Yazıcıoğlu Legal is an Istanbul based boutique law firm.
The firm has a strong focus on legal matters related to TMT, Data Protection, Corporate, Commercial matters and Dispute Resolution. The firm is ranked by The Legal 500 on IT and Telecoms and by Chambers and Partners on TMT.
Kişisel Verileri Koruma Kurumunun internet sitesinde 7 Mayıs 2020 tarihinde yayınlanan Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki karar birçok önemli konuya değinmektedir.
Kişisel Verileri Koruma Kurumunun
("Kurum") internet sitesinde 7
Mayıs 2020 tarihinde yayınlanan Amazon Turkey Perakende
Hizmetleri Limited Şirketi ("Amazon
Turkey") hakkındaki karar
("Karar") birçok önemli
konuya değinmektedir.
Bu Karar özellikle "yurtdışına
veri aktarımı" ve
"çerezler" konusunda
verilmiş ilk karar olma özelliğini de
taşımaktadır.
Karara ilişkin değerlendirmemizi
aşağıda paylaşıyoruz.
Konu
Karar
Yorumumuz
A. Ticari İletişim
Her ne kadar ticari iletişim mevzuatı uyarınca,
ticari iletişim konusunda Ticaret Bakanlığı
yetkili olsa da Kişisel Verileri Koruma Kurulunun
("Kurul") da ticari iletişim
sürecinde işlenen kişisel verilerle ilgili yetkili
olduğu belirtilmiştir.
Amazon Turkey pazarlama amacıyla ticari ileti
göndermek için "açık rıza"
alması gerekirken bunu almadığı
görülmüştür.
Üye olunduktan sonra "Promosyon
E-postaları" sekmesinin altında önceden
işaretlenmiş kutucukların işaretlerinin
kaldırılması (opt-out) şeklindeki fonksiyonun
"açık rıza" kriterini
karşılamadığı, fonksiyonun kişinin
onay kutucuğunu bizzat işaretlemesi (opt-in)
şeklinde kurgulanmasının gerektiği
belirtilmiştir.
Üye olurken "Gizlilik Bildiriminin"
onaylanmış kabul edilmesinin, (i) aydınlatmanın
açık rıza alınması ile birlikte
yapılması, (ii) açık rıza gerektirmeyen
işleme faaliyetleri ilgili de açık rıza
alınması anlamına geleceği
değerlendirilmiştir. Bu durumun ve Gizlilik Bildiriminin
birçok bilgi içermesinin, veri işlemeye
ilişkin genel bir bilgilendirme olmasının
(diğer bir ifade ile tam bir aydınlatma metni
olmamasının) Kişisel Verilerin Korunması
Kanununa ("KVKK") aykırı
olacağı sonucuna varılmıştır.
Hukukumuzda ticari ileti gönderilmesi, ticari
iletişim mevzuatı uyarınca Ticaret
Bakanlığının, bu faaliyette işlenen
kişisel verilerle ilgili olarak da KVKK uyarınca Kurumun
denetimine tabi.
Bununla birlikte Kurulun yetkisi ve Ticaret
Bakanlığı'nın yetkisinin nerede
başlayıp nerede bittiği konusunda bir
açıklık bulunmuyor. Zira "Onay metninde,
olumlu irade beyanı önceden seçilmiş olarak
yer alamaz." hükmü ticari iletişimi
düzenleyen Ticaret Bakanlığı'nın
yönetmeliğinde yer alıyor.
Ancak karar metinden anladığımız
kadarıyla, Ticaret Bakanlığı'nın
kendisine aynı konu ile ilgili yapılan ihbarı KVKK
açısından incelenmek üzere Kurum'a
göndermiştir. Bu karar ile birlikte ticari iletişim
konusunda Kurum ve Ticaret Bakanlığı arasındaki
yetki paylaşımı belirsizliğini
korumaktadır.
Bunula birlikte gerek ticari iletişim
mevzuatı gerek KVKK uyarınca pazarlama amacıyla
ticari iletişimin "opt-in" yöntemi ile
alınması gerekmekte, ayrıca KVKK uyarınca
aydınlatma yapılması da gerekmektedir. Piyasada da
yerleşik uygulama bu şekildedir. Bu
çerçevede kurumlar arası yetki
paylaşımı belirsizliğini korumakla birlikte,
Kararın ticari iletişim ile ilgili olan
bölümünün herhangi bir sürpriz
içermediği
görüşündeyiz.
B. Dürüstlük Kuralı ve
Ölçülülük
Aşağıdaki ifadeler "sözleşmenin
ifası" hukuki dayanağına dayanılabilecek
hususlarda "açık rıza"
alınması suretiyle kullanıcıların
yanıltılması ve "hizmetin rıza
şartına bağlanması" nedeniyle
açık rızayı sakatlaması
gerekçesiyle, KVKK'nın genel prensiplerinden
"hukuka ve dürüstlük kuralına
uygunluk" ve "işleme amacı ile
bağlılık, sınırlılık ve
ölçülülük" ilkelerine
aykırı bulunmuştur:
"Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak
bu durumda Amazon Hizmetlerinin çoğundan
yararlanamazsınız." ya da
"Çerezlerimizi engellerseniz veya reddederseniz
alışveriş sepetinize ürün ekleyemez,
satın alma aşamasına geçemez veya oturum
açmanızı gerektiren herhangi bir Amazon hizmetini
kullanamazsınız."
Amazon Turkey'in toplandığını
belirttiği verilerden "arkadaşların ve
diğer kişilerin e-posta adresleri"nin ilgili
kişilerin açık rızası olmadan
işlendiği anlaşılmış ve KVKK'ya
aykırı bulunmuştur.
Amazon Turkey'in toplandığını
belirttiği verilerden "kredi geçmişi
bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal
bilgiler" ise işleme amacıyla KVKK uyarınca
işleme amacı ile "bağlantılı,
sınırlı ve ölçülü"
bulunmamıştır.
"Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak
bu durumda Amazon Hizmetlerinin çoğundan
yararlanamazsınız." ifadesinin gerçekten de
açık bir ifade olmadığı
görüşündeyiz. Örneğin burada
kastedilen lokasyon verisi verilmezse çevredeki indirimleri
görmemek midir, ya da yaş bilgisi verilmezse
kişiselleştirilmiş reklam mı
gösterilmeyecek midir? Kaldı ki bunların
"hizmet" olarak tanımlanması da
tartışmalıdır. Zira eğer kasıt buysa
bunlar pazarlama faaliyetidir ve ayrı bir açık
rızaya tabi olabilir. Bununla birlikte, bu cümleden yola
çıkarak, aydınlatma metninin açık ve
anlaşılır olmadığı elbette ileri
sürülebilir fakat doğrudan "hizmetin
açık rıza şartına
bağlandığı" sonucuna varılması
tartışmaya açıktır.
"Çerezlerimizi engellerseniz veya reddederseniz
alışveriş sepetinize ürün ekleyemez,
satın alma aşamasına geçemez veya oturum
açmanızı gerektiren herhangi bir Amazon hizmetini
kullanamazsınız." ifadesi de gerçekten
pazarlama çerezleri ve fonksiyonel çerezleri
ayırmadan bir beyanda bulunduğu ve fonksiyonel
çerezler için "açık
rıza"ya ihtiyaç olmayacağı için
dürüstlük kuralına aykırı kabul
edilebilir.
"Arkadaşların ve diğer kişilerin
e-posta adreslerinin" işlenme nedeni belirli
değildir. Fakat Gizlilik Bildirimi'nde "hediye
kayıtları oluşturma" da veri toplama
yöntemlerinden biridir. Eğer kastedilen
"kişinin arkadaşına hediye kartı
gönderilmesi için arkadaşının e-posta
adresinin kullanılması" ise bizce bu faaliyet
için açık rıza alınmasına gerek
yoktur; bu işleme "meşru menfaat" hukuki
sebebine dayalı olarak gerçekleştirilebilir. Fakat
her halükarda Gizlilik Billdirimi'nden bu husus da net
olarak anlaşılmamaktadır.
"Kredi geçmişi bilgileri, duruma ilişkin
bilgiler, kurumsal ve finansal bilgiler"e ilişkin ise
Gizlilik Bildirimi'nde bir dayanak göremedik. Zira burada
kastedilen dolandırıcılık (fraud)
faaliyetlerinin önlenmesi ise bunun da Gizlilik
Bildirimi'nde açıkça belirtilmesi
gereklidir.
Kararın bu bölümünden, Kurul'un
yayınlamış olduğu rehberlerde üzerinde
durduğu (i) toplanan verilerle veri işleme
faaliyetlerinin eşleştirilmesinin ve (ii) aydınlatma
metninin açık sade ve anlaşılır
olmasının çok büyük önem
teşkil ettiği bir kez daha görülüyor.
Eğer aydınlatma metinlerinde bu eşleştirme
yapılmazsa ve belirsiz, yanıltıcı ifadeler
kullanılırsa bu belirsizliklerden dolayı ceza
alınabileceği görülmektedir.
The content of this article is intended to provide a general
guide to the subject matter. Specialist advice should be sought
about your specific circumstances.