6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile yakından ilgilenen veya KVKK hakkında farkındalığı bulunan organizasyonlar ve özellikle uygulayıcılar bakımından yurt dışı aktarımı, içerisinde birçok belirsizliği barındıran kanayan bir yaradır. Esasında konu ile ilgili uluslararası düzenlemeler ve çeşitli yurt dışına aktarım yöntemleri bulunmasına rağmen, Kişisel Verileri Koruma Kurulu (“Kurul”) konu ile ilgili vermiş olduğu son Amazon Türkiye kararı ile aslında hâlihazırda süreci hukuka uygun hale getirebilecek tek yöntemin  “ilgili kişinin açık rızasının alınması” olduğunu ortaya koymuştur. Amazon Türkiye kararı, bir yandan “yurt dışı aktarımında daha önce ceza verilmediği” algısını ortadan kaldırmaya çalışırken bir yandan da KVKK madde 9 (2) kapsamında yurt dışına aktarım yöntemlerinden biri olan veri aktarım taahhütnameleri ile ilgili uygulamadaki bazı soru işaretlerini gidermeyi hedeflemektedir. Nitekim, veri aktarım taahhütnamesi sunmuş ve onay bekleyen bir organizasyonun, süreç askıdayken diğer yurt dışı aktarım yöntemleri ile süreci hukuka uygun hale getirmiş olmasının beklendiği ve taahhütname sunulmasının idari yaptırımı hafifletici bir etken olamayacağı görülmüştür. Zira, Kurul’un taahhütnamenin onay sürecinde olması nedeniyle, süreci hukuka uygun hale getirebilmesi için veri sorumlusuna belirli bir süre vererek talimatlandırma seçeneğini tercih etmediği anlaşılmaktadır.

Peki, uygulamada yurt dışı aktarımının hangi şekillerde gerçekleştiği düşünülürse, operasyonel olarak ilgili kişinin açık rızasını almak ne kadar mümkün müdür?

Bu soruları yanıtlayabilmek için öncelikle, uygulamada sıklıkla yurt dışı aktarımı hangi şekillerde gerçekleşmektedir? sorusunu düşünmek gerekir. İlk etapta, global ölçekli ana merkezi yurt dışında olan ve Türkiye’de iştiraki bulunan bir şirketin, Türkiye’de bulunan iştiraki tarafından ana merkeze kişisel veri aktarımı gerçekleştirilmesi düşünülebilir. Genellikle, yönetim ve karar alma mekanizmalarının ana merkezde bulunması nedeniyle Türkiye’deki iştirak tarafından içeriğinde kişisel veri bulunan iş süreçlerinde raporlama yapılması gerekebilmektedir. İkinci olarak da uygulamada en sık karşılaştığımız, organizasyonların kurumsal e-posta hizmeti kullanımı bakımından sunucuları yurt dışında bulunan bir hizmet kullanması akla gelmektedir. Nitekim, hem küçük veya orta ölçekli işletmeler hem de büyük ölçekli organizasyonlar bakımından özellikle hizmet kalitesi ve veri güvenliği gerekçeleri ile bahse konu hizmetlerin tercih edilmesi söz konusudur.

Hem sunucuları yurt dışında bulunan hizmetleri kullanan hem de ana merkezi yurt dışında bulunan organizasyonlar bakımından Amazon kararı sonrasında uygulanması önem arz eden hususlar bulunmaktadır. Öncelikle, KVKK’ya uyum projesini gerçekleştirmiş veya gerçekleştiren bir organizasyonun yurt dışına aktarım niteliğinde kabul edilebilecek araçları tespit etmesi veya tespit edilmiş ise gözden geçirmesi gerekir. Sonrasında, ilgili araçlar ile kişisel verisi aktarılan ilgili kişiler, aktarılan veri kategorileri ve aktarım amaçlarının tespiti gereklidir. Yapılan inceleme ve tespitlerden sonra, daha önce düzenlenmiş aydınlatma metinlerinin yurt dışı aktarımına uygun olarak güncellenmesi ve bu metinlere referans verecek şekilde ayrı açık rıza metinleri ile sürecin kurgulanması söz konusu olmalıdır. Gerekli görülen durumlarda, mevcuttaki aydınlatma metinleri yerine, sadece yurt dışına aktarıma özgü aydınlatma ve açık rıza metni ile süreç yürütülebilir; ancak, genel anlamda yurt dışı aktarımı, ilgili iş sürecinin bir parçası olduğundan mevcut metinlerin güncellemesi ile ilerleyebilmek söz konusu olabilecektir. Bu noktada, açık rızanın kurgusu kilit nokta olacağından ilgili uyarlamalar yapılırken Amazon Kararındaki hususlar dikkate alınmalıdır.

Nitekim, Kurul’un rehberlerine de bakıldığında, açık rızanın aşağıdaki unsurları taşıması gerektiği görülmektedir:

• Rızanın belirli bir konuya ilişkin olması,
• Rızanın bilgilendirmeye dayalı olması,
• Özgür irade ile açıklanması.

Amazon Türkiye kararında da gördüğümüz üzere, genellikle aydınlatma metinlerinde birden fazla hukuki sebebin bir arada bulunması nedeniyle ilgili metin üzerinde açık rızanın unsurlarını sakatlamayacak şekilde ifadeler kullanılmalı ve ilgili kişinin ayırt edebileceği bir bilgilendirme formatı tercih edilmelidir.

Yine açık rıza metninde de kullanılan ifadenin ilgili aydınlatmaya uygun olması, ilgili işlemi aşar nitelikte genel olmaması ve özellikle açık rızanın ilgili kişinin “olumlu irade beyanı” ile alındığının ispat edilebilir olması gerekmektedir.

Kurul’un 31.05.2019 tarihli G-mail kararından yaklaşık bir yıl sonra verdiği Amazon Türkiye kararı sonrası, her ne kadar açık rıza yurt dışı aktarımında tek geçerli yöntem olarak belirtilmiş ise de uygulanabilir bir geçerli yöntem olduğu tartışmalıdır. Şöyle ki, teorik olarak yukarıda belirtilen hususlara dikkat edilerek açık rıza almak çözüm gibi görülse de, pratikte açık rıza her duruma uygun bir yöntem olamayabilecektir. Örneğin, e-posta hizmeti bakımından düşünüldüğünde, e-posta içerisinde aktarılan ve/veya aktarılabilecek kişisel verileri tam ve eksiksiz olarak tespit etmek dahi mümkün olamayabilecektir. Yurt dışı aktarımına ilişkin araçlar ve sürecin gerektirdiği ilgili tüm tespitin yapılmış olması halinde ise, her bir ilgili kişi grubundan (çalışan, müşteri, tedarikçi vb.) kişisel veri aktarımı öncesi teknik anlamda açık rızanın unsurlarını sakatlamadan farklı bir araç ile açık rıza alınması operasyonel olarak pek uygulanabilir görünmemektedir. Üstelik açık rızanın mümkün olduğu durumlar yaratılsa bile, “açık rızanın hiçbir gerekçe göstermeden geri alınabilir” niteliğinin bulunması, organizasyonlar bakımından ilgili iş sürecini aksatabilecektir. Bu durumda, alternatif yöntemler uygulanabilir olana kadar, mümkün olan en kısa sürede organizasyonlar tarafından söz konusu ticari riskin nasıl yönetileceği ile ilgili aksiyon planı oluşturulması gerekecektir.

01.06.2020

Av. Damla Yılmaz, LL.M.