Yurt Dışı Veri Aktarımı
Versiyon: 2026-05-28 · Yürürlük: 2026-05-28
Bu sayfa, Ranlio'nun kişisel verilerinizi 6698 sayılı KVKK m.9 kapsamında yurt dışına nasıl ve hangi hukuki dayanaklara göre aktardığını açıklar. 12.03.2024 tarihli 7499 sayılı Kanun ile m.9 köklü değişikliğe uğramış, 10.07.2024 tarihinde “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” Resmî Gazete'de yayımlanmıştır.
1. Aktarım Dayanakları Hiyerarşisi (m.9)
KVKK m.9, yurt dışı aktarım için aşağıdaki dayanak hiyerarşisini öngörür:
- m.9/2 — Yeterli koruma kararı. Kurul, aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içindeki sektörler için yeterli koruma bulunduğuna ilişkin karar verebilir. Aralık 2025 itibarıyla Kurul, hiçbir ülke için henüz yeterli koruma kararı yayımlamamıştır.
- m.9/3 — Uygun güvenceler. Yeterli koruma bulunmayan ülkelere, uygun güvenceler sağlanmak şartıyla aktarım yapılabilir. Bu güvenceler:
- Standart Sözleşme (SCC, Kurul'ca 04.06.2024 tarihinde kabul edildi)
- Bağlayıcı Şirket Kuralları (BCR)
- Yazılı taahhütname (Kurul izniyle, istisnai)
- Uluslararası sözleşme
- m.9/6 — Arızi/istisnai haller. Açık rıza, sözleşme ifası, hayati önem, kamu yararı, hak tesisi gibi arızi/istisnai hallerde — yani mutat aktarımlar dışında — bu dayanak kullanılabilir.
Önemli:Mart 2024 reformu öncesi yaygın olan “açık rıza ile yurt dışı aktarım” modeli, artık mutat ve süregelen aktarımlar için yetersiz kabul edilmektedir. Her ödeme, her chatbot sorgusu gibi sürekli aktarımlar için standart sözleşme veya BCR şarttır.
2. Ranlio'nun Yurt Dışı Aktarımları
Aşağıdaki tablo, hangi hizmet sağlayıcıya hangi hukuki dayanak ile aktarım yaptığımızı özetler:
| Sağlayıcı | Bölge | Dayanak (m.9) |
|---|---|---|
| Stripe | İrlanda (AB) → ABD | m.9/3 — SCC (Stripe DPA içinde gömülü) |
| Cloudflare | Global edge → ABD | m.9/3 — SCC (Cloudflare Customer DPA içinde gömülü) |
| Meta WhatsApp Cloud | İrlanda (AB) + ABD | m.9/3 — SCC (Meta Business Tools DPA içinde gömülü) |
| Google Gemini | AB / ABD | m.9/3 — SCC (Google Cloud DPA içinde gömülü) |
3. KVKK Kurum Bildirimi (m.9/5)
10.07.2024 tarihli Yönetmelik m.5/3 uyarınca, standart sözleşme imzalanmasını izleyen 5 iş günü içindeveri sorumlusunun Kişisel Verileri Koruma Kurumu'na bildirimde bulunması zorunludur. Ranlio, yurt dışı aktarımlar için Kurum'a gerekli bildirimleri yapmaktadır.
4. Yurt Dışı Aktarımına İlişkin Haklarınız
KVKK m.11 kapsamında veri sorumlusuna başvurarak aşağıdaki hakları kullanabilirsiniz:
- Hangi yurt dışı alıcılara, hangi veri kategorileriyle aktarım yapıldığını öğrenme
- Aktarımın hukuki dayanağına ilişkin bilgi talep etme
- Kişisel verinizin aktarılmamasını talep etme (mutlak değil — örn. ödeme alabilmek için Stripe'a aktarım sözleşme ifa amacıyla zorunlu olabilir)
Başvurularınızı [email protected] adresine iletebilirsiniz; en geç 30 gün içinde yanıtlanır.
5. İlişkili Belgeler
Alt-işleyicilerin tam listesi ve veri kategorileri için Alt-İşleyici Listesi; KVKK aydınlatma ve haklarınızın detayı için KVKK Aydınlatma Metni sayfasına bakınız.