Kategori by Cautron Yazılımı

Türkiye'de Sınır Ötesi Veri Aktarımları ve Veri Koruma Kurulu'nun Amazon Türkiye Kararının Etkileri

Av. Ali Yurtsever yüksek öğrenim

Veri Koruma Kurulu son zamanlarda yeni yayınladı karar ve para cezası Amazon Türkiye 1.100.000 TL veri koruma ve e-ticaret mevzuatına aykırı ve hukuka aykırı sınır ötesi veri aktarımları özellikle denizaşırı iştiraklerine veri aktarımları için. İleriye dönük olarak, kararın Türkiye'deki veri aktarımları açısından ciddi sonuçları olacaktır ve bu sonuçları daha iyi anlamak için öncelikle bu karara yol açan arka planı anlamamız gerekir.

 Türkiye'de Kişisel Verilerin Korunması

 Teknoloji şirketlerinin içerik pazarlamasının çoğuna hakim olduğu ve kontrol ettiği ve verilerin yeni altın olarak görüldüğü küreselleşmiş bir ekonomide, kısıtlama ve izleme sınır ötesi veri aktarımları Veri Koruma Kurulu'nun (DPB) Amazon Türkiye Kararında da vurgulandığı üzere, giderek daha önemli hale geliyor. Bu bağlamda Türkiye, 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nu uygulamaya koyarak veri koruma konusunda Avrupa ile benzer bir duruş sergilemektedir (LPPD), esasen Genel Veri Koruma Yönetmeliği'nin Türkçe versiyonu olan (GDPR).

Kişisel Verilerin Üçüncü Kişilere Aktarılması

Kişisel veri aktarımları KVKK kapsamında oldukça kısıtlayıcı bir şekilde düzenlenmiştir (GDPR'deki hükümlere benzer şekilde). KVKK'nın 5. maddesinde, veri sorumlularının, 5/2 ve 6/3 maddelerinde belirtilen haller dışında, veri sahibinin açık rızası olmaksızın kişisel verileri üçüncü kişilere aktaramayacağı açıkça belirtilmektedir. 9. Madde ayrıca, veri sahibi açıkça izin vermedikçe sınır ötesi veri aktarımlarının yasak olduğunu belirtir. sınır ötesi veri aktarımları. Madde 9/2, bu kurala bir istisna getirmekte ve 5/2 ve 6/3 maddelerinde belirtilen durumların geçerli olduğu durumlarda ve (i) verinin aktarılacağı yabancı ülkede sağlanmış olması” veya (ii) “Türkiye'deki ve ilgili yabancı ülkedeki veri sorumluları yazılı olarak yeterli korumayı garanti eder ve yeterli korumanın sağlanmadığı durumlarda Kurul bu aktarıma izin verir”.

Açık Rıza Veri Aktarımları ve İstisnalar

 Yukarıda belirtildiği gibi, yurt içi veya sınır ötesi veri aktarımları için genel kural, veri sahibinin önceden açık rızasının alınmasıdır. Ancak KVKK, hem kişisel veriler hem de özel nitelikli kişisel veriler için sırasıyla 5/2 ve 6/3'üncü maddelerde bu gerekliliğe belirli istisnalar getirmektedir. Madde 5/2 uyarınca, kişisel veriler, aşağıdaki durumlarda veri sahibinin açık rızası aranmaksızın işlenebilmekte ve üçüncü kişilere aktarılabilmektedir:

  1. Kanunda öngörülen/gerekli,
  2. Bedenen muvafakat vermeye muktedir olmayan kişinin hayatı veya beden bütünlüğünün korunması için gerekli olması,
  3. Bir sözleşmede belirtilen hizmetlerin yapılması, yerine getirilmesi veya satın alınması için gerekli olan,
  4. Veri sorumlusunun hukuki görevlerini yerine getirebilmesi için gerekli olması,
  5. Veri sahibi tarafından kamuya açıklanması,
  6. Verilerin, herhangi bir hakkın tesisi veya korunması için zorunlu sayılması veya
  7. Veri sahibinin temel hak ve özgürlüklerini ihlal etmemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunludur.

 Madde 6/3 ayrıca, sağlık ve cinsel hayata ilişkin veriler hariç özel nitelikli kişisel verilerin kanunlarda öngörüldüğü takdirde veri sahibinin açık rızası olmaksızın işlenebileceğini ve üçüncü kişilere aktarılabileceğini belirtmektedir.

 Sınır Ötesi Veri Transferleri ve Yeterli Koruma Sorunu

Sınır ötesi veri aktarımlarına ilişkin açık rıza kuralına istisnalar getiren bu hükümler oldukça açıktır, çünkü Madde 9/2'de yeterli koruma sağlandığı takdirde sınır ötesi veri aktarımlarının veri sahibinin açık rızası olmaksızın gerçekleştirilebileceği belirtilmiştir. verilerin aktarılacağı yabancı ülke. Bu KVKK'nın GDPR'nin neredeyse doğrudan bir çevirisi olduğu dikkate alındığında, GDPR'nin geçerli olduğu bir veya daha fazla ülkeye yapılan tüm sınır ötesi veri aktarımlarının bu hükmün kapsamına gireceğini ve dolayısıyla muaf tutulacağını varsaymak mantıklıdır. açık rıza şartından.

Ne yazık ki, durum böyle değil. Buradaki sorun, aynı 3. maddenin yeterli düzeyde korumanın sağlandığı ülkeleri DPB'nin belirleyip ilan edeceğini belirten 9. alt bendinden kaynaklanmaktadır. DPB henüz bu tür bir listeyi açıklamamıştır; bu, Madde 9/2/a'da sağlanan muafiyetin, GDPR'nin geçerli olduğu ülkeler de dahil olmak üzere herhangi bir sınır ötesi veri aktarımı için henüz geçerli olmadığı anlamına gelir.

Amazon Türkiye'nin Sınır Ötesi Veri Aktarımlarına İlişkin Kararının Özeti

 Amazon Türkiye hakkında şikayetler

Bu makalenin başında belirtildiği gibi, bir Amazon Türkiye kullanıcısının hukuka aykırı veri işleme ve aktarımına ilişkin şikayetini takiben, Veri Koruma Kurulu, Amazon Türkiye'yi yurt dışı iştiraklerine hukuka aykırı sınır ötesi veri aktarımları ve yasal olmayan işlemler nedeniyle 1.100.000 TL para cezasına çarptırmıştır. veri koruma ve e-ticaret yasalarına uygunluk. Bu uyumlulukta belirtilen en büyük iddialardan biri, Amazon Türkiye'nin “” ibaresini içermesiydi.Kişisel bilgilerinizi bu Gizlilik Bildiriminde belirtilen amaçlar kapsamında saklamak ve işlemek için Avrupa Birliği ve Amerika Birleşik Devletleri'ne aktarabiliriz.”, Amazon Türkiye'nin bu tür uluslararası aktarımlar için veri sahibinin açık rızasını almaması, bunun yerine sadece yurtdışına veri aktarabileceğini bildirmesi nedeniyle KVKK'da belirtilen yükümlülükleri ihlal ettiğini belirtti.

DPB'nin Sınır Ötesi Veri Aktarımlarına İlişkin Amazon Türkiye Kararı

Şikayetin ardından DPB, Amazon Türkiye hakkında bir soruşturma başlattı ve aslında sınır ötesi veri aktarımları için veri sahiplerinden açık bir onay almadığını, bunun yerine veri sahiplerine vazgeçme veya seçim yapma seçeneği sunduğuna karar verdi. verilerini üçüncü kişilerle paylaşmamak. Kanun açıkça sınır ötesi veri aktarımları için veri sahiplerinden açık bir rıza gerektirdiğinden ve dolayısıyla veri sahiplerinin bu tür aktarımlara açıkça “kabul etmesini” gerektirdiğinden, bu devre dışı bırakma mekanizmasının KVKK'ya aykırı olduğu tespit edilmiştir. veri sahiplerinin bunu varsayılan olarak kabul ettiğini varsaymaktan ve ardından onlara bir devre dışı bırakma seçeneği sunmaktan daha iyidir.

Amazon Türkiye, veri sahiplerinden önceden açık onay almadığından, Amazon Türkiye'nin yasal olarak Türkiye'de sınır ötesi veri aktarımları gerçekleştirmesi için tek seçenek, bu aktarımların Madde 9/2'de belirtilen muafiyet kapsamına girdiğini iddia etmekti. LPPD.

Ancak yukarıda da görüldüğü gibi bu muafiyetler sınır ötesi veri aktarımları için ancak verilerin aktarılacağı yabancı ülkede yeterli koruma sağlandığı ve DPB'nin 9. madde uyarınca yeterli koruma düzeyine sahip ülkeleri belirlemeye yetkili olduğu durumlarda geçerlidir. /3. Buradaki sorun, yukarıda da belirtildiği gibi, DPB'nin henüz böyle bir muaf tutulan ülkeler listesi yayınlamamasıdır ve bu liste henüz kullanıma sunulmadığı için yeterli korumaya sahip ülkeler için sağlanan bu muafiyet, AB dahil hiçbir ülke için geçerli değildir. GDPR'nin geçerli olduğu ülkeler.

Amazon Türkiye'nin bu “yeterli koruma” muafiyetinden yararlanamaması nedeniyle, sınır ötesi veri aktarımlarının yeterli korumaya sahip olmayan ülkelere önceden açık rıza olmaksızın gerçekleştirilebileceği Madde 9/3'te belirtilen nihai muafiyetten, Türkiye ve ilgili yabancı ülkede DPB'ye yazılı olarak teminat mektubu verir ve Kurul bu devri onaylar. Burada belirtmek gerekir ki, Amazon bu muafiyetten yararlanmak için fiilen Kurul'a bir garanti vermiştir.

Ancak, bu şikayetin ve kararın verildiği tarihte, Amazon'un teminat mektubu ve muafiyet başvurusu, Kurul'un nihai kararını ve onayını bekleyerek, DPB'de halen derdest durumdaydı. Madde 9/3, bu muafiyetin ancak teminat mektubu verilmesi halinde uygulanacağını açıkça belirtmektedir.  VE DPB, aktarımları onaylar ve DPB, Amazon Türkiye'nin muafiyet başvurusunu hiçbir zaman onaylamadığından, DPB, Amazon Türkiye tarafından gerçekleştirilen bu tür sınır ötesi veri aktarımlarının KVKK hükümlerini ihlal ettiğine karar verdi.

İlerlemek: Amazon Türkiye Kararının Sınır Ötesi Veri Aktarımları Üzerindeki Etkileri

Amazon Türkiye'ye para cezası verme kararı, DPB tarafından oldukça tartışmalı bir karardı. Amazon Türkiye'nin kişisel verileri AB ülkelerine aktarıyor olması, bu ülkelerin de GDPR düzenlemesine tabi olması nedeniyle yeterli korumaya sahip ülkeler olarak kabul edilmesi ve Amazon Türkiye'nin Kurul'a gerekli teminat mektuplarını zaten vermiş olması nedeniyle tartışmalıydı. 9/3 üncü maddede öngörülen ikinci muafiyetten yararlanmak.

Bu karara karşı çıkan argümanların nereden geldiğini anlıyor olsak da, kanunun muafiyetler konusunda oldukça açık ve şeffaf olduğuna da inanıyoruz. KVKK hükümleri, sınır ötesi veri aktarımlarına ilişkin muafiyetlerin, ancak verilerin aktarıldığı ülkenin yeterli düzeyde korumaya sahip olması (Kurulca belirlenecek) veya yeterli korumanın bulunmadığı durumlarda teminat mektubu uygulanabileceğini açıkça belirtmektedir. sağlanır ve devir Kurul tarafından onaylanır.

Muaf tutulan ülkeler listesi henüz Kurul tarafından yayımlanmadığından, sınır ötesi veri aktarım istisnalarından yararlanmanın tek yolu, Kurul'a teminat mektubu vermek ve aktarımlar için Kurul'un onayını beklemektir. Amazon, teminat mektubu vermesine rağmen başvurunun işleme alınmasını ve Kurul'un onayını beklemeden, veri sahiplerinden açık rıza almadan sınır ötesi veri aktarımlarına devam etti.

Bu bağlamda DPB pozisyonunu çok net bir şekilde ortaya koymuştur; Veri sorumluları, açık rıza almaksızın sınır ötesi veri aktarımı yapmak istiyorsa, muaf tutulan ülkeler listesinin yayınlanmasını beklemeli veya teminat mektubu sunarak Kurul'un onayını beklemelidir. Aksi takdirde, KVKK tarafından tüm veri sorumlularının sınır ötesi veri aktarımlarını gerçekleştirmeden önce veri sahiplerinden açık rıza almaları gerekmektedir.

Select Language »