Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam amaçlı gönderilen bir kısa mesaj hakkında ilgili kişinin şikâyeti üzerine Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 08.07.2019 tarihli ve 2019/203 sayılı Kararı ile veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarına saklaması ile ilgili olarak resen inceleme başlatılmıştır. Resen inceleme üzerine Kurul’un 22/07/2020 tarih ve 2020/559 sayılı Kararında aşağıdaki değerlendirmelere yer verilmiştir.
Veri sorumlusunun yurtdışındaki dış kaynak firmaya verilerin aktarmasındaki hukuki gerekçesi olarak gösterdiği veri sorumlusu olarak şirketin meşru menfaati için veri işlemenin zorunlu olması şartı Kurul tarafından geçerli bir meşru menfaatin bulunmaması sebebiyle reddedilmiştir.
Kurul, somut olayda kişisel verilerin yurtdışında bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediğinden veri aktarımının Kanun’un 5/2(f) hükmü kapsamında mı yoksa ilgililerin açık rızalarına istinaden mi gerçekleştirildiğinin anlaşılır olmadığı kanaatine varmıştır.
108 sayılı Sözleşmeye ilişkin Değerlendirme
Veri sorumlusunun Kanun’un 9. maddesindeki gerekçesine ilişkin olarak iç hukukumuza aktarılan 108 sayılı Sözleşme ile ilgili olarak 108 sayılı Sözleşme’nin taraflarından bir ülkede bulunan Dış Kaynak Firmaya yapılan kişisel veri aktarımı meşru olduğunu ileri sürmüştür. Kurul konu ile olarak 108 sayılı Sözleşmenin 12. maddesinde, Sözleşmeye taraf devletlerin yalnızca özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri aktarımlarını yasaklayamayacaklarının veya özel bir izin öngörmek suretiyle kısıtlayamayacaklarının öngörüldüğünü belirtmiştir.
Ek olarak 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor’un ikinci fıkrasında, hükmün taraf devletler arasındaki veri akışının bildirime tabi kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkânını ortadan kaldırmadığının öngörüldüğünü açıklamıştır. Bu kapsamda, Kanunun 9 uncu maddesinin ikinci fıkrasında öngörülen düzenleme uyarınca, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkân tanındığını sonucuna bağlanmıştır.
Kurul, Kişisel verilerin aktarılacağı ülkenin 108 sayılı Sözleşmeye taraf olması Kurulun değerlendirmesine esas teşkil edecek unsurlardan sadece bir tanesini oluşturduğunu ve bu kapsamda 6698 sayılı Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğunu değerlendirmiştir.
Kurul, 108 sayılı Sözleşmeye İlişkin Açıklayıcı Rapor uyarınca da, Sözleşmenin doğrudan uygulanabilir nitelikte olmadığı, bu minvalde söz konusu hükmün ne Kanunun 9 uncu maddesinin (6) numaralı fıkrası ne de Anayasanın 90 ıncı maddesinin (5) numaralı fıkrası uyarınca öncelikle uygulama alanı bulamayacağı, 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceğini belirtmiştir.
Sonuç itibariyle, veri sorumlusu tarafından gerek açık rızanın usulüne uygun ayrı bir metin olarak düzenlenmemiş olması gerek yurt dışına aktarım yapılacağının ilgili kişilere açık ve anlaşılır şekilde beyan edilmemiş olması; öte yandan açık rıza dışındaki işleme şartlarına bağlı olarak gerçekleşecek yurt dışına aktarımlarda ise veri sorumlusu tarafından meşru menfaate ilişkin denge testinin yapılmamış olması ve aktarım yapılan ilgili firma ile yazılı taahhütname yapılarak Kurulun izni alınmak üzere taahhütnamenin bir örneğinin Kurum’a iletilmemiş olması sebepleriyle, bahse konu aktarımın Kanunun 9 uncu maddesinde belirtilen şartları sağlamadığı dolayısıyla hukuka aykırı bir veri işlemenin mevcut olduğu kanaatine varılmıştır. Kurul, yukarıdaki değerlendirmelerine istinaden hukuka aykırı veri işlemenin söz konusu olduğunu değerlendirmiş ve Kanun’un 7. maddesinin (1) numaralı fıkrası ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca bu kişisel verilerin silinmesi veya yok edilmesine karar vermiştir.
Sonuç itibariyle Kurul;
– Veri sorumlusunun Kanun’un 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirmediğine,
– 108 sayılı Sözleşme’ye taraf olmanın Kanun kapsamında güvenli ülke statüsü tayini bakımından yeterli olmadığı ancak değerlendirmede olumlu bir unsur teşkil ettiğine,
– Hukuka aykırı bir veri işleme faaliyeti gerçekleştirildiği için Kanun’un “Kabahatlar” başlıklı 18. maddesinin 1. fıkrasının b bendi uyarınca 900.000 TL idari para cezası uygulanacağına,
– Söz konusu kişisel verilerin silinmesine veya yok edilmesine,
– Aydınlatma metninin Aydınlatma Tebliği’ne uygun olacak şekilde güncellenmesine, Karar vermiştir.