Selen İBRAHİMOĞLU GÜREŞ Avukat / Yönetici Ortak
[email protected]
29 Mayıs 2020
A-
A+
Kişisel Verileri Koruma Kurulu (“Kurul”) Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon”) hakkındaki kararını 7 Mayıs 2020 tarihinde yayınladı. Bundan böyle büyük ihtimalle “Amazon Kararı” olarak anılacak 27/02/2020 tarih ve 2020/173 sayılı bu karar, Kurul kararları arasında en çok konuşulacak kararlardan biri olacağa benziyor. Amazon Kararında hükmedilen toplam 1.200.000 TL tutarındaki idari para cezası ise, bugüne kadar Kurul tarafından verilen (kamuya duyurulmuş) en yüksek 4. para cezası oldu.
Amazon Kararı, Kurul tarafından yayınlanan diğer kararlar gibi özet bir karar olduğundan bu yazıda yer verilen bilgiler bu karar özetinden anlaşılabilen iddia veya sonuçlardır. Ancak bahsi geçen kararın tamamını yayınlanmadığı için inceleme imkanımız olmadığını not düşelim.
Karar özetinde, Kurul’un gelen bir ihbar üzerinde re’sen inceleme başlatmış olduğu anlaşılmaktadır.
I. Amazon Kararı’nda özetlendiği kadarıyla, ihbarda ileri sürülen iddialar nelerdir? Bu iddialara karşı Amazon ne demiş?
İhbarda yer alan iddiaya göre Amazon, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“6563 sayılı Kanun”) uyarınca hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğindedir ve www.amazon.com.tr üzerinden gerçekleştirdiği faaliyetleri kişisel verilerin korunması mevzuatına uygun olarak yerine getirmelidir. Ancak Amazon bu mevzuatı ihlal etmektedir.
Amazon ise hukuka aykırı olarak ticari elektronik ileti gönderdiğine ilişkin iddiaların asılsız olduğunu belirtmekle birlikte söz konusu başvurunun Ticaret Bakanlığı’na iletilmesi gerektiğini savunmuştur. Zira Amazon’a göre, ticari elektronik iletiler konusuna ilişkin usul ve esaslar elektronik ticaret mevzuatında düzenlenmiştir ve konuya ilişkin ihbarların bu mevzuat kapsamındaki şikayet mekanizması uyarınca yapılması gereklidir.
İhbarda, Amazon’un web sitesinde yer alan Kullanım ve Satış Şartları sayfasında Amazon ve iştirakleri tarafından sunulan tüm hizmetlerin toplu olarak Amazon Hizmetleri olarak adlandırılmış olduğu; metnin Elektronik İletişimler başlıklı bölümünde ise kişilerin herhangi bir Amazon Hizmeti kullandığında Amazon ile elektronik iletişim kurulmuş olduğu, bu nedenle sözleşmesel amaçlı olarak elektronik ileti almaya onay verildiğinin varsayılmış olduğu belirtilmiştir. Böylece Amazon tarafından, yalnızca web sitesini ziyaret eden bir kişinin dahi ilgili hükümleri kabul ettiği ve elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya yer verildiği iddia edilmiştir. Öte yandan alışveriş yapabilmek için üye hesabı oluşturulmasının zorunlu olduğu ve üye hesabı oluşturulmasıyla Kullanım ve Satış Şartları metninin kabul edilmesi gerektiği; böylece elektronik ileti gönderilmesine ilişkin rıza alınmasının Amazon’dan hizmet alınmasının ön şartı olarak düzenlenmiş olduğu iddia edilmiştir.
Amazon’un sunulan hizmetlere ilişkin olarak hiçbir aşamada elektronik ticari ileti göndermek üzere açık rıza almadığı ve açık rıza dışında bir işleme nedeninin varlığına ilişkin de herhangi bir açıklama yapmadığı ileri sürülmektedir.
Amazon ise, müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla ilgili metinlerin ilgililere sunulduğu iddiasındadır. Bu çerçevede, hesap oluşturulmasıyla birlikte Gizlilik Bildirimi’nin kabul edilmiş olduğunu ve aynı şekilde sipariş verildiğinde de Kullanım ve Satış Şartları, Gizlilik Bildirimi ve Çerez Bildirimi metinlerinin kabul edildiğine dair hatırlatma yapıldığını iletmiştir. Bununla birlikte kayıtlı müşterilerin ticari elektronik ileti almak istedikleri alanları kolayca seçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkanları olduğunu açıklamıştır.
İhbarda, Amazon’un web sitesinde yer alan Gizlilik Bildirimi sayfasının kişisel verilerin paylaşılması ile ilgili bölümünde kişisel verilerin Avrupa Birliği’ne ve buradan da ABD’ye aktarılabileceğinin belirtilmiş olduğu ve bununla birlikte üyelik hesabı oluşturulurken veya alışveriş yapılırken verilerin yurt dışına aktarılmasına ilişkin herhangi bir şekilde rıza alınmadığı ileri sürülmüştür. İhbara göre Amazon’un Kurul’dan izin almamış olması halinde Kanun’un kişisel verilerin yurt dışına aktarılmasına ilişkin 9. Maddesi ihlal edilmiş olabilir ve bunun Kurulca yapılacak inceleme ile ortaya çıkarılması gereklidir.
Amazon tarafından bu iddialara yönelik olarak ise, kullanıcıların Gizlilik Bildirimi’ni onaylamak suretiyle hem bu hususa dair haberdar oldukları hem de bunu kabul etmiş oldukları savunması yapılmıştır. Öte yandan Amazon’un yurt dışına veri aktarım taahhütnameleri ile ilgili Kişisel Verileri Koruma Kurumu ile yazışmalarını sürdürmekte olduğu iletilmiştir.
II. Kurul’un İncelemesinde Neler Öne Çıkıyor?
Kurul tarafından yapılan inceleme neticesinde çıkarılan temel tespit ve sonuçlar şu şekildedir:
Amazon’un hukuka aykırı olarak ticaret ileti gönderdiğine ilişkin iddialara karşılık olarak konunun elektronik ticaret mevzuatı kapsamında değerlendirilmesi yönündeki savunması Kurul tarafından değerlendirilmiş ve Kurul, inceleme konusu olayda Amazon’un savunmalarına karşılık konuyla ilgili Kanun’un 18. Maddesine ilişkin işlem tesis edebileceğini duyuran 16.10.2018 tarih ve 2018/119 sayılı İlke Kararı’nı hatırlatmıştır.
Bu çerçevede, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleriyle getirilen düzenlemelere açıklamalarında yer veren Kurul, Yönetmelik’in “Ticari elektronik iletiler ve onay” başlıklı 5. Maddesine göre hizmet sağlayıcı, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla göndereceği ticari elektronik iletiler için alıcıdan onay alması gerekliliğini hatırlatmıştır.
Kararda, bu kapsamda ticari elektronik iletilerin gönderilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle söz konusu İlke Kararı’nın da ticari elektronik iletilerin gönderilmesine değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karar olduğu Kurul tarafından vurgulanmıştır.
Sonuç olarak Kurul, kişisel veri işleme süreçlerine ilişkin inceleme yaptığını, kaldı ki ihbar eden kişinin aynı zamanda Ticaret Bakanlığı’na başvurduğu ancak Ticaret Bakanlığı tarafından söz konusu başvurunun “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kurum’a gönderildiğini ve son olarak incelemenin ihbar neticesinde Kanun’un 15. Maddesinin 1. Fıkrası kapsamında resen başlatılan bir inceleme olduğunu bildirmiştir. Dolayısıyla Kurul, ticari elektronik ile ilgili başvurularda inceleme yetkisi olduğu kanaatine varmıştır.
Kurul, yaptığı inceleme neticesinde Amazon’un ticari elektronik ileti göndermek üzere tasarladığı uygulamanın hukuka aykırı olduğuna karar vermiştir.
Gerçek kişilerin Amazon üzerinden üyelik oluşturmasıyla birlikte her ne kadar kişilere bu iletilerin gönderilmemesi imkanı tanınmış olsa da, varsayılan olarak ticari elektronik ileti gönderilmesine ilişkin onay verdikleri kabul edilmiştir. Bunun dışında herhangi bir şekilde açık rıza da alınmamış olduğu tespit edilmiştir. Bu kapsamda Kurul’un değerlendirmeleri şu şekildedir:
Bu çerçevede, Kurul tarafından Amazon’un ilgili kişilere ticari elektronik ileti göndermek üzere açık rıza almaması ve bunun dışında da herhangi bir hukuki sebebe de dayanmamış olması sebebiyle Kanun’un veri güvenliğine ilişkin 12. Maddesini ihlal ettiği kanaatine varılmıştır.
Kurul Gizlilik Bildirimi’ni incelemesi neticesinde bu metinde yer alan iki farklı hususu Kanun’da belirtilen “hukuka ve dürüstlük kurallarına uygun olma” ile “işlenme amacı ile bağlı, sınırlı ve ölçülü olma” ilkelerine aykırı olduğu tespitini yapmıştır:
“Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.”
“Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.”
Kurul tarafından her iki ifade uyarınca genel ilkelerin ihlal edilmiş olduğu şu temel gerekçelere dayandırılmıştır:
Kurul bu gerekçelerle Gizlilik Bildirimi’nde yer alan ve yukarıda belirtilmiş olan iki ifadenin genel ilkelere aykırı olduğuna karar vermiştir.
Kurul, Amazon’un “Gizlilik Bildirimi”nin incelenmesi sonucunda metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği sonucuna varmıştır. Bu durumda da açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınmış olması gerektiğini ve bundan sonra alınacak açık rızanın mevzuata uygun kabul edilemeyeceğini açıklamıştır.
Dolayısıyla, Kurul aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesini, kanun lafzının tersine yorumlanması olarak değerlendirilmiştir. Sonuç olarak, kişisel verilerin aktarılmasına ilişkin Gizlilik Bildiriminde yer alan muğlak ifadelerin, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırdığını belirtmiştir.
Kurul tarafından Karar’da, yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurul’un onayını almak üzere taahhütname mektuplarını Kurul’a sunduğunun görüldüğü, ancak Kurul’un henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde, kişisel verilerin yurtdışına aktarılması için tek yöntemin ilgilinin açık rızasının alınması olduğu belirtilmektedir.
Amazon ise üyelik oluşturulmasıyla birlikte kabul edilen Gizlilik Bildirimi’nde ilgili kişilerin verilerinin yurt dışına aktarımı konusunda açık rıza vermiş olduklarını iddia etmiş ancak Kurul zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceğine kanaat getirmiştir. Kurul bu çerçevede somut olaya ilişkin şu değerlendirmeleri yapmıştır:
Kurul, açıklanan gerekçelerle mevcut düzenlemeler kapsamında yurt dışına veri aktarımı yapabilmek için ilgili kişilerin açık rızasını almak zorunda alan veri sorumlusunun açık rıza almaması ve Gizlilik Bildirimi ile bu rızanın alınmış olduğunu kabul etmesini Kanun’un 12. maddesine aykırı olarak değerlendirmiştir.
Kurul incelemesi sonucunda Amazon’un Satış Kullanım ve Şartları incelendiğinde kişinin Amazon’un web sitesini ilk ziyaret ettiği andan itibaren çerez kullanılması suretiyle verilerinin işlendiğini tespit etmiştir.
Kurul bu çerçevede, farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerektiğini belirterek, Amazon’un site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir sistemin de mevcut olmadığını tespit etmiştir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durumun da hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olduğunun altını çizerek, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmamasının, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’ne aykırılık oluşturduğunu belirtmiştir.
III. Kurul Tarafından Hükmedilen Cezalar
Yukarıda yapılan açıklamalar neticesinde Kurul’un Amazon hakkında hükmettiği cezalar şu şekildedir:
toplamda 1.200.000 TL idari para cezası hükmedilmesine,
karar verilmiştir.
IV. Amazon Kararı’nın düşündürdükleri ve Cevaplanması Gereken Sorular
Amazon Kararı’nda uzun zamandır tartışılan bazı konulara değiniliyor ve bunlara dair tespitlerde bulunuluyor. Ancak, kararın uygulamaya bir netlik getirdiğini söylemek bu aşamada zor.
Karar sonrası akla öncelikle gelen sorularımızı da buraya not edelim:
Bu tereddütlerin ilgili kurumlar ve yasa koyucu tarafından en kısa zamanda giderilmesi gerektiğini düşünüyoruz. Bu aynı zamanda, ilgili kişilerin haklarını nasıl kullanabileceklerini anlayabilmeleri açısından önem arz edecektir.
Diğer yandan akla gelen bir soru da yurtdışına aktarım konusunda Kanun’un veri güvenliğine dair 12. Maddesi uyarınca bir idari parası verilebilir mi? Verilebilir ise, bunun şartları neler olmalıdır?
Son olarak bugün için rızanın, hizmetin ön şartı yapılamaması ilkesi de dikkate alındığında, veri sorumlularından beklenen hiç bir şekilde yurtdışı aktarımı yapmamaları mıdır? Bu ne kadar hayatın olağan akışına uygundur?
Yayınlara dön