KVK Kurulu tarafından yurtdışı veri aktarımı ile açık rıza ve aydınlatma yükümlülüklerine ilişkin Kanun’un genel hükümlerine aykırılıktan dolayı idari para cezası kesilmiştir.

Kişisel Verileri Koruma Kurumu’nun (“KVK Kurumu”) internet sitesinde, 7 Mayıs 2020 tarihinde yayınlanan “Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru” ile ilgili bir karar yayınlanmıştır.

Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) tarafından verilen söz konusu kararda özetle; Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) genel ilkelerine ve kişisel verilerin aktarılmasına ilişkin hükümlerine aykırı hareket edilmesi, açık rıza ve aydınlatma yükümlülüklerinin KVKK’ya uygun olarak yerine getirilmemesi nedenleriyle Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon”) hakkında toplamda 1.200.000 TL idari para cezası uygulanmasına karar verilmiştir.

Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar (“Karar”) Özeti

KVK Kurumu’na intikal eden karara konu ihbar dilekçesinde ve eklerinde özetle;

Hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğinde olan www.amazon.com.tr üzerinden yürütülen faaliyetler ile 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (“6563 sayılı Kanun) ihlal edildiği, Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı iddia edilmiştir.

Amazon tarafından sunulan hizmetleri kullanırken ilgili kişilere sunulan “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerinin içeriklerinin KVKK hükümlerine uygun olmadığı belirtilmiştir. Amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiğinin görüldüğü belirtilmiştir. Amazon hizmetini kullanmak suretiyle elektronik iletişime onay vermiş sayılmanın ve bu nedenle kullanıcılara elektronik ticari ileti göndermenin sözleşmesel ilişkiye dayanmadığı ve bu nedenle hukuka uygunluk sebebi kapsamında değerlendirilemeyeceği iddia edilmiştir.

Gizlilik bildirimi sayfasında ise, Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altındaki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin hem üyelik hesabı oluşturulurken hem de alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı belirtilmiştir. Yurt dışına aktarıma ilişkin olarak Kurul izni alınmamış ise, herhangi bir açık rıza da alınmadığından KVKK’nın  9’uncu maddesinin ihlal edilmiş olacağı iddia edilmiştir.

Veri sorumlusu olan Amazon, 17.07.2019 tarihinde yaptığı savunmada özetle; iddia ve ihbar edilen her bir hususun dayanaktan yoksun olması nedeniyle reddedilmesi gerektiğini belirtilmiştir. Kurula intikal eden ihbar, ilgili kişinin iddiaları, veri sorumlusundan alınan bilgi ve belgeler ve ilgili mevzuat hükümleri çerçevesinde aşağıda başlıklar halinde değerlendirilmiştir.

1.Ticari Elektronik İleti İzni Onayı ile KVKK Uyarınca Alınması Gereken Açık Rıza Hakkında Değerlendirme

KVKK’nın 5’inci maddesinin (1) numaralı fıkrası hükmü gereğince kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Maddenin (2) numaralı fıkrasında ise, ilgili kişinin açık rızası olmaksızın kişisel verilerin hangi hallerde işlenebileceği düzenlenmiştir.

Kişilerin iletişim bilgilerinin pazarlama amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada işlenmesinin KVKK’nın 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğu değerlendirilmekte olup, ilgili kişilerin açık rızaları veya KVKK’nın 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesi KVK Kurulu’nun 16.10.2018 tarih ve 2018/119 sayılı ilke kararında da düzenlenerek belirtilen şekilde faaliyette bulunan veri sorumluları hakkında KVKK’nın 18’inci maddesi kapsamında işlem tesis edileceği hususu belirtilmiştir.

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin amacı, 1’inci maddede, “elektronik iletişim araçlarıyla yapılan ticari iletişime dair bilgi verme yükümlülüklerine ve ticari elektronik iletilerde uyulması gereken hususlara ilişkin usul ve esasları düzenlemek” olarak belirlenmiş olup, yönetmeliğin tanımlar başlıklı 4’üncü maddesinde ticari elektronik ileti, “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” olarak tanımlanmıştır.

Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir. Bu bağlamda, Kurulun konuya ilişkin almış olduğu ilke kararı, ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karardır.

Somut olayda, veri sorumlusu hakkında KVK Kurulu’na ihbarda bulunan şahıs tarafından KVK Kurulu’nun yanı sıra Ticaret Bakanlığına da başvuruda bulunulmuş olup, Ticaret Bakanlığı söz konusu başvuruyu “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” KVK Kurulu’na intikal ettirmiş olup, bu durumun, söz konusu başvurunun kişisel verilerin korunması düzenlemeleri bağlamında ele alınması gerekliliğini ortaya koyulmuştur.

2. Açık Rıza Alma Yönteminin Hukuka Uygun Olmaması

KVK Kurulu tarafından yapılan incelemede, www.amazon.com.tr sayfasına üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. e-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görüldüğü belirtilmiştir.

Bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin kanuna uygun olmadığı, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerektiği belirtilmiştir.

Gizlilik bildirimindeki ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlandığı gibi, diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmediği belirtilmiştir. Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmediği belirtilmiştir.

Bu kapsamda, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında KVKK’nın 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediğine karar verilmiştir.

3. Kişisel Veri İşleme Faaliyetlilerinin KVKK’nın Genel İlkelerine Aykırı Olması

KVKK uyarınca kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunludur.

Veri sorumlusu Amazon, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmiştir.

Öte yandan “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” KVKK’da yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmiştir.

4. Kişisel Verilerin Hukuka Aykırı Olarak Aktarılması

Veri sorumlusunun “Gizlilik Bildirimi” metninde paylaşım yapıldığı belirtilerek “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verilmiştir. Metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir. Çünkü KVKK’nın 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleştirilen veri aktarımı işlemlerinde ilgilinin açık rızası aranmayacağı gibi bu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansı da bulunmayacağı belirtilmiştir. Bununla beraber, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması gerektiği ve sonradan alınacak açık rıza mevzuata uygun olmayacağı ifade edilmiştir.

Bu doğrultuda, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi KVKK lafzının tersine yorumlanması olarak değerlendirilecek ve açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de dikkate alınarak aktarıma ilişkin KVKK hükümlerine aykırı hareket edildiğine karar verilmiştir.

5. Kişisel Verilerin Hukuka Aykırı Olarak Yurt Dışına Aktarılması ve Hukuka Aykırı Açık Rıza Alınması

Veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla KVK Kurul’un onayını almak üzere KVK Kurul’a taahhütname sunduğu ancak KVK Kurul’un henüz bu yönde bir karar vermemesi ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirilerek kişisel verilerin yurtdışına aktarılması için tek yöntemin ilgilinin açık rızasının alınması olacağı ifade edilmiştir.

Veri sorumlusu, “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği; kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı belirtilerek ilgili kişilerin rızasının alındığını ifade etmiştir.

KVK Kurul’u, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceğini, KVKK çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığını, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlediğini ifade etmiştir.

Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızaların “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz sayılacağı, “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı belirtilmiştir.

Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmeyerek, yalnızca gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının KVKK’ya uygun bir açık rıza olarak nitelendirilemeyeceğine karar verilmiştir.

6. Veri Sorumlusunun Aydınlatma Yükümlülüğü İhlali;

İşleme faaliyetinin site ziyaret edildiğinde başlamakta olduğu, yapılan incelemede internet sitesindeki “Kullanım ve Satış Şartları” altında çerezler hakkında hazırlanan genel bildirim metni bulunduğu tespit edilmiştir. Site girişinde çerezlerle kişisel verilerin işlendiğine dair bir bilgilendirme sunulmadığı, yapılan işleme için izin verilmesine dair bir sistemin (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz) mevcut olmadığı tespit edilmiştir. Veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerektiği ve yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan etmiş olacağı anlamına gelmeyeceği ifade edilmiştir.

Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil ettiği, web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün yerine getirilmediğine karar verilmiştir.

Sonuç olarak; www.amazon.com.tr’ye ilişkin yürütülen resen inceleme neticesinde yukarıda yer verilen değerlendirmeler sonucunda,

• Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından KVKK’nın genel ilkelere aykırı hareket edildiği,
• Veri sorumlusunun “Gizlilik Bildirimi metninde yer aldığı ifade incelendiğinde, ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin KVKK hükümlerine aykırı hareket edildiği,
• Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin KVK Kurul’u tarafından henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün KVK Kurul’u tarafından onaylanmadığı da dikkate alındığında ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının KVKK’ya uygun bir açık rıza olarak nitelendirilemeyeceği,

dikkate alındığında veri sorumlusuna KVKK’nın 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı 1.100.000 TL idari para cezası uygulanmasına karar verilmiştir.

• Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün mevzuatta düzenlenen usul ve esaslara uygun olarak yerine getirilmediği,

dikkate alındığında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Ayrıca veri sorumlusu Amazon’un yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erdal Çalıkoğlu