İrlanda DPC’den Rekor Ceza
İrlanda Veri Koruma Kurumu (Data Protection Commission – DPC), TikTok Technology Limited’e Avrupa Ekonomik Alanı (EEA) kullanıcı verilerinin işlenmesi ve aktarımıyla ilgili olarak 530 milyon € para cezası verdi.
Soruşturma sonucunda, TikTok’un Avrupa’daki kullanıcı verilerine Çin’deki personel tarafından erişim sağlandığı ve bu erişimin Avrupa Birliği veri koruma standartlarıyla “eşdeğer” düzeyde güvence altına alınmadığı tespit edildi.
Verinin Nerede Tutulduğu Değil, Nereden Erişildiği Önemli
TikTok’un savunmasında verilerin Avrupa’da saklandığı, erişimin sınırlı olduğu ve çeşitli teknik güvenlik önlemleri uygulandığı ifade edildi.
Ancak DPC’ye göre bu unsurlar yeterli olmadı. Çünkü GDPR’a göre yalnızca verinin fiziksel olarak nerede tutulduğu değil, nereden ve kim tarafından erişildiği de veri aktarımı açısından belirleyici.
Bu karar, Avrupa’da depolanan verilerin Çin gibi “yeterli koruma düzeyi olmayan” ülkelerden erişilmesi hâlinde, bunun yurt dışına veri aktarımı olarak kabul edileceğini açık biçimde ortaya koyuyor.
Yani veriler Avrupa’da kalsa bile, Çin’den erişim sağlanıyorsa bu erişim, “üçüncü ülkeye aktarım” sayılıyor.
—
TikTok’un Teknik Önlemleri ve Savunması
TikTok, “Project Clover” adını verdiği güvenlik girişimi kapsamında aşağıdaki önlemleri aldığını savundu:
Verilerin Avrupa’daki veri merkezlerinde tutulması, Uzak erişimlerin log kayıtlarıyla izlenmesi, standard Contractual Clauses (SCC) gibi yasal araçların uygulanması.
Ancak DPC, bu önlemlerin Çin mevzuatının olası erişim risklerine karşı yeterli koruma sağlamadığını ve şirketin kullanıcılarını bu konuda yeterince bilgilendirmediğini belirtti.
Sonuç olarak, uygulanan teknik önlemler ihlali ortadan kaldırmaya yetmedi.
—
Türk Şirketler ve Bireyler İçin Ne Anlama Geliyor?
Bu karar, Türkiye’de faaliyet gösteren şirketler ve bireyler açısından da önemli uyarılar içeriyor.
Verilerin Türkiye’de depolanması, tek başına “yurt dışına aktarım yok” anlamına gelmez. Eğer:
Yurtdışındaki bir grup şirketi,
Bulut hizmet sağlayıcısı,
Veya yurtdışı ofis personeli bu verilere erişebiliyorsa, bu durum yurt dışına veri aktarımı olarak değerlendirilebilir.
Bu nedenle bireylerin ve veri sorumlularının:
Erişim politikalarını, sözleşme yapılarını (özellikle üçüncü taraf hizmet sağlayıcılarla), ve teknik önlemlerini bu perspektifle gözden geçirmesi gerekir.
Ayrıca, aktarım halinde KVKK kapsamında uygun hukuki yolun belirlenmesi ve gerekiyorsa Kişisel Verileri Koruma Kurumu’na bildirim sürecinin tamamlanması önem taşır.
Yurtdışına veri aktarımı yapılıyor mu?” sorusu yanıtlanırken sadece sunucu konumu değil, uzaktan erişim imkanları ve üçüncü ülke mevzuatının etkileri de dikkate alınmalıdır.
