A-

A+

Kişisel Verileri Koruma Kurulu’ndan Çok Konuşulacak Yeni Bir Karar

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kişisel verilerin 108 sayılı Sözleşmeye dayanarak yurt dışına aktarılması hakkındaki kararı (Kurul’un 22.07.2020 tarih ve 2020/559 sayılı kararı) internet sitesinde yayımladı.

Otomotiv sektöründe faaliyet gösteren veri sorumlusunun müşterilerinin kişisel verilerini yurtdışındaki veri tabanlarında saklamasına ilişkin soruşturma başlatılmış ve alınan karar kapsamında;

  • Verilerin yurtdışına aktarılmasında ilgili veri sorumlusu tarafından meşru menfaate ilişkin denge testinin yapılmadığı ve verilerin işlenmesinde geçerli bir meşru menfaatin bulunmadığı belirtilmiş,
  • Aydınlatma metninde ve açık rıza metninde kişisel verilerin yurtdışında bulunan bir firmaya aktarılacağına ilişkin herhangi bir açıklamaya yer verilmediği, açık rızanın usulüne uygun olarak ayrı bir metinde düzenlenmediği ifade edilmiş,
  • Veri sorumlusunun veri aktarımının Avrupa Birliği üyesi bir ülkede yer alan bulut veri tabanına yapıldığı ve Avrupa Birliği üye devletlerinin iç hukukumuza aktarılan 108 sayılı Sözleşmeye taraf olduğu, bu nedenle Avrupa Birliği ülkelerine veri aktarımının ihlal niteliği taşımadığı yönündeki savunması “Kurul tarafından güvenli ülke olarak ilan edilmemiş ülkelere ilgili kişinin açık rızası olmaksızın yapılacak kişisel veri aktarımlarının ancak Kanunun 5 inci maddesinin ikinci fıkrasında veya 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleşmesine imkan tanındığı” belirtilerek reddedilmiş,
  • Ayrıca kararda, 108 sayılı Sözleşmeye taraf olmanın Avrupa Birliği uygulamasında olduğu gibi 6698 sayılı Kanun kapsamında güvenli ülke statüsü tayini bakımından tek başına yeterli olmadığı ancak Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edeceği belirtilmiştir.

Yapılan değerlendirmeler sonucu Kurul, kişisel verileri usulsüz olarak yurtdışına aktardığına kanaat getirdiği ilgili veri sorumlusuna 900.000 TL idari para cezası uygulanmasına ve yurt dışına veri aktarmak suretiyle hukuka aykırı veri işlemenin söz konusu olduğu kanaatine varıldığından bu kişisel verilerin silinmesi veya yok edilmesi gerektiğine karar vermiştir.

Konuya ve ilgili karara ilişkin detaylı açıklamaya kısa süre sonra yayınlayacağımız blog yazılarımızda ayrıca yer vereceğiz.