YURT DIŞINA VERİ AKTARIMINDA MİLYONLUK CEZA: KİŞİSEL VERİLERİ KORUMA KURULUNUN AMAZON KARARI

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 7 Nisan 2016 tarihinde yürürlüğe girmesinin peşi sıra yapılan yasal düzenlemelerle kişisel verilerin korunması hukuku alanında hemen her konu belirsizliğini yitirmiş olmasına rağmen yurt dışına veri aktarımı durumu bir türlü açıklığa kavuşturulamayarak büyük bir sorun haline gelmiştir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından konuyla ilgili adımlar atılmaktaysa da bunların mevcut durumu çözmek için yeterli olmadığı açıktır. Zira halihazırda yurt dışına veri aktarımı suretiyle gerçekleştirilen çoğu işleme faaliyetlerinin, konuyla ilgili belirsizlikler dolayısıyla hukuka uygun olması aslında teknik olarak mümkün değildir. Nitekim bu nedenle Kurulun yurt dışına veri aktarımı gerçekleştirilen veri sorumlusu hakkında bu kapsamda ihlal kararı veremeyeceği ve idari para cezasına hükmedemeyeceği gibi söylentiler de söz konusudur.

Ancak Kurul, bu söylentilerin aksine 7 Mayıs 2020 tarihinde Amazon Turkey Perakende Hizmetleri Limited Şirketi (Amazon) hakkındaki toplamda 1.200.000 TL’lik idari para cezası uygulanmasına ilişkin 27/02/2020 tarih ve 2020/173 sayılı Kararını (Karar) web sitesinde yayınlayarak, bu konuda yeni bir aşamaya geçmiş ve yurt dışına veri aktarımında idari para cezası verilmeyeceğine ilişkin düşüncelere de son vermiştir.

Yurt dışına veri aktarımına ilişkin hükümler ile konuyla ilgili atılan adımları kısaca hatırlayalım:

Kanun’un “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesi uyarınca yurt dışına veri aktarımı ilgili kişinin açık rızası olmaksızın gerçekleştirilemeyecek bir işleme faaliyetiyken; Kanun’un 5. ve 6. maddelerinde yer alan hukuki sebeplerden herhangi bir ve/veya birkaçının olması halinde bu aktarımın yapılması mümkündür. Ancak Kanun’un 9. maddenin 2. fıkrası kişisel verilerin aktarılacağı ülkeler bakımından bazı şartlar getirmiştir. Buna göre kişisel verilerin ilgili kişilerin açık rızası olmaksızın aktarılmasının hukuka uygun olması için kişisel verilerin aktarılacağı yabancı ülkede “a) yeterli korumanın bulunması” veya “b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması” şartlarının oluşması gerekir.

İlk olarak Kurul tarafından geçen dört (4) yıllık sürede hala yeterli korumanın bulunduğu ülkelerin yayınlanmaması büyük bir eleştiri konusudur. Kurul, 11 Haziran 2019 tarihinde, 02/05/2019 tarih ve 2019/125 sayılı kararıyla yeterli korumanın bulunduğu ülkelerin tayininde kullanılmak üzere oluşturulan form ile bu ülkelerin belirlenmesinde esas alınacak kriterleri yayınlamış olsa da bu ülkelerin hala açıklanmamış olması büyük bir eksikliktir. Nitekim bu eksikliğin neticelerini de söz konusu inceleme kararıyla görmekteyiz. Bu eksikliğin giderilmemesi halinde benzer kararları görmeye de devam edeceğiz.

Güvenli ülkelerin hala açıklanmamış olması dolayısıyla bu seçenek baştan söz konusu olmadığına göre bir veri sorumlusunun yurt dışına hukuka uygun bir şekilde veri aktarabilmesi için kendisinin ve yabancı ülkede bulunan veri sorumlusunun yeterli korumayı taahhüt etmesi ve Kurul’un da bu taahhütten sonra izin vermesi gerekir. Hatırlanacağı üzere taahhütnamede yer alacak asgari unsurlar Kurul tarafından 16 Mayıs 2018 tarihinde yayınlanmıştı. Böylece veri sorumlularının yurt dışına veri aktarımı yapabilmek için Kurul’dan izin almasının yolu açılmıştı. Ancak Kurula konuyla ilgili yapılan başvurulardan herhangi bir netice alınıp alınmadığını net bir şekilde bilemiyoruz.

Dolayısıyla veri sorumlusuna yurt dışına veri aktarım yapabilmesi için yalnızca açık rıza alma imkânı tanınmıştır. Peki ama bu uygulamada mümkün müdür? Küçük ölçekli veya yurt dışına aktarımın nadiren gerçekleştirildiği şirketlerde bunun gerçekleştirilmesi bir nebze mümkün gibi görünse de büyük ölçekli veya çok sayıda çalışanı olan veya doğrudan yurt dışıyla bağlantısı olan ve hemen her veriyi yurt dışına aktaran şirketler açısından açık rıza almak nasıl mümkün olacaktır? Bu soru, aldığı bulut hizmetleri yurt dışındaki sunucularda bulunan çok kullanıcılı kurum, kuruluş, şirket ve özel kişi veri sorumluları açısından da geçerlidir.

Öte yandan yurt dışına veri aktarımı sorununa ilişkin olarak Kurulun 10 Nisan 2020 tarihinde yayınlamış olduğu duyuruyla Bağlayıcı Şirket Kuralları’nı benimsediğine ilişkin attığı adımı da hatırlatmakta fayda var. Ancak bunun da birçok açıdan ülkemiz bakımından sorunları ortadan kaldıran uygun bir çözüm olduğunu söylemek son derece güç.

Kurul, konuyla ilgili son olarak 7 Mayıs 2020 tarihinde oldukça ses getireceğini ve tartışmalara konu olacağını düşündüğüm iki yeni gelişmeye adım attı: Veri sorumluları tarafından hazırlanacak taahhütnamelerde dikkat edilmesi gereken hususlara ilişkin bir duyuru yapıldı ve Amazon hakkında milyonluk ceza uygulanmasını içeren karar özeti yayınlandı. Bu yazının konusunu söz konusu Amazon kararı oluşturmakta. Yukarıda yurt dışı aktarımı sorununa ilişkin olarak yaptığım açıklamaları yayınlanan karar özetiyle bir arada okuyarak kararda varılmış olan kanaatleri değerlendirilmeye çalışacağım.

Kurul’un Amazon Turkey Perakende Hizmetleri Limited Şirketi Kararı (27/02/2020 tarih ve 2020/173 sayılı)

Kararın konusunu bir ihbar dilekçesi ve eki oluşturmaktadır.

1. İddia ve Savunmalar

Bu ihbar dilekçesinde özetle belirtilen hususlar ile Amazon tarafından Kurulun talebine istinaden verilen savunmalar şu şekildedir:

- Amazon’un tabi olduğu mevzuat bakımından

İhbar dilekçesinde hizmet sağlayıcı ve aracı hizmet sağlayıcı niteliğinde olan www.amazon.com.tr üzerinden yürütülen faaliyetlerin 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun hükümlerini ihlal ettiği belirtilmiştir.

Amazon ise ticari elektronik ileti hususuna ilişkin ihbarların dayanaktan yoksun olmasının yanı sıra konuyla ilgili taleplerin Ticaret Bakanlığı’na iletilmesi gerektiği ve Kurul’a saygı göstermekle birlikte konuya ilişkin usul ve esasların münferiden elektronik ticarete ilişkin mevzuat kapsamında düzenlenmiş olduğu, bu nedenle de ihbar edenin bu mevzuat kapsamındaki şikayet mekanizmasını kullanmak yerine şikayetini varsayımsal tahminlere dayandırarak yanlış Kurum’a iletmiş olduğu iddiasındadır.

- “Kullanım ve Satış Şartları” ile “Gizlilik Bildirimi” metinleri bakımından

İhbar edenin iddiasına göre web sitesinin “Kullanım ve Satış Şartları” sayfasında Amazon Europe Core SARL, Amazon Turkey Perakende Hizmetleri Limited Şirketi ve/veya iştirakleri ve Amazon.com.tr tarafından sunulan hizmetler toplu olarak Amazon Hizmetleri olarak adlandırılmış ve “Amazon Hizmetleri aracılığıyla kişisel bilgilerinizin nasıl toplandığını ve işlendiğini anlayabilmek adına lütfen Gizlilik Bildirimimizi ve Çerezler Bildirimimizi inceleyin.” ifadesine yer verilmiştir.

Ayrıca Elektronik İletişimler başlıklı birinci bölümde bireyler tarafından herhangi bir Amazon Hizmeti kullanılması halinde Amazon ile elektronik olarak iletişim kurulmuş olduğu, bu nedenle de sözleşmesel amaçlı olarak elektronik olarak iletişim almaya onay verilmiş olduğu ve elektronik olarak temin edilen tüm iletişim yöntemlerinin yasal gerekliliklere uygunluk gösterdiğinin kabul edilmiş olduğu düzenlenmiştir.

- Amazon, bu iddialara karşılık olarak Amazon Turkey’in müşterilerinin kişisel verilerini yürürlükteki mevzuata uygun işlemek konusunda şeffaflık sağlamak amacıyla “Kullanım Koşulları” ve “Gizlilik Bildirimi” metinlerini hazırlamış olduğunu belirtmiştir. Bundan sonra esasen ihbar edenin iddialarını teyit edecek şekilde hesap oluşturulduktan sonra kayıtlı müşterilerle Amazon ürün ve hizmetlerine ilişkin elektronik iletişim kurulduğu, hesabın oluşturulmasıyla Gizlilik Bildirimi’nin kabul edildiği ve müşteri tarafından sipariş verildiğinde de kendisine “Sipariş verdiğinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş olursunuz.” şeklinde hatırlatma yapıldığı şeklinde açıklama yapılmıştır.Hukuka aykırı olarak ticari elektronik ileti onayı alınması bakımından

İddiaya göre Amazon, hiçbir aşamada elektronik ticari ileti gönderebilmek için açık rıza almamakta ve herhangi bir hukuki sebebinin varlığına ilişkin açıklama yapmamaktadır. Bireyler alışveriş yapabilmek için üye hesabı oluşturmak zorunda ve bu sırada söz konusu ifadelerin yer aldığı Kullanım ve Satış Şartları’nı kabul etmek durumundadır. Böylece üye hesabı oluşturulmasıyla belirtilen ifadeler kabul edilmiş olur ve elektronik iletişim ticari izni de verilmiş olur.

Amazon’un ise buna karşılık olarak yukarıda ilgili metinler bakımından açıkladıkları dışında yalnızca kayıtlı müşterilerine ticari elektronik ileti almak istedikleri alanları kolayca seçmeleri, sınırlandırmaları veya diledikleri zaman ticari elektronik ileti almayı reddetmeleri için imkân sağladığı savunmasını yapabildiği görünmektedir.

- Hukuka aykırı olarak yurt dışına kişisel veri aktarılması bakımından

İhbar eden, web sitesinde yer alan “Gizlilik Bildirimi” sayfasının “Amazon Kişisel Bilgilerinizi Paylaşıyor mu?” kısmında kişisel verilerin Avrupa Birliği’ne ve Avrupa Birliği’nden Amerika Birleşik Devletleri’ne aktarılabileceği belirtilmiş olmasına rağmen hiçbir aşamada kişisel verilerin yurt dışına aktarılması için açık rıza alınmadığı iddiasındadır.

Amazon, buna karşılık da benzer savunmalarını sürdürerek müşterilerin Gizlilik Bildirimi’ni onaylayarak bu aktarımı kabul etmiş olduklarını ve yurt dışına veri aktarım taahhütnameleri ile ilgili Kurum ile görüşmeler yapılmakta olduğunu belirtmiştir.

Yukarıda belirtilen ihbar ve savunmalar Kurul tarafından değerlendirmeye alınmıştır. Bu arada ihbarda bulunan kişinin aynı zamanda Ticaret Bakanlığı’na yapmış olduğu başvurusunun da konunun KVKK çerçevesinde değerlendirilmesi talebiyle Kurum’a iletilmiş olduğunu belirtmekte fayda bulunmaktadır.

2. Kararın Esas Bakımından İncelenmesi

Yukarıdaki iddia ve savunmaların esas bakımından incelenmesi şu şekildedir:

- Kurul, ticari elektronik iletilere ilişkin hukuka aykırılıkları incelemeye yetkili midir?

Amazon kararı, elektronik ticaret mevzuatı ile 6698 sayılı Kanun arasında olan tartışmayı tekrar gündeme getiriyor. Olayda, Amazon tarafından hukuka aykırı olarak elektronik ticari ileti gönderildiği iddiası söz konusuyken Amazon tarafında ise bunun e-ticaret mevzuatı kapsamında incelenebileceği savunması var. Elektronik ticari iletilere ilişkin esas ve usuller temel olarak 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563 sayılı Kanun) ile Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliği (Yönetmelik) hükümleriyle düzenlenmiştir. Dolayısıyla elektronik ticaret mevzuatı ile kişisel verilerin korunması mevzuatının birbirinden iki ayrı mevzuat olduğu gayet açıktır. Nitekim her iki mevzuatın amaçları ve koruduğu hukuksal değerler birbirinden tamamen farklıdır; 6563 sayılı Kanun ile ilgili Yönetmelik elektronik ticareti düzenlemeyi korurken, 6698 sayılı Kanun bireylerin kişisel verilerin korunması hakkı özelinde bireyin temel hak ve özgürlüklerini korumaktadır.

Bununla birlikte her iki mevzuatın birbiriyle olan ilişkisi inkâr edilemez. Ancak bu noktada kişisel verilerin hemen her alanda korunması gereken bir alan olduğunu ve kişisel verilerin korunması hukukunun da multi-disipliner bir alan olması sebebiyle özellikle somut olayların incelenmesi 6698 sayılı Kanun ile diğer pek çok mevzuatın zaman zaman bir arada ele alınmasını gerektirir. Kurul’un yayınlamış olduğu kararlar hatırlanacak olursa, sağlık, bankacılık, telekomünikasyon mevzuatı gibi düzenlemeler örnek gösterilebilir. Ancak bu düzenlemelerin Kanun ile bir arada ele alınması tartışılmamaktadır. Peki neden?

Bunun temel sebebi şüphesiz elektronik ticaret mevzuatı ile Kanun arasındaki çelişkidir. Kanun, kişisel verilerin işlenmesi için herhangi bir ve/veya hukuki sebebin bulunmaması halinde ilgili kişinin açık rızasını arar. Anılan Yönetmelik de benzer yönde kişilere mal ve hizmet tanıtmak, pazarlamak, işletmeyi tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığı artırmak amaçlarıyla gönderilecek olan elektronik ticari iletilerini onay şartına bağlamıştır[1].

Buradaki sorun ise Kanun’un 5. maddesi uyarınca ilgili kişilerin açık rızası olmaksızın kişisel verilerinin işlenmesi mümkün olmadığına göre, Kanun kapsamında açık rıza olmaksızın reklam, pazarlama ve tanıtma benzeri faaliyetlerin gerçekleştirilemeyeceği ve dolayısıyla elektronik ileti de gönderilemeyeceği noktasındadır. Zira böylece Yönetmelik’in zorunlu tuttuğu onay ile Kanun ile öngörülen açık rıza karşı karşıya gelmektedir. Uygulamada bu husus Yönetmelik’e uygun olarak ticari elektronik ileti izni alınmasıyla çözülmektedir.

Ancak burada tartışılması gereken, söz konusu tartışma konusunun Kurul’un Amazon veya ticari elektronik iletilerin söz konusu olduğu diğer kararları da inceleme yetkisine olan etkisidir. Kurul’un inceleme yetkisi Kanun kapsamında olup; Kanun’un kişisel veriler bakımından oldukça genel bir düzenleme olması ve kişisel verilerin hemen her alanda düzenlemeye ihtiyaç duyması hususları göz önüne alındığında Kanun’un, dolayısıyla da Kurul’un pek çok alanla temas etmesi gerekir. Bu alan, her somut olay özelinde olayın ilgilendiği yasal düzenleme bakımından farklılık arz edecektir.

Somut olaya döndüğümüzde Kanun’un 5. maddesine göre veri sorumluları açık rıza olmaksızın kişisel veri işleyemez ve elektronik ticari ileti de pek çok farklı kişisel verinin işlenmesini içeren bir faaliyet olduğuna göre, elektronik ticari ileti de gönderilemez. Bu, somut olayda elektronik ticari ileti iken, bir başka olayda 5. maddeye uygunluk incelemesinin yapıldığı her bir kişisel veri işleme süreci bakımından farklılık arz edecektir. Zira 5. madde her alanda işlenen kişisel veriler açısından geçerli olup, 5. madde bakımından yapılan çoğu inceleme bir başka yasal düzenlemenin de dahil olmasını gerektirecektir, bu durumun Kurul’un dahil olan mevzuat bakımından inceleme yaparak yetkisini aştığı şeklinde yorumlanmaması gerekir. Dolayısıyla somut olayın konusu her ne kadar hukuka aykırı elektronik ticari ileti gönderilmesiyse de; konunun Kanun’un 5. maddesine aykırılık içermesi bakımından Kurul’un inceleme yetkisinin olduğunu düşünüyorum. Nitekim Kurul, 16.10.2018 tarih ve 2018/119 sayılı İlke Kararı ile de bu tür fiiller bakımından Kanun’un 18. maddesi uyarınca işlem tesis edeceğini belirtmiştir. Dolayısıyla bu noktada Kurul’un kararın “ticari elektronik iletilerin gönderilmesine ilişkin değil, kişisel verilerin işlenmesi süreçlerine ilişkin” olduğu şeklindeki açıklamalarına katılmakta ve Amazon’un savunmalarını haklı bulmamaktayım.

Öte yandan yukarıda belirtilen tartışma konusunun açıklığa kavuşturulması gerektiği ortadadır. Zira somut olayda Yönetmelik uyarınca hukuka uygun bir onay alınmış olmasına rağmen ayrıca Kanun kapsamında bir açık rıza alınmamış olması halinde Kurul’un ne şekilde bir karar vereceği belirsizdir. Böyle bir ihbar ve şikâyet karşısında veri sorumlusu iki ayrı rıza mı göstermelidir, yoksa tek bir onay almış olması halinde bu yükümlülüğünden kurtulacak mıdır?

- Elektronik ticari iletilerin gönderilmesinde açık rıza sorunu

Kurul, somut olaya konu olan elektronik ticari iletilerin hukuka aykırı olup olmadığı incelemesini Kanun’un 5. maddesi yönünden açık rıza kapsamında yaptığını görüyoruz. Bu noktada Yönetmelik uyarınca alınması gereken onay hususuna değinmemiş ve veri sorumlusunun açık rıza şartına uyup uymadığını denetlemiştir. Yapılan inceleme neticesinde, Amazon’a üyelik işlemleri tamamlandıktan sonra hesabım sekmesine gidildiğinde her ne kadar “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmişse de on adet başlığın zaten seçilmiş olarak varsayıldığı tespit edilmiştir. Bunun dışında ilgili bölümün en altında pazarlama e-postalarının alınmasını reddetmeye ilişkin kutucuğun olduğu görülmüştür.

Kurul, açık rıza kavramının tanımı gereği bireyin önceden onayı alınmaksızın kişisel verilerin işlenmesine otomatik onay verildiğinin varsayıldığı (opt-out) gibi bir yöntemin kullanılamayacağını ve bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği (opt-in) bir sistem kurulması gerektiğini belirtmiştir. Gerçekten, kişiye rızayı kaldırma imkanının verilmiş olması bu noktada bir anlam ifade etmemelidir. Kişi, kişisel verilerinin işlenmemesi için ayrıca bir çaba sarf etmemelidir. Kural olan kişisel verinin işlenmemesidir ve ancak işlenmesine rıza vermek için ayrıca bir harekette bulunulması gerekir. Veri sorumlusunun da açık rıza süreçlerini bu şekilde tasarlaması gerekir (privacy by design ve privacy by default / tasarım olarak ve varsayalın olarak kişisel verilerin [mahremiyetin] korunması ilkeleri).

Öte yandan Amazon’a üye olunmasıyla beraber otomatik olarak Gizlilik Bildirimi’nin kabul edilmesi ve Gizlilik Bildirimi’nde kişinin elektronik ileti gönderilmesini kabul etmiş olması şeklinde düzenlenen sistem, Kurul’a göre dürüstlük kurallarına aykırılık teşkil eder. Amazon, her ne kadar Gizlilik Bildirimi’nde ilgili kişilere konuyla ilgili detaylı bilgi vermiş olsa da, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştiği hallerde aydınlatma yükümlülüğü ile açık rıza alınması süreçlerinin birbirinden ayrı olarak gerçekleştirilmesi gerektiği ve aydınlatma yükümlülüğünün açık rıza alınması yükümlülüğünü ortadan kaldırdığı unutulmamalıdır.

Kurul, bu tespitler ışığında elektronik ticari ileti gönderilmesi kapsamındaki kişisel veri işleme faaliyetinin açık rıza olmaksızın gerçekleştirmiş olması sebebiyle Amazon’un, Kanun’un 12. maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varmıştır.

Amazon’un elektronik ticari iletilere ilişkin olarak tasarlamış olduğu sistemin kişinin kişisel verilerinin korunması hakkına aykırılık teşkil ettiği açıktır. Dolayısıyla Kurul’un bu bakımdan varmış olduğu ihlal kanaatine katılmakla birlikte yukarıda da belirtmiş olduğum gibi Yönetmelik ve Kanun uyarınca iki farklı onay/rızanın alınıp alınmaması gerektiği hususunun açıklığa kavuşturulması yönündeki eleştirimi de tekrar ediyorum.

- Somut olayın genel ilkelere uygunluğunun denetlenmesi

Kanun’un kişisel verilerin işlenmesine ilişkin genel ilkelerin belirtilmiş olduğu 4. maddesi kişisel verilerin korunması hukukuna ilişkin temeli oluşturmakta ve veri sorumlusu tarafından gerçekleştirilen bütün ihlaller aynı zamanda bu ilkelerin de ihlal edilmesi anlamına gelmektedir. Ancak bu ilkelerin somut bir kuraldan ziyade soyut bir alanı ifade etmesi ve esasen bu alanın felsefesini oluşturması sebebiyle esas olarak veri sorumlusunun dürüstlük kuralları ile temel ilkelere aykırı uygulamalarında gündeme gelerek ayrıca bir incelemeyi de gerektirir. Somut olayda da Amazon tarafından tasarlanan sistem ile yürürlüğe konulmuş metinler Kurul’un bu yönden de bir inceleme yapmasına neden olmuştur.

Amazon’un Gizlilik Bildirimi üzerinde yapılan inceleme neticesinde bu metinde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız” ve “Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız” ifadelerini kullandığı tespit edilmiştir. İlk olarak kişinin Amazon hizmetlerinden yararlanabilmek için kişisel verilerinin işlenmesinin zaten zorunlu olması hali sözleşmenin taraflarına ait verilerin işlenmesi hukuki sebebinde dayanmakta olup; bu halde açık rıza alınması Kurul’un yerleşmiş kanaati uyarınca ilgili kişiyi yanıltacağından ve yanlış yönlendirilmesine neden olacağından hakkın kötüye kullanılmasıdır. İkinci olarak ise çerezlerin engellenmesi halinde ilgili kişinin hiçbir şekilde hizmetten yararlanamayacağı şeklinde bir düzenleme açık rızanın hizmet şartına bağlanması anlamına gelir. Bu da Kurul’un henüz ilk yayınladığı kararlardan bu yana açıkça ortaya koyduğu bir husustur. Kurul, Amazon’un bu kapsamda genel ilkelerden hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırı hareket ettiğine kanaat getirmiştir.

Kurul, Amazon’un topladığı kişisel veri türleri bakımından yaptığı incelemede ise kişisel veri süreçlerinde işlenmesi zorunlu olmayan ilgili kişilere ait “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler” gibi verilerin toplandığını tespit etmiştir. Bununla birlikte ilgili kişinin temas kişilerine ait e-posta adresleri bu kişilerin açık rızalarına dayanmaksızın işlenmektedir. Amazon bu açıdan da hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırı hareket etmiştir.  

- Kişisel verilerin yurt içinde aktarılması bakımından

Veri sorumlusunun aktarım süreçlerinin hukuka uygunluğunun tespiti için inceleme konusu yine söz konusu Gizlilik Bildirimi’dir. Aktarıma ilişkin süreçler “Amazon Kişisel Bilgilerinizi Paylaşıyor Mu?” başlığı altında açıklanmıştır. Burada yapılan incelemede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesi tespit edilmiştir.

Bu ifadede birden fazla hukuka aykırılık söz konusudur: Öncelikle aktarım yapıldıktan sonra ilgili kişiye bildirim yapılmasından ve bu bildirim neticesinde ilgili kişinin aktarım yapılmamasını seçme şansı olması demek, aktarım yapıldıktan sonra ilgili kişiye buna ilişkin aslında tam açık rıza alınması anlamına gelmeyen, varsayılan rızayı reddetme şansı türünde bir bildirim gönderileceğidir. İlgili kişinin varsayıma dayalı olarak, açık rızası varmış şeklinde kabul edilmiştir, kaldı ki gönderilen bildirim açık rızanın alınmasına ilişkin hukuka uygun bir metin olsa dahi aktarım yapıldıktan sonra alınan rızanın bir geçerliliği olmadığı gibi bu kişisel verilerin korunması hukuku bakımından hukuka aykırıdır. Zira açık rıza alınması gereken zaman bakımından en geç kişisel verilerin işlenmesinin başlangıç aşamasında gerçekleştirilmesi gereken bir süreçtir. Dolayısıyla veri sorumlusunun aktarımı gerçekleştirdikten sonra, varsaymış olduğu rızanın geri alınabileceği şeklinde bir bildirim göndermesinin hiçbir pratik ya da hukuki anlamı olmayıp hukuka aykırı bir uygulamadır.

Kurul, bu kapsamda yaptığı inceleme neticesinde “kişisel verilerin aktarılmasına ilişkin gizlilik bildiriminde yer alan muğlak ifadeler, aktarıma ilişkin Kanun hükümlerine aykırı hareket edildiği kanaati uyandırmaktadır” şeklinde bir karara ulaşmıştır.

Amazon’un söz konusu uygulaması nedeniyle hukuka aykırı hareket ettiği açıktır. Kaldı ki Kurul’un ulaştığı kanaatlerde yayınladığı karar özetlerinden çok daha geniş bir incelemede bulunduğu ve dahası veri sorumlusuyla konuyla ilgili gerekli iletişimi sağlayarak detaylı bir şekilde bilgi sağladığını düşünmekteyim. Bununla birlikte karar özetlerinde yer alan “anlaşılmaktadır” veya “uyandırmaktadır” şeklinde ibareler konunun uygulayıcıları nezdinde Kurul’un yeterli bir inceleme yapmadığı ve özellikle veri sorumlusuyla gerekli ve yeterli irtibatı sağlamadığı şeklinde bir izlenim uyandırmaktadır. Bu şekilde bir karar verme mekanizması olmadığını ve yalnızca bunların yanlış ifadeden kaynaklandığını düşünmekle birlikte bu noktalarda dikkatli olunması gerektiğinin de yeri gelmişken altını çizmeliyim.

- Kişisel verilerin yurt dışında aktarılması bakımından

Yukarıda da belirtildiği gibi Amazon kararının en önemli noktalarından biri kişisel verilerin yurt dışına aktarımına ilişkin kısmıdır. Nitekim hükmedilen idari para cezasının özellikle bu bakımdan söz konusu olduğu anlaşılmaktadır. Konuyla ilgili belirsizlikler ve eleştiriler yukarıda belirtilmiş olduğundan burada yalnızca somut olay bağlamında Kurul’un kanaatlerini değerlendireceğim.

Kararda, Amazon’un taahhütname mektuplarının Kurul’a sunmuş olduğu ancak Kurul tarafından henüz bu yönde bir karar verilmediği açıklanmış olup; yukarıda ifade ettiğim gibi böyle bir durumda yeterli korumanın olduğu ülkelerin de henüz yayınlanmamış olması sebebiyle veri sorumlusunun yurt dışına veri aktarım için tek imkanının açık rıza almak olduğu belirtilmiştir.

Bununla birlikte Amazon tarafından hukuka aykırı olarak yurt dışına veri aktarımı yapıldığı iddiasına karşılık olarak ileri sürülen savunmalar, (hesap oluşturulmasıyla Gizlilik Bildirimi’nin de kabul edilmiş olması ve metinle aktarımın da kabul edilmiş olması ancak sipariş sırasında Gizlilik Bildirimi’nin kabul edildiğine ilişkin hatırlatmanın yapılması) Kurul tarafından zımni irade beyanı ile onay alınması nedeniyle mevzuata aykırı olarak değerlendirilmiştir. Öte yandan çerezlerin kullanımı, kişisel verilerin aktarılması gibi Amazon’un verileri işlemesi kapsamına giren bütün fiillerin, tek bir rıza beyanı ile onaylanması “battaniye rıza” olarak ifade edilen belirli bir konu ile sınırlandırılmamış olan genel nitelikli rıza anlamına gelmekte olup, bu tür bir rızanın Kanun’a uygun olması mümkün değildir.

Kurul’a göre mevcut durumda Amazon’un yurt dışına aktarım faaliyeti gerçekleştirmek için açık rıza almak yükümlülüğü altında olmasına rağmen hukuka uygun bir açık rıza alınması yoluna gidilmemesi ve sırf Amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımı Kanun’un veri güvenliğine ilişkin 12. maddesine aykırıdır.

Kurul’un “mevcut durumun göz önünde bulundurulmasıyla” ulaşmış olduğu neticeye katılmakla birlikte mevcut durumun veri sorumluları açısından yarattığı zorluğun da göz ardı edilmemesi gerektiğini düşünüyorum. Zira, yukarıda belirtildiği gibi Kanun’un yayınlanmasından bu yana dört yıldan fazla bir süre geçmiş olmasına rağmen konuyla ilgili belirsizliklerin devam etmesi veri sorumlularının yurt dışına aktarım süreçlerini tasarlamalarını zorlaştırmaktadır. Mevcut düzenlemeler bakımından izlenebilecek tek yöntemin açık rıza olduğu gerekçesi, veri sorumlusunun yükümlülüklerini yerine getirmediği kanaati için yeterli olmamalıdır. Zira özellikle bazı veri sorumluları açısından imkansıza yakın olanı isteyip, bunu yerine getirmediği için ihlal kararı vermek doğru bir yaklaşım olmamalıdır. Amazon’un bu bakımından açık hukuka aykırılık barındırdığı inkâr edilemez bir gerçekken; söz konusu durumun kişisel verilerin korunması hakkının özüne zarar vermeme koşuluyla uygulamayı rahatlatacak şekilde netleştirilmesi gerektiği de unutulmamalıdır.

- Aydınlatma yükümlülüğü bakımından

Amazon’un kişisel veri işleme süreçleri son olarak veri sorumlusunun aydınlatma yükümlülüğü çerçevesinde incelenmiştir. Aydınlatma yükümlülüğünün incelendiği kısım ise çerezlere ilişkin işleme faaliyetidir. Yukarıda belirtildiği gibi sunulan hizmetler toplu olarak Amazon Hizmetleri olarak adlandırılmakta ve Amazon’un Kullanım ve Satış Şartları metninde web sitesinin ziyaret edilmesiyle birlikte kişisel verilerin işlenmeye başlandığı belirtilmektedir. Bu bakımdan işlenen çerezlerin ise “siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) olduğu ifade edilmiştir.

Dolayısıyla kişinin hiçbir hizmetten yararlanmaksızın sırf Amazon’un web sitesini ziyaret etmesiyle birlikte bu veriler işlenmektedir. Bu bilgilendirme metinlerde yer almakla birlikte, kişinin bu bilgileri görmesi için özellikle metinlere giriş yapmasının gerektiği, bunun dışında söz konusu bilgilendirmelerin pop-up mesaj gibi yöntemlerle kişinin karşısına çıkmadığı tespit edilmiştir. Ancak kişinin, sırf bir web sitesine giriş yapması dolayısıyla bu verilerinin işlendiğini bilebilmesi de Kurul tarafından mümkün görünmemiştir. Dolayısıyla Amazon tarafından bu yönden yapılan işleme açısından hukuka uygun bir aydınlatma yapılmadığına ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (Tebliğ) hükümlerinin ihlal edildiğine kanaat getirilmiştir.

Çerez kullanımı, veri sorumluları tarafından dikkatle tasarlanması gereken bir diğer veri işleme sürecini oluşturur. İlgili kişinin kişisel verilerinin işlendiğini tahmin etmesi ve buna ilişkin bilgi edinmek için özellikle çaba sarf etmesi beklenemez. Dolayısıyla çerez kullanımı açısından ilgili kişiye yapılacak olan bilgilendirme, ilgili kişin web sitesini ziyareti ile birlikte aynı anda yapılmalıdır. Böylece aydınlatma yükümlülüğü, en geç kişisel verilerin işlenmesi sırasında yerine getiriliş olacaktır. Ayrıca bu açıdan dikkat edilmesi gereken bir diğer nokta, konuyla ilgili sisteminde ilgili kişinin tüm çerezleri kabul etmesi şeklinde değil, farklı türdeki çerezleri opt-in şeklinde katmanlı olarak kabul etmesi şeklinde tasarlanmasıdır. Web sitesinin çalışması için zorunlu olan çerezler kendiliğinden seçilmişken; analiz ve performans, istatistik veya reklam ve pazarlama amacıyla toplanan çerezlerin işlenmesi ise ilgili kişinin onayına bırakılmış bir şekilde boş bırakılmalıdır. Böylece Kanun’a ve özellikle çerezlerin işlenmesi ile ilgili Avrupa ilkelerine uyum sağlanmış olacaktır.

3. Amazon Hakkında Hükmedilen Cezalar

Yukarıda yapılan açıklamalar ışığında Kurul tarafından Amazon hakkında hükmedilen cezalar şu şekildedir:

- Amazon’un ticari elektronik ileti gönderebilmek için açık rıza almamış olması, Kanun’un 4. Maddesinde belirtilen genel ilkelere aykırı hareket etmiş olması ve kişisel verilerin yurt içi ve yurt dışına aktarılması hususunda hukuka aykırı olarak hareket etmesi dikkate alındığında Kanun’un veri güvenliğine ilişkin yükümlülükleri düzenleyen 12. maddesini ihlal ettiğine kanaat getirilen Amazon hakkında Kanun’un 18. maddesinin 1-b bendi uyarınca 1.100.000 TL;

- Çerezlerin işlenmesine ilişkin aydınlatmanın usulüne uygun olarak yerine getirilmemesi dolayısıyla Tebliğ hükümleri ile Kanun’un 10. maddesi kapsamındaki aydınlatma yükümlülüğüne aykırı hareket ettiğine kanaat getirilen veri sorumlusu hakkında Kanun’un 18. maddesinin 1-a bendi uyarınca 100.000 TL,

olmak üzere toplamda 1.200.000 TL idari para cezası uygulanmasına karar verilmiştir.

- Ayrıca Amazon’un tespit edilen ihlaller bakımından ihlale konu olan metinlerini güncelleyerek web sitesini ve uygulamalarını Kanun’a uygun hale getirmesi ve bunun sonucunda Kurul’a bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

Sonuç

Öncelikle söz konusu karar, bu kadar detaylı olması ve aynı anda birden fazla tartışmalı konuyu el alması bakımından önemlidir. Öte yandan hem elektronik ileti gönderebilmek için ayrıca KVKK açısından açık rızanın aranıyor olmasını belirtmesi, hem çerez politikalarının belirlenmesi ve bu konuda yapılan aydınlatmaların yetersiz olduğunu belirtmesi açısından önemlidir.

Ancak bana göre en önemli iki husustan ilki açık bir şekilde başlangıçtan itibaren ve varsayılan olarak mahremiyet ilkesini açıkça ifade etmiş olmasıdır. Budan sonra elektronik ticaret yapan şirketlerin düzgün bir aydınlatma ile tüm seçimleri veri ilgilisi olan müşterilerine bırakması gerekmektedir.

Diğer en önemli konu ise “yurt dışına veri aktarımına şu an için ceza verilmiyor” şeklindeki söylentilere de bu karar ile bir son verilmiş olmasıdır. Güvenli ülkeler açıklanmamasına rağmen, çerezlerin kullanımının yurt dışına veri aktarımı olduğu kabul edilmiş (ki gerçekten de durum budur) ve mevcut düzen içindeki seçenekler kullanılmadığı için Amazon gibi günlük yaşamda herkesin kullandığı bir şirkete Türkiye ölçeğinde ciddi bir ceza verilmiştir.

Buna karşın bazı soruların yanıtı hala belirsizdir. Elektronik iletilerde veri sorumluları hangi kanuna ve yönetmeliğe dayanarak hareket edeceklerdir? Her mevzuat için ayrı onay ve rıza alınması ticari yaşamın ve hayatın günlük akışının gerçeklerine ne kadar uygundur? Yurt dışına veri aktarımı taahhüdüne ilişkin bir duyuru yaptıktan hemen sonra bu şekilde ciddi yaptırım içeren bir karar vermek hakkaniyete ne kadar uygundur? Henüz hiçbir taahhüt kabul edilmemişken, BŞK yeni açıklanmışken ve tüm dünya çerezlerin işlenmesi gibi yurt dışına veri aktarımına yol açan sistemlerle ticari ve günlük yaşamını yönlendiriyorken, verilecek bir idari para cezası ile bunun engellenmesi (hele bu ticaretten elde edilen kar ile verilen cezanın miktarı düşünüldüğünde) ne kadar gerçekçidir? Büyük şirketlerin bir şekilde bu politikalara uyum sağlanması söz konusu olabilse de orta ve küçük ölçekli işletmeler sınırlı bütçelerle bunlara nasıl uyum sağlayacaktır?

Görüldüğü üzere, belki Kurul’un bugüne kadar vermiş olduğu en güzel ve detaylı kararlardan biri olmasına rağmen kişisel verilerin korunması alanında hala pek çok soru yanıt beklemektedir. Umarım sektördeki oyuncular ve veri ilgililerinin menfaatlerinin ortak bir paydada buluştuğu gerçekçi çözümler bir an önce oluşturulur.

Murat Volkan Dülger*

-----------------------------------

*     Doç. Dr., İstanbul Aydın Üniversitesi Hukuk Fakültesi Ceza ve Ceza Muhakemesi Hukuku Anabilim Dalı, Avukat,

[1]     Ticari elektronik iletiler ve onay

MADDE 5 – (1) Hizmet sağlayıcının, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği ticari elektronik iletiler için kendisi tarafından önceden onay alınır. Onay, reddetme hakkı kullanılıncaya kadar geçerlidir.

Onayın alınması

MADDE 7 – (1) Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.

Kişisel verilerin korunması

MADDE 12 – (2) Kişisel verilerin; üçüncü kişilerle paylaşılabilmesi, işlenebilmesi ve başka amaçlarla kullanılabilmesi için ilgili kişiden önceden onay alınması gerekir.