Kişisel Verileri Koruma Kurumunun internet sayfasında Kişisel Verileri Koruma Kurulunun (“Kurul”) 2020/559 sayılı kararının özeti yayımlanmıştır. Özete buradan ulaşabilirsiniz.
İlgili karar özetlerinin incelenmesi sonucunda, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) uygulanmasına ilişkin olarak, Kurulun aşağıdaki ilkeleri benimsediği anlaşılmaktadır.
22.07.2020 tarihli ve 2020/559 sayılı karar / 108 sayılı Sözleşme dayanak gösterilerek kişisel verilerin yurt dışına aktarılması hakkında:
KVKK madde 5 (kişisel verilerin işlenme şartları) uyarınca, açık rıza aranmaksızın veri işleme şartlarından biri “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hâlidir. Meşru menfaatin hukuki dayanak olarak uygulanması için Kurula göre iki aşamalı bir teste tâbi tutulması gerekmektedir. Şöyle ki, öncelikle veri sorumlusunun veriyi işlemekte meşru menfaatinin olup olmadığı ardından da bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediği incelenmelidir. Kararda incelenen veri sorumlusu kişisel verilerin yurt dışına aktarılmasında meşru menfaati dayanak göstermekle beraber menfaatler arasında Kurulun öngördüğü böyle bir denge testi uygulamamıştır. Dolayısıyla Kurul yurt dışına aktarım yoluyla veri işlenmesinde geçerli bir meşru menfaatin bulunmadığına karar vermiştir.
KVKK madde 3’te (tanımlar) açık rızayı üç temel unsuruyla beraber tanımlamıştır. Bu unsurlar açık rızanın özgür irade ile açıklanması, belirli bir konuya ilişkin olması ve bilgilendirmeye dayanmasıdır. Farklı veri kategorilerindeki verilerin işlenmesi için açık rıza şartına başvurulacağındaysa açık rıza metninde hangi verinin hangi amaçla işleneceği belirtilmelidir. Veri kullanımı dışında, kişisel verilerin yurt dışına aktarımı gibi ikincil işlemler bakımından da veri sorumlusunun ayrıca açık rıza alması şarttır. Ancak unutulmamalıdır ki işleme faaliyeti KVKK’da sayılan açık rıza dışındaki hallere dayanıyorsa, ilgili kişiden ayrıca açık rıza alınmasına gerek yoktur. Kararda, inceleme altındaki veri sorumlusu savunmasında meşru menfaate dayanmakla beraber, aydınlatma metninde ilgili kişilerin verilerini açık rızayla işlediğini yazmıştır. Kurul önceki kararlarında olduğu gibi, bu kararında da kişisel verilerin açık rıza dışında bir hukuki dayanarak ile işlenmesi mümkünken açık rıza şartına dayandırılmasını aldatıcı ve hakkın kötüye kullanımı niteliğinde bulmuştur. Ayrıca aydınlatma metninde de açık rıza metninde de pazarlama amaçlı ticari ileti verilmesine dair onay alırken ilgili kişinin verilerinin yurt dışına aktarılacağı hususuna yer vermemiştir. Netice itibarıyla Kurul, kişisel verilerin açık rıza kapsamında mı yoksa meşru menfaat kapsamında mı işlendiğinin açıkça belirtilmediğine karar vermiştir.
KVKK 9. maddesinde (yurt dışına veri aktarımı) kişisel verilerin yurt dışına aktarımında temel kuralın açık rızanın varlığı olduğu düzenlenmiştir. KVKK 5. maddesi 2. fıkrasında belirtilen açık rızaya gerek olmayan hallerden biri söz konusu olduğunda veri aktarımı yapılacak ülkede yeterli korumanın bulunması yeterlidir. Yeterli korumanın bulunduğu ülkelerin KVKK 9. maddesinin 3. fıkrası gereği Kurulca belirlenerek ilan edilmesi gerekmektedir. Ancak Kurul henüz yeterli korumanın bulunduğu ülkeleri ilan etmemiştir. Veri aktarımı yapılacak ülkenin yeterli korumanın bulunduğu bir ülke olmaması durumunda Türkiye’deki ve verilerin aktarılacağı ülkedeki veri sorumluları arasında yazılı bir taahhütname imzalanması ve Kurulun aktarım için izninin bulunması gerekmektedir. Kurulun incelemesi altındaki veri sorumlusunun, ilgili kişilerin verilerini, sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına aktardığı ortaya çıkmıştır. İnceleme altındaki veri sorumlusu savunmasında, verilerin yurt dışına aktarımında hukuki dayanağın meşru menfaat olduğunu belirtmiştir. Daha önce açıklandığı üzere meşru menfaat gibi açık rıza dışında kalan hallerde yurt dışına veri aktarımı için gerekli bir diğer şart da aktarım yapılacak ülkenin yeterli korumaya sahip bir ülke olmasıdır. Veri sorumlusu, savunmasında, bu hususa dayanak olarak 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ni (“Sözleşme”) göstermiştir. Zira, Türkiye Cumhuriyeti Anayasası 90. maddesi gereği usulüne uygun olarak yürürlüğe girmiş sözleşmeler kanun hükmündedir. Hatta Sözleşme anayasal bir hak olan özel hayatın gizliliği hakkında olduğundan yine Anayasa’nın 90. maddesi gereği öncelikle uygulanacaktır. Veri sorumlusunun savunmasının bir diğer gerekçesi ise KVKK 9. maddesinde yeterli koruma bulunan ülkelere karar verilmesi kriterlerinde en başta Türkiye’nin taraf olduğu uluslararası sözleşmelerin değerlendirileceğinin düzenlenmiş olmasıdır. Kurul da veri sorumlusunun 9. maddeye ilişkin gerekçesinde 90. maddeye ilişkin tespitlerini haklı görmüş ve Sözleşme’nin de değerlendirmeye alınacağına katılmıştır. Ancak Kurul, kararında, Sözleşme’nin 12. maddesinin 3. fıkrasında kişisel verilerin sınırlar ötesi transferinde taraf devletlerin kişisel veri dosyaları için ulusal mevzuatlarında sınırlama getirebileceği düzenlendiğinden salt Türkiye’nin Sözleşme tarafı olması nedeniyle Sözleşme’ye taraf diğer ülkelerin yeterli korumaya sahip ülke olarak değerlendirilemeyeceğini öne sürmüştür. Nitekim, 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor ’da (“Açıklayıcı Rapor”) da 108 sayılı Sözleşme’nin amaçlarından birinin de taraf devletler arasında veri akışının kolaylaştırılması olduğu, ancak taraf devletlerin yurt dışı veri aktarımını bildirime tâbi kılma haklarının ve aktarımı sınırlandırmaya veya yasaklamaya yönelik kendi iç hukuklarında düzenlemeler yapma haklarının saklı olduğunun altı çizilmiştir. Açıklayıcı Rapor’da “108 sayılı Sözleşmeye taraf ülkeleri yeterli korumaya sahip ülke olarak değerlendirilmediğini; Sözleşme’ye taraf olmanın yalnızca ülkeleri yeterlilik bakımından değerlendirirken dikkate alacağı bir faktör olduğunu” ifadelerinin yer aldığı belirtmiştir. Yukarıda da belirtildiği üzere, yeterli korumanın bulunduğu ülkeler Kurul tarafından henüz ilan edilmemiştir. Sonuç olarak, Kurula göre, bugün itibariyle, açık rıza olmaksızın yurt dışına veri aktarılabilmesi için, kişisel veri işlenmesi için açık rızaya gerek olmayan hallerden birinin mevcut olması, Türkiye’deki ve yurt dışındaki ilgili veri sorumlularınca yazılı koruma taahhütnamesini verilmesi ve Kurul tarafından aktarım iznini verilmesi şartlarının birlikte bulunması gerekir.
KVKK 7. maddesi (kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi) uyarınca geçerli bir işleme sebebi olmayan kişisel verilerin veri sorumlusu tarafından silinmesi yok edilmesi ya da anonim hale getirilmesi gerekmektedir. Daha önce de belirtildiği üzere veri sorumlusu yurt dışına veri aktarımı için geçerli bir açık rıza almamış, meşru menfaat hukuki dayanağına başvurmak için de denge testi yapmamıştır; bu durumda veriler hukuka aykırı işlenmiş bulunmaktadır. Yurt dışına veri aktarımında geçerli bir hukuki dayanak bulunmadığından hukuka aykırı işlendiği sonucuna varılan kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi gerektiğine karar verilmiştir.
KVKK 10. maddesi (veri sorumlusunun aydınlatma yükümlülüğü) ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de (“Aydınlatma Tebliği”) açıklandığı üzere veri sorumlusunun kişisel verileri işlemek için öncelikle ilgili kişiyi aydınlatması gerekmektedir. Bu aydınlatmada bulunması gereken belli başlı unsurlar 10. maddede ve Aydınlatma Tebliği’nde düzenlenmiştir. Bu bağlamda veri sorumlusu: “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları” konularında bilgi vermekle yükümlüdür. İnceleme altındaki veri sorumlusunun aydınlatma metni incelendiğinde, Kurul, ilgili metnin Aydınlatma Tebliği’ndeki ve 10. maddedeki esaslarla uyumlu olmadığı, gerekli unsurları bulundurmadığına karar vermiştir. Özellikle veri sorumlusunun aydınlatma metninin eksik bilgi vermesi nedeniyle ilgili kişinin tam anlamıyla aydınlatılamadığı ve buna bağlı olarak neye rıza gösterdiği ile rızasının hüküm ve sonuçlarına dair tam anlamıyla bilgi sahibi olamaması Kurul’un gerekçesinde önemli bir noktadır. Ayrıca Aydınlatma Tebliğinde veri işlemenin açık rıza şartına bağlandığı durumlarda aydınlatma yükümlülüğü ile açık rıza alınmasının mutlaka ayrı ayrı yerine getirilmesi gerektiği düzenlendiği hâlde veri sorumlusu aydınlatma metni ile açık rıza metnini aynı metinde düzenleyerek Aydınlatma Tebliği’ndeki esaslara riayet etmemiştir. Sonuç olarak, Kurul, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirirken gerekli dikkat ve özeni göstermediğine karar vermiştir.
İlgili kararda:
KVKK madde 9 (yurtdışına veri aktarımı) hükmüne aykırılık nedeniyle kişisel veriler hukuka aykırı işlendiğinden 900.000 TL idari para cezası uygulanmasına,
Hukuka aykırı olarak yurt dışına aktarılan verilerin KVKK madde 7 (kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi) uyarınca yok edilmesi/silinmesine ve bu husustan Kurulun haberdar edilmesine,
Veri sorumlusu tarafından KVKK madde 10’a (veri sorumlusunun aydınlatma yükümlülüğü) ve Aydınlatma Tebliği’ne uygun bir aydınlatma metninin hazırlanmasına ve veri sorumlusunun açık rıza alma ve aydınlatma işlemlerini ayrı ayrı yerine getirmesi yönünde harekete geçmesine,
karar verilmiştir.