Kisisel Verileri Koruma Kurumunun ("Kurum") internet sitesinde, pazarlama amaciyla SMS göndermek için yurtdisina veri aktaran bir otomotiv sirketi ("Sirket") ile ilgili 7 Eylül 2020 tarihinde bir karar ("Karar") yayinlanmistir.

Kararin (i) "Mesru Menfaat" ve "Açik Riza"nin sartlari (ii) Yurtdisi aktarimi, (iii) Aydinlatma metinlerindeki eksiklikler olarak özetlenecek üç ana konusu olsa da biz bu yazida sadece "Yurtdisina Aktarim" konusuna deginecegiz.

Bu konuda hukukumuzdaki ve uygulamadaki mevcut durumu aktaracagiz; ardindan pratik çözüm önerilerimizi paylasacagiz.

Fakat önce Karari özetleyelim.

A. Olay Özeti ve Savunma

Kurulun re'sen sorusturmasinin nedeni:

  • Sirket tarafindan gönderilen bir SMS üzerine, SMS'in alicisi sikâyette bulunmus, bunun üzerine Kurul Sirket'ten savunma talep etmistir.
  • Sirket savunmasinda, pazarlama amaciyla islemek için riza almis oldugu kisisel verileri, yurt disindaki bir veri isleyenine aktardigini belirtmistir.
  • Bu aktarimin ise Kisisel Verilerin Korunmasi Kanunu'nda ("Kanun") yer alan hukuki sebeplerden biri olan "veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olmasi" (Mesru Menfaat) kapsaminda degerlendirildigini ifade etmistir.
  • Sirket, bu savunmasina ragmen, ayrica "Veri Gizliligi Metni"nin sikayetçi tarafindan onaylandigi ve böylece ilgili kisinin yurtdisina aktarima "riza verdigini" belirtmistir. Savunmadaki bu çeliskili ifadeler nedeniyle Kurul, yurtdisi aktarim konusunda re'sen inceleme baslatilmasina karar vermistir.

    (Görülmektedir ki, Kurul tarafindan bir pazarlama SMS'ine iliskin yürütülen süreç, savunma sirasinda verilen cevaplardaki çeliskiler nedeniyle "yurtdisina kisisel veri aktarimina" iliskin bir sorusturmaya dönüsmüstür. Veri sorumlularinin ve avukatlarinin bu tür sorusturmalarda ve hazirlayacaklari cevap metinlerinde çok dikkatli olmalari gerektiginin önemli bir göstergesi olarak bu konuyu not edip özetimize devam ediyoruz).
  • Sirketin savunmasi temel olarak asagidaki argümanlara dayanmaktadir:
    • Karara konu kisisel veriler, pazarlama SMS'i gönderilmesi için kullanilan bir program yoluyla Avrupa Birligi üyesi bir ülkede bulunan bulut veri tabanina aktarilmistir. Verilerin aktarilmasindaki hukuki sebep "Mesru Menfaat" hukuki sebebidir.
    • "Kisisel Verilerin Otomatik Isleme Tabi Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesi"ne ("108 sayili Sözlesme") Türkiye ve tüm Avrupa Birligi üye devletlerinin taraftir.
    • Anayasanin ilgili maddesi uyarinca "usulüne göre yürürlüge konulmus milletlerarasi antlasmalar kanun hükmündedir".
    • Yine ayni madde uyarinca, milletlerarasi antlasmalarla kanunlarin ayni konuda farkli hükümler içermesi halinde milletlerarasi antlasma hükümlerinin esas alinacaktir.
    • Dolayisiyla kisilerin temel hak ve özgürlüklerinden olan kisisel verilerin korunmasi hakkina iliskin 108 sayili Sözlesme ile diger kanunlar arasinda çikan uyusmazliklarda 108 sayili Sözlesmenin esas alinmasi gerekmektedir.
    • 108 sayili Sözlesme'nin 12. maddesi uyarinca taraflara gerçeklestirilecek kisisel veri aktarimlarinin ilgili maddedeki istisnalardan1 biri saglanmadan yasaklanmamasi veya özel izne tabi tutulmamasi açik kurallardan biridir. Türkiye açisindan böyle bir istisna durumu söz konusu degildir.
    • "Kisisel Verilerin Otomatik Isleme Tabi Tutulmasi Karsisinda Bireylerin Korunmasi Sözlesmesine Ek Denetleyici Makamlar ve Sinirasan Veri Akisina Iliskin Protokol"ü uyarinca yurtdisina veri aktarimlarina iliskin olarak taraf olmayanlara yapilacak aktarimlarda yeterli koruma saglanip saglanmadiginin degerlendirmesinin yapilmasi gerektigi, bu dogrultuda ilgili maddenin zit yorumundan taraf olanlara yönelik yeterli koruma degerlendirilmesinin yapilamayacagi anlasilmaktadir. Türkiye ilgili madde konusunda bir çekince/beyan ortaya koymamistir.
    • Bu belirtilenler isiginda, veri sorumlusunun "Mesru Menfaat" hukuki sebebine dayanilarak dis kaynak firmaya hukuka uygun olarak veri aktarimi yapilmistir.
  • Kurul ise kararinda özetle asagidaki temelde karar vermistir.
    • "Mesru Menfaat" hukuki sebebinin uygulanabilmesi için kisisel verilerin korunmasina iliskin temel ilkelere uyulmasi, veri sorumlusunun mesru menfaati ile ilgili kisinin temel hak ve özgürlüklerinin gözetilmesi ve yarisan menfaatler arasinda bir degerlendirme yapilmasi gerekir (Denge Testi). Ancak bu denge testinin sonucunda veri sorumlularinin mesru menfaatinin, ilgili kisilerin temel hak ve özgürlüklere zarar vermedigi ortaya çikarsa bu hukuki sebebe dayanilabilir.
    • Birden çok kategoriye iliskin verinin islenmesine dair açik riza alinacaksa, açik riza metninde (i) hangi verilerin (ii) hangi amaçlarla islenecegi hususlarina yer verilmesi gerekmektedir.
    • Bununla birlikte, veri sorumlusunun, veriyi kullanimi sonrasinda gerçeklestirecegi ikincil islemler için ise (örnegin yurtdisina veri aktarimi gibi) "ayrica açik riza almasi" gerekmektedir.
    • 108 sayili Sözlesme, taraf ülkeler arasinda yerel kanunlardaki kisitlamalara tabi olmadan veri aktarimi için yeterli degildir. 108 sayili Sözlesme'nin hükümleri Yerel kanunlarla çesitli kisitlamalar getirilmesini engellememektedir.
    • Aydinlatma metinleri hazirlanirken Kanun, aydinlatmaya iliskin teblig (ve Kurumun rehberlerindeki) hükümlere riayet edilmesi gerekmektedir. Ayrica rizanin alinmasi islemlerinin birbirinden ayri olarak gerçeklesmesi gerekmektedir.
    • Kurul, yurtdisi aktariminin Kanuna uygun olmadigi gerekçesiyle veri sorumlusuna 900.000 TL ceza vermistir; aydinlatma metni/riza metni ile ilgili de bunlarin degistirilmesi yönünde talimatlandirmistir.

Footnote

1. Bu istisnalar sunlardir:
"(a) Kendi (sözlesme tarafi bir devletin) mevzuatinin, belli kisisel veri veya otomatik kisisel veri dosyasi kategorileri için, bu verilerin veya dosyalarin dogasindan kaynaklanan özel düzenlemeler içermesi, diger Tarafin (diger sözlesme tarafi devletin) düzenlemelerinin ise esdeger bir koruma içermemesi durumunda;
b) Bu transferin bir Tarafin (sözlesme tarafi bir devletin) ülkesinden, bir diger Taraf (diger sözlesme tarafi devlet) üzerinden Taraf olmayan bir devletin ülkesine yapilmasi durumunda, bu bendin basinda atifta bulunulan Tarafin mevzuatinin bosluklarindan yararlanmak üzere yapilacak bu tür transferleri engellemek amaciyla"

To view the full article, please click here.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.