KİŞİSEL VERİLERİ KORUMA KURULUNUN AMAZON TÜRKİYE KARARI
Kişisel Verilerin Korunması Kurulu (“Kurul”) 27.02.2020 tarihli 2020/173 sayılı kararı ile Amazon Turkey Perakende Hizmetleri Limited Şirketi’ne (Amazon) 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK”) bazı hükümlerine aykırı hareket ettiği gerekçesiyle 1.100.000 TL idari para cezası kesmiş olup bu karar 07.05.2020’de Kurumun internet sayfasında yayınlanmıştır.
KVKK’nın yürürlüğe girdiği tarihten günümüze, kişisel verilerin yurt dışına aktarımına ilişkin kurallarındaki bazı belirsizlikler ışığında tartışmalar yürütülmekteydi. Kurul’un 2020/173 sayılı bu kararına kadar, KVKK’nın kişisel verilerin yurt dışında aktarımına ilişkin hükümlerine uyulmadığı gerekçesiyle herhangi bir ceza uygulanmamıştır.
İşbu karar, yalnızca Amazon’a uygulanan idari para cezası yönüyle değil, aydınlatma yükümlülüğü, veri sahibinin açık rızası, yurt dışına veri aktarımı gibi kişisel verilerin işlenmesine dair pek çok sorun alanında detaylı açıklamalar içerdiğinden ve Kurul’un bu hususta beklentilerini ortaya koyduğundan kişisel verilerin korunması açısından önem arz etmektedir. Bu yönüyle diğer elektronik ticaret şirketlerinin veri işleme koşullarını da etkileyecek bir rehber niteliğindedir.
Söz konusu karara bakıldığında, Amazon tarafından;
- Kanunun 12’nci maddesinin (1) numaralı fıkrasında belirtilen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,
- Kanunun 10’uncu maddesinde düzenlenen aydınlatma Yükümlülüğünü yerine getirmemesi nedeniyle veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
Kurulca karar verilmiştir. İşbu kararda ayrıca Amazon’a kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek internet sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesine de karar verilmiştir.
Kurul’un işbu kararında Amazon tarafından ihlal ettiği değerlendirilen yükümlülükler şöyle sıralanabilir:
- a) Mevzuata uygun bir açık rıza alınmamış olması
Kararda belirtilen ilk hukuka aykırılık Amazon’un, kişisel veri sahiplerinden kişisel verilerinin işlenmesi konusunda mevzuata uygun bir açık rıza almamış olmasıdır. Kurul tarafından yapılan incelemede Amazon’un internet sayfasından gerçekleşen üyelik esnasında gerekli bilgilerin girilerek herhangi bir açık rıza vermeksizin üyelik gerçekleştirildiği ve üyelik sürecinin tamamlanmasının ardından hesap ayarlarına bakıldığında kişilerin otomatik olarak ileti iznine onay vermiş şekilde sisteme kayıt edildikleri tespit edilmiştir. Bu durum Kurul tarafından “açık rıza” ilkesine aykırı olarak değerlendirilmiştir. Kurul’a göre kişilerin bilinçli eylemleri ile kişisel verilerinin işlenmesine onay vermelerinin sağlanacağı bir sistemin kullanılması gerekmektedir.
Veri işleme süreçleri ile alakalı genel bir aydınlatmanın yapılması (örneğin, “Gizlilik Bildirimi” ibareli bir metnin sunulması), açık rıza gerektiren işlemler için açık rızanın alındığı anlamına gelmemektedir.
Kurul’a göre, açık rızaya ilişkin diğer bir konu ise kişisel verilerin işlenmesinin hizmet şartına bağlanmış olmasıdır. Kurul tarafından Amazon’un, Gizlilik Bildirimi’nde yapılan inceleme neticesinde bu metinde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız” ve “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız” ifadelerini kullandığı ve böylece hizmet sağlanmasını kişisel verilerin işlenmesine bağladığı tespit edilmiştir. Veri sorumlusunun vermiş olduğu hizmeti, kişisel verilerin işlenmesi şartına bağlaması, KVKK’nın 4. maddesinde sayılan kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma” ve “işlenme amacı ile bağlı, sınırlı ve ölçülü olma” ilkelerine aykırılık teşkil etmektedir. Kararda, hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı belirtilmektedir.
Kurul, Amazon’un topladığı kişisel veri türleri bakımından yaptığı incelemede ise kişisel veri süreçlerinde işlenmesi zorunlu olmayan ilgili kişilere ait “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” gibi verilerin toplandığını tespit etmiştir. Bununla birlikte ilgili kişinin temas kişilerine ait e-posta adresleri bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Kurul tarafından bahse konu kararda Amazon’un bu açıdan da hukuka ve dürüstlük kurallarına ve kişisel verilerin işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırı hareket ettiği tespitine yer verilmiştir.
- b) Aydınlatma yükümlülüğünün ihlali
Kurul kararına göre, aydınlatma yükümlülüğünün ihlali çerezlere ilişkin işleme faaliyetinde söz konusu olup, hiçbir hizmetten yararlanmaksızın sırf Amazon’un internet sitesinin ziyaret edilmesiyle kullanıcıların verileri işlenmektedir. Kurul tarafından yapılan incelemede, bu bilgilendirmeye bazı metinlerde yer verilmekle birlikte, kişinin bu bilgileri görmesi için metinlere giriş yapmasının gerektiği, bunun dışında söz konusu bilgilendirmelerin pop-up mesaj gibi yöntemlerle kişinin karşısına çıkmadığı tespit edilmiştir. Dolayısıyla Amazon tarafından bu yönden yapılan işleme açısından hukuka uygun bir aydınlatma yapılmadığı ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerinin de ihlal edildiği sonucuna varılmıştır.
- c) Verilerin yurt içine aktarılması
Kurul tarafından yapılan incelemede veri aktarımına ilişkin süreçler “Amazon Kişisel Bilgilerinizi Paylaşıyor Mu?” başlığı altında açıklandığı ve burada “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği tespit edilmiştir.
Bahse konu karara göre, açık rızanın en geç kişisel veri aktarma faaliyeti gerçekleştiği sırada alınması gerekmektedir. Yalnızca, veri aktarımından sonra rızanın geriye alınabileceğinin söylenmesi, KVKK’ya uygun bir açık rıza yerine geçmemektedir. Dolayısıyla Kurul kararına göre, veri sorumlusunun aktarımı gerçekleştirdikten sonra, varsaymış olduğu rızanın geri alınabileceği şeklinde bir bildirim göndermesinin hiçbir pratik ya da hukuki anlamı olmayıp hukuka aykırı bir uygulamadır.
Açık rıza gerektiren bir durum (örneğin, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi) olması halinde, açık rızanın söz konusu kişisel veri işlenmeden önce alınması bunun, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması yolu ile yapılması gerekmektedir. Sonradan çıkabilme, yani opt-out imkânının sağlanması açık rıza beyanının hukuka uygun olarak alındığı anlamına gelmemektedir.
- d) Verilerin hukuka aykırı olarak yurt dışına aktarılması
Kurul kararının en önemli yönünü kişisel verilerin yurt dışına aktarımı konusundaki ihlal tespiti oluşturmaktadır. Zira hükmedilen para cezasının büyük bir kısmı bu ihlal dolayısıyla verilmiş olduğu görülmektedir.
Kurul’a göre mevcut durumda Amazon’un yurt dışına aktarım faaliyetini gerçekleştirmek için açık rıza almak yükümlülüğü altında olmasına rağmen hukuka uygun bir açık rıza alınması yoluna gitmemesi ve sırf Amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımı Kanun’un veri güvenliğine ilişkin 12. maddesine aykırıdır.
Kurul tarafından güvenilir ülke listesini yayınlanmamış olduğundan, Amazon’un kişisel verilerin yurt dışına aktarılması konusunda önünde iki seçenek bulunmaktaydı. Bunlar yeterli korumaya ilişkin taahhüt vermek veya aktarıma ilişkin açık rıza almak.
Somut olayda, Amazon tarafından KVKK’nın 9. maddesine uygun olacak şekilde açık rızaya gerek kalmaksızın kişisel verinin yurtdışına aktarımı için taahhütte bulunulmuş; ancak Amazon’un vermiş olduğu taahhüt halen Kurul tarafından değerlendirme aşamasında olup sonuçlandırılmamıştır. Bu nedenle, Kurul kararına göre bu aşamada ilgili mevzuat gereğince Amazon tarafından ilgili kişilerin açık rızasını alınması gerekmekle birlikte Kurul tarafından yapılan incelemede Amazon’un yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği tespit edilmiştir.
Dolayısıyla Kurul’a göre mevcut durumda Amazon’un yurt dışına aktarım faaliyeti gerçekleştirmek için açık rıza almak yükümlülüğü altında olmasına rağmen hukuka uygun bir açık rıza alınması yoluna gidilmemesi ve sırf Amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımı Kanun’un veri güvenliğine ilişkin 12. maddesine aykırıdır.
Yukarıda temel noktaları ortaya konulan karar sonrasında, önümüzdeki dönemde, diğer e-ticaret şirketlerinin de bu kararla uyumlu olarak kişisel veri işleme usullerini gözden geçirmeleri ve güncellemeleri gerekecektir.