Kişisel Verileri Koruma Kurumu’nun 22.07.2020 tarihli 2020/559 sayılı kararıyla; Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikayeti üzerine yürütülen inceleme sonucunda;
1. Tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,
2. Hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7 inci maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
3. Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10 uncu maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına karar verilmiştir.
Kişisel Verileri Koruma Kurumu’nun bu kararının konusu her ne kadar Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında karar olarak belirtilmiş olsa da karar içeriğinde veri sorumlusu tüzel kişilerin kişisel verilerin korunması uyum süreçlerinde yapılması gereken ve ancak uygulamada aksayan önemli konulara yer verilerek uygulayacılara güncel bir rehber niteliğinde karar oluşturduğu görülmektedir.
Kişisel Verileri Koruma Kurumu’nun bu kararı ile VERBİS – Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olmanın veya bir kerelik yapılan eğitim ve denetimlerin yeterli olamayacağı, KVKK Uyum sürecini yerine getiren veri sorumlusu tüzel kişilerin oluşturdukları belgelerle işleyişini de uyumlu hale getirmesi gerektiği gerçeği bir kez daha vurgulanmış olmaktadır.
Özellikle genel ifadelere yer vererek hazırlanan aydınlatma ve açık rıza metinleri ile bunlarla uyumsuz politikalar ve kişisel veri envanterlerinin incelenerek, sunucuların yurt dışında olması sebebiyle olsa dahi kişisel verileri yurt dışına aktarmış kabul edilen veri sorumlusu tüzel kişilerce aşağıdaki işleyişlerin ve buna ilişkin metinlerin tekrar gözden geçirilmesi gerekmektedir.
- Aydınlatma metinleri
- Açık rıza metinleri
- Yurt dışına aktarılan kişisel veriler
Uygulayıcılara kolaylık olması açısından bu kararda dikkate alınması gereken konular madde madde başlıklar halinde aşağıda özetlenmiştir.
Kararın tamamına “Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında” Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Karar Özeti bağlantısından ulaşabilirsiniz.
- Şirket tarafından gerçekleştirilen dijital pazarlama iletişimlerinde web tabanlı bir yazılımın kullanılması söz konusu yazılımın web tabanlı olması nedeniyle yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına SFTP kullanılarak (Dış Kaynak Firma) aktarılması, kişisel verilerin yurt dışına aktarılması olarak kabul edilmektedir.
- İdari para cezası yaptırımı uygulanması için; yurt dışına aktarılan kişisel verilerin özel nitelikli kişisel veriler olmasına gerek bulunmamaktadır.
- Metinlerde yer verilen “Veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” sebebine dayanılırken .“ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”na ilişkin iki aşamalı bir denge testi yapılmalıdır.
- Açık rıza”nın özgür irade ile açıklama, bilgilendirmeye dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru bulunmaktadır. Bu kapsamda eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması gerekmektedir.
- Veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.
- Veri gizliliği metinleri Kurul tarafından incelenmekte ve karara dayanak gösterilmektedir.
- Kurum kendisine yapılan başvurulardan yola çıkarak başka konularda “Resen İnceleme” yetkisini kullanmaktadır.
- Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemlerden olan yurtdışına veri aktarımı için ayrıca açık rıza alması gerekmektedir.
- Kanunun 9 uncu maddesinin ikinci fıkrasında öngörülen düzenleme uyarınca, Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığını belirtmek yerinde olacaktır.
- 6698 sayılı Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu değerlendirilmektedir.
- Doğrudan uygulanabilir olmayan daha soyut ve genel bir uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma teşkil etmeyeceği ve bu sebeple Anayasanın anılan hükmünün uygulama alanı bulmayacağı dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği değerlendirilmektedir.
- 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceğini belirtmekte fayda görülmektedir.
- 108 sayılı Sözleşmenin başlı başına kişisel verilerin yurt dışına aktarımına cevaz vermediği, veri sorumlusunun yurt dışına veri aktarımı yaparken Kanunun 9 uncu maddesinde belirtilen şartları sağlamaması halinde hukuka aykırı bir veri işlemenin gündeme geleceği, bu minvalde açık rıza alınmasını gerektiren kişisel verilerin yurtdışına veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması; Kanunda belirtilen diğer kişisel veri işleme şartlarına dayanılarak yurtdışına veri aktarımının yapılabilmesi için ise Kanunun 5 inci maddesinin (2) numaralı fıkrasında ve 6 ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı, tarafların yeterli bir korumayı taahhüt etmeleri ve Kurul tarafından izin verilmesi halinde yurt dışına kişisel veri aktarımının gerçekleşebileceğini belirtmek gerekmektedir.
- Veri sorumlusu 108 sayılı sözleşme kapsamında aktarım yaptığını ifade ederken ilgili dış kaynak firmaya aktarım yapılabilmesine ilişkin taahhütname hazırlandığına/hazırlanacağına dair herhangi bir bilgiyi Kurula sunmalıdır.
- Kurul tarafından Veri sorumlusunun yurt dışına veri aktarımında geçerli bir hukuki işleme şartının bulunmamasının tespit edilmesi halinde sebebiyle Kanunun 7 nci maddesinin (1) numaralı fıkrası ve ilgili Yönetmelik uyarınca, bu kişisel verilerin silinmesi veya yok edilmesi için talimatlandırma yapabilmektedir.
- Aydınlatma metninin Kanunun 10 uncu maddesi ve Aydınlatma Tebliğinde belirtilen detayda düzenlenmelidir.
- Aydınlatma Tebliği’nin 5 inci maddesinin (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Veri sorumlusunun açık rıza şartına dayalı olarak gerçekleştirilecek veri işleme faaliyetinin, aydınlatma metninin içerisinde ayrı bir başlık altında ancak aydınlatma metni ile birlikte düzenlenmiş olduğu görüldüğünden, söz konusu uygulamanın Tebliğ’in 5 inci maddesine aykırılık oluşturmaktadır.
- Aydınlatma Tebliği’nin 5 inci maddesinin (h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir” hükmüne yer verilmiştir. Veri sorumlusunun düzenlediği aydınlatma metninde ise kişisel verilerin toplanmasının hukuki gerekçesinin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartları olduğu şeklinde genel nitelikte ifadeye yer verildiği ancak bahse konu hukuki gerekçenin Tebliğ’de belirtildiği üzere Kanunun 5 inci ve 6 ncı maddelerindeki işleme şartlarından hangisine dayandığının açıkça belirtilmesi gerekir.
- Aydınlatma Tebliği’nin anılan maddesinin (j) bendinde; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmüne yer verilmiştir. Veri sorumlusunun aydınlatma metninde ise, kişisel verilerin ticari ileti gönderilmesi için hizmet alınan üçüncü kişilerle paylaşılması amaçlarıyla açık rıza kapsamında işleneceğine yer verilmiş olduğu ancak bahsedilen üçüncü kişinin yurtdışında bulunan … isimli firma olduğundan bahsedilmediği, diğer bir ifadeyle bu verilerin yurt dışına aktarılacağına ilişkin açıklamaya yer verilmediği, kişisel verilerin yurtdışına aktarılmasına ilişkin eksik ve yanıltıcı bilgi verilmesi sebebiyle, ilgili kişinin neye rıza gösterdiği ve rızasının sonuçları hakkında tam bir bilgi sahibi olamadığı kabul edilmektedir.
- Aydınlatma Tebliği’nin anılan maddesinin (a) bendinde; “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.”, (f) bendinde ise; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükümlerine yer verilmiştir. Veri sorumlusunun aydınlatma metni ve açık rıza alınmasını tek metinde düzenlemesinin ilgili kişiye tercihte bulunma seçeneğini sunmadığı anlamına gelmektedir.
Kişisel Verilerin Korunması ile ilgili olarak şirketinizde veya kurumunuzda alınması gereken idari ve teknik tedbirler ile yaptırılması gereken denetimleri içeren Kişisel Verilerin Korunması Uyum Süreci Danışmanlık hizmetiyle ilgili daha detaylı bilgi almak için aşağıdaki bağlantıya tıklayabilirsiniz.
Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmetleri