Observations on the Personal Data Protection Board’s Approach to Data Transfer Abroad and Compulsory Explicit Consent in the Light of a Recent Decision

Yıl 2023, Cilt: 8 Sayı: 1, 161 - 178, 20.03.2023

Kasım Ocak

https://doi.org/10.58733/imhfd.1267368

Öz

The transfer of personal data abroad, regulated in Article 9 of the Law No. 6698, creates important problems in practice for some reasons arising from the Law and the Personal Data Protection Board. While some options listed in the Law for transferring personal data abroad are not applicable and also the effectiveness of some options is highly controversial. For this reason, in practice, there is no possibility of data transfer abroad, except for obtaining an explicit consent in accordance with the law. However, due to the fact that technology and digitalization play a dominant role, many companies continue to transfer data abroad in violation of the Law. Being aware of this problem that arises in practice, the Personal Data Protection Board (“Board”) has given legal validity to the compulsory explicit consents in some of its documents and decisions. However, there is no certainty as to under which circumstances the mandatory express consent is valid, and it is not possible for the Board to make an exception to the free will condition, which is considered as a mandatory element of the explicit consent in the Law, by an administrative act. In addition, it has been observed that the Board has decided that in some of the applications for undertakings or binding company rules, data cannot be transferred abroad until the application is concluded, and in some applications, data can be transferred abroad in various ways while the application is being examined. With the conflicting decisions it has taken, the Board has gradually increased the high level of unpredictability in data transfer abroad. The Board’s recent decision on a global hotel chain is a good example in terms of understanding the uncertainty created by the administration in data transfer abroad and the Board’s approach to compulsory explicit consent.

Anahtar Kelimeler

Personal Data, Data Transfer Abroad, Explicit Consent, Compulsory Explicit Consent, Personal Data Protection Board

Güncel Bir Kararı Işığında Kişisel Verileri Koruma Kurulu’nun Yurt Dışına Veri Aktarımı ve Zorunlu Açık Rızaya Yaklaşımı Hakkında Gözlemler

Öz

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde düzenlenen yurt dışına kişi- sel veri aktarımı, Kanun’dan ve Kişisel Verileri Koruma Kurulu’ndan kaynaklanan bazı nedenler- le uygulamada önemli sorunlar doğurmaktadır. Yurt dışına kişisel veri aktarımı yapmak için Kanun’da sayılan bazı olanaklar uygulanamaz durumda, bazı seçeneklerin ise etkililiği oldukça tartışmalıdır. Bu nedenle uygulamada hukuka uygun bir açık rıza alınması dışında yurt dışına veri aktarım imkanı görülmemektedir. Ancak teknoloji ve dijitalleşmenin başat rol oynadığı nedenlerle birçok kuruluş Kanun’a aykırı şekilde yurt dışına veri aktarmaya devam etmektedir. Uygulamada ortaya çıkan bu sorunun farkında olan Kişisel Verileri Koruma Kurulu (“Kurul”), bazı yayın ve kararlarında zorunlu şekilde alınan açık rızalara hukuki geçerlilik tanımıştır. Ancak hangi hallerde zorunlu açık rızaya geçerlilik tanıdığına dair bir belirlilik bulunmadığı gibi Kurul’un Kanun’da açık rızanın zorunlu bir unsuru olarak sayılan özgür irade koşuluna idari bir işlem ile istisna getirebilmesi mümkün değildir. Ayrıca Kurul’un kendisine yapılan taahhütname veya bağlayıcı şirket kuralları başvurularının bazılarında başvuru sonuçlanmadan yurt dışına veri aktarılamayacağına, bazı başvurularda ise başvuru incelenirken çeşitli şekillerde yurt dışına veri aktarılabileceğine karar verdiği görülmüştür. Kurul, vermiş olduğu çelişkili kararlar ile yurt dışına veri aktarımı konusunda oldukça yüksek olan belirsizliği giderek artırmıştır. Kurul’un yakın zamanda küresel bir otel zinciri hakkında vermiş olduğu karar, yurtdışına veri aktarımında idarenin ortaya çıkardığı belirsizliği ve Kurul’un zorunlu açık rızaya yaklaşımını anlamak bakımından iyi bir örnektir.

Anahtar Kelimeler

Kişisel Veri, Yurt Dışına Aktarım, Açık Rıza, Zorunlu Açık Rıza, Kişisel Verileri Koruma Kurulu

Kaynakça

• ALTINDAĞ, Halil, Kişisel Verileri Koruma Kurulu Tarafından Verilen İdari Para Cezaları, Adalet Yayınevi, Ankara, 2021.
• AŞIKOĞLU, Şehriban İpek / UZUN, Fatih Burak, “Kişisel Verilerin Yurt Dışına Aktarımının Açık Rızaya Dayandırılmasının Yarattığı Sorunlar ve Çözüm Önerileri”, Prof. Dr. Türkan Rado’nun Anısına Armağan, İstanbul: On İki Levha Yayınları, İstanbul, 2020, s. 921-968.
• AVCI BRAUN, Cihan, “Kişisel Verilerin İşlenmesinde Rıza”, YÜHFD, 2018/1, C. XV, s. 13-33.
• AYDOĞDU, Yasin, “Mobil Uygulamalarda Kişisel Verilerin İşlenmesi ve Yasal Olarak Dikkat Edilmesi Gereken Hususlar”, Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, Y. 2022, C. XXVI, S. 1, s. 399-425.
• BİNGÖL, F. Itır / KORUYAN, Kutan, “Kişisel Verilerin Yurtdışı Sunuculara Aktarıl- masının Bilişim Sistemleri Çerçevesinde Türk ve Avrupa Hukuku Açısından İncelenmesi”, 3rd International Management Information Systems Conference, 6-08 Ekim 2016, s. 71: E.T. 16.10.2022. https://www.researchgate.net/publication/3092 43031_Kisisel_Verilerin_Yurt_Disi_Sunuculara_Aktarilmasinin_Bilisim_Sistemleri_ Cercevesinde_Turk_Ve_Avrupa_Hukuku_Acisindan_Incelenmesi.
• ÇELİKEL, Serdar, “Kişisel Verilerin İşlenmesinde, Açık Rıza Hukuka Uygunluk Ne- deninin, 95/46 Sayılı Direktif ve GDPR’la Karşılaştırmalı Olarak İncelenmesi”, Uyuşmazlık Mahkemesi Dergisi, Yıl 9, Sayı 17, s. 161-190.
• ÇEKİN, Mesut Serdar, Kişisel Verilerin Korunması Hukuku, 2. Baskı, 12 Levha Yayınları, İstanbul, 2019.
• DOĞAN, Buse, Kişisel Verilerin İşlenme Şartları Bağlamında Açık Rıza, İstanbul, 2019, s. 82.
• DÜLGER, Murat Volkan, Kişisel Verilerin Korunması Hukuku, 3. Baskı, Hukuk Akademisi, İstanbul, 2020.
• DÜLGER, Murat Volkan / KAHRAMAN, Cansu Ceren, “KVKK’dan Kişisel Verilerin Yurt Dışına Aktarımında Önemli Bir Adım: Bağlayıcı Şirket Kuralları”, (Çevrimiçi) https://www.hukukihaber.net/kvkkdan-kisisel-verilerin-yurt-disina-aktariminda-onemli-bir-adim-baglayici-sirket-kurallari-makale,7685.html, E.T. 16.10.2022.
• ERASLAN, Sevgi, “Türk Hukukunda Kişisel Verilerin Yurt Dışına Aktarılması Sorunu: Açık Rıza Kapsamında Bir Değerlendirme”, KHM, 2021, C. 1, S. 1, s. 82-115.
• KÜZECİ, Elif, Kişisel Verilerin Korunması, 3. Baskı, Turhan Kitabevi, Ankara, 2019.
• ÜNSAL ÖZDEN, Sevgi / UZ, İdil / KARAMUSTAFAOĞLU, Mert, “Kişisel Veri Aktarımı ve Bankacılık Kanunu Madde 73 Değişikliği”, Kişisel Verileri Koruma Dergisi, C. 3, S. 1, s. 17-40.
• PELEN, Sevda, “AB’de Kişisel Verilerin Üçüncü Ülke ve Uluslararası Kuruluşlara Aktarılması”, BUHFD, C. 16, S. 205, s. 1711-1748.
• SERTÇE, Nadin, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Kapsamında AB Dışına Kişisel Veri Aktarımı, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2022.
• ŞEN, Deniz, Kişisel Verilerin Yurt dışına Aktarılmasına İlişkin Yöntemler ve Hu- kuki Sebepler, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2021.
• TELSAÇ, Melisa, Kişisel Verilerin Yurt Dışına Aktarılmasında Bağlayıcı Şirket Kuralları, Yayımlanmamış Yüksek Lisans Tezi, İstanbul, 2022.