Ajanda

KİŞİSEL VERİLERİ KORUMA KURULU’NUN KİŞİSEL VERİLERİN 108 SAYILI SÖZLEŞME DAYANAK GÖSTERİLEREK YURT DIŞINA AKTARILMASI HAKKINDAKİ YENİ KARAR ÖZETİ YAYIMLANMIŞTIR

08.09.2020

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkındaki değerlendirmesini ortaya koyan yeni karar özeti yayımlanmıştır. Yetkili otoritenin konuya ilişkin detaylı açıklamalarına yer verilen değerlendirmede özetle kişisel verilerin yurt dışına aktarılması bakımından 108 sayılı Sözleşme’nin doğrudan ve öncelikli olarak uygulanabilir nitelikte olmadığı, 108 sayılı Sözleşme’ye taraf olmanın AB uygulamasında olduğu gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği belirtilmiştir. Bu doğrultuda, 108 sayılı Sözleşme’nin başlı başına kişisel verilerin yurt dışına aktarımına cevaz vermediği, veri sorumlusunun yurt dışına veri aktarımı yaparken Kanun’un 9. maddesinde belirtilen şartları sağlamaması halinde hukuka aykırı bir veri işlemenin gündeme geleceği ve bu kapsamda Kurul’un henüz güvenli ülkeler listesini yayımlamamış olduğu da göz önünde bulundurulduğunda, hukuka uygun şekilde kişisel verilerin yurt dışına aktarımı için (i) Kanun’daki açık rıza dışındaki hukuki şartlardan birinin varlığı halinde tarafların yeterli bir korumayı taahhüt etmeleri ve Kurul’un iznini almaları veya (ii) aktarıma ilişkin veri sorumlusu tarafından ilgili kişinin açık rızasının alınması gerektiği açıkça ifade edilmiştir.

 

Karar kapsamında ayrıca, yetkili otoritenin diğer karar ve rehberlerine paralel şekilde “veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki şartına dayanılarak kişisel veri işlenebilmesi için iki aşamalı bir testin ele alınması gerektiği ve yapılacak olan ilk değerlendirmede veri sorumlusunun meşru menfaatinin varlığı ve ikinci değerlendirmede ise bu menfaatin ilgili kişinin temel hak ve özgürlüklerine zarar verip vermediğinin belirlenmesi gerektiği ile eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceği gibi hususlara ilişkin verilmiş olması ve veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği yurt dışına veri aktarımı gibi ikincil işlemler için ise ayrıca açık rıza alması gerektiği hususları vurgulanmıştır.

 

Sonuç itibariyle Kurul tarafından gerek açık rızanın usulüne uygun ayrı bir metin olarak düzenlenmemesi gerek yurt dışına aktarım yapılacağının ilgili kişilere açık ve anlaşılır şekilde beyan edilmemesi, öte yandan açık rıza dışındaki işleme şartlarına bağlı olarak gerçekleşecek yurt dışına aktarımlarda ise veri sorumlusu tarafından meşru menfaate ilişkin denge testinin yapılmamış olması ve aktarım yapılan ilgili firma ile yazılı taahhütname yapılarak Kurul’un izni alınmak üzere taahhütnamenin bir örneğinin yetkili otoriteye iletilmemiş olması sebepleriyle, bahse konu aktarımın Kanun’un 9. maddesinde belirtilen şartları sağlamadığı dolayısıyla hukuka aykırı bir veri işlemenin mevcut olduğu kanaatine varılmış ve veri sorumlusu hakkında 900.000 TL idari para cezası uygulanmasına karar verilmiştir.

Karar özetinin tam metnine ise buradan ulaşabilirsiniz.

NAZALI VERGI & HUKUK

info@nazali.com

Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz