Kuruma iletilen şikayet dilekçesinde özetle, ilgili kişinin veri sorumlusunun sistemine internet sitesi üzerinden üye olduğu, internet sitesinde çerez politikasının yer almadığı, aydınlatma metninde yurt dışına aktarım yapıldığının bildirildiği ancak ilgili kişinin bu yönde bir açık rızasının olmadığı, bunun üzerine konuya ilişkin internet sitesinde yer alan aydınlatma metnindeki e-posta adresine başvuruda bulunduğu, bu başvuruda ilgili kişinin hangi verilerinin kaydedildiği ve aktarıldığı hususlarında bilgi talep edilmişse de yasal süre olan 30 gün içerisinde veri sorumlusundan bir cevap alınamadığı ifade edilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle, Veri sorumlusunun, ilgili kişi başvurularına özgülediği bir e-posta adresi oluşturduğu, ancak bu e-posta adresine gönderilen ilgili kişi başvurusunun sehven gözden kaçırılması sebebiyle yanıtsız kaldığı,  Veri sorumlusunun internet sitesinde, gerek ilgili kişinin başvuru tarihinde bulunan aydınlatma metninde gerekse de hali hazırda yürütülen KVKK Uyum Projesi kapsamında güncellenen aydınlatma metninde çerezler vasıtası ile işlenen kişisel verilere ilişkin bilgilerin belirtildiği, konu ile ilgili aydınlatmanın 6698 Kanun’un 10’uncu maddesi kapsamında gerçekleştirildiği, Veri sorumlusunun İngiltere, Polonya, Çek Cumhuriyeti, Macaristan, Romanya, Suudi Arabistan, Mısır ve Türkiye'de hizmet vermekte olduğu, çok sayıda ülkede milyonlarca kullanıcının menfaatlerinin en güvenli şekilde karşılanabilmesi için, veri sorumlusunun hizmetlerini yurt dışında bulunan bulut servis teknolojileriyle sağladığı, internet sitesinde bulunan aydınlatma metninde yer alan yurt dışına aktarım bildiriminin verilerin bu sunucuda tutulması sebebiyle gerçekleştirildiği, sistemlerinin Kanun ve Avrupa Veri Koruma Tüzüğü (GDPR) düzenlemelerinin yürürlüğe girmesinden önce bu mimari üzerinde geliştirilmeye başlandığı, anılan kanunlar ve kişisel verilerin korunmasına ilişkin mevzuatın yürürlüğe girmesi akabinde de KVKK ve GDPR ile uyumlu hale getirilmek üzere titizlikle yapılan çalışmaların devam ettirildiği, Günümüzde çok sayıda ülkede ve tüketiciye hizmet veren teknoloji girişimlerinin ihtiyaçları bağlamında Türkiye'de bulunan barındırma hizmetlerinin yetersiz olduğu, Türkiye'deki barındırma hizmetlerinde ihtiyaç duyulan modern altyapı teknolojilerinin büyük çoğunluğunun bulunmadığı, bulunan teknolojilerin de kapasite, güvenlik ve özellik olarak birçok eksikliğinin olduğu, buna karşın yurtdışında bulunan söz konusu hizmet sağlayıcının altyapı teknolojilerine çok daha fazla yatırım yapma kapasitesinin olduğu, Türkiye'de bulunan bağımsız sunucu barındırma şirketlerinin benzer bir yatırım yapma kapasitesi olmadığı için altyapı teknolojilerinin avantajlı hale getirilmesinin son derece güç olduğu, bu sebeple Türkiye'de operasyonu bulunan birçok teknoloji şirketinin de kendilerinin çalıştığı şirketten hizmet aldığı, Veri sorumlusunun çok sayıda ülkede, çok sayıda tüketiciye hizmet sağlayabilmek için geliştirdiği teknolojilerin, kullandığı bulut servis sağlayıcının sunduğu altyapı teknolojilerinin üzerine inşa edildiği, veri sorumlusunun bu barındırma hizmetini tercih etmesindeki temel sebebin tüketicilerinin menfaatini üstün tutmak olduğu, siber saldırılar karşısında dahi tüketicilere kesintisiz hizmet verebildiği ve tüketicilerin verilerinin gizlilik ve güvenliğini bu saldırılara karşı koruyabildiği, veri sorumlusunun iş modeli çerçevesinde tüketicilerin ihtiyaçlarını karşılayabilmesinin de ancak bu firmanın sağladığı yenilikçi yapay zeka ve veri aktarımı teknolojileri sayesinde mümkün olabildiği, tüm sermayeleri ile Türkiye merkezli olarak kalmaya devam edebilmesi açısından yurt dışında bulunan servis veya muadillerini kullanmasının gerekli olduğu, Veri sorumlusunun barındırma hizmeti aldığı firma ile Kanun'un 9’uncu maddesinin (2) numaralı fıkrasının (b) bendi kapsamında bir taahhütname çalışmasını uzun zamandır sürdürmekte olduğu, söz konusu taahhütnameyi de en kısa sürede Kurulun onayına sunacağı
ifade edilmiştir.
Konuya ilişkin olarak yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/249 sayılı Kararı ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmes