Yurtdışına Veri Aktarımı İle İlgili Kurul Kararları
Karar Tarihi :22/07/2020
Karar No :2020/559
Konu Özeti :Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında karar
Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikâyeti üzerine yürütülen inceleme sürecinde, veri sorumlusundan alınan savunma yazısında şirketleri tarafından pazarlama amacıyla işlenmesi yönünde rıza alınmış kişisel verilerin veri işleyen konumunda bulunan yurt dışındaki bir firmaya aktarılmasının ve sadece söz konusu hizmetin yerine getirilmesi amacıyla bu firma tarafından işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5 inci maddesinin (2) numaralı fıkrasının (f) bendi doğrultusunda “veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında değerlendirildiğinin ifade edilmesine rağmen, aynı savunmada veri sorumlusunun “veri gizliliği metni” nin Şikâyetçi tarafından onaylandığı diğer bir ifade ile verilerinin yurtdışına aktarımına rıza verildiğine yönelik bir önceki ifadesi ile çelişen açıklamaların yer aldığı tespit edilmiştir. Bu duruma istinaden Kişisel Verileri Koruma Kurulu’nun (Kurul) 08.07.2019 tarihli ve 2019/203 sayılı Kararı ile veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarında saklaması ile ilgili olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir.
Bu itibarla, 6698 sayılı Kanunun ilgili maddeleri hakkında veri sorumlusuna bilgi verilerek kişisel verilerin yurtdışına aktarılmasının Kanunun 9 uncu maddesindeki hangi hukuki gerekçeye dayandırıldığına dair açıklamaları ile konuya ilişkin tüm bilgi, belge ile kayıtların tarafımıza gönderilmesi talep edilmiştir. Konuya ilişkin veri sorumlusundan alınan savunma yazısında ise özetle;
Şirket tarafından gerçekleştirilen dijital pazarlama iletişimlerinde web tabanlı bir yazılımın kullanıldığı, söz konusu yazılımın web tabanlı olması nedeniyle yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına SFTP kullanılarak (Dış Kaynak Firma) aktarıldığı,
Müşterilere ilişkin; (1) müşteri bilgisinin, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisinin ve (3) iletişim bilgisinin, dış kaynak firmaya aktarıldığı, Şirket tarafından yurtdışına herhangi bir özel nitelikli kişisel verinin ise aktarılmadığı,
Kişisel verileri yurtdışındaki dış kaynak firma’ya aktarılan müşterilerden açık rızanın alındığı, söz konusu açık rızanın 2018 yılından itibaren güncellenmiş Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni ile alındığı,
Veri işleyen konumundaki dış kaynak firmaya bu verilerin aktarılmasındaki hukuki gerekçenin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde düzenlenen veri sorumlusu olarak Şirketin meşru menfaati için veri işlemesinin zorunlu olması şartına dayandığı,
6698 sayılı Kanunun 9 uncu maddesinde kişisel verilerin a) ilgili kişinin açık rızası ile ya da b) yeterli korumanın bulunması veya ilgili ülkede yeterli koruma bulunmuyorsa Kurulun izninin alınması suretiyle Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasında belirtilen veri işleme şartlarına dayalı olarak yurtdışına aktarılabileceğinin düzenlendiği, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına Kanunun 9 uncu maddesinin (4) numaralı fıkrasında yer alan hususlar çerçevesinde karar vereceğinin düzenlendiği, ancak Kurul tarafından bir yabancı ülkede yeterli koruma bulunup bulunmadığına henüz karar verilmemiş olduğu, bunun yanı sıra aynı maddenin (5) ve (6) numaralı fıkrasında kişisel verilerin yurtdışına aktarılmasında uluslararası sözleşmeler ile diğer kanun hükümlerinin saklı olduğunun ortaya konulduğu,
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”nin (108 sayılı Sözleşme) iç hukuka aktarıldığı, tüm Avrupa Birliği üye devletlerinin 108 sayılı Sözleşmeye taraf olduğu, Türkiye’nin 108 sayılı Sözleşmenin taraflarına ilişkin “… Sözleşme’nin onaylanmasının geçerliliği bulunmayan “Kıbrıs Cumhuriyeti”nin anılan sözleşmeye taraf olan Güney Kıbrıs Rum Yönetimi tarafından temsil edildiği iddiasının herhangi bir biçimde kabulü anlamına gelmeyeceğini ve Türkiye’de sözde Kıbrıs Cumhuriyeti ile işbu Sözleşme kapsamında herhangi bir temasta bulunma yükümlülüğü getirmeyeceğini” beyan ettiği, bu beyan dışında 108 sayılı Sözleşme’nin taraflarına ilişkin Türkiye tarafından herhangi bir beyanda bulunulmadığı; Anayasanın 90 ıncı maddesinin son fıkrası uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği, ayrıca ilgili fıkranın devamı hükmünde usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği dolayısıyla kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu,
108 sayılı Sözleşme’nin 12 nci maddesi uyarınca 108 sayılı Sözleşmenin taraflarına gerçekleştirilecek kişisel veri aktarımlarının (a) ve (b) bentlerinde sıralanan istisnalardan biri sağlanmadan yasaklanmaması veya özel izne tabi tutulmamasının 108 sayılı Sözleşmenin getirdiği açık kurallardan biri olduğu, Türkiye tarafından gerçekleştirilmiş herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişkin herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu,
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (1) numaralı fıkrasında sınır aşan kişisel veri aktarımlarına ilişkin olarak taraf olmayanlara yapılacak aktarımlarda yeterli koruma sağlanıp sağlanmadığının değerlendirmesinin yapılacağının düzenlendiği, bu doğrultuda ilgili maddenin mefhumu muhalifinden taraf olanlara yönelik yeterli koruma değerlendirilmesinin yapılamayacağının anlaşıldığı, ek protokolün 2 nci maddesinin (2) numaralı fıkrasında ise (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı,
Şirketin hukuki gerekçeler (6698 sayılı Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları ile 108 sayılı Sözleşmenin 12 nci maddesi) kapsamında 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak gerekli tüm idari ve teknik tedbirler alınmak suretiyle veri işleyen konumundaki dış kaynak firmaya hukuka uygun olarak veri aktarımının yapıldığı
hususlarına yer verilmiştir. Resen inceleme konusu kapsamında veri sorumlusundan alınan bilgi ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Kararında aşağıdaki değerlendirmelere yer verilmiştir.
1. Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.
Bu kapsamda kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet Kanunda belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir. Açık rıza alınmasına gerek olmayan hallerden biri de resen incelemeye konu veri sorumlusu tarafından da belirtildiği üzere Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde belirtilen durumdur. Anılan bendin uygulanabilmesi için kişisel verilerin korunmasına ilişkin temel ilkelere uyulması, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüklerinin gözetilmesi ve yarışan menfaatler arasında yapılacak olan değerlendirmenin sonucunda kişisel verilerin belirtilen fıkra kapsamında işlenip işlenemeyeceğine karar verilmesi gerekmektedir.
Bu minvalde, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin uygulanabilmesi için iki aşamalı bir testin ele alınması gerekir. Yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığı tespit edilmeli, ikinci olarak da, bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediği belirlenmelidir. Ancak, resen incelemeye taraf olan veri sorumlusu tarafından açık rıza dışındaki kişisel veriler açısından yurt dışına aktarımda Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendindeki işleme şartı dayanak gösterilirken meşru menfaatin ne olduğu hakkında ve bu menfaati ile kişilerin temel hak ve özgürlükleri arasında bir denge testi uygulanıp uygulanmadığına ilişkin herhangi bir açıklamaya yer verilmediğinden, kişisel verilerin veri sorumlusu tarafından yurt dışına aktarılmak suretiyle işlenmesinde geçerli bir meşru menfaatin bulunduğu kanaati hasıl olmamıştır.
2. Bununla birlikte, 6698 sayılı Kanunun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde tanımına yer verilen “açık rıza”nın özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru bulunmaktadır. Bu kapsamda eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekmektedir. Bununla birlikte, kişisel veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, ilgili kişiden açık rıza alınması yoluna gidilmeyecektir. Nitekim, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.
Veri sorumlusunun, Kurula verdiği savunma yazısında, kişisel verilerin işlenmesinin hukuki sebebinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayandığını belirtmekle birlikte; ilgili kişilere sunduğu aydınlatma ve rıza metninde “… Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirerek sizlere önerilmesi ve tanıtılması, kabulünüz kapsamında paylaşmış olduğunuz iletişim bilgilerinize reklam, promosyon vb ticari elektronik ileti gönderilmesi, saklanmasını ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında işlenebilecektir.” şeklinde bir bilgilendirmede bulunduğu dikkate alındığında, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olduğu değerlendirilmiştir.
Bahse konu savunma yazısının devamında ise, yurt dışına veri aktarımının 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak dış kaynak firmaya yapıldığı; pazarlama iletişimlerine izin vermiş kişilere/müşterilere e-posta/sms gönderimi yapılabilmesi için müşteri verilerinin sunucuları Avrupa Birliği üyesi ülkede bulunan bir bulut veri tabanına aktarıldığı ifadelerine yer verildiği görülmüştür. Ancak, aydınlatma metninde ve açık rıza metninde ilgili kişiler tarafından pazarlama amaçlı ileti gönderilmesine rıza verilmesi halinde bu kişisel verilerin yurtdışına bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediğinden yurtdışına veri aktarımının veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı fıkrasında belirtilen açık rıza dışındaki meşru menfaatleri kapsamında mı yoksa, ilgili kişilerin açık rızalarına istinaden mi gerçekleştirildiğinin anlaşılır olmadığı ya da söz konusu kişisel verilerin hangilerinin meşru menfaat çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu kanaatine varılmıştır.
3. Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde de kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceği hükümleri düzenlenmektedir. Anılan maddenin devamında ise,
“(3)Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükümlerine yer verilmiştir.
Veri sorumlusu tarafından Kurula sunulan bilgi, belge ve açıklamaların incelenmesi neticesinde, veri sorumlusunun dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullandığı, söz konusu yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşteri verilerini (müşterilere ilişkin; (1) müşteri bilgisi, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisi ve (3) iletişim bilgilerini) sunucuları Avrupa Birliği üyesi bir ülkede bulunan ,bulut veri tabanına aktardığı anlaşılmıştır.
108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesinin (108 sayılı Sözleşme) “Kişisel Verilerin Sınır Ötesi Akışı ve İç Hukuk” başlıklı 12 nci maddesinde ise;
“(1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.
(2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.
(3) Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda istisnalar getirebilir:
(a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;
(b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla” hükümleri yer almaktadır.
Veri sorumlusu Kurula verdiği savunmasında; müşteri bilgilerinin dış firmaya aktarılmasındaki hukuki gerekçenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamındaki “veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması” olduğu, Kanunun 9 uncu maddesindeki gerekçesine ilişkin olarak ise; tüm Avrupa Birliği üye devletlerinin iç hukukumuza aktarılan 108 sayılı Sözleşmeye taraf olduğu, Anayasanın 90 ıncı maddesi uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği ve Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği, bu doğrultuda kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu, Kanun hükmünde olan 108 sayılı Sözleşmenin, serbest aktarım ilkelerini benimseyen 12 inci maddesinin (3) numaralı fıkrasının (a) ve (b) bentleri istisnasına dayanılan herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin şu zamana kadar Türkiye tarafından yapılan herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişki herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu, bununla birlikte “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (2) numaralı fıkrasında (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı, Kurul tarafından yeterli koruma sağlayan ülkelere ilişkin somut değerlendirmenin de henüz yapılmamış olduğu, bu minvalde 108 sayılı Sözleşme’nin Taraflarından olan bir ülkede bulunan Dış Kaynak Firmaya yapılan kişisel veri aktarımının 108 sayılı Sözleşme ve ilgili Ek Protokol’de belirtilen hukuki gerekçelerle yapıldığı ifade edilmiştir.
Öncelikle, 108 sayılı Sözleşmenin 12 nci maddesinde, Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacaklarını veya özel bir izin öngörmek suretiyle kısıtlayamayacaklarının öngörüldüğünü belirtmek yerinde olacaktır. 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor’un (Açıklayıcı Rapor) ikinci fıkrasında, bu düzenlemenin amacının Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması olduğu, bununla birlikte, bu hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı öngörülmektedir. Bahse konu Açıklayıcı Raporda Sözleşmenin 12 nci maddesinin Avrupa Birliği’ndeki (AB) uygulamasına ilişkin olarak ise, AB’nin gerek mülga 95/46/AT sayılı Direktif gerek 27/04/2016 tarih ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmediği ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul ettiği hususlarına yer verildiğini de belirtmekte fayda görülmektedir.
Bu kapsamda, Kanunun 9 uncu maddesinin ikinci fıkrasında öngörülen düzenleme uyarınca, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığını belirtmek yerinde olacaktır.
4. Kanunun 9 uncu maddesinin 4 üncü fıkrasının (a) bendinde, Kurulun veri aktarımına izin verip vermeyeceğine ilişkin değerlendirmede ülkemizin taraf olduğu uluslararası sözleşmelerin de dikkate alınacağı hükme bağlanmıştır. Kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olması Kurulun değerlendirmesine esas teşkil edecek unsurlardan sadece bir tanesini oluşturmakta olup bu durum yeterli korumanın bulunduğu ülkelerin Kurulca belirlenmesinde kullanılmak üzere Kurulun 02.05.2019 tarihli ve 2019/125 sayılı Kararında da kabul edilen kriterler arasında yer almaktadır. Bununla birlikte anılan maddede aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar ve ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumu da Kurulun değerlendirmesinde göz önünde bulundurulan diğer hususlardır.
Bu minvalde, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceğine dair “108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor”da yer alan açıklama ile Kurulun yurt dışına veri aktarımına izin vermesine ilişkin yapacağı değerlendirmede gerek 108 sayılı Sözleşme gibi ülkemizin taraf olduğu uluslararası sözleşmeleri gerek kişisel verilerin korunması veya özel hayatın gizliliğini koruma amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini dikkate alacağına ilişkin Kanunun 9 uncu maddesinde yer verilen düzenleme göz önünde bulundurulduğunda 6698 sayılı Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu değerlendirilmektedir.
5. Kanunun 9 uncu maddesinin (6) numaralı fıkrasında ise “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verilmektedir. Bilindiği üzere, Anayasanın 90 ıncı maddesinde yer alan düzenleme uyarınca yürürlüğe konulmuş uluslararası antlaşmaların kanun hükmünde olduğu, bu anlamda 108 sayılı Sözleşmenin de hukukumuzda kanun niteliğini haiz olduğu, Anayasanın 90 ıncı maddesine 5170 sayılı Kanunun 7 nci maddesi ile yapılan ekleme ile temel hak ve özgürlüklere ilişkin uluslararası antlaşmalarla kanunların aynı konuya ilişkin farklı düzenlemeleri öngörmesi halinde uluslararası antlaşma hükümlerinin esas alınacağı öngörülmektedir. Ancak, bu maddenin gerekçesinde “uygulamada usulüne göre yürürlüğe konulmuş insan haklarına ilişkin milletlerarası antlaşmalar ile kanun hükümlerinin çelişmesi halinde ortaya çıkacak bir uyuşmazlığın varlığı halinde hangisine öncelik verileceği konusundaki tereddütlerin giderilmesi amacıyla 90 ıncı maddenin son fıkrasına hüküm eklenmektedir” açıklamasına yer verildiği, bunun uygulanabilmesi için de söz konusu uluslararası antlaşma hükümlerinin doğrudan uygulanabilir olması gerektiği, diğer bir ifadeyle antlaşma hükmünün “yeterince açık, kesin, koşulsuz ve uygulaması için devletin ilave bir tedbir almasını gerektirmeyecek nitelikte” olması gerektiği belirtildiğinden, doğrudan uygulanabilir olmayan daha soyut ve genel bir uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma teşkil etmeyeceği ve bu sebeple Anayasanın anılan hükmünün uygulama alanı bulmayacağı dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği değerlendirilmektedir.
108 Sayılı Sözleşmenin 4 üncü maddesinin birinci fıkrası da “her Taraf, kendi iç hukukunda işbu bölümde yer alan verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri alır” hükmünü içermektedir. Diğer bir ifadeyle Sözleşme hükümleri taraf devletlerin iç hukukunda doğrudan hüküm ve sonuç doğurmamakta, ulusal veri koruma düzenlemelerine hakim olması gereken temel ilkeleri ve bu düzenlemeler vasıtasıyla ilgili kişilere sağlanacak güvenceye ilişkin usul ve esasları belirlemektedir. “108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor”da da, Sözleşmenin doğrudan uygulanabilir nitelikte olmadığı ve bu sebeple taraf devletlerin veri koruma hükümlerini iç hukuklarına dahil etmekle yükümlü kılındıkları ifade edilmektedir. Dolayısıyla 108 sayılı Sözleşmenin 12 nci maddesinin ikinci fıkrasında yer alan ve tarafların münhasıran özel hayatın gizliliğinin korunması amacıyla diğer bir taraf ülkeye kişisel veri aktarımını yasaklayamayacağına veya izin koşuluna bağlayamayacağına ilişkin hükmünün doğrudan uygulanabilir nitelikte olmadığı, bu minvalde söz konusu hükmün ne Kanunun 9 uncu maddesinin (6) numaralı fıkrası ne de Anayasanın 90 ıncı maddesinin (5) numaralı fıkrası uyarınca öncelikle uygulama alanı bulamayacağı; diğer taraftan Kanunun 9 uncu maddesinde öngörülen düzenlemenin 108 sayılı Sözleşmenin 12 nci maddesine de aykırılık teşkil etmediği ve bu itibarla her iki düzenlemenin birbirini tamamlayıcı nitelikte olduğu dikkate alındığında, 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceğini belirtmekte fayda görülmektedir.
Bu itibarla, öncelikle 108 sayılı Sözleşmenin başlı başına kişisel verilerin yurt dışına aktarımına cevaz vermediği, veri sorumlusunun yurt dışına veri aktarımı yaparken Kanunun 9 uncu maddesinde belirtilen şartları sağlamaması halinde hukuka aykırı bir veri işlemenin gündeme geleceği, bu minvalde açık rıza alınmasını gerektiren kişisel verilerin yurtdışına veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması; Kanunda belirtilen diğer kişisel veri işleme şartlarına dayanılarak yurtdışına veri aktarımının yapılabilmesi için ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında ve 6 ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı, tarafların yeterli bir korumayı taahhüt etmeleri ve Kurul tarafından izin verilmesi halinde yurt dışına kişisel veri aktarımının gerçekleşebileceğini belirtmek gerekmektedir.
Veri sorumlusunun Kurumumuza verdiği bilgi, belge ve açıklamalardan, ilgili kişilerin pazarlama amacıyla işlenen kişisel verilerini açık rıza kapsamında, bunun dışında kalan kişisel verilerinin ise 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesi kapsamında 108 sayılı sözleşmenin 12 nci maddesine dayanılarak aktarıldığı anlaşılmıştır. Ancak, veri sorumlusu 108 sayılı sözleşme kapsamında aktarım yaptığını ifade ederken ilgili dış kaynak firmaya aktarım yapılabilmesine ilişkin taahhütname hazırlandığına/hazırlanacağına dair herhangi bir bilgiyi Kurula sunmamıştır. Kurum kayıtlarında da veri sorumlusu tarafından Karar tarihi itibariyle taahhütnameye ilişkin herhangi bir başvuruya rastlanmamıştır.
Sonuç itibariyle, veri sorumlusu tarafından gerek açık rızanın usulüne uygun ayrı bir metin olarak düzenlenmemiş olması gerek yurt dışına aktarım yapılacağının ilgili kişilere açık ve anlaşılır şekilde beyan edilmemiş olması; öte yandan açık rıza dışındaki işleme şartlarına bağlı olarak gerçekleşecek yurt dışına aktarımlarda ise veri sorumlusu tarafından meşru menfaate ilişkin denge testinin yapılmamış olması ve aktarım yapılan ilgili firma ile yazılı taahhütname yapılarak Kurulun izni alınmak üzere taahhütnamenin bir örneğinin Kurumumuza iletilmemiş olması sebepleriyle, bahse konu aktarımın Kanunun 9 uncu maddesinde belirtilen şartları sağlamadığı dolayısıyla hukuka aykırı bir veri işlemenin mevcut olduğu kanaatine varılmıştır.
6. Diğer taraftan, Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7 nci maddesinde, “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmü yer almaktadır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7 nci maddesinde de Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerektiği düzenlemesine yer verilmektedir.
Bu kapsamda, veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza alınmamış olduğu, açık rıza dışındaki işleme şartlarından ise geçerli bir meşru menfaatin bulunduğuna dair denge testinin yapılmamış olduğu, bununla birlikte yurt dışına aktarımda Kanunun 9 uncu maddesine uygun olarak taahhütname hazırlanmamış ve Kurulun izni alınmak üzere Kurumumuza iletilmemiş olduğu dolayısıyla yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından, veri sorumlusunun yurt dışına veri aktarımında geçerli bir hukuki işleme şartının bulunmaması sebebiyle Kanunun 7 nci maddesinin (1) numaralı fıkrası ve ilgili Yönetmelik uyarınca, bu kişisel verilerin silinmesi veya yok edilmesi gerektiği kanaatine varılmıştır.
7. Öte yandan, bilindiği üzere Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesi, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları” konusunda bilgi vermekle yükümlü olduğunu içermektedir. “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” de de (Aydınlatma Tebliği) veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esaslar belirlenmiştir.
Resen incelemeye konu olayda, veri sorumlusunun açık rıza alımında 2018 yılından itibaren güncellenmiş Aydınlatma Metni ve Rıza Metnini kullandığı görülmüş olup bahse konu metnin incelenmesi neticesinde;
Aydınlatma metninin Kanunun 10 uncu maddesi ve Aydınlatma Tebliğinde belirtilen detayda düzenlenmediği,
Aydınlatma Tebliği’nin 5 inci maddesinin (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Veri sorumlusunun açık rıza şartına dayalı olarak gerçekleştirilecek veri işleme faaliyetinin, aydınlatma metninin içerisinde ayrı bir başlık altında ancak aydınlatma metni ile birlikte düzenlenmiş olduğu görüldüğünden, söz konusu uygulamanın Tebliğ’in 5 inci maddesine aykırılık oluşturduğu,
Aydınlatma Tebliği’nin 5 inci maddesinin (h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir” hükmüne yer verilmiştir. Veri sorumlusunun düzenlediği aydınlatma metninde ise kişisel verilerin toplanmasının hukuki gerekçesinin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartları olduğu şeklinde genel nitelikte ifadeye yer verildiği ancak bahse konu hukuki gerekçenin Tebliğ’de belirtildiği üzere Kanunun 5 inci ve 6 ncı maddelerindeki işleme şartlarından hangisine dayandığının açıkça belirtilmediği,
Aydınlatma Tebliği’nin anılan maddesinin (j) bendinde; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmüne yer verilmiştir. Veri sorumlusunun aydınlatma metninde ise, kişisel verilerin ticari ileti gönderilmesi için hizmet alınan üçüncü kişilerle paylaşılması amaçlarıyla açık rıza kapsamında işleneceğine yer verilmiş olduğu ancak bahsedilen üçüncü kişinin yurtdışında bulunan … isimli firma olduğundan bahsedilmediği, diğer bir ifadeyle bu verilerin yurt dışına aktarılacağına ilişkin açıklamaya yer verilmediği, kişisel verilerin yurtdışına aktarılmasına ilişkin eksik ve yanıltıcı bilgi verilmesi sebebiyle, ilgili kişinin neye rıza gösterdiği ve rızasının sonuçları hakkında tam bir bilgi sahibi olamadığı,
Aydınlatma Tebliği’nin anılan maddesinin (a) bendinde; “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.”, (f) bendinde ise; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükümlerine yer verilmiştir. Ancak, veri sorumlusunun aydınlatma metni ve açık rıza alınmasını tek metinde düzenlediği dolayısıyla ilgili kişiye tercihte bulunma seçeneğini sunmadığı
Anlaşıldığından veri sorumlusunun Aydınlatma Tebliği’ne uyumda da yeterli dikkat ve özeni göstermediği kanaatine varılmıştır.
Sonuç itibariyle;
1. Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak yurtdışına veri aktarımı konusunu düzenleyen Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği, dolayısı ile gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,
2. Öte yandan, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7 inci maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimat andırılmasına,
3. Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10 uncu maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına
karar verilmiştir.
Komentar