2020/10 Bülten - Kişisel Verilerin İşlenmesi ve Amazon Turkey Kararı

10- COVID-19 KİŞİSEL VERİLERİN İŞLENMESİ VE AMAZON TURKEY KARARI

Küresel salgın boyutundaki Covid-19 sebebi ile ulusal ve uluslararası düzeyde alınan ek önlemler sebebiyle kişilerin seyahat bilgisi, sağlık bilgisi, temasta olduğu kişilerin bilgisi gibi pek çok kişisel veri farklı kayıt ortamlarında işlenmiştir. Her ne kadar olağanüstü durum sebebi ile olsa da işlenen kişisel veriler Kişisel Verileri Koruma Kanunu (“KVKK”) hükümlerine uygun olarak işlenmelidir.

Kişisel Verileri Koruma Kurumu (“Kurum”) 27 Mart 2020 ve 9 Nisan 2020 tarihlerinde covid-19 salgın döneminde kişisel verileri işleme hususunda “Kamuoyu Duyusu” yayımlamış ve aşağıdaki hususlara dikkat çekmiştir. Buna göre;

• Veri sorumlusu/Veri işleyen her koşulda idari ve teknik tedbirleri almalıdır. Veriler üçüncü kişilere ifşa edilmemeli ve sosyal medya aracılığı ile paylaşılmamalıdır.
• Kişisel veriler temel ilkelere uygun olarak işlenmelidir. Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kuralına uyma, doğru ve güncel veri işleme, meşru ve hukuka uygun amaçlar için işlenme, işlendikleri amaçla bağlantılı olarak sınırlı ve ölçülü olma ve mevzuatta öngörülen sürelere bağlı kalma esaslarına dikkat edilmelidir.
• Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
• Kişisel veriler, KVKK’nın 5. ve 6. maddelerine uygun olarak, açık rıza alınarak işlenmelidir. İlaveten 28.madde gereğince, kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesi halinde kanun hükümlerinin uygulanmayacağı düzenlenmiştir. Bu sebeple, kişisel verilerin Sağlık Bakanlığı ve yukarıdaki madde kapsamına giren kamu kurum ve kuruluşları tarafından işlenmesinin kanun kapsamında sayılan istisna hallerden olduğu kabul edilmiştir.
• İşveren, Covid-19 virüsü taşıyan çalışan hakkında diğer çalışanlara bilgi verirken hasta çalışanın isim bilgisi verilmemelidir. İsim bilgisi, sadece hasta çalışanın temaslı olduğu çalışanlar veya ziyaretçiler ile paylaşılabilir.
• İşveren kanunda sayılan temel prensiplere göre çalışanlardan ve ziyaretçilerden, virüsten etkilenen bir bölgeyi ziyaret edip etmedikleri veya virüsün neden olduğu hastalığa dair belirtiler gösterip göstermedikleri hakkında bilgi talep edebilir.

Kurum’un 9 Nisan 2020 tarihli Kamuoyu Duyurusunda dikkat çeken hususlar;

Kurum duyurusunda Covid-19 ile mücadele kapsamında konum verisinin işlenmesi ve kişilerin hareketlerinin izlenmesi hususunda değerlendirme yapmıştır.

Covid-19 salgınını önlemek amaçlı ulusal ve uluslararası düzeyde pek çok mobil uygulama geliştirilmiştir. Bu uygulamalar kişilerin konum verilerini işlemekte ve hastaların temaslı olduğu kişilerin takip edilmesinde kullanılmaktadır.

Kurum, KVKK’nın 28.maddesi gereğince, salgın hastalık gibi durumlarda kamu sağlığını ve kamu güvenliğini korumak adına yetkili kurum ve kuruluşların teknolojik yöntemler ile sağlık, konum ve iletişim bilgilerini işleyebileceğini ve kamu sağlığı ve kamu düzeni çerçevesinde bu bilgilerin işlenmesinin 28.madde kapsamında belirtilen kamu kurum ve kuruluşlarınca yapılabileceğini belirtmiştir.

Kurumun duyurusundan anlaşılacağı üzere özel kurum ve kuruluşlar kamu sağlığı adı altında kanun kapsamında belirtilen tedbirleri almadan Covid-19 salgını sebebi ile kişisel verileri dilediği gibi işleyemez.

İlaveten, söz konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya çıkabileceği sebebi ile ilgili tüm kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi işlemlerinin yapılması gerektiği de yine Kurum tarafından yayımlanan duyuruda belirtilmiştir.

Gerek KVKK hükümleri gerek ise Kurum’un yukarıda belirtilen kararları dikkate alındığında özellikle Covid-19 sonrası çalışma hayatına geri dönüş ve evden çalışma düzeninden ofis çalışmasına geçiş aşamasında, çalışanlara sağlık verileri ve diğer kişisel verilerinin işlenmesine ilişkin aydınlatma metni imzalatılması ve değişen durum sebebiyle güncelleme yapılması önemlidir.

KVKK kapsamında alınması gereken idari tedbirlerle ilgili Kişisel Verileri Koruma Kurul’unun 27 Şubat 2020 kararı aşağıda incelenerek özetlenmiştir.

Kurul’un “Amazon Turkey” Kararı

Kişisel Verileri Koruma Kurulu’na (“Kurul”) “Amazon Turkey Perakende Hizmetleri Limited Şirketi” (“Amazon Turkey”) hakkında yapılan başvuru neticesinde, Kurul 27/02/2020 tarihli ve 2020/173 Sayılı kararı ile başvuruyu neticelendirmiş ve Amazon Turkey’e toplam 1.200.000TL ceza kesmiştir.

Kurul aşağıda belirtilen sebepler ve kriterler kapsamında, Amazon Turkey’in veri ihlali gerçekleştirdiğini tespit etmiş ve ceza uygulamıştır.

1. İlgili Kişinin Açık Rızası Olmaksızın Kişisel Verilerinin İşlenmesi
2. Kişisel Verilerin, Veri İşlenmesinde Gözetilmesi Gereken İlkelere Aykırı İşlenmesi
3. Kişisel Verilerin, İlgili Kişinin Açık Rızası Alınmadan Aktarılması
4. Kişisel Verilerin İlgili Kişinin Açık Rızası Olmadan Yurtdışına Aktarılması
5. Aydınlatma Yükümlülüğü ve Açık Rızanın Ayrı Ayrı Alınması Gerekli İken Birlikte Beyan Alınması

Kurul, www.amazon.com.tr’ye ilişkin yürütülen resen inceleme sonucunda;

• Veri Sorumlusu (“Amazon Turkey”), ilgili kişilere ticari elektronik gönderme hususunda kişilerin açık rızasının usulüne uygun alınmaması, üyenin temas kişilerine ait e-posta adreslerinin bu kişilerin açık rızası alınmaksızın işlenmesi, Amazon Turkey’in KVKK 4.maddesindeki genel ilkelere aykırı hareket etmesi,
• Amazon Turkey’in ‘Gizlilik Bildirimi’nde ilgili kişilerin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmaması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde olabileceği, ancak Amazon Turkey’in usulüne uygun bir açık rıza almadığı,
• KVKK’nın 9.maddesi gereğince kişisel verilerin yurtdışına aktarımı konusunda ilgili kişilerin açık rızasının alınması gerektiği düzenlenmiş olsa da Amazon Turkey’in usulüne uygun açık rıza almadığı, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu ancak bu uygulamanın KVKK’ya uygun bir açık rıza olmadığı,

Gerekçeleri ile Amazon Turkey’e 1.100.000 TL idari para cezası uygulanmıştır.

• Kurul tarafından yapılan incelemede, Amazon Turkey web sitesinde yayımlanan “Gizlilik Bildirimi”nin, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği tespit edilmiştir.
• Web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, usul ve esaslara uygun olarak yerine getirilmediği tespit edilmiştir.

Yukarıdaki gerekçeler sebebi ile Amazon Turkey’e 100.000 TL idari para cezası uygulanmıştır.

• Amazon Turkey’den, tespit edilen ihlaller göz önüne alınarak, “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanun’a uygun hale getirmesi ve Kurul’a bilgi vermesi istenmiştir.

*Amazon Turkey kararı, Kişisel Verileri Koruma Kurulu’nun 27/02/2020 tarihli, 2020/173 Sayılı, kararından özetlenmiştir. Tam metin için,https://www.kvkk.gov.tr/Icerik/6739/2020-173 bakınız.