Konu: Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında” Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Karar Değerlendirilmesi

Tarih: 27/07/2020


Kişisel Verileri Koruma Kurulu (“Kurul”), Kişisel Verileri Koruma Kanunu’na (“KVKK”) uymadığı gerekçesiyle Otomotiv sektöründe faaliyet gösteren bir veri sorumlusunun 900.000,00.-TL idari para cezası ceza ödemesine, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin KVKK’nın 7.  maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurul’a bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve veri sorumlusunun, aydınlatma metnini KVKK’nın 10. maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (“Tebliğ”) 5.  maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına karar vermiştir. 

 

Kurul, kararında dört farklı ihlal çerçevesinde değerlendirme yapmıştır. 

  • Müşterilere Gönderilen Elektronik Ticari İleti İçin Açık Rıza Alınmaması

 

Elektronik ticari ileti gönderilmesine ilişkin olarak hukukumuzda özel bir düzenleme bulunmaktadır. Bu düzenleme Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu‘dur. Diğer yandan bu Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da hüküm bulunmayan hallerde KVKK uygulanacaktır. 

 

KVKK yönünden temel prensip kişisel verilerin bir hukuka uygunluk sebebinin varlığı halinde işlenmesidir. Bu kapsamda kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet KVKK’da belirtilen açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmesi gerekecektir.

 

KVKK’nın 5. Maddesinin 2. fıkrasının f bendinde belirtildiği üzere “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuka uygunluk nedenleri arasında sayılmıştır.

 

Kurul, somut olayda KVKK’nın 5. Maddesinin 2. fıkrasının f bendinin uygulanabilmesi için 2 aşamalı bir işlem gerçekleştirmiştir. Bunlardan ilki, veri sorumlusunun meşru menfaatinin varlığı ve ikinci olarak ise, bu meşru menfaatin kişisel verisi kullanılan ilgili kişinin temel hak ve özgürlüklerine ilişkin bir ihlal içerip içermediğinin belirlenmesidir. Otomotiv sektöründe faaliyet gösteren veri sorumlusu, yurt dışına aktarılan kişisel veriler açısından meşru menfaatin ne olduğunu ve bu menfaat ile kişisel verileri aktarılan ilgili kişilerin temel hak ve özgürlükleri arasındaki bağlantıya ilişkin bir açıklamaya yer vermediği için Kurul, Otomotiv sektöründe faaliyet gösteren veri sorumlusunun yurt dışına aktarmak üzere ilgililerin kişisel verilerini işlemesinde geçerli bir meşru menfaatin bulunmadığına karar vermiştir.

 

Buna ek olarak, eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekmektedir. Bununla birlikte, kişisel veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, ilgili kişiden açık rıza alınması yoluna gidilmeyecektir. Nitekim, veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.

 

Veri sorumlusu Kurul’a verdiği savunma yazısında kişisel verilerin işlenmesinin hukuki dayanağı olarak ‘ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’ şeklinde belirtmiş ancak, veri sorumlusu Otomotiv Firmasının ilgili kişilere sunduğu aydınlatma ve rıza metninde ‘ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında işlenebilecektir.’  şeklinde belirtilmiş olup, kişisel verilerin işlenmesinin yalnızca ilgili kişilerinin iznine tabi tutmuştur.

 

Savunma yazısının devamında veri sorumlusu Otomotiv Firmasının bu kişisel verilerin yurtdışına aktarılmasının dayanağı olarak KVKK’nın 5. maddesinin 2. fıkrası gösterilmiştir. Pazarlama iletişimine izin vermiş kişisel veri sahiplerine e posta ve sms bildirimi yapılabilmesi için Avrupa Birliği üye ülkesinde bulunan bir bulut veri tabanında toplandığı belirtilmiştir. Ancak, ilgili veri sorumlusunun müşterilerine sunduğu aydınlatma metninde kişisel verilerin bir bulut sisteminde toplanılacağı ve bu kapsamda yurtdışında bulunan bir firmaya aktarılacağına ilişkin bir bilgi bulunmamaktadır. Bu kapsamda, ilgili kişilerden alınan açık rızanın meşru menfaatler kapsamında mı alındığı açıkça belirtilmemiştir.

 

  1. Kişisel Verilerin Yurt Dışında Aktarılması Bakımından 108 Sayılı Sözleşme Kapsamında Değerlendirilmesi 

 

KVKK 9. Maddesi uyarınca, “(1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” 

 

Kurul, henüz verilerin korunmasında güvenilir ülke isimlerini açıklamamış olduğundan ötürü yurtdışına yapılacak olan veri aktarımlarında yeterli korumaya ilişkin taahhüt vermek veya aktarıma ilişkin açık rıza almak gerekmektedir. 

 

Veri sorumlusu vermiş olduğu savunmada, KVKK’nın 9. maddesinin gerekçesinde tüm Avrupa Birliği üye devletlerince kabul gören 108 sayılı Sözleşmeye (“Sözleşme”) taraf olduğumuzu ve Anayasa’nın 90. maddesi uyarınca bu anlaşmanın kanun hükmünde sayılması gerektiğini vurgulamıştır. Bu kapsamda, Sözleşme ve T.C. kanunları hükümleri arasında çıkan bir ihtilafta Sözleşme’nin esas alınması gerektiğini belirtmiştir. Savunmada, Sözleşme’de düzenlenen serbest aktarım ilkesi kapsamında bir sınırlamaya tabi olmaksızın veri aktarımının gerçekleşebileceğini belirtilmiştir. Kurul, Sözleşme’nin 12. maddesinin taraf ülkelerce yalnızca özel hayatın korunması sebebiyle diğer taraf ülkelere yapılacak kişisel veri aktarımlarını yasaklayamayacaklarını veya özel izin ile kısıtlayamayacaklarının düzenlediğini vurgulamıştır. Sözleşme’ye ilişkin yayımlanan Açıklayıcı Rapor’un (“Rapor”) asıl amacı, Sözleşme’ye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılmasıdır. Bununla birlikte, taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı öngörülmektedir. 

 

 Buna ek olarak Rapor’un 12. Maddesi kapsamda Kurul, ‘108 sayılı Sözleşmeye taraf olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirmediği ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde dikkate alacağı bir kriter olarak kabul ettiğini’ vurgulamıştır.

 

Rapor’da ayrıca sözleşmeye taraf ülkelerin iç hukukları kapsamında kişisel verilerin aktarımı ve kullanımına ilişkin bazı kısıtlamalar yapılabileceği düzenlenmiştir ve KVKK’nın bu kapsamda 108 sayılı Sözleşme ile uyumlu olduğunu Kurul tarafından belirtilmiştir.

 

Kurul, işbu kararında Sözleşme’yi Anayasa’nın 90. maddesi açısından değerlendirerek, “Doğrudan uygulanabilir olmayan daha soyut ve genel bir uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma teşkil etmeyeceği ve bu sebeple Anayasanın anılan hükmünün uygulama alanı bulmayacağı dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği değerlendirilmektedir.” şeklinde sonuca varmıştır.

 

Sözleşme’nin 4. maddesinde taraf ülkelere kendi iç hukukları kapsamında kişisel verilerin korunmasına ilişkin gerekli önlemleri alabilecekleri düzenlenmektedir. Bu bağlamdan hareketle Kurul, aslında Sözleşme’nin taraf ülkelerin iç hukukunda doğrudan hüküm ve sonuç doğurmadığı sonucuna varmıştır. Kurul, güvenli ülkelerin belirlenmesinde sadece Sözleşme’ye taraf olmanın yeterli olmadığını ancak işbu Sözleşme’nin güvenli ülkeler belirlenirken yapılacak incelemede olumlu bir unsur oluşturacağını belirtmiştir.

 

Veri sorumlusu Otomotiv Firmasının açıklamaları doğrultusunda, ilgili kişilerin kişisel verilerinin pazarlama maksadıyla açık rıza ile işlendiği ve pazarlama kapsamına girmeye haller bakımından ise, KVKK’nın 9. maddesinin 2. fıkrasının f bendinde yer alan meşru menfaat kapsamında Sözleşme’nin 12. maddesine dayanarak işlendiği tespit edilmiştir. Ancak, veri sorumlusu Sözleşme kapsamında aktarım yaptığını ifade ederken ilgili dış kaynak firmaya aktarım yapılabilmesine ilişkin taahhütname hazırlandığına/hazırlanacağına dair herhangi bir bilgiyi Kurul’a sunmamıştır.

 

Sonuç olarak Kurul, veri sorumlusu Otomotiv Firmasının açık rıza usulüne uygun bir metin düzenlememesi ve buna ek olarak ilgililere kişisel verilerinin yurt dışına aktarılacağına ilişkin açık beyanlarını almadığı ve yurt dışına aktarımlarda meşru menfaat dengesine ilişkin gerekli değerlendirmenin yapılmadığı ve aktarım yapılan yurt dışındaki Firma ile Kurul’un izni için yapılması gereken yazılı taahhütnamenin hazırlanmaması dolaysıyla KVKK’nın 9. maddesine aykırılık teşkil ettiği sonucuna varmıştır. 

 

  1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesinin İhlali

 

KVKK’nın 7. maddesi uyarınca; “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” hükmü yer almaktadır. Buna ek olarak, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik’in 7. Maddesinde de KVKK’nın 5. ve 6. maddesinde yer alan haller kapsamında bu kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir.

 

Veri sorumlusu Otomotiv Firmasının ilk olarak yurt dışına veri aktarımında usulüne uygun açık rıza almadığı, açık rıza alınmaması gereken hallerden biri olan meşru menfaat için gerekli denge testinin yapılmadığı ve son olarak yurt dışına aktarım için Kurul’a sunulmak üzere taahhütname hazırlanmamış ve kurulun onayına sunulmamıştır. Yukarda belirtilen bilgiler ışığında Kurul, veri sorumlusunun usulüne aykırı şekilde iletilen kişisel verilerin ilgili Kanun ve Yönetmelik çerçevesinde silinmesi veya yok edilmesi sonucuna varmıştır.

 

  1. Veri Sorumlusunun Aydınlatma Yükümlülüğünün İhlali

 

KVKK’nın 10. maddesi uyarınca “veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları” konusunda bilgi vermekle yükümlü olduğunu” belirtilmiştir.  Buna ek olarak, Aydınlatma Tebliği kapsamında da veri sorumlularının aydınlatma yükümlülükleri doğrultusunda uymaları gereken usul ve esaslar düzenlenmiştir.

 

Somut olayda, veri sorumlusu Otomotiv Firmasının 2018 yılından itibaren güncellenmiş Aydınlatma Metni ve Rıza Metnini açık rıza alımlarında kullandığı görülmüş ve ilgili metnin incelenmesinden sonra;

 

  • Aydınlatma metninin KVKK’nın 10. maddesi ve Aydınlatma Tebliğinde düzenlenen usulde hazırlanmadığı, 
  • Aydınlatma Tebliği’nin 5. Maddesinin a, j, f ve h fıkralarına aykırılık oluşturduğu,
  • KVKK’nın 5. ve 6. Maddelerine aykırılık oluşturduğu,

tespit edilmiştir.

 

  1. Hükmedilen Cezalar

 

Otomotiv Firması’nın ticari elektronik ileti gönderebilmek için usulüne uygun açık rıza almamış olması, KVKK’nın 9. maddesi uygun şekilde veri aktarımı gerçekleştirmediği, KVKK’nın  7. Maddesine göre silinmediği ve Aydınlatma metninin, KVKK’nın  10. Maddesi ve Aydınlatma Tebliğinin 5. Maddesine uyarınca aydınlatma metninin güncellenmesine karar verilmiştir.

 

  • KVKK m. 18’in ihlali nedeniyle 900.000,00.- TL;

 

Olmak üzere toplamda 900.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.

 

Saygılarımızla;

Av. Cenk Narter