Amazon Turkey Kararı Işığında Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel verilerin korunması konusunun günümüzde çok popüler bir konu olduğuna şüphe yok. Buna rağmen kişisel verilerin yurt dışına aktarımı sırasında Kişisel Verilerin Korunması Kanunu (“Kanun“) gerekliliklerine aynı şekilde önem verildiğini söylemek mümkün olmayabilir. Pek çok şirketin Türkiye dışında bulunan sunucuları kullandığını düşündüğümüzde bu konunun bu şirketlerin gündeminde olduğunu umalım. Bu sene Kişisel Verileri Koruma Kurulu (“Kurul“) tarafından verilen Amazon Turkey kararı da (Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon Turkey“) hakkındaki başvuru ile ilgili 27.02.2020 tarihli 2020/173 sayılı karar) yurt dışına veri aktarımının basite alınılmaması gerektiğini ortaya koymuş oldu. Amazon Turkey kararı birkaç farklı konuda ihlalle ilgili olmakla beraber bu yazı da sadece yurt dışına veri aktarımı ile ilgili ihlal ele alınmıştır.

Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel verilerin yurt dışına aktarımı konusu Kanunun 9. maddesinde düzenlenmiştir. Maddenin birinci fıkrasına göre kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişinin açık rızasının olması gerekir. Bununla beraber, aşağıdaki şartlardan birinin varlığında kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılabilir.

Açık rıza olmaksızın kişisel verilerin yurt dışına aktarılabilmesi için:

1. Kişisel verilerin aktarılacağı yabancı ülkede yeterli korunmanın bulunması [Bugün itibariyle Kurul henüz yeterli korumanın bulunduğu ülkeleri ilan etmemiştir]

veya

• Kişisel verilerin aktarılacağı yabancı ülkede yeterli korunmanın bulunmaması halinde Türkiye’deki ve yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesi gereklidir. [Taahhütnamelerde yer alacak asgari unsurlar 9 Mart 2020 tarihinde Kurul’un web sitesinde yayınlanmıştır] 

Amazon Turkey Kararı

Amazon Turkey ile ilgili Kuruma gelen ihbar dilekçesinde, diğer konularla beraber, kişisel verilerin Türkiye dışına aktarılması ile ilgili bir ihbar da bulunuyordu. İhbar dilekçesinde, amazon.com.tr web sitesinin Gizlilik Bildirimi’nde kişisel verilerin yurt dışına aktarılabileceği belirtilmekle beraber, üyelik hesabı oluştururken veya alışveriş yaparken kişisel verilerin yurt dışına aktarılması için ilgili kişilerin açık rızalarının alınmadığı, dolayısıyla aktarım için Kurulun izni de alınmamışsa, Kanunun 9. maddesinin ihlal edildiği öne sürülmüş.

Amazon Turkey ise savunmasında bir yandan ilgili kişilerin “Gizlilik Bildirimini” onaylayarak yurt dışına aktarımı kabul ettiklerini, öte yandan da veri aktarımına ilişkin taahhütnamelerle ilgili Kurulla görüşme halinde olduğunu öne sürmüş. Kısacası, Amazon Turkey’in, savunmasını hem ilgili kişilerin onayını almış olduğuna hem de Kurulla taahhütnamelerle ilgili görüşme halinde olmasının bir şekilde yeterli olduğuna dayandırdığını görüyoruz.

Kurul incelemesi sonucu, Amazon Turkey’in veri aktarımına ilişkin taahhütnameleri sunmuş olduğunu teyit ediyor ancak Kurulun henüz veri aktarımı için izin vermediğini de ekliyor. Aslında Kanun metni bu konuda çok açık olmakla beraber bu Karar ile taahhütnamelerin sunulmasının yeterli olmadığı, ayrıca Kurul’un izninin beklenmesi gerektiğinin altı çizilmiş oluyor. 

Bu durumda, Amazon Turkey’in savunmasındaki diğer dayanak olan “Gizlilik Bildirimi”ne verilen onayın Kurul tarafından yurt dışına aktarım için yeterli bulunup bulunmadığına bakılması gerekiyor.

Aslında “Gizlilik Bildirimi”nin onaylanmasının açık rıza sayılamayacağı aşikar. Kurul da Amazon Turkey kararında bir kez daha “battaniye rızalar” olarak kabul edilen genel nitelikli rızaların hukuken geçersiz sayıldığını hatırlatıyor. Sonuç olarak da web sitesindeki hizmetlerin kullanılmış olmasının ve Gizlilik Bildiriminin onaylanmasının açık rıza olarak kabul edilemeyeceği kararına varıyor. Kararın ilgili kısmında şu açıklamayı görüyoruz: 

“Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir.”

Kurul, yukarıdaki sebeplerle Amazon Turkey’in ilgili kişilerin verilerinin yurt dışına aktarımı için açık rızalarını almadığı için Kanunun 12. maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerine aykırılık oluşturduğuna karar vermiştir.

Sonuç

Henüz Kurul tarafından yeterli korumanın bulunduğu ülkeler ilan edilmediği için kişisel verilerin Kanuna uygun olarak yurt dışına aktarılabilmesi için iki yöntem bulunuyor. Bu yöntemlerden biri Kurula veri aktarımı taahhütlerinin sunulması ve Kurulun izninin alınması, diğeri de ilgili kişinin açık rızasını vermiş olması. Açık rızanın da Kanunda ve Kurul kararlarında belirtilen şartlara uygun alınması gerektiğini unutmamak lazım.