Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulu'nun Kararı

Kişisel Verileri Koruma Kurulu 07 Mayıs 2020 tarihinde internet sitesinde Amazon Türkiye ile ilgili verdiği kararı yayınladı. Şikayet üzerine resen başlatılan inceleme sonucunda verilen ve 27 Şubat 2020 karar tarihini taşıyan bu karar ile Amazon Türkiye hakkında toplamda 1.200.000.-TL idari para cezası uygulanmasına karar verildi. Karar ve ceza, veri ihlali ile ilgili olmayıp 6698 Sayılı Kanunun genel ilkeleri, aydınlatma yükümlülüğü ve açık rızaya ilişkin. Verilen cezanın, diğer kararlarda olduğu gibi, hangi kıstaslara göre belirlendiği karardan anlaşılmamaktadır.

Karara ilişkin link: https://kvkk.gov.tr/Icerik/6739/2020-173

Kararın, e-ticaret mevzuatı (6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliği) kapsamında alınmış olan ticari elektronik ileti onayının veri işleme faaliyetleri açısında yeterli olup olmadığı konusundaki tartışmaları, belirsizlikleri açıkça sona erdirdiğini ve bu nedenle önemli olduğunu söylemek mümkün. Kararda açık bir şekilde belirtildiği üzere, e-ticaret mevzuatı ticari elektronik ileti gönderilmesine ilişkin kuralları düzenlemektedir. E-ticaret mevzuatına uygun şekilde gerçekleştirilen ticari ileti gönderimi faaliyeti aynı zamanda kişisel verilerin işlenmesini de gerektirdiğinden bu veri işleme faaliyetinin KVK mevzuatına tabi olması gerektiği açıktır. Bu nedenle e-ticaret mevzuatı kapsamında alınan onayın, veri koruma mevzuatı açısından veri işleme faaliyeti bakımından bir hukuka uygunluk sebebi teşkil etmesi mümkün değildir. Bu nedenle elektronik ticari ileti onayının alındığı durumlarda başlayacak veri işleme faaliyeti için 6098 sayılı Kişisel Verilerin Korunması Kanunu’na uygun şekilde aydınlatma yapılması ve veri işleme bakımından bir istisna yok ise açık rıza alınması gerekmektedir.

Kararda ayrıca,

- veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekliliği,

- açık rıza dışında işleme nedenlerinin varlığı halinde açık rıza alınmasının, dürüstlük kuralına aykırılık şeklinde yorumlandığı,

- kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği,

- Web sitesinde yayımlanan “Gizlilik Bildirimi”nin birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği (yani veri işleme ile ilgili aydınlatmanın ayrı bir metin ile açık ve anlaşılır bir dil kullanarak yapılması gerektiği),

- sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınmasının ve de açık rızanın üyeliğin ve hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının; diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınmasının ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geleceği ve ayrıca hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı,

- işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun şekilde veri toplanması gerektiği,

- Kurul’un yeterli korumaya sahip ülkeleri henüz belirlemediği için yurt dışına aktarımın ancak veri sahibinin açık rızası ile yapılabileceği, açık rızanın en geç aktarma faaliyeti gerçekleştiği sırada alınması gerektiği, bundan sonra alınacak açık rızanın mevzuata uygun kabul edilemeyeceği,

- açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, “zımni irade beyanı” ile onay alınmasının mevzuata uygun kabul edilemeyeceği, açık rızanın, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve süresini de belirlemesini sağlayacağı, belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edileceği ve hukuken geçersiz olacağı,

- farklı veri işleme araçları (ör. Çerezler) kullanılarak web sitesi ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması (ör. pop-up mesajlar), yapılan işleme için izin verilmesine dair bir istemin yer alması (ör. Sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz) gerektiği,

hususlarına işaret edilmektedir.

Diğer Haberler

Sosyal Güvenlik Kurumunca Elektronik Ortamda Yapılacak Tebligata İlişkin Yönetmelik

FESİH YASAĞI VE ÜCRETSİZ İZİN UYGULAMALARININ SÜRESİ 30 HAZİRAN 2021 TARİHİNE KADAR UZATILDI

Yeni Koronavirüs (Covid-19) Nedeniyle Dışsal Etkilerden Kaynaklanan Dönemsel Durumlar Kapsamındaki Zorlayıcı Sebep Gerekçesiyle Yapılan Kısa Çalışma Ödeneği Yeniden Uygulanmaya Başladı

FESİH YASAĞI VE ÜCRETSİZ İZİN UYGULAMALARININ SÜRESİ 2 AY DAHA UZATILDI

Yeni Koronavirüs (Covid-19) Nedeniyle Dışsal Etkilerden Kaynaklanan Dönemsel Durumlar Kapsamındaki Zorlayıcı Sebep Gerekçesiyle Yapılan Kısa Çalışma Ödeneği Süresi Uzatıldı

FESİH YASAĞI VE ÜCRETSİZ İZİN UYGULAMALARININ SÜRESİ 2 AY DAHA UZATILDI

Yeni Koronavirüs (Covid-19) Nedeniyle Dışsal Etkilerden Kaynaklanan Dönemsel Durumlar Kapsamındaki Zorlayıcı Sebep Gerekçesiyle Yapılan Kısa Çalışma Ödeneği ve Başvuru Süresi Uzatıldı

Yeni Koronavirüs (Covid-19) Nedeniyle Dışsal Etkilerden Kaynaklanan Dönemsel Durumlar Kapsamındaki Zorlayıcı Sebep Gerekçesiyle Yapılan Kısa Çalışma Başvuru Süresi Uzatıldı