10.05.2020
Kişisel Verileri Koruma Kurulu'nun 27/02/2020 Tarihli Amazon Türkiye Kararının
Değerlendirilmesine İlişkin Bilgi Notu
*Bilgi notunu pdf formatında önizlemek için tıklayınız.
Avukat Ayşenur Demirtürk
Bilindiği gibi, 6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun” (“Kanun”) ve “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” (“Yönetmelik”) ile elektronik iletişim araçlarıyla yapılan ticari iletişime dair bilgi verme yükümlülükleri ve ticari elektronik iletilerde uyulması gereken usul ve esaslar düzenlenmiştir.
7 Mayıs 2020 tarihinde, Kişisel Verileri Koruma Kurumu’nun internet sitesinde Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulu’nun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti yayımlanmış olup; söz konusu karar başta yurt dışına veri aktarımı olmak üzere açık rızanın nasıl alınacağı ve çerez politikalarının uygulanması hakkında uygulamaya ışık tutacak niteliktedir.
Bu bilgi notu, söz konusu kararın KVK Uyum sürecinde şirketleri ilgilendiren kısımlarının altını çizmek ve Kurul’un görüşlerini irdelemek amacıyla yapılan bir değerlendirmedir.
Söz konusu kararın tam metni, işbu bilgi notunun ekinde paylaşılmakla birlikte; kararın inceleyeceğimiz kısımları aşağıda tek tek değerlendirilecektir.
1. Karara Dayanak İhbar ile Veri Sorumlusuna İsnat Edilen Hususlar
Karara konu başvuruda,
- Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı,
- Sitenin “Kullanım ve Satış Şartları” sayfasının girişinde “Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri ("Amazon"), Amazon.com.tr' yi (internet sayfası) ziyaret ettiğinizde veya burada alışveriş yaptığınızda, Amazon ürünlerini veya hizmetlerini kullandığınızda, mobil Amazon uygulamalarını kullandığınızda veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetleri kullandığınızda (toplu olarak "Amazon Hizmetleri") size internet sayfası özellikleri ve diğer ürünler ve hizmetler sunmaktadır. Amazon Hizmetleri aracılığıyla kişisel bilgilerinizin nasıl toplandığını ve işlendiğini anlayabilmek adına lütfen Gizlilik Bildirimimizi ve Çerezler Bildirimimizi inceleyin.” ifadesine yer verildiği, Elektronik İletişimler başlıklı birinci maddede “Herhangi bir Amazon Hizmeti'ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sizinle, örneğin e-posta, SMS, uygulama içi anlık iletişimler gibi çeşitli şekillerde veya internet sayfasında e-posta mesajları veya iletişimler göndererek veya yayınlayarak veya Mesaj Merkezimiz gibi diğer Amazon Hizmetleri aracılığıyla elektronik olarak iletişim kuracağız. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.” ifadesinin kullanıldığı,
- Bu ifadeler birlikte değerlendirildiğinde, amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiğinin görüldüğü, Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu nedenle kullanıcılara elektronik ticari ileti göndermenin 6698 sayılı Kanunun 5’inci maddesinin 2’inci fıkrasında yer alan “bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” şeklindeki hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği,
- Alışveriş yapabilmek için zorunlu olan üye hesabı oluşturulması amacıyla “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmanın özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyeceği, nitekim Kişisel Verileri Koruma Kurumu (Kurum) internet sitesinde yer verilen karar özetleri bölümünde, “Açık rızanın Hizmet Şartına Bağlanması” başlığı altında hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağının belirtildiği,
- amazon.com.tr “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altında “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.” şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı, yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından 6698 sayılı Kanunun 9’uncu maddesinin ihlal edilmiş olacağı, bunun da Kurulca yapılacak inceleme ile ortaya çıkarılabileceği
ifade edilerek, yukarıda belirtilen hususlar doğrultusunda konunun Kurumca incelenmesi ve gereğinin yapılması talep edilmiştir.
Söz konusu başvuruya ilişkin olarak Kişisel Verileri Koruma Kurulunun 16.05.2019 tarih ve 2019/140 sayılı Kararı ile resen inceleme başlatılmasına karar verilmiş olup, Kurum tarafından 27.06.2019 tarihli dilekçede belirtilen iddialar ile ilgili olarak gerekli incelemelerin yapılabilmesini teminen veri sorumlusundan söz konusu iddialar karşısındaki savunması ve savunmasına esas bilgi ve belgeler istenilmiştir.
2. Kararın 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563 sayılı Kanun) uyarınca İncelenmesi
Kuruma intikal eden ihbar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde aşağıda başlıklar halinde değerlendirilmiştir:
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 5’inci maddesinin (1) numaralı fıkrası hükmü gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Maddenin (2) numaralı fıkrasında ise, ilgili kişinin açık rızası olmaksızın kişisel verilerin hangi hallerde işlenebileceği düzenlenmiştir.
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin 5’inci maddesinin (1)’nci fıkrası hükmü gereğince hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir.
Bu madde kapsamında alınacak onayın ise yine Yönetmeliğin 7’inci maddesinin (1)’inci fıkrası hükmü gereğince yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilmesi öngörülmüştür. Onayda ise alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır. Yine bu doğrultuda Yönetmeliğin 12’inci maddesinin (2)’nci fıkrası gereğince kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.
Kişilerin iletişim bilgilerinin pazarlama amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada işlenmesinin Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğu değerlendirilmekte olup, ilgili kişilerin açık rızaları veya Kanunun 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesi Kişisel Verileri Koruma Kurulunun 16.10.2018 tarih ve 2018/119 sayılı İlke Kararında da düzenlenerek belirtilen şekilde faaliyette bulunan veri sorumluları hakkında Kanunun 18’inci maddesi kapsamında işlem tesis edileceği hususu belirtilmiştir.
Veri Sorumlusunun (Amazon) iddiası, ticari elektronik iletilerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleri kapsamında değerlendirilmesi gerektiği ve söz konusu mevzuat kapsamında şikâyet mekanizmasının Ticaret Bakanlığının sorumluluğunda olduğu, şikayet başvurusunda bulunabilmek için gerekli hususların Kuruma intikal ettirilen başvuruda yer almadığı ve bu konudaki sorumluluğun da Kurumda olmadığı yönündedir.
Ancak Kurum, bu noktada her ne kadar ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmaktaysa da, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesinin, bir kişisel veri işleme faaliyetine işaret ettiğini belirtmiş ve bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiğinin altını çizmiştir.
Bu noktada şirketlerce dikkate alınması gereken en önemli nokta, ticari elektronik ileti gönderirken yalnızca 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bağlı yönetmeliğe uygun hareket etmenin yeterli olmayacağı ve ticari elektronik ileti gönderilirken aynı zamanda veri işleme faaliyeti de gerçekleştirildiğinden 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun da gözetilmesi gerektiğidir. Bu da bir anlamda, şirketlerin gerçekleştirdikleri her faaliyette, faaliyetin özü bakımından bağlı olunan kanun veya sair mevzuat ne olursa olsun, söz konusu faaliyetin aynı zamanda kişisel veri işleme faaliyeti ihtiva etmesi halinde 6698 Sayılı Kişisel Verileri Koruma Kanunu’na da uyum sağlamaları gerektiği sonucuna işaret etmekte ve bu çerçevede şirketler bakımından bir uyarı niteliği taşımaktadır.
Somut olayda, veri sorumlusu hakkında Kuruma ihbarda bulunan şahıs tarafından Kurumun yanı sıra Ticaret Bakanlığına da başvuruda bulunulmuş olup, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kuruma intikal ettirmiş olup, bu durumun, söz konusu başvurunun kişisel verilerin korunması düzenlemeleri bağlamında ele alınması gerekliliğini ortaya koymaktadır.
3. Kurul Kararının Açık Rızaya İlişkin Yapılan Değerlendirmeler Bakımından İncelenmesi
Kurul tarafından yapılan incelemede, www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş olup, üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde “Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.
Kanunun Tanımlar başlıklı 3’üncü maddesinin 1 numaralı fıkrasının (a) bendinde açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rıza” olarak tanımlanmıştır. Kanunda yer verilen tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.
KVK Uyum Projesi yürüttüğümüz müvekkillerimize devamlı olarak hatırlattığımız “Kişinin olumlu irade beyanının şart olduğu” ve “Olumsuz irade beyanının açık rızayı sakatlayacağı” yönündeki önerilerimiz de Kurul tarafından böylelikle teyit edilmiş olmakla; opt-out sisteminin açık rızayı sakatlayacak nitelikte olduğunun bir kez daha, kesin olarak altı çizilmiştir.
Veri sorumlusu olan Amazon Türkiye tarafından, internet sitelerinde yer verilen Gizlilik Bildiriminde yapılan açıklamada, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı aynı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu iddiası yer almaktadır. Ancak, üyelik oluşturulurken herhangi bir aşamada açık rıza alınması yoluna gidilmediği Kurul tarafından yapılan incelemede tespit edilmiştir.
Kurul’un görüşüne göre gizlilik bildirimindeki bu ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Burada Kurul’un konunun özüne yaklaşım biçimine katıldığımızı söylemek gerekir. Ancak Kurul’un görüşüne paralel olarak açık rıza ile aydınlatmanın aynı anda yapılmaması gerektiğine ve aydınlatma metnini okumuş olmanın kişisel verilerin işlenmesine açık rıza verdiğinin otomatik olarak kabul edilmesinin Kanuna aykırı olduğu düşüncesine katılıyorsak da; Kurul’un “izlenimi yaratmaktadır.” gibi muğlak, derinlemesine inceleme yapılmaksızın ilk bakışta yapılan bir inceleme ile varılan bir kanaat algısı oluşturan ifadelerden ve üsluptan kaçınması gerektiği kanaatindeyiz. Zira ülkemizde uygulamanın halen oturmadığı ve yeni yeni şekillendiği kişisel verilerin korunması mevzuatına uyum sürecinde, Kurum’un yayınladığı rehberler ve Kurul kararlarının uygulamaya ışık tutması ve bunu yaparken hukuk güvenliği ilkesini temin edici biçimde net, somut ve şüpheye mahal vermeyecek nitelikte görüşler açıklaması gerektiğine inanıyoruz.
Kurul kararının devamında, açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesinin, dürüstlük kuralına aykırılık şeklinde yorumlandığı ve diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılmasının yürürlükteki mevzuata uygun olmadığı değerlendirilmiştir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Nitekim Kurum’un daha önce yayımladığı rehberler ve Kurul kararlarından da anlaşıldığı üzere, açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlanmaktadır. Örneğin sözleşme ilişkisi gereği verisi toplanan ve işlenen bir çalışandan, iş sözleşmesi gereği zorunlu olan bu veriler bakımından ayrıca (ve tabir-i caizse “garanti olsun diye”) açık rıza almak kötü niyetli olarak nitelendirilmektedir.
Diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Bu kapsamda Amazon Türkiye tarafından web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmediği şeklinde yorumlanmıştır.
Bu görüş, Kurum’un daha önce de rehberlerinde dile getirdiği “kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği” ve “Açık rızanın alındığı ortam veya metin dışındaki başka bir ortama veya metne atıf yapılarak ilgili kişinin açık rızası alınmaması gerektiği” ilkelerine uygun olarak değerlendirilse de, tarafımızca sorunlu görülmektedir. Nitekim, aydınlatmanın açık rıza ile “tümleşik” olmaması, veri sahibinin neye rıza verdiği konusunda bilgi sahibi olması ve kafasında karışıklığa sebebiyet vermemesi adına önem arz etmekteyse de; her durumda açık rıza ile aydınlatmanın “tümleşik” olduğunu kabul etmek mümkün değildir. Kanaatimizce, açık rıza metninde, metni gereksiz açıklamalara boğmamak ve esasen açık rızanın aydınlatma ve bilgilendirmeye dayandığını ispat etmek adına aydınlatma metnine atıf yapılmasında herhangi bir sakınca bulunmamaktadır. Zira açık rıza metni içerisinde bir aydınlatma metnine –ki bu aydınlatma metni rıza almadan önce veri sahibinin bilgisine sunulmuştur ve dolayısıyla veri sahibinin hakkında bilgi sahibi olduğu bir metindir- atıfta bulunmasının hukuka aykırı olarak değerlendirilmesi isabetli değildir. Zira Kurul kararlarında ve Kurum tarafından yayımlanan rehberlerde de açık rızanın “sade” ve “anlaşılır” olmasının önemi dile getirilmiş; uzun ve teknik açıklamalarla veri sahibinin kafasının karışmasına mahal verilmemesi gerektiği mütalaa edilmiştir. Öyleyse, açık rıza bildiriminin içermediği detayları içeren bir “Gizlilik Bildirimi” veya “Aydınlatma Metni”nin “birçok bilgi içermesi” sebebiyle eleştirilmesi doğru değildir. Esasen aydınlatmanın sade, anlaşılır, açık olması ve ilgili kişilerin rahatlıkla anlayabileceği nitelikte olması gerektiğine ilişkin kanaat yerinde ve yasayla uyumludur; ancak Kurul’un Amazon’un “Gizlilik Bildirimi”ni bu kapsamda değerlendirirken “birçok bilgi içermesi” ifadesini kullanması uygun olmamıştır; zira Gizlilik Bildirimi’ni hukuka aykırı hale getiren “birçok bilgi içermesi” değil; aydınlatmanın amacına uygunluk teşkil etmemesidir. Bu sebeple, Kurul’un bilinçsizce olduğuna inandığımız bu örnekteki gibi yanıltıcı ve yanlış anlaşılmaya mahal verici ifadelerden kaçınması gerektiği kanaatindeyiz.
4. Kurul Kararının Veri İşlemenin Genel İlkelerine İlişkin Değerlendirmeler Bakımından İncelenmesi
Kararda, Kanunun 4’üncü maddesinin 2 numaralı fıkrası hükmü gereğince kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğuna atıf yapılmış ve bu kapsamda veri sorumlusu Amazon’un “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini hizmet şartına bağladığı yönünde tespitte bulunulmuştur.
Kurumun internet sayfasında da yayımlanan kararı da sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmiştir. Başka bir deyişle açık rıza almasına gerek bulunmayan durumlarda açık rıza alarak veri işleme faaliyeti yapan bir veri sorumlusu, Kurula göre hakkı kötüye kullanmakta ve mevzuata aykırı davranmaktadır.
Amazon.com.tr’nin topladığını beyan ettiği veriler ise şunlardır: “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaraları.”
İlgili kişinin arkadaşlarının bilgileri, ilgili kişi bakımından kişisel veridir; ancak Kurul bu verilerin yalnızca ilgili kişinin kişisel verisi değil; ayrıca bu bireylere ait birer kişisel veri niteliğini de taşıdığını belirtmiştir. Böylece üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine (“arkadaşlarına”) ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Öte yandan “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” şeklinde sayılan verilerin, Kanunda yer alan genel ilkeler bağlamında değerlendirildiğinde, orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmiştir. Gerçekten de, bir online alışveriş platformunda kişinin alışveriş yapabilmesi için “kredi geçmişi bilgileri” “finansal bilgiler” gibi bilgilerini paylaşmasına ihtiyaç olmamalıdır; bu bağlamda anılan veriler amaçla ölçüsüz ve orantısızdır. Dolayısıyla bu verilerin “açık rıza” alınarak işlenmiş olması dahi, bu orantısızlığı ve ölçüsüzlüğü ortadan kaldırmayacak ve veri işlemeyi hukuka uygun hale getirmeyecektir. Bu noktada Kurul kararının yerinde olduğu kanaatindeyiz.
5. Kurul Kararının, Aktarıma İlişkin Açık Rızanın Nasıl ve Ne Zaman Alınması Gerektiğine İlişkin Değerlendirmeleri Bakımından İncelenmesi
Kararın devamında, Kanunun 8 inci maddesine atıf yapılmış ve Amazon’un uygulamaları 8. Madde bakımından mercek altına alınmıştır. Kurul’a göre “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesinden, ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olduğu, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği değerlendirmesine varılmaktadır. Çünkü Kanunun 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleştirilen veri aktarımı işlemlerinde ilgilinin açık rızası aranmayacağı gibi, (Kanunun 5’inci maddesinin 2 numaralı fıkrası, 6’ncı maddesinin 3 numaralı fıkrası ve diğer kanunlarda öngörülen hallerde yapılan işlemeler), bu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansı da bulunmayacaktır. Öte yandan, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez.
Dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmiştir. Yine Kurul’a göre açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusudur. Dolayısıyla kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, Kurul nezdinde aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmaktadır. Yukarıda belirtmiş olduğumuz gibi, uygulamaya kararları ve görüşleri ile ışık tutması beklenen Kurul’un “kanaati uyandırmaktadır” gibi muğlak ve gerekli incelemenin yapılmadığı, ancak ilk bakışta yapılan bir değerlendirmenin söz konusu olduğu izlenimi uyandırmaktadır ki bu da “hukuk güvenliği” ilkesini zedeleyici niteliktedir. Bu bakımdan Kurul’un vermiş olduğu kararların güvenilirliğini de şüpheye düşürecek bu tarz ifadelerden kaçınması gerektiği yönündeki kanaatimizi tekrarlamak yerinde olacaktır.
Somut olayda, opt-out bir yöntemle kişinin “verilerinin aktarılmasını istememesi” durumunu bildirmesi beklenmekte; kişi olumsuz bir irade beyanında bulunmadıkça aktarımın hukuka uygun olduğu varsayımıyla hareket edilmektedir ki; bu şekilde bir aktarma faaliyetinin hukuka aykırı olduğu açıktır. Bu beyanda, Kurul’un “açık rızanın en geç aktarma sırasında alınması gerektiği” yönündeki değerlendirmesi doğru ve yerinde bir değerlendirme olmuştur.
6. Kurul Kararının, Yurt Dışına Veri Aktarım Konusu Bakımından İncelenmesi
Kanunun 9’uncu maddesi, “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir.
Amazon hakkında yapılan ihbara istinaden Kurul tarafından yapılan incelemede, veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmiştir.
Kurul, gerek yayımladığı kararlarda, gerekse rehber ve sair doküman içeriklerinde en başından beri “açık rızanın kişinin gerçek iradesini yansıtması gerektiğinin” ve “açık rızaya gerek bulunmaksızın, bir başka hukuki dayanak sebebi ile veri işlenebilecek hallerde açık rıza alınmasının dürüstlük kuralına aykırı olduğunun” altını çizmekte ve açık rızanın gerçek durumu, veri sahibinin gerçek iradesini yansıtmasına ve deyim yerindeyse “lüzumsuz yere” açık rıza alınmamasına son derece önem vermektedir. Öte yandan, açıklaması gereken “Güvenli ülkeler” listesini Kanun’un yayım tarihinden bu yana açıklamamış olması eleştiri sebebidir. Keza Kurul’un yurt dışına aktarım için onayına sunulan taahhütnamelerle ilgili bir karar vermemiş olması da, ne yazık ki veri sorumlularını “açık rıza alınmasına gerek olmayan durumlarda dahi” açık rıza almak zorunda bırakmaktadır. Bu noktada Kurul’un kendi üzerine düşen sorumlulukları yerine getirmemesi hasebiyle, veri sorumlularına esasen açık rıza alınmasına gerek bulunmasa dahi, gerçek duruma ve dürüstlük kuralına aykırı olarak açık rıza almalarını tavsiye etmesi kanaatimizce son derece hatalıdır.
Her ne kadar veri sorumlusu Amazon tarafından savunma olarak: “Amazon Hesabınızı Oluşturun” sekmesine tıklanarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”) ve böylelikle ilgili kişilerin rızasının alınmasının sağlandığı iddia edilmişse de; Kurul, bu şekilde zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceğine kanaat getirmiştir.
Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir. Bu noktada bizim de önerimiz, açık rıza metinlerinde her bir veri kategorisi -tercihen verilerin de teker teker sayılarak- ve veri işleme kapsamına giren fiiller bakımından ayrı ayrı seçenekler sunulmasıdır. Nitekim ilgili kişi verilerinin işlenmesine açık rıza gösterebilecekken, bu verilerin üçüncü kişilere aktarılmasını tercih etmiyor olabilir. Bu nedenle açık rıza gerektiren hususların birbirinden net bir şekilde ayrılması ve her bir veri grubu ve işleme faaliyeti için ilgili kişiden iradesinin sorulması son derece önemlidir.
Kararın devamında, mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır. Kurul’un açık rıza olmaksızın veri işlenmesine imkan veren 9/2. maddenin işlerliğini imkansız hale getirmesini yukarıda da belirttiğimiz gibi son derece hatalı bulmakla birlikte, şayet veri sorumlusu bir açık rıza alacaksa, bunun yurt dışına aktarım için de ayrıca alınması gerektiği yönündeki görüşünü yerinde ve hukuka uygun buluyoruz.
7. Uygulanan İdari Para Cezalarının Değerlendirilmesi
Yukarıda detaylı olarak irdelenen karar ile, veri sorumlusu Amazon’a, toplamda 1.200.000.-TL idari para cezası uygulanmasına karar verilmiştir.
Buna göre, www.amazon.com.tr’ye ilişkin yürütülen resen inceleme neticesinde yukarıda yer verilen değerlendirmeler sonucunda:
- Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,
- Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,
- Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği dikkate alındığında veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,
- Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
- Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına,
- Söz konusu Kararın Kanunun 23’üncü maddesinin (5) numaralı fıkrası çerçevesinde Kurumun internet sayfasında yayımlanmasına karar verilmiştir.
Kurul’un uygulamış olduğu idari para cezalarının dayanakları ile ilgili olarak eleştiri ve çekincelerimize yukarıda yer vermiştik. Bu eleştirilerimiz ve çekincelerimiz geçerli olmakla birlikte, tespit edilen ihlaller bakımından uygulanan cezalar Kanun’a uyarlı ve yerindedir. Ayrıca veri sorumlusu olan Amazon’un kullanıcı kitlesinin ve cirosunun büyüklüğü, tanınırlığı, veri güvenliğine, KVK uyum çalışmalarına, hukuki danışmanlığa ve doğru uygulamaya yüksek bir bütçe ayırabileceği gözetildiğinde; meblağ olarak orta ölçekli bir işletmeye göre çok yüksek sayılabilecek olan işbu para cezalarının, Amazon Türkiye ölçeğinde makul kabul edilebileceğini düşünüyoruz.
Sonuç olarak; Kurul’un kararından çıkardığımız sonuçlar aşağıdaki gibi özetlenebilecektir:
- “Yurt dışına aktarımla ilgili olarak Kurul’un müsamahalı davranacağı ve yurt dışına aktarımla ilgili ceza vermeyeceği” hususundaki söylentiler son bulmuştur. Kurul, her ne kadar taahhütnameleri incelemek ve onaylamak konusunda prosedürü hızlıca işletmemiş ve yaklaşık 4 yıldır “Güvenli ülke” listesini açıklamamışsa da, yurt dışına aktarım konusunda ceza vermekten kaçınmamaktadır. Bu da, aynı neviden cezaların devamının geleceğinin habercisi niteliğindedir.
- Karardan çıkarılacak bir başka önemli sonuç, şirketlerin gerçekleştirdikleri her faaliyette, faaliyetin özü bakımından bağlı olunan kanun veya sair mevzuat ne olursa olsun, söz konusu faaliyetin aynı zamanda kişisel veri işleme faaliyeti ihtiva etmesi halinde 6698 Sayılı Kişisel Verileri Koruma Kanunu’na da uyum sağlanmasının zorunlu olduğudur. Bu anlamda şirketler, ticari elektronik ileti gönderirken yalnızca 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bağlı yönetmeliğe uygun hareket etmenin yeterli olmayacağının bilincinde olmalı ve ticari elektronik ileti gönderilirken aynı zamanda veri işleme faaliyeti de gerçekleştirildiğinden 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun da gözetmelidir.
- Çerezlerle ilgili ayrıca ve açık bir aydınlatma metni yayımlamak zorunluluktur.
- Aydınlatma metinleri, başka metinlerin içine yedirilmemeli; şirketlerin gizlilik politikalarıyla harmanlanarak karmaşık belgeler haline getirilmemelidir. Yine çıkarılan bir başka sonuç da şudur ki; siteyi ziyaretle birlikte veri işlenmeye başlanması halinde, henüz ziyaretin başlangıcında pop-up’lar yardımıyla ve mümkünse ziyaretçinin siteyi ziyaret eder etmez karşısına çıkarılacak şekilde aydınlatmanın yapılması, ilgili aydınlatma görüntülenmeksizin sitede ilerlemeye izin verilmemesi ve ziyaretçinin site ile temas ettiği ilk andan itibaren hangi verilerinin işleneceği ile ilgili açık ve net bir şekilde bilgi sahibi olması için gerekenin yapıldığından emin olması gerekmektedir.
- Açık rıza metinlerinde her bir veri kategorisi -tercihen verilerin de teker teker sayılarak- ve veri işleme kapsamına giren fiiller bakımından ayrı ayrı seçenekler sunulmalı, veri sahibinin açık rızası bu yolla istenmelidir. Kişinin her bir basamakta ayrıca rıza vermesi sağlanmalı, tek bir tikle hem işleme, hem yurt içi aktarım, hem yurt dışı aktarım için tümleşik bir rıza alınması yoluna gidilmemelidir.
- Opt-out yöntemler yerine, opt-in yöntemlerle açık rızanın alınması sağlanmalı, veri sahibinin önüne hâlihazırda işaretlenmiş metinler çıkarılmamasına özen gösterilmelidir. Veri sahibinin iradesinin “verisinin işlenmesi” olduğu varsayılmamalı, “işlenmemesine ilişkin olumsuz bir irade beyanında bulununcaya değin veri işlenmesi” gibi hatalı bir yol izlenmemeli ve veri işlenmeden önce açık rıza gerektiren hususlarda açık rıza alındığına emin olunmalıdır.
- Aydınlatma metninin okunmasıyla, otomatik olarak aydınlatma metninde yazılı işleme faaliyetlerine rıza gösterildiği gibi varsayımsal sonuçlardan kaçınılmalı; aydınlatma metninin okunduğuna ilişkin beyan ile açık rıza kesin olarak birbirinden ayrılmalıdır.
- Bir başka veri sorumlusu tarafından aktarılan verilerin, hangi hukuki dayanakla temin edildiği ve aktarıldığı dikkatlice tetkik edilmeli ve veri işleme-aktarma zincirinde hukuka aykırı basamaklar olmadığından ve dolayısıyla zincirin kopmadığından emin olunmasına gayret edilmelidir. Bu noktada gerekirse aktaran taraftan, aktarım dayanağı ile ilgili tevsik edici belge ve bilgiler istenmelidir.
Saygılarımızla,
GÜLTEKİN HUKUK BÜROSU