Bir markanın gönderdiği her toplu SMS, her WhatsApp bildirimi, her e-posta kampanyası arka planda en az bir kişisel veriyi işler: alıcının telefon numarasını ya da e-posta adresini. Çoğu zaman bunun yanında adını, sipariş geçmişini, segment etiketini de. Bu verilerin Türkiye'de işlenmesi tek başına KVKK'nın konusu; ama bir de şu soru var ve giderek daha çok markayı ilgilendiriyor: ya bu veriler Türkiye sınırının dışına çıkıyorsa? WhatsApp Business altyapısını (yani Meta'yı) kullanıyorsanız, bulut tabanlı bir pazarlama aracında müşteri listenizi tutuyorsanız ya da sağlayıcınızın sunucuları yurt dışındaysa, cevap büyük olasılıkla "evet". Ve 2024'te köklü biçimde değişen bir mevzuat, bu "evet"in kurallarını yeniden yazdı.

12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Kanun, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Kişisel verilerin yurt dışına aktarılması" başlıklı 9. maddesini baştan kurguladı. Bu değişiklik 1 Haziran 2024'te yürürlüğe girdi. Hemen ardından, uygulamanın usul ve esaslarını belirleyen "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" 10 Temmuz 2024 tarihli ve 32598 sayılı Resmî Gazete'de yayımlanıp aynı gün yürürlüğe girdi. 2026 itibarıyla bu rejim tamamen oturmuş durumda — ve toplu mesajlaşma yapan markalar için artık ertelenebilir bir konu değil.

Sorumluluk reddi: Bu yazıdaki tarih, madde ve tutar bilgileri 6698 sayılı Kanun'un 7499 sayılı Kanun'la değişen metnine, 10 Temmuz 2024 tarihli Yönetmeliğe ve KVKK'nın kamuya açık duyurularına dayanır. İdari para cezası tutarları her yıl yeniden değerleme oranıyla güncellenir; aktarım yöntemleri, ülke listeleri ve başvuru süreçleri Kurul tarafından değiştirilebilir. Bir uyum kararı vermeden önce kvkk.gov.tr üzerindeki güncel metinleri ve gerekirse bir hukuk danışmanını teyit edin. Bu içerik hukuki tavsiye yerine geçmez.

Neden Toplu Mesajlaşmayı İlgilendiriyor?

"Yurt dışına veri aktarımı" kulağa kurumsal hukuk departmanlarının uğraştığı soyut bir konu gibi gelebilir; oysa modern mesajlaşma yığınının doğası gereği çok somut. Birkaç tipik senaryo:

• WhatsApp Business Platform: WhatsApp'ın işletme altyapısını sağlayan Meta, küresel bir şirket ve veri işleme operasyonu büyük ölçüde Türkiye dışında. Bir markanın müşteri telefon numaralarıyla WhatsApp üzerinden iletişim kurması, pratikte bu numaraların yurt dışında işlenmesi anlamına gelebilir.
• Bulut tabanlı pazarlama/CRM araçları: Müşteri listenizi yurt dışında sunucusu olan bir e-posta veya kampanya yönetimi platformunda tutuyorsanız, bu bir yurt dışı aktarımdır.
• Yurt dışı altyapı kullanan sağlayıcılar: Gönderim, raporlama ya da yedekleme katmanı yurt dışındaki sunuculara dayanan bir aracıyla çalışmak da aynı kapsama girebilir.

Önemli nokta şu: verinin sınırı geçmesi yasak değil. Yasak olan, Kanun'un öngördüğü kademelerden hiçbirine dayanmadan, gelişigüzel aktarım yapmak. Mevzuat bir kapı kapatmıyor; aktarımı belirli güvencelere bağlıyor.

Üç Kademeli Rejim: Aktarımın Hukuki Zemini

Değişen 9. madde, yurt dışı aktarımı GDPR'a oldukça benzeyen kademeli bir yapıya oturttu. Bir aktarımın hukuka uygun olması için bu kademelerden en üsttekinden başlayarak uygun olan ilkine dayanması gerekiyor.

1. Kademe: Yeterlilik Kararı

En basit yol, aktarımın yapılacağı ülkenin, sektörün ya da uluslararası kuruluşun Kurul tarafından "yeterli korumanın bulunduğu" olarak ilan edilmiş olması. Böyle bir yeterlilik kararı varsa, aktarım ek bir güvence aranmaksızın gerçekleştirilebilir. Yönetmelik, Kurul'un bu kararları en geç dört yılda bir gözden geçireceğini öngörüyor. Pratikte mesele şu: bu yazının hazırlandığı dönemde yeterlilik kararı verilmiş ülke listesi sınırlı olduğundan, çoğu marka için bu kademe henüz işler bir yol değil — ve bir alt kademeye geçmek gerekiyor.

2. Kademe: Uygun Güvenceler

Yeterlilik kararı yoksa, aktarım taraflarının Kanun'un 5 ve 6. maddelerindeki işleme şartlarından birine sahip olması ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıdaki "uygun güvencelerden" biri sağlanarak aktarım yapılabilir:

• Standart sözleşme: Kurul'un yayımladığı, değiştirilmeden imzalanması gereken standart sözleşme metinleri. Markaların büyük çoğunluğu için en pratik ve erişilebilir yol budur.
• Bağlayıcı şirket kuralları (BCR): Aynı teşebbüs grubu içindeki şirketler arasında, Kurul tarafından önceden onaylanmış kurallar. Onay alındıktan sonra grup içi aktarımlar için tekrar tekrar izin gerekmez.
• Uluslararası sözleşme niteliğinde olmayan anlaşma + Kurul izni: Kamu kurumları ve uluslararası kuruluşlar arasındaki belirli işbirlikleri için öngörülen yol.
• Yazılı taahhütname + Kurul izni: Sektörel veya bölgesel zorunluluklar nedeniyle standart sözleşmeyle aktarım yapamayacak taraflar için, korumaya ilişkin taahhütleri içeren ve Kurul onayına sunulan taahhütname.

Bu seçenekler içinde toplu mesajlaşma yapan ticari işletmeler için fiilen en geçerli olanı standart sözleşme. Kurul, kullanılacak standart sözleşme metinlerini, bağlayıcı şirket kuralları başvuru formlarını ve yardımcı kılavuzları 04.06.2024 tarihli ve 2024/959 sayılı kararıyla kabul edip kamuoyuyla paylaştı.

Standart Sözleşmenin Kritik Detayı: 5 İş Günü Kuralı

Standart sözleşme yolunu seçen markaların en sık gözden kaçırdığı yükümlülük burada. Standart sözleşmeyi imzalamak tek başına yeterli değil: sözleşmenin imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi zorunlu. Bildirim; fiziki olarak, kayıtlı elektronik posta (KEP) üzerinden ya da Kurul'un belirlediği diğer yöntemlerle yapılabiliyor. Kurul, bu süreci kolaylaştırmak için 25 Ekim 2024'te bir Standart Sözleşme Bildirim Modülü duyurdu; bildirimler artık bu arayüz üzerinden de yapılabiliyor.

Bu yükümlülüğün yerine getirilmemesi, sadece bir prosedür eksikliği değil; idari yaptırımı olan bir ihlal. Yurt dışı veri aktarımına ilişkin bildirim yükümlülüğünü yerine getirmeyenler için 2026 yılı yeniden değerleme tutarlarıyla yaklaşık 90.308 TL ile 1.806.377 TL arasında idari para cezası öngörülüyor. (Bu tutarlar her yıl güncellendiğinden, karar anında kvkk.gov.tr üzerinden teyit edilmelidir.)

3. Kademe: Arızi Haller

Ne yeterlilik kararı var, ne de uygun güvencelerden biri sağlanabiliyorsa, Kanun son bir kapı bırakıyor: arızi haller. Buradaki kritik kelime "arızi" — yani tek seferlik, süreklilik arz etmeyen aktarımlar. Düzenli kampanya gönderen bir markanın rutin müşteri iletişimi bu istisnaya dayandırılamaz. Arızi aktarım yalnızca Kanun'un 9. maddesinin altıncı fıkrasında ve Yönetmeliğin 16. maddesinde sayılan hallerde mümkün. Bunların başında gelen ve en çok yanlış anlaşılanı:

• Açık rıza: İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. Dikkat: bu, sıradan bir "kişisel verilerimin işlenmesine onay veriyorum" kutucuğu değil; özellikle yurt dışına aktarımın risklerine dair bilgilendirilmiş, ayrı ve özgül bir rıza.
• Aktarımın, ilgili kişi ile veri sorumlusu arasındaki sözleşmenin ifası ya da sözleşme öncesi tedbirler için zorunlu olması.
• Aktarımın, ilgili kişi yararına yapılan bir sözleşmenin ifası için gerekli olması.
• Hayati menfaatlerin korunması, kamuya açık bir sicilden aktarım gibi diğer sınırlı haller.

Arızi halleri "kolay yol" olarak kullanma cazibesine kapılmamak gerekiyor: süreklilik taşıyan bir pazarlama operasyonunu açık rızaya dayandırmaya çalışmak, hem rızanın geçerlilik koşullarını hem de aktarımın "arızi" niteliğini zorlar.

Markalar İçin Pratik Uyum Listesi

Toplu SMS, WhatsApp veya e-posta gönderen bir işletmeyseniz, bu rejimi şu adımlarla somutlaştırabilirsiniz:

• Veri akışınızı haritalayın. Hangi mesajlaşma kanalında, hangi verinin, hangi tedarikçi üzerinden, hangi ülkeye gittiğini netleştirin. WhatsApp/Meta, e-posta platformu ve bulut araçlarınızı bu haritaya dahil edin.
• Aktarım var mı, belirleyin. Sağlayıcınızın sunucuları ve veri işleme lokasyonları Türkiye'de mi, yurt dışında mı? Yurt dışıysa, üç kademeden hangisine dayandığınızı tespit edin.
• Standart sözleşmeyi kurun ve bildirin. Uygun güvence olarak standart sözleşmeyi kullanıyorsanız, metni değiştirmeden imzalayın ve 5 iş günü içinde Kurula bildirin. Bu adımı takvime bağlayın.
• Sağlayıcınızla rolleri netleştirin. Sağlayıcı veri işleyen mi, veri sorumlusu mu? Yurt dışı aktarımın sözleşmesel güvencesini kim sağlıyor? Hizmet sözleşmenizde bunu açıkça düzenleyin.
• Aydınlatma metninizi güncelleyin. Aydınlatma yükümlülüğünüz, verilerin yurt dışına aktarılma ihtimalini ve dayanağını da kapsamalı.
• İYS ve KVKK'yı birlikte düşünün. Yurt dışı aktarım rejimi, ticari elektronik ileti onayı (İYS) yükümlülüğünüzün yerini almaz; ikisi paralel yürür. İzin verisini hem İYS'ye doğru kaydetmek hem de aktarımını hukuka uygun yürütmek gerekir.

Sonuç

7499 sayılı Kanun'la değişen 6698 sayılı Kanun'un 9. maddesi ve 10 Temmuz 2024 tarihli Yönetmelik, yurt dışı veri aktarımını "ya açık rıza ya hiçbir şey" ikileminden çıkarıp Avrupa'daki çağdaşına benzeyen, kademeli ve sözleşme temelli bir rejime taşıdı. Toplu mesajlaşma yapan markalar için bunun anlamı net: WhatsApp Business, bulut araçları ya da yurt dışı altyapı kullanıyorsanız, bu rejim sizi de kapsıyor. Çoğu marka için doğru yol, standart sözleşmeyi imzalamak ve — en çok unutulan adım — 5 iş günü içinde Kurula bildirmek. İzin verinizi yalnızca toplamak değil, onu sınır ötesine taşırken de hukuka uygun bir zemine oturtmak; 2026'da mesajlaşma uyumunun, izin yönetimi kadar görünür olması gereken yeni katmanı.