Kişisel Verileri Koruma Kurulu (Kurul) tarafından 27 Şubat 2020 tarihinde verilen ve 2020/173 karar numarasını alan karar geçtiğimiz günlerde özet halinde Kurumun internet sitesinde yayımlanmıştır. İlgili Kurul Kararı Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon) tarafından işletilmekte olan www.amazon.com.tr (“Site”) isimli internet sitesindeki ticari ileti ve kişisel veri uygulamalarına ilişkindir. Kararda özellikle açık rıza, aydınlatma yükümlülüğü ve yurtdışına veri transferi konularının elektronik ticaretteki yerlerine ilişkin önemli noktalara değinildiği görülmektedir.
Kuruma yapılan ihbarda özetle, Amazon’un Site’yi ziyaret eden kişilerin kişisel verilerini ilgili kişilerden açık rıza almadan işlediği, bu kişilerin kişisel verilerinin işlenmesi için Kişisel Verilerin Korunması Kanunu(“Kanun”)’nda sayılan istisnai şartların da bulunmadığı, Site’de yer alan açık rıza metinlerinin hizmet şartına bağlanmış olunduğu ve yurtdışına aktarım konusunda da gerekli şartların sağlanmadığı iddia edilmiş olup, Kurum tarafından inceleme yapılması talep edilmiştir. Amazon tarafından bu durumun Kurumun yetkisi dahilinde olmadığı, şikayetçi kişinin Ticaret Bakanlığına başvurması gerektiği belirtilmiş olsa da bu itiraz kurul tarafından her ne kadar ticari elektronik ileti başka bir mevzuata tabi olsa da bir kişisel veri faaliyeti gerçekleştiğinden kabul edilmemiş ve kurumun yetkili olduğuna kanaat getirilmiştir. İlgili kararda kurulun 5 ana başlık altında inceleme yaptığı görülmektedir. Şöyle ki;
1. Açık Rıza (KVKK Madde 5)
Önemli Not 1: Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Açık rızanın alınması işleminin aydınlatma yükümlülüğü ile birlikte aynı metin içerisinde yapılması açık rızayı sakatlamaktadır.
Açık rızanın alınıp alınmadığı yönünde yapılan incelemede siteye üye olunurken herhangi bir açık rıza alınmaksızın üyelik sürecinin tamamlandığı görülmüştür. Herhangi bir açık rıza alınmamasına rağmen üye olunduktan sonra hesap bilgilerine girildiğinde “Promosyon E-postaları” başlığı altında “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlık önceden seçili bulunmaktadır. Bunun yanı sıra en altta artık e-pazarlama e-maili istenmediğine ilişkin bir ibare olsa da bireyin onayı alınmaksızın kişisel veri işlemesi gerçekleştirilmiştir. Amazon tarafından yapılan savunmada gizlilik bildiriminin onaylanması nedeniyle açık rızanın alınmış olduğu ileri sürülse de yapılan incelemede söz konusu Gizlilik Bildirimi’nde aydınlatmayla birlikte açık rızanın da alınmakta olduğu tespit edilmiştir. Oysa Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Kurul buradan hareketle Amazon’un ticari elektronik ileti göndermek amacıyla kişisel verilerini işlediği ilgili kişilerin usulüne uygun bir şekilde açık rızalarını almadığını, bu kişilerin kişisel verilerinin işlenmesi için açık rıza dışında bir işleme nedeninin de bulunmadığını tespit etmiştir.
2. Meşru amaç & Sınırlı, Ölçülü Veri İşleme (KVKK madde 4)
Önemli Not 2: Kişisel verileri işlemek için alınan açık rızanın hizmet şartına bağlanması açık rızayı sakatlamaktadır.
Kurul tarafından verilen kararda öncelikle, verilerin işlenmesinin şarta bağlanmış olması üzerinde durulmuştur. Sitede yer alan gizlilik bildiriminde, bilgilerin verilmemesi halinde birçok hizmetten yararlanılamayacağı, çerezlerin engellenmesi halinde sepete ürün eklenemeyeceğine ilişkin bilgilendirmeler yer almakta olup kişisel verilerin işlenmesi hizmet şartına bağlanmıştır. Açık rızanın sözleşmenin bir koşulu olarak dayatılması KVKK madde 4’te yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil etmektedir.
Bunun yanı sıra bu maddeye ilişkin işlenen verilerin ölçülülüğü de incelenmiştir. Yapılan inceleme sonucunda site tarafından üyenin temas kişilerine ait e-posta adresleri gibi kişisel verilerin bu kişilerin açık rızası olmaksızın işlendiği görülmüş, ayrıca kredi geçmişi gibi ölçülülük, orantılılık ile bağdaşmayan verilen işlendiği tespit edilmiştir. Bu anlamda hukuka aykırı hareket edilmektedir.
3. Verilerin Üçüncü Kişiler ile Paylaşılması (KVKK madde 8)
Önemli Not 3: Kişisel verilerin açık rızaya dayalı olarak işlenmesi halinde, en geç kişisel verilerin üçüncü kişilere aktarma faaliyeti gerçekleştiği sırada alınması gerekmektedir.
Yine sitede yayımlanan gizlilik bildiriminde kişisel verilerin üçüncü kişiler ile paylaşılması halinde bilgilendirme yapılacağı ve bu bildirim sonucu bilgilerin paylaşılmamasını seçme imkanının tanınacağı söylenmektedir. Ancak açık rıza olmaksızın verilerin aktarılmış olması halinde bireyin rızasını geri alması yani bilgilerinin paylaşılmamasını seçmesi halinde bilgiler aktarılmış olacaktır. Aktarılan bu verilerin akıbetinin ne olacağı açık değildir. Kaldı ki kanun hükmü uyarınca istisnai haller haricinde verilerin kişinin açık rızasının alınmaksızın aktarılması mümkün değildir. Dolayısıyla böylesine bir uygulama hukuka aykırıdır.
4. Verilerin Yurt Dışına Aktarılması (KVKK madde 9)
Önemli Not 4: Mevcut durumda yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenmediğinden, yurtdışına veri transferinde açık rıza haricindeki istisnai hallerden faydalanabilmek içinde gerekli taahhütlerin verilerek Kurul’dan izin alınması gerekmektedir. Bunun haricindeki her durumda açık rıza alınarak ilerlenmesi gerekmektedir.
KVKK madde 9 uyarınca bir kimsenin kişisel verisinin yurt dışına aktarılması ancak açık rıza ile mümkündür. Maddenin 2. Fıkrasında açık rıza alınmasına gerek olmayan istisnai haller düzenlenmiş olsa dahi, bu durum Kurul tarafından belirlenen yeterli korumanın bulunduğu ülkelere yapılacak aktarımlar ile yeterli koruma bulunmamasına rağmen veri sorumluları tarafından ilgili taahhütlerin verildiği ve Kurul’un izin verdiği aktarımlar için geçerlidir. Kurul henüz yeterli korumanın bulunduğu ülkelere ilişkin olarak bir belirleme yapmamıştır. Bu nedenle açık rızanın bulunmadığı istisnai hallerden faydalanabilmek için ilgili taahhütleri verilmiş olması ve Kurul’dan izin alınmış olması gerekmektedir. Amazon’un Kurul’a sunduğu taahhütlerle ilgili olarak henüz Kurul tarafından herhangi bir izin de verilmediği görüldüğünden somut olayda yurt dışına aktarım için tek yol bireyin açık rızasıdır. Ancak site tarafından yurt dışına aktarım hususunda da açık rıza alınmamaktadır. Dolayısıyla KVKK madde 12’de yer alan veri güvenliğine ilişkin hükümlere aykırılık söz konusudur.
5. Verilerin İşlenme Amacı Hakkında Aydınlatılma (KVKK Madde 10)
Önemli Not 5: Üyelik, satış olmaksızın yalnızca internet sitesini ziyaret etmekle dahi ( çerezler vb. yollarla ) kişisel veri işleniyorsa ziyaretçilerin siteye girişlerinde pop-up vb. yollarla aydınlatma yükümlülüğü yerine getirilmelidir.
Kurul ayrıca aydınlatma yükümlülüğüne ilişkin olarak da bir değerlendirme yaparak Site’de yer alan bildirimde çerezlerin reklam vs. gibi amaçlarla işleneceğinin belirtilmesi aydınlatma yükümlülüğünün yerine getirilmesi olarak kabul edilememektedir. Bu noktada Kurul’un site girişinde pop-up mesajlar vb. farklı araçlarla kişisel verilerin işlendiğine dair bir bilgilendirme sunulmadığına da işaret ettiği görülmektedir. Çünkü bu veri işleme sadece üyeler için değil bütün kullanıcılar için gerçekleştirilen bir işlemdir ve siteyi ilk defa ziyaret eden bir kullanıcının buna açık rıza gösterip göstermeyeceği bilinmemektedir. Kaldı ki site girişinde hiçbir şekilde kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte yapılan işleme için izin verilmesine dair bir istem de mevcut değildir. Bu nedenle de KVKK madde 10 ve Tebliğ madde 5’e aykırılık söz konusudur.
Комментарии