Kişisel Verileri Koruma Kurulu’nun 22/07/2020 Tarih ve 2020/559 Sayılı Kararı

Kişisel Verileri Koruma Kurulu tarafından otomotiv sektöründe faaliyet gösteren veri sorumlusuna, reklam ve bilgilendirme amaçlı gönderilen kısa mesajdan (SMS) dolayı 900.000,00 TL ceza uygulandı.

Yaşanan Olayda;
Otomotiv sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişiye reklam ve bilgilendirme amaçlı kısa mesaj (sms) gönderildiği, ilgili kişinin bu durumu kuruma şikâyet ettiği, yürütülen inceleme sürecinde veri sorumlusunun çelişkili ifade vermesi üzerine veri sorumlusu hakkında, müşterilerin kişisel verilerini yurtdışındaki veri tabanlarında saklaması ile ilgili olarak resen inceleme başlattığı görülmektedir.

Konuya ilişkin veri sorumlusundan alınan savunma yazısında özetle;
• Şirket tarafından gerçekleştirilen dijital pazarlama iletişimlerinde web tabanlı bir yazılım kullanıldığı, söz konusu yazılımın web tabanlı olması nedeniyle yazılım üzerinden müşterilere e-posta/sms gönderimi yapılabilmesi için müşterilerin verilerinin, sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına (dış kaynak) aktarıldığı,
• Veri işleyen konumundaki dış kaynak firmaya bu verilerin aktarılmasındaki hukuki gerekçenin ise “Veri sorumlusu olarak şirketin meşru menfaati için veri işlemesinin zorunlu olması” şartı olduğu,
• 108 Sayılı Avrupa Konseyi Sözleşmesi’ne göre; taraflar arasında gerçekleştirilecek kişisel veri aktarımlarında Türkiye tarafından gerçekleştirilmiş herhangi bir sınırlandırma veya özel izne tabi tutulmaya ilişkin herhangi bir işlem bulunmadığı, bu kapsamda 6698 Sayılı Kanunun 9 uncu maddesinin (5) ve (6) numaralı fıkraları da dikkate alındığında 108 sayılı sözleşmenin 12 nci maddesine dayanılarak sözleşmenin taraflarına veri aktarımı yapılmasına ilişkin herhangi bir hukuki sınırlandırma ve/veya engelin bulunmadığı,
• Kişisel verileri yurtdışındaki dış kaynak firmaya aktarılan müşterilerden açık rızanın alındığı, söz konusu açık rızanın 2018 yılından itibaren güncellenmiş “Müşteri Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Rıza Metni” ile alındığı ifade edilmiştir.

Kurul tarafından resen yapılan incelemede;

• Veri sorumlusu tarafından Kurula sunulan bilgi, belge ve açıklamaların incelenmesi neticesinde, veri sorumlusunun müşterilerine e-posta/sms gönderimi yapabilmesi için müşteri verilerini sunucuları Avrupa Birliği üyesi bir ülkede bulunan bulut veri tabanına aktardığı tespit edilmiş olup kurul bu işleme dayanak olarak gösterilen 108 Sayılı Avrupa Konseyi Sözleşmesi’nin başlı başına kişisel verilerin yurt dışına aktarımına cevaz vermediğini,
• Veri sorumlusunun, yurt dışına veri aktarımı yaparken kanunun 9 uncu maddesinde belirtilen şartları yerine getirmesi, bu minvalde açık rıza alınmasını gerektiren bir durum varsa ilgili kişinin açık rızasının alınması gerektiğini vurgulamıştır.
Ayrıca Kurul;
• Veri sorumlusunun yurt dışına aktarımda Kanunun 5 inci maddesinde belirtilen meşru menfaat şartını dayanak gösterirken, meşru menfaatin ne olduğu hakkında herhangi bir açıklamaya yer vermediği,
• Veri sorumlusunun aydınlatma metni ve açık rıza alınmasını tek metinde düzenlediği dolayısıyla ilgili kişiye tercihte bulunma seçeneğini sunmadığı,
• Birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin hangi amaçlarla işleneceğine ilişkin olarak verilmiş olması gerektiği,
• Veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği ikincil işlemler için ise ayrıca açık rıza alması gerekirken yurt dışına veri aktarımı konusunda ilgili kişilerden hukuka uygun bir açık rıza almadığı,
• Yurt dışına aktarımda Kanunun 9 uncu maddesi kapsamında hazırlanması gereken taahhütnamenin hazırlanmadığı ve Kuruldan bu konu ile ilgili izin alınmadığı, dolayısıyla yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varmıştır.

Sonuç;

  1. Veri sorumlusunun, kişisel verilerin yurtdışına aktarılması ile ilgili olarak Kanunun 9.maddesinde belirtilen hususlara uygun bir veri aktarımı gerçekleştirmediği, 108 sayılı sözleşmeye taraf olmanın 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak kurul tarafından yapılacak değerlendirmede bu durumun olumlu bir unsur teşkil ettiği, dolayısıyla gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirildiği, bu sebeple Kanunun “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün yerine getirilmediği kanaatine varıldığından, tüzel kişi veri sorumlusu hakkında, 900.000,00 TL idari para cezası uygulanmasına,
  2. Öte yandan, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin 6698 sayılı Kanunun 7 inci maddesine uygun olarak silinmesi/yok edilmesi ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  3. Veri sorumlusunun, aydınlatma metnini 6698 sayılı Kanunun 10 uncu maddesi ve bu maddeye dayanarak çıkarılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5 inci maddesinde belirtilen hükümlere uygun olacak şekilde güncellemesi ile aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerini ayrı ayrı yerine getirmesi gerektiği yönünde talimatlandırılmasına karar verilmiştir.