Kişisel Verileri Koruma Kurulu’nun Amazon Turkey Hakkındaki 7.5.2020 Tarihli Kararı Hk.

Kişisel Verileri Koruma Kurulu 07.05.2020 tarihinde yayınlanan 27.02.2020 tarihli ve 2020/173 sayılı kararı ile Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkında; ticari elektronik iletilere ilişkin kullanıcılardan açık rıza almadığı ve açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı, ayrıca yurt dışına veri aktarımına ilişkin de açık rızaların Kişisel Verilerin Korunması Kanunu’na uygun alınmadığı gerekçesiyle 1.100.000 TL idari para cezasına hükmetmiştir. 

Kararın konusunu Kurul’a intikal eden bir ihbar dilekçesi ve eki oluşturmaktadır. İhbar dilekçesi ve eklerinde özetle;

• Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak üyelik hesabı oluşturulurken ve alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı,
• Sitenin “Kullanım ve Satış Şartları” sayfasının girişinde “…Amazon Hizmetleri aracılığıyla kişisel bilgilerinizin nasıl toplandığını ve işlendiğini anlayabilmek adına lütfen Gizlilik Bildirimimizi ve Çerezler Bildirimimizi inceleyin” ifadesine yer verildiği,
• “Elektronik İletişimler” başlıklı birinci maddedeki ifadeler birlikte değerlendirildiğinde, amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiğinin görüldüğü,
• Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu nedenle kullanıcılara elektronik ticari ileti göndermenin 6698 sayılı Kanun’un 5’inci maddesinin 2’inci fıkrasında yer alan “bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” şeklindeki hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği,
• Alışveriş yapabilmek için zorunlu olan üye hesabı oluşturulması amacıyla “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmanın özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyeceği, nitekim Kişisel Verileri Koruma Kurumu (Kurum) internet sitesinde yer verilen karar özetleri bölümünde, “Açık rızanın Hizmet Şartına Bağlanması” başlığı altında hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağının belirtildiği,
• www.amazon.com.tr “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altında “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.” şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin üyelik hesabı oluşturulurken ve alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı,
• Yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından 6698 sayılı Kanun’un 9’uncu maddesinin ihlal edilmiş olacağı, bunun da Kurulca yapılacak inceleme ile ortaya çıkarılabileceği,

ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kişisel Verileri Koruma Kurumu tarafınca incelenmesi ve gereğinin yapılması talep edilmiştir.

Yapılan başvuruya ilişkin olarak Kurul’un resen inceleme başlatmasına karar verilmiş ve veri sorumlusu olan Amazon şirketinden çeşitli bilgi ve belgeler istenmiştir. Veri Sorumlusu iddialara karşı savunmasını ileterek, ihbarın reddedilmesi gerektiğini belirtmiştir.

Yapılan inceleme neticesinde;

• Veri sorumlusunun, ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanun’un 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,
• Veri sorumlusunun “Gizlilik Bildirimi”nde “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
• Kişisel verilerin yurt dışına aktarılması konusunda Kanun’un 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanun’un 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanun’a uygun bir açık rıza olarak nitelendirilemeyeceğine

karar verilmiştir. Bu doğrultuda Amazon şirketi veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği için 1.100.000 TL idari para cezasına hükmedilmiştir.

Öncelikle elektronik ticari iletilerin gönderilmesinde açık rıza sorununa ilişkin olarak, veri sorumlusu savunmasında, ticari elektronik iletilerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiğini, şikâyet mekanizmasının da Ticaret Bakanlığının sorumluluğunda olduğunu iddia etmiştir. Ancak Kurum’a ihbarda bulunan kişi, Kurumun yanı sıra Ticaret Bakanlığına da başvuruda bulunmuş olmasına rağmen, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kurum’a iletmiş ve konuyla ilgili inceleme Kurul tarafından yapılmıştır.

Kişisel verilerin korunması mevzuatı ve ticari elektronik iletiler mevzuatı iki ayrı mevzuattır ve her iki mevzuatın da koruduğu değerler farklıdır. Kanun şahısların temel hak ve özgürlüklerini korurken, ticari elektronik iletiler mevzuatı ticari boyutta farklı bir koruma sağlamaktadır. Bu doğrultuda Kurul’un inceleme yetkisinin Kanun kapsamıyla sınırlı olması beklenmektedir. Ancak kişisel verilerin korunması mevzuatının hemen hemen her alanda uygulama bulduğu unutulmamalıdır. Kişisel verilerin korunması sağlık, bankacılık, telekomünikasyon gibi birçok farklı alanda yeni düzenlemelere gidilmesine yol açmıştır. Dolayısıyla, somut olayda da Kurul’un ticari elektronik iletilere ilişkin hukuka aykırılıkları incelemesi yadırganmamalıdır.

Bu noktada, iki mevzuatın farklılıklarına dikkat çekmek gerekmektedir. Kanun’un 5.maddesi verilerin ilgili kişinin açık rızasını almadan işlenebileceği durumları sayarak bu hallerin dışında verilerin yalnızca ilgili kişinin açık rızası ile işlenebileceğini belirtmiştir. Ticari elektronik iletiler mevzuatına göre ise elektronik ticari iletilerin gönderilmesi mutlak onay şartına bağlanmıştır. Bu durumda kişisel verilerin korunması mevzuatına göre ilgili kişinin verileri Kanun’un 5.maddesinde sayılan istisnalardan biri çerçevesinde işleniyorsa açık rıza alınması şart değilken, ticari elektronik iletiler mevzuatına göre ilgili kişinin verisi ileti gönderilme amacıyla işlenmeden önce mutlaka onay alınmalıdır. Ticari elektronik ileti gönderiminin hangi mevzuata göre gerçekleştirilmesi gerektiği hususunun açıklığa kavuşturulması gerekmektedir.  Somut olayda Veri Sorumlusu’nun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanun’un 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmıştır.

Kararın bir diğer önemi ise verilerin yurt dışına aktarımına ilişkindir. Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9.maddesi uyarınca kişisel verilerin ilgili kişinin açık rızası olmadan yurt dışına aktarılması için Kanun’un 5.maddesi 2.fıkrası ve 6.maddesinin 3.fıkrasında belirtilen şartlara uyulması, buna ek olarak, kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Aktarım yapılacak ülkede yeterli korumanın bulunmaması halinde Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un iznini alması gerekmektedir. Kurul, Kanun’un yürürlük tarihinden bugüne kadar geçen dört yıllık sürede hala yeterli korumanın bulunduğu ülkeleri yayınlamamıştır. Bu durum yurt dışına veri aktarımı yapan veri sorumlularına hukuka uygun bir aktarım yapmak için yalnızca iki seçenek bırakmaktadır; ilgili kişiden açık rıza almak veya yabancı ülkede veri aktarılan veri sorumlusu ile yeterli korumayı yazılı olarak taahhüt ederek Kurul’dan izin almak.

Somut olayda Veri Sorumlusu’nun taahhütname ile Kurul’dan izin istemiş olduğu ancak Kurul’un bu konuda henüz bir karar vermemiş olduğu anlaşılmaktadır. Dolayısıyla Veri Sorumlusu açık rıza alma yoluna gitmiş ancak Kurul tarafından zımni irade beyanı ile onay alınması nedeniyle hukuka aykırı olarak değerlendirilmiştir. Somut olaya konu Amazon şirketi gibi büyük ve müşteri sirkülasyonu çok olan şirketlerde müşterilerden açık rıza alınması şirketleri çok zorlamaktadır. Güvenli ülkelerin açıklanmamasının pratikte yarattığı sorun nedeniyle şirketler yüksek miktarlarda idari para cezalarına hükmedilmektedir. Her ne kadar Amazon şirketinin yurt dışına yaptığı aktarımların Kanun’a aykırı olduğu açık olsa da Kurum tarafından yurt dışına aktarım konusunun pratikte yarattığı zorluklar dikkate alınmalı ve öncelikle bu eksiklikler giderilmelidir.

Av. Elif Çeviker

Uyarı: Yukarıdaki bilgi ve görüşlerimiz sadece yol gösterme amaçlıdır ve yasal tavsiye alma olarak değerlendirilemez. Vona Hukuk Bürosu, doğru ve güncel içerikli bilgiyi sağlamak için her türlü çabayı göstermektedir ancak, bu makalenin yayımlanmasından sonra yürürlüğe girebilecek olan yasa ve mevzuatlarda yapılan değişiklikler nedeniyle en güncel yasal gelişmeleri yansıtmayabilir. Bu nedenle, bu makaledeki hiçbir şey yasal tavsiye olarak görülmemeli ve herhangi bir karar vermeden veya bu makalede yer alan bilgilere dayanarak herhangi bir işlem yapmadan önce avukatlara danışmalısınız.