900.000TL tutarında idari para cezası verilmesiyle sonuçlanmış olan bu kararda Kişisel Verileri Koruma Kurulu’nun defaatle üzerinde durduğu konular tekrar işlenmiş, tespit edilen eksiklikler sebebiyle ceza uygulanmıştır. Özellikle 108 sayılı karara dayalı olarak yurt dışına veri aktarımına dair incelemelerin yer aldığı karar bir çok veri sorumlusu için örnek teşkil etmektedir.
Özetle, Kurul tarafından verilen karar aşağıdaki önemli başlıkları işaret etmektedir.
- Veri işleme faaliyetinin dayanağı olarak aynı anda “meşru menfaat”e ve “açık rıza”ya dayanılmasındaki çelişki sebebiyle resen inceleme başlatılmıştır.
- Veri sorumlusu incelemeye karşı aşağıdaki konuları savunmuştur:
- Özel nitelikli kişisel veri içermeyen verilerin, Avrupa Birliği üyesi bir ülkeye güvenli bir şekilde çevrim içi olarak aktarıldığı,
- Veri sahibinden açık rıza alındığı,
- Meşru menfaate dayalı olarak veri işlendiği,
- Kurul tarafından henüz güvenli ülkelerin yayınlanmadığı,
- 108 sayılı “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi”ne de dayanan veri aktarımının hukuka uygun olduğu.
3. Kurul’un bu savunma karşısında kararı ise aşağıdaki başlıkları içermektedir:
- Açık rıza dışında başka bir işleme şartına dayanılması halinde açık rıza alınmasına gerek olmadığı, “meşru menfaat”in de bu şartlardan biri olduğu,
- Meşru menfaate dayanıldığı durumlarda, veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında bir denge testi yapılması ve bu doğrultuda verilerin işlenip işlenmeyeceğine karar verilmesi gerektiği,
- Savunmada meşru menfaatin ne olduğunun açıklanmamış, bir denge testinden de bahsedilmemiş olması sebebiyle geçerli bir meşru menfaat bulunmadığı kanaatine varıldığı,
- Varlığı iddia olunan “açık rıza”nın ise, yeterli bilgilendirmeye dayanmadığı, yurt dışına aktarım ile ilgili bilgilendirme de yapılmadığı,
- Hangi işleme faaliyetinin açık rızaya, hangilerinin meşru menfaate dayalı olduğunun aydınlatma metninde net olarak açıklanmadığı,
- 108 sayılı Sözleşmenin iç hukuk düzenlemelerini ortadan kaldırmadığı, veri aktarımını kolaylaştırıcı bir niteliği olduğu ve tek başına “güvenli ülke” belirlemesine temel teşkil edemeyeceği,
- Somut olayda 108 sayılı Sözleşme’nin genel hükümlerinin değil, 6698 sayılı KVKK’nın özel hükümlerinin uygulanması gerektiği
- Verinin aktarıldığı üçüncü şahıstan verilerin korunacağına dair bir taahhüt ile Kurul’a başvurulmadığı.
- Aydınlatma metninin yasal düzenlemelere uygun detayda düzenlenmediği,
Aydınlatma metni ile açık rıza alınması işlemlerinin ayrı tutulması gerekirken birleştirildiği belirtilmiştir.
Yurt dışına veri aktarımı söz konusu olduğunda, aktarım yapılacak veri sorumlusu veya veri işleyenden alınacak taahhütlerde asgari olarak yer alması gereken maddeler, 09.03.2020 tarihinde Kişisel Verileri Koruma Kurulu tarafından yayınlanmıştır.
Kararın Detayı ve Diğer Kurul Kararları için
Daha da özetleyecek olursak,
1) Veri işleme şartlarının doğru tespit edilmemiş olması,
2) Aydınlatma ve açık rıza alınması işlemlerinin yasal düzenlemelere uygun olmaması,
3) Yine yasal düzenlemelere uyum sağlamadan yurt dışına veri aktarılmış olması sebepleriyle 900.000TL idari para cezasına hükmedilmiştir.
Bu karar bir kere daha hatırlatmıştır ki, KVKK uyum projeleri ziyadesiyle önem arz etmektedir.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.