Kuruma iletilen şikayet dilekçesinde özetle; ilgili kişinin veri sorumlusunun sistemine internet sitesi üzerinden üye olduğu, internet sitesinde çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının olmadığı, bunun üzerine konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine başvuruda bulunduğu, bu başvuruda ilgili kişinin hangi verilerinin kaydedildiği ve aktarıldığı hususlarında bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

• Veri sorumlusunun, ilgili kişi başvurularına özgülediği bir e-posta adresi oluşturduğu, ancak bu e-posta adresine gönderilen ilgili kişi başvurusunun sehven gözden kaçırılması sebebiyle yanıtsız kaldığı, 
• Veri sorumlusunun internet sitesinde, gerek ilgili kişinin başvuru tarihinde bulunan aydınlatma metninde gerekse de hali hazırda yürütülen KVKK Uyum Projesi kapsamında güncellenen aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin belirtildiği, konu ile ilgili aydınlatmanın 6698 Kanun’un 10’uncu maddesi kapsamında gerçekleştirildiği,
• Veri sorumlusunun İngiltere, Polonya, Çek Cumhuriyeti, Macaristan, Romanya, Suudi Arabistan, Mısır ve Türkiye'de hizmet vermekte olduğu, çok sayıda ülkede milyonlarca kullanıcının menfaatlerinin en güvenli şekilde karşılanabilmesi için, veri sorumlusunun hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığı, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin bu sunucuda tutulması sebebiyle gerçekleştirildiği, sistemlerinin Kanun ve Avrupa Veri Koruma Tüzüğü (GDPR) düzenlemelerinin yürürlüğe girmesinden önce bu mimari üzerinde geliştirilmeye başlandığı, anılan kanunlar ve kişisel verilerin korunmasına ilişkin mevzuatın yürürlüğe girmesi akabinde de KVKK ve GDPR ile uyumlu hale getirilmek üzere titizlikle yapılan çalışmaların devam ettirildiği,
• Günümüzde çok sayıda ülkede ve tüketiciye hizmet veren teknoloji girişimlerinin ihtiyaçları bağlamında Türkiye'de bulunan barındırma hizmetlerinin yetersiz olduğu, Türkiye'deki barındırma hizmetlerinde ihtiyaç duyulan modern altyapı teknolojilerinin büyük çoğunluğunun bulunmadığı, bulunan teknolojilerin de kapasite, güvenlik ve özellik olarak birçok eksikliğinin olduğu, buna karşın yurtdışında bulunan söz konusu hizmet sağlayıcının altyapı teknolojilerine çok daha fazla yatırım yapma kapasitesinin olduğu, Türkiye'de bulunan bağımsız sunucu barındırma şirketlerinin benzer bir yatırım yapma kapasitesi olmadığı için altyapı teknolojilerinin avantajlı hale getirilmesinin son derece güç olduğu, bu sebeple Türkiye'de operasyonu bulunan birçok teknoloji şirketinin de kendilerinin çalıştığı şirketten hizmet aldığı,
• Veri sorumlusunun çok sayıda ülkede, çok sayıda tüketiciye hizmet sağlayabilmek için geliştirdiği teknolojilerin, kullandığı bulut servis sağlayıcının sunduğu altyapı teknolojilerinin üzerine inşa edildiği, veri sorumlusunun bu barındırma hizmetini tercih etmesindeki temel sebebin tüketicilerinin menfaatini üstün tutmak olduğu, siber saldırılar karşısında dahi tüketicilere kesintisiz hizmet verebildiği ve tüketicilerin verilerinin gizlilik ve güvenliğini bu saldırılara karşı koruyabildiği, veri sorumlusunun iş modeli çerçevesinde tüketicilerin ihtiyaçlarını karşılayabilmesinin de ancak bu firmanın sağladığı yenilikçi yapay zeka ve veri aktarımı teknolojileri sayesinde mümkün olabildiği, tüm sermayeleri ile Türkiye merkezli olarak kalmaya devam edebilmesi açısından yurt dışında bulunan servis veya muadillerini kullanmasının gerekli olduğu,
• Veri sorumlusunun barındırma hizmeti aldığı firma ile Kanun'un 9’uncu maddesinin (2) numaralı fıkrasının (b) bendi kapsamında bir taahhütname çalışmasını uzun zamandır sürdürmekte olduğu, söz konusu taahhütnameyi de en kısa sürede Kurulun onayına sunacağı

ifade edilmiştir.

Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/249 sayılı Kararı ile;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”  olarak tanımlandığı,
• Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının belirtildiği, ancak veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü oldukları, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülüğün yer almadığı, ilgili kişilerin kişisel verilerinin işlenmesiyle ilgili bilgilendirilmesi hususunda veri sorumlularının asli sorumluluğunun; kişisel verilerin ilgili kişiden elde edildiği durumlarda kural olarak kişisel veri işleme faaliyetinden önce aydınlatma yükümlülüğünün yerine getirilmesi olduğu,
• İlgili kişinin Kanun’un 13’üncü maddesi kapsamında veri sorumlusuna yaptığı başvurunun sehven gözden kaçırıldığı dikkate alındığında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 6’ncı maddesinin (1) numaralı fıkrasında düzenlendiği üzere, veri sorumlusu tarafından ilgili kişilerce yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirlerin alınmadığı kanaatine varıldığı, 
• Yurt dışına aktarım iddialarıyla ilgili veri sorumlusu cevap yazısında özetle, barındırma hizmeti kullanımı dolayısıyla yurt dışındaki sunucularda verilerin saklandığı ve benzer güvenlik önlemlerini sunan bir mekanizmanın ülke içinde bulunmadığı gerekçesiyle böyle bir uygulamanın yapılmakta olduğunun belirtildiği, öncelikle kişisel verilerin yurt dışına aktarılmasının, Kanun’un 3 üncü maddesinde yer verilen “kişisel verilerin işlenmesi” tanımında da açıkça belirtildiği üzere bir işleme faaliyeti olduğu, diğer bir ifade ile kişisel verilerin yurt dışına aktarılmasının değiştirme, yeniden düzenleme, kaydetme, depolama ve muhafaza etme gibi diğer kişisel veri işleme faaliyetlerinden bir farkı bulunmadığı,
• Kanun’un “Kişisel verilerin yurt dışına aktarılması” başlıklı 9’uncu maddesinin; (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağının hükme bağlandığı, (2) numaralı fıkrasında ise Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile özel nitelikli kişisel veriler bakımından 6’ncı maddesinin (3) numaralı fıkrasında belirtilen şartlardan birinin varlığı ve bu şartla birlikte, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabileceğinin hükme bağlandığı,
• Kişisel verilerin yurt dışına aktarımının ayrı bir hükümde düzenlenmiş olmasının ve kişisel veri işleme şartlarından birinin varlığına ek olarak diğer bazı şartların aranmasının sebebinin ilgili kişinin kişisel verilerinin aktarıldığı ülkede de etkin olarak korunabilmesini sağlamak olduğu, bu düzenlemeyle yurt dışına aktarılmış kişisel verilerle ilgili olarak, ilgili kişinin sahip olduğu hakları etkin bir şekilde ve Kanun’un uygulamasına mümkün olabilecek en yakın seviyede kullanabilmesi ile aktarım yapılacak tarafın başta veri güvenliği olmak üzere ilgili kişiyi korumaya yönelik güvencelerin sağlanması hususunda yükümlü kılınmasının amaçlandığı,
• Kanunun 9’uncu maddesinin (3) numaralı fıkrası uyarınca yeterli korumanın bulunduğu ülkelerin ise henüz Kurul tarafından belirlenmediği, diğer taraftan, Kurulun yeterli koruma bulunmayan ülkelere yapılacak aktarımlarda yeterli korumayı taahhüt etme yollarını öngördüğü, bu kapsamda, veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene aktarımlarda kullanılmak üzere asgari şartları içerir iki adet taahhütname metni ve çok uluslu grup şirketleri arasında yapılacak aktarımlarda kullanılabilecek Bağlayıcı Şirket Kurallarına ilişkin başvuru formu ile Bağlayıcı Şirket Kurallarında bulunması gereken temel hususlara ilişkin yardımcı doküman hazırlanarak ilgililerin kullanımına sunulduğu, ayrıca, Kurulun yerleşik uygulamalarında da kişisel verilerin, dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulmasının yurt dışına aktarım niteliğinde olduğuna ve sunucuları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetleri kapsamındaki kişisel veri işleme faaliyetlerinin de Kanun’un 9 uncu maddesine uygun olarak yerine getirilmesi gerektiğine karar verdiği,
• Veri sorumlusunun, Kurul tarafından onaylanmış taahhütname başvurusu bulunmamakla birlikte Kanun kapsamında yurt dışına aktarım faaliyetinin hukuka uygun olabilmesi için açık rızadan başka bir hukuki sebep bulunmadığı, veri sorumlusu tarafından somut olayda yurt dışına aktarım faaliyeti kapsamında ilgili kişilerden belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan açık rıza alınması yoluna da başvurulmadığı

değerlendirmelerinden hareketle; 

• Veri sorumlusu tarafından sunucuları yurt dışında bulunan sistemin kullanılması aracılığıyla kişisel verilerin yurt dışına aktarılması faaliyetinin gerçekleştirildiği, söz konusu faaliyet gerçekleştirilmeden önce aktarım yapılacak ülkede yeterli korumanın sağlanacağına ilişkin bir taahhütnamenin Kurula sunulmadığı, yurt dışına aktarım faaliyeti bakımından somut olayda açık rıza dışında bir hukuki sebep bulunmadığı, veri sorumlusu tarafından bu hususta ilgili kişilerden de açık rıza alınmadığı anlaşıldığından Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirlerin alınmadığı kanaatine varılması sebebiyle, veri sorumlusu şirketin birçok ülkede faaliyet gösterdiği ve ekonomik durumu, kişisel verilerin işlenmesinde kullanılan uygulama ve internet sitesi aracılığıyla toplanan çok sayıda kişisel verinin hukuka aykırı olarak yurt dışına aktarıldığı, söz konusu fiilden etkilenen ilgili kişilerin fazla olduğu, yurt dışına kişisel veri aktarma fiilinin münferit bir olaydan kaynaklı olarak değil sistemli bir şekilde veri sorumlusu tarafından kasten ve icrai hareketle yapıldığının savunma dilekçesinde ikrar edildiği, kabahat teşkil eden ihlalin ticari amaç kapsamında gerçekleştirildiği ve 6698 sayılı Kanun’un yürürlüğe girdiği tarihin üzerinden 6 sene geçmiş olmasına rağmen yurt dışına aktarım faaliyetinin Kanun’a uygun hale getirilmemiş olduğu dikkate alınarak, veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 950.000 TL idari para cezası uygulanmasına,
• Kişisel verilerin yurt dışına aktarılmasına ilişkin işlemlerin Kanun’un 9’uncu maddesine uygun hale getirilmesini teminen gerekli düzenlemelerin ivedilikle yapılması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda veri sorumlusunun uyarılmasına  

karar verilmiştir.