Kişisel Verileri Koruma Kurulu (“Kurul”), geçerli bir hukuki sebebe dayanmaksızın kişisel verileri yurt dışına aktaran veri sorumlusu hakkında 900.000 TL idari para cezası uygulanmasına hükmetti. Veri sorumlusunun 108 sayılı Sözleşme’nin yurt dışına veri aktarımını meşru kıldığına dair savunması Kurul tarafından yeterli görülmedi.

Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikâyeti üzerine Kurul tarafından re’sen inceleme başlatılmasına karar verilmiştir. İnceleme esnasında veri sorumlusunun kullanmış olduğu toplu mesaj yazılımının web tabanlı bir yazılım olması sebebi ile, ilgili kişilere mesajların gönderilebilmesi için sınırlı olarak kişisel verilerin bir AB ülkesinde yer alan bir bulut veri tabanına aktarıldığı bilgisi veri sorumlusunca Kurul’a aktarılmıştır. Hal böyle olunca kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak işlenmesi ile yurt dışına aktarımı Kurulca değerlendirilmiştir.

İncelemenin sonucunda kurul aşağıdaki hususlara hükmetmiştir;

  • 108 sayılı Sözleşme’nin 12. maddesinde sözleşmeye taraf devletlerin veri akışını yalnızca özel hayatın korunması gerekçesiyle yasaklayamayacakları öngörülmektedir. Bununla birlikte, bu hüküm veri akışının tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmamaktadır. Verilerin aktarıldığı tarafın bulunduğu ülkenin 108 sayılı Sözleşme’ye taraf olması tek başına o ülkenin güvenli ülkelerden olduğu sonucunu doğurmamakta; ancak bu husus güvenli ülkeler belirlenirken Kurul tarafından dikkate alınabilmektedir. Bu kapsamda veri sorumlusunun yurt dışına veri aktarımında 108 sayılı Sözleşme’ye dayanması, KVKK’da yer alan yurt dışına veri aktarımı için gerekli yükümlülükleri yerine getirdiği anlamına gelmemektedir.
  • Kişisel verilerin işlenmesinde, meşru menfaat hukuki sebebine dayanabilmek için veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında bir denge testinin uygulanması gerekmektedir. Bu denge testinin ne şekilde uygulandığına yönelik herhangi bir açıklama veri sorumlusu tarafından sunulmamıştır.
  • Aydınlatma metninde, yurt dışına veri aktarımının hukuki sebebi açıkça belirtilmemiştir. Ayrıca aydınlatma metni belirli çelişkiler taşımaktadır.
  • Aydınlatma metni ve açık rıza metinlerinin tek bir metin olarak sunulması ve yurt dışına veri aktarımına ilişkin herhangi bir bilgi ihtiva etmemesi sebebi ile bilgilendirmeye dayalı ve usulüne uygun alınmış bir açık rızadan söz edilme imkanı bulunmamaktadır.
  • Yukarıdaki açıklamalar doğrultusunda (i) veri sorumlusunun meşru menfaatinin açıkça ortaya konulamaması, (ii) açık rızaların usulüne uygun olarak elde edilmemiş olması ve (iii) 108 sayılı Sözleşme’nin tek başına yurt dışına veri aktarımı için yeterli olmaması ve KVKK’da yer alan yurt dışına veri aktarım usulünün yerine getirilmemesi sebepleri ile veri işleme faaliyetinin hukuka aykırı olduğuna karar verilmiştir.

Bu kapsamda KVKK’nın 18/1/b maddesi gereği;

  • KVKK’nın 12/1 maddesi uyarınca gerekli teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket eden veri sorumlusu hakkında 900.000 TL idari para cezası uygulanmasına,
  • Yurt dışına aktarılan kişisel verilerin silinerek Kurul’un söz konusu işleme ilişkin olarak bilgilendirilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.

4 Eylül 2020 tarihinde Kurul’un resmi internet sitesinde yayımlanan 2020/559 sayılı özet karara bu bağlantıdan ulaşabilirsiniz.