Nisan ayı içerisinde Avrupa Veri Koruma Kurulu, İrlanda Veri Koruma Kurulu tarafından Meta IE hakkında verilen taslak kararda değişiklik yapılması talimatını verdi. Avrupa Veri Koruma Kurulu’nun konuya dair 1/2023 sayılı bağlayıcı kararında Meta IE ‘ye verilen cezanın para cezasına çevrilmesi talimatı yer almaktaydı. Bu doğrultuda İrlanda Veri Koruma Kurulu, Meta IE aleyhine 1,2 milyar avro para cezasına hükmetti. Belirtilen ceza tutarının bugüne kadar GDPR kapsamında hükmedilen en yüksek idari para cezası olduğu söylenmektedir.
Facebook platformunun Avrupalı kullanıcılarının verilerinin Amerika Birleşik Devletleri sınırlarına aktarılması dolayısıyla Avrupa Birliğinin koruma alanı dışına çıkması söz konusu para cezasının temel gerekçesidir. Avrupa Birliği, kendi bölgesinde veya kendi vatandaşları hakkında işlenen kişisel veriler üzerinde yetkili olduğunu kabul etmektedir ki bunların üçüncü ülkelere aktarılıp aktarılamayacağı konusu da buna dahildir.
Avrupa Birliği sınırlarından üçüncü ülkelere aktarım, GDPR ‘ın beşinci bölümünde düzenlenmiştir. Bununla birlikte Meta IE ‘ye uygulanan bu yaptırımın tek gerekçesi, Meta IE ‘nin Amerika Birleşik Devletleri sınırlarına kişisel veri aktarırken GDPR ‘ın beşinci bölümüne uygun hareket etmemesi değildir.
Meta IE ‘nin GDPR ‘ı ihlalinin sistematik, tekrarlayan ve sürekli olduğu tespit edilmiştir. Nitekim Avrupa Veri Koruma Otoritesi, İrlanda Veri Koruma Otoritesi’nin vereceği nihai kararı müteakiben 6 ay içerisinde Meta IE faaliyetlerinin GDPR ‘a uyumlu hale getirilmesi talimatını vermiştir.
Çıkarılacak ders:
Bu karardan çıkarılması gereken ders veri sorumlusu, kişisel verilerin korunması konusunda bir yasal kurala uymamayı tercih ettiğinde üstlenilen tek riskin tek seferlik bir para cezası olmadığıdır. Avrupa Veri Koruma Kurulu’nun idari para cezalarının uygulanmasıyla ilgili rehberlerine bakıldığında, ihlalin süresinin ve ihlalin kasıtlı olup olmadığının ceza konusunda belirleyici birer kriter olduğu görülür ki Meta IE aleyhine hükmedilen karar bu kriterlerin uygulandığını göstermektedir.
Bize bir şey olmaz:
KVKK kapsamında Türkiye dışına kişisel veri aktarılması, GDPR ‘a nazaran daha katı şartlara tabidir. Konu, KVKK ‘nın 9’uncu maddesinde düzenlenmiştir. Kişisel Verileri Koruma Kurumu’nun sunucu barındırma hizmetlerinin yurtdışında yerleşik veri merkezlerinden temin edilmesini de yurtdışına kişisel veri aktarımı olarak kabul ettiğini hatırlatarak eğer hala bu konuda bir çalışma yapmadıysanız süreçle ilgili bir öz değerlendirme yapmanız gerektiğini hatırlatırız.
Wecover‘la kişisel veri aktarım kayıtları oluşturarak, bu faaliyetlerin izlenebilirliğini kolaylaştırabilirsiniz. Yurt dışına kişisel veri aktarımı için KVKK ‘nın 9’uncu maddesindeki şartlardan birini karşılayamıyorsanız verisi yurt dışına aktarılacak ilgili kişileri Wecover aracıyla bilgilendirebilir ve bu kişilerden açık rıza toplayabilirsiniz.
