KİŞİSEL VERİLERİ KORUMA KURULU’NUN AMAZON TÜRKİYE KARARI’NA İLİŞKİN DEĞERLENDİRME

08 Mayıs 2020

7 Mayıs 2020 tarihinde Kişisel Verileri Koruma Kurulu tarafından Amazon Türkiye hakkında verilen karara ilişkin değerlendirmeler yazımızda kaleme alınmıştır.


Kişisel Verileri Koruma Kurulu’ndan Amazon Türkiye’ye büyük ceza!

Covid-19 salgınının etkilerinden konuştuğumuz ve özellikle işyerleri ve kamu kurumları tarafından veri işleme faaliyetleri ile ilgili hukuki değerlendirme ve uygunluk çalışmalarını yürüttüğümüz bugünlerde Kişisel Verileri Koruma Kurumu’nun aktif olarak çalıştığını göz ardı etmemek gerektiğini bir kez daha görmüş olduk. Nitekim mart ayından bugüne kadar 19 adet Kurul kararı yayınlandı ve kararlar uyarınca toplam 1.975.500 TL idari para cezası kesildi.

7 Mayıs 2020 tarihinde Kişisel Verileri Koruma Kurulu tarafından Amazon Türkiye hakkında verilen karar ise geçtiğimiz yıllarda Facebook’a kesilen cezadan sonraki en yüksek idari para cezası niteliğini taşıyor. Kararın içeriğinde ise dikkat çekici birden çok nokta var. Bu karar ile birlikte genel itibariyle Kurum’un kişisel verilerin işlenmesi ve aktarılmasındaki tutumu da biraz daha açığa çıkmış oldu. Kurul tarafından verilen kararları incelediğimizde ise kuruluşların, ilgili kişilerden gelen şikayet veya ihbarlar neticesinde incelemeye alındığı görülüyor. İlgili kişilerin ihbar ve şikayet konularının ise çoğunlukla izinsiz gönderilen ticari iletiler ile verilerin izinsiz paylaşımı ile aktarımı noktasında olduğunu belirtmek yanlış olmayacaktır.

Amazon Türkiye’ye Uygulanan İdari Para Cezasına İlişkin Değerlendirmeler

1. Ticari ileti gönderimi için alınan onaya ek olarak kişisel verilerin bu anlamda işleme faaliyetine tabi tutulabilmesi için ilgili kişilerden açık rıza alınmalıdır.

Konu özellikle e-ticaret faaliyetinde bulunan kuruluşlar için önem arz etmektedir. Nitekim web sitesinin herhangi bir şekilde ziyaret edilmesiyle birlikte çerez kullanımı kapsamında toplanan kişisel veriler dahil, sepet bilgileri, log kayıtları, üyelik aşamasında alınan bilgiler, sadakat programları kapsamında talep edilen bilgiler veya elektronik ticaret işlemi için gerekli olan fatura bilgilerinin tamamı 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri olarak değerlendirilebilmekte ve her bir faaliyet ayrı bir veri işleme faaliyeti olarak tanımlanmaktadır. Bununla birlikte özellikle üyelik hizmetleri ile ilgili kişilerden talep edilen bilgilerin kullanım amacının doğrudan ticari iletişim olarak nitelendirilmesi mümkün olmayacağından bu aşamada alınacak açık rızanın da altı bir kez daha çizilmiş olmaktadır. Kuruluşlar, 6563 sayılı Elektronik Ticaretin Korunması Hakkında Kanun ve ilgili yönetmelikler kapsamında her ne kadar ticari ileti gönderimi için hukuka uygun şekilde onay alıyor olsalar dahi kişisel verilerin bu faaliyet kapsamında işlenebilmesi için de açık rızanın alınması gerekmektedir. Halihazırda Amazon hakkında verilen kararın diğer elektronik ticaret işletmelerinin de web sitelerini bu kapsamda düzenlemeleri gerektiğini ortaya koymaktadır.

“Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir.

… www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş olup, üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, ... 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.

… veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.

… Ancak, üyelik oluşturulurken herhangi bir aşamada açık rıza alınması yoluna gidilmediği tarafımızca yapılan incelemede tespit edilmiştir. Gizlilik bildirimindeki ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır.

açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir.

… Bu kapsamda, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı”

Kurul kararında geçen yukarıdaki ifadelerden de anlaşılacağı üzere, elektronik ticaret faaliyetinde bulunan veya üyelik ile ilgili kişilere kampanyalar sağlayan kuruluşların;

Üyelik sözleşmesinin kurulması ve ifası amacı ile işlenmesi zorunlu olan kişisel verileri Kanun’un 4. Maddesinde belirtilen ilkeler çerçevesinde belirleyerek bu işleme faaliyeti için Kanun’un 5 inci maddesinde yer alan açık rıza dışında kalan veri işleme şartlarından birisine dayanabileceği, ancak ticari ileti gönderiminin ayrı bir veri işleme faaliyeti olması nedeniyle bu faaliyetin açık rıza dışında kalan bir veri işleme şartına dayandıramayacağı ve bu nedenle bu işleme faaliyeti için ilgili kişilerden ticari ileti gönderim onayına ek olarak veri işleme için onay alması gerektiği söylenebilecektir.

Konu ile ilgili olarak 1 Haziran 2020 tarihine kadar, ticari ileti izni bulunan verilerin İleti Yönetim Sistemine aktarılması ile birlikte veri işleme ve ticari ileti gönderimi konularının da açıklığa kavuşacağı öngörülmektedir. Zira İleti Yönetim Sistemine ticari ileti onayı bulunuyor şeklinde aktarılacak olan verilerin aynı zamanda kişisel veri işlenmesi için de onay vermiş olduğu kabul edilebilecektir.

2. Kurul’un daha önceki kararlarında da değinmiş olduğu “Açık rızanın hizmet şartına bağlanması” açık rızayı sakatlayacağından bu kapsamda kişisel veri işlemenin de hukuka aykırılık oluşturacağı ifade edilmektedir.

Kanun kapsamında kişisel verilerin açık rıza ile işlenebileceği düzenlenmiş olmakla birlikte belirli durumlarda açık rıza alınmaksızın veri işleme faaliyetinin gerçekleştirilebileceğine yer verilmiş ve bu hallerin mevcut olması halinde ayrıca açık rıza alınmasının hakkın kötüye kullanılması anlamına geleceği belirtilmiştir. Bununla birlikte, kuruluşlar tarafından verilecek hizmetlerin açık rıza şartına dayalı olarak sunulması da Kanun kapsamında veri ihlali olarak değerlendirilmiştir. Bu kapsamda, özellikle çerezler vasıtası ile toplanan veriler bakımından web sitesinde düzenleme yapılması gerekmektedir.

Her ne kadar Türk hukukunda çerezlere ilişkin halihazırda bir düzenleme olmasa dahi bu kapsamda elde edilen bilgilerin kişisel veri niteliğinde olabileceğini, bu doğrultuda ise zorunlu çerezler dışında kalan çerezlere izin verilmemesi halinde ilgili kişinin veya üyenin kuruluşun hizmetinden yararlanamamasının da Kanun’un genel ilkelerine aykırılık oluşturacağını söylemek doğru olacaktır. Böylelikle çerezlerin kullanımı ile ilgili de Kurul’un da yaklaşımı öğrenilmiştir. Web sitesinde çerez kullanmakta olan kuruluşların, web sitesi ziyaretçilerine çerezleri onaylamaya zorlamaması ve kullanılacak çerezleri belirleme imkanı tanıması gerekmektedir.

“‘Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.’ diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır.

… Farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerekmektedir. Ancak site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir istem de mevcut değildir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur.”

Diğer yandan, her bir veri işleme faaliyeti için özellikle açık rıza alınması açısından ilgili kişiye ayrı ayrı bilgilendirme yapılması ve aydınlatma metni içerisinde bu konulara ayrıca değinilmesi gerekmektedir. Bu noktada işleme, izleme, depolama, aktarıma faaliyetleri için ilgili kişiden ayrıca onay alınmalı ve yine temel hizmet bu açık rıza şartına bağlı tutulmamalıdır.

“…Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir.”

3. Üyelik esnasında talep edilen verilerin Kanun’un 4. Maddesinde yer alan amaçla bağlantılı olma ve ölçülülük ilkesine uygun şekilde toplanması gerekmektedir.

Kanun’un genel ilkeleri ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nde de ifade edildiği üzere veri işleme faaliyetlerinde veri minimizasyonu ilkesinin temel alınması gerekmektedir. Bu kapsamda veri işleme amacıyla bağlantılı olmayan verilerin açık rıza ile hukuka uygun olarak toplandığı düşünülse dahi verilen hizmetin yerine getirilmesi açısından gerekli olmadığı ifade edilebilmekte ise veri işleme faaliyeti de genel ilkelere aykırılık nedeniyle hukuka aykırı hale gelecektir.

“‘…kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler.’ Kanunda yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmektedir.”

4. Açık rızaya dayalı olarak işlenen verilerin üçüncü kişilere aktarımı için de açık rıza alınması gerekmekle birlikte Kanun’un 5. maddesinde yer alan istisnai hallerin varlığı halinde, işlenen verilerin üçüncü kişilere aktarımı için de açık rıza şartı aranmamaktadır.

Kurum, incelemeleri esnasında Amazon Türkiye’nin her ne kadar ilgili kişilere aktarımın durdurulması için imkan tanmış olduğunu ifade etmiş ise de veri işlemenin istisnai hallerden birisine dayanması halinde bu verilerin aktarımının da açık rıza olmaksızın gerçekleştirilebileceğini belirtmiştir. Nitekim Kanun’un lafzında da anlaşılan durum bu olmakla birlikte istisnai hallerden birisine dayanmaksızın ve açık rıza olmaksızın işlenen veriler bakımından, bu durumun geçerli olmayacağı bildirilmiştir. Ayrıca aktarma için açık rızanın da en geç aktarma faaliyetinin gerçekleştiği sırada alınması gerekmektedir. Dolayısıyla kuruluşların, veri işleme faaliyeti için ilgili kişilerden alacakları açık rızaların aktarma faaliyeti için de alınması gerektiği söylenebilecektir. Ancak tekrar etmek gerekir ki, Kanun’un 5. Maddesi kapsamında işlenen veriler bakımından açık rıza şartı aranmayacağından bu faaliyetler için ayrımın en doğru şekilde yapılması önem arz etmektedir.

5. Kişisel verilerin yurt dışına aktarımı için Kanun’da yer alan düzenlemelere uygun şekilde yöntemlerin belirlenmesi gerekmektedir.

Kişisel Verileri Koruma Kurumu’nun son dönemlerde üzerinde sıkça durduğu konulardan birisi kişisel verilerin yurt dışına aktarılmasıdır. Kanun ile kişisel verilerin açık rıza olmaksızın yurt dışına aktarılamayacağı, açık rıza olmaksızın aktarım için aktarım gerçekleştirilecek ülkede yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerektiği düzenlenmiştir. Yeterli koruması bulunan ülkelerin ise Kurum tarafından ilan edileceği belirtilmiş ise de halihazırda güvenli ülkelere ilişkin herhangi bir açıklama yapılmamıştır.

Diğer yandan, yurt dışına veri aktarımı ile ilgili olarak Kurum’un bugüne kadar yapılan taahhütnamenin onaylanmasına ilişkin başvurulara olumlu veya olumsuz dönüş yapmadığı görülmektedir. Ancak Amazon Türkiye için verilen Kurul kararı ile birlikte 7 Mayıs 2020 tarihinde yayınlanan duyuruda alınacak taahhütnamelere ilişkin dikkat edilmesi gerekenler ilgililere bildirilmiştir. Yine, yurt dışına veri aktarımı ile ilgili olarak Avrupa Birliği düzenlemelerine paralel olarak 10 Nisan 2020 tarihinde yapılan duyuruda Bağlayıcı Şirket Kurallarının da kabul edileceği bildirilmiştir. Online eğitim platformları üzerinden işlenen verilerin bulut yazılımları vasıtası ile yurt dışına aktarımının söz konusu olabileceği ve açık rıza alınmaksızın gerçekleştirilen bu aktarımın veri ihlali anlamına gelebileceği de Kurum tarafından duyuru olarak yayımlanmıştır.

Kurul’un Amazon Türkiye için yapmış olduğu incelemede, yurt dışına veri aktarımına ilişkin taahhütname mektuplarının sunulduğu ancak bu taahhütnamelere henüz onay verilmediği ve güvenli ülkelerin de henüz açıklanmadığı göz önüne alındığında yurt dışı aktarımının açık rıza alınmaksızın gerçekleştirilmesini veri ihlali olarak değerlendirmiştir.

Böylelikle, çok uluslu grup şirketlerin açık rıza olmaksızın veri aktarımını gerçekleştirebilmesi için;

  1. İlgili kişilerden açık rıza alması veya,
  2. Aktarım yapılacak ülke güvenli ülkeler kapsamında değil ise Türkiye ve ilgili ülkedeki veri sorumlularından yeterli korumayı yazılı olarak taahhüt etmesi ve bu taahhütname için Kurul’dan izin alması veya,
  3. Çok uluslu grup şirketler bakımından Kurum tarafından belirlenen asgari içeriklerin yer aldığı bağlayıcı şirket kurallarını oluşturarak Kurul’dan onay alması gerekmektedir.

Aksi halde kişisel verilerin yurt dışına aktarımı hukuka aykırı olarak gerçekleştirilmiş olacaktır.

Görüleceği üzere Amazon Türkiye hakkında yapılan inceleme her ne kadar ihbar vasıtası ile başlatılmış olsa da yapılan detaylı inceleme Kurum’un re’sen denetleme ve inceleme yetkisine dayandırılmış ve Kanun’un her bir maddesi açısından değerlendirme yapılmıştır. Bu kapsamda özellikle elektronik ortamda veri işleme faaliyeti gerçekleştiren veri sorumlularının, Kanun’da yer alan tüm madde hükümlerine uygun hareket etmesi gerektiği aksi halde yüksek idari para cezalarına maruz kalınabileceği görülmektedir. Alınan karar neticesinde kişisel verilerin yurt dışına aktarımı ile ilgili olarak da Kurum’un ayrıca hassas davrandığı göz ardı edilmemelidir. Yurt dışına veri aktarımı gerçekleştiren şirketlerin mevcut düzenlemelerini gözden geçirmeleri ve faaliyetlerini Kanun’da yer alan şartlara uygun olarak gerçekleştirmeleri gerekmektedir. Güvenli ülkelerin henüz açıklanmamış olmasının halihazırda bir idari yaptırımı önlemediği bir kez daha görülmüştür.

AV. ALARA YILMAZ