Kişisel Verileri Koruma Kurulu’nun Amazon Türkiye hakkında vermiş olduğu kararda; kişisel verilerin işlenmesi alanında birçok konu başlığına yer verildiği görülmektedir. Kurul tarafından verilen kararların 6698 sayılı Kanun’un uygulanması bakımından önemli konulara daha detaylı ifadeler içerdiği göz önüne alındığında Kurul kararlarının önemi bir kez daha karşımıza çıkmaktadır. Karar özellikle e-ticaret faaliyetinde bulunan kuruluşlar için önem arz etmektedir.
TİCARİ İLETİ GÖNDERİMİ İÇİN ALINAN ONAYA EK OLARAK KİŞİSEL VERİLERİN BU ANLAMDA İŞLEME FAALİYETİNE TABİ TUTULABİLMESİ İÇİN İLGİLİ KİŞİLERDEN AÇIK RIZA ALINMALIDIR.
Kurul kararı özellikle e-ticaret sitelerini ilgilendirmektedir. Nitekim web sitesinin herhangi bir şekilde ziyaret edilmesiyle birlikte çerez kullanımı kapsamında toplanan kişisel veriler dahil, sepet bilgileri, log kayıtları, üyelik aşamasında alınan bilgiler, sadakat programları kapsamında talep edilen bilgiler veya elektronik ticaret işlemi için gerekli olan fatura bilgilerinin tamamı 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri olarak değerlendirilebilmekte ve her bir faaliyet ayrı bir veri işleme faaliyeti olarak tanımlanmaktadır.
Kurul kararına göre, elektronik ticaret faaliyetinde bulunan veya üyelik ile ilgili kişilere kampanyalar sağlayan kuruluşların;
Üyelik sözleşmesinin kurulması ve ifası amacı ile işlenmesi zorunlu olan kişisel verileri Kanun’un 4. Maddesinde belirtilen ilkeler çerçevesinde belirleyerek, bu işleme faaliyeti için Kanun’un 5 inci maddesinde yer alan açık rıza dışında kalan veri işleme şartlarından birisine dayanabileceği, ancak ticari ileti gönderiminin ayrı bir veri işleme faaliyeti olması nedeniyle bu faaliyetin açık rıza dışında kalan bir veri işleme şartına dayandıramayacağı ve bu nedenle bu işleme faaliyeti için ilgili kişilerden ticari ileti gönderim onayına ek olarak veri işleme için onay alması gerektiği söylenebilecektir.
“AÇIK RIZANIN HİZMET ŞARTINA BAĞLANMASI” AÇIK RIZAYI SAKATLAYACAĞINDAN BU KAPSAMDA İŞLENEN KİŞİSEL VERİLER DE HUKUKA AYKIRI ŞEKİLDE İŞLENMİŞ KABUL EDİLECEKTİR.
Kanun kapsamında kişisel verilerin açık rıza ile işlenebileceği düzenlenmiş olmakla birlikte belirli durumlarda açık rıza alınmaksızın veri işleme faaliyetinin gerçekleştirilebileceğine yer verilmiş ve bu hallerin mevcut olması halinde ayrıca açık rıza alınmasının hakkın kötüye kullanılması anlamına geleceği belirtilmiştir. Bununla birlikte, kuruluşlar tarafından verilecek her türlü hizmetin açık rıza şartına dayalı olarak sunulması da Kanun kapsamında veri ihlali olarak değerlendirilmiştir.
Bu kapsamda, özellikle çerezler vasıtası ile toplanan veriler bakımından web sitesinde düzenleme yapılması gerekmektedir. Zira çerezler vasıtasıyla toplanan veriler de kişisel veri niteliğinde olabilmektedir. Web sitelerinde bulunan zorunlu çerezler dışında kalan ihtiyari çerezlere izin verilmemesi halinde ilgili kişinin kuruluşun hizmetinden yararlanamaması Kanun’un genel ilkelerine aykırılık oluşturmakta ve açık rızayı sakatlamaktadır. Web sitesinde çerez kullanmakta olan kuruluşların, web sitesi ziyaretçilerine çerezleri onaylamaya zorlamaması ve kullanılacak çerezleri belirleme imkanı tanıması gerekmektedir.
WEB SİTESİNE ÜYELİK ESNASINDA TALEP EDİLEN VERİLERİN KANUN’UN 4. MADDESİNDE YER ALAN AMAÇLA BAĞLANTILI OLMA VE ÖLÇÜLÜLÜK İLKESİNE UYGUN ŞEKİLDE TOPLANMASI GEREKMEKTEDİR.
Kanun’un genel ilkeleri ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nde de ifade edildiği üzere veri işleme faaliyetlerinde veri minimzasyonu ilkesinin temel alınması gerekmektedir. Bu kapsamda veri işleme amacıyla bağlantılı olmayan verilerin açık rıza ile hukuka uygun olarak toplandığı düşünülse dahi verilen hizmetin yerine getirilmesi açısından gerekli olmadığı ifade edilebilmekte ise veri işleme faaliyeti de genel ilkelere aykırılık nedeniyle hukuka aykırı hale gelecektir.
AÇIK RIZAYA DAYALI OLARAK İŞLENEN VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARIMI İÇİN DE AÇIK RIZA ALINMASI GEREKMEKLE BİRLİKTE KANUN’UN 5. MADDESİNDE YER ALAN İSTİSNAİ HALLERİN VARLIĞI HALİNDE, İŞLENEN VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARIMI İÇİN DE AÇIK RIZA ŞARTI ARANMAMAKTADIR.
Kurum, incelemeleri esnasında Amazon Türkiye’nin her ne kadar ilgili kişilere aktarımın durdurulması için imkan tanmış olduğunu ifade etmiş ise de veri işlemenin istisnai hallerden birisine dayanması halinde bu verilerin aktarımının da açık rıza olmaksızın gerçekleştirilebileceğini belirtmiştir. Dolayısıyla veri işleme faaliyeti Kanun’un 5 inci maddesinde yer alan istisnalardan birine dayanmıyor ve ayrıca ilgili kişiden açık rıza alınmıyor ise kişisel verilerin aktarımı mümkün olmayacaktır. Ayrıca aktarma için açık rızanın da en geç aktarma faaliyetinin gerçekleştiği sırada alınması gerekmektedir. Ancak tekrar etmek gerekir ki, Kanun’un 5. Maddesi kapsamında işlenen veriler bakımından açık rıza şartı aranmayacağından bu faaliyetler için ayrımın en doğru şekilde yapılması önem arz etmektedir.
KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMI İÇİN KANUN’DA YER ALAN DÜZENLEMELERE UYGUN ŞEKİLDE YÖNTEMLER BELİRLENMELİDİR.
Kişisel Verileri Koruma Kurumu’nun son dönemlerde üzerinde sıkça durduğu konulardan birisi kişisel verilerin yurt dışına aktarılmasıdır.
Kanun ile kişisel verilerin açık rıza olmaksızın yurt dışına aktarılamayacağı, açık rıza olmaksızın aktarımın gerçekleştirilebilmesi için aktarım yapılacak ülkenin yeterli korumaya sahip olması gerektiği, ülkede yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kuruldan bu aktarım faaliyeti için izin alınması gerektiği düzenlenmiştir. Yeterli koruması bulunan ülkelerin ise Kurum tarafından ilan edileceği belirtilmiş ise de halihazırda güvenli ülkelere ilişkin herhangi bir açıklama yapılmamıştır.
Ancak Kişisel Verileri Koruma Kurumu son dönemlerde yurt dışına veri aktarımı konusu ile ilgili olarak birçok duyuru veya karar yayımlamıştır.
7 Mayıs 2020 tarihinde yayımlanan kamuoyu duyurusunda yurt dışına aktarım için alınacak taahhütnamelerde dikkat edilmesi gerekenler ilgililere bildirilmiştir.
Yine, yurt dışına veri aktarımı ile ilgili olarak Avrupa Birliği düzenlemelerine paralel olarak 10 Nisan 2020 tarihinde yapılan duyuruda Bağlayıcı Şirket Kurallarının da kabul edileceği bildirilmiştir. Online eğitim platformları üzerinden işlenen verilerin bulut yazılımları vasıtası ile yurt dışına aktarımının söz konusu olabileceği ve açık rıza alınmaksızın gerçekleştirilen bu aktarımın veri ihlali anlamına gelebileceği de ayrıca kamuoyu duyurusu olarak yayımlanmıştır.
Kurul’un Amazon Türkiye için yapmış olduğu incelemede, yurt dışına veri aktarımına ilişkin taahhütname mektuplarının sunulduğu ancak bu taahhütnamelere henüz onay verilmediği ve güvenli ülkelerin de henüz açıklanmadığı göz önüne alındığında yurt dışı aktarımının açık rıza alınmaksızın gerçekleştirilmesini veri ihlali olarak değerlendirmiştir.
Böylelikle, çok uluslu grup şirketlerin açık rıza olmaksızın veri aktarımını gerçekleştirebilmesi için;
- İlgili kişilerden açık rıza alması veya,
- Aktarım yapılacak ülke güvenli ülkeler kapsamında değil ise Türkiye ve ilgili ülkedeki veri sorumlularından yeterli korumayı yazılı olarak taahhüt etmesi ve bu taahhütname için Kurul’dan izin alması veya,
- Çok uluslu grup şirketler bakımından Kurum tarafından belirlenen asgari içeriklerin yer aldığı bağlayıcı şirket kurallarını oluşturarak Kurul’dan onay alması gerekmektedir.
Aksi halde kişisel verilerin yurt dışına aktarımı hukuka aykırı olarak gerçekleştirilmiş olacaktır.
Görüleceği üzere Amazon Türkiye hakkında yapılan inceleme her ne kadar ihbar vasıtası ile başlatılmış olsa da yapılan detaylı inceleme Kurum’un re’sen denetleme ve inceleme yetkisine dayandırılmış ve Kanun’un her bir maddesi açısından değerlendirme yapılmıştır. Bu kapsamda özellikle elektronik ortamda veri işleme faaliyeti gerçekleştiren veri sorumlularının, Kanun’da yer alan tüm madde hükümlerine uygun hareket etmesi gerektiği aksi halde yüksek idari para cezalarına maruz kalınabileceği görülmektedir. Alınan karar neticesinde kişisel verilerin yurt dışına aktarımı ile ilgili olarak da Kurum’un ayrıca hassas davrandığı göz ardı edilmemelidir. Yurt dışına veri aktarımı gerçekleştiren şirketlerin mevcut düzenlemelerini gözden geçirmeleri ve faaliyetlerini Kanun’da yer alan şartlara uygun olarak gerçekleştirmeleri gerekmektedir. Güvenli ülkelerin henüz açıklanmamış olmasının halihazırda bir idari yaptırımı önlemediği bir kez daha görülmüştür.
Konuya ilişkin detaylı değerlendirme yazımıza https://www.rsbhukuk.com.tr/yayinlar/kisisel-verilerin-korunmasi/amazon-turkiye-ye-buyuk-ceza-rsb-hukuk linkinden ulaşabilirsiniz.
