Yurt Dışına Kişisel Veri Aktarımına Milyonluk Ceza

Kişisel Verileri Koruma Kurulu’nun 7 Mayıs 2020 tarihinde Amazon hakkında Kişisel Verilerin Korunması Kanunu’yla getirilen yükümlülüklere uymadığı gerekçesiyle toplamda 1.200.000 TL’lik idari para cezası uygulanmasına ilişkin 27/02/2020 tarih ve 2020/173 sayılı kararı, benzer durumdaki şirketler için de KVK uyum çalışmalarının önemini bir kez daha açıklıkla vurgulamıştır.

Yurt Dışına Kişisel Veri Aktarımına Milyonluk Ceza

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5’inci maddesinin (1) numaralı fıkrası hükmü gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Maddenin (2) numaralı fıkrasında ise, ilgili kişinin açık rızası olmaksızın kişisel verilerin hangi hallerde işlenebileceği düzenlenmiştir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 5’inci maddesinin (1)’nci fıkrası hükmü gereğince hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir. Bu madde kapsamında alınacak onayın ise yine Yönetmeliğin 7’inci maddesinin (1)’inci fıkrası hükmü gereğince yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilmesi öngörülmüştür. Onayda ise alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır. Yine bu doğrultuda Yönetmeliğin 12’inci maddesinin (2)’nci fıkrası gereğince kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.

Kişilerin iletişim bilgilerinin pazarlama amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada işlenmesinin Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğu değerlendirilmekte olup, ilgili kişilerin açık rızaları veya Kanunun 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesi Kişisel Verileri Koruma Kurulunun 16.10.2018 tarih ve 2018/119 sayılı İlke Kararında da düzenlenerek belirtilen şekilde faaliyette bulunan veri sorumluları hakkında Kanunun 18’inci maddesi kapsamında işlem tesis edileceği hususu belirtilmiştir.

Veri Sorumlusunun iddiası, ticari elektronik iletilerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiği ve söz konusu mevzuat kapsamında şikayet mekanizmasının Ticaret Bakanlığının sorumluluğunda olduğu, şikayet başvurusunda bulunabilmek için gerekli hususların Kurumumuza intikal ettirilen başvuruda yer almadığı ve bu konudaki sorumluluğun da Kurumumuzda olmadığı yönündedir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin amacı, 1’inci maddede, “elektronik iletişim araçlarıyla yapılan ticari iletişime dair bilgi verme yükümlülüklerine ve ticari elektronik iletilerde uyulması gereken hususlara ilişkin usul ve esasları düzenlemek” olarak belirlenmiş olup, yönetmeliğin tanımlar başlıklı 4’üncü maddesinde ticari elektronik ileti, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmıştır.

Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir. Bu bağlamda, Kurulun konuya ilişkin almış olduğu ilke kararı, ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karardır.

Somut olayda, veri sorumlusu hakkında Kurula ihbarda bulunan şahıs tarafından Kurumun yanı sıra Ticaret Bakanlığına da başvuruda bulunulmuş olup, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kuruma intikal ettirmiş olup, bu durumun, söz konusu başvurunun kişisel verilerin korunması düzenlemeleri bağlamında ele alınması gerekliliğini ortaya koyduğu değerlendirilmektedir.

Diğer yandan, Kurum tarafından veri sorumlusu şirkete yönelik başlatılan inceleme, Kuruma intikal eden ihbarın değerlendirilmesini müteakip, Kanunun 15’inci maddesinin 1 numaralı fıkrasında verilen yetki çerçevesinde Kurulun resen başlatmış olduğu bir incelemedir.

Kurulca yapılan incelemede, www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş olup, üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.

Kanunun Tanımlar başlıklı 3’üncü maddesinin 1 numaralı fıkrasının (a) bendinde açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmıştır. Kanunda yer verilen tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.

Veri sorumlusunca Gizlilik Bildiriminde yapılan açıklamada, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu iddiası yer almaktadır. Ancak, üyelik oluşturulurken herhangi bir aşamada açık rıza alınması yoluna gidilmediği Kurulca yapılan incelemede tespit edilmiştir. Gizlilik bildirimindeki ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Bilindiği üzere açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlandığı gibi, diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir.

Bu kapsamda, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.

Kişisel verilerin işlenmesinde uyulması gereken ilkeler

Yine Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine uyulması zorunludur.

Veri sorumlusu, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Kurulun internet sayfasında da yayımlanan kararda sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmiştir.

Amazon.com.tr’nin topladığını beyan ettiği veriler ise şunlardır: “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaraları.” İlgili kişinin arkadaşlarının bilgileri, kendisi bakımından kişisel veri olmakla birlikte ayrıca bu bireylere ait birer kişisel veri niteliğini de taşımaktadır. Böylece üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Öte yandan “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” Kanunda yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmektedir.

Açık rızanın en geç kişisel verilerin aktarma faaliyeti gerçekleştiği sırada alınması lazımdır.

Kanunun 8 inci maddesinde“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmü düzenlenmiştir.

Veri sorumlusunun “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verilmiştir. Metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir. Çünkü Kanunun 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleştirilen veri aktarımı işlemlerinde ilgilinin açık rızası aranmayacağı gibi (Kanunun 5’inci maddesinin 2 numaralı fıkrası, 6’ncı maddesinin 3 numaralı fıkrası ve diğer kanunlarda öngörülen hallerde yapılan işlemeler), bu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansı da bulunmayacaktır. Öte yandan, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez. Dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmektedir. Açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusudur. Dolayısıyla kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmaktadır.

Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

Kanunun 9’uncu maddesi, “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir.

Yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmektedir.

Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiş olsa da “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”) belirtilerek ilgili kişilerin rızasının alındığı veri sorumlusunca iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceği değerlendirilmektedir. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir. Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.

Aydınlatma yükümlülüğü

Kanunun 10’uncu maddesinde yer alan hüküm gereğince, “kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci bendinin f fıkrasınagöre “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

Veri sorumlusunun internet sitesindeki “Kullanım ve Satış Şartları” metni incelendiğinde Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri (“Amazon”), Amazon.com.tr (internet sayfası) ziyaret edildiğinde veya buradan alışveriş yapıldığında; Amazon ürünleri, hizmetleri, mobil Amazon uygulamaları veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetler kullanıldığında (toplu olarak “Amazon Hizmetleri”) ilgili kişilere internet sayfası özelliklerinin, diğer ürünlerin ve hizmetlerin sunulduğu beyan edilmiştir.

Anlaşıldığı üzere yapılan işleme faaliyeti site ziyaret edildiğinde başlamaktadır. Öyle ki çerezler hakkında hazırlanan metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edilmiştir. Bu durumda sitede gerekli metinlere yer verildiği savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmak mümkün değildir. Siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerekmektedir. Ancak site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir istem de mevcut değildir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur.

Kurulca, www.amazon.com.tr’ye ilişkin yürütülen resen inceleme neticesinde yapılan değerlendirmeler sonucunda;

  • Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,
  • Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
  • Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği

dikkate alındığında veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,

  • Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına,
  • Söz konusu Kararın Kanunun 23’üncü maddesinin (5) numaralı fıkrası çerçevesinde Kurumun internet sayfasında yayımlanmasına

Kurumca karar verilmiştir.

(https://www.kvkk.gov.tr/Icerik/6739/2020-173)

Comments

No comments yet.

Yanıtla