Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Güncel Bir Kararı Işığında Kişisel Verileri Koruma Kurulu’nun Yurt Dışına Veri Aktarımı ve Zorunlu Açık Rızaya Yaklaşımı Hakkında Gözlemler

Observations on the Personal Data Protection Board’s Approach to Data Transfer Abroad and Compulsory Explicit Consent in the Light of a Recent Decision

Kasım OCAK

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde düzenlenen yurt dışına kişisel veri aktarımı, Kanun’dan ve Kişisel Verileri Koruma Kurulu’ndan kaynaklanan bazı nedenlerle uygulamada önemli sorunlar doğurmaktadır. Yurt dışına kişisel veri aktarımı yapmak için Kanun’da sayılan bazı olanaklar uygulanamaz durumda, bazı seçeneklerin ise etkililiği oldukça tartışmalıdır. Bu nedenle uygulamada hukuka uygun bir açık rıza alınması dışında yurt dışına veri aktarım imkanı görülmemektedir. Ancak teknoloji ve dijitalleşmenin başat rol oynadığı nedenlerle birçok kuruluş Kanun’a aykırı şekilde yurt dışına veri aktarmaya devam etmektedir. Uygulamada ortaya çıkan bu sorunun farkında olan Kişisel Verileri Koruma Kurulu (“Kurul”), bazı yayın ve kararlarında zorunlu şekilde alınan açık rızalara hukuki geçerlilik tanımıştır. Ancak hangi hallerde zorunlu açık rızaya geçerlilik tanıdığına dair bir belirlilik bulunmadığı gibi Kurul’un Kanun’da açık rızanın zorunlu bir unsuru olarak sayılan özgür irade koşuluna idari bir işlem ile istisna getirebilmesi mümkün değildir. Ayrıca Kurul’un kendisine yapılan taahhütname veya bağlayıcı şirket kuralları başvurularının bazılarında başvuru sonuçlanmadan yurt dışına veri aktarılamayacağına, bazı başvurularda ise başvuru incelenirken çeşitli şekillerde yurt dışına veri aktarılabileceğine karar verdiği görülmüştür. Kurul, vermiş olduğu çelişkili kararlar ile yurt dışına veri aktarımı konusunda oldukça yüksek olan belirsizliği giderek artırmıştır. Kurul’un yakın zamanda küresel bir otel zinciri hakkında vermiş olduğu karar, yurtdışına veri aktarımında idarenin ortaya çıkardığı belirsizliği ve Kurul’un zorunlu açık rızaya yaklaşımını anlamak bakımından iyi bir örnektir.

Kişisel Veri, Yurt Dışına Aktarım, Açık Rıza, Zorunlu Açık Rıza, Kişisel Verileri Koruma Kurulu.

The transfer of personal data abroad, regulated in Article 9 of the Law No. 6698, creates important problems in practice for some reasons arising from the Law and the Personal Data Protection Board. While some options listed in the Law for transferring personal data abroad are not applicable and also the effectiveness of some options is highly controversial. For this reason, in practice, there is no possibility of data transfer abroad, except for obtaining an explicit consent in accordance with the law. However, due to the fact that technology and digitalization play a dominant role, many companies continue to transfer data abroad in violation of the Law. Being aware of this problem that arises in practice, the Personal Data Protection Board (“Board”) has given legal validity to the compulsory explicit consents in some of its documents and decisions. However, there is no certainty as to under which circumstances the mandatory express consent is valid, and it is not possible for the Board to make an exception to the free will condition, which is considered as a mandatory element of the explicit consent in the Law, by an administrative act. In addition, it has been observed that the Board has decided that in some of the applications for undertakings or binding company rules, data cannot be transferred abroad until the application is concluded, and in some applications, data can be transferred abroad in various ways while the application is being examined. With the conflicting decisions it has taken, the Board has gradually increased the high level of unpredictability in data transfer abroad. The Board’s recent decision on a global hotel chain is a good example in terms of understanding the uncertainty created by the administration in data transfer abroad and the Board’s approach to compulsory explicit consent.

Personal Data, Data Transfer Abroad, Explicit Consent, Compulsory Explicit Consent, Personal Data Protection Board.

GİRİŞ

Kişisel Verileri Koruma Kurulu, incelememize konu 08.09.2022 tarih ve 2022/924 sayılı Kararı ile küresel bir otel zincirine yurt dışına hukuka aykırı bir şekilde veri aktarması nedeniyle 1.800.000- TL idari para cezası uygulamıştır.

Kurul’un otel firması hakkında vermiş olduğu bu Karar’da yurt dışına veri aktarımı hakkında yaptığı değerlendirmeler, daha önce verilem kararlar ile tutarlılığı ve hukuka uygunluğu bakımından bazı tartışmalı noktalar içermektedir. Bu bağlamda ilk olarak, Kurul kararına konu olay kısaca özetlenecek ve ardından Karar’da öne çıkan tartışmalı konular ortaya konulacaktır.

I. KURUL’UN 08.09.2022 TARİH VE 2022/924 SAYILI KARARI

Karara konu olayda otel zinciri, Türkiye’ye hizmet sunan internet sitesinde kullanıcılardan rezervasyon yaptırabilmeleri için yurt dışına veri aktarımı hakkında açık rıza talep etmekte ve rıza vermeyen kullanıcıları rezervasyon işlemine devam ettirmemektedir. Rezervasyon yapmak isteyen bir ilgili kişi şikayeti üzerine konu Kurul önüne gelmiştir. Aslında burada yurt dışına veri aktarımı hizmetin kullanılabilmesinin gerektirdiği bir zorunluluktur. Yurt dışına veri aktarılmadan hizmetten yararlanmak imkansızdır. Veri sorumlusu, içinde bulunduğu şartlarda kullanıcılardan zorunlu açık rıza alınmasının Kanun’a aykırılık teşkil etmediği şeklinde savunma yapmıştır.