Yurtdışına Veri Aktarımında “108 Sayılı Sözleşme” ve “Meşru Menfaat” Yanılgısı: 900.000 TL Ceza (Karar: 2020/559)
Kişisel Verileri Koruma Kurulu (Kurul), 22/07/2020 tarihli bu kararıyla, Türkiye’de faaliyet gösteren şirketlerin yurtdışına veri aktarırken sıkça sığındığı “108 Sayılı Sözleşme zaten kanun hükmündedir, aktarım serbesttir” veya “bulut kullanımı meşru menfaatimizdir” şeklindeki savunmaların hukuki karşılığını netleştirmiştir. Karar, yurtdışına veri aktarım rejiminin katı kurallarını ve uluslararası sözleşmelerin KVKK ile ilişkisini ortaya koymaktadır.
1. Olayın Özeti: Pazarlama Verilerinin Yurtdışı Bulutuna Aktarımı
Olay: Otomotiv sektöründeki bir veri sorumlusunun, reklam içerikli SMS göndermek amacıyla müşterilerinin iletişim bilgilerini AB üyesi bir ülkedeki bulut sunucusuna (dış kaynak firma) aktardığı tespit edilmiştir.
Veri Sorumlusunun Savunması: * Aktarımın 108 Sayılı Sözleşme’nin (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi) 12. maddesine dayandığı ve bu sözleşmenin Anayasa 90 uyarınca kanun üstü olduğu,
- Bulut tabanlı yazılım kullanımının şirketin meşru menfaati (Md. 5/2-f) olduğu,
- 108 Sayılı Sözleşme’ye taraf olan ülkeler arasında veri akışının engellenemeyeceği iddia edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Doğrudan Uygulanabilirlik” Sorunu
Kurul, veri sorumlusunun savunmalarını hem Anayasal hem de teknik açıdan şu şekilde çürütmüştür:
A. 108 Sayılı Sözleşme Aktarıma Tek Başına İzin Vermez
Kurul, 108 Sayılı Sözleşme’nin doğrudan uygulanabilir (self-executing) nitelikte olmadığını belirtmiştir.
- Hukuki Statü: Sözleşme, devletlere iç hukuklarında düzenleme yapma yükümlülüğü getirir ancak doğrudan veri aktarımına vize vermez.
- Güvenli Ülke Statüsü: Bir ülkenin 108 Sayılı Sözleşme’ye taraf olması, o ülkenin KVKK kapsamında “güvenli ülke” sayılması için Kurul tarafından dikkate alınacak bir kriterdir, ancak aktarımın serbest olması için tek başına yeterli değildir.
B. Meşru Menfaat ve Denge Testi (Md. 5/2-f)
Şirket, yurtdışı bulut kullanımını meşru menfaat olarak göstermiştir.
- Kusur: Meşru menfaate dayanabilmek için veri sorumlusunun bir “denge testi” yapması gerekir. Şirketin bu aktarımda kendi menfaati ile ilgili kişinin temel hakları arasında nasıl bir denge kurduğuna dair açıklama yapmaması meşru menfaat şartını geçersiz kılmıştır.
C. Aydınlatma ve Rıza Karmaşası (Md. 10)
Kurul, şirketin aydınlatma ve rıza metinlerini incelediğinde şu hataları bulmuştur:
- Ayrıştırma Hatası: Aydınlatma metni ile açık rıza metni tek bir kutucukta birleştirilmiştir (Tebliğ Md. 5’e aykırı).
- Muğlaklık: Verilerin yurtdışına aktarılacağına dair açık ve anlaşılır bir bilgilendirme yapılmamıştır.
3. Karar Sonucu: 900.000 TL İdari Para Cezası ve İmha Talimatı
Kurul inceleme neticesinde şu yaptırımlara hükmetmiştir:
- Veri Güvenliği İhlali (Md. 12/1): Kanunun 9. maddesindeki aktarım şartları (açık rıza, taahhütname veya Kurul izni) sağlanmadan yurtdışına veri aktarılması nedeniyle 900.000 TL (2020 yılı değeri) idari para cezası uygulanmasına,
- Veri İmha Talimatı: Hukuka aykırı olarak yurtdışına aktarılan kişisel verilerin KVKK 7. madde uyarınca silinmesi veya yok edilmesine,
- Aydınlatma Güncellemesi: Aydınlatma yükümlülüğü ve açık rıza süreçlerinin birbirinden ayrılması ve mevzuata uygun hale getirilmesi için şirketin talimatlandırılmasına,karar verilmiştir.
4. Özgür Eralp Perspektifi: “Bulut Kullanımı Yurt Dışı Aktarımdır”
Bilişim hukuku alanındaki tecrübemizde, şirketlerin “Hizmeti ben sunuyorum, sunucu nerede olursa olsun fark etmez” veya “Yurtdışındaki firma sadece veri işleyenimdir” gibi yanlış bir algıya sahip olduğunu görüyoruz. Ancak veri yurtdışına çıktığı an (sunucu AB’de olsa bile), KVKK’nın 9. maddesi devreye girer.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Yurtdışı menşeli bir CRM, e-posta gönderim aracı (Mailchimp vb.) veya bulut depolama alanı kullanıyorsanız, 108 Sayılı Sözleşme’ye güvenerek hareket edemezsiniz. Mevcut düzende ya her bir kullanıcıdan özel olarak yurtdışı aktarım rızası almalısınız ya da veri aktaracağınız firma ile Kurul onaylı bir Taahhütname imzalamalısınız. Aksi halde, bu kararda olduğu gibi “meşru menfaat” savunması sizi yüksek idari para cezalarından korumayacaktır.
Sıkça Sorulan Sorular
1. Sunucusu Avrupa’da (AB) olan bir yazılım kullanmak KVKK’ya uygun mu?
AB ülkeleri henüz Kurul tarafından “Güvenli Ülke” ilan edilmemiştir. Bu nedenle sunucu AB’de bile olsa, verinin oraya gitmesi için kullanıcının açık rızası veya Kurul onaylı taahhütname gereklidir.
2. 108 Sayılı Sözleşme ne işe yarar?
Bu sözleşme, üye ülkelerin benzer veri koruma standartlarına sahip olmasını hedefler. Ancak Türkiye’den yurt dışına veri aktarımı prosedürlerini sadece KVKK Madde 9 belirler. Sözleşme, prosedürlerin yerine geçmez.
3. “Meşru Menfaat” kapsamında yurtdışına veri aktarılabilir mi?
Evet, ancak bunun için önce Kanunun 5/2 maddesindeki şartlardan birinin varlığı, sonra da 9. maddedeki aktarım mekanizmasının (Taahhütname + Kurul İzni) tamamlanması gerekir. Tek başına “benim menfaatim var” demek yeterli değildir.
4. Aydınlatma metni ile açık rıza neden aynı kutucukta onaylanamaz?
Çünkü aydınlatma bir yükümlülüktür, rıza ise özgür bir seçimdir. İkisini tek kutucuğa koymak, kullanıcıya “aydınlatılmayı kabul ediyorsan rıza da vermek zorundasın” dayatması anlamına gelir ve rızayı sakatlar.
5. 900.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020 yılındaki 900 bin TL, bugün (2026) milyonlarca lirayı bulan ve bir şirketin finansal dengesini bozabilecek seviyede bir yaptırıma karşılık gelmektedir.
Kaynaklar
- KVKK Kurumu – 2020/559 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 5, 9, 12)
- Anayasa (Madde 90)
- 108 Sayılı Sözleşme ve Açıklayıcı Rapor
Etiketler
KVKK, Yurtdışına Veri Aktarımı, 108 Sayılı Sözleşme, Meşru Menfaat, Denge Testi, Bulut Sunucu, İdari Para Cezası, 2020/559 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Güvenli Ülke, Aydınlatma Yükümlülüğü
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),