3 Eylül 2020 tarihinde, Kişisel Verileri Koruma Kurulu (“Kurul”) otomotiv sektöründe faaliyet gösteren veri sorumlusuna yurt dışına veri aktarımı yaparken mevzuata uygun davranmadığı gerekçesiyle 900.000 TL idari para cezası verdiğini açıklayan bir karar yayınlamıştır.

nceleme, veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir SMS hakkında ilgili kişinin şikayeti üzerine başlatılmıştır. Veri sorumlusu savunmasında, pazarlama amacıyla açık rıza alınarak işlenen kişisel verilerin, veri işleyen konumunda bulunan yurt dışındaki bir firmaya yalnızca bu hizmetin görülmesi amacıyla aktarılmasının ve işlenmesinin 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) m.5/2/f bendi doğrultusunda “veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması” gerekçesiyle işlendiğini ifade etmiştir. Kurul, aynı savunmada veri sorumlusunun “Veri Gizliliği Metni”nde; “verilerin yurtdışına aktarımının açık rıza ile yürütüldüğüne” yönelik bir önceki ifadesi ile çelişen açıklamaların yer aldığını tespit ederek incelemeye devam etmiştir.

Kanun'un 9. Maddesine göre, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak; kişisel veriler, Kanun m. 5/2 ile m. 6/3'te belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması durumunda veya Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Konu, veri sorumlusunun veri aktarımını hangi hukuki gerekçelere dayanarak gerçekleştirdiği temelinde ele alınmıştır.

Cezaya Konu Yurt Dışına Veri Aktarımı Nasıl Gerçekleşmekteydi ?

  1. Veri sorumlusu, dijital pazarlama iletişimlerinde web tabanlı bir yazılım üzerinden müşterilere e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına aktarmaktadır.
  2. Herhangi bir özel nitelikli veri aktarılmamakla birlikte, pazarlam bilgisi, müşteri bilgisi, iletişim bilgisi gibi kişisel verileri yurtdışına aktarılan müşterilerden açık rıza alınmaktadır. (“Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni”)
  3. Açık rıza dışında kalan veri aktarımları için ise, veri sorumlusu, veri işleme faaliyetini Kanun m. 5/2/f doğrultusunda “veri işlemenin hukuki menfaati için zorunlu olması” sebebiyle gerçekleştirdiğini belirtmiştir. Ayrıca veri sorumlusu, Kanun m. 9/5'te kişisel verilerin yurtdışına aktarılmasında uluslararası sözleşmeler ile diğer kanun hükümlerinin saklı tutulması gerekçesiyle, yurt dışına veri aktarımını Türkiye'nin de taraf olduğu “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ne (“108 sayılı Sözleşme”) dayandırmıştır. Sözleşmenin 12. Maddesinde, Sözleşmenin taraflarına gerçekleştirilecek kişisel veri aktarımları, (a) ve (b) bentlerinde sıralanan istisnalardan biri sağlanmadan yasaklanmaması veya özel izne tabi tutulmaması düzenlenmiştir. Veri sorumlusu, bütün bu açıklananlar çerçevesinde gerçekleşen veri aktarım faaliyetinin hukuka uygun olduğunu öne sürmüştür.

Kurul'un Ceza Kararı Hangi Gerekçelere Dayanıyor?

Yapılan incelemeler doğrultusunda Kurul'un kararı şu şekildedir;

  1. Kanun'da, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiştir. Ancak Madde 5'teki istisnai haller olduğu takdirde açık rıza olmaksızın veri işlenebilir. Kurul, konuyu veri sorumlusunun dayandığı hukuki gerekçe doğrultusunda veri işleme faaliyetinde veri sorumlusunun gerçekten bir hukuki menfaati olup olmadığı açısından ele almış; ancak bir hukuki menfaatin hasıl olmadığı sonucuna ulaşmıştır.
  2. İlgili kişilerden alınan açık rızalara ilişkin olarak, açık rızanın “özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma” şeklinde 3 unsurunun bulunduğu; ancak veri sorumlusunun ilgili kişilerden verilerinin üçüncü kişilerle paylaşılması hususunda aldığı açık rızada, bu üçüncü kişilerin yurtdışında bulunduğunun açıkça belirtilmemesi sebebiyle rızanın hukuka uygun olmadığını belirtmiştir.
  3. Yurtdışına veri aktarımında hukuki gerekçe olarak gösterilen 108 numaralı Sözleşmeye ilişkin olarak; Sözleşmenin amacının taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu, bununla birlikte, bu hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı belirtilmiştir.

Kurul, ayrıca Avrupa Birliği veri koruma regülasyonları uyarınca da, 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmediği ve Sözleşmeye taraf olmanın yalnızca yeterlilik değerlendirmesinde dikkate alınacak bir kriter olarak kabul edilmesini örnek göstermiştir. Kurul da, 108 Sayılı Sözleşme ile 6698 Sayılı Kişisel Verileri Koruma Kanunu arasında herhangi bir aykırılık olmadığını; her iki düzenlemenin birbirini tamamlayıcı nitelikte olduğunu belirterek 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği hususun altını çizmiştir.

Bu doğrultuda, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun m. 5/2 veya m. 6/3'te belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığını belirtilmiştir.

Buna rağmen veri sorumlusu 108 sayılı sözleşme kapsamında aktarım yaptığını ifade ederken, yurt dışına aktarım yapılabilmesine ilişkin Kurul'a herhangi bir başvuruda bulunulmamış, veri aktarım izni için Taahhütname sunulmamıştır.

Sonuç itibariyle, bütün bu anlatılanlar doğrultusunda, bahse konu aktarımın Kanunun 9. maddesinde belirtilen şartları sağlamadığı dolayısıyla hukuka aykırı bir veri işleme olduğu kanaatine varılmıştır.

  1. Son olarak, veri sorumlusunun bu veri işleme ve aktarım faaliyetlerine ilişkin ilgili kişilere yaptığı aydınlatmanın, Aydınlatma Tebliği'ne uygun olmadığına karar vermiştir. Aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekirken, açık rıza aydınlatma metninin içerisinde ayrı bir başlık olarak düzenlenmiş olup ilgili kişiye bir seçim hakkı tanınmamıştır.

Ayrıca, aydınlatma yükümlülüğünün yerine getirilmesi esnasında veri işlemenin dayandığı hukuki sebebin açıkça belirtilmesi gerekirken, Kanun maddelerine genel bir atıf yapılıp detaylar belirtilmeden geçildiğinden, yapılan aydınlatma da Kurul tarafından hukuka aykırı bulunmuştur. Aydınlatma ile KVKK Politikaları birbirleriyle çelişkili ifadeler bulundurmamalıdır.

Sonuç olarak Kurul veri sorumlusuna, hukuka aykırı şekilde yurtdışına veri aktarmasından ötürü 900.000TL idari para cezası vermiştir.

Kararın Yurt Dışına Veri Aktarımına Etkileri

Kurul, bu kararıyla birlikte yurtdışı veri aktarımlarının hangi usulle yapılabileceğini yoruma yer bırakmayacak şekilde ortaya koymuştur.

Buna göre; güvenli ülkeler listesi Kurul tarafından açıklanana kadar yurtdışına veri aktarımlarında ya her bir ilgili kişiden usulüne uygun olarak alınacak açık rızalar ile; açık rızası olmadan ilerlenecek ise kişisel veri aktarımlarının ancak Kanunun m. 5/2 veya m. 6/3'te belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanınmaktadır.

Kurul, bu kararıyla açıkça 108 Sayılı Sözleşmeye dayanarak Kurul'dan izin alınmadan yapılan veri aktarımlarını hukuka aykırı bulduğunu göstermiştir. Bununla birlikte, yurt dışına yapılacak veri aktarımlarında taahhütname ile Kurul'dan izin alınarak ilerlenecek hallerde dahi hangi hukuki gerekçeye dayanıldığı açıkça ortaya konulabilmelidir. Geçerli bir hukuki gerekçeye dayandırılamayan durumlarda Kurul'un yurtdışına veri aktarımı için izin vermeme olasılığı yüksektir. Bu kararda da gördüğümüz üzere, Kurul bulut hizmeti sağlayan yurtdışına yerleşik veri işleyene bu kapsamda yapılan veri aktarımlarının, “veri sorumlusunun hukuki menfaati sebebiyle veri aktarımının zorunlu olması” gerekçesiyle yapılmasını, aynı bulut hizmeti Türkiye'de yerleşik başka bir veri işleyen tarafından verileri yurt dışına aktarmadan gerçekleştirilme imkanından ötürü tanımamaktadır. Aktarımın geçerli bir hukuki sebebe dayandığı açıkça ortaya konulamayan hallerde açık rıza ile ilerleme tercih edilmelidir.

Sonuç olarak, operasyonları sırasında yurt dışına veri aktarımı yapması gereken veri sorumlularının güvenli ülkeler listesi açıklanana kadar ya açık rıza yöntemi ile, ya da yukardaki hususlar göz önünde bulundurularak Taahhütname ile Kurul'dan izin alma yöntemi ile süreçlerine devam etmesi cezai yaptırımlar ile karşılaşma riskini ortadan kaldırmak adına büyük önem taşımaktadır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.