kullananlar için Kurul, farklı aktarım senaryolarına göre dört modül belirlemiştir. Yanlış modül seçimi sözleşmeyi hukuken geçersiz kılabilir; bu nedenle hangi modülün uygulanacağını doğru tespit etmek kritik önem taşır:

  • Modül 1 (Kontrolör → Kontrolör): İki veri sorumlusu arasında aktarım. Örneğin, Türkiye'deki bir hukuk bürosunun yabancı hukuk bürosuyla ortak dosya paylaşması.
  • Modül 2 (Kontrolör → İşleyici): En yaygın senaryo. Veri sorumlusunun (büro), verileri yabancı bir işleyiciye (AWS, Azure, Google Cloud gibi bulut altyapı sağlayıcılarına) yönlendirmesi. Çoğu hukuk bürosu için geçerli olan modül budur.
  • Modül 3 (İşleyici → Kontrolör): Yabancı işleyicinin, Türkiye'deki veri sorumlusuna veri aktarması.
  • Modül 4 (İşleyici → İşleyici): İki veri işleyici arasında aktarım.

Büyük bulut hizmetleri (Google, Microsoft, AWS, Dropbox) genellikle kendi standart sözleşme metinlerini sunmaktadır; ancak bu metinlerin Kurul'un belirlediği standart sözleşmelerle uyumlu olup olmadığı ve doğru modülü yansıtıp yansıtmadığı ayrıca kontrol edilmelidir.

5 İş Günlük Bildirim Yükümlülüğü: Nasıl Yapılır?

Standart sözleşmeyi imzalamak tek başına yeterli değildir. Sözleşmenin imzalanmasından itibaren 5 iş günü içinde KVKK'ya bildirim yapılması zorunludur. Bildirim üç kanaldan yapılabilir:

  1. Standart Sözleşme Bildirim Modülü: KVKK'nın 25 Ekim 2024'te duyurduğu dijital bildirim arayüzü. En pratik yol olup kvkk.gov.tr üzerinden erişilebilir.
  2. Kayıtlı Elektronik Posta (KEP): İmzalanan sözleşmenin KEP aracılığıyla Kurul'a iletilmesi.
  3. Fiziki Başvuru: Sözleşmenin ıslak imzalı kopyasının Kurum adresine teslimi.

5 iş günlük süre kesindir; gecikmesi halinde ceza yükümlülüğü doğar. Sözleşme imzalanır imzalanmaz bildirimi planlamak, hafta sonları ve resmi tatiller nedeniyle sürenin kısaldığına dikkat etmek gerekir.

Hukuk Bürosu İçin Pratik Uyum Adımları

Bulut hizmetleri kullanan ya da uluslararası iş ortaklarıyla çalışan bir hukuk bürosu için yurt dışı aktarım uyumunu sağlamak birkaç somut adıma indirgenebilir:

  1. Envanter yapın: Hangi yabancı platformlara müvekkil verisi gidiyor? Bu soruyu yanıtlamak için bürodaki tüm dijital araçların sunucu konumlarını listeleyin. Google, Microsoft, AWS gibi ABD tabanlı hizmetler yurt dışı aktarım kapsamındadır.
  2. Mekanizma seçin: Her platform için yeterlilik kararı var mı? Yoksa standart sözleşme mi, açık rıza mı kullanacaksınız? Rutin bulut hizmetleri için standart sözleşme (Modül 2) en uygun yoldur.
  3. Sözleşme metinlerini inceleyin: Hizmet sağlayıcının sunduğu sözleşme metninin KVKK'nın standart sözleşmesiyle uyumlu olup olmadığını kontrol edin. Uyumsuzluk varsa sağlayıcıyla ek bir sözleşme düzenleyin.
  4. Bildirimi yapın: Sözleşmeyi imzalayın ve 5 iş günü içinde KVKK Bildirim Modülü'ne yükleyin.
  5. Belgelendirin: Sözleşme metni, imza tarihi, bildirim tarih ve onay kaydını büro arşivinize ekleyin.

KVKK uyum sürecini genel olarak ele aldığımız hukuk bürosu KVKK uyum rehberimiz, bu adımları daha geniş bir uyum çerçevesinde konumlandırmanıza yardımcı olacaktır.

2026 Denetimleri: Kurul Neye Bakıyor?

2026 itibarıyla KVKK Kurulu denetimlerini bulut bilişim, yapay zeka ve SaaS alanlarına kaydırdı. Bu sektörlerde faaliyet gösteren ya da bu araçları kullanan veri sorumlularının (hukuk büroları dahil) özellikle inceleme altına alınması beklenmektedir. Denetimde sorulan başlıca sorular şunlardır:

  • Hangi yabancı platformlara kişisel veri gidiyor?
  • Her platform için geçerli hukuki mekanizma ne?
  • Standart sözleşme imzalandı ve bildirim yapıldı mı?
  • Yeterlilik kararı dayanılan ülkeler güncel mi?
  • İlgili kişiler aydınlatma metninde yurt dışı aktarım konusunda bilgilendirildi mi?

Bu soruların yanıtları büro arşivinde hazır değilse, denetim anında temin etmek zaman alır ve Kurul'a olumsuz bir izlenim bırakır. Önceden hazırlık yapmak, hem ceza riskini minimize eder hem de Kurul'la işbirliği tutumunu belgeler.

2026 denetim odağının bulut ve SaaS'a kayması, KVKK'ya uyumu uzun vadeli bir proje olarak değil, süregelen bir operasyonel sorumluluk olarak ele almanın zamanının geldiğini göstermektedir. Sadece denetim öncesinde değil, her yeni dijital araç kullanıma alındığında "bu araç müvekkil verisi işliyor mu, yurt dışı aktarım riski var mı" sorusunu sormak, uyumsuzluğu kökten engellemenin en basit yoludur.

Sözleşme bildirim yükümlülüğüne aykırılık için belirlenen 90.000 TL - 1.800.000 TL ceza aralığı, küçük bir hukuk bürosu için önemli bir mali yük oluşturabilir. Ancak bu ceza tek başına değerlendirilmemelidir: yurt dışı aktarım ihlali tespit edildiğinde Kurul, eş zamanlı olarak aydınlatma yükümlülüğü ihlali ve veri güvenliği yükümlülüğü ihlali kapsamında ek soruşturma başlatabilir. Üç ayrı ihlal = üç ayrı ceza riski.

Yabancı Yazılım Sağlayıcısı ile Standart Sözleşme: Dikkat Noktaları

Bulut hizmet sağlayıcıları (Google, Microsoft, AWS, Dropbox vb.) kendi standart sözleşme metinlerini sundukları için avukat bürolarının çoğu "zaten bir sözleşme imzaladık, hazırız" sanıyor. Bu yanılgı risklidir. Kontrol edilmesi gereken noktalar şunlardır:

  • Metin KVKK'nın standart sözleşmesiyle uyumlu mu? Yabancı sağlayıcının sunduğu metin, Avrupa Birliği'nin GDPR standart sözleşmelerine dayanıyor olabilir. Bu metin otomatik olarak KVKK standart sözleşmesiyle eşdeğer sayılmaz; içeriklerin karşılaştırılması gerekir.
  • Modül doğru seçilmiş mi? Yaygın hata, "biz sadece müşteriyi" ya da "veriyi biz saklamıyoruz, sağlayıcı saklıyor" diyerek yanlış modül seçmektir. Veri işleyiciye aktarılan veriler için Modül 2 geçerlidir; modülü yanlış seçmek sözleşmeyi geçersiz kılabilir.
  • Sözleşme Türkçe mi? KVKK, Kurul'a bildirim yapılacak standart sözleşmelerin Türkçe ya da Türkçe tercümeli olmasını şart koşabilir. Yalnızca İngilizce bir metin bildirimi reddettirme riskidir.
  • Alt işleyiciler var mı? AWS gibi büyük sağlayıcılar kendi altyapılarını başka şirketlere (alt işleyici) devredebilir. Standart sözleşme bu alt işleyicileri de kapsamalıdır; aksi hâlde zincir kırılır.

Bu kontrolleri yapmadan imzalanan sözleşmeler, Kurul'a bildirilse bile KVKK gerekliliklerini karşılamayabilir. Bir hukuki uzman aracılığıyla metin incelemesi yaptırmak, uzun vadede ceza riskini minimize eden tek güvenilir yoldur.

Aydınlatma Metnine Yurt Dışı Aktarım Eklenmeli

KVKK yurt dışı aktarım uyumunun sıkça göz ardı edilen boyutu, müvekkile yapılacak aydınlatmadır. 6698 sayılı Kanun'un 10. maddesi, aydınlatma yükümlülüğü kapsamında verinin yurt dışına aktarılıp aktarılmadığının ilgili kişiye bildirilmesini şart kılar.

Pratikte bu şu anlama gelir: Büronuzun aydınlatma metninde şu içerikler yer almalıdır:

  • Hangi kategorideki verilerin yurt dışına aktarıldığı
  • Aktarımın yapıldığı ülke veya ülke grupları (örn. ABD, AB)
  • Aktarımın dayandığı mekanizma (standart sözleşme, yeterlilik kararı vb.)

Bu bilgi aydınlatma metninde yer almıyorsa, veri aktarımı teknik olarak gerçekleşmiş olsa bile ilgili kişilere gerektiği gibi bildirilmemiş sayılır ve aydınlatma yükümlülüğü ihlali riski doğar. 2026 güncelleme tarihi itibarıyla, aydınlatma metninin 2026/347 sayılı karar kapsamında açık rıza bölümünden ayrı tutulması gerektiği de göz önünde bulundurulduğunda, bu metnin bütüncül bir gözden geçirmeyi hak ettiği açıktır. Pratik öneri: her aktarım için aydınlatma metni bölümünü güncelleyin ve güncelleme tarihini kayıt altına alın; Kurul denetiminde "farkında değildik" savunması geçerli değildir.

Veri Akışını Görünür Kılmak

Yurt dışı aktarım uyumunun en zorlu boyutu, hangi verinin nereye gittiğini sistematik biçimde takip etmektir. Müvekkil belgeleri bulut depolamaya yükleniyor, yazışmalar yabancı e-posta sunucusundan geçiyor, dava notları bir SaaS platformunda tutuluyor — bu akışları takip etmeden standart sözleşme ve bildirim yükümlülüklerini doğru yönetmek mümkün değildir.

Hukuk Bilgi Sistemi (HBS), müvekkil belgelerini ve iletişim verilerini Türkiye'de barındırılan, erişim denetimli bir altyapıda saklayarak yurt dışı aktarım riskini en aza indirir. Hangi verinizin hangi sistemde işlendiği her an görünür olduğunda, hem KVKK uyum belgeleri hazırlanabilir hâle gelir hem de denetim anında Kurul'a sunulacak kanıtlar hazırdır.

Bulut depolama, e-posta ve video konferans araçları gibi üçüncü taraf hizmetler kullanmak kaçınılmaz olabilir. Bu durumda çözüm, yurt dışı aktarımı tamamen ortadan kaldırmak değil, her aktarımı yasal bir zemine oturtmak ve bunu belgelemektir. Sözleşme arşivi, bildirim kayıtları ve güncel aydınlatma metinleri — bu üç belge seti hazır tutulduğunda, KVKK yurt dışı aktarım uyumu yönetilebilir bir idari görev hâline gelir.

Sıkça Sorulan Sorular

Hukuk bürosu Google Drive kullanıyorsa KVKK yurt dışı aktarım kurallarına tabi mi?

Evet. Google Drive, Dropbox, Microsoft 365 gibi yabancı bulut hizmetleri aracılığıyla müvekkil verisi saklamak KVKK kapsamında yurt dışına veri aktarımı sayılır. Bu aktarım için standart sözleşme (genellikle Modül 2) veya yeterlilik kararı gibi hukuki bir dayanağa ihtiyaç vardır.

Standart sözleşmede yanlış modül seçmek ne sonuç doğurur?

Yanlış modül seçimi sözleşmeyi hukuken geçersiz kılabilir. Geçersiz sözleşmeyle yapılan aktarım, yasal mekanizmasız aktarım sayılır ve ihlal oluşturur. Hizmet türünüze göre doğru modülü belirlemek — en yaygın olanı kontrolör-işleyici aktarımı için Modül 2 — kritik öneme sahiptir.

Standart sözleşme bildirimi için kaç günüm var ve nasıl yapılır?

Sözleşme imzalandıktan itibaren 5 iş günü içinde KVKK'ya bildirim yapılması zorunludur. Üç kanal kullanılabilir: kvkk.gov.tr'deki Standart Sözleşme Bildirim Modülü, KEP (Kayıtlı Elektronik Posta) veya fiziki başvuru. En pratik yol dijital bildirim modülüdür.

Bildirim yükümlülüğünü kaçırırsam ceza ne kadar?

Sözleşme bildirim yükümlülüğüne aykırılık için 2026 yılı ceza aralığı 90.000 TL ile 1.800.000 TL arasındadır. Bu ceza, eş zamanlı diğer KVKK ihlalleri (aydınlatma eksikliği, veri güvenliği ihlali) tespit edilirse ayrı cezalarla birleşebilir.

Yabancı sağlayıcının kendi sunduğu veri işleme sözleşmesi yeterli mi?

Her zaman değil. Yabancı sağlayıcıların önerdiği metinler çoğunlukla GDPR tabanlıdır ve KVKK standart sözleşmesiyle birebir örtüşmeyebilir. Ayrıca modülün doğruluğu, Türkçe tercüme ve alt işleyici maddeleri ayrıca kontrol edilmelidir. Bir KVKK uzmanına metin incelettirmek riskleri minimize eder.

Yeterlilik kararı bulunan ülkelere aktarım için de sözleşme gerekli mi?

Hayır. KVKK Kurulu'nun yeterlilik kararı verdiği ülkelere aktarım için ayrıca standart sözleşme gerekmez. Ancak yeterlilik kararları dört yılda bir gözden geçirilir; kararın güncelliği ve ilgili ülkenin listede olup olmadığı kvkk.gov.tr üzerinden takip edilmelidir.