Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunSınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
Küresel işletmelerin %85'i kişisel verileri sınırlar ötesine aktarıyor, ancak yalnızca %34'ü belgelenmiş aktarım mekanizmalarına sahip. Schrems II'nin 2020'de AB-ABD Gizlilik Kalkanı'nı geçersiz kılmasının ardından, sınır ötesi veri aktarımları, veri koruma hukukunun en karmaşık alanlarından biri haline geldi. AB-ABD Veri Gizliliği Çerçevesi, ABD aktarımları için yasal kesinliği kısmen geri getirdi ancak küresel veri aktarımı kısıtlamalarının daha geniş kapsamı genişlemeye devam ediyor.
Bu kılavuz, sınır ötesi veri aktarımı düzenlemelerinin mevcut durumunun haritasını çıkarır ve uluslararası faaliyet gösteren işletmeler için pratik uygulama kılavuzu sağlar.
Önemli Çıkarımlar
- AB yalnızca 15 ülkenin "yeterli" veri koruması sağladığını kabul ediyor -- diğer tüm aktarımlar ek mekanizmalara ihtiyaç duyuyor
- Standart Sözleşme Maddeleri (SCC'ler) en yaygın transfer mekanizmasıdır ancak artık ek Transfer Etki Değerlendirmeleri gerektirmektedir
- Veri yerelleştirme gereksinimleri artıyor: Çin, Rusya, Hindistan ve Suudi Arabistan belirli verilerin ülkeden çıkmasını kısıtlıyor
- AB-ABD Veri Gizliliği Çerçevesi, kendi kendini sertifikalandıran ABD şirketleri için bir aktarım mekanizması sağlar
Transfer Mekanizması Hiyerarşisi
GDPR uyarınca, kişisel veriler AEA'dan yalnızca şu mekanizmalardan birini (basitlik sırasına göre) kullanarak çıkabilir:
1. Yeterlilik Kararları
Avrupa Komisyonu şu ülkelerin yeterli koruma sağladığını belirledi:
| Ülke/Bölge | Yeterlilik Karar Tarihi | Durum |
|---|---|---|
| Andorra | 2010 | Aktif |
| Arjantin | 2003 | Aktif |
| Kanada (PIPEDA) | 2001 | Aktif (yalnızca ticari sektör) |
| Faroe Adaları | 2010 | Aktif |
| Guernsey | 2003 | Aktif |
| İsrail | 2011 | Aktif |
| Man Adası | 2004 | Aktif |
| Japonya | 2019 | Aktif |
| Jersey | 2008 | Aktif |
| Yeni Zelanda | 2012 | Aktif |
| Kore Cumhuriyeti | 2022 | Aktif |
| İsviçre | 2000 | Aktif |
| Birleşik Krallık | 2021 | Aktif (Haziran 2025'e kadar, yenilenmesi bekleniyor) |
| Uruguay | 2012 | Aktif |
| Amerika Birleşik Devletleri | 2023 (DPF) | Etkin (yalnızca DPF katılımcıları) |
Verileriniz yeterli bir ülkeye gidiyorsa: Ek bir aktarım mekanizmasına gerek yoktur. Bunu AEA içi transfer gibi işleyin.
Listede yoksa: Aşağıdaki mekanizmalardan birine ihtiyacınız vardır.
2. Standart Sözleşme Maddeleri (SCC'ler)
En sık kullanılan transfer mekanizması. SCC'ler, veri içe aktarıcıyı GDPR'ye eşdeğer korumalara bağlayan önceden onaylanmış sözleşme şablonlarıdır.
Dört modül (ilgili olanı kullanın):
| Modül | Partiler | Senaryo |
|---|---|---|
| Modül 1 | Denetleyiciden Denetleyiciye | Müşteri verilerinin yabancı bir ortakla paylaşılması |
| Modül 2 | Denetleyiciden İşlemciye | Yabancı bir bulut sağlayıcısı veya SaaS satıcısı kullanma |
| Modül 3 | İşlemciden İşlemciye | İşlemciniz yabancı bir alt işlemci kullanıyor |
| Modül 4 | İşlemciden Denetleyiciye | Yabancı kontrolör AB merkezli işlemciye talimat veriyor |
Uygulama adımları:
- AEA dışındaki tüm veri aktarımlarını tanımlayın
- Her aktarım için uygun SCC modülünü seçin
- Ekleri doldurun (veri kategorileri, güvenlik önlemleri, alt işleyiciler)
- Her alıcı ülke için bir Transfer Etki Değerlendirmesi (TIA) yapın
- SCC'leri veri içe aktarıcıyla imzalayın
- TIA'da tanımlanan ek önlemleri uygulayın
3. Bağlayıcı Şirket Kuralları (BCR'ler)
Grup kuruluşları arasında veri aktarımı yapan çok uluslu şirketler için. BCR'ler, önde gelen bir denetim otoritesi tarafından onaylanır ve küresel olarak grup içi transferler için bir çerçeve sağlar.
Avantajları: Onaylandıktan sonra tüm grup varlıklarını ve tüm transfer senaryolarını kapsar Eksileri: 12-24 aylık onay süreci, önemli maliyet (100.000$+), yalnızca grup kuruluşları için
4. AB-ABD Veri Gizliliği Çerçevesi (DPF)
ABD şirketleri, yeterlilik benzeri bir transfer mekanizması sağlayarak DPF kapsamında kendi kendilerini sertifikalandırabilirler:
- Şirket ABD Ticaret Bakanlığı'na kayıtlıdır
- Şirket, DPF uyumlu bir gizlilik politikası yayınlar
- Şirket, DPF ilkelerine (bildirim, seçim, ileriye yönelik aktarım, güvenlik, veri bütünlüğü, erişim, başvuru) uymayı taahhüt eder
- Yıllık yeniden sertifikasyon gerekli
Sınırlama: Yalnızca DPF sertifikalı şirketlere yapılan aktarımları kapsar. Bu mekanizmaya güvenmeden önce DPF listesini kontrol edin.
Transfer Etki Değerlendirmeleri (TIA'lar)
Gerektiğinde
Schrems II'den sonra, yeterli olmayan ülkelere yapılan tüm SCC bazlı transferler için TIA'lar gerekli olacaktır. TIA, alıcı ülkenin yasalarının SCC'lerdeki korumaları zayıflatıp zayıflatmadığını değerlendirir.
TIA Çerçevesi
| Değerlendirme Öğesi | Anahtar Sorular |
|---|---|
| Veri özellikleri | Hangi veriler? Ne kadar hassas? Hacim? |
| Ülke yasalarının alındığı | Hükümetin gözetim kanunları mı? Zorunlu erişim mi? |
| Yasal korumalar | Bağımsız yargı mı? Veri koruma yetkilisi mi? |
| Pratik deneyim | İthalatçı devletten erişim talepleri aldı mı? |
| Tamamlayıcı önlemler | Teknik önlemler hukuki riskleri ortadan kaldırabilir mi? |
TIA Sonuç Karar Ağacı
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
Tamamlayıcı Önlemler
| Ölçü | Etkililik | Kullanım Örneği |
|---|---|---|
| Şifreleme (müşterinin elindeki anahtarlar) | Yüksek | Duran ve aktarılan veriler |
| Takma ad kullanma | Yüksek | Analitik, raporlama |
| Bölünmüş işleme | Orta | Yalnızca AEA'da işlenen hassas alanlar |
| Sözleşme kısıtlamaları | Düşük-orta | İthalatçının ek taahhütleri |
| Denetim hakları | Düşük | Önleme değil doğrulama |
Veri Yerelleştirme Gereksinimleri
Veri Yerelleştirme Yasalarına Sahip Ülkeler
| Ülke | Gereksinim | Kapsam | Penaltı |
|---|---|---|---|
| Çin (PIPL + CSL) | Kritik veriler ve önemli veriler Çin'de saklanmalıdır; giden transferler için güvenlik değerlendirmesi | Geniş | %5'e varan gelir |
| Rusya (Federal Kanun 242-FZ) | Rus vatandaşı verilerinin ilk işlenmesi ve saklanması Rusya'da gerçekleşmelidir | Rus vatandaşı verileri | Hizmetlerin engellenmesi |
| Hindistan (DPDP Yasası) | Kritik kişisel veriler Hindistan'da işlenmelidir (kurallar beklemede) | Tanımlanacak | 250 crore INR'ye kadar |
| Suudi Arabistan (PDPL) | Hassas veriler yerel işleme gerektirebilir; transfer kısıtlamaları | Kişisel veriler | 5 milyon SAR'a kadar |
| Vietnam (PDPD) | Yurt içinde saklanacak önemli veriler; sınır ötesi transferler için TIA | Vietnam vatandaş verileri | İdari cezalar |
| Endonezya (KAP Kanunu) | Devlet sektörü verileri yerel işleme gerektirebilir | Hükümet verileri | İdari yaptırımlar |
| Türkiye (KVKK) | Transfer, onay veya özel yasal dayanak gerektirir + Yönetim Kurulu onayı | Kişisel veriler | 1,8 Milyon TL |
Bulut Mimarisine Etkisi
Veri yerelleştirmesi bulut altyapısı kararlarını etkiler:
| Senaryo | Mimari Uygulama |
|---|---|
| Çin yerelleştirmesi | Çin'de ayrı bulut bölgesi (AWS Çin, Alibaba Cloud) |
| Rusya yerelleştirmesi | Yerel sunucular veya yerel bulut sağlayıcısı |
| Yalnızca AB'de işleme | AB bulut bölgelerini seçin; AB dışı bölgelere veri kopyalanmamasını sağlayın |
| Kısıtlamalarla çoklu bölge | Bölgesel veritabanlarına sahip hub ve bağlı bileşen mimarisi |
Yaygın Senaryolar İçin Pratik Uygulama
Senaryo 1: ABD SaaS Kullanan AB Şirketi
Aktarım mekanizması: Öncelikle satıcının DPF sertifikalı olup olmadığını kontrol edin. Cevabınız evet ise, DPF temeli sağlar. Değilse, SCC'leri uygulayın (Modül 2: Denetleyiciden İşlemciye).
Senaryo 2: Merkezi İK'ya Sahip Küresel Şirket
Aktarım mekanizması: Grup içi aktarımlar için BCR'ler veya her varlık çifti arasındaki SCC'ler. Yüksek riskli ülkelere transferler için TIA'ları uygulayın.
Senaryo 3: AB Müşterilerine ABD Altyapısından Hizmet Veren e-Ticaret
Aktarım mekanizması: AB kuruluşunuz (veya AB temsilciniz) ile ABD altyapınız arasındaki SCC'ler. Müşteri verilerini AB'de tutulan anahtarlarla şifreleyin.
Senaryo 4: Çok Ülkeli Operasyonlar için Odoo ERP
Aktarım mekanizması: AB'de barındırılıyorsa aktarımlar şu durumlarda gerçekleşir: (1) AB dışı ülkelerdeki çalışanlar sisteme eriştiğinde (uzaktan erişim bir aktarımdır), (2) veriler AB dışı yedekleme konumlarına kopyalandığında, (3) AB dışı ülkelerdeki destek personeli müşteri/çalışan verilerine eriştiğinde. Her erişim noktası için SCC'ler uygulayın ve coğrafyaya göre veri görünürlüğünü sınırlamak için Odoo erişim gruplarını kullanın.
Uyumluluk Kontrol Listesi
- Tüm sınır ötesi veri aktarımlarının haritasını çıkarın (hangi veri, nereye, kime, neden)
- Her alıcı ülkenin yeterlilik durumunu doğrulayın
- Yeterli olmayan ülkeler için uygun transfer mekanizmasının (SCC'ler, DPF, BCR'ler) uygulanması
- SCC bazlı transferler için Tam Transfer Etki Değerlendirmeleri
- TIA'ların riskleri tanımladığı durumlarda ek önlemlerin uygulanması
- Uluslararası aktarımları ifşa etmek için gizlilik politikalarını güncelleyin
- Satıcı DPA'larına transfer hükümlerini dahil edin
- Transfer mekanizmalarını yıllık olarak veya ülke kanunlarında değişiklik olduğunda gözden geçirin
- Tüm transfer değerlendirmelerinin ve kararlarının dokümantasyonunu sürdürün
Sıkça Sorulan Sorular
AB-ABD Veri Gizliliği Çerçevesine güvenmek güvenli midir?
DPF şu anda geçerlidir ve sertifikalı ABD şirketlerine yapılan transferler için yasal bir temel oluşturmaktadır. Ancak Safe Harbor ve Privacy Shield'ı geçersiz kılanlara benzer bir hukuki zorlukla (La Quadrature du Net) karşı karşıyadır. İhtiyatlı kuruluşlar DPF'yi kullanır ancak aynı zamanda yedek aktarım mekanizması olarak SCC'lere de sahiptir. DPF geçersiz kılınırsa veri akışını kesintiye uğratmadan SCC'lere geri dönebilirsiniz.
Verileri geçerli bir mekanizma olmadan aktarırsak ne olur?
Yetkisiz transferler doğrudan bir GDPR ihlalidir ve 20 milyon Euro'ya veya küresel yıllık cironun %4'üne kadar para cezalarına tabidir. Denetleyici makamlar, para cezalarının ötesinde, iş operasyonlarını kesintiye uğratabilecek veri aktarımlarının askıya alınması emrini verebilir. Meta, izinsiz AB-ABD transferleri nedeniyle 2023'te 1,2 milyar Euro para cezasına çarptırıldı; bu şimdiye kadarki en büyük GDPR para cezasıydı.
SCC'ler her türlü veri aktarımını kapsıyor mu?
SCC'ler, dört modül aracılığıyla ticari veri aktarım senaryolarının çoğunu kapsar. Ancak SCC'ler, kamu yetkilerini kullanarak hareket eden kamu otoriteleri tarafından yapılan devirlere uygun değildir. Bu durumlarda, uluslararası anlaşmalar veya 49. Madde kapsamındaki özel istisnalar geçerli olabilir.
Sınır ötesi gereksinimler Odoo dağıtımımızı nasıl etkiler?
Odoo örneğiniz AB'de barındırılıyorsa ve AB dışındaki çalışanlar veya ortaklar tarafından erişiliyorsa, her uzaktan erişim noktası bir veri aktarımı anlamına gelir. AB dışındaki kullanıcıların yalnızca ihtiyaç duydukları verileri görebilmelerini sağlamak için Odoo erişim gruplarını uygulayın. Şifreli uzaktan erişim için VPN bağlantılarını kullanın. Odoo'yu AB dışında barındırıyorsanız, barındırma sağlayıcısıyla SCC'leri uygulayın ve veritabanı şifrelemesini sağlayın. ECOSIRE'ın Odoo altyapı hizmetleri uyumluluğa duyarlı dağıtım yapılandırmaları içerir.
Sırada Ne Var?
Sınır ötesi aktarım uyumluluğu, veri yönetimi yapbozunun bir parçasıdır. Bunu, uluslararası tedarikçilerle DPA'ler için veri yönetimi temelleri, satıcı sözleşme yönetimi ve iş gücü veri aktarımları için çalışan veri gizliliği ile birleştirin.
Sınır ötesi uyumluluk danışmanlığı ve uluslararası veri akışı haritalaması için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin verileri güvenle ve uyumlulukla sınırların ötesine taşımasına yardımcı oluyor.
Yazan
ECOSIRE Research and Development Team
ECOSIRE'da kurumsal düzeyde dijital ürünler geliştiriyor. Odoo entegrasyonları, e-ticaret otomasyonu ve yapay zeka destekli iş çözümleri hakkında içgörüler paylaşıyor.
İlgili Makaleler
Çerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
GDPR, eGizlilik, CCPA ve küresel düzenlemelere uygun çerez iznini uygulayın. İzin banner'larını, çerez kategorizasyonunu ve CMP entegrasyonunu kapsar.
Sınır Ötesi E-Ticaret Lojistiği: Nakliye, Gümrük ve Sipariş Karşılama Stratejileri
Sınır ötesi e-ticaret lojistik kılavuzu. Uluslararası nakliye, gümrükleme, vergi hesaplaması, yerine getirme ağları, iadeler ve uyumluluğu kapsar.
Bölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
ABD, AB, Birleşik Krallık, APAC ve Orta Doğu'daki siber güvenlik düzenlemelerinde gezinin. NIS2, DORA, SEC kurallarını, kritik altyapı gereksinimlerini ve uyumluluk zaman çizelgelerini kapsar.
Compliance & Regulation serisinden daha fazlası
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
Çerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
GDPR, eGizlilik, CCPA ve küresel düzenlemelere uygun çerez iznini uygulayın. İzin banner'larını, çerez kategorizasyonunu ve CMP entegrasyonunu kapsar.
Bölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
ABD, AB, Birleşik Krallık, APAC ve Orta Doğu'daki siber güvenlik düzenlemelerinde gezinin. NIS2, DORA, SEC kurallarını, kritik altyapı gereksinimlerini ve uyumluluk zaman çizelgelerini kapsar.
Veri Yönetişimi ve Uyumluluğu: Teknoloji Şirketleri İçin Tam Kılavuz
Teknoloji şirketlerine yönelik uyumluluk çerçevelerini, veri sınıflandırmasını, saklama politikalarını, gizlilik düzenlemelerini ve uygulama yol haritalarını kapsayan eksiksiz veri yönetimi kılavuzu.
Veri Saklama Politikaları ve Otomasyon: İhtiyacınız Olanı Tutun, İhtiyacınız Olanı Silin
GDPR, SOX ve HIPAA için yasal gereklilikler, saklama programları, otomatik uygulama ve uyumluluk doğrulamasıyla veri saklama politikaları oluşturun.
Çalışan Veri Gizliliği Yönetimi: İK İhtiyaçlarını Gizlilik Haklarıyla Dengelemek
Çalışan verilerinin gizliliğini GDPR gereklilikleri, İK veri işleme alanları, izleme politikaları, sınır ötesi aktarımlar ve en iyi saklama uygulamalarıyla yönetin.