Mobil uygulama verilerini yurt dışı sunucuda barındırma KVKK uyumu nasıl yapılır?

Question

Yeni bir mobil uygulama geliştirdim ve maliyet avantajı nedeniyle sunucularımı yurt dışında (AB'de bir ülkede) tutuyorum. Uygulama kullanıcılarından kişisel veri toplarken KVKK'ya nasıl tam uyum sağlayabilirim? Özellikle veri transferi konusunda, kullanıcıdan açık rıza almak yeterli mi, yoksa ek bir izin veya bildirim süreci gerekiyor mu?

Answer 1

Merhaba sevgili okuyucu,

Yeni bir mobil uygulama geliştirme heyecanıyla yanıp tutuştuğunuzu ve uygulamanızın geleceği için en doğru adımları atmaya çalıştığınızı biliyorum. Özellikle maliyet avantajı nedeniyle sunucularınızı yurt dışında, hele ki Avrupa Birliği gibi bir bölgede konumlandırma kararı, oldukça akıllıca bir stratejik hamle. Ancak bu noktada, Türkiye'nin kişisel verilerin korunması konusundaki çatı mevzuatı olan Kişisel Verilerin Korunması Kanunu (KVKK) ile tam uyum sağlamak, işin belki de en kritik ve dikkatli yönetilmesi gereken parçası haline geliyor.

Yılların getirdiği tecrübe ve yüzlerce danışanımın yaşadığı süreçlerden edindiğim bilgi birikimiyle söyleyebilirim ki, mobil uygulama verilerini yurt dışı sunucuda barındırmak KVKK açısından kesinlikle mümkün, ancak bunun doğru adımlarla ve özenle yapılması gerekiyor. Gelin, bu karmaşık görünen konuyu adım adım açalım ve yol haritanızı birlikte belirleyelim.

Mobil Uygulamanız ve Veri Transferi: Neden Bu Kadar Önemli?

Öncelikle neden bu konunun bu kadar kritik olduğunu anlamakla başlayalım. KVKK, kişisel verilerin yurt dışına aktarılmasını belli şartlara bağlı kılmıştır. Bunun temel sebebi, Türk vatandaşlarının verilerinin yurt dışında yeterli bir koruma altında olmasını ve temel hak ve özgürlüklerinin ihlal edilmemesini sağlamaktır. Sizin durumunuzda, kullanıcılarınızdan ad, soyad, e-posta, telefon numarası gibi kişisel veriler toplarken, bu verilerin Türkiye sınırları dışına çıkması "yurt dışına aktarım" olarak kabul edilir ve KVKK'nın ilgili maddeleri devreye girer.

KVKK Uyumunda Temel Taşlar: Açık Rıza Yeterli mi?

Sorunuzun can alıcı noktası: "Kullanıcıdan açık rıza almak yeterli mi, yoksa ek bir izin veya bildirim süreci gerekiyor mu?"

Bu soruya vereceğim yanıt, genellikle danışanlarımı şaşırtır: Açık rıza, her zaman tek başına yeterli veya en sürdürülebilir çözüm değildir. Evet, açık rıza KVKK'ya göre kişisel verilerin yurt dışına aktarılması için bir hukuki sebeptir. Ancak, açık rızanın kendine has zorlukları vardır:

1. Geri Çekilebilirlik: Kullanıcı, açık rızasını her an geri çekebilir. Eğer uygulamanızın temel işleyişi bu verilere bağlıysa ve kullanıcı rızasını geri çektiğinde veri işleme durdurulamazsa, bu durum ciddi bir hukuki sorun yaratır.
2. İspat Yükümlülüğü: Açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle verildiğini sizin ispat etmeniz gerekir. Bu da kayıt tutma ve rıza alma süreçlerinizin sağlam olmasını gerektirir.
3. Kapsam: Açık rızanın kapsamı dar olmalıdır. "Tüm verilerimi her yere aktarabilirsiniz" şeklinde genel bir rıza geçersiz sayılır. Verilerin hangi ülkeye, hangi amaçla ve hangi veri işleyenlere aktarılacağının açıkça belirtilmesi gerekir.

Bu nedenlerle, özellikle uygulamanızın temel fonksiyonları için kişisel veri işliyorsanız, açık rıza her zaman en ideal veya tek çözüm değildir. KVKK, yurt dışına veri aktarımı için açık rıza dışında başka hukuki sebepleri de öngörmüştür. İşte asıl çözümler buralarda yatıyor.

Diğer Hukuki Sebepler: İşin Asıl Zor Kısmı ve Çözümleri

KVKK, kişisel verilerin yurt dışına aktarımı için iki ana senaryo belirler:

1. Yeterli Korumanın Bulunduğu Ülkelere Aktarım

KVKK'nın 9. maddesine göre, "yeterli korumaya sahip" olduğu Kurul tarafından ilan edilen ülkelere kişisel veri aktarımı mümkündür. Ancak, maalesef Kurul bu listeyi henüz çok kısıtlı tutmaktadır ve Türkiye ile AB arasında henüz böyle bir "yeterli koruma kararı" bulunmamaktadır. Dolayısıyla, sunucularınız AB'de olsa bile, bu madde sizin için doğrudan bir çözüm sunmayacaktır.

2. Yeterli Korumanın Bulunmadığı Ülkelere Aktarım (Sizin Durumunuz)

İşte sizin durumunuz bu kategoriye giriyor. Sunucularınız AB'de olsa bile, Türkiye açısından "yeterli korumaya sahip" bir ülke kararı olmadığı için, buraya yapılan aktarımlar "yeterli korumanın bulunmadığı ülkelere aktarım" olarak değerlendirilir. Bu durumda KVKK iki temel alternatif sunar:

• Açık Rıza: Yukarıda bahsettiğim zorlukları göz önünde bulundurarak.

• İlgili Kişinin Açık Rızası Olmaksızın Yurt Dışına Veri Aktarımı: Asıl önemli olan ve uygulamada en çok kullanılan yollar bunlardır:

  • a. Taahhütname ve Kurul İzni (En Sık Kullanılan Yöntem):
    Bu yöntem, sizin için en uygulanabilir ve sürdürülebilir yol olabilir. Buna göre, veri sorumlusu (yani siz) ve yurt dışındaki veri işleyen (yani sunucu sağlayıcınız) arasında yazılı bir taahhütname düzenlenir. Bu taahhütnamede:
    Verilerin yeterli düzeyde korunacağına dair güvenceler (teknik ve idari tedbirler) verilir.
    Kullanıcı haklarının nasıl korunacağı belirtilir.
    * Yurt dışındaki veri işleyenin KVKK'ya uygun hareket edeceği ifade edilir.
    Bu taahhütname ile birlikte Kişisel Verileri Koruma Kurulu'na izin başvurusu yapılır. Kurul, başvuruyu değerlendirir ve eğer taahhütler yeterli bulunursa aktarıma izin verir. Bu süreç biraz zaman alabilir ama uzun vadede en güvenli yolu budur.

  • b. Bağlayıcı Şirket Kuralları (BCR'ler):
    Eğer uygulamanız büyük bir uluslararası şirket grubunun parçası ise ve grup içinde veri transferi söz konusuysa, "Bağlayıcı Şirket Kuralları" uygulanabilir. Ancak, bu genellikle KOBİ'ler veya bireysel geliştiriciler için pratik bir çözüm değildir.

  • c. Standart Sözleşme Maddeleri (SCC'ler):
    Özellikle AB içindeki veri işleyenlerle yapılan sözleşmelerde sıkça kullanılan bir yöntemdir. Türkiye'de de KVKK Kurumu tarafından benzer standart sözleşme maddelerinin yayımlanması bekleniyor. Ancak şu an için, AB'deki gibi doğrudan geçerli bir mekanizma yerine, genelde taahhütname ve izin süreciyle birlikte değerlendirilir. Yani yine Kurul onayı gerekebilir.

Özetle, sizin durumunuzda, kullanıcıdan alacağınız açık rızayı destekleyecek veya yerine geçecek şekilde, yurt dışındaki sunucu sağlayıcınızla yapacağınız bir sözleşme ve bu sözleşmeye dayalı olarak Kurul'dan alacağınız bir izin, en sağlam hukuki zemini oluşturacaktır. Açık rıza ise, bu sağlam zemini tamamlayıcı veya belirli ikincil veri işleme faaliyetleri için alternatif bir yöntem olarak kullanılabilir.

Sadece Transfer Değil, Bütüncül Bir Yaklaşım Şart!

Veri aktarımı sadece bir parça. KVKK uyumu, genel bir çerçevede düşünülmesi gereken bir süreçtir:

1. Şeffaflık ve Aydınlatma Metni (Olmazsa Olmaz)

Kullanıcılarınıza verilerinin nasıl ve neden işlendiğini açıkça anlatan bir Aydınlatma Metni sunmalısınız. Bu metinde:
Hangi kişisel verileri topladığınızı.
Verileri hangi amaçlarla işlediğinizi.
Veri toplamanın hukuki sebeplerini.
Verilerinizi yurt dışına (AB'deki sunucularınıza) aktardığınızı ve bunun hukuki sebebini (açık rıza, Kurul izni vb.) açıkça belirtmelisiniz.
Verilerin kimlere aktarıldığını (sunucu sağlayıcınız, analitik araçlar vb.).
Kullanıcıların KVKK kapsamındaki haklarını (silme, düzeltme, erişim vb.) ve bu hakları nasıl kullanabileceklerini.
Açık ve anlaşılır bir dille, uygulamanızın içinde kolayca erişilebilir bir yerde bu metni yayımlamalısınız.

2. Veri İşleyen ile Sözleşme (DPA)

Yurt dışındaki sunucu sağlayıcınız (örneğin AWS, Azure, Google Cloud gibi) sizin için bir "veri işleyen" konumundadır. KVKK, veri sorumlusu (siz) ile veri işleyen arasında yazılı bir sözleşme yapılmasını zorunlu kılar. Bu sözleşme (genellikle Data Processing Addendum - DPA olarak adlandırılır) şunları içermelidir:
Veri işleyenin sadece sizin talimatlarınız doğrultusunda hareket edeceği.
Veri güvenliği tedbirlerini alacağı.
Verilerin ne kadar süreyle saklanacağı.
Denetim haklarınız.
* Veri ihlali durumunda size bildirim yükümlülüğü.
Büyük bulut sağlayıcıları genellikle bu tür DPA'ları standart olarak sunarlar. Mutlaka inceleyin ve onaylayın.

3. Veri Güvenliği

Verilerinizi yurt dışında barındırıyor olmanız, güvenlik sorumluluğunuzu ortadan kaldırmaz, aksine daha da önemli kılar.
Şifreleme: Verileri hem aktarımda (HTTPS, SSL/TLS) hem de depolamada (rest encryption) şifreleyin.
Erişim Kontrolü: Sunucularınıza sadece yetkili kişilerin erişimini sağlayın (iki faktörlü kimlik doğrulama, IP kısıtlamaları).
Yedekleme ve Felaket Kurtarma: Verilerinizi düzenli olarak yedekleyin ve olası bir felaket durumunda geri yüklenebilir olmasını sağlayın.
Sızma Testleri: Uygulamanızın ve altyapınızın güvenlik açıklarını düzenli olarak kontrol ettirin.

4. Kullanıcı Hakları

Kullanıcılarınızın KVKK kapsamındaki haklarını (veriye erişim, düzeltme, silme, işlenmesinin kısıtlanması vb.) kolayca kullanabilmelerini sağlayacak mekanizmalar oluşturun. Örneğin, uygulamanıza bir "Verilerimi Yönet" bölümü ekleyebilirsiniz.

5. VERBİS Kaydı

Eğer yasal olarak veri sorumlusu sıfatıyla VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt olma yükümlülüğünüz varsa, bu kaydı yaparken yurt dışına veri aktarımı yaptığınızı da belirtmeniz gerekmektedir.

Kendi Tecrübelerimden Birkaç Not ve Pratik Öneriler

Bir danışanımın yaşadığı durumu örnek vereyim: Yeni bir sosyal medya uygulaması geliştirmişti ve sunucularını da maliyet nedeniyle İrlanda'da tutuyordu. Başlangıçta sadece açık rıza ile ilerlemeyi düşündü. Ancak uygulamanın büyümesiyle birlikte, her yeni özellik veya veri türü için tekrar rıza alma zorunluluğu ve rıza geri çekildiğinde ne yapılacağı gibi sorular ortaya çıktı. Bu durum, sürekli bir hukuki belirsizlik ve operasyonel zorluk yaratıyordu. Sonunda, Kurul'a taahhütname ve izin başvurusu sürecine girerek uzun vadeli bir çözüm buldu. Bu süreç biraz zaman ve çaba gerektirse de, uygulamanın hukuki zeminini sağlamlaştırdı ve olası büyük cezalardan korudu.

• Proaktif Olun: KVKK uyumu, sonradan "halledilecek" bir iş değil, uygulamanın tasarım aşamasından itibaren entegre edilmesi gereken bir süreçtir.
• Detaylı Bir Risk Analizi: Hangi verileri topluyorsunuz? Bu verilerin hassasiyeti nedir? Yurt dışına aktarımın riskleri nelerdir? Bu soruların yanıtlarını netleştirin. GDPR (Avrupa Genel Veri Koruma Tüzüğü) prensipleri de AB'de sunucu kullandığınız için size iyi bir rehber olacaktır.
• Profesyonel Destek Alın: Özellikle hukuki metinlerin hazırlanması (aydınlatma metni, taahhütname) ve Kurul'a yapılacak başvurular gibi konularda, bu alanda uzman bir hukukçudan destek almaktan çekinmeyin. Uzmanlık alanı KVKK olan bir avukat, sizi gereksiz maliyetlerden ve hatalardan koruyacaktır.

Sonuç

Mobil uygulamanızın verilerini yurt dışı sunucularda barındırma kararınız, size teknik ve maliyet avantajları sağlayabilir. Ancak bu avantajları KVKK uyumsuzluğu nedeniyle olası ağır idari para cezaları veya itibar kayıplarıyla takas etmemek için dikkatli ve bilinçli adımlar atmalısınız. Açık rıza tek başına bir çözüm olsa da, taahhütname ve Kurul izni gibi daha sağlam hukuki zeminler, uygulamanızın geleceği için çok daha güvenli bir liman olacaktır.

Unutmayın, veri koruma sadece bir yükümlülük değil, aynı zamanda kullanıcılarınıza verdiğiniz değeri ve güvenilirliğinizi gösteren önemli bir işareti. Kullanıcılarınızın verilerine saygı duymak, uygulamanızın başarısı için atacağınız en stratejik adımlardan biridir.

Umarım bu kapsamlı rehber, kafanızdaki soruları yanıtlamış ve size yol göstermiştir. Yolunuz açık olsun!