Bir Teknoloji Şirketi Tarafından İlgili Kişinin Kişisel Verilerinin Açık Rızası Olmaksızın Yurt Dışına Aktarılması Hakkında 17/03/2022 Tarihli Ve 2022/249 Sayılı Karar

Karara Konu Olayin Özeti

Ilgili kisinin veri sorumlusunun sistemine internet sitesi üzerinden üye oldugu, internet sitesinde çerez politikasinin yer almadigi, aydinlatma metninde yurt disina aktarim ya-pildiginin bildirildigi ancak kendisinin bu yönde bir açik rizasinin olmadigi, bunun üze-rine konuya iliskin internet sitesinde yer alan aydinlatma metnindeki e-posta adresine basvuruda bulundugu ve bu basvuruda kendisinin hangi verilerinin kaydedildigi ile akta-rildigi hususlarinda bilgi talep edilmisse de yasal süre olan 30 gün içerisinde veri sorum-lusundan bir cevap alinamadigi yönündeki iddialarini içeren sikayeti üzerine baslatilan inceleme çerçevesinde Kurul tarafindan veri sorumlusunun savunmasi istenmistir.

Veri sorumlusunun savunmasi kapsaminda (i) ilgili kisi basvurularina özgüledigi bir e-posta adresi olusturdugu ve ancak bu e-posta adresine gönderilen ilgili kisi basvuru-sunun sehven gözden kaçirilmasi sebebiyle yanitsiz kaldigi, (ii) internet sitelerindeki ilgili kisinin basvuru tarihinde bulunan aydinlatma metninde ve hali hazirda yürütülen KVKK uyum projesi kapsaminda güncellenen aydinlatma metninde çerezler vasitasi ile islenen kisisel verilere iliskin bilgilerin belirtildigi, (iii) çok sayida ülkede milyonlarca kullanici-nin menfaatlerinin en güvenli sekilde karsilanabilmesi için hizmetlerinin yurt disinda bulunan bulut servis teknolojileriyle saglandigi, internet sitesinde bulunan aydinlatma metninde yer alan yurt disina aktarim bildiriminin verilerin bu sunucuda tutulmasi se-bebiyle gerçeklestirildigi, sistemlerinin KVKK ve Avrupa Birligi Genel Veri Koruma Tüzü-gü ("GDPR") düzenlemelerinin yürürlüge girmesinden önce bu mimari üzerinde gelisti-rilmeye baslandigi, anilan kanunlarin ve kisisel verilerin korunmasina iliskin mevzuatin yürürlüge girmesi akabinde de KVKK ve GDPR ile uyumlu hale getirilmek üzere titizlikle yapilan çalismalarin devam ettirildigi, (iv) günümüzde çok sayida ülkede ve tüketiciye hizmet veren teknoloji girisimlerinin ihtiyaçlari baglaminda Türkiye'de bulunan barindir-ma hizmetlerinde ihtiyaç duyulan modern altyapi teknolojilerinin büyük çogunlugunun bulunmadigi, bulunan teknolojilerin de kapasite, güvenlik ve özellik olarak birçok eksik-liginin oldugu, buna karsin yurt disinda bulunan söz konusu hizmet saglayicinin altyapi teknolojilerine çok daha fazla yatirim yapma kapasitesinin oldugu, Türkiye'de bulunan bagimsiz sunucu barindirma sirketlerinin benzer bir yatirim yapma kapasitesi olmadi-gi için altyapi teknolojilerinin avantajli hale getirilmesinin son derece güç oldugu ve bu sebeple Türkiye'de operasyonu bulunan birçok teknoloji sirketinin de kendilerinin çalis-tigi sirketten hizmet aldigi, (v) anilan barindirma hizmetinin tercih edilmesindeki temel sebebin tüketicilerin menfaatini üstün tutmak oldugu, siber saldirilar karsisinda dahi tüketicilere kesintisiz hizmet verilebildigi ve tüketicilerin verilerinin gizlilik ve güvenligi-nin bu saldirilara karsi korunabildigi, is modeli çerçevesinde tüketicilerin ihtiyaçlarinin karsilanabilmesinin de ancak bu firmanin sagladigi yenilikçi yapay zeka ve veri aktarimi teknolojileri sayesinde mümkün olabildigi ve tüm sermayeleri ile Türkiye merkezli olarak kalmaya devam edebilmeleri açisindan yurt disinda bulunan servis veya muadillerinin kullanilmasinin gerekli oldugu ve (vi) barindirma hizmeti aldiklari firma ile KVKK'nin 9. maddesinin (2) numarali fikrasinin (b) bendi kapsaminda bir taahhütname çalismasini uzun zamandir sürdürülmekte oldugu ve söz konusu taahhütnamenin de en kisa sürede Kurul'un onayina sunulacagi ifade edilmistir.

Kurul Karari ve Yaptirimi

Kurul tarafindan gerçeklestirilen inceleme kapsaminda (i) her ne kadar uygulamada veri sorumlulari tarafindan gizlilik politikasi adi altinda belgeler hazirlanip ilgili kisilerin dik-katine sunuluyor olsa da KVKK'da ve ilgili diger mevzuatta veri sorumlulari tarafindan gizlilik politikasi hazirlanmasina dair bir yükümlülügün yer almadigi ve ilgili kisilerin ki-sisel verilerinin islenmesiyle ilgili bilgilendirilmesi hususunda veri sorumlularinin asli so-rumlulugunun kisisel verilerin ilgili kisiden elde edildigi durumlarda kural olarak kisisel veri isleme faaliyetinden önce aydinlatma yükümlülügünün yerine getirilmesi oldugu, (ii)ilgili kisinin veri sorumlusuna yaptigi basvurunun sehven gözden kaçirildigi dikkate alin-diginda, veri sorumlusu tarafindan ilgili kisilerce yapilacak basvurulari etkin, hukuka ve dürüstlük kuralina uygun olarak sonuçlandirmak üzere gerekli her türlü idari ve teknik tedbirlerin alinmadigi kanaatine varildigi, (iii) KVKK'nin 9. maddesinin (3) numarali fikrasi uyarinca yeterli korumanin bulundugu ülkelerin henüz Kurul tarafindan belirlenmedigi, Kurul'un yeterli koruma bulunmayan ülkelere yapilacak aktarimlarda yeterli korumayi taahhüt etme yollarini öngördügü, bu kapsamda veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri isleyene aktarimlarda kullanilmak üzere asgari sartlari içerir iki adet taahhütname metni ve çok uluslu grup sirketleri arasinda yapilacak aktarimlarda kullanilabilecek baglayici sirket kurallarina iliskin basvuru formu ile baglayici sirket ku-rallarinda bulunmasi gereken temel hususlara iliskin yardimci doküman hazirlanarak il-gililerin kullanimina sunuldugu ve Kurul'un yerlesik uygulamalarinda da kisisel verilerin dünyanin çesitli yerlerinde bulunan veri merkezlerinde tutulmasinin yurt disina aktarim niteliginde olduguna ve sunuculari yurt disinda bulunan veri sorumlularindan / veri is-leyenlerden temin edilen saklama hizmetleri kapsamindaki kisisel veri isleme faaliyetle-rinin de KVKK'nin 9. maddesine uygun olarak yerine getirilmesi gerektigine karar verdigi ve (iv) veri sorumlusunun Kurul tarafindan onaylanmis taahhütname basvurusu bulun-mamakla birlikte KVKK kapsaminda yurt disina aktarim faaliyetinin hukuka uygun olabil-mesi için açik rizadan baska bir hukuki sebep bulunmadigi ve veri sorumlusu tarafindan somut olayda yurt disina aktarim faaliyeti kapsaminda ilgili kisilerden belirli bir konuya iliskin bilgilendirmeye dayanan ve özgür iradeyle açiklanan açik riza alinmasi yoluna da basvurulmadigi degerlendirmelerinde bulunulmustur.

Söz konusu degerlendirmeler isiginda;

• veri sorumlusu tarafindan sunuculari yurt disinda bulunan sistemin kullanilmasi araciligiyla kisisel verilerin yurt disina aktarilmasi faaliyetinin gerçeklestirildigi, söz konusu faaliyet gerçeklestirilmeden önce aktarim yapilacak ülkede yeterli ko-rumanin saglanacagina iliskin bir taahhütnamenin Kurul'a sunulmadigi, yurt disi-na aktarim faaliyeti bakimindan somut olayda açik riza disinda bir hukuki sebep bulunmadigi ve veri sorumlusu tarafindan bu hususta ilgili kisilerden de açik riza alinmadigi anlasildigindan, uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alinmadigi kanaatine varilmasi sebebiyle, veri sorumlu-su sirketin birçok ülkede faaliyet gösterdigi ve ekonomik durumu, kisisel verilerin islenmesinde kullanilan uygulama ve internet sitesi araciligiyla toplanan çok sa-yida kisisel verinin hukuka aykiri olarak yurt disina aktarildigi, söz konusu fiilden etkilenen ilgili kisilerin fazla oldugu, yurt disina kisisel veri aktarma fiilinin münfe-rit bir olaydan kaynakli olarak degil sistemli bir sekilde veri sorumlusu tarafindan kasten ve icrai hareketle yapildiginin savunma dilekçesinde ikrar edildigi, kabahat teskil eden ihlalin ticari amaç kapsaminda gerçeklestirildigi ve KVKK'nin yürürlüge girdigi tarihin üzerinden alti sene geçmis olmasina ragmen yurt disina aktarim faa-liyetinin KVKK'ya uygun hale getirilmemis oldugu dikkate alinarak, veri sorumlusu hakkinda 950.000 TL idari para cezasi uygulanmasina,
• kisisel verilerin yurt disina aktarilmasina iliskin islemlerin KVKK'nin 9. maddesi-ne uygun hale getirilmesini teminen gerekli düzenlemelerin ivedilikle yapilmasi ve sonucundan Kurul'a bilgi verilmesi hususunda veri sorumlusunun talimatlandiril-masina ve
• Veri Sorumlusuna Basvuru Usul ve Esaslari Hakkinda Teblig ("Veri Sorumlusuna Basvuru Tebligi") kapsaminda ilgili kisiler tarafindan yapilacak basvurulari etkin, hukuka ve dürüstlük kuralina uygun olarak sonuçlandirmak üzere gerekli her türlü idari ve teknik tedbirleri almasi hususunda veri sorumlusunun uyarilmasina

karar verilmistir.

Söz konusu kararin tam metnine buradan ulasabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.