Açık Rıza Olmaksızın Yurt Dışına Kişisel Veri Aktaran Veri Sorumlusu Hakkında 950.000 TL İdari Para Cezası
Özet
Kişisel Verileri Koruma Kurulu (“Kurul”), 24 Nisan 2023 tarihinde internet sitesinde yayınlamış olduğu karar ile ilgili kişinin kişisel verilerini 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) md. 9’da sayılan açık rıza yükümlülüklerine aykırı olarak yurt dışına aktaran veri sorumlusu hakkında 950.000,00 TL idari para cezası uygulanmasına karar vermiştir.
İlgili kişi, veri sorumlusu teknoloji şirketinin internet sitesine üye olmak istemiş ancak üye olma işlemi esnasında, internet sitesinde veri sorumlusuna ait bir çerez politikasının yer almadığını ve üyelik işlemine ilişkin sunulan aydınlatma metninde yurt dışına aktarımı yapıldığını görmüştür. Aydınlatma metninde her ne kadar yurt dışına veri aktarımı yapıldığı bilgisi verilse de buna ilişkin kendisinden açık rıza alınmaması sebebiyle veri sorumlusuna başvurmuştur. İlgili kişi söz konusu başvurusuna yanıt alamamış ve Kişisel Verileri Koruma Kurumuna (“Kurum”) başvurmuştur.
Kurul’un konuyla ilgili verdiği kararda KVKK md. 9 uyarınca kişisel verilerin yurt dışına açık rıza ile aktarılabileceği, bununla beraber kişisel verinin aktarılacağı yabancı ülkede (i) yeterli korumanın bulunması; (ii) yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin hükme bağlanıldığı; veri sorumlusunun ilgili kişinin bilgi edinme hakkı kapsamında talebinin sehven yanıtlanmadığı savunmasının hukuka ve dürüstlük kuralına uygun olmadığı ifade edilmiştir.
Kurul yapmış olduğu incelemede veri sorumlusunun sunucuları yurt dışında bulunan bir sistem kullandığını, bu sistemin kullanılması dolayısıyla yurt dışına kişisel veri aktarıldığını, veri aktarımı gerçekleştirilmeden önce ilgili kişilerden açık rıza alınmadığını veya açık rıza alınmaksızın veri aktarımına yönelik bir taahhütname başvurusunda bulunmadığını, veri sorumlusunun internet sitesinde çerez politikası bulunmadığını ve internet sitesinin KVKK ile uyumlu olmadığını, veri sorumlusunun kişisel verilerin korunmasına yönelik gerekli teknik ve idari tedbirleri almadığını tespit etmiştir.
Kurul, veri sorumlusu tarafından çok sayıda ilgili kişinin kişisel verilerini hukuka aykırı olarak, kasten ve sistematik bir şekilde yurt dışına aktaran, kişisel verilerin korunmasına yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 950.000,00 TL idari para cezası uygulanmasına karar vermiştir.
Sonuç
Kurul vermiş olduğu kararla KVKK md. 9 uyarınca kişisel verilerin yurtdışına aktarımında açık rıza yükümlülüğünün yerine getirilmesinde ne kadar hassas olduğunu ve veri sorumlularının bu konuda dikkatli davranmaları gerektiğini ortaya koymuştur.
Kararın tam metnine buradan ulaşabilirsiniz
