Uluslararası Veri Transferi, KVKK

Kişisel Verileri Koruma Kurulu, kısa bir süre önce yeni bir karar açıklayarak başta yurtdışındaki iştiraklerine kişisel veri aktarımı sebebiyle olmak üzere kişisel verilerin korunması ve e-ticaret mevzuatı ihlalleri ve yurtdışına yasadışı kişisel veri aktarımı nedeniyle Amazon Türkiye’ye 1.100.000 TL ceza verdi. Bu kararla, bundan böyle Türkiye’de veri aktarımının ciddi sonuçlar doğurabileceği anlaşılmaktadır ve bu sonuçları daha iyi anlayabilmek için öncelikle bu karara zemin hazırlayan olayları incelememiz gerekiyor.

Genel Açıklamalar

 Türkiye’de Kişisel Verilerin Korunması

Teknoloji şirketlerinin içerik pazarlamada hâkim ve büyük bir güç olduğu ve verinin yeni altın olarak kabul edildiği globalleşen ekonomide, uluslararası veri aktarımının kısıtlanması ve izlenmesi giderek daha çok önem kazanıyor ve Kişisel Verileri Koruma Kurulunun (KVK Kurulu) Amazon Türkiye hakkında verdiği karar bu önemin somut bir kanıtı. Bu noktada Türkiye, veri koruma söz konusu olduğunda Avrupa ile benzer bir tutum sergiliyor ve esasen Genel Veri Koruma Yönetmeliğinin (GDPR) Türk versiyonu olan 6698 sayılı Kişisel Verilerin Korunması Kanununu (KVKK) uyguluyor.

Kişisel Verilerin Üçüncü Taraflara Aktarımı

Üçüncü taraflara kişisel veri aktarımı, (tıpkı GDPR hükümleri kapsamında olduğu gibi) KVKK kapsamında oldukça sıkı kontrollere tabidir. KVKK’nın 6. Maddesinde açıkça belirtildiği üzere veri sorumluları,  veri sahiplerinin açık rızası olmadan kişisel verileri üçüncü taraflara aktaramaz ancak Madde 5/2 ve 6/3’te belirtilen istisnai durumlar bu yasaktan muaftır. 9. Maddeye göre veri sahibinin yurtdışına veri aktarımına açıkça rıza gösterdiği haller hariç olmak üzere yurtdışına veri aktarımı yapmak yasaktır. Madde 9/2 bu yasağa bir istisna getirmektedir; Madde 5/2 ve 6/3’te belirtilen durumların söz olması halinde ve (i) “veri aktarılacağı yabancı ülkede yeterli korumanın bulunması” ya da (ii) “Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izinin bulunması” halinde veri sahibinin açık rızası olmadan yurtdışına veri aktarımı yapılabilmektedir.

 Veri Aktarımları ve Açık Rızanın Aranmadığı İstisnai Durumlar

Yukarıda belirttiğim gibi, ister yurtiçine ister yurtdışına olsun veri aktarımlarına ilişkin genel kural, öncelikle veri sahibinin açık rızasını almaktır. Ancak KVKK, hem kişisel veriler hem de özel nitelikli kişisel veriler söz konusu olduğunda bu rıza şartına ilişkin istisnai durumlar belirlemiş ve sırasıyla Madde 5/2 ve 6/3’te bu istisnai durumları ele almıştır. Madde 5/2’ye göre kişisel veriler, veri sahibinin açık rızası olmadan aşağıdaki durumlarda işlenebilir ve üçüncü taraflara aktarılabilir:

  1. Kanunlarda açıkça öngörülmesi/şart koşulması,
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin kendisinin hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmesinin kurulması, ifası ya da sözleşmede belirtilen hizmetlerin ifası için zorunlu olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmesi olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için verinin zorunlu olması ya da
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 Madde 6/3’e göre sağlık ve cinsel yaşamla ilgili veriler hariç olmak üzere özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmadan işlenebilir ve üçüncü taraflara aktarılabilir.

Yurtdışına Veri Aktarımı ve Yeterli Koruma Sorunu

Yurtdışına veri aktarımında açık rıza kuralının aranmayacağı istisnai durumlara ilişkin hükümler son derece açıktır; Madde 9/2 hükmüne göre, verinin aktarılacağı yabancı ülkede yeterli koruma sağlanabilmesi durumunda veri sahibinin açık rızası aranmadan yurtdışına veri transferi gerçekleştirilebilir. KVKK’nın GDPR’nin hemen hemen doğrudan tercümesi niteliğinde olduğunu düşünürsek, GDPR kurallarının geçerli olduğu bir ya da birkaç ülkeye gönderim yoluyla gerçekleştirilen tüm yurtdışı veri transferleri bu hüküm kapsamındadır ve bu sebeple, açık rıza şartından hariç tutulabilir.

Ne yazık ki durum tam olarak böyle değil. Burada sorun, aynı 9. Maddenin üçüncü bendinden kaynaklanıyor; bu maddeye göre, yeterli korumanın sağlandığı ülkeler KVK Kurulu tarafından tespit ve ilan edilecektir. KVK Kurulu henüz bu listeyi açıklamamış olduğundan Madde 9/2/a hükmü, GDPR kurallarının uygulandığı ülkeler dahil olmak üzere yurtdışına veri aktarımı için henüz kullanılabilecek bir istisna değildir.

Yurtdışına Veri Transferleri nedeniyle Amazon Türkiye hakkında verilen Kararın Özeti

 Amazon Türkiye aleyhine yapılan şikâyetler

Bu makalenin başında belirttiğim gibi, yasadışı veri işleme ve aktarımı iddiasıyla bir Amazon Türkiye kullanıcı tarafından yapılan şikâyet sonrasında Kişisel Verileri Koruma Kurulu,  yurtdışındaki iştiraklerine yasadışı yurtdışı veri aktarımı yapması ve de veri korumayla e-ticaret kanunlarına uymaması sebebiyle Amazon Türkiye’ye 1.100.000 TL ceza kesti. Bu şikayette yer alan en büyük iddialardan biri şuydu; Amazon Türkiye’nin Gizlilik Bildirimde “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildiriminde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Amerika Birleşik Devletleri’ne aktarabiliriz” ifadesi yer almaktadır ve şikayette de belirtildiği gibi,  söz konusu uluslararası aktarımlar için veri sahibinin açık rızasını almak yerine Amazon Türkiye’nin verilerin yurtdışına aktarılabileceğine dair sadece bir bildirim yapılması nedeniyle söz konusu ifade, KVKK hükümlerini ihlal etmektedir.

KVKK’nın Yurtdışına Veri Aktarımları Nedeniyle Verdiği Amazon Türkiye Kararı

Bu şikayet sonrasında KVK Kurulu, Amazon Türkiye hakkında bir inceleme başlattı ve yurtdışına veri aktarımları için veri sahiplerinin açık rızasını gerçekten almadığını ancak bunun yerine veri sahiplerine üçüncü taraflarla verilerinin paylaşılmasına izin vermeme ya da paylaşmaktan vazgeçme hakkı tanıdığını tespit etti. Bu “vazgeçme” mekanizmasının KVKK hükümlerine aykırı olduğuna hükmedildi çünkü kanun, yurtdışına yapılacak veri aktarımları için veri sahiplerinin açık rızası alınmasını net bir şekilde şart koşmaktadır. Bu sebeple, veri sahiplerinin bu aktarımı kabul ettiğinin varsayılıp onlara vazgeçme hakkı tanınması yerine veri sahiplerinin söz konusu aktarımlara açıkça “karar vermesi” gerekmektedir.

Amazon Türkiye’nin önceden veri sahiplerinin açık rızasını almamış olması sebebiyle Amazon Türkiye’nin Türkiye’de yurtdışı veri aktarımlarını yasal bir şekilde yapabilmesinin tek yolu, söz konusu aktarımların KVKK Madde 9/2 kapsamındaki istisnalara dahil olduğunu ileri sürmektir. Ancak, yukarıda açıklandığı üzere, yurtdışına veri aktarımlarına ilişkin istisnalar ancak verinin aktarılacağı yabancı ülkede yeterli koruma olması halinde geçerli olacaktır ve Madde 9/3 hükmüne göre KVK Kurulu, hangi ülkelerin yeterli seviyede koruma verdiğini tespit etmeye yetkilidir.  Daha önce belirttiğim gibi buradaki sorun, KVK Kurulunun henüz istisna kapsamındaki ülkeler listesini yayınlamamış olması ve söz konusu listenin mevcut olmaması sebebiyle yeterli koruma sağlayan ülkeler için uygulanan bu istisnanın, GDPR kurallarının geçerli olduğunu AB ülkeleri dahil olmak üzere hiçbir ülkeyi henüz kapsamaması.

Amazon Türkiye’nin söz konusu bu “yeterli koruma” istisnasından yararlanamadığı düşünülürse geriye Madde 9/3 kapsamındaki nihai istisna seçeneği kalıyor; bu hükme göre, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının KVK Kuruluna yazılı taahhütname vermesi ve Kurulun bu aktarımı onaylaması halinde yeterli korumanın olmadığı ülkelere önceden açık rıza almadan veri aktarımı işlemi gerçekleştirilebilir. Burada belirtilmesi gereken husus, Amazon’un esasen söz konusu istisnadan yararlanmak için Kurula böyle bir taahhütname vermiş olmasıdır. Ancak bu şikayetin yapıldığı ve kararın verildiği tarihte Amazon’un taahhütnamesi ve istisna başvurusu halen KVK Kurulunca değerlendirilmekteydi ve de Kurulun nihai kararıyla onayı beklenmekteydi. Madde 9/3 hükmü, bu istisnanın ancak bir taahhütname verilmesi VE KVK Kurulunun aktarımları onaylaması halinde geçerli olacağını açıkça ifade eder; KVK Kurulunun Amazon Türkiye tarafından yapılan istisna başvurusunu hiçbir tarihte onaylamadığı göz önünde bulunduran KVK Kurulu, Amazon Türkiye tarafından yapılan söz konusu yurtdışına veri aktarımı işlemlerinin KVKK hükümlerine aykırı olduğuna karar vermiştir.

Amazon Türkiye için Verilen Kararın Gelecekteki Yurtdışına Veri Aktarımlarına Etkisi

KVK Kurulu tarafından Amazon Türkiye için verilen ceza kararı büyük tartışmalara yol açtı. Bu tartışmanın sebebi Amazon Türkiye’nin AB ülkelerine kişisel veri aktarımı yapmakta olması; bu ülkeler halihazırda GDPR kurallarına tabi olduklarından yeterli korumanın söz konusu olduğu ülkeler olarak kabul edilmeli ve Amazon Türkiye, Madde 9/3 kapsamındaki ikinci istisnadan yararlanmak için gerekli taahhütnameleri Kurula zaten sunmuştur.

Karara itirazların sebebini anlayabiliyor olsak da istisnalara ilişkin kanun hükümleri son derece açık ve şeffaf. KVKK hükümlerinin açıkça ifade ettiği üzere yurtdışına veri aktarımlarına ilişkin istisnalar, sadece verinin aktarıldığı ülkenin yeterli seviyede koruma (Kurul tarafından karar verilecek şekilde) sağladığı hallerde geçerli olacaktır ya da yeterli korumanın söz konusu olmaması halinde bir taahhütname verilmelidir ve Kurul bu aktarımı onaylamalıdır. İstisnanın geçerli olduğu ülkeler listesi henüz Kurul tarafından yayınlanmadığı için yurtdışına veri aktarımı istisnalarından yararlanmanın tek yolu,  kurula bir taahhütname sunmak ve Kurulun bu aktarımları onaylamasını beklemektir. Amazon bir taahhütname vermiş olsa da başvurunun işleme alınmasını ve Kurulun onayını beklememiştir ve veri sahiplerinin açık rızasını almadan yurtdışına veri aktarımları yapmaya devam etmiştir.

Bu noktadan bakıldığında KVK Kurulunun duruşu son derece nettir; veri sorumluları, açık rıza almadan yurtdışına veri aktarımları yapmak istiyorsa ya istisnaya tabi ülkeler listesinin yayınlanmasını beklemelidirler ya da bir taahhütname vererek Kurul onayını beklemelidirler. Aksi halde tüm veri sorumlularının, yurtdışına veri aktarımı işlemi yapmadan veri sorumlularından açık rıza alması KVKK hükümlerince şart koşulmaktadır.

CategoryTüm Makaleler
© 2020 ASY LEGAL Law Office. All rights reserved.
logo-footer