Kişisel Verileri Koruma Kurulu, Amazon Türkiye’ye kişisel verileri hukuka aykırı işleme ve yurt dışına aktarma sebepleriyle 1.2 milyon TL ceza verdi.
Kişisel Verileri Koruma Kurulu, e-ticaret devi Amazon Türkiye temsilciliğine vermiş olduğu ceza ile yeniden gündeme geldi. Kurul, geçmişte Facebook, Dubsmash gibi büyük teknoloji devlerine de çeşitli para cezaları uygulamıştı. Kurul, Amazon Türkiye’ye iki farklı ihlalden ötürü 1.1milyon TL ve 100bin TL olmak üzere toplamda 1.2 milyon TL idari para cezası verdi.
[konulink link=”https://www.uskudar.av.tr/kvkk-facebook-turkiye-karari-tazminat/” linkbaslik=”Kişisel Verileri Koruma Kurulu Facebook Türkiye Kararı“]Aşağıdaki linkten Kişisel Verileri Koruma Kurulu’nun Facebook hakkında verdiği karara ilişkin yazımıza ulaşabilirsiniz.[/konulink]
Kişisel Verileri Koruma Kurumu tarafından yayınlanan 27/02/2020 Tarihli ve 2020/173 Sayılı Karar sayılı karar özetinde diğer elektronik ticaret şirketlerini de etkileyecek oldukça önemli açıklamalar yer alıyor. Kişisel Verileri Koruma Kurulu‘nun kararda yaptığı açıklamalar diğer veri sorumluları bakımından da bir rehber niteliğinde olacağını düşünüyorum.
Kişisel Verileri Koruma Kurulu Hangi ihlallerden ötürü ceza verdi?
Kurul kararında ihbar konusu üç farklı hususta yaptığı incelemelerle alakalı bunların “nasıl olması gerektiği” noktasına da dikkat çekiyor. Verilen cezayla ilgili olarak dikkat çeken noktalar açık rıza, aydınlatma yükümlülüğü ve yurt dışı aktarım konularında.
Mevzuata uygun bir açık rıza alınmaması
Karar da değinilen ilk hukuka aykırılık üyelik oluşturan müşterilere elektronik ticari ileti izni için açık rıza alınmaması noktasında meydana geliyor. Kişisel Verileri Koruma Kurulu tarafından yapılan incelemede Amazon Türkiye internet sayfasından gerçekleşen üyelik esnasında gerekli bilgilerin girilerek herhangi bir açık rıza vermeksizin üyelik gerçekleştiriliyor. Üyelik sürecinin tamamlanmasının hesap ayarlarına bakıldığında kişilerin otomatik olarak ileti iznine onay vermiş şekilde sisteme kayıt edildikleri tespit ediliyor. Bu durumu kurul açık rızanın ilkesine aykırı olarak değerlendiriyor.
Kurul açıklamalarında kanuna uygun bir şekilde ilgili kişilerden alınacak açık rıza beyanlarında şu hususa dikkat çekiyor: “Bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verilen ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistem kullanılmamalı. Bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekiyor.“
Diğer bir ihlal ise Amazon Türkiye’nin kişisel verilerin işlenmesini hizmet şartına bağlaması durumuyla ilgili. Kurul daha önce yayınladığı karar özetlerinde de özellikle şu hususu vurgulamaktaydı. Eğer diğer kişisel veri işleme şartlarından birisi var ise açık rıza alınmamalı. Burada da Sözleşmenin taraflarına ait kişisel veri işlenmesi durumunda ayrıca açık rıza alınmaması gerektiğini ve açık rızanın sözleşmenin bir koşulu olarak kişiye dayatılmaması gerektiği vurgulanıyor. Nitekim diğer kişisel veri işleme şartlarının varlığı durumunda açık rıza alınarak kişi yanıltılmış olmaktadır. İlgili kişinin yanıltılması ve yanlış yönlendirilmesi, veri sorumlusunca hakkın kötüye kullanılması anlamına gelmektedir. Ayrıca hizmetin açık rıza şartına bağlanmış olmasının da açık rızayı sakatlayacağı belirtmektedir.
Verilerin hukuka aykırı olarak yurt dışına aktarılması
Bilindiği üzere kurum halen güvenilir ülke listesini yayınlamadı. Bu sebeple Amazon Türkiye’nin kişisel verilerin yurt dışına aktarımı ile ilgili olarak önünde iki seçenek mevcuttu. Bunlardan ilki yeterli korumaya ilişkin taahhüt vermek veya aktarıma ilişkin açık rıza almak. Amazon’un vermiş olduğu taahhüt halen Kurum tarafından değerlendirme aşamasında. Doğal olarak bu aşamada KVKK Madde 9/1 kapsamında ilgili kişilerin açık rızasını alması gerekiyor. Ancak incelemede Amazon Türkiye’nin yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği tespit ediliyor. Kurul yalnızca hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olmasını Kanuna uygun bir açık rıza olarak nitelendirmiyor.
Aydınlatma yükümlülüğünün ihlali
Son olarak yapılan incelemede Amazon Türkiye internet sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olduğu tespit ediliyor. Bu nedenle bu bildirimin kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediğini, web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün yerine getirilmediğine karar veriliyor.
Ne kadar ceza verildi?
Bu hususlar kapsamında yaptığı değerlendirme ile Kurul;
- Amazon Türkiye’nin KVKK m.12’de yer alan Veri güvenliğine ilişkin yükümlülükleri kapsamında kişisel verilerin hukuka aykırı işlenmesini önleyememesi sebebiyle 1.100.000 TL,
- Amazon Türkiye web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi ve veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmemesi gerekçesiyle 100.000 TL
olmak üzere toplam 1.2 milyon TL idari para cezası uygulanmasına karar vermiştir.
[konulink2 link=”https://www.kvkk.gov.tr/Icerik/6739/2020-173″ linkbaslik=”Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti“]Aşağıdaki linkten kararın tamamına ulaşabilirsiniz.[/konulink2]
