Bağlantıları atla

Kişisel Verileri Koruma Kurulunun Amazon Turkey Perakende Hiz. Ltd. Şti Hakkındaki Kararının Değerlendirilmesi

Kişisel Verileri Koruma Kurulu (“Kurul”), Amazon Turkey Perakende Hizmetleri Limited Şirketi’ne (“Amazon”) hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde yapılan başvuru neticesinde gerekli incelemeleri başlatmış ve yapmış olduğu denetim sonucu birtakım Kanun’a aykırılıklar tespit etmiştir. Bu kapsamda Kurul’un 07.05.2020 tarihinde yayımladığı; 27/02/2020 tarihli ve 2020/173 sayılı karar özetinin konu başlıkları özelinde değerlendirmesini aşağıda bilginize sunarız;

I. Ticari Elektronik İleti Gönderimi ile Kişisel Veri İşlenmesi Arasındaki İlişki

Kurul vermiş olduğu kararda, belki de ilk defa açık bir şekilde ticari ileti gönderimi ile kişisel verilerin korunması arasındaki ilişkiye bu denli net bir şekilde açıklık getirmiştir. Bu bakımdan Kurul, kişilere, telefon numarası e-posta adresi gibi verilerin bir veri kayıt sisteminde depolanması suretiyle ticari ileti gönderimini, kişisel veri işleme faaliyeti olarak nitelendirmiştir. Bu tanımdan hareketle veri sorumlusu konumundaki Amazon’un da ticari ileti gönderimi yaparken Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ile birlikte Kanun’a da uyumlu davranması gerektiği üzerinde durmuştur. Somut kararda Amazon’un, üyelerine e-posta gönderimine ilişkin sayfasında haberdar olunmak istenen iletişim kanalları listesinin üyenin karşısına seçili/önceden tikli olarak üyenin karşısına gelmesini ve “lütfen bana artık e-posta göndermeyin” şeklinde bir seçeneği özgür irade ile verilmiş bir açık rıza olarak nitelendirilmemiştir. Bu nedenle de Kurul, Amazon’un Kanun’da öngörülen açık rıza şartını ihlal ettiği tespit etmiştir. Görülmektedir ki özellikle e-ticaret sektörü üzerinden faaliyet gösteren veri sorumlularının elektronik ortamda temin edecekleri açık rızaya ilişkin metotların Kanun’da öngörülen şekillerde yürütülmesi büyük önem arz etmektedir.

II. Kişisel Veri İşlemesinin Hizmet Şartına Bağlanması İlkesi

Karar’da bahsi geçen bir diğer husus ise, yine uygulamada çokça tartışılan ve özellikle “loyalty card” vb süreçlerde gündeme gelen, açık rızanın hizmet şartına bağlanması unsurudur. Buna göre Amazon’un internet sitesinde mevcut “Gizlilik Bildirimi” metninde yer alan

– “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.”
– “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.”

şeklindeki ibareleri açık bir şekilde kişisel verilerin işlenmesini hizmet şartına bağlanması olarak değerlendirilmiştir. Bu şekilde bir yaklaşımın veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı vurgulanmıştır. Sonuç olarak Amazon’un internet sitesinde yer alan ilgili ibare, Kanun’un veri işlemenin temel ilkelerini düzenleyen hükmüne yani veri işleme faaliyetinin dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırı bulunmuştur.

III. Kişisel Verilerin Yurt Dışına Aktarımı

Kurul kararının belki de somut uygulamalara yansıması adına emsal teşkil edebilecek en hassas bölümü, yurt dışına aktarıma ilişkin değerlendirmelerdir. Mevcut durumda Amazon’un internet sitesinde yer alan “Gizlilik Bildirimi”; “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.” şeklinde bir açıklama içerdiğinden Kanun’un 9. maddesinde düzenlenen yurt dışına aktarıma ilişkin süreç ve gereklilikler gündeme gelmektedir. Kısaca hatırlatmak gerekirse, veri sorumlusunun yurt dışına veri aktarımı için kural, ilgili kişiden açık rıza alınması olup açık rıza kapsamında düzenlenen istisnai hükümlerin veri aktarım süreci açısından mevcut olması halinde, veri sorumluları arasında Kurul nezdinde onaylatılacak olan bir taahhütname veya güvenli ülkeye aktarım, açık rıza kuralının istisnasını oluşturmaktadır. Ancak 08.05.2020 tarihi itibari ile Kurul tarafından açıklanan bir güvenli ülke listesi söz konusu olmadığından ve birçok şirketin Kurul nezdinde bağlayıcı işlem yapması çekincesi gibi etmenler mevcut olduğundan, Kurul’un ilgili hükümlerin uygulanması noktasındaki denetiminin biraz daha esnek olacağı yönünde birtakım beklentiler mevcuttu.

Ancak ilgili Amazon kararında Kurul, açık bir şekilde açık rıza şartının sağlanmaması ve yurt dışına aktarım için Kurul’a sunulan taahhütname sürecinin Kurul tarafından hâlihazırda onaylanmaması nedeni ile gerçekleştirilen yurt dışına aktarım sürecini Kanun’a aykırı bulmuş ve Amazon bu kapsamda idari para cezasına çarptırılmıştır. Kurul, Amazon’un internet sitesinde yer alan “Gizlilik Bildirimi” içerisinde yurt dışına aktarıma ilişkin bir ibarenin konulması ve başkaca bir açık rıza alınması yoluna gidilmek yerine Amazon hizmetlerinin kullanılması sonucu bu bildirimin kabul edilmiş sayılmasını da açık rıza şartının ihlali olarak değerlendirmiştir.

Böylece özellikle sunucuları yurt dışında bulunan veya mevcut işlemiş olduğu kişisel verileri yurt dışındaki sunuculara aktaracak olan veri sorumlularının Kanun’daki gerekliliklere uyması gerektiği ilgili kararda vurgulanarak bu konu netlik kazanmıştır. Karar’da dikkat çeken bir diğer nokta ise, Türkiye’nin de taraf olduğu 108 Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’nin Kurul kararında göz ardı edildiğidir. Bilindiği üzere ilgili Sözleşme uyarınca Sözleşmeye taraf olan devletlerarasındaki veri aktarımı birtakım istisnalar haricinde mümkün kılınmıştır. Ancak Kurul kararında bu noktaya değinilmemesi ve Amazon Türkiye’den Avrupa Birliği’ne gerçekleştirilen kişisel veri aktarımının aynı ihlal çerçevesine dâhil edilmesi, Kurul’un şuan için 108 sayılı Sözleşme’yi net bir şekilde değerlendirme altına almadığına işaret etmektedir.

IV. İnternet Sitesi Üzerinden Gerçekleştirilen İşlemler Kapsamındaki Açık Rıza ve Aydınlatma Yükümlülüğü

Son olarak Kurul kararında, internet sitesi içerisinde mevcut olan üyelik girişi, çerezler, sipariş oluşturma gibi adımlara ilişkin her bir veri işleme sürecinde aydınlatma yükümlülüğü ve açık rıza işlemlerinin süreç bazında gerçekleştirilmesi gerektiği belirtilmiştir. Bu bakımdan örneğin, ilgili kişinin siteye ziyareti ile birlikte Amazon’un veri işlemeye başlaması için başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması (örn: pop-up mesajlar) gerekmektedir. Ancak Amazon’un internet sitesinde bu şekilde bir süreç söz konusu değildir.

İlgili kişinin siteye giriş yapmasının verisinin işlenmesi yönünde açık iradesi olduğu şeklinde yorum yapılamayacağını belirten Kurul, özellikle Amazon’un çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü yerine getirmediğini tespit etmiştir.

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır. Size en iyi web deneyimini sağlamak için çerezleri kullanıyoruz. Gizlilik politikasını buradan okuyabilirsiniz.