Yayınlarımız

Image

AMAZON KARARI

KİŞİSEL VERİLERİ KORUMA KURULU’NUN AMAZON KARARI VE İNCELEMESİ

Kişisel Verileri Koruma Kurulu, ilgili kişilerin kişisel verilerinin ihlali ile ilgili başvurularını inceleyerek,  verilerin işlenmesine yönelik uygulamaları 6698 sayılı Kişisel Verileri Koruma Kanunu kapsamında değerlendirmekte ve bu değerlendirmelerin yer aldığı karar özetlerini internet sitesinde paylaşmaktadır. Bu kapsamda Kurul’un 7 Mayıs 2020 tarihinde yayınladığı 27/02/2020 tarih ve 2020/173 sayılı karar, hem temas ettiği noktalar itibariyle hem de karar sonucu uygulanan idari para cezasının miktarı itibariyle ayrı bir öneme sahiptir. Nitekim karara konu şirket Amazon Turkey Perakende Hizmetleri Limited Şirketi’nin tüm dünyada e-ticaret sektörünün  önde gelen firmalarından olması da kararın emsal niteliği taşımasının bir diğer sebebidir.

Kararda, 27.06.2019 tarihli dilekçe ile  Amazon’un kişisel verileri Kanuna aykırı olarak işlediği sebebiyle Kurul’a başvurulduğu ve Amazon’un başvurudaki iddialara karşı savunmasını sunduğu görülmektedir. Söz konusu ihbarda, Amazon’un Kanunun açık rıza alınması ve yurtdışına veri aktarma ile ilgili hükümlerini ihlal ettiği öne sürülmüştür. Amazon tarafından bu iddilara karşı, hususun elektronik ticaret mevzuatı kapsamında olduğu ve dilekçenin Ticaret Bakanlığı’na yöneltilmesi gerektiği, internet sitesinde sunulan “Gizlilik Bildirimi” ve “Kullanım Koşulları” ile Kanuna uygun olarak şeffaflığın sağlandığı ve yurtdışına veri aktarımına ilişkin taahhütnamelerle ilgili olarak yazışmaların Kurum ile devam ettiği cevapları verilmiştir.

Söz konusu kararda, Amazon’un veri işleme uygulamalarına yönelik detaylı bir inceleme yapılmış ve 6698 sayılı Kanuna aykırı noktalar belirtilmiş olup Kurul’un kararda değindiği Amazon’un veri işleme uygulamaları ve bu uygulamalara ilişkin değerlendirmeleri başlıca aşağıda sıralanmıştır:

  1. Pazarlama amaçlı elektronik iletilerin gönderilebilmesi için açık rızanın aranması

İlgili kişi yalnızca www.amazon.com.tr sayfasına girerek Amazon’un “Gizlilik Bildirimi”nde yer alan uygulamaları kabul etmekte dolayısıyla yalnızca sitenin ziyaret edilmesiyle kişilerin haberi olmadan veri işleme faaliyeti başlamaktadır. İnternet sitesinde üyelik oluşturmak için gerekli bilgilerin girilmesi sırasında iletişim bilgilerinin pazarlama amaçlı ileti göndermek için işlenmesiyle ilgili olarak da kişinin açık rızası alınmamaktadır. Üstelik siteye üye olma işleminin ardından ilgili kişinin hesabında iletilerin gönderileceği e-posta adresinin ve e-posta gönderilecek kategorilerin çoktan seçilmiş olduğu görülmektedir.

Kurul bu hususu 6698 sayılı Kanun ile birlikte Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik çerçevesinde değerlendirmiştir. Kanunda kişiye ticari elektronik ileti gönderilebilmesi için açık rıza, Yönetmelikte ise onay aranmaktadır. Somut olayda, üyelik oluşturulurken ilgili kişiden hiçbir onay/açık rıza alınmadığından Kurulca Amazon’un veri güvenliğini sağlamaya yönelik gerekli tedbirleri almadığına karar verilmiştir. Ayrıca ticari elektronik ileti gönderme kanallarının ve gönderme sürecinin kişisel verilerin korunması mevzuatı kapsamında da olduğu belirtilerek bu husus da netleştirilmiştir.

  1. Hakkın kötüye kullanılması ve verilerin işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık

Kararda yer alan ikinci tespit ise Gizlilik Bildirimi metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” Denilerek açık rızanın şarta bağlanmasının ilgili kişiyi yanıltarak yanlış yönlendirilmesine yol açacağıdır. Kurul bu durumu veri sorumlusunun hakkını kötüye kullanması olarak nitelendirmiştir.

Ayrıca Amazon tarafından ilgili kişinin ad, adres, telefon numarası, ödeme bilgileri; yaş; konum bilgisi; satın alımların gönderildiği kişiler; 1-Tık ayarlarında listelenen kişiler (adresler ve telefon numaraları dâhil); arkadaşların ve diğer kişilerin e-posta adresleri; veri sorumlusuna gönderilen değerlendirmelerin ve e-postaların içeriği; profildeki kişisel bilgiler ve fotoğraflar; Amazon hizmetleri ile bağlantılı olarak saklanan resimler ve video, kimlik ve duruma ilişkin bilgiler ve belgeler; kurumsal ve finansal bilgiler; kredi geçmişi bilgileri; KDV numaralarının toplanmasına da değinilmiş ve kişinin kredi geçmişi, kurumsal ve finansal bilgilerinin yanı sıra arkadaşlarına ait kişisel verilerin toplanması orantılı bulunmamıştır. Bu sebeple veri sorumlusu Amazon’un verilerin işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırı davrandığına karar verilmiştir.

  1. Kişisel verilerin 3. Kişilerle paylaşılması

Gizlilik Bildiriminde yer alan “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” İfadesinden anlaşıldığı üzere ilgili kişinin verilerinin paylaşılmamasını tercih etme olanağı verilerin paylaşılmasından sonra mümkün olabilmektedir. Kurul, buna ilişkin olarak “..açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır, bundan sonra alınacak açık rıza mevzuata uygun kabul edilemez.” diyerek Kanun hükümlerine aykırı hareket edildiğini belirtmiştir.

  1. Kişisel verilerin yurtdışına aktarılması

Kararda yer alan bir diğer husus ise verilerin yurtdışına aktarılması hükümlerinin ihlali ile ilgilidir. Amazon tarafından yurtdışına veri aktarımı için taahhütname mektupları Kurul’a sunulsa da Kurulca Amazon’un bu başvurusuna yönelik henüz bir karar verilmediğinden ve yeterli korumaya sahip ülkelerin listesi Kurum tarafından yayınlanmadığından verilerin aktarılmasının tek yolu ilgili kişinin açık rızasının olmasıdır. Kurul, internet sitesinde  yer alan “Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.” ve “Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz.” ifadelerinin ilgili kişinin açık rızasının alındığı anlamına gelmeyeceğini belirtmiştir. Belirli bir konu ve işlemle sınırlı olmayan genel nitelikteki rızaların “battaniye rıza” olarak kabul edildikleri ve hukuken geçersiz oldukları açıklanmış ve Amazon’un veri güvenliğine ilişkin yükümlülüklerini yerine getirilmediğine karar verilmiştir.

  1. Veri işleme faaliyetine hiçbir uyarı olmaksızın sitenin ziyaret edilmesi ile başlanması

İnternet sitesindeki çerezler hakkında hazırlanan metinde “siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı” ifadesi yer almaktadır. Kurul tarafından veri işleme faaliyetinin siteyi ziyaret etmekle başladığı ve bu konuda aydınlatma yükümlülüğünün yerine getirilmediliği yönünde bir değerlendirme yapılmıştır. Nitekim siteye girildiğinde ilgili kişiyi bilgilendiren herhangi bir uyarı veya “çerez bildirimlerine onay verin” şeklinde bir pop-up mesajı da yer almadığından bu durum hem açık rıza alma hem de aydınlatma yükümlülüğüne aykırı olarak nitelendirilmiştir.

Yukarıda sayılan sebeplerle, Kurul tarafından, Amazon’un 6698 sayılı Kişisel Verileri Koruma Kanunu’nun Veri Güvenliğine İlişkin Yükümlülükler başlıklı 12. Maddesinin 1. Fıkrasını ihlal etmesi sebebiyle 1.100.000 TL, 10. Maddede düzenlenen aydınlatma yükümlülüğüne aykırı davranması sebebiyle 100.000 TL toplamda 1.200.000 TL idari para cezasının uygulanmasına hükmedilmiştir. Ek olarak Amazon’un veri işleme politikasını güncelleyerek Kanuna uygun hale getirmesi için talimatlandırılmasına da karar verilmiştir.

Sonuç olarak, Kurul’un 27/02/2020 tarih ve 2020/173 sayılı kararı, üzerinde durulan konuları detaylı olarak incelenmesi ve yurtdışına veri aktarımı, pazarlama amaçlı ticari elektronik iletilerin gönderilmesi gibi hususları açıklığa kavuşturması açısından önemlidir. Ayrıca internet sitelerinin ve özellikle günlük hayatta sıkça kullanılan e-ticaret sitelerinin veri işleme politikalarındaki ihlaller için de emsal bir nitelik taşımaktadır.