Karara konu ihbar dilekçesinde başvurucu, 6563 s. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETDK) uyarınca hizmet sağlayıcı/aracı hizmet sağlayıcı Amazon.com.tr üzerinden yürütülen faaliyetlerin kişisel verilerin korunması mevzuatını ihlal ettiğini, siteye üyelik hesabı oluşturulurken veya alışveriş yaparken reklam, kampanya, promosyon amacıyla elektronik ticari ileti gönderimi için ilgililerden açık rıza alınmadığı, kişisel verilerin işleme nedeninin belirtilmediği, “… (“Amazon”), Amazon.com.tr’ yi (internet sayfası) ziyaret ettiğinizde veya burada alışveriş yaptığınızda, Amazon ürünlerini veya hizmetlerini kullandığınızda, mobil Amazon uygulamalarını kullandığınızda veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetleri kullandığınızda (toplu olarak “Amazon Hizmetleri”) size internet sayfası özellikleri ve diğer ürünler ve hizmetler sunmaktadır. Amazon Hizmetleri aracılığıyla kişisel bilgilerinizin nasıl toplandığını ve işlendiğini anlayabilmek adına lütfen Gizlilik Bildirimimizi ve Çerezler Bildirimimizi inceleyin.” ve “Herhangi bir Amazon Hizmeti’ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sizinle, örneğin e-posta, SMS, uygulama içi anlık iletişimler gibi çeşitli şekillerde veya internet sayfasında e-posta mesajları veya iletişimler göndererek veya yayınlayarak veya Mesaj Merkezimiz gibi diğer Amazon Hizmetleri aracılığıyla elektronik olarak iletişim kuracağız. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.” şeklinde ifadelere yer verildiği, bu ifadeler ile siteyi sadece ziyaret eden kişilerin dahi ilgili hükümleri kabul ettiği ve sadece ziyaret ederek elektronik iletişime onay verdiği, onay vermiş sayılmanın 6698 s. Kanun m.5/2 kapsamında hukuka uygunluk sebeplerinden sayılmayacağı, alışveriş için zorunlu üye hesabı oluşturarak kullanım ve satış şartlarının kabulü ile elektronik iletişime rıza verilmesinin özgür irade ile açık rıza verilmesi olarak kabul edilemeyeceği, Kurul kararlarında açık rızanın hizmet şartına bağlanmasının açık rızayı sakatlayacağının belirtildiği ve Amazon sitesinde verilerin yurt dışına aktarılabileceğinin mümkün olduğu belirtmiş olmasına rağmen bu konuda açık rıza alınmadığı ve Kurul’un izninin de bulunmadığı durumda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.9 bakımından ihlal söz konusu olduğunu ifade etmiştir.
Veri sorumlusu Amazon, Kurumun talebi üzerine verdiği cevabında; elektronik iletilere ilişkin usul ve esasların ayrı bir mevzuat ile düzenlendiğini, kişisel verilerin mevzuata uygun işlenmesi adına şeffaflık sağlamak için Kullanım Koşulları ve Gizlilik Bildirimi metinlerinin sunulmuş olduğunu, sadece kayıtlı müşteriler ile elektronik iletişim kurulduğunu, bu kişiler tarafından hesap oluşturulurken Gizlilik Bildiriminin kabul edildiğini ve sipariş verilirken de bu hususun hatırlatıldığını, müşterilerin ticari elektronik ileti almak istedikleri alanları seçebildiklerini, sınırlandırabildiklerini ve elektronik iletileri reddedebildiklerini, yurt dışına yapılacak aktarımların Gizlilik Bildirimi Metni ile kabul edildiğini, Kurum ile yurt dışına aktarım taahhütnamelerine dair yazışmaların sürdüğünü, belirtilen iddiaların dayanaktan yoksun olduğunu ve varsayımlara dayandığını ifade ederek başvurunun reddi gerektiğini belirtmiştir.
Ayrıca Kurum tarafından başvurucunun konuya ilişkin olarak Ticaret Bakanlığına yaptığı elektronik ticarete ve kişisel verilere aykırılık başvurusunun, Bakanlıkça konunun kişisel verilerin korunması kapsamında değerlendirilmesi talebiyle Kuruma gönderildiği görülmüştür.
Kurum tarafından yapılan incelemede aşağıdaki hususlar tespit edilmiştir:
I. KVKK m.5 ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (Yönetmelik) m.5 kapsamında:
A. KVKK m.5 kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğine ilişkin olup maddenin ikinci fıkrasında açık rıza alınmadan kişisel verilen işlenebileceği haller düzenlenmiştir.
B. Yönetmelik m.5 uyarınca ticari elektronik iletilerin gönderilebilmesi için alıcının onayı gerekmekte ve verilen onay reddetme hakkı kullanılana kadar geçerli olmaktadır. Yönetmeliğin 7. Maddesi uyarınca onayın yazılı veya her türlü elektronik iletişim aracıyla alınabilmesi mümkündür. Onayda kişinin elektronik ileti almayı kabul ettiği, adı, elektronik iletişim adresi yer almalıdır. Yönetmelik m.12 uyarınca ise kişisel verilerin üçüncü kişilerle paylaşımı, işlenmesi, başka amaçlarla kullanımı için kişinin onayının alınması gerekmektedir. Alınacak onayın pazarlama amaçlı elektronik iletiler gönderilmeden önce, en geç ileti gönderme onayının alındığı sırada işlenmesi KVKK m.5 uyarınca açık rıza kapsamında sayılabilir.
C. Ticari elektronik ileti ile ilgili ayrı mevzuat olmakla birlikte telefon numarası, e-posta adresi gibi bilgilerin bir veri sistemine depolanarak kişilere ticari ileti gönderildiği göz önünde bulundurulduğunda, bu mesajların iletilmesi için kullanılan iletişim kanalları kişisel veri niteliğinde olduğundan ticari elektronik ileti gönderilmesi süreçlerinin aynı zamanda kişisel veri koruma mevzuatına da uygun olması gerekmektedir.
- Kurul tarafından yapılan incelemede; “…üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.”
- Verilen kararda, Kurul tarafından, açık rızaların bireyin önceden otomatik onay verdiğinin kabul edildiği ve kişilere onayı kaldırma imkanı veren (opt-out) sisteme göre değil, bireylerin bilinçli olarak kişisel verilerinin işlenmesine onay verebileceği (opt-in) sisteme göre alınması gerektiği belirtilmiştir.
- Bu kapsamda Amazon’un iddiasının aksine Kurulca üyelik oluşturulurken herhangi bir aşamada açık rıza alınmadığı tespit edilmiştir.
D. Açık rıza dışında işleme nedenlerinin olması durumunda veri sorumlusu tarafından açık rıza alınması dürüstlük kuralına aykırılık olarak yorumlanmaktadır.
E. Ayrıca açık rıza alınmasını gerektiren işlemin varlığı halinde, bu hususta aydınlatma yükümlülüğünün yerine getirilmesi ve açık rızanın alınmasının aynı anda yapılması mevzuata aykırı kabul edilmektedir.
- Kurul, veri sorumlusu tarafından paylaşılan Gizlilik Bildirimi birçok bilgi içerse de veri işlemeye ilişkin genel bir bilgilendirme niteliğinde olduğunu ifade ederek bu sebeple kişilerin verilerinin işlenmesine yönelik aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmediğini belirtmiştir.
II. KVKK m.4 kapsamında:
a. KVKK m.4/2 verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma”, “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uyulması zorunluluğunu düzenlemektedir.
b. Kurul, kararlarında sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağını belirtmektedir.
- Karara konu olayda, veri sorumlusunun kişisel verilerin işlenmesini hizmet şartına bağladığı görülmektedir. Bu kapsamda Kurulca bu durumun KVKK m.4’e aykırılık teşkil ettiği değerlendirilmiştir.
- Amazon “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaraları.” bilgilerini toplandığını beyan etmiştir.
- Bu kapsamda üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlendiği de görülmektedir.
- Kurul kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler bakımından ise bu verilerin orantılı ve sınırlı bilgiler olmadığı belirtmiştir. Ayrıca işlenen verilerin kişiler tarafından en azından öngörülebilir olması gerektiğini ifade etmiştir.
III. KVKK m.8 kapsamında:
a) KVKK m.8 kişisel verilerin aktarılmasının ilgili kişinin açık rızasına tabi olduğunu ve açık rıza olmadan aktarılabilecek halleri düzenlemektedir.
b) Açık rızanın en geç aktarma faaliyeti gerçekleştirilirken alınması gerekmektedir. Bundan sonra alınacak açık rıza mevzuata uygun olmayacaktır.
- Amazon Gizlilik Bildirimi metninde “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.”Şeklindeki ifadeye yer vermiştir. Kurul, kararında, ifadede belirtilen şekilde paylaşmayı seçmeme hakkından bahsedilebilmesi için veri işlemenin açık rızaya tabi olması gerektiğini belirtmekte ve bu kapsamda KVKK m.8/2 ve 3 nezdindeki veri aktarım işlemleri için ilgilinin açık rızasının aranmayacağını, bu durumlarda kişilerin verileri paylaşmamayı seçemeyeceklerini ifade etmektedir.
- Kurul ayrıca verilerin rıza geri alındıktan sonra ne yapılacağının da ayrı bir tartışma konusu olduğu belirtmiştir. Muğlak ifadelerin kanuna aykırı hareket edildiği kanaatini uyandırdığı şeklinde bir değerlendirme yapmıştır.
IV. KVKK m.9 kapsamında:
1)KVKK m.9 kişisel verilerin yurt dışına aktarımının açık rıza ile mümkün olduğunu, KVKK m.5/2 ile m.6/3 kapsamındaki şartlardan birinin varlığı ve aktarılacak ülkede yeterli koruma bulunması halinde, yeterli koruma bulunmuyorsa Türkiye’deki ve yabancı ülkedeki veri sorumlularının yeterli korumayı taahhüt etmeleri ve Kurulun izni bulunması durumunda açık rıza olmaksızın verilerin aktarılabileceğini düzenlemektedir. [Kurum, 07.05.2020 tarihinde, yurt dışına kişisel veri aktarımında hazırlanacak taahhütnamelerde dikkat edilmesi gereken hususlara ilişkin duyuru paylaşmıştır.[1]]
2) Kurum hangi ülkelerin güvenli olarak kabul edileceğine ilişkin henüz bir duyuru paylaşmamıştır.
- Bu kapsamda Kurul, Veri sorumlusunun taahhütnamelere ilişkin başvuruları hakkında henüz herhangi bir karar verilmediği ve güvenli ülkelerin ilan edilmediği düşünüldüğünde yurt dışına aktarımda tek imkanın açık rıza olduğunu ifade etmektedir.
3) Kurum tarafından “Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir.” denilerek bu şekilde alınan rızanın hukuka uygun olmadığı belirtmiştir.
V. KVKK m.10 kapsamında:
A) KVKK m.10 “…kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.” şeklinde düzenlenmiştir.
B) Kararda, veri işleme işlemine site ziyareti ile başlanabilmesi için siteye girişte aydınlatma yükümlülüğünün yerine getirilmesi gerektiği belirtilmiştir.
- Karara konu olayda Kurul, Amazon tarafından işleme faaliyetinin site ziyaret edildiğinde başladığı, siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmadığı, kişinin doğrudan siteye girerek bu hususlara açık rıza verdiğinin söylenemeyeceğini belirtmiştir.
- Bu kapsamda Kurulca; olayda aydınlatma yükümlülüğünün yerine getirilmediği ve açık rıza alınmadığı kanaatine varılmış ve Amazon’a toplamda 1.200.000,00 TL idari para cezası verilerek sitenin mevzuata uygun hale getirilmesi ve kararın sitelerinde yayımlanmasına karar vermiştir.
[1] https://kvkk.gov.tr/Icerik/6741/YURT-DISINA-KISISEL-VERI-AKTARIMINDA-HAZIRLANACAK-TAAHHUTNAMELERDE-DIKKAT-EDILMESI-GEREKEN-HUSUSLARA-ILISKIN-DUYURU