İlgili Mevzuat

Bilindiği üzere kişisel verilerin korunması tüm dünyada olduğu gibi ülkemizde de temel hak ve özgürlükler kapsamında değerlendirilmekte ve korunması noktasında caydırıcı hukuki önlemler alınmaktadır. Kişisel verilerin alınması, işlenmesi, yok edilmesi yahut anonimleştirilmesi süreçlerinin yurt içerisinde gerçekleşmesi olağan olmakla birlikte; zaman zaman veri sorumluları tarafından verilerin ulusal sınırların ötesine transferi gerekliliği de doğabilmektedir. Bu noktada verilerin yurt dışına aktarımı söz konusu olduğunda 6698 sayılı Kişisel Verilerin Korunması Kanunun (“KVKK”) 9. Maddesi ve bu maddenin işaret etmiş olduğu aynı kanunun m. 5/2, m. 6/3. hükümleri, 1981 yılında imzalanan fakat 2016 yılında yürürlüğe girmiş olan 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Şahısların Korunmasına Dair Sözleşme’nin “Kişisel Verilerin Sınır Ötesi Akışı ve İç Hukuk” başlıklı 12. Maddesi ve ardından bu sözleşmeye ek 181 No’lu Denetleyici Makamlar Ve Sınır Aşan Veri Akışına İlişkin Protokol özel olarak önem arz etmektedir.

6698 Sayılı Kanun Kapsamında Yurtdışına Veri Aktarımında Aranan Şartlar

Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;

• İlgili kişinin açık rızasının bulunması,
• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler),
• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.

Mevzuata uygun bir şekilde KVKK’nın 4. maddesinde belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin 9. madde hükmü uyarınca ilgili kişisinin açık rızası alınmak suretiyle yurt dışına aktarılabileceği hükme bağlanmıştır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınması öngörülmektedir.

Yeterli korumanın bulunduğu ülkelerin, Kurul tarafından ilan edileceği düzenlenmiş fakat henüz güvenli ülkelere dair bir açıklama yapılmamıştır. Yine Kurul’un 27/02/2020 tarihli Amazon kararında da görüleceği üzere, Kurum henüz hiçbir veri sorumlusunun yurtdışında veri aktardığı kişi/lerle imza ettikleri protokolleri/taahhütnameleri onaylamamıştır.

Ayrıca, uluslararası sözleşme hükümleri saklı kalmak kaydıyla Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, kişisel verilerin ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izni ile yurt dışına aktarılması öngörülmektedir.

Kanun’un 9. maddesinde Kurul’a, Türkiye’den yurt dışına yapılacak olan veri aktarımlarında Türkiye Cumhuriyeti’nin veya ilgili kişinin menfaatlerinin ciddi bir şekilde zarar görme ihtimali olduğunun tespit edilmesi halinde, bu veri aktarımını onaylama veya yasaklama imkânı verilmiştir. Dolayısıyla Türkiye Cumhuriyeti’nin veya ilgili kişinin menfaatlerinin ciddi bir şekilde zarar görme ihtimali olması halinde, Türkiye’den yurtdışına yapılacak tüm veri aktarımları gerekli görüldüğü takdirde Kurul’un onayına tabi olabilecektir. Ancak Türkiye’nin tarafı olduğu uluslararası anlaşmaların kapsamına giren durumlarda söz konusu onay mekanizması uygulanmayacaktır. Bu kapsamda, Kanun hükümleri doğrultusunda kişisel veriler yurtdışına aktarılabilecek iken, Türkiye Cumhuriyeti’nin veya ilgili kişinin menfaatlerinin ciddi şekilde zarar görme ihtimali olduğu durumlarda veri aktarımları ilgili kamu kurum ve kuruluşlarının görüşü alınmak sureti ile Kurulun iznine tabi tutulmuştur.

108 Sayılı Sözleşme Bakımından Değerlendirme

108 sayılı sözleşme bakımından değerlendirmeyi ise Kurulun yurt dışına veri aktarımı konusunda vermiş olduğu 22.07.2020 tarih ve 2020/559 sayılı dikkat çekici karar çerçevesinde incelemek daha doğru olacaktır. Söz konusu karara konu olayda veri sorumlusunun dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullandığı, söz konusu yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşteri verilerini sunucuları Avrupa Birliği üyesi bir ülkede bulunan, bulut veri tabanına aktardığı anlaşılmıştır. Bunun üzerine ilgili kişinin şikâyeti sonucu Kurul tarafından söz konusu olay hakkında inceleme başlatılmıştır.

Veri sorumlusu savunmasında söz konusu veri aktarımına dayanak olarak; hukuki gerekçeler (6698 sayılı Kanunun 9. maddesinin (5) ve (6) numaralı fıkraları ile 108 sayılı Sözleşmenin 12. maddesi) kapsamında 6698 sayılı Kanunun m. 9/2’de yapmış olduğu atıf ile m. 5/2’nin (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükümlerini göstermiştir.

Kurul ise yaptığı inceleme sonucunda sadece açık rıza dışındaki işleme şartlarından olan ‘meşru menfaat’ istisnasına dayanmayı yeterli görmemiş ve veri sorumlusunun geçerli meşru menfaatinin bulunduğuna dair kişilerin temel hak ve özgürlüklerini de göz önünde bulundurarak bir denge testini yapmamış olduğunu ileri sürerek buna ilişkin savunmayı reddetmiştir.

Kurul aynı zamanda veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza alınmamış olması ve bununla birlikte yurt dışına aktarımda Kanunun 9. maddesine uygun olarak taahhütname hazırlanmaması sebebiyle söz konusu kişisel verilerin silinmesi veya yok edilmesi gerektiği kanaatine varmıştır.

Tüm bunların yanında asıl dikkat çekici nokta ise Kurulun bu kararla 108 sayılı sözleşmenin 12. maddesinin 2. fıkrasının uygulanmasına ilişkin geliştirmiş olduğu içtihattır. Söz konusu madde hükmü gereği;

“Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.”

Her ne kadar veri sorumlusu bu hükme dayanmış olsa da Kurul; Sözleşmeye ilişkin açıklayıcı raporu ve Avrupa Birliği uygulamasını da göz önünde tutarak 108 sayılı Sözleşmeye taraf olmanın 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığını ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceğini ifade etmiştir. Kurul, gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği sebepleriyle tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına karar vermiştir.

Sonuç olarak, yukarıda bahsetmiş olduğumuz hususlar, yurtdışına veri aktarımı sağlayan veri sorumluları bakımından büyük önem arz etmekte olup bu konuda mevzuatın getirmiş olduğu sıkı şartlara uyulmasının önemini bir kez daha vurgulamak gerekmektedir. Zira, KVK Kurumu yurtdışına veri aktarımı hususunda veri sorumlularına hiçbir şekilde tolerans göstermemekte olup hatta idari para cezalarını üst sınırdan uygulama eğilimindedir. Ancak Kurum her ne kadar yurtdışına aktarım konusunda veri sorumlularına karşı rijit bir tavır sergiliyorsa hala KVKK 9.maddesi kapsamında ilan edilmesi beklenen güvenli ülkeler listesini yayınlamamıştır. Bu durum, KVKK’ya uygunluk noktasında birçok veri sorumlusunu mağdur etmektedir. Mağduriyetin önlenmesi ve yurtdışına aktarımda Kanuna aykırı açık rıza alınmasının önüne geçilmesi için Kurum’un güvenli ülkeler listesini ivedi bir şekilde açıklaması gerekmektedir.