Kişisel Verileri Koruma Kurulu (“Kurul”), Kişisel Verileri Koruma Kanunu’na (“KVKK”) uymadığı gerekçesiyle Amazon Türkiye’nin 1.200.000,00.-TL idari para cezası ceza ödemesine karar vermiştir.

Kurul, kararında üç farklı ihlal çerçevesinde değerlendirme yapmıştır.

  1. Müşterilere Gönderilen Elektronik Ticari İleti İçin Açık Rıza Alınmaması

Elektronik ticari ileti gönderilmesine ilişkin olarak hukukumuzda özel bir düzenleme bulunmaktadır. Bu düzenleme Elektronik Ticaretin Düzenlenmesi Hakkında Kanunu‘dur. Diğer yandan bu Kanun’da hüküm bulunmayan hallerde KVKK uygulanacaktır.

Elektronik Ticaretin Düzenlenmesi Hakkında Kanun m. 5 hükmüne göre kullanıcılara elektronik ileti gönderilmesi önceden rızalarının alınmasına bağlıdır. Kurul tarafından yapılan incelemede Amazon Türkiye internet sitesinde gerçekleşen üyelik esnasında gerekli bilgilerin girilerek herhangi bir açık rıza vermeksizin üyelik gerçekleştirilmekte olduğu tespit edilmiştir. Üyelik sürecinin tamamlanmasının ardından üye olan kişiler elektronik ileti iznine onay vermiş şekilde rızaları alınmaksızın sisteme kaydedildikleri tespit edilmiştir.

Bu durumu kurul açık rızanın ilkesine aykırı olarak değerlendirmiştir.

“Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.”

  1. Kişisel Verilerin Yurt Dışında Aktarılması Bakımından

KVKK m.9, “(1)Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin

üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.” hükmünü içermektedir.

Kişisel Verilerin Korunması Kurumu henüz verilerin korunmasında güvenilir ülke isimlerini açıklamamış olduğundan ötürü yurtdışına yapılacak olan veri aktarımlarında yeterli korumaya ilişkin taahhüt vermek veya aktarıma ilişkin açık rıza almak gerekmektedir.

Kurul’un yapmış olduğu inceleme çerçevesinde Amazon Türkiye yurtdışına veri aktarımını sağlamak amacıyla Kurul’un onayını almak üzere taahhütname mektuplarını Kurul’a sunduğu görülmüştür. Ancak taahhütnamenin henüz inceleme aşamasında olmasından ötürü aktarıma ilişkin açık rıza alınması gerektiği fakat alınmadığı tespit edilmiştir.

Amazon Türkiye, müşterinin “Amazon Hesabınızı Oluşturun” sekmesine tıklayarak Gizlilik Bildirimini de kabul edildiği; aynı şekilde kayıtlı bir müşteri, site üzerinden sipariş verdiğinde kendisine Gizlilik Bildiriminin kabul edildiğine dair tekrar hatırlatma yapıldığı belirtilerek ilgili kişilerin açık rızasının alındığı savunmasını yapmıştır. Ancak Kurul, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceğini belirtmiştir.

Bu çerçevede, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda KVKK m.9/1 uyarınca ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun KVKK m. 12 uyarınca veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.

  1. Aydınlatma Yükümlülüğünün İhlali

Çerez kullanımı, veri sorumluları tarafından dikkatle tasarlanması gereken bir diğer veri işleme sürecini oluşturur. Amazon Türkiye internet sitesinde yayımlanan Gizlilik Bildiriminin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olduğu tespit edilmiştir. Anlaşıldığı üzere yapılan işleme faaliyeti site ziyaret edildiğinde başlamaktadır. Kurul’un kararında, siteyi ilk defa ziyaret eden bir kişinin henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması

düşünüldüğünde yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiğinin düşünülemeyeceği belirtilmiştir.

Bu nedenle, Amazon Türkiye’nin çerezler vasıtasıyla işlenen söz konusu kişisel verilere ilişkin aydınlatma yükümlülüğünü KVKK m. 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de düzenlendiği şekilde yerine getirmediği tespit edilmiştir.

  1. Hükmedilen Cezalar

Amazon’un ticari elektronik ileti gönderebilmek için açık rıza almamış olması,  KVKK m. 4 kapsamında belirtilen genel ilkelere aykırı hareket etmiş olması ve kişisel verilerin yurt içi ve yurt dışına aktarılması hususunda hukuka aykırı olarak hareket etmesi dikkate alındığında;

  • KVKK m. 12’nin ihlali nedeniyle 1.100.000,00.- TL;
  • KVKK m. 10’un ihlali nedeniyle 100.000,00.-TL

olmak üzere toplamda 1.200.000,00.-TL idari para cezası uygulanmasına karar verilmiştir.