Kişisel Verileri Koruma Kurumunun ("Kurum") internet sitesinde, pazarlama amacıyla SMS göndermek için yurtdışına veri aktaran bir otomotiv şirketi ("Şirket") ile ilgili 7 Eylül 2020 tarihinde bir karar ("Karar") yayınlanmıştır.

Kararın (i) "Meşru Menfaat" ve "Açık Rıza"nın şartları (ii) Yurtdışı aktarımı, (iii) Aydınlatma metinlerindeki eksiklikler olarak özetlenecek üç ana konusu olsa da biz bu yazıda sadece "Yurtdışına Aktarım" konusuna değineceğiz.

Bu konuda hukukumuzdaki ve uygulamadaki mevcut durumu aktaracağız; ardından pratik çözüm önerilerimizi paylaşacağız.

Fakat önce Kararı özetleyelim...

A. Olay Özeti ve Savunma

Kurulun re'sen soruşturmasının nedeni:

  • Şirket tarafından gönderilen bir SMS üzerine, SMS'in alıcısı şikâyette bulunmuş, bunun üzerine Kurul Şirket'ten savunma talep etmiştir.
  • Şirket savunmasında, pazarlama amacıyla işlemek için rıza almış olduğu kişisel verileri, yurt dışındaki bir veri işleyenine aktardığını belirtmiştir.
  • Bu aktarımın ise Kişisel Verilerin Korunması Kanunu'nda ("Kanun") yer alan hukuki sebeplerden biri olan "veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" (Meşru Menfaat) kapsamında değerlendirildiğini ifade etmiştir.
  • Şirket, bu savunmasına rağmen, ayrıca "Veri Gizliliği Metni"nin şikayetçi tarafından onaylandığı ve böylece ilgili kişinin yurtdışına aktarıma "rıza verdiğini" belirtmiştir. Savunmadaki bu çelişkili ifadeler nedeniyle Kurul, yurtdışı aktarım konusunda re'sen inceleme başlatılmasına karar vermiştir.
    (Görülmektedir ki, Kurul tarafından bir pazarlama SMS'ine ilişkin yürütülen süreç, savunma sırasında verilen cevaplardaki çelişkiler nedeniyle "yurtdışına kişisel veri aktarımına" ilişkin bir soruşturmaya dönüşmüştür. Veri sorumlularının ve avukatlarının bu tür soruşturmalarda ve hazırlayacakları cevap metinlerinde çok dikkatli olmaları gerektiğinin önemli bir göstergesi olarak bu konuyu not edip özetimize devam ediyoruz).
  • Şirketin savunması temel olarak aşağıdaki argümanlara dayanmaktadır:
    • Karara konu kişisel veriler, pazarlama SMS'i gönderilmesi için kullanılan bir program yoluyla Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına aktarılmıştır. Verilerin aktarılmasındaki hukuki sebep "Meşru Menfaat" hukuki sebebidir.
    • "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi"ne ("108 sayılı Sözleşme") Türkiye ve tüm Avrupa Birliği üye devletlerinin taraftır.
    • Anayasanın ilgili maddesi uyarınca "usulüne göre yürürlüğe konulmuş milletlerarası antlaşmalar kanun hükmündedir".
    • Yine aynı madde uyarınca, milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi halinde milletlerarası antlaşma hükümlerinin esas alınacaktır.
    • Dolayısıyla kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerekmektedir.
    • 108 sayılı Sözleşme'nin 12. maddesi uyarınca taraflara gerçekleştirilecek kişisel veri aktarımlarının ilgili maddedeki istisnalardan1 biri sağlanmadan yasaklanmaması veya özel izne tabi tutulmaması açık kurallardan biridir. Türkiye açısından böyle bir istisna durumu söz konusu değildir.
    • "Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol"ü uyarınca yurtdışına veri aktarımlarına ilişkin olarak taraf olmayanlara yapılacak aktarımlarda yeterli koruma sağlanıp sağlanmadığının değerlendirmesinin yapılması gerektiği, bu doğrultuda ilgili maddenin zıt yorumundan taraf olanlara yönelik yeterli koruma değerlendirilmesinin yapılamayacağı anlaşılmaktadır. Türkiye ilgili madde konusunda bir çekince/beyan ortaya koymamıştır.
    • Bu belirtilenler ışığında, veri sorumlusunun "Meşru Menfaat" hukuki sebebine dayanılarak dış kaynak firmaya hukuka uygun olarak veri aktarımı yapılmıştır.
  • Kurul ise kararında özetle aşağıdaki temelde karar vermiştir.
    • "Meşru Menfaat" hukuki sebebinin uygulanabilmesi için kişisel verilerin korunmasına ilişkin temel ilkelere uyulması, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüklerinin gözetilmesi ve yarışan menfaatler arasında bir değerlendirme yapılması gerekir (Denge Testi). Ancak bu denge testinin sonucunda veri sorumlularının meşru menfaatinin, ilgili kişilerin temel hak ve özgürlüklere zarar vermediği ortaya çıkarsa bu hukuki sebebe dayanılabilir.
    • Birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza alınacaksa, açık rıza metninde (i) hangi verilerin (ii) hangi amaçlarla işleneceği hususlarına yer verilmesi gerekmektedir.
    • Bununla birlikte, veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) "ayrıca açık rıza alması" gerekmektedir.
    • 108 sayılı Sözleşme, taraf ülkeler arasında yerel kanunlardaki kısıtlamalara tabi olmadan veri aktarımı için yeterli değildir. 108 sayılı Sözleşme'nin hükümleri Yerel kanunlarla çeşitli kısıtlamalar getirilmesini engellememektedir.
    • Aydınlatma metinleri hazırlanırken Kanun, aydınlatmaya ilişkin tebliğ (ve Kurumun rehberlerindeki) hükümlere riayet edilmesi gerekmektedir. Ayrıca rızanın alınması işlemlerinin birbirinden ayrı olarak gerçekleşmesi gerekmektedir.
    • Kurul, yurtdışı aktarımının Kanuna uygun olmadığı gerekçesiyle veri sorumlusuna 900.000 TL ceza vermiştir; aydınlatma metni/rıza metni ile ilgili de bunların değiştirilmesi yönünde talimatlandırmıştır.

B. Yurtdışı aktarıma ilişkin değerlendirmemiz

1. Genel açıklama

Öncelikle yurtdışına veri aktarımının kişisel verilerin korunması uygulamasında en sorunlu alanlardan bir olduğunu söylemek yanlış olmaz.

Üstelik bu durum sadece Türkiye için geçerli de değildir. Örneğin AB ile ABD arasında oluşturulan veri aktarım programları (Safe Harbour, Privacy Shield) Avrupa Adalet Divanı tarafından iptal edilebilmekte ve aktarım için taraflar farklı alternatifler bulmak zorunda kalabilmekteler.

Hatta yakın zamanda ABD Başkanı Trump, Çinli teknoloji şirketlerinden olan TikTok'un Amerikan bir şirket tarafından alınmadığı taktirde ulusal güvenliği tehdit ettiği gerekçesiyle yasaklayacağını ilan etmişti. Bunun üzerine yakın zamanda Oracle'ın TikTok'u alacağı duyuruldu da ABD'deki TikTok sevdalıları rahat bir nefes alabildi.

Son olarak Rus vatandaşlarının verilerinin Rusya'da işlenmesi ve tutulması (veri lokalizasyonu) konusunda özel bir kanunun olduğu da ekleyelim.

Ülkemizde de gerek hükümet tarafından çıkartılan genelgeler, gerek Kişisel Verileri Koruma Kurulunun yakın zamanda verdiği iki karar (Amazon Turkey Kararı ve bu yazıya konu olan Karar) dikkate alındığında, her ne kadar Kanunun ortaya çıkış amacı bu olmasa da, ülkemizin veri lokalizasyonu gayesiyle hareket etme niyetinde olduğu görülüyor.

2. Türkiye'deki genel hukuki durum

Kanun uyarınca yurtdışına 3 halde kişisel veri aktarılabilmektedir:

  1. Verisi aktarılacak olan kişiden bu işlem için "açık rıza" alınması,
  2. Aktarım için açık rızadan başka şartlara dayanılacaksa (sözleşmenin ifası, meşru menfaat vb.)
    1. Kurul tarafından açıklanacak güvenli ülkelere aktarım yapılması (henüz açıklanmadı, yakın zamanda da açıklanması pek beklenmiyor -en azından AB ülkeleri için-) ya da
    2. Kurumun internet sitesinde yayınlanan standart taahhüt metinlerinin, veri aktaran (Türkiye'deki veri sorumlusu) ve aktarılan (yurtdışındaki veri sorumlusu/veri işleyen2) tarafından imzalanması ve Kuruldan izin alınması;
  4. Grup şirketleri için bağlayıcı şirket kuralları oluşturularak Kuruldan onay alınması.

Bildiğimiz kadarıyla henüz Kurul tarafından taahhüt imzalayarak izin için başvuranlara verilmiş bir izin yok.

Hatta Amazon Turkey'in, yurtdışında veri aktardığı firma ile imzaladığı taahhütname Kurulun önünde incelemedeyken yurtdışı aktarım nedeniyle ceza almış olması da, hali hazırda yurtdışına veri aktaran veri sorumluları için, taahhüt opsiyonunun tercih edilmesinde ciddi bir tereddüt yarattığı da bir gerçek.

Bağlayıcı şirket kuralları onayı için başvuran şirketlerin olup olmadığını ise bilmiyoruz. Olsa bile bir elin parmaklarını geçmeyeceğini tahmin ediyoruz.

Şimdi söz konusu Karar ile birlikte Kurul, yurtdışı aktarım için 108 sayılı Sözleşme yolunu da -şimdilik- kesin olarak kapadı. Kurulun 108 sayılı sözleşmeyi yurtdışı aktarımı için yeterli görmediği Türkiye'de kişisel verilerin korunması alanında çalışanlar açısından zaten bilinen bir gerçekti. Karar ile birlikte artık bu husus netleşmiş oldu. Elbette Kararın iptali talebi ile yargı yoluna başvurulacaktır ve bu konuda son sözü yargı söyleyecektir. Fakat karşımızda yasaya uygun olduğu karine olarak kabul edilen bir idari karar varken bu yolun –şimdilik- Kurul tarafından kapatılmış olduğunu söylemekte bir beis görünmüyor.

O halde kişisel verilerin korunması alanında çalışan kişilerin elinde yurtdışına aktarım için kullanılabilecek tek bir enstrüman kalıyor; o da "açık rıza"...

3. Açık rıza alalım gitsin işte, sorun ne?

İşte zaten tam olarak işin düğümlendiği yer de burası.

Zira Kurul istikrarlı bir şekilde verdiği kararlarda "açık rızanın bir hizmetten ya da üründen faydalanmak için ön koşul olarak öne sürülemeyeceğini" belirtiyor.3 Zira bu uygulamanın açık rızanın geçerliliği için gerekli üç şartından biri olan "özgür irade" şartını sakatladığını belirtiyor.

Benzer şekilde hiyerarşik ilişki içerisinde bulunan kişiler arasında da (örn. işçi-işveren) alınan açık rızanın özgür irade ile verilip verilmediğine şüpheyle yaklaşmak gerektiği uyarısı da yine Kurumun yayımlamış olduğu rehberlerde yer alıyor.

Kurul'un bu yaklaşımının AB uygulaması ile paralel olduğunu söylenebilir.

O halde sorun nerede diye soracak olursanız; sorun, AB'de GDPR temelinde yurtdışına veri aktarmak için rızadan farklı birçok imkanın olmasına rağmen, bizim hukukumuzda böyle bir durumun söz konusu olmamasıdır.

Peki nedir bu imkanlar? Örneğin:

  1. Kurumun web sitesinde yayınlanan taahhütlerin AB'deki karşılığı olan Standard Contractual Clauses (Tip Sözleşme Maddeleri - SCC) imzalanması halinde veri aktarmak için artık ilgili veri koruma otoritesinden izin almaya gerek yoktur.
  2. GDPR istisnai hallerde güvenli olmayan ülkelere veri aktarımına olanak sağlamaktadır (sözleşmenin ifası için gerekli olması, veri sorumlusu ile üçüncü kişi arasında ilgili kişi lehine imzalanan bir sözleşmenin ifası için gerekli olması vb.)
  3. Her ne kadar Avrupa Adalet Divanı tarafından mütemadiyen iptal edilse de ABD ile AB arasında yukarıda da bahsettiğimiz (Safe Harbour, Privacy Shield) veri aktarım programları oluşturulmaktadır.
  4. AB tarafından halihazırda açıklanan birçok güvenli ülke vardır.

AB'deki bu imkanlar dikkate alındığında yurtdışı aktarımı için alınacak açık rızanın AB'deki ile aynı koşullarda alınmasını beklemenin dayanağı tartışmalıdır.4

4. Uygulamadaki sorunlar

Belki bazı küçük esnaflar hariç, Türkiye'de iş yapıp da yurtdışına veri aktarmayan kişi, kurum, şirket neredeyse yok.

Türkiye'de iş yapan herkes öyle ya da böyle, en azından web üzerinden kullandığı bilgisayar programları ile yurtdışına veri aktarıyor. Üstelik bu sadece yabancı sermayeli şirketler için geçerli değil, tamamen Türk sermayeli şirketler için bu durum böyle. Hatta bırakalım şirketleri, bir küçük esnafın dahi, eğer işleri için bir yabancı e-mail sunucusu (örn. gmail) kullanıyorsa, yurtdışına veri aktardığı kabul ediliyor.

Mevcut durumda Türkiye'de iş yapan herkes bu dertten mustarip. Hatta birer Türkiye Varlık Fonu şirketi olan THY ve PTT'nin de yurtdışına her gün "Kanuna aykırı şekilde" veri aktarmakta olduğunu da bu vesileyle söylemiş olalım.

Yurtdışı ile iş yapan, ekonomisi için yurtdışından yatırım gelmesi elzem olan ülkemizde bir yandan AB'deki yurtdışına veri aktarma imkanlarının olmaması, bir yandan da yurtdışı aktarımı için AB'de rızaya uygulanan sıkı koşulların uygulanmasının özellikle iş dünyasını çok zor durumda bıraktığı bir gerçek.

Bu konuda son olarak Kanunun genel gerekçesine göz atıldığında Kanun ile amaçlanan ile varılan noktanın arasındaki fark gerçekten dikkate değer olduğunu söylemeden geçmeyelim:

"Kişisel verilerin korunması konusu ekonomik alanla da yakından ilgilidir. Zira yabancı sermayenin ülkemizde yatırım yapması ve başka ülkelerdeki yatırımları ile ülkemizdeki yatırımlarını etkin bir şekilde yönetebilmesi için ihtiyaç duyduğu veri aktarımı, ülkemizde kanuni düzenleme olmaması sebebiyle gerçekleştirilememekte ve bu durum yabancı sermayenin ülkemizde yatırım yapması bakımından caydırıcı bir etken olarak değerlendirilmektedir. Yine işadamlarımızın yabancı ülkelerdeki yatırımları ve ortaklıklarıyla ilgili ihtiyaç duydukları veri aktarımında sorunlar yaşanmaktadır."

5. Bu sorunlara rağmen uygulamada neler yapılıyor?

Takip edebildiğimiz kadarıyla Özellikle Mayıs ayında Kurumun internet sitesinde yayınlanan Amazon Turkey kararından sonra piyasada işçi-işveren arasında rızanın geçersizlik ihtimalini not ederek, işverenler işçilerinden yurtdışı aktarım için rıza almaya başladılar.

Tedarikçi/iş ortakları veya bunların çalışan ve yetkililerinin verilerinin yurtdışına aktarımına ilişkin olarak ise, tedarikçi/iş ortakları ile imzalanan veri işleme sözleşmelerinde (i) ya bu konuda bir hüküm konarak bu sorumluluk tedarikçinin üzerine bırakılmaya; ya da (ii) veri işleme sözleşmelerinin arkalarına eklenen ya da elektronik mecralardaki rıza metinleri ile rızaların toplanmaya çalışılıyor.

Henüz sundukları hizmetin ön şartı olarak müşterilerinden yurtdışına aktarım için rıza almaya başlayan veri sorumlularının sayısı fazla değil.

Çünkü bu veri sorumluları bir yandan Kanuna uyum ile uğraşırken, bir yandan yurtdışı aktarım konusunda Kuruma şikayette bulunulması riskini de dikkate almak zorundalar.

Bu nedenle şimdilik tüm şirketler yurtdışı aktarım konusunda sessiz kalmayı, düşük bir profil çizmeyi, bu belirsiz konuda Kurulun incelemesi riskine maruz kalmamayı tercih ediyor.

6. Karardan sonra ne yapmalı?

Kurulun yurtdışı adım konusunda geri adım atmayacağı anlaşılıyor.

Bu çerçevede Karardan sonra yurtdışına veri aktarın veri sorumluları için pratik olarak uygulanabilecek iki yolun olduğu görülüyor:

  1. Bu konuda sessiz kalmaya devam ederek, Kurulun incelemesinin kendilerine denk gelmemesini ve bu kötü rüyanın bir an önce sona ermesini ummak ya da
  2. Olası bir şikayet ve ceza riskini göze alarak (bu konuda savunma dayanaklarının da oluğunu değerlendirerek) "hizmetin ön şartı için açık rıza almaya" başlamak

İkinci seçenek tercih edilecekse bu konuda Karardaki hususlara dikkat etmek gerekecektir.

Bunlar da:

  1. yurtdışı aktarım rızasının diğer alınan rızalardan "ayrı" olarak alınması,
  2. birden çok kategoriye ilişkin verinin aktarılmasına dair açık rıza alınacaksa, açık rıza metninde hangi verilerin hangi amaçlarla aktarılacağı hususlarına yer verilmesi,
  3. aydınlatma metinlerinde yurtdışı aktarımın mutlaka özel olarak belirtilmesi.

Eğer ikinci seçenek tercih edilerek ilerlenecekse, hizmetin sunulması için yurtdışı aktarımın gerekli olduğu durumlar için uygulanmalıdır. Kanımızca bu gereklilik, bu iş için yurtdışında bir sunucunun kullanılmasını da kapsayacak şekilde geniş yorumlanmalıdır. Bu çerçevede bir hizmet/ürün almak için yurtdışı aktarım rızası vermiş, fakat sonradan bunu geri çeken kişinin ürünü/hizmeti almaktan vazgeçtiği kabul edilmelidir.

Elbette bu yapıda, ilgili kişi, eğer hizmeti/ürünü aldıktan sonra, yurtdışı aktarım rızasını geri çekerse, saklama süresi boyunca verinin nasıl saklanacağı sorusunun da cevaplanması gereklidir. Zira bu durumda hizmet/üründen faydalanma sona ermiş, saklama rızaya dayalı yapılmaktadır. Bu konuda ise şirketlerin sadece rızalarını geri çekenlerin verilerini saklayacakları yurtiçinde bir sunucularının olmasından başka çözüm pek mümkün görünmemektedir.

Son olarak şunu söylemekte fayda var: Eğer yurtdışına aktarım amacıyla alınacak rıza için "hizmetin/ürünün sunulmasının ön şartı olarak rıza alınamaz" prensibi esnetilmezse, Kanunun ülkemize yabancı yatırımın gelmesini güçleştireceği, hatta pahalı hizmetler almak zorunda kalan Türkiye'deki firmaların rekabet gücünü düşüreceği ve bunların da ülkemize yarardan çok zarar getireceği görüşündeyiz. Kanunun genel gerekçesinde yer alan yukarıda bahsettiğimiz paragraf temelinde Kanunun amacı ve varılan sonucu bir kez daha düşünmeye değer...

Karara aşağıda yer alan link üzerinden ulaşabilirsiniz: https://www.kvkk.gov.tr/Icerik/6790/2020-559

Footnotes

1 Bu istisnalar şunlardır:

"(a) Kendi (sözleşme tarafı bir devletin) mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın (diğer sözleşme tarafı devletin) düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

b) Bu transferin bir Tarafın (sözleşme tarafı bir devletin) ülkesinden, bir diğer Taraf (diğer sözleşme tarafı devlet) üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla"

2 Kanunda aktarım sadece veri sorumlusu-veri sorumlusu ilişkisi arasında düzenlemiştir. Fakat Kurul uygulamaları ile bu kuralların veri sorumlusu-veri işleyen arasındaki aktarımları da düzenleyeceği görüşünde olduğu mesajını vermiştir.

3 Kurul AB uygulaması ile paralel olarak kişilere indirim sağlayan sadakat kartlar için bu prensibin uygulanmayacağı yönünde daha önce iki karar vermiştir.

4 Bu konuda yazılmış ve bu yazıya da dayanak olan makale Araş. Gör. Şehriban İpek AŞIKOĞLU ve Av. Fatih Burak UZUN tarafından kaleme alınan ve "Prof. Dr. Türkan Rado'nun Anısına Armağan" adlı eserde yayımlanan

"Kişisel Verilerin Yurtdışına Aktarımının Açık Rızaya Dayandırılmasının Yarattığı Sorunlar Ve Çözüm Önerileri" başlıklı makaledir. Online olarak şuradan ulaşılabilir: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3683903

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.