Kurulun 108 sayılı Sözleşme hakkındaki kararı

​

Kişisel Verileri Koruma Kurulu Yurt Dışına Veri Aktarılmasına İlişkin Olarak Bir Kez Daha İdari Para Cezası Uygulanmasına Karar Verdi

Kişisel verilerin korunması alanında büyük bir sorun haline gelen yurt dışına veri aktarımı son olarak Kişisel Verileri Koruma Kurulu'nun ("Kurul") 22/07/2020 tarihli ve 2020/559 sayılı kararına konu olmuştur[1]. Kurul, bu kararıyla aşağıdaki açıklanacağı üzere, kişisel verilerin 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi[2] ("108 sayılı Sözleşme") uyarınca yurt dışına aktarılmasının hukuka uygun sayılamayacağını belirterek aslında yeni bir tartışma konusunu başlatmıştır[3].

Zira böylece yurt dışına veri aktarılması için açık rızadan başka bir yöntem kalmadığı bir kez daha ortaya konulmuş oldu.

I. Karara Konu Olay

Kurul, otomotiv sektöründe faaliyet gösteren bir veri sorumlusu hakkında ilgili kişinin şikayeti üzerine veri sorumlusu tarafından yapılan savunmaya istinaden resen bir inceleme başlatarak veri sorumlusundan konuyla ilgili tüm bilgi ve belgeler ile savunmasını talep etmiştir. Veri sorumlusunun açıklamaları uyarınca karara konu olay şu şekildedir:

• Veri sorumlusu, ilgili kişiye reklam/bilgilendirme amaçlı bir kısa mesaj göndermiştir.
• Veri sorumlusu şirket, söz konusu dijital pazarlama iletişimleri için web tabanlı bir yazılım kullanmakta ve bu çerçevede sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına SFTP ("Dış kaynak firma") kullanarak aktarılmaktadır.
• Yapılan aktarım için şirkete ait Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni ile kişilerin açık rızası alınmaktadır.
• Öte yandan veri işleyen konumundaki Dış kaynak firmaya yapılan aktarımın Şirketin meşru menfaati için veri işlenmesinin zorunlu olması şartına dayandığı (m. 5/2-f) belirtilmiştir.
• Veri sorumlusu şirket, ayrıca 108 sayılı Sözleşme hükümleri gereğince Sözleşme'ye taraf olan ülkelere yapılan aktarımın hukuka uygun olarak kabul edilmesi gerektiği ve Türkiye'nin de konuyla ilgili bir çekince koymaması nedeniyle yurt dışına yaptığı aktarımın bu hukuki gerekçe kapsamında değerlendirilmesi gerektiğini açıklamıştır.
• Sonuç olarak, veri sorumlusu, 108 sayılı Sözleşme ile Kişisel Verilerin Korunması Kanunu hükümlerine dayanarak Kanun'un 9/2 bendinin atfı ile "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" (m.5/2-f) hukuki sebebine dayanarak hukuka uygun veri aktarımı gerçekleştirdiği iddiasındadır.  

II.Kurulun Değerlendirmesi

Öncelikle somut olayda büyük bir çıkmazın olduğunu belirtmek gerekir: Şöyle ki, veri sorumlusu şirket, ilgili kişilerden aldığı açık rızaya istinaden reklam ve pazarlama amacıyla kişisel veri işlemektedir. Ancak bu işleme faaliyeti sunucuları yurt dışında bulunan veri işleyen konumunda bir başka firma aracılığıyla yerine getirmektedir. Sonuç olarak reklam ve pazarlama amacıyla işlediği kişisel verileri veri işleyen firmaya aktarmak suretiyle yurt dışına aktarmaktadır. Yaptığı bu aktarımın da108 sayılı Sözleşme uyarınca Kanun'da yer alan veri sorumlusunun meşru menfaati için zorunlu olma hukuki sebebi çerçevesinde gerçekleştirildiğini ifade etmektedir.

Burada sırayla hangi hususlar dikkat çekmektedir:

1.       Veri sorumlusu, reklam ve bildirim yapılması amacıyla kişisel verilerin işlenmesi için açık rıza almalıdır.

Somut olayda veri sorumlusu şirket tarafından reklam ve bildirim yapılması amacıyla yapılan işleme faaliyetinin ilgili kişilerin açık rızasına dayandığı belirtilmiştir. Nitekim Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni'nde ilgili kişilerin açık rızasına istinaden işleme yapıldığı ifade edilmiştir:

2.       Yurt dışına aktarımın yapılacak olması halinde bunun aydınlatma veya açık rıza metninde belirtilmiş olması gerekir.

Veri sorumlusu şirketin temel hatalarından biri budur. Zira reklam ve bildirim yapılması amacıyla aslında ilgili kişiden rıza alınmış ancak bu çerçevede gerçekleştirilecek işleme faaliyeti için aynı zamanda yurt dışına veri aktarılacağı bilgisine yer verilmemiştir. Nitekim Kurul

şeklinde bir gerekçeyle veri sorumlusu tarafından alınan açık rızanın hukuka uygun olmayacağı değerlendirmesini yapmıştır.

Veri sorumlusunun burada yurt dışına aktarıma ilişkin bilgi vermiş olması kararın seyri açısından önemli olabilirdi. Dolayısıyla bu değerlendirme çerçevesinde veri sorumlularının aydınlatma ve açık rıza metinlerini gözden geçirmelerini önermekteyiz.

3.       Veri sorumlusu, yurt dışına aktarım faaliyetini açık ve net bir hukuki sebebe oturtmak zorundadır.

Somut olayda veri sorumlusu tarafından yapılan aktarım aslında hukuki gerekçelere sahiptir. Şöyle ki her şeyden önce yukarıda belirtilen aydınlatma ve açık rıza metninde "hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında" ifadesiyle üçüncü kişilere yapılan aktarım için de rıza almıştır. Buradaki en büyük sorun, aktarımın yurt dışına yapılacağının açıkça belirtilmemiş olmasıdır.

Öte yandan veri sorumlusu yapmış olduğu savunmasında yurt dışına veri aktarımının "meşru menfaati için zorunlu olma" hukuki sebebine dayandığını belirtmiştir. Dolayısıyla burada bir kafa karışıklığı vardır. Yurt dışına veri aktarımı yukarıda belirtilen açık rıza çerçevesinde mi yoksa meşru menfaat çerçevesinde mi gerçekleştirilmektedir? İşte bu noktada büyük bir belirsizlik vardır. Aslında bu noktanın net olması halinde kararın çok farklı şekilde sonuçlanması mümkün olabilirdi. Zira veri sorumlusunun hem açık rıza hem de diğer istisna hallerinden herhangi birine dayanarak veri işleyerek kendini güven altına aldığı düşüncesi böylece bir kez daha yıkılmıştır.

Yeri gelmişken bir kez daha kişisel verilerin işlenmesine ilişkin bir süreçte Kanun kapsamında belirtilmiş olan hukuki sebeplerden herhangi bir ve/veya birkaçının olması halinde açık rıza alınmasının yalnızca gereksiz ve geçersiz değil; hukuka aykırı olduğunu da belirtelim. Veri sorumluları bu noktaya dikkat etmeli ve "açık rıza da alalım bir zararı yok" bakış açısının aslında hukuka aykırı bir yaklaşım olduğunu ve dahası idari para cezasıyla sonuçlandığını unutmamalıdır.

4.       Kurula göre kişisel verilerin yurt dışına aktarılmasında dayanak olarak 108 sayılı Sözleşme'nin gösterilmesi tek başına yeterli değildir.

Veri sorumlusu yaptığı savunmada haklı mı? Aslında teorik olarak veri sorumlusunun yaptığı açıklama hukuka uygundur. Kurul tarafından güvenli ülkelerin ilan edilmemesi ve Kurula sunulan taahhütnamelerin de sonuç vermemesi üzerine bu yöntemlerle aktarım yapılamayacağı ortaya konulmuş oldu. Nitekim Kurul, mevcut düzenlemeler uyarınca yalnızca ilgili kişinin açık rızasına istinaden veri aktarımının yapılabileceğini belirtmişti[4]. Bu karardan sonra 108 sayılı Sözleşme uyarınca bu Sözleşme'ye taraf olan ülkelere veri aktarımı yapılabileceği düşünceleri kuvvetlenmişti. Zira her aktarım için rıza almak uygulamada özellikle büyük ölçekli veya uluslararası şirketler açısından neredeyse imkansızdır. 108 sayılı Sözleşme, Kurulun bu duruşu karşısında bir çözüm olabilecekti.

Ancak Kurul bu kararıyla 108 sayılı Sözleşme çerçevesinde yapılan aktarımı da hukuka uygun olarak nitelendirmemiştir. Kurula göre 108 sayılı Sözleşme'ye taraf olmak Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmayıp yapılacak değerlendirmede yalnızca "olumlu bir unsur" olarak ele alınabilir. Bu itibarla Sözleşme'nin başlı başına kişisel verilerin yurt dışına aktarımına izin vermediği kesin bir şekilde ifade edilmiştir.

Kurula göre bu durumda yurt dışına aktarım yapabilmek için iki yol vardır:

• İlgili kişinin açık rızası,
• İşleme şartlarına dayanılarak yapılacak aktarımda ise m. 5/2 veya m. 6/3 koşullarının sağlanması ve tarafların yeterli bir korumayı taahhüt etmesi ve Kurul tarafından izin verilmesi.

İkinci ihtimal her ne kadar mevcut gibi görünse de aslında mevcut olmadığı yine bizzat Kurul tarafından verdiği kararlarla ikrar edilmiştir. Kurul, kendisine yapılan taahhütname başvurularına henüz izin verilmediği ve izin verilmeden de bu koşulun sağlanmamış sayılacağını belirtmiştir. Zira tek başına taahhütname başvurusu yapmak yeterli olmayıp bu çerçevede aktarım yapabilmek için başvurudan sonra Kurulun iznine de ihtiyaç vardır. Dolayısıyla tek yöntemin yine Amazon kararında açıklandığı gibi ilgili kişinin açık rızası olduğu sonucu çıkmaktadır.

Sonuç olarak kişisel verilerin gerekli şartlar sağlanmadan yurt dışına aktarılmış olması gerekçesiyle Kurul tarafından veri sorumlusu şirket hakkında 900.000 TL idari para cezasına hükmedilmiştir.

Sonuç

Kurul tarafından yukarıda açıklanan kararla yurt dışına aktarım sorunu çözülemediği gibi bu konuda daha büyük tartışmaların da kapısı aralanmıştır. Zira Kurul 108 sayılı Sözleşme uyarınca yapılan aktarımları da hukuka uygun kabul etmeyerek bu yöndeki çözümleri de reddetmiştir. Amazon kararına benzer şekilde yurt dışına veri aktarımı için yalnızca açık rıza yöntemine başvurulabileceğini ifade etmiştir. Ancak burada bir adım ileriye giderek veri sorumlusu tarafından açık rıza alınmasına rağmen bunu geçersiz saymıştır. Öyleyse Kurul "ne olursa olsun, yurt dışına veri aktarımına izin vermiyorum" mu demek istemektedir? Bu sorunun cevabı zaman içerisinde yayımlanacak olan kararlarla netleşecektir. Ancak şu anki durum bunu göstermekte ve ne yazık ki veri sorumlularını büyük bir çıkmazın içerisine sürüklemektedir.

[1] https://www.kvkk.gov.tr/Icerik/6790/2020-559

[2]https://insanhaklarimerkezi.bilgi.edu.tr/media/uploads/2016/03/29/KisiselVerilerinOtomatikIslemeTabiTutulmasiKarsisindaBireylerinKorunmasiSozlesmesi.pdf

[3] 108 sayılı Sözleşme'ye dayanarak yurt dışına veri aktarılıp aktarılamayacağına ilişkin detaylı bilgi için bkz: Murat Volkan Dülger, Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, İstanbul, 2020, s. 453, 454.

[4] Kurulun bu açıklamasının konu olduğu karar için bkz: Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti, https://www.kvkk.gov.tr/Icerik/6739/2020-173.