I.  İHLALİN ÖZETİ

Amazon.com.tr internet sitesine ilişkin olarak Kişisel Verileri Koruma Kurumu’na (“Kurum”) yapılan 17.04.2019 tarihli ihbarda özetle;

1. Ticari Elektronik İleti Gönderimi ve Açık Rıza: com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı,

Sitenin “Kullanım ve Satış Şartları” sayfasının girişinde,Amazon Turkey Perakende Hizmetleri Limited Şirketi(“Amazon Türkiye”)  tarafından sunulan hizmetler kullanıldığındakişisel bilgilerin nasıl toplandığı ve işlendiğini anlayabilmek adına Gizlilik Bildirimi ve Çerezler Bildiriminin incelemeye yönlendirildiği,Elektronik İletişimler başlıklı birinci maddede “Herhangi bir Amazon Hizmeti’ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.”ifadesinin kullanıldığı,

Bu ifadeler birlikte değerlendirildiğinde, amazon.com.tr sitesini sadece ziyaret eden bir kişinin ilgili hükümleri kabul ettiği ve sadece internet sitesini ziyaret etmekle elektronik olarak iletişim almaya onay verdiği şeklinde bir uygulamaya gidildiği,

Veri Aktarımı: com.tr “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmının “Kişisel Bilgilerin Türkiye Dışına Aktarılması” alt başlığı altında “Kişisel bilgilerinizi saklamak ve işbu Gizlilik Bildirimi’nde açıklanan amaçlar çerçevesinde işlemek için Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarabiliriz.”şeklindeki ifadeden kişisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda amazon.com.tr internet sitesi ve bağlı mobil uygulamalar aracılığı ile sunulan hizmetlere ilişkin ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı,belirtilerek ihlal oluşturduğu düşünülen eylemler Kurum’a şikayet edilmiştir.

II. AMAZON TÜRKİYESAVUNMASI

Amazon Türkiye tarafından Kurum’a iletilen 17.07.2019 tarihli savunma yazısında özetle;

1. Ticari Elektronik İleti Gönderimi ve Açık Rıza:Amazon Türkiyetarafından yalnız hesap oluşturulmasından sonra kayıtlı müşterilerle Amazon ürün ve hizmetlerine ilişkin elektronik iletişim kurulduğu; Amazon hesabı oluşturulduğunda ilgili müşterinin “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”ni de kabul ettiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”);aynı şekilde kayıtlı bir müşteri site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz.”),

Amazon Türkiye’nin ayrıca kayıtlı müşterilerine ticari elektronik ileti almak istedikleri alanları kolaycaseçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkan sağladığı,

Hukuka aykırı olarak ticari elektronik ileti gönderildiğine ilişkin iddiaların dayanaktan yoksun olduğu, herhangi bir kanıtlayıcı belgeyedayanmadığı ve başvuranın söz konusu taleplerini Ticaret Bakanlığına iletmesi gerektiği, Kurulun ticari elektronik iletiler gibi ilke kararlarını ve Kurulun bu alandaki yetkisini kabul etmek ve saygı göstermekle birlikte, konuya ilişkin usul ve esasların münferiden elektronik ticarete ilişkin mevzuat kapsamında düzenlenmiş olduğu,

2. Veri Aktarımı:Kayıtlı müşterilerin kişisel verilerinin Türkiye dışına aktarıldığından/aktarılabileceğinden sadece haberdar olmadığı aynı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduğu,Amazon Türkiye’nin yurt dışına veri aktarım taahhütnameleri ile ilgili yazışmaların Kurumla sürdürülmekte olduğu,belirtilmiştir.

III. KURUL KARARININ ÖZETİ

Yukarıdaki ihbara ilişkin olarak Kurul tarafından öncelikle E-Ticaret Mevzuatı ve Kişisel Verilerin Korunması mevzuatıarasındaki ilişki ortaya konmuştur.Buna göre;

“Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. Dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine ilişkin mevzuata uygun olarak gönderilmesi gerekmekle birlikte, bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir.”

denerek, konunun yalnızca ticari elektronik iletilerin gönderimine ilişkin olmadığının altı çizilmiştir.

a. Kurulun Değerlendirme Kriterleri

Kurul, ilgili kararında aşağıdaki kriterleri belirleyerek bu kriterler üzerinden ihlale ilişkin değerlendirme yapmıştır:

i. Ticari Elektronik İletilerin Gönderimi ve Açık Rıza

Kişilerin iletişim bilgilerinin pazarlama amaçlı iletiler göndermeden önce veya en geç elektronik ileti gönderme onayının alındığı sırada işlenmesinin Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında olduğu değerlendirilmekte olup, ilgili kişilerin açık rızaları veya Kanunun 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesinin veri sorumluları bakımından sonuçlarıKişisel Verileri Koruma Kurulunun 16.10.2018 tarih ve 2018/119 sayılı İlke Kararında da düzenlenmiştir.

Yapılanincelemede, www.amazon.com.tr sayfasında üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor”açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin”ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin”kutucuğunun yer aldığı görülmektedir.

Kanunda yer verilen açık rıza tanımı çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.

Her ne kadar veri sorumlusu tarafından yayınlanan “Gizlilik Bildirimi”nde ilgili internet sitesinin ziyaret edilmesiyle beraber veri işleme ve ticari elektronik ileti göndereme “onay” verildiği belirtilse de, üyelik oluşturulurken herhangi bir aşamada açık rıza alınması yoluna gidilmediği yapılan incelemede tespit edilmiştir. Gizlilik bildirimindeki ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Bilindiği üzere açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlandığı gibi, diğer yandan açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir.

Bu kapsamda, veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatinevarılmaktadır.

Açık Rızanın Hizmet Şartına Bağlanması:Veri sorumlusu,“Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.”ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.”diyerek kişisel verilerin işlenmesini hizmet şartına bağlamaktadır. Kurumun internet sayfasında da yayımlanan kararda sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızayı üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığıdurumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği değerlendirilmektedir.

Amazon.com.tr’nin topladığını beyan ettiği veriler ise şunlardır: “ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler;kredi geçmişi bilgileri; KDV numaraları.”

İlgili kişinin arkadaşlarının bilgileri, kendisi bakımından kişisel veri olmakla birlikte ayrıca bu bireylere ait birer kişisel veri niteliğini de taşımaktadır. Böylece üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Öte yandan “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” Kanunda yer alan genel ilkeler bağlamında değerlendirildiğinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerekmekte olup veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği değerlendirilmektedir.

ii. Veri Aktarımı

Yurtiçine Veri Aktarımı:Veri sorumlusunun “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.”ifadesine yer verilmiştir. Metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir. Çünkü Kanunun 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleştirilen veri aktarımı işlemlerinde ilgilinin açık rızası aranmayacağı gibi (Kanunun 5’inci maddesinin 2 numaralı fıkrası, 6’ncı maddesinin 3 numaralı fıkrası ve diğer kanunlarda öngörülen hallerde yapılan işlemeler), bu durumlarda ilgili kişinin verilerini paylaşmamayı tercih etme şansı da bulunmayacaktır. Öte yandan, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez. Dolayısıyla, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin söylenmesi kanun lafzının tersine yorumlanması olarak değerlendirilmektedir. Açık rıza alınmadan aktarılan verilerin rıza geri alındıktan sonra akıbetinin ne olacağının bilinmemesi de ayrı bir tartışma konusudur. Dolayısıyla kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmaktadır.

Yurtdışına Veri Aktarımı:Yapılan incelemede veri sorumlusunun yurtdışına veri aktarımını sağlamak amacıyla Kurulun onayını almak üzere taahhütname mektuplarını Kurula sunduğu görülmüştür. Ancak Kurulun henüz bu yönde bir karar vermediği ve yeterli korumaya sahip ülkelerin de henüz belirlenmediği değerlendirildiğinde kişisel verilerin yurtdışına aktarılması için tek yöntem ilgilinin açık rızasının alınması olarak değerlendirilmektedir.

Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiş olsa da “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde Amazon.com.tr’ninGizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz”)belirtilerek ilgili kişilerin rızasının alındığı veri sorumlusunca iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceği değerlendirilmektedir. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rıza, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacaktır. Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edilmekte ve hukuken geçersiz sayılmaktadır. Bukapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir. Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusununyurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.

iii. Aydınlatma Yükümlülüğü

Veri sorumlusunun internet sitesindeki “Kullanım ve Satış Şartları” metni incelendiğinde Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri (“Amazon”), Amazon.com.tr (internet sayfası) ziyaret edildiğinde veya buradan alışveriş yapıldığında; Amazon ürünleri, hizmetleri, mobil Amazon uygulamaları veya yukarıdakilerle bağlantılı olarak Amazon tarafından sunulan hizmetler kullanıldığında (toplu olarak “Amazon Hizmetleri”) ilgili kişilere internet sayfası özelliklerinin, diğer ürünlerin ve hizmetlerin sunulduğu beyan edilmiştir.

Çerezler:Anlaşıldığı üzere yapılan işleme faaliyeti site ziyaret edildiğinde başlamaktadır. Öyle ki çerezler hakkında hazırlanan metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edilmiştir. Bu durumda sitede gerekli metinlere yer verildiği savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmak mümkün değildir. Siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Farklı veri işleme araçları kullanılarak site ziyareti ile birlikteveri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerekmektedir. Ancak site girişinde farklı araçlarla (ör. Çerezler) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan işleme için izin verilmesine dair bir istem de mevcut değildir (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkiletmekte olup, web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü Kanunun 10’uncu maddesinde veAydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlendiği şekilde yerine getirmediği kanaatini oluşturmuştur.

b. Kurulun İhlallereİlişkin Tespitleri ve Ceza Miktarı

i. Ticari Elektronik İletilerin Gönderimi ve Açık Rıza: Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiği,

ii. Veri Aktarımı:Veri sorumlusunun “Gizlilik Bildirimi”nde yer aldığı şekliyle ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,

Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği,

iii. Aydınlatma Yükümlülüğü:Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği, belirtilmiştir.

Yapılan bu tespitler neticesinde Kurum, Amazon Türkiye’ye elektronik ticari ileti gönderimi ile açık rızanın alınmasını gerektiren diğer veri işleme faaliyetleri için açık rızanın alınmaması ve yurtiçi ve yurtdışı veri aktarımında açık rıza şartına uyulmamasının KVKK 12/1 maddesine aykırılık teşkil etmesi sebebiyle KVKK 18/-b maddesine göre 1.100.000 TL; yine internet sitesi ziyaretçilerine usulüne uygun bir aydınlatma yapılmamasının KVKK 10.maddesine aykırılık teşkil etmesi sebebiyle KVKK 18/1-a maddesine göre 100.000 TL; toplamda 1.200.000 TL idari para cezasına hükmetmiştir.

IV. DEĞERLENDİRME VE SONUÇ

Yukarıda Kişisel Verileri Koruma Kurumu’nun 07.05.2020 tarihinde yayınlamış olduğu Kişisel VerileriKoruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Amazon Türkiyekararına ilişkin ihbarın kapsamını, Kurul’un değerlendirme kriterlerini, bu kriterlere göre tespit edilen ihlalleri ve ceza miktarlarını detaylıca açıklamaya çalıştık. Bu bölümde ise Kurul’un, verilen karar içerisinde KVKK ve ilgili mevzuatın uygulanmasında yapılması ve yapılmaması gerekenlere ilişkin tespitleriirdelenecektir. Amazon.com.tr’nin e-ticaret hizmeti veren bir web sitesi olması sebebiyle ilgili kararın, mutlak suretle benzerşekilde hizmet veren diğer veri sorumlularınca da dikkate alınması gerekmektedir.

1. Kurul kararına bakıldığında metin içerisinde özellikle açık rızanın alımına ilişkin değerlendirmelerin ayrıntılandırıldığı görülmektedir. Özellikle, e-ticaret sitelerine üyelik sırasında KVKK 5/2-c maddesindeki hukuka uygunluk sebebinin sınırlarını aşan şekilde veri işlenmesi durumunda ilgili kişiden aşılan kısma ilişkin olarak açık rıza alınması gerekmektedir.
2. Karar içerisinde, ticari elektronik ileti gönderimine ilişkin üyelik ayarlarında tüm onayların verili şekilde ekranda çıktığı, ilgili kişinin ancak bu onayları kaldırarak açık rızasını geri çekebildiği bilgisi yer almaktadır. Bu bağlamda Kurul, açık rızanın bu şekilde verilmesinin mevzuata aykırı olduğunu değerlendirmiştir. İlgili onaylarınopt-out değil,opt-in şeklinde verilmesi gerekmekte olup kişisel verilerin de bu bağlamda işlenmesi hususunda açık rıza, ancak bu şekilde verildiğinde geçerli olabilecektir.
3. Kararda yine, internet sitesine giriş yapıldığı andan itibaren ilgilikişilere ilişkin veri işleme faaliyetinin başladığı ancak aydınlatmanın veri işleme faaliyetinden önce yapılmıyor olmadığı, yani zamanlama sorununa değinilmiştir. Ek olarak, aydınlatma metni olarak değerlendirilen gizlilik bildiriminde ilgili kişilerin siteye girdikleri anda veri işleme faaliyetine açık rıza verdikleri veri sorumlusunca kabul edilmektedir. Ancak burada göze çarpan iki sorun vardır. Bunlardan birincisi hali hazırda açık rıza gerektirmeyen veri işleme faaliyetinde “her ihtimale binaen” açık rıza alınıyor olması dürüstlük kurallarına aykırı kabul edilmektedir. İkinci olarak, aynı metin içerisinde hem aydınlatmanın yapılması hem de açık rızanın verilmesi ikincil mevzuata göre hukuka aykırı bir durum olarak hükme bağlanmıştır. Bu bağlamda veri sorumlularının hangi veri işleme faaliyetinin hangi işleme şartına dayandığını dikkatlice belirlemeleri, açık rıza gerektirmeyen durumlarda açık rıza almaktan kaçınmaları gerekmekte olup yine aydınlatma metninin ve açık rızanın aynı anda alınmaması ve/veya aynı metin içerisinde değerlendirilmemesi gerekmektedir.
4. Kararda, veri sorumlusunun web siteden alışveriş yapmak isteyen ilgili kişileri, alışveriş yapmanın önkoşulu olarak web sitesine üye olma şartı koştuğu görülmektedir. Çerezlerin devre dışı bırakıldığı durumlarda ilgili kişiler alışveriş yapamamakta ve ürünleri sepetlerine ekleyememektedir. Alışveriş yapabilmek için zorunlu olan üye hesabı oluşturulması amacıyla “Kullanım ve Satış Şartları”nı kabul ederek elektronik iletişim izni verilmiş sayılmak özgür irade ile verilmiş bir açık rıza olarak değerlendirilemeyecektir. Kurumun vermiş olduğu önceki tarihli kararlardan da görüleceği üzere hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı ve açık rızayı geçersiz hale getireceğinde hiçbir şüphe bulunmamaktadır. Ayrıcabu durum,Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerinedeaykırılık teşkil et
5. Karara konu ihlallerin gerçekleştiği websitesinde üye olunması sırasında ilgili kişilere ait olmayan üçüncü kişilerin verilerinin işlendiği görülmüştür. Böyle bir işlemhukuka uygun kabul edilemez. Zira, üçüncü kişilerin verilerinin verilen hizmetle hiçbir hukuki bağlantısının olmadığı ortada olduğu gibi, üçüncü kişilerden veri sorumlusu tarafından açık rıza da alınmış değildir.Yine kurumsal ve finansal bilgiler; kredi geçmişi bilgileri ve KDV numaraları gibi verilerin işlendiği görülmüştür. Bu verilerin işlenmeside verilen hizmetle doğrudan ilgili olmadığından ucu açık şekilde işlenen verileri KVKK 4.maddedeki genel ilkelere aykırılık teşkil etmektedir. Dolayısıyla üçüncü kişilerin verilerinin işleme şartları olmadan işlenmesi ve hizmetle bağlantılı olmayan verilerin de işlenmesihukuka aykırıdır.
6. Kararda, yurtdışına aktarım yapıldığı ancak buna ilişkin olarak KVKK 9.maddedeki gerekliliklerin yerine getirilmediği tespit edilmiştir. Yurtdışına aktarımda Kanun, 2 seçenekli bir yöntem öngörmüştür. İlk yöntem ilgili kişilerden açık rızanın alınmasıdır. İkinci yöntem ise Türkiye’deki veveri aktarılanilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun bu taahhütnameler kapsamında aktarıma izin vermesidir. Her ne kadar bugüne kadar Kurum, kendisineiletilen taahhütnameler bakımından hiçbir izin kararı vermemişse de bu durum, ikinci yöntemin uygulanmadığı yahut uygulamasının geciktirileceği/erteleneceği anlamına gelmemektedir. Zira, Amazon Türkiye savunmasında da bu mekanizmayı işletmek için gerekli başvuruları hali hazırda yaptığını ifade etmiştir. Ancak bu başvurular Kurum tarafından henüz karara bağlanmadığından sanki bu izinler alınmışçasına açık rıza alınmadan yapılan aktarımlar hukuka aykırılık teşkil etmektedir. Yine, ilgili web sitesine girişte ilgili kişilerce verildiği düşünülen açık rıza da Kanunun aramış olduğu açık rızayı karşılamamaktadır. Veri sorumlusunun bu şekilde almış olduğunu düşündüğü açık rıza adeta zımni bir açık rızadır. Yani, ilgili kişinin sitede gezinmeye devam etmesinin açık rıza verdiği kanaatini oluşturduğu düşünülmektedir. Ancak Kanun bu tarz bir zımni açık rızayı kabul etmemekte, aksine yayınlanan Rehber metinlerde battaniye açık rızaların hukuka aykırı olduğu defaatle belirtilmektedir. Dolayısıyla, yurtdışına aktarımbakımından KVKK 9.maddedeki yükümlülüklerin veri sorumlusu tarafından yerine getirilmemesi sebebiyle idari para cezası yaptırımı kaçınılmazdır.
7. Sitedeki çerezlere ilişkin olarak da yine siteye ilk girişte ilgili kişinin tüm çerezlerin kullanımına onay vermesi zorunlu tutulmuştur. Burada yukarıda da bahsettiğimiz üzere her bir veri işleme faaliyeti için ayrı ayrı aydınlatmaların yapılması gerekmekte olup KVKK 5/2.maddedeki işleme şartlarının oluşmadığı durumlarda ilgili kişiden uygun şekilde açık rıza alınması gerekmektedir. Önemle belirtmek istediğimiz husus, aydınlatma yükümlülüğünün ve açık rızanın veri işleme faaliyetinden önce yapılması gerektiğidir.Veri işleme faaliyeti başladıktan sonra ilgili kişilerden alınan açık rıza geçerli bir açık rıza olmayıp aydınlatma yükümlülüğünün de bu bağlamda yerine getirildiğinden söz edilmeyecektir.
8. Kurum, veri sorumlusuna KVKK 18/-b maddesine göre 1.100.000 TL ve KVKK 18/1-a maddesine göre 100.000 TL; toplamda 1.200.000 TL idari para cezasına hükmetmiştir.2020 yılı itibariyle KVKK 18/-b maddesine göre verilecek idari para cezasının alt sınırı 27.040,00 TL, üst sınırı ise 1.802.641,00 TL; KVKK 18/1-a maddesine göre verilecek idari para cezasının alt sınırı 9.013,00 TL, üst sınırı ise 180.264,00 TL’dir. KVKK 18.maddedeki kabahatler karşılığında öngörülen idari para cezalarının alt ve üst sınırları arasındaki makas bilinçli olarak geniş tutulmuştur. Kurul karar verirken kabahatler hususunda genel kanun niteliğinde olan 30/3/2005 tarihli ve 5326 sayılı Kabahatler Kanununun 17 nci maddesinin ikinci fıkrasında belirtildiği üzere kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunu dikkate alınmaktadır. Bu şekilde düzenleme yapılmak suretiyle, söz konusu kabahatlerin çok farklı ekonomik güce sahip gerçek veya tüzel kişiler hakkında uygulanacak olması nedeniyle yaptırım uygulanmasında hakkaniyeti sağlamak amaçlanmıştır. Buna göre örneğin, küçük bir şehirde faaliyet gösteren bir aile şirketiyle ülke çapında faaliyet gösteren bir holdingin Kanun hükümlerini ihlal etmesi durumunda belirlenecek idari para cezalarının miktarı söz konusu şirketlerin ekonomik durumlarına göre farklıdır. Somut olayda Amazon Türkiye’ye uygulanan idari para cezaları veri sorumlusunun ekonomik durumu göz önüne alınarak üst sınırdan verilmemişse de üst sınıra yakın bir oran belirlenmiştir.
9. Son olarak belirtmek istediğimiz husus Kurulun re’sen inceleme yetkisini nasıl kullandığına ilişkindir. KVKK 22/1-c maddesinde Kurulun şikayet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler alabileceği hükme bağlandığı gibi KVKK 15.madde de re’sen inceleme yetkisinden bahsedilmiştir. Somut olayda veri sorumlusu genel itibariyle ticari elektronik ileti gönderiminde ve yurtdışına aktarımda açık rıza almaması hususlarında Kuruma şikayet edilmiştir. Ancak yukarıdaki detaylı incelemelerden anlaşılacağı üzere Kurul re’sen inceleme yetkisini kullanarak, veri sorumlusunun e-ticaret sitesinin KVKK’ya uygunluğunu kül olarak incelemiştir. Bu bakımdan veri sorumlularının KVKK’ya uyumlarını bir bütün olarak sağlamaları gerekmekte olup aksi halde Kurul tarafından, ileride yapılacak muhtemel şikayetle sınırlı olmaksızın incelemeye tabi tutulabileceklerini göz önünde bulundurmaları gerekmektedir.