Kişisel Verilerin Korunması Kurulu’nun Amazon Kararı Işığında Kişisel Verilerin Yurt Dışına Aktarılması
Giriş
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da ("KVKK" veya "Kanun") sınırlar ötesi aktarıma ilişkin koruyucu düzenlemeler içerir. Ayrıca, Türkiye de dahil olmak üzere dünya çapında veri koruma otoritelerinin yurt dışı aktarımına büyük önem verdiği ve tespit edilen ihlaller için önemli idari para cezaları uyguladığı görülmektedir.
Bunlardan biri Kişisel Verileri Koruma Kurulu'nun ("Kurul") 27.02.2020 tarih ve 2020/173 sayılı kararıdır ("Amazon Kararı")[1]. İlgili kararda Kurul, aşağıda özet olarak yer verilen gerekçelerle Amazon Türkiye Perakende Hizmetleri Limited Şirketi ("Amazon Türkiye") hakkında toplam 1.200.000,00 Türk Lirası idari para cezası uygulanmasına karar vermiştir.
- Kanun'da belirtilen genel ilkelere uyulmamış ve ticari elektronik ileti gönderimi için açık rıza alınmamıştır.
- Kişisel verilerin yurtdışına aktarımı için usulüne uygun bir açık rıza alınmamıştır.
- Çerezlerin kullanımı konusunda yeterli aydınlatma yapılmamıştır.
Amazon Kararı, çok sayıda tartışmalı konuya detaylı açıklık getirmesi bakımından önem taşır. Kararda ele alınan her bir konu ayrı ayrı incelenmeye değer olmakla birlikte, bu makalede Kanun kapsamında sınır ötesi aktarımlara ilişkin sistematik yaklaşımın kısa bir açıklaması sunulur ve Kurul'un yalnızca uluslararası aktarımlara ilişkin değerlendirmesi ele alınır.
KVKK Uyarınca Kişisel Verilerin Yurt Dışına Aktarımı
KVKK m. 9 uluslararası veri aktarımlarını düzenler ve veri sorumlularına üç hukuka uygun aktarım seçeneği sunar. Veri sorumlusu şirketler, yurt dışına kişisel veri aktarımı için (i) aktarım yapılacak ülke ile ilgili yeterli koruma kararına, (ii) Kurul tarafından onaylanmış yazılı bir taahhütnameye veya (iii) açık rızaya dayanabilir. Buna ek olarak, kişisel veri aktarımları, diğer işleme faaliyetlerinde olduğu gibi Kanun kapsamında düzenlenen hukuka uygunluk nedenlerinden birine dayanmalıdır.
Yeterli Korumanın Bulunması
Kişisel veriler, yabancı ülkede yeterli korumanın bulunması ve KVKK m. 5/2 ve 6/3’te yer alan hukuka uygunluk nedenlerinden birinin varlığı kaydıyla ilgili kişinin açık rızası aranmaksızın aktarılabilir. Kanun uyarınca güvenli ülkeler listesi Kurul tarafından belirlenerek ilan edilir. Kurul bu belirlemeyi yaparken Türkiye’nin taraf olduğu uluslararası sözleşmeleri, verinin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılılık durumunu, her somut kişisel veri aktarımına ilişkin kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını ve ilgili ülkede bulunan veri alıcısı tarafından taahhüt edilen önlemleri değerlendirir. Ancak Kanun’da yer alan bu düzenlemeye rağmen Kurul henüz güvenli ülkeler listesini ilan etmemiştir. Dolayısıyla, veri sorumluları için aslında en uygulanabilir veri aktarım mekanizması olmakla birlikte, ilgili ülkede yeterli korumanın bulunması şartına dayanmaları pratikte mümkün değildir.
Bununla birlikte, Cumhurbaşkanının Orta Vadeli Programın (2024-2026) Onaylanması Hakkında Kararı’nda[2] KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) başta olmak üzere Avrupa Birliği müktesebatına uyum sürecine yönelik çalışmaların 2024 yılının son çeyreğinde tamamlanacağı belirtilir. Bu çerçevede, güvenilir ülke listesinin de ilan edileceği ve aynı zamanda kişisel verilerin yurt dışına aktarımına ilişkin düzenlemelerin güncellenerek veri sorumluları için daha uygulanabilir hale getirileceği öngörülür.
Taahhütname İmzalanması
Uluslararası veri aktarımında bir diğer yöntem ise, Türkiye'de yerleşik veri sorumlusu ile yurtdışında bulunan alıcının yeterli korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunmasıdır. Taahhütname, Kurul tarafından taahhütnamede kullanılacak dil, dikkat edilmesi gereken hususlar, veri konusu kişi grupları ve veri kategorileri gibi konulara ilişkin belirlenen asgari unsurlara uygun olmalıdır. Taahhüdün Kurul tarafından onaylanmasının ardından kişisel veriler, taahhüdü imzalayan yurt dışında yerleşik alıcıya aktarılabilir.
Kanun'da açıkça belirtilmemesine rağmen Kurul'un 10.04.2020 tarihli duyurusunda[3] çok uluslu grup şirketleri arasındaki veri aktarımlarında taahhütnamenin uygulanabilir olmayacağı belirtilir. Sonuç olarak, bağlayıcı şirket kuralları bu tür işletmeler tarafından kullanılacak ek bir yöntem olarak tanımlanmıştır. Buna göre, çok uluslu grup şirketleri, Kurum'un resmi internet sitesinde yer alan başvuru formunu doldurmak ve verilen talimatları takip etmek suretiyle hazırladıkları bağlayıcı şirket kurallarının onaylanması talebiyle Kişisel Verileri Koruma Kurumu'na ("Kurum") başvuruda bulunabilirler. İkili taahhütlere benzer şekilde, bağlayıcı şirket kuralları ancak Kurul'un onay vermesiyle yürürlüğe girer.
Açık Rıza
Kişisel verilerin yurt dışına aktarılmasında bir diğer yöntem ise veri sahibinin açık rızasıdır. Kanun'da tanımlandığı şekliyle açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Dolayısıyla geçerli bir açık rıza için veri sahibinin işleme faaliyeti hakkında bilgilendirilmesi, açık rıza kapsamının sınırlandırılmış olması ve son olarak rızanın özgür iradeye dayandırılmış olması gerekir. Bu nedenle, bir hizmetin sunulması kişisel verilerin işlenmesi için açık rıza verilmesi şartına bağlanamaz. Kurul tarafından yeterli korumanın bulunduğu ülkeler listesi henüz ilan edilmemiş ve çok az sayıda taahhütname onaylanmış olduğundan uygulamada veri sahibinin açık rızası ile yurt dışına veri aktarılması en uygulanabilir yöntem olarak gözükür.
Ancak teknolojik gelişmeler nedeniyle günümüzde kişisel verilerin yurt dışına çıkarılmaması veri sorumluları için oldukça güçtür. Bu nedenle, uygulamada zorunlu olarak alınan açık rıza kapsamında verilerin aktarılabildiği görülür. Bu şekilde hareket eden veri sorumluları tarafından faaliyetlerine devam edebilmeleri için tek yolun açık rıza alınması olduğu ve bu durumun açık rıza şartına bağlanan hizmet olarak değerlendirilmemesi gerektiği savunulur. Kurul, bu konuda verdiği güncel bir kararında gerçekten de veri sorumlusu tarafından sunulan hizmetin açık rıza kapsamında yürütülecek kişisel veri işleme faaliyetleri olmaksızın gerçekleştirilemeyeceği zorunlu durumlarda ilgili kişiden açık rıza alınmasının özgür irade şartını sakatlamayacağını kabul eder. Fakat Kurul aynı zamanda taahhütname veya bağlayıcı şirket kurallarına başvurmaksızın ve Kurul incelemesi sırasında veri sahiplerini geçici süre zorunlu açık rıza alınacağına dair bilgilendirmeksizin sürekli olarak zorunlu bir şekilde açık rıza alınmasını dürüstlük kuralına ve genel ilkelere aykırı olarak nitelendirir[4]. Bu nedenle Kurul, ancak yazılı taahhütname veya bağlayıcı şirket kurallarına ilişkin başvuru süreci başlatıldıktan ve veri sahipleri bu konuda bilgilendirildikten sonra zorunlu olarak açık rıza alınabileceğini belirtir. Sonuç olarak, uygulamada sıklıkla veri sahibinin açık rızasına dayanılmasına karşılık, Kurul’un yaklaşımı açık rızanın istisnai bir yol olarak kullanılması gerektiği yönündedir.
Yurt Dışına Veri Aktarımı Açısından Amazon Kararı
Amazon Kararı’nda Kanun'a aykırı olarak yurt dışına veri aktarımı yapıldığı gerekçesiyle Amazon Türkiye’ye idari para cezası uygulanır.
Kurum'a ulaşan ihbarda, Amazon Türkiye'nin internet sitesinde yer alan "Gizlilik Bildirimi" sayfasının "Amazon Kişisel Bilgilerinizi Paylaşıyor mu?" bölümünde kişisel verilerin yurt dışına aktarıldığının belirtildiği ancak amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, yurt dışına aktarım için açık rıza alınmadığı ifade edilir. Bu iddiaya cevaben Amazon Türkiye, Amazon hesabı oluşturulduğunda ilgili müşterinin “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”ni de kabul ettiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz”) ve site üzerinden sipariş verildiğinde kayıtlı müşteriye gizlilik bildiriminin kabul edildiğine dair tekrar hatırlatma yapıldığını belirtir. Amazon Türkiye bu nedenle kayıtlı müşterilerin kişisel verilerinin aktarıldığından yalnızca haberdar olmadığını aynı zamanda gizlilik bildirimini onaylayarak açıkça rıza gösterdiğini ve uluslararası veri aktarımı taahhüdüne ilişkin yazışmaların Kurum nezdinde devam ettiğini savunmuştur.
Kurul, Amazon Türkiye'nin uluslararası transferler için Kurul'dan onay almak üzere taahhütname başvurusunda bulunduğunu; ancak bu konuda herhangi bir karar verilmediğini tespit etmiştir. Kararda ayrıca Kurul'un söz konusu taahhütnameyi henüz onaylamadığı ve yeterli korumaya sahip ülkelerin de henüz tespit edilemediği vurgulanır. Dolayısıyla, Kurul kişisel verilerin yurtdışına aktarılmasının tek yolunu ilgili kişinin açık rızasının temin edilmesi olarak değerlendirir.
Amazon Türkiye'nin açık rıza aldığı iddiasına karşılık Kurul, örtülü bir irade beyanı ile açık rıza alınamayacağını belirtir. Şöyle ki, Amazon Türkiye "Amazon Hesabınızı Oluşturun" sekmesine tıkladıklarında çıkan "Bir hesap oluşturarak, bu Gizlilik Bildirimi'nde belirtilen uygulamaları kabul etmiş olursunuz" ifadesi ila açık rıza temin edildiğini savunur. Bu anlayışa göre, veri sahipleri internet sitesi veya mobil uygulama üzerinden hesap oluşturmak ve daha sonrasında sipariş vermek suretiyle aktarım dahil çerezlerle izleme, paylaşma, depolama gibi birçok veri işleme faaliyetine zımnen izin vermiş olurlar. Ancak Kurul, açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine onay vermesi anlamını taşıdığını vurgular. Belirli konu veya işlemle sınırlı olmayan genel nitelikte rızalar "battaniye rıza" olarak nitelendirilir ve hukuken geçersiz kabul edilir.
Amazon Kararı, “Gizlilik Bildirimi”ne onay verildiği yönünde yapılan bilgilendirmenin ve çerezlerle izleme, aktarma, paylaşma, depolama gibi birden çok veri işleme faaliyetinin tek bir beyan ile onaylanmasının hukuka aykırı olacağını ifade eder. Veri sorumlularının yurt dışına veri aktarımı başta olmak üzere, açık rızaya dayanılan her bir işleme faaliyeti için ayrı ayrı rıza alınması gerektiğini vurgular.
Sonuç
Amazon Kararı, ticari elektronik ileti gönderilmesi, üçüncü kişilere ait verilerin işlenmesi ve çerezler vasıtasıyla kişisel veri toplanması gibi günlük hayatta sıklıkla karşımıza çıkan tartışma konularına dair kıymetli değerlendirmeler içerir. Yurt dışı aktarımı açısından ise uygulamada yapılan pek çok hatayı gözler önüne sermesi açısından oldukça değerlidir. Özetlemek gerekirse; Amazon Türkiye tarafından yayınlanan “Gizlilik Bildirimi” gibi tüm süreçleri içeren standart metinler usulüne uygun bir aydınlatma yerine geçmez. Veri sahiplerinin kişisel verilerin işleme ve aktarım amaçları, elde edilme yöntemi, hukuki sebebi ve veri sahibi hakları hakkında aydınlatılması gerekir. Ayrıca kararda “Bir hesap oluşturarak, bu Gizlilik Bildirimi'nde belirtilen uygulamaları kabul etmiş olursunuz”, “Sipariş vererek onay vermiş olursunuz” veya “Sitemizi ziyaret ederek rıza vermiş sayılırsınız” gibi sıkça gördüğümüz ifadelerin geçerli bir açık rıza olarak kabul edilemeyeceği; veri sorumlusu tarafından sunulan hizmetin açık rıza şartına bağlanamayacağı ve her bir işleme faaliyeti için ayrı ayrı rıza alınması gerektiği Kurul tarafından vurgulanır.
- Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti, https://www.kvkk.gov.tr/Icerik/6739/2020-173 (Erişim Tarihi: 07.10.2023).
- Orta Vadeli Program (2024-2026)’ın Onaylanması Hakkında Karar, https://www.resmigazete.gov.tr/eskiler/2023/09/20230906M1-1.pdf (Erişim Tarihi: 09.10.2023).
- Bağlayıcı Şirket Kuralları Hakkında Duyuru, https://www.kvkk.gov.tr/Icerik/6728/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-BAGLAYICI-SIRKET-KURALLARI-HAKKINDA-DUYURU (Erişim Tarihi: 07.10.2023).
- Ocak, Kasım: “Güncel Bir Kararı Işığında Kişisel Verileri Koruma Kurulu’nun Yurt Dışına Veri Aktarımı ve Zorunlu Açık Rızaya Yaklaşımı Hakkında Gözlemler” (https://dergipark.org.tr/tr/download/article-file/3019992, Erişim Tarihi: 09.10.2023).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Genellikle bir çalışan işten ayrıldığında, çalışanın kurumsal e-posta hesabı kapatılmaz ve işverenin bu hesaba erişimi hemen engellenmez. Tam aksine, bu e-posta hesabı, iş ilişkisinin sona ermesinden sonra bir süre aktif tutulur; e-posta arşivi ve yeni gelen iletiler, ayrılan çalışanın yöneticisi veya farklı bir çalışma...
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”)...
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
