İddia ve Savunma

Öncelikle iddianın, amazon.com.tr “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altında,

Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz

Şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı; yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından bu durumun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 9. maddesini ihlal ettiğidir.

Amazon’un savunması ise kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından/ aktarılabileceğinden sadece haberdar olmakla kalmayıp aynı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş oldukları ve aynı zamanda Amazon Turkey’in yurt dışına veri aktarım taahhütnameleri ile ilgili yazışmalarının Kişisel Verileri Koruma Kurumu ile sürdürülmekte olduğu şeklinde özetlenmiştir.

Kurul Tecziye Kararının Yurtdışına Aktarım ile İlgili Bölümü

Kurul kararının konu ile ilgili kısmında şunlar söylenmektedir:

- KVKK’nin 9. maddesi,

(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir, şeklindedir.

- Yapılan incelemede veri sorumlusu Amazon Turkey’nin yurtdışına veri aktarımını sağlamak amacıyla Kurul’un onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek dayanak ilgilinin açık rızasının alınması olarak değerlendirilmektedir.

- Amazon Turkey’in, kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından/ aktarılabileceğinden sadece haberdar olmakla kalmayıp aynı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş oldukları, başka bir ifade ile onay verdikleri konusundaki savunması ise Kurul tarafından “zımni irade beyanı ile onay” ve “battaniye rıza (genel nitelikli, konusu belirsiz, ilgili işlemle sınırlı olmayan rıza)” kabul edilmiş, açık rızayı karşılamadığı belirtilmiş ve mevzuata aykırı bulunmuştur.

- Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda KVKK’nin 9/ 1 fıkrası uyarınca ilgili kişilerin açık rızasını alması gerekmektedir. Ancak veri sorumlusu Amazon Turkey yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmemiş, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğunu varsaymıştır.

- Sonuç olarak, Amazon Turkey hakkındaki iddialardan biri olan yurtdışına veri aktarımı konusunda da KVKK’nin 12/ 1 maddesi uyarınca yükümlülüklerin yerine getirilmediğine ve veri sorumlusunun KVKK’nin 18/ 1 (b) bendi kapsamında 1.100.000 TL idari para cezası ile tecziyesine karar verilmiştir.

KVKK Uyarınca Yurtdışına Aktarım ile İlgili Hükümler

KVKK’nin 9. maddesinde kademeli bir düzenleme öngörülmüştür. Buna göre, kural, kişisel verilerin, ilgili kişinin ancak açık rızası ile yurt dışına aktarılabilmesi, açık rızası yok ise aktarılamayacak oluşudur.

KVKK’nin 5/ 1. maddesinde de kişisel verilerin işlenmesi yine açık rızaya bağlanmış ve fakat aynı maddenin 2. fıkrasında 7 bent halinde sayılan şartlardan birinin varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu öngörülmektedir. Keza KVKK’nin 6. maddesinde de özel nitelikli kişisel verilerin yine ancak açık rıza ile işlenebilecekleri, 3. fıkrada sayılan durumlarda ve sayılan kişilerce yapılacak işlemelerde ise ilgilinin açık rızasının aranmayacağı düzenlenmektedir.

Bir sonraki adımda yapacağımız değerlendirmede, yurt dışına aktarımı düzenleyen 9. maddenin 2. fıkrası gereğince, kişisel verilerin, 5/ 2 ve 6/ 3maddelerinde belirtilen şartlardan birinin varlığı halinde ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması kaydıyla veyahut  

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin düzenlendiği görülmektedir.

Maddenin 3. fıkrasına göre ise, yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilmek durumunda olup 4. fıkrada Kurul’un yabancı ülkede yeterli koruma bulunup bulunmadığına ve 2/ (b) bendi uyarınca yapılan taahhüt izni başvurusuna izin verilip verilmeyeceğine karar verirken kullanacağı kriterlere yer verilmiştir.

Sorun Tespitlerimiz

Uzun yıllar süren kanunlaşma çalışmalarının ardından 6698 sayılı KVKK, 24.03.2016 tarihinde kabul edilmiş, 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiş, yurt dışına aktarımı düzenleyen 9. maddenin de aralarında bulunduğu birtakım maddelerin yürürlüğe 6 ay ertelenmiş, dolayısıyla bu hükümler de 07.10.2016 tarihi itibariyle yürürlüğe girmiştir.

O günden bugüne geldiğimizde, Kurul’un dört yıla yakın süredir “yeterli korumanın bulunduğu ülkeler”i belirlemediği malum olup kanımızca, Covid19 salgını ile dijital kullanımın yaygınlaşması ve buna ilişkin sistemlerin çoklukla yurtdışı merkezli olması üzerine, Kurul birtakım tavsiye kararları ve kurallar yayınlamıştır.

Örneğin, 27.03.2020 tarihinde yayınlanan kamuoyu duyurusu ile Covid-19 ile mücadele sürecinde KVKK kapsamında bilinmesi gerekenler açıklanmış, genel ilkeler duyurulmuş, sıkça sorulan bazı sorulara yanıt verilmiş (sorular yurtdışı aktarım ile ilgili olmadığından burada yer verilmemektedir); 07.04.2020 tarihli kamuoyu duyurusunda uzaktan eğitim platformlarından veri merkezi yurtdışında olanların kullanılması halinde KVKK’nin 9. maddesine uygun olmayan aktarımların ihlal anlamına geleceği uyarısı yapılmış; 10.04.2020 tarihinde GDPR temelli bir düzenleme olan Bağlayıcı Şirket Kuralları (Binding Corporate Rules-BCR) belirlenmiş ve KVKK’nin 9/ 2 (b) bendindeki taahhütname usulünün bilhassa çok uluslu şirket toplulukları arasında yapılacak veri aktarımlarında uygulama pratiğinden yoksun olduğu kabulü ile birlikte söz konusu şirketler arasında gerçekleştirilecek uluslararası veri aktarımlarında kullanılmak üzere “Bağlayıcı Şirket Kuralları”na başvurulmuştur. Bu kapsamdaki şirketlerin, Kurul’un belirttiği formu doldurup gerekli talimatları izleyerek yine Kişisel Verileri Koruma Kurumu’na, Bağlayıcı Şirket Kuralları başvurusu yapması gerekmektedir. Yine birkaç gün önce 7 Mayıs 2020 tarihinde yayınladığı “Yurt Dışına Kişisel Veri Aktarımında Hazırlanacak Taahhütnamelerde Dikkat Edilmesi Gereken Hususlara İlişkin Duyuru” ile de bu konuda Kurul’a sunulacak taahhütnamelerde aranan usul ve esasa ilişkin dikkat edilmesi gereken hususlar duyurulmuştur.

Bu tabloda varılan sonuç, Kurul’un, yükümlülüğü veri sorumlularının üzerine yüklediği biçiminde kendini göstermektedir.

Buna benzer bir sorun, uzun yıllar Radyo Televizyon Üst Kurulu’nun (“RTÜK”), 1994 tarihli ve (mülga) 3984 sayılı Radyo ve Televizyonların Kuruluş ve Yayınları Hakkında Kanun’un bir geçiş dönemi hükmü olan Geçici 6. Maddesi ve 6112 sayılı Radyo ve Televizyonların Kuruluş ve Yayın Hizmetleri Hakkında Kanun’un Geçici 4. Maddesi bağlamında gerçekleştirdiği uygulamalar nedeniyle yaşanmış idi. RTÜK, 1994’ten 2014 yılına kadar, 20 yıl boyunca, yapması gereken frekans ihalesini yapmayarak karasal yayınlara lisans ve yayın izni vermediğinden, ülkemizde karasal yayın yapan tüm radyo ve televizyon kuruluşlarının faaliyetleri bir izne dayanılarak değil, 1995 yılında yapılan başvurular temel alınarak yürütülmüştür. Ancak yaklaşık 20 yıl boyunca kanun ile kendisine verilen frekans tahsisi görevini ihale yapmak suretiyle yerine getirmeyen RTÜK, karasal yayın yapan yayın kuruluşlarını frekans tahsisi, kullanımı ve ara verilmesinden kaynaklanan hususlardan dolayı tecziye etmeye devam etmiş, para cezalarının yanı sıra, yayın durdurma, vericilere el koyma gibi ceza ve tedbirleri uygulamıştır. Buna ilişkin RTÜK işlemleri ise, yukarıda izah edilen ihalenin ve frekans tahsisinin yapılmaması nedeniyle çoklukla (idari işlemler açısından) iptal, (ceza soruşturması/ kovuşturması açısından) kovuşturma yapılmasına yer olmadığı veyahut beraat kararları ile sonuçlanmıştır.

Görüldüğü üzere, o sektörün düzenleyici ve denetleyici kuruluşu olan RTÜK, bir yandan 3984 ve 6112 sayılı Kanunlar ile kendisine verilen frekans tahsisi ihalesi işlemlerini, “hizmet kusuru” ve “görevi ihmali” olarak adlandırılabilecek surette 20 yıl kadar süre ile yapmaz ve kanunlar ile öngörülen geçiş sürecini bir türlü nihayete erdirmezken, diğer yandan sektör aktörlerini tecziye etmeye devam etmiş, bunun üzerine hukuka aykırılık iddiaları ile karşılaşmış ve bu iddialar yargı yerleri tarafından da kabul edilmiştir.

Kişisel Verileri Koruma Kurulu’nun kişisel verilerin yurt dışına aktarılması konusunda dört yıla yakın süredir “yeterli korumanın bulunduğu ülkeler”i belirlememesi, yayınladığı ancak pratikte karşılığı çok olmayan duyurular (örneğin BCR kabulü alabilmiş olan şirket sayısı dünya genelinde dahi çok sınırlıdır), taahhütnameler ve izin süreci ile ilgili sorunlar ve sorumluluğun tümüyle sektörün üzerinde bırakılarak bir yandan da ceza tesisine devam edilmesi KVK Kurulu’nun da RTÜK’ün izinde ilerlediğini düşündürmektedir. Nitekim Amazon Turkey kararında, KVK Kurulu’nun kendi ifadesiyle,

Veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmektedir” denilmektedir.

Salt somut durumu değerlendirdiğimizde, Amazon Turkey’nin şu tabloda yurt dışına aktarım için açık rıza almadığı doğrudur ve KVKK’nin salt 12 ve 18. maddeleri bağlamında yapılacak bir değerlendirme ile sınırlı kalındığında, bu eylemi nedeniyle şüphesiz yaptırım da uygulanacaktır.

Ancak Kurul’un yukarıdaki paragrafta yer alan karar gerekçesinde Amazon Turkey’nin ihlal nedeniyle yaptırıma tabi tutulması, Kurul’un, kanun hükmü gereğince zorunlu olduğu halde belirlemediği bir liste ve veri sorumlusunun yaptığı ve fakat henüz incelemediği bir taahhüt izin başvurusu söz konusu olduğunda bile Kurul’un takdirini cezalandırmadan yöne kullanacağını göstermektedir. Bu gösterge ise “1994’ten sonra yirmi yıl boyunca RTÜK ile yaşanan sorun, kişisel verilerin korunması açısından içerik değiştirerek devam mı edecek?” sorusunu akla getirmektedir.

Dr. Öğr. Üyesi Muammer Ketizmen

Av. Aslıhan Kart