KİŞİSEL VERİLERİ KORUMA KURUMU’NUN AMAZON KARARI HAKKINDA

-HUKUK BÜLTENİ-

                                               BÜLTEN TARİHİ: 09.05.2020

I. GİRİŞ

Kişisel Verileri Koruma Kurumu (“Kurum”) Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Kararının özetini internet sitesinde yayınlamıştır[1].

 Kuruma yapılan şikayet üzerine re’sen başlatılan inceleme sonucunda Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına ve Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL olmak üzere toplamda 1.200.000 TL idari para cezası uygulanmasına karar verilmiştir.

II. ŞİKAYET ve SAVUNMANIN KAPSAMI

Kuruma yapılan ihbar bildiriminde ve eklerinde, www.amazon.com.tr sitesinde yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına aykırı olduğu iddia edilmiştir. Bu kapsamda üye hesabı oluşturulurken ticari elektronik ileti gönderilmesi için açık rıza alınmadığı, sitenin ziyaret edilmesi ile birlikte elektronik olarak iletişim almaya onay verildiği şeklinde bir uygulamaya gidildiği iddia edilmiştir ve siteye girişle birlikte çerezler aracılığı ile veri işlenmesinin Kişisel Verilerin Korunması Kanunu (“Kanun”) md 5/2 kapsamında sözleşmenin ifası ile doğrudan ilgili olması kaydıyla gerekli olma şartını sağlamadığı belirtilmiştir. Kullanım ve Satış Şartlarının kabul edilmesinin (elektronik iletişime izin verilmesinin) açık rıza olarak nitelendirilmeyeceği iddia edilmiştir.

Yine şikayet kapsamında, verilerin yurt dışına aktarıldığı şeklinde sitede ifadelerin bulunduğu ancak yurt dışına aktarma için açık rıza alınmadığı iddia olunmuştur. Ayrıca yurt dışına aktarım için kurul izni alınmamış ise açık rıza yoksa aktarımın da mevzuat ihlali olacağı belirtilmiştir.

Şikayetle ilgili Kişisel Verileri Koruma Kurulu 16.05.2019 tarih ve 2019/140 sayılı Kararı ile res’en inceleme başlatılmasına karar verilmiş olup; ilgili dilekçedeki iddialar ile ilgili olarak Amazon ‘dan savunması ve savunmasına esas bilgi ve belgeler istenilmiştir. Amazon savunmasında konunun elektronik ticarete ilişkin mevzuat kapsamında olduğu, kişisel verilerin işlenmesi konusunda şeffaflık sağlayacak şekilde kullanım koşulları ve gizlilik bildirimin yapıldığı, hesap oluşturan müşterilere ileti gönderildiği ve iletişim kurulduğu ve isteyenlerin ileti almaktan çıkabildikleri belirtilmiştir. Yurt dışına veri aktarımına ilişkin olarak Gizlilik Bildirimi’ni onaylayan müşterilerin aktarımı kabul ettiği yönünde savunma yapılmıştır.

III. KURULUN DEĞERLENDİRMESİ

Kurul değerlendirmesini; ticari elektronik ileti gönderilmesinde açık rıza alınması ve ticari amaçlı ileti gönderilmesine ilişkin mevzuat kapsamında yapmış ve öncelikle açık rıza olmaksızın işleme yapılamayacağı hususu vurgulanmış ve önceden onay veren sistemle değil bireyin bilinçli eylemi ile (opt-in) rıza alınması gerektiği belirtilmiştir. Amazon tarafından yapılan uygulamada açık rıza alınmaksızın verilerin işlendiği ve Kanun md 5/2 ‘de belirtilen sözleşmenin kurulması ve ifası ile ilgili veriler kapsamında işleme yapılmadığı ve açık rıza dışında nedenler varken açık rıza aranması yoluna gidilmesinin dürüstlük kuralına aykırılık teşkil ettiği vurgulanmıştır.

Verilerin işlenmesi ile ilgili olarak “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı davranıldığı tespit edilmiştir. Site içeriğinden kişisel verilerin işlenmesinin hizmet şartına bağlandığı tespit edilmiştir. Ancak şarta bağlı rızanın açık rıza niteliğinde olmadığı vurgulanmış ve geçerli bir rızanın bulunmadığı tespit edilmiştir. İşlenen verilerin kapsamı değerlendirildiğinde verilerin orantılı ve sınırlı bilgiler olmadığı, amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesinin ihlal edildiği tespit edilmiştir.

Kişisel verilerin aktarılması hususunda da açık rıza alınması (veya diğer işleme şartlarının bulunması) gerektiği hatırlatılmıştır. Kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadelerden hareketle, Kurul tarafından aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati oluşturulmuştur. Yine açık rıza alınarak işlenen verilerle ilgili olarak rızanın geri alınması halinde aktarılan verilerin akıbetinin belirsiz olacağı hususu belirtilmiştir.

Kişisel verilerin yurt dışına aktarılmasına ilişkin olarak ise veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu belirtilmiştir. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği kararla birlikte açıklanmıştır. Bu nedenle kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olduğu belirtilmiştir. Bu kapsamda sitede yer alan Gizlilik Bildirimi içeriğindeki hatırlatmaların ve bildirimlerin verinin sınırlarının kapsamının ve süresinin belirli olmaması genel kapsamlı olması (battaniye rıza) nedeniyle hukuken geçersiz kabul edilmiştir.

İnternet sitesinde yer alan “Kullanım ve Satış Şartları” metninde internet sitesinin ziyaret edildiğinde dahi işleme faaliyetinin başladığına dair ifadelerin bulunduğu, siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği anlamına gelmediği belirtilmiştir. Bu kapsamda çerezler ile ilgili olarak siteye girişte çerez bildirimine onay verecek bir onay sisteminin gerekli olduğu belirtilmiştir. Bu nedenle işleme faaliyetindeki acık rıza şartının aydınlatma yükümlülüğüne aykırılık teşkil etmekte olduğu tespit edilmiştir. Yapılan inceleme ve değerlendirmeler sonucunda;

• “Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,
• Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
• Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği dikkate alındığında veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,

• Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
• Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına
• Söz konusu Kararın Kanunun 23’üncü maddesinin (5) numaralı fıkrası çerçevesinde Kurumun internet sayfasında yayımlanmasına” karar verilmiştir.

IV. KARARIN ÖNEMİ

Karara konu olan olayda; yurt dışına veri aktarımına ilişkin önem taşıyan önemli bir karar niteliğindedir. Yurt dışına veri aktarımının özel koşullara tabi olması nedeniyle bu karar gelecekteki kararlara emsal teşkil edebilecektir. Yine halen korumaya sahip ülkelerin de henüz belirlenmemiş olması nedeniyle yurt dışına aktarım konusunda da mevzuata uygun şekilde alınacak açık rıza belirleyici olacaktır. Bundan sonraki süreçte, yurt dışına usulüne aykırı şekilde veri aktarılması halinde de para cezası uygulanacağı anlaşılmaktadır.

Kararda ilgi çekici bir diğer husus ise 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bu kanuna dayalı mevzuat ile kişisel verilerin korunması mevzuatı arasındaki ilişkiye değinilmiş olmasıdır. Karar özetinde belirtildiği üzere Kurum’a ihbarda bulunan şahıs tarafından aynı zamanda Ticaret Bakanlığına da başvuruda bulunulmuş olup, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kurum’a intikal ettirmiştir. Bu durumda ticari amaçlı iletişimde de herhangi bir kişisel veri (telefon, e-posta vs bilgileri dahil) işlenecek ise Kanun ve diğer mevzuatta aranan şartların aranması gerektiği sonucuna ulaşılmaktadır.

Yine söz konusu karar açık rızanın ve aydınlatmanın niteliğine ilişkin detaylı açıklamalar içermekte, çerezler için önceden onay alınmasına ilişkin baştan onay alınmasını öngörmektedir. Son olarak söz konusu kararda verilen toplam 1.200.000 TL ‘lik idari para cezası Kurum tarafından verilen en yüksek cezalardan biri olarak karşımıza çıkmaktadır.

Saygılarımızla

Forensis Hukuk Bürosu

Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.