“Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına
aktarılması hakkında” Kişisel Verileri Koruma Kurulunun 22/07/2020 tarih ve
2020/559 sayılı Karar Özeti
Karar Tarihi : 22/07/2020
Karar No : 2020/559
Konu Özeti : Kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt
dışına aktarılması hakkında karar
Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından reklam/bilgilendirme amaçlı
gönderilen bir kısa mesaj (SMS) hakkında ilgili kişinin şikayeti üzerine yürütülen inceleme
sürecinde, veri sorumlusundan alınan savunma yazısında şirketleri tarafından pazarlama
amacıyla işlenmesi yönünde rıza alınmış kişisel verilerin veri işleyen konumunda bulunan yurt
dışındaki bir firmaya aktarılmasının ve sadece söz konusu hizmetin yerine getirilmesi amacıyla
bu firma tarafından işlenmesinin, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun)
5 inci maddesinin (2) numaralı fıkrasının (f) bendi doğrultusunda “veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması” şartı kapsamında değerlendirildiğinin ifade
edilmesine rağmen, aynı savunmada veri sorumlusunun “veri gizliliği metni”nin Şikayetçi
tarafından onaylandığı diğer bir ifade ile verilerinin yurtdışına aktarımına rıza verildiğine
yönelik bir önceki ifadesi ile çelişen açıklamaların yer aldığı tespit edilmiştir. Bu duruma
istinaden Kişisel Verileri Koruma Kurulu’nun (Kurul) 08.07.2019 tarihli ve 2019/203 sayılı
Kararı ile veri sorumlusu hakkında müşterilerinin kişisel verilerini yurtdışındaki veri
tabanlarında saklaması ile ilgili olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası
kapsamında resen inceleme başlatılmasına karar verilmiştir.
Bu itibarla, 6698 sayılı Kanunun ilgili maddeleri hakkında veri sorumlusuna bilgi verilerek
kişisel verilerin yurtdışına aktarılmasının Kanunun 9 uncu maddesindeki hangi hukuki
gerekçeye dayandırıldığına dair açıklamaları ile konuya ilişkin tüm bilgi, belge ile kayıtların
tarafımıza gönderilmesi talep edilmiştir. Konuya ilişkin veri sorumlusundan alınan savunma
yazısında ise özetle;
- Şirket tarafından gerçekleştirilen dijital pazarlama iletişimlerinde web tabanlı bir yazılımın kullanıldığı, söz konusu yazılımın web tabanlı olması nedeniyle yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına SFTP kullanılarak (Dış Kaynak Firma) aktarıldığı,
- Müşterilere ilişkin; (1) müşteri bilgisinin, (2) kendilerine e-posta ve SMS gönderim bilgisi dolayısıyla pazarlama bilgisinin ve (3) iletişim bilgisinin, dış kaynak firmaya aktarıldığı, Şirket tarafından yurtdışına herhangi bir özel nitelikli kişisel verinin ise aktarılmadığı,
- Kişisel verileri yurtdışındaki dış kaynak firma’ya aktarılan müşterilerden açık rızanın alındığı, söz konusu açık rızanın 2018 yılından itibaren güncellenmiş Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni ile alındığı,
- Veri işleyen konumundaki dış kaynak firmaya bu verilerin aktarılmasındaki hukuki gerekçenin ise Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde düzenlenen veri sorumlusu olarak Şirketin meşru menfaati için veri işlemesinin zorunlu olması şartına dayandığı,
- 6698 sayılı Kanunun 9 uncu maddesinde kişisel verilerin a) ilgili kişinin açık rızası ile ya da b) yeterli korumanın bulunması veya ilgili ülkede yeterli koruma bulunmuyorsa Kurulun izninin alınması suretiyle Kanunun 5 inci maddesinin (2) numaralı fıkrası ile 6 ncı maddesinin (3) numaralı fıkrasında belirtilen veri işleme şartlarına dayalı olarak yurtdışına aktarılabileceğinin düzenlendiği, Kurulun yabancı ülkede yeterli koruma bulunup bulunmadığına Kanunun 9 uncu maddesinin (4) numaralı fıkrasında yer alan hususlar çerçevesinde karar vereceğinin düzenlendiği, ancak Kurul tarafından bir yabancı ülkede yeterli koruma bulunup bulunmadığına henüz karar verilmemiş olduğu, bunun yanı sıra aynı maddenin (5) ve (6) numaralı fıkrasında kişisel verilerin yurtdışına aktarılmasında uluslararası sözleşmeler ile diğer kanun hükümlerinin saklı olduğunun ortaya konulduğu,
- “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”nin (108 sayılı Sözleşme) iç hukuka aktarıldığı, tüm Avrupa Birliği üye devletlerinin 108 sayılı Sözleşmeye taraf olduğu, Türkiye’nin 108 sayılı Sözleşmenin taraflarına ilişkin “… Sözleşme’nin onaylanmasının geçerliliği bulunmayan “Kıbrıs Cumhuriyeti”nin anılan sözleşmeye taraf olan Güney Kıbrıs Rum Yönetimi tarafından temsil edildiği iddiasının herhangi bir biçimde kabulü anlamına gelmeyeceğini ve Türkiye’de sözde Kıbrıs Cumhuriyeti ile işbu Sözleşme kapsamında herhangi bir temasta bulunma yükümlülüğü getirmeyeceğini” beyan ettiği, bu beyan dışında 108 sayılı Sözleşme’nin taraflarına ilişkin Türkiye tarafından herhangi bir beyanda bulunulmadığı; Anayasanın 90 ıncı maddesinin son fıkrası uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde” olduğunun kabul edildiği, ayrıca ilgili fıkranın devamı hükmünde usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin Milletlerarası antlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma hükümlerinin esas alınacağı düzenlemesine yer verildiği dolayısıyla kişilerin temel hak ve özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği kanısında olunduğu,
- 108 sayılı Sözleşme’nin 12 nci maddesi uyarınca 108 sayılı Sözleşmenin taraflarına gerçekleştirilecek kişisel veri aktarımlarının (a) ve (b) bentlerinde sıralanan istisnalardan biri sağlanmadan yasaklanmaması veya özel izne tabi tutulmamasının 108 sayılı Sözleşmenin getirdiği açık kurallardan biri olduğu, Türkiye tarafından gerçekleştirilmiş herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişkin herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu,
- “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci maddesinin (1) numaralı fıkrasında sınır aşan kişisel veri aktarımlarına ilişkin olarak taraf olmayanlara yapılacak aktarımlarda yeterli koruma sağlanıp sağlanmadığının değerlendirmesinin yapılacağının düzenlendiği, bu doğrultuda ilgili maddenin mefhumu muhalifinden taraf olanlara yönelik yeterli koruma değerlendirilmesinin yapılamayacağının anlaşıldığı, ek protokolün 2 nci maddesinin (2) numaralı fıkrasında ise (1) numaralı fıkraya hangi koşullarda çekince getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir beyanda bulunmadığı,
- Şirketin hukuki gerekçeler (6698 sayılı Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları ile 108 sayılı Sözleşmenin 12 nci maddesi) kapsamında 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki gerekçesine dayanılarak gerekli tüm idari ve teknik tedbirler alınmak suretiyle veri işleyen konumundaki dış kaynak firmaya hukuka uygun olarak veri aktarımının yapıldığı
hususlarına yer verilmiştir. Resen inceleme konusu kapsamında veri sorumlusundan alınan bilgi
ve belgelerin ilgili mevzuat çerçevesinde incelenmesi neticesinde Kişisel Verileri Koruma
Kurulunun 22/07/2020 tarih ve 2020/559 sayılı Kararında aşağıdaki değerlendirmelere yer
verilmiştir.
- Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel Verilerin
İşlenme Şartları” başlıklı 5 inci maddesinin birinci fıkrasında kişisel verilerin ilgili kişinin
açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi,
fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin
kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için
veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin
işlenmesinin mümkün olduğu hükümleri yer almaktadır.
Bu kapsamda kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme
şartlarından birine dayanıp dayanmadığı değerlendirilmeli, eğer bu faaliyet Kanunda belirtilen
açık rıza dışındaki şartlardan en az birine dayalı olarak gerçekleştirilemiyorsa, bu durumda veri
işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmelidir. Açık rıza
alınmasına gerek olmayan hallerden biri de resen incelemeye konu veri sorumlusu tarafından
da belirtildiği üzere Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan
“ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması” şeklinde belirtilen durumdur. Anılan bendin
uygulanabilmesi için kişisel verilerin korunmasına ilişkin temel ilkelere uyulması, veri
sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlüklerinin gözetilmesi ve
yarışan menfaatler arasında yapılacak olan değerlendirmenin sonucunda kişisel verilerin
belirtilen fıkra kapsamında işlenip işlenemeyeceğine karar verilmesi gerekmektedir.
Bu minvalde, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinin uygulanabilmesi
için iki aşamalı bir testin ele alınması gerekir. Yapılacak olan ilk değerlendirmede veri
sorumlusunun meşru menfaatinin varlığı tespit edilmeli, ikinci olarak da, bu menfaatin ilgili
kişinin temel hak ve özgürlüklerine zarar verip vermediği belirlenmelidir. Ancak, resen
incelemeye taraf olan veri sorumlusu tarafından açık rıza dışındaki kişisel veriler açısından yurt
dışına aktarımda Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendindeki işleme şartı
dayanak gösterilirken meşru menfaatin ne olduğu hakkında ve bu menfaati ile kişilerin temel
hak ve özgürlükleri arasında bir denge testi uygulanıp uygulanmadığına ilişkin herhangi bir
açıklamaya yer verilmediğinden, kişisel verilerin veri sorumlusu tarafından yurt dışına
aktarılmak suretiyle işlenmesinde geçerli bir meşru menfaatin bulunduğu kanaati hasıl
olmamıştır. - Bununla birlikte, 6698 sayılı Kanunun 3’üncü maddesinin (1) numaralı fıkrasının (a)
bendinde tanımına yer verilen “açık rıza”nın özgür irade ile açıklama, bilgilendirmeye
dayanma ve belirli bir konuya ilişkin olma şeklinde üç unsuru bulunmaktadır. Bu kapsamda
eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa,
açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması
gerekmektedir. Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil
işlemler için ise (örneğin yurtdışına veri aktarımı gibi) ayrıca açık rıza alması gerekmektedir.
Bununla birlikte, kişisel veri işleme faaliyeti, Kanunda bulunan açık rıza dışındaki şartlardan
birine dayanıyorsa, ilgili kişiden açık rıza alınması yoluna gidilmeyecektir. Nitekim, veri işleme
faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya
dayandırılması, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacaktır.
Veri sorumlusunun, Kurula verdiği savunma yazısında, kişisel verilerin işlenmesinin hukuki
sebebinin “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şartına dayandığını
belirtmekle birlikte; ilgili kişilere sunduğu aydınlatma ve rıza metninde “… Şirketimiz
tarafından sunulan ürün ve hizmetlerin sizlerin beğeni, kullanım alışkanlıkları ve
ihtiyaçlarınıza göre özelleştirerek sizlere önerilmesi ve tanıtılması, kabulünüz kapsamında
paylaşmış olduğunuz iletişim bilgilerinize reklam, promosyon vb ticari elektronik ileti
gönderilmesi, saklanmasını ve … gönderim sağlanması için hizmet aldığı üçüncü kişilerle
paylaşılması amaçlarıyla işbu metni kabul etmeniz halinde vermiş olduğunuz açık rızanız
kapsamında işlenebilecektir.” şeklinde bir bilgilendirmede bulunduğu dikkate alındığında,
kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak
geçekleştirildiği izlenimine neden olduğu değerlendirilmiştir.
Bahse konu savunma yazısının devamında ise, yurt dışına veri aktarımının 6698 sayılı Kanunun
9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci maddenin (2) numaralı fıkrasının (f)
bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki
gerekçesine dayanılarak dış kaynak firmaya yapıldığı; pazarlama iletişimlerine izin vermiş
kişilere/müşterilere e-posta/sms gönderimi yapılabilmesi için müşteri verilerinin sunucuları
Avrupa Birliği üyesi ülkede bulunan bir bulut veri tabanına aktarıldığı ifadelerine yer verildiği
görülmüştür. Ancak, aydınlatma metninde ve açık rıza metninde ilgili kişiler tarafından
pazarlama amaçlı ileti gönderilmesine rıza verilmesi halinde bu kişisel verilerin yurtdışına
bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediğinden
yurtdışına veri aktarımının veri sorumlusunun Kanunun 5 inci maddesinin (2) numaralı
fıkrasında belirtilen açık rıza dışındaki meşru menfaatleri kapsamında mı yoksa, ilgili kişilerin
açık rızalarına istinaden mi gerçekleştirildiğinin anlaşılır olmadığı ya da söz konusu kişisel
verilerin hangilerinin meşru menfaat çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına
istinaden işlendiğinin açıkça belirtilmemiş olduğu kanaatine varılmıştır. - Kanunun “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9 uncu maddesinde de
kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı ancak, kişisel
verilerin 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan
birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma
Kurulu’nun (Kurul) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt
dışına aktarılabileceği hükümleri düzenlenmektedir. Anılan maddenin devamında ise,
“(3)Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi
uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b)
Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve
süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d)
Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak
suretiyle karar verir.
(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili
kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya
kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler
saklıdır.” hükümlerine yer verilmiştir.
Veri sorumlusu tarafından Kurula sunulan bilgi, belge ve açıklamaların incelenmesi
neticesinde, veri sorumlusunun dijital pazarlama iletişimlerinde web tabanlı bir yazılım
kullandığı, söz konusu yazılım üzerinden müşterilerine e-posta/sms gönderimi yapılabilmesi
için müşteri verilerini (müşterilere ilişkin; (1) müşteri bilgisi, (2) kendilerine e-posta ve SMS
gönderim bilgisi dolayısıyla pazarlama bilgisi ve (3) iletişim bilgilerini) sunucuları Avrupa
Birliği üyesi bir ülkede bulunan ,bulut veri tabanına aktardığı anlaşılmıştır.
108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesinin (108 sayılı Sözleşme) “Kişisel Verilerin Sınır Ötesi Akışı ve İç Hukuk” başlıklı
12 nci maddesinde ise;
“(1) Otomatik işleme konu olan veya otomatik işleme konu olmak üzere toplanmış olan kişisel
verilerin her türlü yoldan ulusal sınırların ötesine transferinde aşağıdaki hükümler uygulanır.
(2) Bir Taraf, münhasıran özel yaşamın korunması amacıyla kişisel verilerin diğer bir Tarafa
sınır ötesi akışını yasaklayamaz veya özel müsaadeye tabi tutamaz.
(3) Bununla birlikte her bir Taraf, 2. fıkradaki hükümlere aşağıdaki durumlarda istisnalar
getirebilir:
(a) Kendi mevzuatının, belli kişisel veri veya otomatik kişisel veri dosyası kategorileri için,
bu verilerin veya dosyaların doğasından kaynaklanan özel düzenlemeler içermesi, diğer
Tarafın düzenlemelerinin ise eşdeğer bir koruma içermemesi durumunda;
(b) Bu transferin bir Tarafın ülkesinden, bir diğer Taraf üzerinden Taraf olmayan bir
devletin ülkesine yapılması durumunda, bu bendin başında atıfta bulunulan Tarafın
mevzuatının boşluklarından yararlanmak üzere yapılacak bu tür transferleri engellemek
amacıyla” hükümleri yer almaktadır.
Veri sorumlusu Kurula verdiği savunmasında; müşteri bilgilerinin dış firmaya aktarılmasındaki
hukuki gerekçenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendi kapsamındaki
“veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması” olduğu, Kanunun 9
uncu maddesindeki gerekçesine ilişkin olarak ise; tüm Avrupa Birliği üye devletlerinin iç
hukukumuza aktarılan 108 sayılı Sözleşmeye taraf olduğu, Anayasanın 90 ıncı maddesi
uyarınca “usulüne göre yürürlüğe konulmuş Milletlerarası Antlaşmaların kanun hükmünde”
olduğunun kabul edildiği ve Milletlerarası antlaşmalarla kanunların aynı konuda farklı
hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda Milletlerarası antlaşma
hükümlerinin esas alınacağı düzenlemesine yer verildiği, bu doğrultuda kişilerin temel hak ve
özgürlüklerinden olan kişisel verilerin korunması hakkına ilişkin 108 sayılı Sözleşme ile diğer
kanunlar arasında çıkan uyuşmazlıklarda 108 sayılı Sözleşmenin esas alınması gerektiği
kanısında olunduğu, Kanun hükmünde olan 108 sayılı Sözleşmenin, serbest aktarım ilkelerini
benimseyen 12 inci maddesinin (3) numaralı fıkrasının (a) ve (b) bentleri istisnasına dayanılan
herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin şu zamana kadar Türkiye
tarafından yapılan herhangi bir işlem bulunmadığı, bu kapsamda Kanunun 9 uncu maddesinin
(5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı Sözleşmenin 12 nci maddesine
dayanılarak 108 sayılı Sözleşmenin Taraflarına veri aktarımı yapılmasına ilişki herhangi bir
hukuki sınırlandırma ve/veya engelin bulunmadığı kanısında olunduğu, bununla birlikte
“Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması
Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol”un 2 nci
maddesinin (2) numaralı fıkrasında (1) numaralı fıkraya hangi koşullarda çekince
getirilebileceğinin düzenlendiği, buna karşın ülkemizin ilgili düzenleme hakkında herhangi bir
beyanda bulunmadığı, Kurul tarafından yeterli koruma sağlayan ülkelere ilişkin somut
değerlendirmenin de henüz yapılmamış olduğu, bu minvalde 108 sayılı Sözleşme’nin
Taraflarından olan bir ülkede bulunan Dış Kaynak Firmaya yapılan kişisel veri aktarımının
108 sayılı Sözleşme ve ilgili Ek Protokol’de belirtilen hukuki gerekçelerle yapıldığı ifade
edilmiştir.
Öncelikle, 108 sayılı Sözleşmenin 12 nci maddesinde, Sözleşmeye taraf devletlerin yalnızca
özel hayatın korunması gerekçesiyle diğer taraf devletlere gerçekleşecek kişisel veri
aktarımlarını yasaklayamayacaklarını veya özel bir izin öngörmek suretiyle
kısıtlayamayacaklarının öngörüldüğünü belirtmek yerinde olacaktır. 108 sayılı Sözleşmeye
İlişkin Açıklayıcı Rapor’un (Açıklayıcı Rapor) ikinci fıkrasında, bu düzenlemenin amacının
Sözleşmeye taraf ülkelerin kişisel verilerin korunması bakımından yeterli düzeyde güvenceleri
sağladığı yönündeki ön kabulden hareketle taraf ülkeler arasında veri akışının kolaylaştırılması
olduğu, bununla birlikte, bu hükmün taraf devletler arasındaki veri akışının bildirime tabi
kılınmasına veya tarafların iç hukuklarında belirli durumlarda yurt içinde veya sınır aşan
nitelikte aktarımları yasaklamaya yönelik düzenlemeler yapabilme imkanını ortadan
kaldırmadığı öngörülmektedir. Bahse konu Açıklayıcı Raporda Sözleşmenin 12 nci maddesinin
Avrupa Birliği’ndeki (AB) uygulamasına ilişkin olarak ise, AB’nin gerek mülga 95/46/AT
sayılı Direktif gerek 27/04/2016 tarih ve 2016/679 sayılı Avrupa Parlamentosu ve Konsey
Tüzüğü (Genel Veri Koruma Tüzüğü-GVKT) hükümleri uyarınca 108 sayılı Sözleşmeye taraf
olan ülkeleri herhangi bir başka değerlendirmede bulunmadan yeterli korumaya sahip ülke
olarak nitelendirmediği ve Sözleşmeye taraf olmayı yalnızca yeterlilik değerlendirmesinde
dikkate alacağı bir kriter olarak kabul ettiği hususlarına yer verildiğini de belirtmekte fayda
görülmektedir.
Bu kapsamda, Kanunun 9 uncu maddesinin ikinci fıkrasında öngörülen düzenleme uyarınca,
Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın
yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6
ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli
korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde
gerçekleşmesine imkan tanındığını belirtmek yerinde olacaktır. - Kanunun 9 uncu maddesinin 4 üncü fıkrasının (a) bendinde, Kurulun veri aktarımına izin
verip vermeyeceğine ilişkin değerlendirmede ülkemizin taraf olduğu uluslararası sözleşmelerin
de dikkate alınacağı hükme bağlanmıştır. Kişisel verilerin aktarılacağı ülkenin 108 sayılı
Sözleşmeye taraf olması Kurulun değerlendirmesine esas teşkil edecek unsurlardan sadece bir
tanesini oluşturmakta olup bu durum yeterli korumanın bulunduğu ülkelerin Kurulca
belirlenmesinde kullanılmak üzere Kurulun 02.05.2019 tarihli ve 2019/125 sayılı Kararında da
kabul edilen kriterler arasında yer almaktadır. Bununla birlikte anılan maddede aktarıma konu
kişisel verilerin niteliği ile işlenme amaç ve süresi, aktarımın yapılacağı ülkedeki veri koruma
mevzuatı ve uygulaması ve bu ülkedeki veri sorumlusu veya veri işleyenin taahhüt edeceği
önlemler gibi özellikle kişisel verilerin etkin bir biçimde korunmasını sağlamaya yönelmiş
hususlar ve ülkemiz ile aktarımın yapılacağı ülke arasında veri aktarımına ilişkin karşılıklılık
durumu da Kurulun değerlendirmesinde göz önünde bulundurulan diğer hususlardır.
Bu minvalde, sözleşmeye taraf devletlerin iç hukuklarında belirli durumlarda yurt dışına veri
aktarımını yasaklamaya yönelik düzenleme yapabileceğine dair “108 sayılı Sözleşmeye İlişkin
Açıklayıcı Rapor”da yer alan açıklama ile Kurulun yurt dışına veri aktarımına izin vermesine
ilişkin yapacağı değerlendirmede gerek 108 sayılı Sözleşme gibi ülkemizin taraf olduğu
uluslararası sözleşmeleri gerek kişisel verilerin korunması veya özel hayatın gizliliğini koruma
amacını taşımadan aktarımın yapılacağı ülke ile karşılıklılık halini dikkate alacağına ilişkin
Kanunun 9 uncu maddesinde yer verilen düzenleme göz önünde bulundurulduğunda 6698 sayılı
Kanunda öngörülen kişisel veri aktarım rejiminin 108 sayılı Sözleşme ile uyumlu olduğu
değerlendirilmektedir. - Kanunun 9 uncu maddesinin (6) numaralı fıkrasında ise “Kişisel verilerin yurt dışına
aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer
verilmektedir. Bilindiği üzere, Anayasanın 90 ıncı maddesinde yer alan düzenleme uyarınca
yürürlüğe konulmuş uluslararası antlaşmaların kanun hükmünde olduğu, bu anlamda 108 sayılı
Sözleşmenin de hukukumuzda kanun niteliğini haiz olduğu, Anayasanın 90 ıncı maddesine
5170 sayılı Kanunun 7 nci maddesi ile yapılan ekleme ile temel hak ve özgürlüklere ilişkin
uluslararası antlaşmalarla kanunların aynı konuya ilişkin farklı düzenlemeleri öngörmesi
halinde uluslararası antlaşma hükümlerinin esas alınacağı öngörülmektedir. Ancak, bu
maddenin gerekçesinde “uygulamada usulüne göre yürürlüğe konulmuş insan haklarına ilişkin
milletlerarası antlaşmalar ile kanun hükümlerinin çelişmesi halinde ortaya çıkacak bir
uyuşmazlığın varlığı halinde hangisine öncelik verileceği konusundaki tereddütlerin
giderilmesi amacıyla 90 ıncı maddenin son fıkrasına hüküm eklenmektedir” açıklamasına yer
verildiği, bunun uygulanabilmesi için de söz konusu uluslararası antlaşma hükümlerinin
doğrudan uygulanabilir olması gerektiği, diğer bir ifadeyle antlaşma hükmünün “yeterince açık,
kesin, koşulsuz ve uygulaması için devletin ilave bir tedbir almasını gerektirmeyecek nitelikte”
olması gerektiği belirtildiğinden, doğrudan uygulanabilir olmayan daha soyut ve genel bir
uluslararası antlaşma hükmü ile bir kanun hükmü arasında oluşacak bir uyuşmazlığın
Anayasanın 90 ıncı maddesinin beşinci maddesinde yer alan düzenleme bağlamında bir çatışma
teşkil etmeyeceği ve bu sebeple Anayasanın anılan hükmünün uygulama alanı bulmayacağı
dolayısıyla genel nitelikteki uluslararası antlaşma hükmü ile kanun hükmünün çelişmesi
halinde çelişen kanun hükmünün esas alınarak uygulanması gerektiği değerlendirilmektedir.
108 Sayılı Sözleşmenin 4 üncü maddesinin birinci fıkrası da “her Taraf, kendi iç hukukunda
işbu bölümde yer alan verilerin korunmasına ilişkin temel ilkelere işlerlik kazandırmak
amacıyla gerekli önlemleri alır” hükmünü içermektedir. Diğer bir ifadeyle Sözleşme hükümleri
taraf devletlerin iç hukukunda doğrudan hüküm ve sonuç doğurmamakta, ulusal veri koruma
düzenlemelerine hakim olması gereken temel ilkeleri ve bu düzenlemeler vasıtasıyla ilgili
kişilere sağlanacak güvenceye ilişkin usul ve esasları belirlemektedir. “108 sayılı Sözleşmeye
İlişkin Açıklayıcı Rapor”da da, Sözleşmenin doğrudan uygulanabilir nitelikte olmadığı ve bu
sebeple taraf devletlerin veri koruma hükümlerini iç hukuklarına dahil etmekle yükümlü
kılındıkları ifade edilmektedir. Dolayısıyla 108 sayılı Sözleşmenin 12 nci maddesinin ikinci
fıkrasında yer alan ve tarafların münhasıran özel hayatın gizliliğinin korunması amacıyla diğer
bir taraf ülkeye kişisel veri aktarımını yasaklayamayacağına veya izin koşuluna
bağlayamayacağına ilişkin hükmünün doğrudan uygulanabilir nitelikte olmadığı, bu minvalde
söz konusu hükmün ne Kanunun 9 uncu maddesinin (6) numaralı fıkrası ne de Anayasanın 90
ıncı maddesinin (5) numaralı fıkrası uyarınca öncelikle uygulama alanı bulamayacağı; diğer
taraftan Kanunun 9 uncu maddesinde öngörülen düzenlemenin 108 sayılı Sözleşmenin 12 nci
maddesine de aykırılık teşkil etmediği ve bu itibarla her iki düzenlemenin birbirini tamamlayıcı
nitelikte olduğu dikkate alındığında, 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında
olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına
yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil
edeceğini belirtmekte fayda görülmektedir.
Bu itibarla, öncelikle 108 sayılı Sözleşmenin başlı başına kişisel verilerin yurt dışına aktarımına
cevaz vermediği, veri sorumlusunun yurt dışına veri aktarımı yaparken Kanunun 9 uncu
maddesinde belirtilen şartları sağlamaması halinde hukuka aykırı bir veri işlemenin gündeme
geleceği, bu minvalde açık rıza alınmasını gerektiren kişisel verilerin yurtdışına veri
aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması; Kanunda belirtilen diğer
kişisel veri işleme şartlarına dayanılarak yurtdışına veri aktarımının yapılabilmesi için ise
Kanunun 5 inci maddesinin (2) numaralı fıkrasında ve 6 ncı maddesinin (3) numaralı fıkrasında
belirtilen şartlardan birinin varlığı, tarafların yeterli bir korumayı taahhüt etmeleri ve Kurul
tarafından izin verilmesi halinde yurt dışına kişisel veri aktarımının gerçekleşebileceğini
belirtmek gerekmektedir.
Veri sorumlusunun Kurumumuza verdiği bilgi, belge ve açıklamalardan, ilgili kişilerin
pazarlama amacıyla işlenen kişisel verilerini açık rıza kapsamında, bunun dışında kalan kişisel
verilerinin ise 6698 sayılı Kanunun 9 uncu maddesinin (2) numaralı fıkrasının atfı ile 5 inci
maddenin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması” hukuki gerekçesi kapsamında 108 sayılı sözleşmenin 12 nci
maddesine dayanılarak aktarıldığı anlaşılmıştır. Ancak, veri sorumlusu 108 sayılı sözleşme
kapsamında aktarım yaptığını ifade ederken ilgili dış kaynak firmaya aktarım yapılabilmesine
ilişkin taahhütname hazırlandığına/hazırlanacağına dair herhangi bir bilgiyi Kurula
sunmamıştır. Kurum kayıtlarında da veri sorumlusu tarafından Karar tarihi itibariyle
taahhütnameye ilişkin herhangi bir başvuruya rastlanmamıştır.
Sonuç itibariyle, veri sorumlusu tarafından gerek açık rızanın usulüne uygun ayrı bir metin
olarak düzenlenmemiş olması gerek yurt dışına aktarım yapılacağının ilgili kişilere açık ve
anlaşılır şekilde beyan edilmemiş olması; öte yandan açık rıza dışındaki işleme şartlarına bağlı
olarak gerçekleşecek yurt dışına aktarımlarda ise veri sorumlusu tarafından meşru menfaate
ilişkin denge testinin yapılmamış olması ve aktarım yapılan ilgili firma ile yazılı taahhütname
yapılarak Kurulun izni alınmak üzere taahhütnamenin bir örneğinin Kurumumuza iletilmemiş
olması sebepleriyle, bahse konu aktarımın Kanunun 9 uncu maddesinde belirtilen şartları
sağlamadığı dolayısıyla hukuka aykırı bir veri işlemenin mevcut olduğu kanaatine varılmıştır. - Diğer taraftan, Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesi” başlıklı 7 nci maddesinde, “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir
veya anonim hâle getirilir. (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle
getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. (3) Kişisel verilerin
silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle
düzenlenir.” hükmü yer almaktadır. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi Hakkında Yönetmelik’in 7 nci maddesinde de Kanunun 5 inci ve 6 ncı
maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde,
kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok
edilmesi veya anonim hâle getirilmesi gerektiği düzenlemesine yer verilmektedir.
Bu kapsamda, veri sorumlusu tarafından yurt dışına veri aktarımı konusunda ilgili kişilerden
hukuka uygun bir açık rıza alınmamış olduğu, açık rıza dışındaki işleme şartlarından ise geçerli
bir meşru menfaatin bulunduğuna dair denge testinin yapılmamış olduğu, bununla birlikte yurt
dışına aktarımda Kanunun 9 uncu maddesine uygun olarak taahhütname hazırlanmamış ve
Kurulun izni alınmak üzere Kurumumuza iletilmemiş olduğu dolayısıyla yurt dışına veri
aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından,
veri sorumlusunun yurt dışına veri aktarımında geçerli bir hukuki işleme şartının bulunmaması
sebebiyle Kanunun 7 nci maddesinin (1) numaralı fıkrası ve ilgili Yönetmelik uyarınca, bu
kişisel verilerin silinmesi veya yok edilmesi gerektiği kanaatine varılmıştır. - Öte yandan, bilindiği üzere Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü”
başlıklı 10 uncu maddesi, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde
edilmesi sırasında ilgili kişilere “a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel
verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede
sayılan diğer hakları” konusunda bilgi vermekle yükümlü olduğunu içermektedir. “Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de de
(Aydınlatma Tebliği) veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma
yükümlülüğü kapsamında uyulacak usul ve esaslar belirlenmiştir.
Resen incelemeye konu olayda, veri sorumlusunun açık rıza alımında 2018 yılından itibaren
güncellenmiş Aydınlatma Metni ve Rıza Metnini kullandığı görülmüş olup bahse konu metnin
incelenmesi neticesinde;
- Aydınlatma metninin Kanunun 10 uncu maddesi ve Aydınlatma Tebliğinde belirtilen detayda düzenlenmediği,
- Aydınlatma Tebliği’nin 5 inci maddesinin (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Veri sorumlusunun açık rıza şartına dayalı olarak gerçekleştirilecek veri işleme faaliyetinin, aydınlatma metninin içerisinde ayrı bir başlık altında ancak aydınlatma metni ile birlikte düzenlenmiş olduğu görüldüğünden, söz konusu uygulamanın Tebliğ’in 5 inci maddesine aykırılık oluşturduğu,
- Aydınlatma Tebliği’nin 5 inci maddesinin (h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir” hükmüne yer verilmiştir. Veri sorumlusunun düzenlediği aydınlatma metninde ise kişisel verilerin toplanmasının hukuki gerekçesinin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartları olduğu şeklinde genel nitelikte ifadeye yer verildiği ancak bahse konu hukuki gerekçenin Tebliğ’de belirtildiği üzere Kanunun 5 inci ve 6 ncı maddelerindeki işleme şartlarından hangisine dayandığının açıkça belirtilmediği,
- Aydınlatma Tebliği’nin anılan maddesinin (j) bendinde; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmüne yer verilmiştir. Veri sorumlusunun aydınlatma metninde ise, kişisel verilerin ticari ileti gönderilmesi için hizmet alınan üçüncü kişilerle paylaşılması amaçlarıyla açık rıza kapsamında işleneceğine yer verilmiş olduğu ancak bahsedilen üçüncü kişinin yurtdışında bulunan … isimli firma olduğundan bahsedilmediği, diğer bir ifadeyle bu verilerin yurt dışına aktarılacağına ilişkin açıklamaya yer verilmediği, kişisel verilerin yurtdışına aktarılmasına ilişkin eksik ve yanıltıcı bilgi verilmesi sebebiyle, ilgili kişinin neye rıza gösterdiği ve rızasının sonuçları hakkında tam bir bilgi sahibi olamadığı,
- Aydınlatma Tebliği’nin anılan maddesinin (a) bendinde; “İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.”, (f) bendinde ise; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükümlerine yer verilmiştir. Ancak, veri sorumlusunun aydınlatma metni ve açık rıza alınmasını tek metinde düzenlediği dolayısıyla ilgili kişiye tercihte bulunma seçeneğini sunmadığı
anlaşıldığından veri sorumlusunun Aydınlatma Tebliği’ne uyumda da yeterli dikkat ve özeni
göstermediği kanaatine varılmıştır.Sonuç itibariyle;
- Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak yurtdışına veri aktarımı konusunu düzenleyen Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirilmediği ayrıca 108 sayılı Sözleşmeye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği, dolayısı ile gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, Kanunun “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendi uyarınca 900.000 TL idari para cezası uygulanmasına,
- Öte yandan, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7 inci maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10 uncu maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına
karar verilmiştir.