GİRİŞ

Kişisel verilerin Türkiye’den yabancı bir ülkeye aktarılması gün geçtikçe daha büyük bir sorun haline gelmektedir. Öyle ki, mevcut durumda yurt dışına 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) çerçevesinde hukuka uygun bir veri aktarımı neredeyse imkânsız hale gelmiştir. Zira Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanan kararlarda da açıklandığı gibi mevcut düzenlemeler kapsamında kişisel verilerin yabancı bir ülkeye aktarılması için tek yöntem ilgili kişilerin açık rızalarının alınmasıdır. Ancak bu yöntemin ne kadar uygulanabilir olduğu büyük bir soru işaretidir. Nitekim Kurul da bu konuda yol gösterici herhangi bir açıklama yapmamakta yalnızca yapılması gerekenin açık rıza almak olduğunu söylemektedir. Bununla birlikte, mevcut yöntemlerin uygulanamaz olması ve konunun bir sorun haline dönüşmesi nedeniyle, başkaca çözüm yolları aranmaktadır. Kurul tarafından konuya ilişkin olarak son yayımlanan ve bu yazının da konusu olan karar ise Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 sayılı Sözleşme) çerçevesindeki çözüm arayışları anlamını yitirmiştir.

Peki Kurul ne yapmaya çalışmaktadır? İşte bu yazımızda yurt dışına veri aktarımı sorunu ile konuyla ilgili son yayımlanan karar çerçevesinde Kurul’un ne yapmaya çalıştığını tartışarak veri sorumluları için başkaca çözüm yolları aramaya çalışacağız.

A. Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel verilerin Türkiye’den yabancı bir ülkeye aktarılması bir kişisel veri işleme faaliyetidir. Bu aktarım kişisel verilerin doğrudan yabancı bir ülkeye iletilmesi / gönderilmesi / aktarılması şeklinde olabileceği gibi kişisel verilerin yabancı ülkede bulunan sunucularda saklanması da bir aktarım faaliyeti olarak kabul edilmektedir.

Bunun anlamı nedir? Buna göre sunucuları yurt dışında bulunan her uygulama, program, yazılım, sistem aracılığıyla gerçekleştirilen kişisel veri işleme süreçlerinde aynı zamanda kişisel veriler yurt dışına aktarılmaktadır.

1. Yurt Dışına Veri Aktarımı Bir Sorun Mudur?

Kişisel verilerin aktarılması kavramının kapsamına bakıldığında özellikle uluslararası şirketlerin veya yabancı ülkelerle yoğun bir şekilde ticari faaliyette bulunan şirketlerin hemen her süreçte aynı zamanda kişisel veri aktarımı faaliyeti de gerçekleştirdiği görülür. Bunun yalnızca belirtilen nitelikteki şirketlerle sınırlı olmadığına da dikkat edilmelidir. Türk şirketi olmakla birlikte sunucularını yabancı bir ülkede tutan veya sunucuları yabancı bir ülkede bulunan bir program kullanan her şirket yine yurt dışına aktarım faaliyetinde bulunmaktadır. Dolayısıyla günümüzde özellikle Avrupa Birliği ülkeleri başta olmakla birlikte Türkiye’den yabancı bir ülkeye veri aktarımı gerçekleştirmeden ticari faaliyet yürütmek neredeyse imkânsız hale gelmiştir.

Peki bunun yapılmaması mümkün mü? Kişisel verilerin yurt dışına aktarılması başlı başına bir sorun mu?

Kişisel verilerin yurt dışına aktarılması elbette tek başına bir sorun olarak değerlendirilemez. Ancak bu durum, tıpkı “Kişisel verilerin başlı başına işlenmesi bir sorun mu?” sorusuna benzerlik gösterir. Nitekim uyum projelerinin ilk aşamalarında en çok karşılaşılan endişe “artık kişisel verilerin işlenmesinin yasak mı olduğu” şeklindedir. Bu endişeye karşılık olarak; kişisel verilerin işlenmesinin bir sorun ya da yasak bulunmadığı ancak veri işlemenin başlı başına bir risk teşkil ettiği ve bu nedenle de bu işleme faaliyetinin belirli kurallar dahilinde gerçekleştirilmesi gerektiği belirtilmelidir.

Kişisel verilerin yurt dışına aktarılmasına da bu şekilde bakılmalıdır. Her ne kadar kişisel verilerin yabancı bir ülkeye aktarılması tek başına bir sorun olmasa ve doğrudan yasaklanmamışsa da esasında büyük bir risktir. Zira her ulusal mevzuatta kişisel verilerin ülke dışındaki sınırlar içinde hareket etmesi halinde ilgili kişilerin, kişisel verilerin korunması haklarını kullanmalarının daha fazla risk altında olduğu bakış açısı hakimdir. Bu, gerçekten de böyledir; bir veriyi ülke dışına aktardığınız zaman ilgili kişinin artık o veri üzerindeki hakimiyeti azalmakta ve dolayısıyla kişisel verilerin korunması hakkının sağlanması daha fazla risk altına girmektedir. Bu noktada aslında aktarılan kişisel verilerin korunması söz konusu ülkenin ulusal mevzuatına tabi olmaktadır. Bu nedenle de ülkeler verilerin aktarılacağı ülkelerin belirli standartları sağlaması gerektiği gibi hususları kendi iç hukuklarına dahil ederek, bu tehlike ve risklerin önüne geçmeye çalışmaktadır.

Benzer bakış açısı General Data Protection Regulation – AB Genel Veri Koruma Tüzüğü (GDPR) ile de benimsenmiştir. Recital 116, kişisel verilerin Avrupa Birliği sınırlarının ötesine taşındığında, gerçek kişilerin özellikle bu bilgilerin yasa dışı kullanımından veya ifşasından kendilerini korumak için söz konusu olan veri koruma haklarını kullanma imkanlarının daha fazla risk altına girdiğini kabul etmektedir. Aynı zamanda, denetim makamlarının, sınırları dışındaki faaliyetlerle ilgili şikayetleri takip edemedikleri veya bununla ilgili incelemeler yürütemeyecekleri belirtilmiştir. Buna göre kişisel verilerin korunmasına yönelik mevzuatın uygulanmasına yönelik uluslararası karşılıklı yardımlaşmanın sağlanması ve kolaylaştırılması için uluslararası işbirliği mekanizmalarının geliştirilmesi gerekir. Bu amaçla Avrupa Komisyonu ile denetim makamları, üçüncü ülkelerdeki yetkili makamlarla yetkilerinin kullanılmasıyla ilgili faaliyetlerde karşılıklılık temelinde ve GDPR uyarınca bilgi alışverişinde bulunmalı ve iş birliği yapmalıdır.

Öyleyse, kişisel verilerin yurt dışına aktarılabileceğini ancak bu aktarımın büyük bir risk oluşturması sebebiyle daha farklı kurallara tabi kılınması gerektiğini anlıyoruz. Zira yukarıda da belirtildiği gibi günümüz dünyasında kişisel verilerin yabancı bir ülkeye aktarılmamasını beklemek mümkün değildir; böyle bir beklenti, aslında şirketlerin iş yapamaması anlamına gelmektedir. Bu nedenle de yurt dışına veri aktarımı faaliyetinin niteliği göz önünde bulundurularak kişisel verilerin korunması hakkının en az müdahaleye uğrayacağı esas ve usullerin düzenlenmesi en makul çözüm yöntemidir. Bu düzenlemelerin amacına ulaşabilmesi için hem ülkelerin ulusal nitelikleri hem de üçüncü ülkelerin denetim makamları ile yapılacak iş birliği çerçevesinde belirlenmesi gerektiğine dikkat edilmelidir.

2. Yurt Dışına Veri Aktarımı Neden Bir Sorun Haline Geldi?

Ulusal ve uluslararası mevzuatlarda durum yukarıda belirtildiği gibidir. Kişisel verilerin korunmasına ilişkin hiçbir mevzuatta kişisel verilerin yabancı bir ülkeye aktarılması yasaklanmamış yalnızca bunun için işlemenin niteliğine uygun başkaca kurallar öngörülmüştür. Nitekim Türkiye’de de benzer şekilde Kanun’un 9. maddesi ile yurt dışına aktarıma ilişkin esas ve usuller düzenlenmiştir.

Kanun’un “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi uyarınca yurt dışına veri aktarımı;

a) ilgili kişinin açık rızası olmaksızın gerçekleştirilemeyecek bir işleme faaliyetiyken (m. 9/1),

b) Kanun’un 5. ve 6. maddelerinde yer alan hukuki sebeplerden herhangi bir ve/veya birkaçının olması halinde bu aktarım yapılabilecektir (m. 9/2).

Ancak açık rıza dışındaki işleme şartlarına dayanılarak bir aktarım yapıldığı durumlarda, anılan 9. maddenin 2. fıkrası uyarınca, kişisel verilerin aktarılacağı ülkeler bakımından birtakım şartların bulunması gerekir. Buna göre kişisel verilerin ilgili kişilerin açık rızası olmaksızın bu kapsamda aktarılmasının hukuka uygun olması için kişisel verilerin aktarılacağı yabancı ülkede “a) yeterli korumanın bulunması” veya “b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması” şartlarının oluşması gerekir.

- Yeterli korumanın bulunduğu ülkelere veri aktarımın yapılması

Yeterli korumanın bulunduğu ülkelere ilgili kişilerin açık rızası alınmaksızın veri aktarımı gerçekleştirebilmek için Kanun’un 5/2 maddesinde yer alan hukuki sebeplerden herhangi bir ve/veya birkaçı; özel nitelikli kişisel verileri aktarabilmek için ise Kanun’un 6/3 maddesinde yer alan koşulların sağlanması zorunludur. Dolayısıyla bu koşulların varlığı tespit edildikten sonra yapılacak olan aktarımın hangi ülkeye yönelik olduğuna bakılacak ve ilgili ülke yeterli korumanın bulunduğu ülkeler arasında ise ilgili kişinin açık rızası alınmadan aktarım yapılabilecektir. Kişisel verilerin yabancı bir ülkeye hukuka uygun bir şekilde aktarılması açısından hem hakkın korunması hem de uygulamanın yürütülebilmesi açısından en makul yöntemin bu olduğuna dikkat edilmelidir. Zira hem aktarım belli bir hukuki sebebe dayanmaktadır hem de aktarımın yapılacağı ülkenin yeterli koruma düzeyine sahip bir ülke olduğu tespit edilmiş durumdadır.

Ancak Kurul tarafından Kanun’un yürürlüğe girmesinden bu yana geçen dört (4) yıllık süre içinde hala yeterli korumanın bulunduğu ülkeler ilan edilmemiş olup; bu büyük bir eleştiri konusudur. Kurul, 11 Haziran 2019 tarihinde, 02/05/2019 tarih ve 2019/125 sayılı kararıyla yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form ile bu ülkelerin belirlenmesinde esas alınacak kriterleri yayınlamış ancak bundan sonra herhangi bir adım atmamıştır.

Dolayısıyla hali hazırda güvenli kabul edilen herhangi bir ülke yoktur. Ancak bir uyum projesi çerçevesinde, Avrupa Birliği ülkelerinden herhangi birine veri aktarımı gerçekleştiren bir şirkete bunu yapmak için açık rızaya ihtiyaç olduğunu anlatmak ne yazık ki Kurulun değil; uyum danışmanlarının işidir. Zira bana göre, Avrupa Birliği ülkeleri GDPR hükümlerine tabi olup kendi aralarında güvenli kabul edilirken Türkiye açısından güvenli olmamaları anlamlandırılabilir bir durum değildir. Kurul’un da vermiş olduğu kararlarda GDPR hüküm ve gerekçelerini (recital) esas alması, bu anlamda yasal düzenleme ve uygulama bakımından AB Kişisel Veri Koruma Hukuku’nu takip etmesi açısından; yeterli koruma seviyesini sağladığı rahatlıkla ifade edilebilecek AB ülkelerinin güvenli olduğunun ilan edilmesi, ülkemizdeki uygulamayı büyük ölçüde rahatlatacaktır.

Ancak henüz yeterli korumanın bulunduğu ülkelerin Kurul tarafından ilan edilmemesinin karşısında, hali hazırda yeterli korumanın bulunduğu ülkeler çerçevesinde bir aktarımın yapılması mümkün olmadığı belirtilmelidir.

- Yeterli korumanın bulunmaması / Veri sorumlusunun yeterli korumayı taahhüt etmesi

Kişisel verilerin yurt dışına aktarılmasında bir diğer yöntem veri sorumlusunun yeterli korumayı taahhüt etmesidir. Buna göre bir veri sorumlusunun yeterli koruma bulunmayan yabancı bir ülkeye hukuka uygun bir şekilde veri aktarabilmesi için aşağıdaki şartların bir arada bulunması gerekir:

- Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin gerçekleşmesi,

- Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,

- Kurulun izninin bulunması.

Söz konusu taahhütnamelerde yer alacak asgari unsurlar Kurul tarafından 16 Mayıs 2018 tarihinde yayınlanmış ve böylece veri sorumlularının yurt dışına veri aktarımı yapabilmek için Kurul’dan izin almalarının yolu açılmıştı. Ancak Kurul’a konuyla ilgili yapılan başvurulardan şu ana kadar herhangi bir sonuç alınamadığı bilinmektedir. Bunun nedeninin ilk başta veri sorumluları tarafından eksik veya hatalı başvurular yapıldığına dayandığı tahmin edilmekteydi. Nitekim Kurul 7 Mayıs 2020 tarihinde yayımlamış olduğu Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru” ile usul ve esasa ilişkin olarak dikkat edilmesi gereken bazı hususları açıklamıştır. Bundan sonra Kurulun belirtilen şekilde hazırlanmış olan bir taahhütname aracılığıyla yapılan başvuru neticesinde izin verip vermediği bilinmemektedir.

Aradan bu kadar süre geçmiş olmasına rağmen, taahhütnameler hakkında da karar verilmemesi bunun bilerek geciktirildiği ya da bu konuda bir karar verilmemek suretiyle oluşturulan bir politikanın uygulandığı yönünde bir izlenim uyandırmaktadır.

- İlgili kişilerin açık rızalarının alınması

Yukarıda belirtilen yöntemlerin hali hazırda uygulama alanı bulamaması nedeniyle aslında veri sorumlusuna yurt dışına veri aktarım yapabilmesi için yalnızca açık rıza alma imkânı tanınmıştır. Nitekim Kurul tarafından 7 Mayıs 2020 tarihinde yayımlanmış olan Amazon Kararı (27/02/2020 tarih ve 2020/173 sayı) ile de açıkça mevcut düzenlemeler ışığında yurt dışına veri aktarımı yapılabilmesi için başvurulabilecek tek yöntemin ilgili kişilerin açık rızalarının alınması olduğu belirtilmiştir. Hatta anılan kararda, veri sorumlusunun Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu belirtilmiş; ancak konuyla ilgili Kurul’un herhangi bir karar vermediğinden bahisle, kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olduğu belirtilmiştir. Kurul, ilgili kişilerin açık rızalarının alınmamış olması sebebiyle yüksek miktarda bir idari para cezası uygulanmasına hükmetmiştir. Bu karar aynı zamanda Kurulun yeterli korumanın bulunduğu ülkeleri kendisinin açıklamamış olması sebebiyle yurt dışına aktarım nedeniyle ceza uygulamayacağı şeklindeki düşünceleri de sona erdirmiştir. Dolayısıyla Kurul, hem kendi yerine getirmemiş olduğu görev nedeniyle veri sorumlularının imkânlarını son derece sınırlamış hem de bu duruma rağmen veri sorumlusuna yaptırım uygulamıştır.

Peki ama bu hayatın gerçeklerine uygun mudur? Amazon gibi uluslararası bir şirketin yurt dışına aktardığı her kişisel veri için açık rıza almasını beklemek gerçekten ne kadar mantıklıdır? Bunun mümkün olmadığını Kurul da bilmiyor mudur? Bu, küçük ölçekli şirketlerde veya yurt dışına aktarımın nadiren gerçekleştirildiği ülkelerde bu daha mümkün görünse de büyük ölçekli veya çok sayıda çalışanı olan veya doğrudan yurt dışıyla bağlantısı olan ve hemen her veriyi yurt dışına aktaran şirketler açısından uygulanabilir bir yöntem değildir. Dolayısıyla kişisel verilerin yurt dışına aktarılması için açık rıza alınmasından başka yöntemlerin de mevcut olması gerektiği açıktır.

3. Kişisel verilerin hukuka uygun bir şekilde yurt dışına aktarılması için başka yöntemler mevcut mu?

Bu noktada yurt dışına veri aktarımı sorununa ilişkin olarak Kurulun 10 Nisan 2020 tarihinde yayınlamış olduğu duyuruyla bağlayıcı şirket kurallarını benimsediğine ilişkin attığı adımı da hatırlatmakta fayda vardır. Bağlayıcı şirket kuralları Kurul’un tanımıyla, “yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kurallarıdır”. Ancak bağlayıcı şirket kurallarının çok uluslu grup şirketleri için uygulanacağı göz önüne alındığında, yurt dışına aktarım meselesinde tek başına bir çözüm olmasının mümkün olmadığı anlaşılacaktır.

Öncelikle bu kuralları yerine getirebilecek kritere sahip şirket çok az sayıdadır. Bunun da ötesinde bağlayıcı şirket kurallarını hazırlamak büyük bir emek ve zaman gerektirir. Dolayısıyla konuyla ilgili temel adımlar atılmadan bağlayıcı şirket kurallarına ilişkin düzenlemeler yapılması yalnızca çok sınırlı sayıda veri sorumlusu için çare olabilecek ancak sorunun büyük kısmının çözülmesi için yeterli olmayacaktır.

Yurt dışına veri aktarılmasında yukarıda anlatıldığı gibi çözüm olarak uygulanabilecek birçok yöntem varken, neden en son benimsenmesi gereken ve en dar kapsamlı çözümün en başta düzenlendiği de anlaşılabilir değildir.

4. Kişisel verilerin 108 sayılı Sözleşme çerçevesinde aktarılabileceği nereden çıkmıştır?

Yukarıda belirtildiği gibi kişisel verilerin yabancı bir ülkeye aktarılması Türkiye’de bir sorun haline gelmiş olması nedeniyle konuyla ilgili başka çözüm yolları aranmaktadır. 108 sayılı Sözleşme çerçevesinde yapılacak aktarım da bunlardan biri olup; geçerli hukuki gerekçelere dayanmaktadır.

108 sayılı Sözleşme kişisel verilerin korunması alanında uluslararası bağlayıcılığı olan çok taraflı tek Sözleşme olma özelliğini taşımaktadır. Türkiye de bu Sözleşme’nin tarafıdır ve dolayısıyla Sözleşme hükümlerine tabiidir. Sözleşme’nin “Kişisel verilerin sınır ötesi akışı ve iç hukuk” başlıklı 12. maddesi şu şekildedir:

“Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişisel verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.

Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa sınır ötesi akışı yasaklayamaz veya özel müsaadeye tabi tutamaz.

Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda istisnalar getirebilir:

Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için, bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;

Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek amacıyla.”

Öncelikle belirtilmelidir ki, 108 sayılı Sözleşme’nin yukarı belirtilen 12. maddesi de dahil olmak üzere tüm hükümleri, Anayasa’nın 90/4 maddesi uyarınca kanun hükmündedir. Üstelik temel hak ve özgürlüklere ilişkin bir Sözleşme olması dolayısıyla da ulusal kanunlarda çelişen hükümler içermesi halinde Sözleşme hükümleri esas alınmalıdır.

Bu maddeye göre ise münhasıran kişisel verilerin korunması amacıyla taraf devletlere yapılan aktarımlar yasaklanamaz ve özel bir izne tabi tutulamaz. Ayrıca bu hükme birtakım istisnalar getirilmiştir. Bu istisna hallerinden ilki, eş değer bir korumanın bulunmamasıdır. Buna göre Türkiye kişisel verilerin korunmasına ilişkin özel bir düzenlemeye tabiyken eş değer bir korumaya sahip olmayan bir ülkeye yapılan aktarımı yasaklamak veya izne tabi tutmakla yetkilidir. Öyleyse Kurul tarafından özellikle eş değer bir korumaya sahip olmadığı belirtilmemiş olan bir ülkenin kişisel verilerin korunması hakkını özel bir düzenleme aracılığıyla koruma altına almış olması ve Sözleşme’ye taraf olması halinde yine de Kurul tarafından güvenli ülke olarak açıklanmasına ihtiyaç var mıdır?

Yapılan bu açıklamalar neticesinde 108 sayılı Sözleşme’ye taraf olan ülkelere yapılacak veri aktarımının hukuki dayanağı olarak Sözleşme’nin 12. maddesini göstermek mümkün olabilir. Burada belirtilen istisnalar söz konusu olmadıkça Kanun’un 9. maddesiyle öngörülmüş olan koşullar aranmaksızın Sözleşme’ye taraf olan ülkeler arasında veri aktarımının yapılabilecek olması gerekir[1]. Bu da Türkiye’de yer alan veri sorumluları tarafından Sözleşme’ye taraf olan diğer 54 ülkeye veri aktarımı yapabilmesi anlamına gelir.

Bu husus her ne kadar teorik olarak mümkün görünse de konuyla ilgili Kurul tarafından yapılan resmi bir açıklama veya duyuru olmadığı için uygulamada 108 sayılı Sözleşme’ye dayanarak veri aktarımı yapılması noktasında tereddütler yaşanmaktaydı. Kurul konuyla ilgili yayımlamış olduğu son kararında bu tereddütleri giderdi ve açıkça “108 sayılı Sözleşme’ye dayanarak veri aktaramazsınız” dedi.

B. Kurulun 22/07/2020 Tarih ve 2020/559 Sayılı “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında” Kararı

Kişisel verilerin yurt dışına aktarılmasına ilişkin temel düzenleme ile sorunları ele aldıktan sonra bu başlık altında Kurulun konuyla ilgili son kararını inceleyerek veri sorumluları tarafından dikkat edilmesi gereken noktaları tespit etmeye çalışacağız.

1. Karara konu olay

Kurulun konuyu inceleme usulü sırasıyla şu şekildedir:

İlgili kişinin şikâyeti

: İlgili kişi, otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından kendisine gönderilen reklam / bilgilendirme amaçlı bir kısa mesaja (SMS) ilişkin olarak Kurula şikâyette bulunmuştur.

Kurulun inceleme başlatması

: İlgili kişinin şikâyeti üzerine Kurul tarafından inceleme yapılmaya başlanmıştır.

Veri sorumlusundan savunma alınması

: Başlatılan inceleme neticesinde veri sorumlusundan savunması istenmiştir. Veri sorumlusu yaptığı savunmada yurt dışına veri aktarımı gerçekleştirdiği işleme faaliyetinin hukuki sebebine ilişkin olarak çelişkili ifadelere yer vermiştir. Buna göre veri sorumlusu hem “meşru menfaati” gereği bunu yapmak zorunda olduğunu iddia etmiş hem de bu aktarımı “ilgili kişilerin açık rızasına istinaden” gerçekleştirildiğini ifade etmiştir.

Resen inceleme başlatılması

: Bu duruma istinaden Kurul tarafından veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarında saklaması ile ilgili olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası kapsamında resen inceleme başlatılmasına karar verilmiştir. Bu itibarla, kişisel verilerin yurt dışına aktarılmasının hangi hukuki gerekçeye dayandırıldığına dair açıklamaları ile konuya ilişkin tüm bilgi, belge ile kayıtların gönderilmesi talep edilmiştir.

2. Veri sorumlusunun savunma ve iddiaları

Veri sorumlusunun gerçekleştirilen aktarım faaliyetine ilişkin savunma ve iddiaları aşağıdaki gibidir:

Gerçekleştirilen aktarım faaliyeti: Şirket tarafından yürütülen dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullanılmakta olup; sistemin web tabanlı olması nedeniyle yazılım üzerinden müşterilere e-posta / sms gönderiminin yapılabilmesi için müşterilere ait kişisel veriler SFTP kullanılarak (Dış Kaynak Firma) sunucuları AB üyesi bir ülkede bulunan bulut veri tabanına aktarılmaktadır.

Aktarılan kişisel veriler: Müşterilere ilişkin (i) müşteri bilgisi (ii) pazarlama bilgisi (iii) iletişim bilgisi dış kaynak firmaya aktarılmaktadır. Özel nitelikli kişisel veri aktarılmamaktadır.

Hukuki gerekçeler: Veri sorumlusu karara konu olayda açık rıza, meşru menfaat ve 108 sayılı Sözleşme hukuki gerekçelerine dayandığını açıklamıştır.

- Açık rıza

2018 yılından itibaren güncellenmiş Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma ve Rıza Metni” ile alınmaktadır.

- Meşru menfaat

Kişisel veriler, veri işleyen konumundaki dış kaynak firmaya Kanun’un 5/2-f bendinde düzenlenen veri sorumlusunun meşru menfaati için veri işlemesinin zorunlu olması şartına dayanmaktadır.

- 108 sayılı Sözleşme

108 sayılı Sözleşme iç hukuka aktarılmıştır ve tüm AB ülkeleri bu Sözleşme’nin tarafıdır. TC Anayasası’nın 90. maddesi uyarınca 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşme hükümlerinin esas alınması gerekir. Sözleşme’nin 12. maddesine göre Sözleşme’nin taraflarına gerçekleştirilecek olan aktarımlar, düzenlenen istisnalardan herhangi biri sağlanmadan yasaklanamaz veya özel izne tabi tutulamaz. Bu çerçevede Kanun’un 9. maddesi dikkate alındığında Sözleşme’nin 12. maddesine dayanılarak aktarım yapılmasının önünde herhangi bir hukuki sınırlandırma ve/veya engel yoktur.

Öte yandan Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol’un (Ek Protokol) 2/1 maddesi sınır aşan kişisel veri aktarımlarına ilişkin olarak taraf olmayanlara yapılacak aktarımlarda yeterli koruma sağlanıp sağlanmadığının değerlendirmesinin yapılacağı düzenlenmiştir. Bu doğrultuda ilgili maddenin mefhumu muhalifinden Sözleşme’ye taraf olanlara ülkelere yapılan bir aktarımda yeterli koruma değerlendirmesinin yapılamayacağı anlaşılmaktadır.

Sonuç olarak veri sorumlusu şirket, Kanun’un 9/5, 6 maddesi ile 108 sayılı Sözleşme’nin 12. maddesi kapsamında Kanun’un 5/2-f maddesinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanarak gerekli tüm idari ve teknik tedbirler alınmak suretiyle veri işleyen konumundaki dış kaynak firmaya hukuka uygun olarak veri aktarımı yaptığı iddiasındadır.

3. Kurulun kanaat ve değerlendirmeleri

Kurul tarafından konuyla ilgili olarak yapılan değerlendirme çerçevesinde dikkat edilmesi gereken hususlar ile tespit edilen temel noktalar şu şekildedir:

- Veri sorumlusu şirketin gerçekleştirdiği aktarım faaliyeti bakımından meşru menfaati mevcut mudur?

Yukarıda belirtildiği gibi veri sorumlusu şirket, dış kaynak firmaya yaptığı aktarımın meşru menfaati açısından zorunlu olduğu gerekçesine dayandığı iddiasındadır. Kanun ile kişisel verilerin ilgili kişilerin açık rızası olmaksızın işlenebileceği haller düzenlenmiş olup “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” söz konusu hukuki sebeplerden biridir.

Kurulun inceleme konusu karar dahil olmak üzere önceki kararlarında da belirtmiş olduğu gibi bu hukuki sebebin uygulanabilmesi için belli koşulların oluşması gerekir. Buna göre; (i) kişisel verilerin korunmasına ilişkin temel ilkelere uyulmalı, (ii) veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri gözetilmeli ve (iii) yarışan menfaatler arasında yapılacak olan değerlendirmenin sonucunda kişisel verilerin belirtilen fıkra kapsamında işlenip işlenemeyeceğine karar verilmelidir.

Bu doğrultuda, veri sorumlusu öncelikle meşru menfaatinin varlığını tespit etmeli ve eğer varsa bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediğini tespit etmelidir. Denge testi yapılmadan, meşru menfaate dayanarak veri işleme faaliyetinde bulunmak hukuka uygun değildir.

Belirtilmelidir ki, veri sorumlusunun meşru menfaatinin olup olmadığının tespiti büyük bir dikkat ve özenle yapılmalıdır. Bu çerçevede yapılacak bir değerlendirme genel geçer ve ezbere gerekçelere dayanmamalı ve veri sorumlusunun meşru menfaatinin varlığı somut gerekçelere dayandırılmalıdır. Söz konusu hukuki sebep, veri sorumlusunun kişisel veri işleyebilmek için Kanun ile getirilen diğer istisna hallerinden herhangi birine dayanamaması halinde sığınabileceği bir hüküm olarak ele alınmamalıdır.

Bu noktada Kurul tarafından yapılan değerlendirme de iyi bir örnektir. Her ne kadar veri sorumlusu yaptığı aktarımın meşru menfaati için zorunlu olduğunu iddia etmişse de bunu somut bir biçimde ortaya koyamamıştır. Nitekim Kurul, meşru menfaatin ne olduğu hakkında ve bu menfaati ile kişilerin temel hak ve özgürlükleri arasında bir denge testi uygulanıp uygulanmadığına ilişkin herhangi bir açıklamaya yer verilmemiş olması sebebiyle kişisel verilerin veri sorumlusu şirket tarafından yurt dışına aktarılmak suretiyle işlenmesinde geçerli bir meşru menfaatin bulunduğu kanaatinin oluşmadığını belirtmiştir.

Veri sorumlusunun yaptığı aktarımın sebebi müşterilerine reklam / pazarlama amaçlı e-posta / sms bildirimleri gönderebilmek amacıyla web tabanlı bir yazılım kullanmasıdır. Ancak şirketin web tabanlı bir yazılım kullanması, Kurul tarafından şirketin meşru menfaati için zorunlu olduğu şeklinde değerlendirilmemiştir. Başka bir deyişle Kurul, “web tabanlı bir yazılım kullanmak senin tercihin, öyleyse bu zorunlu bir aktarım olamaz” demektedir. Kurul’un bu önermesinin bilişim dünyasının olağan akışında yeri yoktur. Zira günümüzde birçok şirket, özellikle çok uluslu şirketler, hem efektif hem de daha az maliyetli olması için web tabanlı yazılımları tercih etmektedirler. Kurul’un vermiş olduğu bu türden kararların, çağımızın imkân ve gerekliliklerinin gerisinde kalmış olduğunu ifade etmeliyim.

Öte yandan, şirketin reklam ve pazarlama amacıyla bildirim göndermesi zaten meşru menfaat kapsamında değerlendirilmemektedir. Veri sorumluları bu bildirimleri göndermek kapsamında gerçekleştirdikleri kişisel veri işleme faaliyetleri için mutlak surette ilgili kişilerin açık rızalarını almaları gerektiğine dikkat etmelidir.

Sonuç olarak, veri sorumlusu şirketin meşru menfaatine dayanarak aktarım gerçekleştirdiği iddiası Kurul tarafından kabul görmemiştir.

- Veri sorumlusu, gerçekleştirmekte olduğu süreçlerde hangi hukuki sebep/sebeplere dayanarak veri işlemekte olduğunu açık ve net bir şekilde belirlemelidir

Karara konu olan olayda veri sorumlusu açısından en büyük problemlerden biri yapılan işlemenin ve aktarımın hangi gerekçelerle, diğer bir deyişle hangi hukuki sebeplere dayanılarak gerçekleştirildiğinin açık ve net bir şekilde belli olmamasıdır. Oysaki Kanun’un temel amaçlarından biri, kişisel verilerin hangi amaçla işlendiğinin ortaya konulmasının sağlanmasıdır. Zira Kanun ile birlikte herhangi bir amaca dayanmaksızın kişisel verilerin işlenmesi artık hukuka aykırı hale gelmiştir. Nitekim Kanun’a uyumluluk projelerinin de temel hedeflerinden biri budur. Bu projelerde veri sorumlusunun gerçekleştirdiği tüm süreçler tespit edildikten sonra her bir süreç için hukuki bir sebep belirlemek gerekmektedir. Daha açık bir ifadeyle, Kanun, bir veri sorumlusunun hangi verileri neden işlediğinin farkında olmasını istemektedir.

Somut olayda veri sorumlusu kişisel veri işlenmesinin meşru menfaat hukuki sebebine dayanmış olmakla birlikte ilgili kişilere sunduğu aydınlatma ve rıza metninde “… Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirerek sizlere önerilmesi ve tanıtılması, kabulünüz kapsamında paylaşmış olduğunuz iletişim bilgilerinize reklam, promosyon vb ticari elektronik ileti gönderilmesi, saklanmasını ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız kapsamında işlenebilecektir. şeklinde bir beyan bulunmaktadır. Bu beyan ise kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği şeklinde bir izlenime neden olmaktadır.

Bununla birlikte bir süreçte birden fazla veri işleme şartları söz konusu olabilecekken; diğer veri işleme şartları ile açık rızanın bir arada mevcut olması hukuka aykırıdır. Veri sorumlusu öncelikle Kanun ile düzenlenen işleme şartlarının herhangi birinin varlığını tespit etmeli; eğer varsa hiçbir şekilde açık rıza alma yoluna gitmemelidir. Kurula göre veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı olacak ve hukuka ve dürüstlük kuralına aykırılık oluşturacaktır.

Veri sorumlusu şirket tarafından yapılan savunmadan anlaşıldığı kadarıyla, müşterilere ait iletişim verilerinin reklam/pazarlama amaçlarıyla işlenmesi ilgili kişilerin açık rızasına; bu verilerin dış kaynak şirkete aktarılması ise meşru menfaat hukuki sebebine dayandırılmıştır. Böylece pazarlama iletişimlerine izin vermiş kişilere e-posta / sms gönderimi yapılabilmesi için müşteri verileri sunucuları AB üyesi ülkede bulunan bir bulut veri tabanına aktarılarak yurt dışına aktarım faaliyeti gerçekleştirilmiştir.

Bununla birlikte, açık rıza beyanının geçerliliği çeşitli koşullara bağlı kılınmıştır. Açık rızanın belirli bir konuya ilişkin olması gerektiği sebebiyle, bir açık rıza beyanının hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin olarak verilmiş olması gerekmektedir. Dolayısıyla veri sorumlusu bir işleme faaliyeti kapsamında aldığı bir açık rızayı başkaca bir işlemin dayanağı olarak kullanamaz. Somut olayda bu açıdan bir hukuka aykırılık mevcuttur. Veri sorumlusu şirket gerçekleştirdiği ikincil işlem olan yurt dışına aktarım faaliyeti için de açık rıza almalıydı. Oysaki aydınlatma metninde yer alan beyanda yukarıda görüleceği üzere kişisel verilerin yurt dışına aktarılacağı yönünde herhangi bir açıklama yapılmamıştır. Bu nedenle de Kurul bu açıdan söz konusu olan kişisel verilerin hangilerinin meşru menfaat çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu değerlendirmesini yapmıştır.

- Kurula göre 108 sayılı Sözleşme’ye taraf olmak yalnızca yeterlilik değerlendirmesinde dikkate alınacak bir kriterdir

Kurul 108 sayılı Sözleşme ile ilgili ilk olarak Sözleşme’nin yukarıda açıklanan 12. maddesinin yalnızca “özel hayatın korunması gerekçesiyle yapılan kişisel veri aktarımları” açısından geçerli olduğunun altını çizmiştir. Öte yandan 108 sayılı Sözleşme’ye İlişkin Açıklayıcı Rapor’un (Açıklayıcı Rapor) 2. fıkrasında söz konusu düzenlemenin amacı Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması şeklinde açıklanmıştır.

Kurul, bu açıklama uyarınca taraf devletler arasındaki veri akışının bildirime tabi kılınması veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan kaldırmadığı kanaatindedir. Kurul, Açıklayıcı Rapor’un AB’deki uygulamasına ilişkin olarak ise hem 95/46/EC sayılı Direktif hem de GDPR hükümleri uyarınca 108 sayılı Sözleşme’ye taraf olan ülkelerin herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke olarak nitelendirilmediği ve Sözleşme’ye taraf olmanın yalnızca yeterlilik değerlendirmesinde dikkate alınacak bir kriter olarak kabul edildiğini belirtmiştir.

Bu kapsamda Kurul, kişisel verilerin açık rıza olmaksızın yurt dışına aktarılmasının yalnızca Kanun ile düzenlenen şartların varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından bu aktarıma izin verilmesi halinde gerçekleştirilebileceğini belirtmiştir.

- Kurul, Kanun’un 9. maddesinin 108 sayılı Sözleşme ile uyumlu olduğu kanaatindedir.

Kanun’un 9/4 fıkrasında Kurulun yabancı ülkede yeterli korumanın bulunup bulunmadığı ile taahhütnameler karşısında izin verilip verilmeyeceği noktasında dikkate alması gereken kriterler düzenlenmiştir. Türkiye’nin taraf olduğu uluslararası sözleşmelerin dikkate alınması da bu kriterler arasında sayılmıştır ancak tek başına bir gerekçe olarak düzenlenmemiştir. Nitekim bu husus Kurul tarafından yayımlanan 02.05.2019 tarih ve 2019/125 sayılı kararda da dikkate alınacak kriterler arasında belirtilmiştir. Bununla birlikte anılan Kanun hükmü ve Kurul kararı uyarınca aktarıma konu kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş hususlar da dikkate alınması gereken kriterlerdir. Ayrıca Türkiye ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık durumu da Kurulun değerlendirmesinde göz önünde bulundurulacak olan diğer hususlar şeklinde düzenlenmiştir.

Kurul, bu düzenlemenin 108 sayılı Sözleşme hükümleri ile uyumlu olduğu kanaatindedir. Zira yukarıda belirtildiği gibi Kurul, Açıklayıcı Rapor’da yer alan açıklamalar neticesinde taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri aktarımını yasaklamaya yönelik düzenleme yapabileceği sonucuna ulaşmıştır. Dolayısıyla Kurula göre 108 sayılı Sözleşme ile Kanun’un düzenlemeleri arasında herhangi bir çelişki bulunmamaktadır.

- Kurul, Anayasa’nın 90. maddesinin uygulama alanı bulamayacağına karar vermiştir.

Kurul’un bu değerlendirmesinin gerekçelerine değinmeden önce böyle bir değerlendirme yapmak konusunda yetkisinin olup olmadığını tartışmak gerekir. Kurul, Anayasa’nın herhangi bir maddesinin uygulama alanı bulamadığı şeklinde bir değerlendirme yapabilir mi?

Kişisel Verilerin Korunması Kanunu’nun uygulanmasından sorumlu olmak üzere oluşturulmuş olan Kurul’un Anayasa hükümlerinin hangi noktada uygulama alanı bulup bulmadığı şeklinde bir değerlendirme yapması fazla iddialı görünmektedir. Her ne kadar kişisel verilerin korunmasına ilişkin karar ve değerlendirmelerde bulunmak çoğu zaman diğer mevzuatları tartışmayı gerektirse de Kurul tarafından Anayasa hükümlerinin ve gerekçelerinin başkaca herhangi bir mahkeme kararına veya doktrin görüşlerine dayanmaksızın yorumlanması şüpheye neden olmakta ve kendinden menkul bilgi olarak görünmektedir. Kurul’un bunu çeşitli kaynaklara dayanarak tartışması ve kararını bu dayanaklar çerçevesinde oluşturması oluşan şüphelerin giderilmesi açısından daha yerinde bir yaklaşım olurdu. Her şeyden önce bu konuda Kurulun daha dikkatli ve özenli olması gerektiğini düşünmekteyiz.

Kurul’un bu tespitinin gerekçelerine değinmek gerekirse söz konusu gerekçeleri şu şekilde özetlemek mümkündür:

- Kanun’un 9/6 maddesinde “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verilmektedir.

- Anayasa’nın 90. maddesi uyarınca yürürlüğe konulmuş uluslararası antlaşmalar kanun hükmündedir. Bu çerçevede 108 sayılı Sözleşme de Türk hukuku açısından kanun niteliğini haizdir. Öte yandan Anayasanın 90. maddesine yapılan ekleme ile temel hak ve özgürlüklere ilişkin uluslararası antlaşmalarla kanunların aynı konuya ilişkin farklı düzenlemeleri öngörmesi halinde uluslararası antlaşma hükümlerinin esas alınacağı öngörülmüştür.

- Kurul, yapılan eklemenin gerekçesine değinmiştir: “Uygulamada usulüne göre yürürlüğe konulmuş insan haklarına ilişkin milletlerarası antlaşmalar ile kanun hükümlerinin çelişmesi halinde ortaya çıkacak bir uyuşmazlığın varlığı halinde hangisine öncelik verileceği konusundaki tereddütlerin giderilmesi amacıyla 90. maddenin son fıkrasına hüküm eklenmektedir.

- Kurul, bu noktada uluslararası antlaşma hükümlerinin uygulanabilmesi için söz konusu hükümlerin doğrudan uygulanabilir olması gerektiği, diğer bir ifadeyle antlaşma hükmünün “yeterince açık, kesin, koşulsuz ve uygulaması için devletin ilave bir tedbir almasını gerektirmeyecek nitelikte” olması gerektiğini hatırlatmıştır[2].

- Bu esaslar uyarınca Kurul tarafından öncelikle “doğrudan uygulanabilir olmayan daha soyut ve genel bir uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma teşkil etmeyeceği” şeklinde bir çıkarım yapılmış ve bu nedenle de “Anayasanın anılan hükmünün uygulama alanı bulmayacağı dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği” sonucuna ulaşılmıştır.

- Bu değerlendirme büyük ölçüde Sözleşme’nin 4. maddesi ile Açıklayıcı Rapor’a dayanılmaktadır. Zira buna göre Sözleşme hükümleri doğrudan uygulanabilir olmayıp; taraf ülkelerin verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak amacıyla gerekli önlemleri alması gerekmektedir.

Kurulun bu gerekçesine katılmamaktayız. Şöyle ki, Sözleşme’nin 4. maddesi ile hükümlerin işlerlik kazanması için ayrıca iç hukuka alınması gerektiği düzenlenmişse de Sözleşme hükümlerine aykırı bir hususun iç hukuka alınabileceği düzenlenmemiştir. Dolayısıyla Sözleşme’nin 12. maddesi ile uyumlu olmayan bir hükmün iç hukuka dahil edilmesi ve 12. maddenin de iç hukuka dahil edilmediği gerekçesiyle uygulanamayacağı şeklinde bir yorum aslında ülkenin imzalayarak kendini uygulamakla bağlı kıldığı sözleşme kurallarına aykırı bir durumdur. Öyleyse “ülkeler, diledikleri gibi her uluslararası antlaşmayı imzalayabilir ancak imzalamasına rağmen bu antlaşma hükümleri ile uyumlu olmayan düzenlemeler getirebilir ve dahası imzalamış olduğu antlaşma hükümlerini iç hukuka dahil etmemiş olduğu gerekçesiyle uygulamaktan kaçınabilir” şeklinde bir sonuç çıkmaktadır. Zaten Türkiye imzalamış olduğu Sözleşme hükümlerini iç hukuka dahil etmeyerek ve bu hükümlerle uyumlu olmayan hükümler getirerek Sözleşme’ye aykırı davranmıştır. Bu aykırılığın gerekçe olarak gösterilebilmesi ise mümkün değildir.

Bununla birlikte Sözleşme’nin 12. maddesi ile getirilen düzenlemelerin yalnızca “özel hayatın korunması gerekçesiyle yapılan kişisel veri aktarımları” açısından öngörüldüğü noktasında Kurula katılmakta ve bunun bir gerekçe olabileceğini düşünmekteyiz. Dolayısıyla Anayasa hükümlerinin etrafından dolanıp olabildiğince geniş bir yorum yaparak söz konusu maddenin uygulama alanı bulamayacağı şeklinde hatalı bir tespite varmak yerine tek başına bu maddenin özel hayatın korunması gerekçesiyle yapılan aktarımlar için uygulama alanı bulabileceği şeklinde bir gerekçeye dayanmak çok daha doğru olabilirdi. Ancak yalnızca buna dayanılarak yapılan bir açıklamanın mefhumu muhalifinden özel hayatın korunması gerekçesiyle yapılan aktarımlarda Sözleşme’nin 12. maddesinin uygulanabileceği anlaşılacaktı. Dolayısıyla diğer gerekçelerin bunun önüne geçmek amacıyla ortaya konulduğunu düşünmekteyiz.

Aynı şekilde, Kurulun Sözleşme’nin 12. maddesinin genel ve soyut kaldığı, bu bakımdan 6698 sayılı KVKK’nın 9. maddesi ile arasında bir normlar çatışması yaratmayacağı düşüncesine de iştirak ediyoruz. Yalnızca 108 sayılı Sözleşme’ye dayanmak, yurt dışına veri aktarımında doğrudan bir hukuki sebep oluşturmamakta; onun tamamlayıcısı niteliğindeki KVKK’nın 9. maddesindeki şartlara uyulduğunda yurt dışına veri aktarımı yapmak mümkün olacaktır. Bununla birlikte, Kurulun yasal düzenleme bazında (de jure) mümkün olan bir veri işleme faaliyetinin önünü fiilen (de facto) tıkamış olduğu şeklindeki değerlendirmemiz de bu aşamada yinelenmelidir.

- Sonuç olarak Kurul tarafından 108 sayılı Sözleşme’ye taraf olmanın başlı başına kişisel verilerin yurt dışına aktarılmasına imkân vermediği kanaatine varılmıştır. Kurul, Sözleşme’ye taraf olmayı AB uygulamasında olduğu gibi Kanun kapsamında güvenli ülke statüsü tayini bakımından “olumlu bir unsur” şeklinde ele aldığını belirtmiştir.

Yukarıda yapılan açıklamalar neticesinde veri sorumlusu şirketin hukuka aykırı bir aktarım yaptığı kanaatine ulaşılmıştır.

4. Karar

Kurul tarafından yapılan ve yukarıda detaylı bir şekilde açıklanan kanaat ve değerlendirmeler neticesinde aşağıdaki hususlara karar verilmiştir:

- Veri sorumlusunun, kişisel verileri yurt dışına aktarması ile ilgili olarak 108 sayılı Sözleşme’ye taraf olmanın bu noktada tek başına yeterli bir gerekçe olmaması ve dolayısıyla gerekli şartlar sağlanmadan aktarım faaliyetinin gerçekleştirilmiş olması dolayısıyla veri sorumlusunun Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12/1-a bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirmediği kanaatine varılarak veri sorumlusu hakkında Kanun’un 18/1-b bendi uyarınca 900.000 TL idari para cezası uygulanmasına,

- Veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza alınmaması, açık rıza dışındaki işleme şartlarından ise geçerli bir meşru menfaatin bulunduğuna dair denge testinin yapılmaması, öte yandan yurt dışına aktarımda Kanunun 9. maddesine uygun olarak taahhütname hazırlanmaması ve Kurulun izni alınmak üzere Kurula iletilmemesi dolayısıyla yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından, kişisel verilerin Kanun’un 7/1 maddesi ile ilgili Yönetmelik uyarınca, silinmesi veya yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,

- Veri sorumlusunun aydınlatma metnini Kanun’un 10. maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına.

Sonuç

Dünya ekonomisi, küreselleşmiş ve küreselleştiği ölçüde genişleyen ve ilerleyen bir hal almıştır. Küreselleşmeyi sağlayan en önemli imkanlardan biri de kuşkusuz gelişmiş teknolojilerdir. Bu geniş bağlamda, yurt dışına veri aktarımı konusu değerlendirildiğinde, bunun pek çok veri sorumlusu için bir gereklilik hatta zorunluluk olduğu gerçeği karşımıza çıkmaktadır. Belki ülkemiz kişisel veri politikası açısından “veri lokalizasyonu” yani Türkiye’deki kişisel verilerin Türkiye’de kalması benimsenmiş olabilir. Kaldı ki böyle bir politikanın izleri, “sosyal ağ sağlayıcılara” yönelik gerçekleştirilen 5651 sayılı Kanun’daki değişiklerden de takip edilebilir. Ancak böyle bir politikanın doğruluğu ve gerçekçiliği bir yana söz konusu durum, hukuken kabul edilmiş bir veri işleme yönteminin (KVKK m. 9) fiilen engelleniyor olması gerçeğini değiştirmeyecektir.

Kurul’un 108 sayılı Sözleşmeye dayanarak yurt dışına veri aktarımı gerçekleştirilemeyeceğine ilişkin kararına, birtakım gerekçelerine iştirak etmesem de, sonuç olarak katılıyorum. Gerçekten de 108 sayılı Sözleşme ile KVKK’nın 9. maddesi arasında bir normlar çatışması bulunduğu kanaatinde değilim. Nitekim Kanun’un 9. maddesi, genel ve soyut kabul edilebilecek Sözleşme’nin 12. maddesiyle uyumsuz ya da aykırı değildir. Aksine bir tamamlayıcı niteliğinde görülebilir.

Bununla birlikte, tüm bu çözüm arayışlarının altında, özelde “güvenli ülkelerin” açıklanmamış olması; genelde de veri lokalizasyonu politikalarını aşmak olduğunun görülmesi gerekir. 108 sayılı Sözleşme’nin 12. maddesinin dayanak gösterilmesi de bu yöndeki çabalardan biridir. Ancak bu çabaların, Kanun’un 9. maddesi karşısında Kurul’un gerekli adımları atmaması yönündeki pasif engelini ortadan kaldırmaya yeterli olmadığı anlaşılmaktadır. Kurul’un bu adımı atmaması şeklindeki eylemsizliğini de çeşitli sebeplere bağlamak mümkün olabilir. Burada özellikle AB üyesi ve diğer başkaca ülkelerin henüz Türkiye’yi güvenli ülke listesine dahil etmemesi karşısında, politik bir duruş ve “mütekabiliyet” ilkesi yönünden özellikle adım atılmasından kaçınılması ihtimali göze çarpmaktadır. Ancak bana göre, bu hukuki-politik sorunun bedelini ödemesi gerekenler, teknoloji devrimini takip ederek Türkiye ekonomisinin çarkını döndürmeye çalışan veri sorumluları olmamalıdır. Yurt dışı veri aktarımı da yukarıda belirttiğim üzere, bu bağlamda değerlendirilmelidir.

Son husus, Kurul’un bu konuda ne yapacağına ve ne yapabileceğine ilişkin olabilir. Öncelikle mevcut konjonktürde, güvenli ülkelerin ancak bu konudaki siyasi problemlerin çözümüyle birlikte mümkün olacağını düşünüyorum. Gerçekten Avrupa Komisyonu GDPR’ın 45. maddesine dayanarak, son 10 yılda; Andorra, Arjantin, Kanada (ticari kuruluşlar), Faroe Adaları, Guernsey, İsrail, Man Adası, Japonya, Jersey, Yeni Zelanda, İsviçre ve Uruguay gibi ülkeler hakkında yeterli koruma kararı almışken henüz bu durum ülkemiz açısından gerçekleşmemiştir. Bu bakımdan, öncelikle sorunun diplomatik ayağında gerekli adımlar atılmalıdır. Ancak 6698 sayılı Kanun’un ortaya çıkışından bu yana dört yılı aşkın bir sürenin geride kaldığı düşünüldüğünde, bu adımlar için fazlasıyla geç kalındığı sonucu da ortaya çıkmaktadır. Bunun dışında, Kurul’un yurt dışı veri aktarımına ilişkin 9. maddeyi işler kılmak adına atması gereken bir başka adım daha bulunmakta ve bu yolun neden hala açılmadığını anlamamaktayım. İşte bu, henüz güvenli ülke listesi açıklanmamış iken, Kurul’un her maddesine kadar kendi belirlediği ve düzenlediği standart yurtdışı veri aktarım taahhütnameleri (bkz: https://kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim) bulunmakta iken, artık bunları değerlendirip kabul etmeye başlamasıdır. En azından bu, geçici bir çözüm olarak, yurt dışı veri aktarım faaliyetini mümkün kılabilir.

---------------------------

[1] Sözleşme’ye taraf olan 55 ülkenin listesi için bkz: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures, (Çevrimiçi 25 Eylül 2020).

[2] Konu hakkında detaylı bilgi için bkz: Ahmet Murat Bilgin, “AİHS ve Diğer Uluslararası Anlaşmaların İç Hukuktaki Yeri Bağlamında 2004 Değişikliğinin Beraberinde Getirdiği Sorunlar ve Bazı Çözüm Önerileri”, Marmara Üniversitesi Hukuk Fakültesi Hukuki Araştırmalar Dergisi, C. 22, S. 1, s. 135, 136.


Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.