Recent Development

The Turkish Personal Data Protection Authority ("DPA") published the summary of its decision evaluating the cross-border transfer of personal data by a data controller relying on Convention 108. The DPA also evaluated the relationship between the restrictions under the Law No. 6698 on the Protection of Personal Data ("DPL") regarding cross-border transfers and the legal status of the Convention 108.

The DPA's full announcement is available online here (in Turkish).

What Does the Decision Say?

The DPA provided detailed explanations and comments as part of its evaluation on the matter. The key takeaways from the decision may be summarized as follows:

  • Data controller's cross-border transfer of personal data (based on the Convention 108) does not comply with the requirements under Article 9 of the DPL.
  • Being a party to the Convention 108 is not sufficient to declare that party a "safe country". However, being a party might yield positive effects during the DPA's evaluation on the matter.
  • Therefore, the cross-border transfer of personal data based on Convention 108 without complying with the requirements under the DPL constitutes the unlawful processing of personal data.
  • As a result, the data controller failed to comply with its obligation "to prevent the unlawful processing of personal data" as part of its obligations regarding data security.
  • The data controller received an administrative fine of TRY 900,000.
  • The DPA ordered the data controller to delete/destruct the personal data that the data controller unlawfully transferred outside of Turkey, in compliance with the DPL; and to inform the DPA regarding the execution of this order.

Conclusion

The DPA confirmed once more that a cross-border transfer to an "unsafe" country without the explicit consent of the data subject is only possible if one of the legal bases for processing personal data under the DPL exists, the parties sign a commitment letter and obtain the DPA's approval regarding the transfer. Considering that currently the DPA has not yet announced any country as "safe" and does not appear able to conclude the approval procedure within short time periods, the only option left for data controllers in the short term is obtaining explicit consent for cross-border transfers. The DPA recommends that data controllers refrain from relying on consent to the extent possible. Moreover, there are practical and economic concerns and obstacles in daily economic life with respect to implementing a consent mechanism, which may become redundant after a while. In that regard, one might argue that the issues the data controllers face with respect to cross-border transfers will likely continue to take up the time and costs for all parties concerned. In any case, the decision is a significant development as it clarifies the status of the Convention 108 with respect to data privacy requirements by confirming that it does not provide a valid mechanism for cross-border transfer of personal data as an alternative to the mechanisms under the DPL. 

Yurt Dışına Veri Aktarımı ile 108 Sayılı Sözleşme İlişkisi Hakkında KVKK Kararı

Yeni Gelişme

Kişisel Verileri Koruma Kurumu ("Kurum") kişisel verilerin 108 sayılı Sözleşme dayanak gösterilerek yurt dışına aktarılması hakkında değerlendirmelerini içeren bir karar özeti yayınladı. Kurum ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında yurt dışına veri aktarımına ilişkin kısıtlamalar ve 108 sayılı Sözleşme hükümlerinin hukuki statüsünü de değerlendirdi.

Kurum'un duyurusuna buradan ulaşabilirsiniz.

Karar Ne Diyor?

Kurum kararında konuya ilişkin değerlendirmeleriyle ilgili detaylı açıklamalar ve yorumlar paylaşmıştır. Sonuç olarak Kurumun kararının konuya ilişkin önemli başlıkları aşağıdaki gibi özetlenebilir:

  • Veri sorumlusunun (108 sayılı Sözleşmeye istinaden) kişisel verilerin yurtdışına aktarımı Kanunun 9. maddesinde belirtilen hususlara uygun bir veri aktarımı değildir.
  • 108 sayılı Sözleşmeye taraf olmak güvenli ülke statüsü tayini bakımından tek başına yeterli değildir. Kurul tarafından yapılacak değerlendirmede olumlu bir unsur teşkil edebilir.
  • Dolayısıyla 108 sayılı Sözleşmeye dayanıldığı gerekçesiyle, gerekli şartlar sağlanmadan kişisel verilerin yurt dışına aktarılması suretiyle hukuka aykırı bir kişisel veri işleme faaliyeti gerçekleştirilmiştir.
  • Bu durumda Kanun uyarınca veri güvenliğine ilişkin yükümlülükler kapsamında “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğü yerine getirilmemiştir.
  • Tüzel kişi veri sorumlusu hakkında 900.000 TL idari para cezası uygulanmasına karar verilmiştir.
  • Ayrıca, hukuka aykırı olarak yurtdışına aktarılan söz konusu kişisel verilerin Kanuna uygun olarak silinmesi/yok edilmesi ve sonucundan Kuruma bilgi verilmesi hususunda veri sorumlusuna talimat verilmiştir.

Sonuç

Kurum bir kez daha kişisel verilerin yurt dışına aktarımı konusunda güvenli ülke ilan edilmeyen ülkelere açık rıza alınmadan gerçekleştirilecek aktarımların Kanunda yer alan işleme şartlarının birinin varlığı ve tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi halinde gerçekleştirilebileceğini vurgulamıştır. Hiçbir ülkenin henüz güvenli ülke olarak addedilmediği ve görünüşe bakıldığında izin başvurularının kısa bir sürede sonuçlandırılamadığı mevcut durumda tüm yurt dışına aktarım faaliyetleri için veri sorumlularına açık rıza almaktan başka alternatif yöntem kalmamaktadır. Kurum açık rızaya dayanarak işleme faaliyeti gerçekleştirmekten mümkün mertebe kaçınılmasını tavsiye etmektedir. Ayrıca günlük ekonomik hayatın gerçekleri gereği bir süre sonra gereksiz bir duruma düşebilecek bir açık rıza mekanizmasının uygulamaya konulması hususunda pratik ve ekonomik kaygılar ve bunlara bağlı engeller bulunmaktadır. Bu durumda veri sorumlularının yurt dışına transfer konusunda yaşadığı sıkıntıların tüm ilgili taraflar açısından zaman ve kaynak tüketimine devam edeceği anlaşılmaktadır. Her halükarda kararın, Kanun kapsamında mevcut yöntemlere olası bir alternatif yöntem olarak önerilen 108 sayılı Sözleşme konusundaki tartışmaları bitirmesi ve 108 sayılı Sözleşmenin tek başına bu konuda geçerli bir dayanak ve Kanundaki yöntemlere alternatif oluşturmadığını teyit etmesi bakımından önem taşıdığı açıktır.