Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunSınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
Küresel işletmelerin %85'i kişisel verileri sınırlar ötesine aktarıyor, ancak yalnızca %34'ü belgelenmiş aktarım mekanizmalarına sahip. Schrems II'nin 2020'de AB-ABD Gizlilik Kalkanı'nı geçersiz kılmasının ardından, sınır ötesi veri aktarımları, veri koruma hukukunun en karmaşık alanlarından biri haline geldi. AB-ABD Veri Gizliliği Çerçevesi, ABD aktarımları için yasal kesinliği kısmen geri getirdi ancak küresel veri aktarımı kısıtlamalarının daha geniş kapsamı genişlemeye devam ediyor.
Bu kılavuz, sınır ötesi veri aktarımı düzenlemelerinin mevcut durumunun haritasını çıkarır ve uluslararası faaliyet gösteren işletmeler için pratik uygulama kılavuzu sağlar.
Önemli Çıkarımlar
- AB yalnızca 15 ülkenin "yeterli" veri koruması sağladığını kabul ediyor -- diğer tüm aktarımlar ek mekanizmalara ihtiyaç duyuyor
- Standart Sözleşme Maddeleri (SCC'ler) en yaygın transfer mekanizmasıdır ancak artık ek Transfer Etki Değerlendirmeleri gerektirmektedir
- Veri yerelleştirme gereksinimleri artıyor: Çin, Rusya, Hindistan ve Suudi Arabistan belirli verilerin ülkeden çıkmasını kısıtlıyor
- AB-ABD Veri Gizliliği Çerçevesi, kendi kendini sertifikalandıran ABD şirketleri için bir aktarım mekanizması sağlar
Transfer Mekanizması Hiyerarşisi
GDPR uyarınca, kişisel veriler AEA'dan yalnızca şu mekanizmalardan birini (basitlik sırasına göre) kullanarak çıkabilir:
1. Yeterlilik Kararları
Avrupa Komisyonu şu ülkelerin yeterli koruma sağladığını belirledi:
| Ülke/Bölge | Yeterlilik Karar Tarihi | Durum |
|---|---|---|
| Andorra | 2010 | Aktif |
| Arjantin | 2003 | Aktif |
| Kanada (PIPEDA) | 2001 | Aktif (yalnızca ticari sektör) |
| Faroe Adaları | 2010 | Aktif |
| Guernsey | 2003 | Aktif |
| İsrail | 2011 | Aktif |
| Man Adası | 2004 | Aktif |
| Japonya | 2019 | Aktif |
| Jersey | 2008 | Aktif |
| Yeni Zelanda | 2012 | Aktif |
| Kore Cumhuriyeti | 2022 | Aktif |
| İsviçre | 2000 | Aktif |
| Birleşik Krallık | 2021 | Aktif (Haziran 2025'e kadar, yenilenmesi bekleniyor) |
| Uruguay | 2012 | Aktif |
| Amerika Birleşik Devletleri | 2023 (DPF) | Etkin (yalnızca DPF katılımcıları) |
Verileriniz yeterli bir ülkeye gidiyorsa: Ek bir aktarım mekanizmasına gerek yoktur. Bunu AEA içi transfer gibi işleyin.
Listede yoksa: Aşağıdaki mekanizmalardan birine ihtiyacınız vardır.
2. Standart Sözleşme Maddeleri (SCC'ler)
En sık kullanılan transfer mekanizması. SCC'ler, veri içe aktarıcıyı GDPR'ye eşdeğer korumalara bağlayan önceden onaylanmış sözleşme şablonlarıdır.
Dört modül (ilgili olanı kullanın):
| Modül | Partiler | Senaryo |
|---|---|---|
| Modül 1 | Denetleyiciden Denetleyiciye | Müşteri verilerinin yabancı bir ortakla paylaşılması |
| Modül 2 | Denetleyiciden İşlemciye | Yabancı bir bulut sağlayıcısı veya SaaS satıcısı kullanma |
| Modül 3 | İşlemciden İşlemciye | İşlemciniz yabancı bir alt işlemci kullanıyor |
| Modül 4 | İşlemciden Denetleyiciye | Yabancı kontrolör AB merkezli işlemciye talimat veriyor |
Uygulama adımları:
- AEA dışındaki tüm veri aktarımlarını tanımlayın
- Her aktarım için uygun SCC modülünü seçin
- Ekleri doldurun (veri kategorileri, güvenlik önlemleri, alt işleyiciler)
- Her alıcı ülke için bir Transfer Etki Değerlendirmesi (TIA) yapın
- SCC'leri veri içe aktarıcıyla imzalayın
- TIA'da tanımlanan ek önlemleri uygulayın
3. Bağlayıcı Şirket Kuralları (BCR'ler)
Grup kuruluşları arasında veri aktarımı yapan çok uluslu şirketler için. BCR'ler, önde gelen bir denetim otoritesi tarafından onaylanır ve küresel olarak grup içi transferler için bir çerçeve sağlar.
Avantajları: Onaylandıktan sonra tüm grup varlıklarını ve tüm transfer senaryolarını kapsar Eksileri: 12-24 aylık onay süreci, önemli maliyet (100.000$+), yalnızca grup kuruluşları için
4. AB-ABD Veri Gizliliği Çerçevesi (DPF)
ABD şirketleri, yeterlilik benzeri bir transfer mekanizması sağlayarak DPF kapsamında kendi kendilerini sertifikalandırabilirler:
- Şirket ABD Ticaret Bakanlığı'na kayıtlıdır
- Şirket, DPF uyumlu bir gizlilik politikası yayınlar
- Şirket, DPF ilkelerine (bildirim, seçim, ileriye yönelik aktarım, güvenlik, veri bütünlüğü, erişim, başvuru) uymayı taahhüt eder
- Yıllık yeniden sertifikasyon gerekli
Sınırlama: Yalnızca DPF sertifikalı şirketlere yapılan aktarımları kapsar. Bu mekanizmaya güvenmeden önce DPF listesini kontrol edin.
Transfer Etki Değerlendirmeleri (TIA'lar)
Gerektiğinde
Schrems II'den sonra, yeterli olmayan ülkelere yapılan tüm SCC bazlı transferler için TIA'lar gerekli olacaktır. TIA, alıcı ülkenin yasalarının SCC'lerdeki korumaları zayıflatıp zayıflatmadığını değerlendirir.
TIA Çerçevesi
| Değerlendirme Öğesi | Anahtar Sorular |
|---|---|
| Veri özellikleri | Hangi veriler? Ne kadar hassas? Hacim? |
| Ülke yasalarının alındığı | Hükümetin gözetim kanunları mı? Zorunlu erişim mi? |
| Yasal korumalar | Bağımsız yargı mı? Veri koruma yetkilisi mi? |
| Pratik deneyim | İthalatçı devletten erişim talepleri aldı mı? |
| Tamamlayıcı önlemler | Teknik önlemler hukuki riskleri ortadan kaldırabilir mi? |
TIA Sonuç Karar Ağacı
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
Tamamlayıcı Önlemler
| Ölçü | Etkililik | Kullanım Örneği |
|---|---|---|
| Şifreleme (müşterinin elindeki anahtarlar) | Yüksek | Duran ve aktarılan veriler |
| Takma ad kullanma | Yüksek | Analitik, raporlama |
| Bölünmüş işleme | Orta | Yalnızca AEA'da işlenen hassas alanlar |
| Sözleşme kısıtlamaları | Düşük-orta | İthalatçının ek taahhütleri |
| Denetim hakları | Düşük | Önleme değil doğrulama |
Veri Yerelleştirme Gereksinimleri
Veri Yerelleştirme Yasalarına Sahip Ülkeler
| Ülke | Gereksinim | Kapsam | Penaltı |
|---|---|---|---|
| Çin (PIPL + CSL) | Kritik veriler ve önemli veriler Çin'de saklanmalıdır; giden transferler için güvenlik değerlendirmesi | Geniş | %5'e varan gelir |
| Rusya (Federal Kanun 242-FZ) | Rus vatandaşı verilerinin ilk işlenmesi ve saklanması Rusya'da gerçekleşmelidir | Rus vatandaşı verileri | Hizmetlerin engellenmesi |
| Hindistan (DPDP Yasası) | Kritik kişisel veriler Hindistan'da işlenmelidir (kurallar beklemede) | Tanımlanacak | 250 crore INR'ye kadar |
| Suudi Arabistan (PDPL) | Hassas veriler yerel işleme gerektirebilir; transfer kısıtlamaları | Kişisel veriler | 5 milyon SAR'a kadar |
| Vietnam (PDPD) | Yurt içinde saklanacak önemli veriler; sınır ötesi transferler için TIA | Vietnam vatandaş verileri | İdari cezalar |
| Endonezya (KAP Kanunu) | Devlet sektörü verileri yerel işleme gerektirebilir | Hükümet verileri | İdari yaptırımlar |
| Türkiye (KVKK) | Transfer, onay veya özel yasal dayanak gerektirir + Yönetim Kurulu onayı | Kişisel veriler | 1,8 Milyon TL |
Bulut Mimarisine Etkisi
Veri yerelleştirmesi bulut altyapısı kararlarını etkiler:
| Senaryo | Mimari Uygulama |
|---|---|
| Çin yerelleştirmesi | Çin'de ayrı bulut bölgesi (AWS Çin, Alibaba Cloud) |
| Rusya yerelleştirmesi | Yerel sunucular veya yerel bulut sağlayıcısı |
| Yalnızca AB'de işleme | AB bulut bölgelerini seçin; AB dışı bölgelere veri kopyalanmamasını sağlayın |
| Kısıtlamalarla çoklu bölge | Bölgesel veritabanlarına sahip hub ve bağlı bileşen mimarisi |
Yaygın Senaryolar İçin Pratik Uygulama
Senaryo 1: ABD SaaS Kullanan AB Şirketi
Aktarım mekanizması: Öncelikle satıcının DPF sertifikalı olup olmadığını kontrol edin. Cevabınız evet ise, DPF temeli sağlar. Değilse, SCC'leri uygulayın (Modül 2: Denetleyiciden İşlemciye).
Senaryo 2: Merkezi İK'ya Sahip Küresel Şirket
Aktarım mekanizması: Grup içi aktarımlar için BCR'ler veya her varlık çifti arasındaki SCC'ler. Yüksek riskli ülkelere transferler için TIA'ları uygulayın.
Senaryo 3: AB Müşterilerine ABD Altyapısından Hizmet Veren e-Ticaret
Aktarım mekanizması: AB kuruluşunuz (veya AB temsilciniz) ile ABD altyapınız arasındaki SCC'ler. Müşteri verilerini AB'de tutulan anahtarlarla şifreleyin.
Senaryo 4: Çok Ülkeli Operasyonlar için Odoo ERP
Aktarım mekanizması: AB'de barındırılıyorsa aktarımlar şu durumlarda gerçekleşir: (1) AB dışı ülkelerdeki çalışanlar sisteme eriştiğinde (uzaktan erişim bir aktarımdır), (2) veriler AB dışı yedekleme konumlarına kopyalandığında, (3) AB dışı ülkelerdeki destek personeli müşteri/çalışan verilerine eriştiğinde. Her erişim noktası için SCC'ler uygulayın ve coğrafyaya göre veri görünürlüğünü sınırlamak için Odoo erişim gruplarını kullanın.
Uyumluluk Kontrol Listesi
- Tüm sınır ötesi veri aktarımlarının haritasını çıkarın (hangi veri, nereye, kime, neden)
- Her alıcı ülkenin yeterlilik durumunu doğrulayın
- Yeterli olmayan ülkeler için uygun transfer mekanizmasının (SCC'ler, DPF, BCR'ler) uygulanması
- SCC bazlı transferler için Tam Transfer Etki Değerlendirmeleri
- TIA'ların riskleri tanımladığı durumlarda ek önlemlerin uygulanması
- Uluslararası aktarımları ifşa etmek için gizlilik politikalarını güncelleyin
- Satıcı DPA'larına transfer hükümlerini dahil edin
- Transfer mekanizmalarını yıllık olarak veya ülke kanunlarında değişiklik olduğunda gözden geçirin
- Tüm transfer değerlendirmelerinin ve kararlarının dokümantasyonunu sürdürün
Sıkça Sorulan Sorular
AB-ABD Veri Gizliliği Çerçevesine güvenmek güvenli midir?
DPF şu anda geçerlidir ve sertifikalı ABD şirketlerine yapılan transferler için yasal bir temel oluşturmaktadır. Ancak Safe Harbor ve Privacy Shield'ı geçersiz kılanlara benzer bir hukuki zorlukla (La Quadrature du Net) karşı karşıyadır. İhtiyatlı kuruluşlar DPF'yi kullanır ancak aynı zamanda yedek aktarım mekanizması olarak SCC'lere de sahiptir. DPF geçersiz kılınırsa veri akışını kesintiye uğratmadan SCC'lere geri dönebilirsiniz.
Verileri geçerli bir mekanizma olmadan aktarırsak ne olur?
Yetkisiz transferler doğrudan bir GDPR ihlalidir ve 20 milyon Euro'ya veya küresel yıllık cironun %4'üne kadar para cezalarına tabidir. Denetleyici makamlar, para cezalarının ötesinde, iş operasyonlarını kesintiye uğratabilecek veri aktarımlarının askıya alınması emrini verebilir. Meta, izinsiz AB-ABD transferleri nedeniyle 2023'te 1,2 milyar Euro para cezasına çarptırıldı; bu şimdiye kadarki en büyük GDPR para cezasıydı.
SCC'ler her türlü veri aktarımını kapsıyor mu?
SCC'ler, dört modül aracılığıyla ticari veri aktarım senaryolarının çoğunu kapsar. Ancak SCC'ler, kamu yetkilerini kullanarak hareket eden kamu otoriteleri tarafından yapılan devirlere uygun değildir. Bu durumlarda, uluslararası anlaşmalar veya 49. Madde kapsamındaki özel istisnalar geçerli olabilir.
Sınır ötesi gereksinimler Odoo dağıtımımızı nasıl etkiler?
Odoo örneğiniz AB'de barındırılıyorsa ve AB dışındaki çalışanlar veya ortaklar tarafından erişiliyorsa, her uzaktan erişim noktası bir veri aktarımı anlamına gelir. AB dışındaki kullanıcıların yalnızca ihtiyaç duydukları verileri görebilmelerini sağlamak için Odoo erişim gruplarını uygulayın. Şifreli uzaktan erişim için VPN bağlantılarını kullanın. Odoo'yu AB dışında barındırıyorsanız, barındırma sağlayıcısıyla SCC'leri uygulayın ve veritabanı şifrelemesini sağlayın. ECOSIRE'ın Odoo altyapı hizmetleri uyumluluğa duyarlı dağıtım yapılandırmaları içerir.
Sırada Ne Var?
Sınır ötesi aktarım uyumluluğu, veri yönetimi yapbozunun bir parçasıdır. Bunu, uluslararası tedarikçilerle DPA'ler için veri yönetimi temelleri, satıcı sözleşme yönetimi ve iş gücü veri aktarımları için çalışan veri gizliliği ile birleştirin.
Sınır ötesi uyumluluk danışmanlığı ve uluslararası veri akışı haritalaması için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin verileri güvenle ve uyumlulukla sınırların ötesine taşımasına yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
Zoho'dan Odoo'ya Geçiş: Adım Adım Veri Aktarım Kılavuzu
CRM, Kitaplar, Envanter ve İK modülü haritalaması, API aktarımı, veri dönüşümü ve test stratejilerini kapsayan eksiksiz Zoho'dan Odoo'ya geçiş kılavuzu.
Çok Para Birimli Muhasebe: Kurulum ve En İyi Uygulamalar
Çoklu para birimli muhasebe kurulumu, forex yeniden değerlemesi, çeviri ve işlem kazançları ve uluslararası işletmeler için en iyi uygulamalara ilişkin eksiksiz kılavuz.
Çin PIPL Uyumluluğu: Sınır Ötesi Veri Aktarımı Kılavuzu
İşleme kurallarını, sınır ötesi aktarım mekanizmalarını, CAC yaptırımını ve uyumluluk adımlarını kapsayan Çin Kişisel Bilgilerin Korunması Yasasına (PIPL) ilişkin eksiksiz kılavuz.
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.