Kişisel Verileri Koruma Kurulu'nun 108 Sayılı Sözleşme Hakkındaki Kararı ve Yurt Dışına Veri Aktarımı Sorunu (original) (raw)
Related papers
Yurt Dışına Kişisel Veri Aktarımı Koşulları Değişiyor
İNTES- İnsan İnşaat Dergisi, 2021
Cumhurbaşkanı Recep Tayyip Erdoğan 12 Mart 2021 tarihinde "makroekonomik istikrarın temini, rekabetçi üretim ve verimlilik artışı ile şeffaf, öngörülebilir ve hesap verilebilir yönetişim" hedefini ortaya koyan Ekonomi Reformları Eylem Planı'nı kamuoyu ile paylaşmış, akabinde söz konusu reformların çerçevesini ve öngörülen gerçekleştirilme tarihlerini somutlaştıran Ekonomi Reformları Tanıtım Kitapçığı 1 ve Ekonomi Reformları Eylem Programı 2 T.C. Hazine ve Maliye Bakanlığı'nın internet sitesinde yayımlanmıştır. Ekonomi Reformları Eylem Planı
2020
Kişisel Verilerin Korunması Kurulu 15.04.2020 tarihinde daha önce yayımladığı kararlarla benzerlik gösteren iki karar yayımladı. Kararların değerlendirmelerine geçmeden önce belirtmek isteriz ki gerçekten kişisel verilerin korunması hukukuna hakim olunmak isteniyorsa, benzerliklerinden dolayı kararları değerlendirmekten, tartışmaktan ve üzerinde konuşmaktan kaçınılmamalıdır. Çünkü bu hukuk alanı somut duruma göre değerlendirme yapmanın gerekli olduğu (diğer hukuk alanlarına göre daha nitelikli bir durum değerlendirmesi yapılması gereken) bir alandır. Doğru bir değerlendirmenin yapılabilmesi ancak birbirinden farklılaşan özellikli durumlar hakkında bilgi sahibi olmakla mümkündür. Bu durumu küçük bir örnekle açıklamak gerekirse sigara içme bilgisi kimi zaman özlük bilgisi kategorisine giren bir kişisel veri iken kimi durumlarda ise sağlık bilgisi kategorisine giren bir özel nitelikli kişisel veri olabilir. Bunun belirlenmesi ise ancak ve ancak somut olayın değerlendirilmesi ile mümkündür. Yayımlanan kararlardan ilki veri sorumlusuna usule uygun başvuru yapılması ve veri sorumlusunun usule uygun başvuruya dürüstlük kuralları çerçevesinde cevap vermesine, ikincisi ise kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğüne aykırılığa ilişkindir. Çalışmamızın konusunu da bu iki kararın değerlendirmesi oluşturmaktadır.
KVKK'dan Kişisel Verilerin Yurt Dışına Aktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları
2020
Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 7 Nisan 2016'da yürürlüğe girmesinden beri, kişisel verilerin yurt dışına aktarımı tam bir muammadan ibaret. Çünkü güvenli olmayan ülkelere veri aktarımı yapılabilmesi için Kurul'a kişisel verilerin korunduğuna ve korunacağına ilişkin bir taahhütname ile başvurarak izin alınması gerekmekte. Ancak (Kurul'a sayıları çok olmamakla birlikte bazı veri sorumluları tarafından izin başvurusunda bulunulduğu biliniyor) Kurul'a bu zamana kadar yapılan başvurulardan herhangi bir sonuç elde edilemedi. Sonuç elde edilemediği gibi Kurul güvenli olan ülkelerin listesini de hala açıklamadı. Böyle bir durumda yurt dışına kişisel veri aktarımı yapmak isteyen veri sorumlularının elinde tek seçenek kaldı o da açık rıza. Ne yazık ki bu yol da teoride mümkün iken uygulamada (çalışanların açık rızalarının özgür iradeyle alınması sorunu, açık rızaların her zaman geri alınabilmesi gibi nedenlerle) imkansıza yakın. Tabi ki bu cümlelerden Kurul'un kötü çalıştığı sonucu çıkarılmamalıdır. Kurul'un kişisel verilerin korunması mevzuatının Türkiye'de yerleşmesi için yoğun ve başarılı bir şekilde çalıştığı kabul edilmelidir. Ancak şu anda gerçekleştirilen yurt dışı aktarımların büyük çoğunluğunun hukuka aykırı bir şekilde gerçekleştirildiği de (Kanun'un dört yıl önce yürürlüğe girdiğini göz önüne aldığımızda) unutulmamalıdır. Kurul'un takdir edilmesi gereken noktaları olduğu gibi eleştirilmesi gereken noktaları da vardır. Açıkçası (kişisel verilerin korunması mevzuatına ve uygulamadaki sorunların çözümüne katkısı olduğunu düşündüğümüzden) bu tarz yapıcı eleştirilerin de gerekli olduğunu düşünüyoruz. Güvenli olan ve olmayan ülkelerin açıklanmasının "karşılıklılık" ilkesinden dolayı zaman alması kabul edilebilir olsa da taahhütnamelere geri dönüşlerin olmaması ve veri sorumlularına hukuka uygun bir yurt dışı aktarımı için (açık rıza dışında) yol gösterilmemesi Kanun'un amacına ters düşmektedir.
2020
6698 sayılı Kanun yürürlüğe girdiği zaman hiçbir sektörün iş faaliyeti bu Kanuna uyumlu değildi ve de Kanun’un yürürlüğe uyumun nasıl sağlanacağı tartışmalara neden oldu. Çünkü Kanun’un hükümleri de uygulamadaki sorunları çözmek konusunda yol göstermede yetersiz kalıyordu. İşte bu noktada da uygulamanın şekillenmesi için yol gösterici olarak Kurul kararları ve rehberleri devreye girdi. Kararlar kişisel verilerin korunması mevzuatının somut olaya nasıl uygulanacağının yaşanan örneklerini teşkil etmektedir. Ayrıca idari para cezalarının hükmedildiğine ilişkin kararların da yer almasıyla caydırıcılık etkisini de barındırmaktadır. Bu çalışmanın konusunu da Kurul’un 02.04.2020 tarihinde yayımlanan kararları oluşturmaktadır.
Kişisel verilerin korunması hakkı yasal düzenlemelere konu olması ve konuya ilişkin özel kanunların öngörülmesiyle günümüzde yeni bir hukuk dalı olarak kabul edilmektedir. Ancak bu hukuk dalı henüz kapsam, içerik ve özellikle uygulanma biçimi bakımından belirsizlikler içermektedir. Bu belirsizliklerin giderilebilmesi ve tam anlamıyla bir kişisel verilerin korunması hukukunun oluştuğunun kabul edilebilmesi için ise konuya ilişkin uyuşmazlıkların yargı makamlarının önüne gelerek içtihatların oluşması ve verilerin korunması amacıyla görevlendirilen kuruluşların açıklama ve kararlarda bulunarak bunları kamuoyuyla paylaşması gerekir. Bu bağlamda, mevzuat ile öngörülmüş ve konuyla ilgili olarak görevlendirilmiş olan Kişisel Verileri Koruma Kurulu'nun yayınları, konunun anlaşılması üzerine oluşturdukları rehberleri, tebliğleri ve bilhassa kararları büyük önem arz etmektedir. Veri sorumlularının hangi noktalara dikkat ederek hassasiyetle yaklaşması gerektiği, ihlallerin hangi konularda yoğunlaştığı ve somut olay açısından ihlal değerlendirmesinin nasıl ve neye göre yapılacağı bu kararların değerlendirilmesiyle anlaşılabilecektir. Kurul da önüne gelen somut olaylara ilişkin vermiş olduğu kararlardan sekiz tanesinin özetini bu düşünce doğrultusunda 20 Nisan 2018 tarihinde yayınlamıştı. Bundan sonra vermiş olduğu kararlardan bazılarını 3 Ağustos 2018 tarihinde ikinci kez kamuoyuyla paylaşarak konuyla ilgili akıllara gelen soruları belli ölçüde cevaplandırmak istemiştir. İlk olarak belirtmeliyim ki, önceki yayınlanan kararlardan farklı konuların yer aldığı ve veri güvenliği ihlallerinin farklı açılardan ele alındığı kararların yayınlanmış olması yerinde olmuştur. Böylece özellikle konunun ilgilileri ve Kanun'un getirdiği yükümlülüklere uyumlu hale gelmek zorunda olan veri sorumluları ve veri işleyenler açısından yol gösterici kararlara yenileri eklenmiştir.
Yurt Dışına Veri Aktarımında Milyonluk Ceza: Kişisel Verileri Koruma Kurulunun Amazon Kararı
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) 7 Nisan 2016 tarihinde yürürlüğe girmesinin peşi sıra yapılan yasal düzenlemelerle kişisel verilerin korunması hukuku alanında hemen her konu belirsizliğini yitirmiş olmasına rağmen yurt dışına veri aktarımı durumu bir türlü açıklığa kavuşturulamayarak büyük bir sorun haline gelmiştir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından konuyla ilgili adımlar atılmaktaysa da bunların mevcut durumu çözmek için yeterli olmadığı açıktır. Zira halihazırda yurt dışına veri aktarımı suretiyle gerçekleştirilen çoğu işleme faaliyetlerinin, konuyla ilgili belirsizlikler dolayısıyla hukuka uygun olması aslında teknik olarak mümkün değildir. Nitekim bu nedenle Kurulun yurt dışına veri aktarımı gerçekleştirilen veri sorumlusu hakkında bu kapsamda ihlal kararı veremeyeceği ve idari para cezasına hükmedemeyeceği gibi söylentiler de söz konusudur. Ancak Kurul, bu söylentilerin aksine 7 Mayıs 2020 tarihinde Amazon Turkey Perakende Hizmetleri Limited Şirketi (Amazon) hakkındaki toplamda 1.200.000 TL'lik idari para cezası uygulanmasına ilişkin 27/02/2020 tarih ve 2020/173 sayılı Kararını (Karar) web sitesinde yayınlayarak, bu konuda yeni bir aşamaya geçmiş ve yurt dışına veri aktarımında idari para cezası verilmeyeceğine ilişkin düşüncelere de son vermiştir. Yurt dışına veri aktarımına ilişkin hükümler ile konuyla ilgili atılan adımları kısaca hatırlayalım: Kanun'un "Kişisel verilerin yurt dışına aktarılması" başlıklı 9. maddesi uyarınca yurt dışına veri aktarımı ilgili kişinin açık rızası olmaksızın gerçekleştirilemeyecek bir işleme faaliyetiyken; Kanun'un 5. ve 6. maddelerinde yer alan hukuki sebeplerden herhangi bir ve/veya birkaçının olması halinde bu aktarımın yapılması mümkündür. Ancak Kanun'un 9. maddenin 2. fıkrası kişisel verilerin aktarılacağı ülkeler bakımından bazı şartlar getirmiştir. Buna göre kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılmasının hukuka uygun olması için kişisel verilerin aktarılacağı yabancı ülkede "a) yeterli korumanın bulunması" veya "b) Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması" şartlarının oluşması gerekir. İlk olarak Kurul tarafından geçen dört (4) yıllık sürede hala yeterli korumanın bulunduğu ülkelerin yayınlanmaması büyük bir eleştiri konusudur. Kurul, 11 Haziran 2019 tarihinde, 02/05/2019 tarih ve 2019/125 sayılı kararıyla yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form ile bu ülkelerin belirlenmesinde esas alınacak kriterleri yayınlamış olsa da bu ülkelerin hala açıklanmamış olması büyük bir eksikliktir.
Kişisel Verileri Koruma Kurulu'nun 16 Nisan 2019 tarihinde yayınlamış olduğu kararına veri sorumlusunun meşru menfaati konu olmuştur. Karar, veri sorumlusunun kanuni yükümlülüğünü yerine getirmek için işlediği kişisel verileri meşru menfaat çerçevesinde kullanma talebiyle Kuruma yapmış olduğu başvuru üzerine verilmiştir. Burada iki farklı işleme şartının söz konusu olduğuna dikkat edilmelidir: Veri sorumlusu "hukuki yükümlülüğünü yerine getirebilmek için" kişisel veri işlemekte veya mevcut amaca özgü işleme faaliyeti sona ermekle birlikte işlemeye devam etmek istediği kişisel verileri "meşru menfaati" çerçevesinde kullanmaya devam etmek istemektedir. Bu yöndeki talebini de Kurula bildirmiştir. Karara konu olan işleme şartlarının önemi ve kapsamı nedeniyle, öncelikle söz konusu istisna hallerini ve bu hallere ilişkin tartışmalı noktaları açıklayarak Kurulun kararını değerlendirmeye çalışacağım. Bu kapsamda özellikle Kurulun vermiş olduğu kararla getirdiği ek düzenlemelere değineceğim ve veri sorumlularının dikkatli olmaları gereken hususların altını çizeceğim. Ayrıca Kurul kararında değinilen her iki istisna halinin de ele alındığı Anayasa Mahkemesi'nin 28 Eylül 2017 tarihli 2016/125 E. ve 2017/143 K. numaralı kararına da yeri geldikçe değineceğim. Veri sorumlusunun kanuni yükümlülüğü ve meşru menfaati çerçevesinde kişisel veri işlemesine ilişkin 25/03/2019 tarihli ve 2019/78 sayılı Kararın konusu Olayda "Akaryakıt Dağıtım Firması" olarak faaliyet gösteren bir şirket, ilgili mevzuat ve kararlar gereğince bir denetim sistemi kurma yükümlülüğü altında olduklarını ve bu sistemi kurabilmek için araç sahiplerinin kişisel verilerinin işlenmesinin zorunlu olduğunu belirterek meşru menfaatlerinin korunması için açık rıza olmaksızın veri işleme talebinde bulunmuştur. Buna göre 5015 sayılı Petrol Piyasası Kanunu doğrultusunda faaliyet gösteren şirket, Enerji Piyasası ve Düzenleme Kurulu Kararı ile getirilen yükümlülük çerçevesinde satış hareketlerini (plaka, akaryakıt türü, miktar, fiyat, saat dakika ve saniye şeklinde zaman) gösteren, sorgulama imkânı veren ve ilgili Kurumun anlık erişime de açık olan bir sistem kurmuştur. İlgili şirket, bu sistemde yer alan plaka ve akaryakıt türüne ilişkin verilerin sektörde hatalı akaryakıt dolumlarına neden olması nedeniyle geliştirilen "Araç Tanıma Projesi"ni kullanmak istemektedir. Bu proje ile birlikte akaryakıt ve plaka verileri otomatik olarak eşleştirilerek yanlış akaryakıt alımları engellenmektedir. Veri sorumlusu şirket, yanlış akaryakıt dolumlarının önüne geçebilmek için kullanacağı bu sistem için tüketicinin araç plakasını kullanmak zorunda olduğunu ve böylece meşru menfaatlerinin korunmuş olacağı gerekçesiyle otomasyon sistemi kapsamında işlediği bazı verileri, veri ilgilisinin açık rızası olmaksızın ilgili proje kapsamında kullanma talebiyle Kuruma başvuruda bulunmuştur.
Kişisel Verileri Koruma Kurulunun 17 Temmuz 2019 Tarihli Karar Özetlerine İlişkin Değerlendirme
6698 sayılı Kanun ve konuya ilişkin diğer mevzuatta kendisine verilen görev ve yetkilerini yerine getirmek ve kullanmakla görevli olan Kişisel Verileri Koruma Kurulu, bu doğrultuda kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikayetlerini karara bağlamakla da yetkilidir. Kurul, ayrıca şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin hukuka uygun olarak işlenip işlenmediğini inceleyecek ve gerektiğinde de bu konuda önlemler alacaktır. Kanun'un yürürlüğe girmesi ve konuya ilişkin diğer hukuki düzenlemelerin oluşturulmasıyla kişisel verilerin korunması hukukuna ilişkin genel bir çerçevenin çizilmesinin ardından Kurul, bu görev ve yetkilerine dayanarak konuya ilişkin olarak somut olayları karara bağlamakta ve bunlardan gerekli gördüğünü kamuoyu ile özet biçiminde paylaşmaktadır. Bu yazının konusunu da Kurul'un 17 Temmuz 2019 tarihinde yayınlamış olduğu farklı tarihlere ait kararları oluşturmaktadır. Kararları, özellikle somut olaydaki soru ve sorunlar ile Kurulun buna karşı bakış açısı bağlamında ele alacak, son olarak görüş ve önerilerimle değerlendirilip sonuçlandıracağım.
2024
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yürürlüğe girmesi ve veri sorumluları tarafından uyum çalışmalarının yapılmasıyla birlikte uygulamada birtakım sorunlar belirmişti ve oldukça uzun bir süredir bu sorunları giderecek nitelikte mevzuat değişikliği beklenmekteydi. Söz konusu mevzuat değişikliğini içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, (“7499 sayılı Kanun”) 02.03.2024 tarihinde kabul edilmiş olup 12.03.2024 tarihinde de Resmî Gazete’de yayınlanmıştır. 6698 sayılı Kanun değişikliğine ilişkin maddelerin yürürlük tarihi ise 01.06.2024 olarak düzenlenmiştir. Bu noktada belirtilmesi gereken önemli bir husus ise KVKK mevcut m. 9/1 fıkrasının değiştirilen haliyle birlikte 01.09.2024 tarihine kadar yürürlükte kalacağıdır. Kanun değişiklikleri beklendiği üzere özel nitelikli kişisel verilerin işlenmesi ve yurt dışına veri aktarımına ilişkin Kanun’un 6. ve 9. maddelerinde yoğunlaşmış olmakla birlikte diğer bazı maddelerde de etkili olmuştur. Bu değişiklikler ileride her madde bakımından detaylı bir şekilde incelenecektir. Ancak burada açıklığa kavuşturulmak istenen temel husus, nihayet uygulamadaki sorunların giderilip giderilmediğidir. Zira uygulamada Kanun’a uyum çalışmaları bazı açılardan deyim yerindeyse tıkanmış durumdadır. Veri sorumluları bir yandan Kanun’un belirlediği düzenlemelere tamamen uymak isteğindeyken diğer taraftan bunu yapmaları halinde ticari faaliyetlerine ne şekilde devam edecekleri noktasında çıkmazdadırlar. Aynı şekilde bu alanda çalışan hukukçular da süreçleri Kanun’a tamamen uygun bir şekilde tasarlamakta ve müvekkillerine tavsiyelerde bulunmakta zorlanmaktadırlar. 7499 sayılı Kanun ile yapılan değişiklikler, uygulamadaki sorunlara ışık tutabilecek ve hem veri sorumlularının hem de uygulamacıların yollarını bulabilmelerini sağlayacak mı? Yapılan değişiklikleri tek tek inceleyerek bu soruyu yanıtlamaya çalışalım.
Kişisel verilerin korunması hakkının her geçen gün daha fazla ilgi çektiği ülkemizde buna paralel olarak, 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ardından kişisel verilerin korunması alanına ilişkin yönetmelik, tebliğ ve karar yayınlanması yoluna gidilerek konu, yetkililer tarafından yasal düzenlemeler ile kapsamlı bir biçimde açıklanmak istenmektedir. Kişisel verilerin korunması hakkının konu edildiği çalışmalar uzun zaman öncesine dayansa da konuya ilişkin ilk somut adım, söz konusu hakkın 2010 yılında yapılan Anayasa değişikliği sonucu Anayasanın 20. maddesine eklenen 3. fıkrasıyla Anayasal güvence altına alınması ile atılmıştır. Bu husus kişisel verilerin Anayasal düzeyde korunmaya değer görülmesi ve özel hayatın gizliliği başlığı altında düzenlenmiş bulunsa da özel hayat kavramından ayrı olarak zikredilmesi oldukça önemli olmuştur. Anayasada yapılan değişikliğin ardından zaman içerisinde kişisel verilerin korunması hakkının kapsamlı bir şekilde düzenlenmesi ihtiyacının artması ile nihayet 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girerek; söz konusu ihtiyaç büyük ölçüde giderilmeye çalışılmıştır. Kişisel verilerin korunması hakkı, konuyla ilgili daha önceki yazılarımda da belirttiğim gibi birçok hak ile bağlantılı olup; oldukça geniş bir kavramı ifade eder. Özellikle teknolojinin geldiği nokta ile bağlantılı olarak hangi faaliyet içerisinde bulunursa bulunulsun, kişisel veriler alınmadan, tutulmadan veya herhangi bir biçimde işlenmeden bu işlemlerin yapılması mümkün değildir. Üstelik bu yalnızca ekonomik ve mesleki faaliyetlerle sınırlı olmayıp; gündelik ihtiyaçlarımızda dahi sıklıkla karşılaştığımız ve ihtiyaç duyduğumuz bir husus haline gelmiştir. Günlük hayatımızın bu denli içerisine girerek, her anımızla ilişkili olan kişisel verilerin korunması hakkının yalnızca Kanun ile hüküm altına alınan düzenlemelerle yeterli bir korumaya sahip olması beklenemez. Bu nedenle Kanun'un genel olarak düzenlediği hususları açıklamak ve eksik kalan noktaları tamamlamak amaçlarıyla başta yönetmelik olmak üzere diğer hukuki araçların kullanılması zorunludur. Nitekim 6698 sayılı Kanun tarafından hüküm altına alınmış bulunan birtakım konulara ilişkin usul ve esasları belirlemek amacıyla yönetmelikler yayınlanacağı öngörülmüş ve Kanun'dan sonra birçok farklı kırılım noktasında yayınlanan yönetmelikler ile konunun daha iyi anlaşılması sağlanmaya çalışılmıştır. Kişisel verilerin korunması alanında yaşanan gelişmeleri son olarak tarafımızca da beklendiği üzere Kişisel Verileri Koruma Kurulu tarafından yayınlanan karar ve tebliğler takip etmiştir.