Kişisel Verileri Koruma Kurulu’nun Amazon Turkey Kararı

KİŞİSEL VERİLERİ KORUMA KURULU’NUN “AMAZON TURKEY”

HAKKINDAKİ KARAR İNCELEMESİ

Kişisel Verileri Koruma Kurulu’na (“Kurul”) “Amazon Turkey Perakende Hizmetleri Limited Şirketi”(“Amazon Turkey”) hakkında yapılan başvuru neticesinde, Kurul 27/02/2020 tarihli ve 2020/173 Sayılı kararı ile başvuruyu neticelendirmiştir.

Kurul, www.amazon.com.tr’ye ilişkin yürütülen resen inceleme sonucunda;

  • Veri Sorumlusu (“Amazon”), ilgili kişilere ticari elektronik gönderme hususunda kişilerin açık rızasını usulüne uygun alınmaması, üyenin temas kişilerine ait e-posta adreslerinin bu kişilerin açık rızası alınmaksızın işlenmesi, Amazon’un Kişisel Verileri Koruma Kanunu’nun (“Kanun”) 4.maddesindeki genel ilkelere aykırı hareket etmesi
  • Amazon’un ‘Gizlilik Bildirimi’nde ilgili kişilerin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmaması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde olabileceği, ancak Amazon tarafından usulüne uygun bir açık rıza alınmadığı,
  • Kanun’un 9.maddesi gereğince kişisel verilerin yurtdışına aktarım konusunda ilgili kişilerin açık rızasının alınması gerektiği düzenlenmiş olsa da Amazon’un usulüne uygun açık rıza almadığı, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu ancak bu uygulamanın Kanun’a uygun bir açık rıza olmadığı,

Gerekçeleri ile Amazon Turkey’e 1.100.000 TL idari para cezası uygulanmıştır.

  • Kurul tarafından yapılan incelemede, Amazon Turkey web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği tespit edilmiştir.

Web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, usul ve esaslara uygun olarak yerine getirilmediği tespit edilmiştir.

Yukarıdaki gerekçeler sebebi ile Amazon Turkey’e 100.000 TL idari para cezası uygulanmıştır.

  • Amazon Turkey’e, Amazon’un tespit edilen ihlalleri göz önüne alınarak, “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanun’a uygun hale getirilmesi ve akabinde Kurul’a bilgi vermesi talimat verilmiştir

İHLALLER VE SEBEPLERİNİN İNCELENMESİ

1-    İlgili Kişinin Açık Rızası Olmaksızın Kişisel Verilerinin İşlenmesi

  • Kanun’un 3.maddesinde yer alan açık rıza tanımı çerçevesinde, açık rıza, ilgili kişilerin bilinçli olarak kişisel verilerinin işlenmesine onay vermesidir. İlgili kişilerin, önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiğinin kabulü ve ilgili kişilerin sonrasında bu onayı kaldırmalarına imkan veren sistemin varlığı Kanun’un aradığı “açık rıza”ya aykırıdır.

Kurul tarafından www.amazon.com.tr (“Web Sitesi”) üzerinde yapılan incelemede, ilgili web sitesine üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından genel ayarlar başlığı altında düzenlenen, “e-postalar şu anda ……. e-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, tespit edilmiştir.

Web sayfası üyelik işlerinde alınan otomatik onay açıkça Kanun’un “açık rıza” usulüne aykırıdır.

  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in (“Tebliğ”) 5.maddesi gereğince, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir.

Kurul tarafından yapılan incelemede, web sitesinde yer alan Gizlilik Bildirimi başlığında, “Amazon.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı tespit edilmiştir. İlgili kişiler bu ifade ile kişisel verilerinin işlenmesinden haberdar olmakla kalmayıp aynı zamanda Gizlilik Bildirimini onaylayarak kişisel verilerinin işlenmesini kabul etmişlerdir. Amazon, web sitesinde üyelik oluştururken herhangi bir açık rıza almaksızın, gizlilik bildirimindeki ifade ile aydınlatma yaparken aynı zamanda açık rıza alma yoluna gitmiştir.

Gizlilik bildirimindeki ifadenin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı ortadadır. Gizlilik bildirimindeki ifade, ayrı ayrı yerine getirilmesi gereken aydınlatma yükümlülüğü ve açık rıza alınması işlemlerini tek bir bildiri ile ortaya koymuş ve açıklanan sebeple Tebliğin 5.maddesine aykırılık oluşturmuştur.

2-    Kişisel Verilerin,  Veri İşlenmesinde Gözetilmesi Gereken İlkelere Aykırı İşlenmesi

Kanun’un 4.maddesi gereğince, kişisel veriler;

  • Hukuka ve dürüstlük kurallarına uygun,
  • Belirli, açık ve meşru amaçlar için
  • İşlendikleri amaçla bağlantılı,
  • Sınırlı ve ölçülü olma ilkelerin uygun işlenmelidir.

Amazon, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız” ifadesi ile  kişisel verilerin işlenmesini hizmet şartına bağlamıştır.

Kurul, üyelerin kişisel verilerinin işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesinin veri sorumlusunca hakkın kötüye kullanılması anlamına geldiği, ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı, bu durumun Kanun’un 4. maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği kanaatine varmıştır.

Amazon, web sitesinde, “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaraları” ile ilgili kişisel verileri topladığını beyan etmiştir.

Kurul incelemesinde, toplanılan kişisel verilerden “arkadaşların ve diğer kişilerin e-posta adresleri” bakımından verinin, ilgili kişi için kişisel veri olmakla birlikte ayrıca e-posta verisi toplanan bireye ait de kişisel veri niteliğinde olduğu, Amazon’un, üyenin temas ettiği kişilere ait verileri kişilerin açık rızası olmaksızın işlediği değerlendirmesinde bulunmuştur.

Kurul, ayrıca, “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” Kanun’da yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olduğu ancak veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği kanaatine varmıştır.

3-    Kişisel Verilerin, İlgili Kişinin Açık Rızası Alınmadan Aktarılması

Kanun’un 8.maddesi gereğince, kişisel veriler ilgili kişinin açık rızası olmadan aktarılamaz.

Web sitesindeki, “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verilmiştir.

Kurul incelemesinde, Kanun’un lafzı gereği açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması gerektiği, bundan sonra alınacak açık rızanın mevzuata uygun kabul edilemeyeceğini, dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesinin kanun lafzının tersine yorumlanması olarak değerlendirileceği görüşünü bildirmiştir.

Kurulca, açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusu olduğu bu sebeple kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği gerekçesi ile ihlalin ortaya çıktığı sonucuna varılmıştır.

4-    Kişisel Verilerin İlgili Kişinin Açık Rızası Olmadan Yurtdışına Aktarılması

Kanun’un 9.maddesi gereğince, kişisel veriler ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz.

Kurul tarafından yapılan inceleme neticesinde, web sitesinde yer alan, “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”) belirtilerek ilgili kişilerin rızasının alındığı görülse de, söz konusu beyanın zımni irade beyanı  olduğu kabul edilmiştir. Kurul tarafından, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceği sonucuna varılmıştır.

Kurul bu hususta, “açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır.”  kararını vermiştir.

Amazon’un, kişisel verilerin yurtdışına aktarılması konusunda ilgili kişilerin açık rızasını alması gerektiği, ancak Amazon’un yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş bu sebeplerle Kanun’un 9.maddesini açıkça ihlal ettiği görülmüştür.

5-    Aydınlatma Yükümlülüğü ve Açık Rızanın Ayrı Ayrı Alınması Gerekli İken Birlikte Beyan Alınması

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5.maddesi gereğince, “kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.”

Amazon’un, internet sitesindeki “Kullanım ve Satış Şartları” metni incelendiğinde Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri Amazon.com.tr ziyaret edildiğinde veya buradan alışveriş yapıldığında; Amazon ürünleri, hizmetleri, mobil Amazon uygulamaları veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetler kullanıldığında (toplu olarak "Amazon Hizmetleri") ilgili kişilere internet sayfası özelliklerinin, diğer ürünlerin ve hizmetlerin sunulduğu beyan edilmiştir.

Kurul incelemesinde, işleme faaliyetine site ziyareti ile başlandığı görülmüştür. Çerezler hakkında hazırlanan metin ile siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edilmiştir. Ancak kararda görüleceği üzere, siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyeceği sonucuna varılmıştır.

Söz konusu beyan, hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil etmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, Amazon’un çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10.maddesinde ve Tebliğ’de  düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur. Tüm bu sebepler ile Amazon’un açık rızayı ve aydınlatma yükümlülüğü usulüne uygun yerine getirmediği ve Kanun kapsamında ihlale sebebiyet verdiği sonucuna varılmıştır.

 

*Karar incelemesi, Kişisel Verileri Koruma Kurulu’nun 27/02/2020 tarihli, 2020/173 Sayılı, kararından özetlenmiştir. Tam metin için, https://www.kvkk.gov.tr/Icerik/6739/2020-173 bakınız.

                                                                                          Av.Aslıhan Kıroğlu

                                                                                          Av.Bilun Elmacıoğlu