Kişisel Verilerin Korunması Hukuku | Erdem Avukatlık Ortaklığı

Erdem Avukatlık Ortaklığı > Yayınlar > Kişisel Verilerin Korunması Hukuku
Yayın Tarihi: 2 Haziran 2020

Kişisel Verilerin Korunması Hukuku

KİŞİSEL VERİLERİN KORUNMASI KURULU KARARI

AMAZON TURKEY PERAKENDE HİZMETLERİ LTD. ŞTİ. HAKKINDAKİ KARAR

27.02.2020 tarihinde Kişisel Verileri Koruma Kurulu’nun vermiş olduğu Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili karar hakkındaki bilgilendirmeyi aşağıdaki yazımızda bulabilirsiniz.

  • Kurula Yapılan İhbar DilekçesiKurula yapılan başvuruda özetle; 6563 sayılı Kanun uyarınca hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğinde olan www.amazon.com.tr üzerinden yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygun olması gerekirken sitede yürütülen faaliyetler sebebiyle ilgili mevzuatın ihlal edildiği, site üzerinden sunulan hizmetler için üyelik hesabı oluşturulurken, alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığını ifade edilmiştir. Elektronik İletişimler başlıklı birinci maddede “Herhangi bir Amazon Hizmeti’ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sizinle, örneğin e-posta, SMS, uygulama içi anlık iletişimler gibi çeşitli şekillerde veya internet sayfasında e-posta mesajları veya iletişimler göndererek veya yayınlayarak veya Mesaj Merkezimiz gibi diğer Amazon Hizmetleri aracılığıyla elektronik olarak iletişim kuracağız. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.” ifadesinin kullanıldığı dolayısıyla amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiğinin görüldüğü belirtilmiştir. Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu nedenle kullanıcılara elektronik ticari ileti göndermenin 6698 sayılı Kanunun 5/2. maddesinde yer alan “bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” şeklindeki hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği söylenmiştir. Gizlilik Bildirimi” kapsamında bulunan “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.” şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin üyelik hesabı oluşturulurken ya da alışveriş yapılırken, kişisel verilerin yurtdışına aktarılması için açık rıza alınmadığı, yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından 6698 sayılı Kanunun 9’uncu maddesinin ihlal edilmiş olacağı, bunun da Kurulca yapılacak inceleme ile ortaya çıkabileceğini ifade edilmiştir.
  • Veri Sorumlusu Tarafından Yapılan AçıklamaHukuka aykırı olarak ticari elektronik ileti gönderildiğine ilişkin iddiaların dayanaktan yoksun olduğunu, herhangi bir kanıtlayıcı belgeye dayanmadığı ve başvuranın söz konusu taleplerini Ticaret Bakanlığına iletmesi gerektiğini söylemişlerdir. Kurulun ticari elektronik iletiler gibi ilke kararlarını ve Kurulun bu alandaki yetkisini kabul etmekle birlikte, konuya ilişkin usul ve esasların münferiden elektronik ticarete ilişkin mevzuat kapsamında düzenlenmiş olduğunu ve ihbar edenin bu mevzuat kapsamındaki şikayet mekanizmasını kullanılmasını gerektiğini ifade etmişlerdir. Amazon Turkey’in, müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla “Kullanım Koşulları” ve “Gizlilik Bildirimi” metinlerini sunduğunu, yalnız hesap oluşturulmasından sonra kayıtlı müşterilerle Amazon ürün ve hizmetlerine ilişkin elektronik iletişim kurulduğunu; Amazon hesabı oluşturulduğunda ilgili müşterinin “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”ni de kabul ettiğini; aynı şekilde kayıtlı bir müşteri site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”ni kabul ettiğine dair tekrar hatırlatma yapıldığını, Amazon Turkey’in ayrıca kayıtlı müşterilerine ticari elektronik ileti almak istedikleri alanları kolayca seçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkan sağladığını, Kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından/aktarılabileceğinden sadece haberdar olmadığını ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduklarını, Amazon Turkey’in yurt dışına veri aktarım taahhütnameleri ile ilgili yazışmaların Kurum ile sürdürülmekte olduğunu söylemiştir. Bu açıklamalar ışığında Amazon Turkey’in kişisel verileri yurtdışına hukuka aykırı aktardığı, e-ticaret mevzuatına aykırı hareket ettiği iddialarının asılsız olduğu ve varsayımlara dayandığı ifade ederek kuruma yapılmış olan işbu ihbarın reddedilmesi gerektiğini belirtmiştir.

    KİŞİSEL-VERİLERİN-KORUNMASI-HUKUKU-1

  • Kurul Tarafından Yapılan Değerlendirmeler

    1. Kurulun Yetkisi Açısından Yaptığı Değerlendirme
    Veri Sorumlusunun iddiası, ticari elektronik iletilerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiği ve söz konusu mevzuat kapsamında şikayet mekanizmasının Ticaret Bakanlığının sorumluluğunda olduğu iddiası bakımından Kurul; Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret ettiğini belirtmiştir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiğinin altını çizmiştir. Bu bağlamda, Kurulun konuya ilişkin almış olduğu ilke kararı, ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir inceleme yapılması yönünde olmuştur.

    2. Kişisel Verilerin İşlenmesinde Açık Rıza Alınması Hususunda Yapılan Değerlendirme
    Kurul tarafından yapılan incelemede, www.amazon.com.tr sayfasında bir üyelik profili oluşturmak suretiyle, bu iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda kişilerin açık rızasının alınıp alınmadığı kontrol edilmiştir. Bu kontrolde üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından hesap ayarlarından “Promosyon E-postaları” başlığına tıklandığında “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı tespit edilmiştir. Kurul kanunda yer alan “açık rıza” kavramının veri sorumluları tarafından ilgili kişilerden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması şeklinde değerlendirilmesi gerektiğinin altını çizmiştir.Her ne kadar veri sorumlusunca Gizlilik Bildirimine dair yapılan açıklamada, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı ve böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı ayı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu iddia etmiş ise de Kurul Gizlilik bildirimindeki ifadenin aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmakta olduğuna kanaat getirmiştir. Kurul bu kapsamda açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesini, dürüstlük kuralına aykırılık şeklinde yorumlandığı gibi, diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılmasının yürürlükteki mevzuata uygun olmadığını söylemiştir. Mevzuatta kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğinin düzenlendiğini, bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemekte olduğunu ifade etmiştir. Böylelikle Kurul, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığını, açık rıza dışında da bir işleme nedenine dayanmadığını dolayısıyla Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varmıştır.

    3. Kişisel Verilerin İşlenmesinde Uyulacak İlkeler Hususunda Yapılan Değerlendirme
    Kurul, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” ifadelerine yer vermekle veri sorumlusunca kişisel verilerin işlenmesini hizmet şartına bağlamakta olduğunu tespit etmiştir. Bu durumun sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi olduğunu dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceğini ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiğini belirtilmiştir.

    4. Kişisel Verilerin Aktarılması Hususunda Yapılan Değerlendirme
    Veri Sorumlusunca hazırlanan “Gizlilik Bildirimi” metninde açıklanan şekillerde kişisel veri paylaşımı yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesi üzerinde durulmuştur. Buna göre kanunun 8. maddesinin 2. ve 3. fıkralarına göre yapılan veri aktarımı işlemlerinde ilgilinin açık rızasının aranmayacağı gibi işbu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansının da bulunmayacağını belirterek metne göre ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceğini belirtmiştir. Kurul bununla birlikte açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınmasının lazım olduğunu, bundan sonra alınacak açık rızanın mevzuata uygun kabul edilemeyeceğinin altını çizmiştir. Bu bakımdan aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmiştir. Açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusu olarak nitelendirilmiştir. Dolayısıyla kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmakta olduğu sonucuna varılmıştır.

    5. Kişisel Verilerin Yurtdışına Aktarılması Hususunda Yapılan Değerlendirme
    Veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektupları sunulduğunu ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği göz önüne alındığında kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olacağı belirtilmiştir ve bu yönden bir inceleme gerçekleştirilmiştir. Yapılan incelemede Veri sorumlusu tarafından “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verildiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı belirtilerek ilgili kişilerin rızasının alındığı dolayısıyla mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı iddiasına karşılık Kurul zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceğini söylemiştir. Kanun kapsamında açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımakta olduğunu, böylece ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacağını belirtmiştir. Buna karşılık olarak belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edildiğini ve hukuken geçersiz sayıldıklarının altını çizmiştir. Somut olayda Kurul, veri sorumlusunun işbu konuda ilgili kişilerin açık rızasını alması gerektiğini, ancak veri sorumlusunun yurtdışına aktarıma ilişkin bir açık rıza alma yoluna gitmediğini, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceğini, bu durumun Kanununda yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varmıştır.

    6. Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hususunda Yapılan Değerlendirme
    Mevzuat kapsamında veri sorumlusu tarafından kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir. Somut olayda veri sorumlusunca yapılan işleme faaliyetinin site ziyaret edildiğinde başlamakta olduğu, çerezler hakkında hazırlanan metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojileri kullanıldığı beyan edilmiş olduğu tespit edilmiştir. Bu durumda Kurul salt olarak sitede gerekli metinlere yer verilmiş olduğu savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmanın mümkün olamayacağını söylemiştir. Siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması göz önüne alındığında kişinin yalnızca siteye girerek verilerinin işlenmesi yönünde açık iradesini beyan ettiği anlamının çıkamayacağını ifade etmiştir. Farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerektiğini ancak site girişinde farklı araçlarla kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte yapılan işleme için izin verilmesine dair bir isteminde mevcut olmadığına dikkat çekmiştir. Dolayısıyla söz konusu durumu işleme faaliyetindeki açık rıza şartına ve aydınlatma yükümlülüğüne aykırılık teşkil etmekte olduğunu, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmamasının mevzuatta düzenlendiği şekilde yerine getirilmediği kanaatine varılmıştır.

Detaylı Bilgi İçin:

Berrak Gazel

berrakgazel@erdemhukuk.av.tr
Detaylı Bilgi İçin:

Yeliz İnceoğlu

yelizinceoglu@erdemhukuk.av.tr
Yazıyı PDF İndir