Geçtiğimiz günlerde Kişisel Verileri Koruma Kurul’u (“Kurul”) Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon”) hakkında 1.200.000.-TL tutarında ihlal kararı verdi. Verilen bu karar, hem veri sorumlusunun kanundan kaynaklı yükümlülüklerine riayet etmesi gerektiğinin önemini hem de yurtdışına veri aktarımı konusunda dikkat edilmesi gereken noktaları bir kez daha hatırlatmış oldu. Kurul’un ilgili ihlal kararına https://www.kvkk.gov.tr/Icerik/6739/2020-173 adresi üzerinden ulaşabilirsiniz.
Başvurucu, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“6563 sayılı Kanun”) uyarınca hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğinde olan Amazon’un ticari elektronik ileti ve veri işleme faaliyetlerinin kişisel verilerin korunması mevzuatına uygun olmadığı yönünde iddiaları ile Kurul’a ihlal başvurusunda bulunmuş ve Kurul da re’sen inceleme başlatmıştır.
İhlal kararı özetle;
- Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun açık rıza alınmadığı,
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ hükümlerine uygun şekilde aydınlatma yükümlülüğünün yerine getirilmediği,
- Kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
- Yurt dışına veri aktarımı konusunda yeterli korumanın sağlanmadığı ve Kanun’un ilgili maddelerine aykırı işlem gerçekleştirildiği,
Başlıkları etrafında toplanmaktadır.
KURUL, TİCARİ ELEKTRONİK İLETİLER HAKKINDA KARAR VERMEYE YETKİLİ MİDİR?
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin tanımlar başlıklı 4’üncü maddesinde ticari elektronik ileti, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmıştır.
Veri Sorumlusunun konu hakkındaki savunması, ticari elektronik iletilerin 6563 sayılı Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiği ve söz konusu mevzuat kapsamında Ticaret Bakanlığı’nın şikayet mekanizmasının yürütülmesi gerektiği yönündedir.
Başvurucu ise Kurul’a ihlal başvurusunda bulunduğu sırada aynı zamanda Ticaret Bakanlığı’na da usulüne uygun ticari elektronik ileti gönderilmediğine ilişkin şikayet başvurusunda bulunmuş ancak Ticaret Bakanlığı bu konuda Kurum’un yetkili olduğunu ileri sürerek başvuruyu Kurum’a yönlendirmiştir.
Kurul, kararında her ne kadar şikayet konusu ticari elektronik iletiler için ayrı bir şikayet mekanizması öngörülmüş olsa da telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesinin kişisel veri işleme faaliyeti çerçevesinde değerlendirilmesi gerektiğini belirtmiştir. Bu sebeple ticari elektronik iletilere ilişkin mevzuat hükümlerinin yanında kişisel verilerin korunması mevzuatına da uygun hareket edilmesi gerektiği belirtilmiştir.
TİCARİ ELEKTRONİK İLETİLER İÇİN AÇIK RIZA MI YOKSA ONAY MI ALINMALIDIR?
Yönetmeliğin 5’inci maddesinin 1’nci fıkrası uyarınca “hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir.“ Bu maddede belirtilen onayın yine aynı Yönetmeliğin 7’inci maddesinin 1’inci fıkrasında yazılı olarak veya her türlü elektronik iletişim aracıyla alınabileceği düzenlenmiştir.Onayda yer alması gereken zorunlu unsurlar; alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresidir. Yine bu doğrultuda Yönetmeliğin 12’inci maddesinin 2’nci fıkrası uyarınca kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekmektedir.
Kurul, ticari amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada kişisel verilerin işlenmesinin Kişisel Verilerin Korunması Hakkında Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğunu belirtmiştir.
Bu sebeple veri sorumluluları ticari elektronik ileti göndermeden önce mutlaka ilgililerden onay almalı ve bu iletilerin gönderilmesi amacıyla işlenen veriler için ise ilgilinin açık rızasını almalıdır. Kurul http://www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle yapmış olduğu inceleme neticesinde kişisel verilerin işlenmesine ilişkin açık rıza alınmadığı ve ticari elektronik iletilerin gönderilmesine ilişkin “İletişim Tercihlerim” sekmesinde bütün seçeneklerin önceden işaretli olduğunu tespit etmiştir. Ancak Kurul’un daha önceki kararlarında da belirttiği üzere açık rıza ilgili kişinin bilinçli eylemi sonucu ortaya çıkmalıdır. Açık rıza verilmiş olduğu varsayımıyla profil oluşturulması ve sonradan bu tercihlerin kaldırılabilme imkanının tanınması kanuna uygun bir açık rıza olarak değerlendirilmemektedir.
Kurul vermiş olduğu ihlal kararında Amazon’un usulüne uygun açık rıza almadığı sonucuna varmış onay alınıp alınmadığı hususunu ise incelememiştir. Bu kapsamda Kurul, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı ve bu sebeple Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varmıştır.
KANUNA UYGUN AYDINLATMA YÜKÜMLÜLÜĞÜ NASIL OLMALIDIR?
Kurul yapmış olduğu inceleme neticesinde Amazon tarafından hazırlanmış ve ilgili kişilere yöneltilen Gizlilik Bildirimi’nde “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığını tespit etmiştir.
Amazon’un web sitesinde yer alan Gizlilik Bildirim’i başlıklı metin kişileri, kişisel verilerinin işlendiği yönünde bilgilendirme amacı taşımaktadır. Ancak Kurul yukarıda tırnak içinde yer verilmiş ifadenin kişinin aydınlatılmasının yanında ondan onay da alındığı izlenimi yarattığı ve aydınlatma metninin içerisinde açık rıza alınmasının Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine aykırılık teşkil ettiği sonucuna varmıştır.
KİŞİSEL VERİLERİN AKTARILMASI / YURT DIŞINA AKTARIM
Kanun’un 8. maddesi uyarınca kişisel veriler ilgili kişinin açık rızası olmaksızın 3. kişilerle paylaşılamaz. Ancak verilerin işlenmesine ilişkin Kanun’un 5. ve 6. maddesinde yer alan şartlardan birinin varlığı halinde ilgilinin açık rızası olmaksızın da verilerin aktarılabileceği düzenlenmiştir.
Amazon Gizlilik Bildirimi’nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer vermiştir. Kurul, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği sonucuna varmıştır.
Kanun’un 9. maddesinde ise ilgili kişinin açık rızası olmaksızın kişisel verilerin, yurt dışına aktarılamayacağı düzenlenmiştir. Açık rıza bulunmaması halinde ise kişisel verilerin, Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla yurt dışına aktarılabileceği hüküm altına alınmıştır.
Kişisel verilerin yurt dışına aktarılması konusunda Kanun’un 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkeler listesi Kurulca henüz yayınlanmamıştır. Kurul yapmış olduğu incelemede kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunduğuna ilişkin Amazon tarafından hazırlanmış bulunan taahhütnamelerin de henüz onaylanmadığı sonucuna varmıştır. Hal böyle iken kişisel verilerin yurt dışına aktarılabilmesinin tek yolu ilgili kişinin açık rızasının alınmış olmasıdır.
Yapılan inceleme sonucunda Amazon’un yurt dışına veri aktarımına ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımıyla bütün veri işleme faaliyetleri için battaniye rıza alındığı tespit edilmiştir. Kurul tarafından kanuna uygun bir açık rıza alınmadığı ve bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.
Özetle, yukarıda detaylı bir şekilde aktarılan sebeplerle Kurul Amazon hakkında
- Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı 1.100.000 TL idari para cezası uygulanmasına,
- Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmemesi sebebiyle 100.000 TL idari para cezası uygulanmasına,
- Amazon’un web sitesinde yer alan “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek ve web sitesini, uygulamalarını Kanuna uygun hale getirerek Kurum’a bilgi vermesine,
karar vermiştir.
AV. SİNEM İLİKLİ
Tarlan Avukatlık Bürosu Bloğu 