Kişisel Verileri Koruma Kurulu (‘’Kurul’’), Amazon Turkey Perakende Hizmetleri Limited Şirketi (‘’Amazon’’) faaliyetlerinin, 6698 sayılı Kişisel Verileri Koruma Kanunu’na (‘’Kanun’’) aykırılık teşkil ettiğine dair güncel bir karar vermiştir. Kurul, 27.02.2020 tarihli 2020/173 sayılı kararında, Amazon’a ait hizmet sağlayıcı ve aracı hizmet sağlayıcı konumunda olan ‘’www.amazon.com.tr’’ adresi veya bu adrese bağlı uygulamalar (‘’İnternet Sitesi’’) üzerinden yürütülen faaliyetlerin, kişisel veri mevzuatına aykırılık teşkil ettiğini belirlemiştir. Kurul, Amazon’un sebebiyet verdiği ihlalleri ortadan kaldırarak faaliyetlerini Kanun’a uygun hale getirmesine ve 1.200.000,00 TL idari para cezası ödemesine karar vermiştir.
Kurul’un Amazon’a dair vermiş olduğu karar, kişisel veri mevzuatındaki ihlallerin neler olduğunu saptamak ve uygulamada karşılaşılan sorunları çözümleyebilmek adına oldukça önem arz etmektedir. Kararda, ticari elektronik iletinin kapsam ve sınırı, aydınlatma yükümlülüğü ile açık rıza arasındaki bağlantı, açık rızanın kapsamı, veri işlemenin genel ilkelere bağlılığı ve veri aktarımına ilişkin çeşitli başlıklara yer verilmiştir.
a. Ticari Elektronik İleti Nedir?
İnternet sitesi üzerinden ilgili kişilerin çeşitli kişisel verileri elde edilebilmektedir. Veri sorumluları, çeşitli pazarlama teknikleri kullanarak müşterilerine ve/veya 3. kişilere mesaj, e-posta ve benzeri çeşitli elektronik iletileri gönderebilmektedir. Uygulama açısından veri sorumlularının, ilgili kişilerin kişisel verilerini kullanarak onlara elektronik ileti göndermelerinin hukuka uygunluk sınırının açıkça saptanması gerekmektedir. Kurul kararında, ticari elektronik iletinin ne olduğu, iletinin ilgili kişilere gönderilmesinin hangi şart ve koşullarda hukuka uygun sayılabileceğinden bahsedilmiştir.
Ticari elektronik ileti, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in tanımlar başlıklı 4’üncü maddesinde “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletiler” şeklinde tanımlanmıştır. Kurul kararında, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’ine atıf yapılarak ticari elektronik ileti gönderimi için alıcıdan açıkça onay alınması gerektiği belirtilmiştir.
b. Ticari Elektronik İletinin Gönderimi Faaliyetinin Değerlendirilmesi
Kurul, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’da ve ikincil mevzuatta düzenlenen ticari elektronik ileti gönderimi faaliyetinin, kişisel veri mevzuatı kapsamında değerlendirilebileceğinden bahsetmiştir. Ticari elektronik ileti gönderilebilmesi adına ilgili kişilerden kimlik, iletişim ve benzeri kişisel veriler elde edilmektedir. Bu verilerin veri kayıt sisteminin parçası olmak kaydıyla işlenmesi halinde ilgili kişilere, ticari nitelikli iletilerin gönderilmesinin, veri işleme faaliyeti kapsamında değerlendirilmesi gerektiği kararda açıkça belirtilmiştir. Dolayısıyla ticari elektronik iletinin gönderilmesi adına yürütülen veri işleme süreçlerinin kişisel veri hukukuna da uygun bir şekilde yerine getirilmesi gerekmektedir.
Kurul; ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunduğunu belirtmekle birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle ilgili kişilere ticari nitelikli iletiler gönderilmesinin, bir kişisel veri işleme faaliyetine işaret ettiğini ve mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerektiğini vurgulamıştır.
c. Amazon Tarafından Gerçekleştirilen Ticari Elektronik İleti Gönderiminin Kurul Kararı Işığında Değerlendirilmesi
Ticari elektronik ileti faaliyetinin yürütülmesi adına gerçekleşen kişisel veri işleme sürecinin, Kanun’a uygun bir şekilde yürütülmesi gerekmektedir. Kanun’un 5. maddesi uyarınca kişisel veri işleme faaliyetinin, açık rıza veya Kanun’da belirtilen işleme şartlarından birine dayalı olması gerekmektedir. Bu kapsamda Amazon’un elektronik ileti göndermek amacıyla yürüttüğü veri işleme şartının açıkça belirli ve hukuka uygun olması gerekmektedir.
Amazon, internet sitesinde; “Herhangi bir Amazon Hizmeti'ni kullandığınızda veya masaüstünüzden veya mobil cihazınızdan bize e-postalar, SMS veya diğer iletişimler gönderdiğinizde bizimle elektronik olarak iletişim kurmuş olursunuz. Sizinle, örneğin e-posta, SMS, uygulama içi anlık iletişimler gibi çeşitli şekillerde veya internet sayfasında e-posta mesajları veya iletişimler göndererek veya yayınlayarak veya Mesaj Merkezimiz gibi diğer Amazon Hizmetleri aracılığıyla elektronik olarak iletişim kuracağız. Sözleşmesel amaçlı olarak, bizden elektronik olarak iletişim almaya onay vermektesiniz ve size elektronik olarak temin ettiğimiz tüm sözleşmelerin, bildirimlerin, açıklamaların ve diğer iletişimlerin, uygulanan kanunlar farklı bir iletişim şeklini öngörmediği sürece, söz konusu iletişimlerin yazılı olmasına ilişkin her türlü yasal gerekliliğe uygunluk gösterdiğini kabul etmektesiniz.” ifadelerine yer vererek elektronik iletişimi sağlamak adına dayanmış olduğu kişisel veri işleme şartlarından bahsetmiştir.
Kişisel Verileri Koruma Kurumu’na Amazon hakkında intikal eden şikâyet dilekçesinde, internet sitesi üzerinden yapılan satış işlemi sürecinde ve hatta satış işlemi olmaksızın sadece internet sitesinin ziyaret edilmesi halinde dahi ilgili kişilerin kişisel verisinin elde edilmeye başlandığı ve salt internet sitesinin ziyaret edilmesi durumunun elektronik iletişime açık rıza gösterilecek şekilde yorumlandığı bir mekanizmanın kurulu olduğundan bahsedilmiştir. Daha sonrasında Kurul tarafından yapılan re’sen inceleme neticesinde, Amazon’un internet sitesinin sadece ziyaret edilmesi halinde dahi ilgili kişilerin elektronik olarak ileti almaya onay verdiği şeklinde bir uygulamaya gidildiği tespit edilmiş olup Amazon tarafından ticari elektronik ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına dair herhangi bir açıklama yapılmadığı belirlenmiştir. Kurul, yalnızca internet sitesini sadece ziyaret etmekle ve/veya Amazon’a ait hizmetten yararlanmakla ilgili kişilerin, elektronik iletişime onay vermiş sayılmasının Kanun’un 5’inci maddesinin 2’inci fıkrasında yer alan “bir sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla gerekli olma” şeklindeki hukuka uygunluk sebebi kapsamında değerlendirilemeyeceğini belirtmiştir.
Kurul, kişisel verinin, pazarlama amaçlı ticari iletiler gönderilmeden önce veya en geç elektronik ileti gönderme aşamasında; ilgili kişinin onayının alındığı sırada işlenmesinin, Kanunun 5’inci maddesinde yer alan işleme şartlarından açık rıza kapsamında değerlendirmektedir. Somut olayda Amazon tarafından ticari elektronik ileti gönderilebilmesi adına ilgili kişilerin hukuka uygun bir şekilde açık rızasına başvurulmadığı ve açık rıza dışında da hukuka uygun, geçerli bir veri işleme şartının bulunmadığı görülmektedir. Kurul, ilgili kişilerin açık rızaları veya Kanunun 5’inci maddesinin 2’nci fıkrasında yer alan işleme şartlarından herhangi biri olmaksızın e-postalarına veya telefonlarına iletiler gönderilmesinin hukuka aykırı olduğunu belirtmiştir. Amazon’a ait internet sitesini ziyaret etmesi, siteye bağlı herhangi bir uygulamayı kullanması veya Amazon ile herhangi bir şekilde iletişime geçmesi halinde ilgili kişilerin, Amazon tarafından ticari elektronik ileti gönderimine açıkça rıza gösterdiği şeklinde bir kurulmuş olan mekanizmanın açıkça Kanun’a aykırı olduğu Kurul tarafından tespit edilmiştir.
d. Salt internet sitesinin ziyaret edilmesiyle veri toplanmasının hukuka aykırı olduğu belirtilmiştir.
Amazon’un internet sitesindeki “Kullanım ve Satış Şartları” metninin Kurul tarafından incelenmesi neticesinde ise internet sitesinin ziyaret edildiği andan itibaren veri işleme faaliyetine başladığı anlaşılmıştır. Amazon’un çerez toplanması hakkında hazırladığı ‘’Çerez Bildirimi’’ metninde ise internet sitesini ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin kullanıldığı beyan edilmiştir. Kurul, internet sitesinde gerekli metinlere yer verildiği savından yola çıkılarak Kanun’da hüküm altına alınan aydınlatma yükümlülüğünün yerine getirildiği sonucuna varmanın mümkün olmadığını belirtmiştir. Bu kapsamda internet sitesini ilk defa ziyaret eden bir kişinin daha Amazon ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünden ötürü yalnızca siteye girilmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiğinin düşünülemeyeceği değerlendirilmiştir. Farklı veri işleme araçları kullanılarak internet sitesi ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle internet sitesine giriş aşamasında yapılması gerekmektedir. Ancak internet site girişinde farklı araçlarla(çerezlerle vb.) kişisel verilerin işlendiğine dair bir bilgilendirme sunulmamakla birlikte yapılan işleme için izin verilmesine dair bir istem de mevcut olmadığı Kurul tarafından tespit edilmiştir. (ör.Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz)
e. Veri işleme şartının açık rızaya dayanması halinde aydınlatma ve açık rıza işlemlerinin ayrı ayrı yürütülmesi gerekmektedir.
Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan beyan olarak tanımlanmaktadır. Amazon’a ait internet sitesi üzerinde yapılan incelemede, siteye üye olunabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rızanın alınmadığı belirlenmiştir. Amazon, bu duruma karşı ‘’Gizlilik Bildirimi’’ metinde açıklamada bulunulduğunu ve yapılan açıklamada, internet sitesini ziyaret edilmesiyle işbu Gizlilik Bildirimi’nde belirtilen uygulamalarının kabul edilip onaylandığına dair ifadenin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı aynı zamanda “Gizlilik Bildirimi”ni onaylayarak bu hususu kabul etmiş olduklarını iddia etmiştir. Kurul ise Amazon’un Gizlilik Billdirimi’ndeki ifadeyle, ilgili kişilere karşı aydınlatma yükümlülüğü yerine getirirken aynı zamanda da kişilerden açık rıza alma yoluna başvurmuş olduğundan bahsetmiştir. Kurul daha sonrasında Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5’inci maddesinin 1’inci fıkrasının (f) maddesine işaret ederek kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiğini vurgulamıştır. Kurul, Amazon’un internet sitesinde yayımlanan “Gizlilik Bildirimi”nin, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı kapsamında değerlendirilmeyeceği belirtmiştir.
f. Açık rıza, bilgilendirme sonrasında hizmet şartına bağlanmaksızın ilgili kişinin özgür iradesiyle açıklanmalıdır.
Açık rızanın özgür iradeye dayalı olması ve herhangi bir şarta bağlı olmaması gerekmektedir. Kurul; Amazon’un, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” İfadelerinin, kişisel verilerin işlenmesinin hizmet şartına bağlanmış olduğunu belirtmiştir.
Kurul, kararında açık rızanın hizmet şartına bağlanmaması gerektiğini yani Amazon’un ilgili kişilere sunacakları hizmet karşılığında onlara ticari elektronik ileti gönderme özgürlüğüne sahip olamayacağını belirtmiştir. İnternet sitesini ziyaret eden veya internet sitesi üzerinden alışveriş yapan kullanıcılar, ticari elektronik ileti almaya hiçbir şekilde zorlanmayacaktır. Kurul, kararında Amazon’un ticari elektronik iletişim için ilgili kişilerin açık rızasını, kişilerin özgür irade neticesinde elde etmediğini saptamıştır. Ayrıca Kurul; internet sitesinden alışveriş yapabilmek adına oluşturulan zorunlu üyelik hesabı sebebiyle ilgili kişinin, Amazon’un ‘’Kullanım ve Satış Şartları’’nın kabul etmesinin, elektronik iletiye ilişkin olarak özgür irade ile verilmiş bir açık rızanın olarak değerlendirilemeyeceğini ifade etmiştir.
g. İlgili kişinin bilinçli eylemine dayanmayan rızalar hukuka aykırıdır. Kendiliğinden onaylı rıza kutucukları geçersizdir.
Kurul tarafından yapılan incelemede, internet sitesine üyelik aşamasında Amazon tarafından herhangi bir açık rızanın alınmadığı ve üyelik sürecinin ardından da iletişim tercihlerinin otomatik olarak promosyon e-postalarını alacak şekilde ayarlı olduğu belirlenmiştir. Bu e-postaları almak istemeyen kişiler ise ‘’lütfen bana artık pazarlama e-postaları göndermeyin.’’ Kutucuğunu işaretlemek zorunda bırakıldığı tespit edilmiştir.
Kurul, geçerli bir açık rızanın; bilgilendirmeye dayalı, belirli bir konuya özgü olan ve özgür iradeyle açıklanan bir beyan olduğuna işaret etmektedir. Bu kapsamda kişinin özgür iradesiyle açık rıza vermesine imkan tanınması gerektiği vurgulanarak bireyin kişisel veri işlenmesine otomatik onay verdiğinin kabul edildiği ve bu onayı kaldırmasına imkan veren sistemlerin değil, bireyin bilinçli eylemi ile kişisel verilerin işlenmesine onay verdiği bir sistemin uygulanması gerektiği belirtilmiştir.
Ayrıca Kurul, önceden onaylı kutucuklar vasıtasıyla açık rıza alınmasının Kanun’a aykırı olduğu açıkça belirlemiştir. Açık rızanın mahiyeti, ilgili kişilerin veriyi paylaşıp paylaşmama noktasındaki takdirinin kendisine ait olabilme özgürlüğüdür. Bu kapsamda kişinin iradesi yerine geçen onaylı kutucuklar, açık rızanın mahiyeti ile çelişmekte olup hukuka aykırıdır.
h. Açık rıza dışında veri işleme şartının bulunması durumunda açık rızaya başvurulmaması ve veri işleme faaliyetinin genel ilkelere uygun bir şekilde yürütülmesi gerekmektedir.
Kurul, sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınması ve de açık rızanın üyelik ve hizmet dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alarak bu durumun Kanunun 4’üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği tespit edilmiştir. Bu kapsamda veri işleme faaliyetinin genel ilkelere uygun bir şekilde gerçekleşmiş olması Kurul tarafından detaylı bir şekilde incelenmektedir.
Genel ilkelere, Kanun’un 4. Maddesinde açıkça yer verilmiştir. Kurul, Amazon’a ilişkin vermiş olduğu kararında, veri işleme faaliyetinin genel ilkelere uygun olması zorunluluğuna bir kez daha vurgu yapmıştır. Kurul, Amazon’un ilgili kişilerin kredi geçmişi bilgileri, kurumsal ve finansal bilgileri temin etmesinin, Kanun’da yer alan genel ilkelerinde belirtilen “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil ettiği belirtmiştir. Diğer yandan ilgili kişilerin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlenmesinin hukuka aykırı olduğundan bahsetmiştir.
i. Kişisel veri aktarımı hukuka uygun bir şekilde gerçekleştirilmelidir.
Kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılması mümkün değildir. Ancak kişisel veriler; Kanun’un 5’inci maddenin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, yine Kanun’un 6’ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilecektir. Kurul, Amazon’un internet sitesindeki ‘’Gizlilik Bildirimi”ni incelendiğinde ‘’Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’’ başlığı altında açıklanan şekillerde aktarım yapıldığını belirtilerek metnin son kısmında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiğini belirtmiştir. Bu kapsamda Kurul, açık rıza dışındaki herhangi bir işleme sebebine bağlı olarak işlenen verilerin aktarımı esnasında ilgili kişilerin veri paylaşımını engelleme olanağı olmadığını, ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceğinden bahsetmiştir. Açık rızanın ise en geç aktarma faaliyeti gerçekleştiği sırada alınması lazımdır. Kurul, aktarım faaliyetinin gerçekleşmesinden sonra rızanın geri alınabileceğinin ifadesinin, Kanun lafzının tersine yorumlanması şeklinde değerlendirmiş ve rızanın geri alınması halinde Amazon’un faaliyetinin ne kapsamda değişeceğinin belirsizliğinden bahsetmiştir. Amazon tarafından muğlak ifadelere yer verilmesi ve yeterince aydınlatmanın sağlanmaması sebebiyle Kurul nezdinde veri aktarımının hukuka uygun bir şekilde gerçekleşmediği kanaati oluşmuştur.
Yurt dışı veri aktarımı ise Kanun’un 9. Maddesinde düzenlenmiştir. Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacaktır. Ancak kişisel veriler, Kanun’un 5’inci maddenin ikinci fıkrası ile Kanun’un 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilecektir. Yeterli korumanın bulunduğu ülkeler ise Kurulca ilan edilecektir. Mevcut durumda Kurul tarafından güvenli ülkeler listesi ilan edilmemiştir. Amazon, veri aktarımını sağlamak amacıyla Kurul’un onayını almak üzere taahhütname mektuplarını Kurul’a sunmuştur. Ancak Kurul’un, Amazon’un yurt dışı aktarımı yapabileceğine dair henüz bir kararı olmadığından ve yeterli korumaya sahip ülkeler de henüz ilan edilmediğinden ötürü Amazon’un yurt dışına veri aktarımı yapabilmesinin tek yönteminin, ilgili kişinin açık rızasına başvurma olduğu Kurul tarafından değerlendirilmiştir. Yapılan incelemede Amazon’un yurt dışına veri aktarımı için ilgili kişilerden açık rıza onayı almadığı, yalnızca ‘’Gizlilik Bildirimi’’nde yer alan hususların kabul edilmiş olduğu varsayımının, Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği kanaatine varılmıştır. Belirli bir konu ile sınırlandırılmayan genel nitelikteki rızalar, ‘’battaniye rıza’’ olarak tanımlanmakta olup battaniye rızalara hukuken geçerlilik tanınmamaktadır. İlgili kişinin hangi verilerinin, hangi amaçla, hangi ülkeye aktarılabileceği ve benzeri konulara ilişkin veri sorumlusu tarafından detaylı aydınlatma sağlandıktan sonra ilgili kişinin açık rızasına başvurulması gerekmektedir.
SONUÇ
Kurul’un Amazon Turkey kararı, uygulama açısından son derece önemli tespitler içermekte ve birçok veri sorumlusuna yol göstermektedir. Günümüzde, Kanun’un özü anlaşılmaksızın genel ve muğlak ifadelerle oluşturulan aydınlatma metinlerine ve kişisel veri politikalarına rastlanmaktadır. Amazon tarafından veri mevzuatına uyum sağlamak amacıyla oluşturulan birden fazla metnin yetersiz, genel ve muğlak ifadeler barındırdığı Kurul tarafından tespit edilmiştir. Kurul, salt internet sitesinin ziyaret edilmesiyle Amazon tarafından kişisel veri elde etmeye başlamasını hukuka aykırı bulunmuştur. İnternet sitesine giriş sebebiyle kişilerin verilerin elde edilmesinin hukuka uygun olmadığı, bilgilendirme ve rıza işlemlerinin ayrı ayrı yürütülmesi gerektiği belirtilmiştir.
Kurul, açık rızanın hizmet şartına bağlanmaksızın özgür iradeyle açıklanması gerektiğine ve veri işlenmesine dair genel ilkelere uygun hareket edilmesine oldukça önem verdiğini bir kez daha yinelemiştir. Bu kapsamda veri sorumluları gereken aydınlatmayı sağladıktan sonra belirli konuya ilişkin olarak ilgili kişilerin özgür iradesiyle veri işlenmesine onay verip/vermemesine imkan tanınması gerektiği belirtilmiştir. Önceden onaylı kutucuklar şeklinde ilgili kişilerin açık rızasının alınmasının mevzuata uygun olmadığı belirtilmiştir. Kurul, açık rıza dışında veri işleme şartının olması durumunda ilgili kişilerin açık rızasına başvurulmaması gerektiğini belirtmiştir.
Ticari elektronik ileti göndermek isteyen veri sorumlularının ise kişisel veri mevzuatına da uygun davranmak zorunda olduğu unutulmamalıdır. Yurt dışı aktarım açısından ise mevcut durumda güvenli ülkeler açıklanmadığından ötürü mümkün olduğu ölçüde yurt dışı veri aktarımı yapılmamalıdır. Yurt dışı veri aktarımı yapılacak ise de bu kapsamda ilgili kişiler detaylı bir şekilde aydınlatılmalı ve Kanundaki şartlara uyulmalıdır.
Kurul, Amazon’un yüksek bir miktarda idari para cezası ödemesine karar vermiştir. Bu karar ışığında veri sorumlularının aydınlatma yükümlülüğü de dahil olmak üzere Kanun’dan kaynaklanan tüm yükümlülüklerini Kurul kararlarını da dikkate almak suretiyle yerine getirilmesi tavsiye edilmektedir.
Son Güncelleme Tarihi: 11 Mayıs 2020
Ayrıntılı bilgi için: info@yonet.av.tr
İşbu bilgilendirme yazısı YÖNET tarafından, Türkiye Barolar Birliği'nin meslek kuralları ve 1136 sayılı Avukatlık Kanunu uyarınca, sadece bilgilendirme amaçlı olarak temin edilmiştir. İşbu bilgilendirme yazısı burada belirtilen tarih itibariyle hazırlanmıştır. YÖNET'in mevzuat veya olaylarda gerçekleşen veya dikkatimize sunulan değişiklikleri bildirme yükümlülüğü bulunmamaktadır.