108 Sayılı Sözleşme Dayanak Gösterilerek Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Karar
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 22/07/2020 tarihinde yurtdışına veri transferinde bulunan şirketleri ilgilendirecek önemli bir karar yayınlandı. Bu karar kapsamında kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında yurt dışına veri aktarımına ilişkin kısıtlamalarla ilgili usul ve esaslar daha da netleştirilmiş ve 108 sayılı Sözleşme (“Sözleşme”) hükümlerinin hukuki statüsü de ayrıca değerlendirilmiştir.
Karara göre;
• 108 sayılı sözleşmeye taraf olmak güvenli ülke statüsü tayini bakımından tek başına yeterli olamayacağından veri sorumlularının veri sahiplerinin açık rızalarını almaksızın kişisel verilerinin yurtdışına aktarımları Kanunun 9. maddesinde belirtilen hususlara aykırı bir durum oluşturmaktadır. Veri sahibinin açık rızası alınırken kendisine sunulacak olan aydınlatama metninde verilerinin yurtdışına aktarılacağına ilişkin net bir ifadenin yer alması gerekmekte ve veri sahibi veri sorumlusu tarafından gerçekleştirilecek olan veri işleme faaliyetini bilerek rıza vermesi gerekmektedir.
• Dolayısıyla 108 sayılı Sözleşmeye dayanıldığı gerekçesiyle, gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirilmiş olup bu durumda Kanun uyarınca veri güvenliğine ilişkin yükümlülükler kapsamında “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğü yerine getirilmemiştir.
• Ayrıca, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin Kanuna uygun olarak silinmesi/yok edilmesi ve sonucundan Kuruma bilgi verilmesi hususunda veri sorumlusuna talimat verilmiştir.
Bu kararlar üzerine Kurum, kişisel verilerin yurtdışına aktarılmasına ilişkin Kanun hükümlerinin mevcut durumda somut olaya nasıl uygulanacağını ve yurt dışına veri transfer eden veri sorumlularının nelere dikkat etmesi gerektiğini konularına ışık tutmuştur. Bu kapsamda Kurum, daha kişisel verilerin yurt dışına aktarımı konusunda güvenli ülke ilan edilmeyen ülkelere açık rıza alınmadan gerçekleştirilecek aktarımların Kanunda yer alan işleme şartlarının birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ile Kurul tarafından aktarıma izin verilmesi halinde gerçekleştirilebileceğini vurgulamıştır. Bunun yanı sıra Kurum’un halihazırda hiçbir ülkenin güvenli ülke olarak addedilmediği ve yurtdışına veri aktarımı için Kurum’a başvurulması sonucu bu başvuruların sonuçlandırılmasının uzun süreler aldığını vurgulaması üzerine mevcut durumda tüm yurt dışına veri aktarım faaliyetlerinin veri sorumluları tarafından açık rıza alınmasından başka bir yöntem bulunmadığı konusunu netleşmiş bulunmaktadır. Son olarak Kurum’un 108 sayılı Sözleşmenin tek başına kişisel verilerin yurtdışına aktarımı konusunda geçerli olmadığını da teyit etmesi 108 sayılı Sözleşme konusundaki tartışmaları giderilmesi bakımından önem taşımaktadır.