A-

A+

KİŞİSEL VERİLERİ KORUMA KURULU’NUN AMAZON KARARI

Kişisel Verileri Koruma Kurulu (“Kurul”) Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon”) hakkındaki kararını 7 Mayıs 2020 tarihinde yayınladı. Bundan böyle büyük ihtimalle “Amazon Kararı” olarak anılacak 27/02/2020 tarih ve 2020/173 sayılı bu karar, Kurul kararları arasında en çok konuşulacak kararlardan biri olacağa benziyor. Amazon Kararında hükmedilen toplam 1.200.000 TL tutarındaki idari para cezası ise, bugüne kadar Kurul tarafından verilen (kamuya duyurulmuş) en yüksek 4. para cezası oldu.

Amazon Kararı, Kurul tarafından yayınlanan diğer kararlar gibi özet bir karar olduğundan bu yazıda yer verilen bilgiler bu karar özetinden anlaşılabilen iddia veya sonuçlardır. Ancak bahsi geçen kararın tamamını yayınlanmadığı için inceleme imkanımız olmadığını not düşelim.

Karar özetinde, Kurul’un gelen bir ihbar üzerinde re’sen inceleme başlatmış olduğu anlaşılmaktadır.

I. Amazon Kararı’nda özetlendiği kadarıyla, ihbarda ileri sürülen iddialar nelerdir? Bu iddialara karşı Amazon ne demiş?

  1. Amazon, kişisel verilerin korunması mevzuatına uygun olarak hareket etmiyor.

İhbarda yer alan iddiaya göre Amazon, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“6563 sayılı Kanun”) uyarınca hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğindedir ve www.amazon.com.tr üzerinden gerçekleştirdiği faaliyetleri kişisel verilerin korunması mevzuatına uygun olarak yerine getirmelidir. Ancak Amazon bu mevzuatı ihlal etmektedir.

Amazon ise hukuka aykırı olarak ticari elektronik ileti gönderdiğine ilişkin iddiaların asılsız olduğunu belirtmekle birlikte söz konusu başvurunun Ticaret Bakanlığı’na iletilmesi gerektiğini savunmuştur. Zira Amazon’a göre, ticari elektronik iletiler konusuna ilişkin usul ve esaslar elektronik ticaret mevzuatında düzenlenmiştir ve konuya ilişkin ihbarların bu mevzuat kapsamındaki şikayet mekanizması uyarınca yapılması gereklidir.

  1. Kullanım ve Satış Şartları ile Gizlilik Bildirimi metinleri hukuka aykırı ifadeler içeriyor.

İhbarda, Amazon’un web sitesinde yer alan Kullanım ve Satış Şartları sayfasında Amazon ve iştirakleri tarafından sunulan tüm hizmetlerin toplu olarak Amazon Hizmetleri olarak adlandırılmış olduğu; metnin Elektronik İletişimler başlıklı bölümünde ise kişilerin herhangi bir Amazon Hizmeti kullandığında Amazon ile elektronik iletişim kurulmuş olduğu, bu nedenle sözleşmesel amaçlı olarak elektronik ileti almaya onay verildiğinin varsayılmış olduğu belirtilmiştir. Böylece Amazon tarafından, yalnızca web sitesini ziyaret eden bir kişinin dahi ilgili hükümleri kabul ettiği ve elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya yer verildiği iddia edilmiştir. Öte yandan alışveriş yapabilmek için üye hesabı oluşturulmasının zorunlu olduğu ve üye hesabı oluşturulmasıyla Kullanım ve Satış Şartları metninin kabul edilmesi gerektiği; böylece elektronik ileti gönderilmesine ilişkin rıza alınmasının Amazon’dan hizmet alınmasının ön şartı olarak düzenlenmiş olduğu iddia edilmiştir.

Amazon’un sunulan hizmetlere ilişkin olarak hiçbir aşamada elektronik ticari ileti göndermek üzere açık rıza almadığı ve açık rıza dışında bir işleme nedeninin varlığına ilişkin de herhangi bir açıklama yapmadığı ileri sürülmektedir.

Amazon ise, müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla ilgili metinlerin ilgililere sunulduğu iddiasındadır. Bu çerçevede, hesap oluşturulmasıyla birlikte Gizlilik Bildirimi’nin kabul edilmiş olduğunu ve aynı şekilde sipariş verildiğinde de Kullanım ve Satış Şartları, Gizlilik Bildirimi ve Çerez Bildirimi metinlerinin kabul edildiğine dair hatırlatma yapıldığını iletmiştir. Bununla birlikte kayıtlı müşterilerin ticari elektronik ileti almak istedikleri alanları kolayca seçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkanları olduğunu açıklamıştır.

  1. Gizlilik Bildirimi metnine göre yurt dışına hukuka aykırı veri aktarımı yapılıyor.

İhbarda, Amazon’un web sitesinde yer alan Gizlilik Bildirimi sayfasının kişisel verilerin paylaşılması ile ilgili bölümünde kişisel verilerin Avrupa Birliği’ne ve buradan da ABD’ye aktarılabileceğinin belirtilmiş olduğu ve bununla birlikte üyelik hesabı oluşturulurken veya alışveriş yapılırken verilerin yurt dışına aktarılmasına ilişkin herhangi bir şekilde rıza alınmadığı ileri sürülmüştür. İhbara göre Amazon’un Kurul’dan izin almamış olması halinde Kanun’un kişisel verilerin yurt dışına aktarılmasına ilişkin 9. Maddesi ihlal edilmiş olabilir ve bunun Kurulca yapılacak inceleme ile ortaya çıkarılması gereklidir.

Amazon tarafından bu iddialara yönelik olarak ise, kullanıcıların Gizlilik Bildirimi’ni onaylamak suretiyle hem bu hususa dair haberdar oldukları hem de bunu kabul etmiş oldukları savunması yapılmıştır. Öte yandan Amazon’un yurt dışına veri aktarım taahhütnameleri ile ilgili Kişisel Verileri Koruma Kurumu ile yazışmalarını sürdürmekte olduğu iletilmiştir.

II. Kurul’un İncelemesinde Neler Öne Çıkıyor?

Kurul tarafından yapılan inceleme neticesinde çıkarılan temel tespit ve sonuçlar şu şekildedir:

  1. Kurul, ticari elektronik ileti gönderilmesine ilişkin başvuruları inceleyebilir mi?

Amazon’un hukuka aykırı olarak ticaret ileti gönderdiğine ilişkin iddialara karşılık olarak konunun elektronik ticaret mevzuatı kapsamında değerlendirilmesi yönündeki savunması Kurul tarafından değerlendirilmiş ve Kurul, inceleme konusu olayda Amazon’un savunmalarına karşılık konuyla ilgili Kanun’un 18. Maddesine ilişkin işlem tesis edebileceğini duyuran 16.10.2018 tarih ve 2018/119 sayılı İlke Kararı’nı hatırlatmıştır.

Bu çerçevede, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik hükümleriyle getirilen düzenlemelere açıklamalarında yer veren Kurul, Yönetmelik’in “Ticari elektronik iletiler ve onay” başlıklı 5. Maddesine göre hizmet sağlayıcı, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla göndereceği ticari elektronik iletiler için alıcıdan onay alması gerekliliğini hatırlatmıştır.

Kararda, bu kapsamda ticari elektronik iletilerin gönderilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle söz konusu İlke Kararı’nın da ticari elektronik iletilerin gönderilmesine değil, kişisel verilerin işlenmesi süreçlerine ilişkin bir karar olduğu Kurul tarafından vurgulanmıştır.

Sonuç olarak Kurul, kişisel veri işleme süreçlerine ilişkin inceleme yaptığını, kaldı ki ihbar eden kişinin aynı zamanda Ticaret Bakanlığı’na başvurduğu ancak Ticaret Bakanlığı tarafından söz konusu başvurunun “kişisel verilerin korunması mevzuatı kapsamında değerlendirilmek üzere” Kurum’a gönderildiğini ve son olarak incelemenin ihbar neticesinde Kanun’un 15. Maddesinin 1. Fıkrası kapsamında resen başlatılan bir inceleme olduğunu bildirmiştir. Dolayısıyla Kurul, ticari elektronik ile ilgili başvurularda inceleme yetkisi olduğu kanaatine varmıştır.

  1. Amazon hukuka aykırı bir şekilde ticari elektronik ileti mi gönderiyor?

Kurul, yaptığı inceleme neticesinde Amazon’un ticari elektronik ileti göndermek üzere tasarladığı uygulamanın hukuka aykırı olduğuna karar vermiştir.

Gerçek kişilerin Amazon üzerinden üyelik oluşturmasıyla birlikte her ne kadar kişilere bu iletilerin gönderilmemesi imkanı tanınmış olsa da, varsayılan olarak ticari elektronik ileti gönderilmesine ilişkin onay verdikleri kabul edilmiştir. Bunun dışında herhangi bir şekilde açık rıza da alınmamış olduğu tespit edilmiştir. Bu kapsamda Kurul’un değerlendirmeleri şu şekildedir:

  • Kanun’da yer alan açık rıza tanımı uyarınca ilgili kişiden alınacak rıza, bireyin önceden onayı alınmaksızın varsayılan olarak onay verdiğinin kabul edildiği ve isterse onayını geri çekebileceği şekilde (opt-out) değil; bireyin bilinçli eylemi ile (opt-in) onay vereceği şekilde olmalıdır.
  • Üyelik oluşturulurken Gizlilik Bildirimi’nin kabul edilmesine rağmen herhangi bir açık rıza alınmayarak aydınlatmanın yapılmasıyla açık rızanın alınmış olduğu kabul edilmiştir. Ancak Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği’nin5. Maddesinin (1) (f) bendi uyarınca aydınlatma yükümlülüğü ile açık rıza alınması süreçleri ayrı ayrı yerine getirmelidir. Bu kapsamda aydınlatma yükümlülüğünün yerine getirilmesi açık rıza alınması yükümlülüğünü ortadan kaldırmamaktadır.

Bu çerçevede, Kurul tarafından Amazon’un ilgili kişilere ticari elektronik ileti göndermek üzere açık rıza almaması ve bunun dışında da herhangi bir hukuki sebebe de dayanmamış olması sebebiyle Kanun’un veri güvenliğine ilişkin 12. Maddesini ihlal ettiği kanaatine varılmıştır.

  1. Amazon’un Gizlilik Bildirimi ve çerez kullanımı Kanun’un genel ilkelerine aykırı mı?

Kurul Gizlilik Bildirimi’ni incelemesi neticesinde bu metinde yer alan iki farklı hususu Kanun’da belirtilen “hukuka ve dürüstlük kurallarına uygun olma” ile “işlenme amacı ile bağlı, sınırlı ve ölçülü olma” ilkelerine aykırı olduğu tespitini yapmıştır:

“Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.”

“Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.”

Kurul tarafından her iki ifade uyarınca genel ilkelerin ihlal edilmiş olduğu şu temel gerekçelere dayandırılmıştır:

  • Sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda, ayrıca açık rıza alınması ilgili kişiyi yanıltıp yanlış yönlendireceğinden hakkın kötüye kullanılması anlamına gelir.
  • Açık rıza üyeliğin ve hizmetin dolayısıyla da sözleşmenin bir koşulu olarak dayatılmıştır. Ancak açık rızanın hizmetin şartına bağlanması açık rızayı sakatlar.
  • Amazon’un topladığı veriler arasında ilgili kişinin arkadaşına ait bilgiler de yer almaktadır. Ancak ilgili kişinin arkadaşlarının bilgileri, kendisi bakımından kişisel veri olmakla birlikte ayrıca bu bireylere ait birer kişisel veri niteliğini taşımasına rağmen Amazon, üyesi ile arasında bulunan sözleşme kapsamında üyenin arkadaşına ait verileri arkadaşının açık rızası olmaksızın işlemektedir.
  • Ayrıca Amazon tarafından işlendiği belirtilen “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” orantılı ve sınırlı değildir, oysaki bu verilerin işleneceğinin ilgili kişi tarafından en azından öngörülebilir olması gerekir.

Kurul bu gerekçelerle Gizlilik Bildirimi’nde yer alan ve yukarıda belirtilmiş olan iki ifadenin genel ilkelere aykırı olduğuna karar vermiştir.

  1. Kişisel veriler paylaşıldıktan sonra ilgili kişinin açık rızasının alınması hukuka aykırı mıdır?

Kurul, Amazon’un “Gizlilik Bildirimi”nin incelenmesi sonucunda metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği sonucuna varmıştır. Bu durumda da açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınmış olması gerektiğini ve bundan sonra alınacak açık rızanın mevzuata uygun kabul edilemeyeceğini açıklamıştır.

Dolayısıyla, Kurul aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesini, kanun lafzının tersine yorumlanması olarak değerlendirilmiştir. Sonuç olarak, kişisel verilerin aktarılmasına ilişkin Gizlilik Bildiriminde yer alan muğlak ifadelerin, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırdığını belirtmiştir.

  1. Amazon hukuka aykırı olarak yurt dışına veri aktarımı mı yapıyor?

Kurul tarafından Karar’da, yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurul’un onayını almak üzere taahhütname mektuplarını Kurul’a sunduğunun görüldüğü, ancak Kurul’un henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde, kişisel verilerin yurtdışına aktarılması için tek yöntemin ilgilinin açık rızasının alınması olduğu belirtilmektedir.

Amazon ise üyelik oluşturulmasıyla birlikte kabul edilen Gizlilik Bildirimi’nde ilgili kişilerin verilerinin yurt dışına aktarımı konusunda açık rıza vermiş olduklarını iddia etmiş ancak Kurul zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceğine kanaat getirmiştir. Kurul bu çerçevede somut olaya ilişkin şu değerlendirmeleri yapmıştır:

  • Zımni irade beyanı ile onay almak mevzuata uygun değildir. Kişi, kendi isteği ile veya karşı taraftan gelen istek üzerine onay vermiş olmalıdır.
  • Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlamalıdır.
  • Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan “battaniye rıza” olarak kabul edilen genel nitelikteki açık rızalar hukuken geçersizdir. Bu kapsamda “Gizlilik Bildirimi” ile “veri işleme” kapsamına giren çerezlerle izleme, aktarma, paylaşma, depolama gibi tüm fiillerin tek bir rıza beyanı ile onaylanması hukuka aykırıdır.

Kurul, açıklanan gerekçelerle mevcut düzenlemeler kapsamında yurt dışına veri aktarımı yapabilmek için ilgili kişilerin açık rızasını almak zorunda alan veri sorumlusunun açık rıza almaması ve Gizlilik Bildirimi ile bu rızanın alınmış olduğunu kabul etmesini Kanun’un 12. maddesine aykırı olarak değerlendirmiştir.

  1. Amazon çerezlerin kullanımı sırasında aydınlatma yükümlülüğünü ihlal mi etti?

Kurul incelemesi sonucunda Amazon’un Satış Kullanım ve Şartları incelendiğinde kişinin Amazon’un web sitesini ilk ziyaret ettiği andan itibaren çerez kullanılması suretiyle verilerinin işlendiğini tespit etmiştir.

Kurul bu çerçevede, farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerektiğini belirterek, Amazon’un site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir sistemin de mevcut olmadığını tespit etmiştir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durumun da hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olduğunun altını çizerek, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmamasının, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’ne aykırılık oluşturduğunu belirtmiştir.

III. Kurul Tarafından Hükmedilen Cezalar

Yukarıda yapılan açıklamalar neticesinde Kurul’un Amazon hakkında hükmettiği cezalar şu şekildedir:

  • Hukuka aykırı olarak ticari elektronik ileti gönderilmesi, genel ilkelere aykırı hareket edilmesi, kişisel verilerin yurt içine ve yurt dışına aktarımının hukuka aykırı olarak gerçekleştirilmesi gerekçeleriyle Kanun’un 12. Maddesinde düzenlenen veri güvenliğine ilişkin yükümlülükleri ihlal ettiğine kanaat getirilen Amazon hakkında Kanun’un 18. Maddesinin (1) (b) bendi uyarınca 1.100.00 TL,
  • Aydınlatma yükümlülüğünün ihlali ile çerez kullanımlarına ilişkin hukuka aykırılıklar nedeniyle aydınlatma yükümlülüğünü yerine getirmeyen Amazon hakkında Kanun’un 18. Maddesinin (1) (a) bendi uyarınca 100.000 TL olmak üzere

toplamda 1.200.000 TL idari para cezası hükmedilmesine,

  • Amazon’un Kurul tarafından tespit edilen ihlalleri göz önünde bulundurarak kişisel veri işleme süreçlerini ve “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanun’a uygun hale getirerek, en nihayetinde Kurul’a bilgi vermesi yönünde talimatlandırılmasına,

karar verilmiştir.

IV. Amazon Kararı’nın düşündürdükleri ve Cevaplanması Gereken Sorular

Amazon Kararı’nda uzun zamandır tartışılan bazı konulara değiniliyor ve bunlara dair tespitlerde bulunuluyor. Ancak, kararın uygulamaya bir netlik getirdiğini söylemek bu aşamada zor.

Karar sonrası akla öncelikle gelen sorularımızı da buraya not edelim:

  • Bir şikayet üzerine yapılanan incelemenin daha sonra re’sen inceleme olarak devam ettirildiği anlaşılıyor. Re’sen incelemede takip edilecek usul ve veri sorumlusunun savunmasının alınması sürecine dair ise halihazırda tam bir netlik olduğu söylenemez. Usuli açıdan Kurul tarafından yürütülecek re’sen incelemelerde izlenecek yolların ve itiraz mekanizmalarının daha net düzenlemesi ihtiyacı olduğu söylenebilir.
  • Elektronik ticari iletiler ile ilgili denetim yetkisi kimde, Ticaret Bakanlığı mı yoksa Kurul mu? Kurul’un kişisel verilerin işlenmesinin denetimi açısından, bakanlığın ise ticari iletişim mevzuatı uyarınca yetkisi olduğu düşünülürse, Amazon’un ayrıca Ticaret Bakanlığı tarafından bir idari para cezasına çarptırılması söz konusu olabilir mi? Bu arada yeni hayata geçecek İleti Yönetim Sistemi sonrasında bu ikili ayaklı sistemde bir netleşme beklemeli miyiz?

Bu tereddütlerin ilgili kurumlar ve yasa koyucu tarafından en kısa zamanda giderilmesi gerektiğini düşünüyoruz. Bu aynı zamanda, ilgili kişilerin haklarını nasıl kullanabileceklerini anlayabilmeleri açısından önem arz edecektir. 

  • Diğer yandan akla gelen bir başka husus da, Kurul’un elektronik iletilere dair idari para cezasını, esas olarak veri güvenliğini düzenleyen Kanun’un 12. Maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı kesmesidir. Acaba Kurul’un kararda da yollama yapmış olduğu 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı’na uyulmaması, bu idari para cezası açısından bir hukuki gerekçe oluşturabilir miydi? Bu durum her ne kadar nihai olarak belirlenecek idari para cezası açısından bir fark yaratmayacak olsa da, ilke kararlarının uygulanabilirliği açısından bunun önemli olacağı söylenebilir.
  • Kişisel verilerin yurtdışına aktarımına dair kararın bugün uygulanmada en sorunlu konulardan birine dair daha fazla belirsizlik yarattığını düşünüyoruz. Gelinen noktada güvenli ülkeler listesinin açıklanması ve Avrupa Konseyi’nin 108 sayılı Konvansiyonuna taraf ülkelere veri aktarımının hukuka uygunluğunun tespiti her zamankinden daha çok önem kazanmıştır.

Diğer yandan akla gelen bir soru da yurtdışına aktarım konusunda Kanun’un veri güvenliğine dair 12. Maddesi uyarınca bir idari parası verilebilir mi? Verilebilir ise, bunun şartları neler olmalıdır?

Son olarak bugün için rızanın, hizmetin ön şartı yapılamaması ilkesi de dikkate alındığında, veri sorumlularından beklenen hiç bir şekilde yurtdışı aktarımı yapmamaları mıdır? Bu ne kadar hayatın olağan akışına uygundur?

  • Çerezlere dair hukukumuzda açık bir düzenleme olmadığı dikkate alınarak, Kurul’un Amazon Kararı çerçevesinde belirlenen kriterleri net olarak bir ilke kararı ile düzenlemesi ve bu ilke kararının uygulanması için veri sorumlularına süre vermesi gerektiği düşüncesindeyiz. Özellikle, pazarlama/takip çerezleri ile zorunlu/fonksiyonel çerezler ayrımını da gözeterek, işlenme şartları ve veri sorumlusunun yükümlülükleri açısından konun açıkça düzenlenmesi gereklidir. Aksi takdirde, bu konuda kesilen/kesilebilecek idari para cezalarının bir dayanağının olduğunu söylemek de zorlaşacaktır.