İlgili (a)’da kayıtlı dilekçenize istinaden yapılan inceleme neticesinde alınan Kişisel Verileri Koruma Kurulu’nun 23.12.2022 tarih ve 2022/1358 sayılı Kararının ilgili taraflardan ve konudan bağımsız üçüncü kişilere ait kişisel verileri içeren kısımlarının maskelenmiş bir örneği ilişikte gönderilmektedir. Söz konusu Karar bugün tarihli yazımız ile veri sorumlusuna da gönderilmiştir.
Öte yandan, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 12’nci maddesi ile 7’nci maddesinin birinci ve ikinci fıkraları gereği, bahsi geçen Kurul Kararına karşı yazılı bildirimin yapıldığı tarihi izleyen günden itibaren altmış gün içerisinde idare mahkemelerinde dava açılması mümkün bulunmaktadır.
- Tarafların İddia ve Beyanlarının Özeti
- İlgili kişi tarafından 30.10.2020 tarihinde ilgili şirket tarafından işletildiği ifade edilen ilgili internet sayfası ile ilgili olarak Kişisel Verileri Koruma Kuruluna (Kurul) iletilen bir şikâyette özetle;
- İlgili internet sayfasına giriş yapıldığında sitede gerçekleştirilen çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı,
- Çerezlere ilişkin aydınlatma ve açık rıza yükümlülüklerinin Kurulun 27.02.2020 tarih ve ilgili sayılı Kararı ile teyit edilmekte olduğu,
- Siteye üye olan kullanıcılardan kimlik ve iletişim bilgileri talep edilmekle birlikte bu verilerin işlenmesine yönelik aydınlatma ve açık rıza metinlerinin sunulmadığı ve bu sebeple internet sitesini işleten şirketin (yukarıdaki Kurul kararına da atıf yapılarak) veri ihlali yaptığı,
- Üyelik açma sırasında kullanıcılara Kullanıcı Sözleşmesi sunulmakla beraber sözleşme içinde kişisel verilerin işlenmesine dair aydınlatmanın yer almadığı (Şikâyet ekinde internet sitesine ait ekran görüntüleri paylaşılmaktadır.)
- İlgili şirkete bu kapsamda başvuru yapılmakla beraber verilen cevabın yetersiz bulunması dolayısıyla Kurula şikâyet ihtiyacının doğduğu
ifade edilerek ilgili şirket hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) aykırı veri işlemesi sebebiyle idari para cezası uygulanması talep edilmektedir.
- Şikâyete yönelik yapılan inceleme sırasında, yukarıda isimleri verilenlerden yalnızca ilgili veri sorumlusuna başvuru yaptığının anlaşılması ve veri sorumlusu nezdinde başvuru şartını yerine getirmediğinin tespit edilmesi üzerine 22.12.2020 tarih ve Karar’da adı geçen sayılı Kurum yazısı ile ilgili başvurusu usuli açıdan reddedilmiştir. Bu bakımdan ilgili kişi olarak şikâyeti esas alınmıştır.
- Bu doğrultuda, konu hakkında Kurulun 03.02.2021 tarih ve ilgili sayılı Kararıyla inceleme başlatılmıştır. Veri sorumlusunun tespiti amacıyla bahse konu internet sitesinde irtibat adresi olarak belirtilen ilgili şirket hitaben ilgili mail adresine iletilen 17.03.2021 tarihli e-posta ile sitenin işletilmesinden sorumlusu şirketin unvanı, tebligat adresi ve diğer iletişim bilgileri talep edilmiş olup 19.03.2021 tarihli e-posta ile Kuzey Kıbrıs Türk Cumhuriyetinde ilgili şirkete ait iletişim bilgileri Kurumumuzla paylaşılmıştır.
- Yukarıda verilen bilgiler doğrultusunda ilgili şirket (veri sorumlusu) muhatap 24.03.2021 tarih ve ilgili karar sayılı Kurum yazısı ile veri sorumlusu yürütülen inceleme hakkında haberdar edilerek şikâyet başvurusunda yer verilen iddialara ilişkin olarak Kurumumuza bilgi verilmesi ve Veri Sorumlusu Tanıtım Formunun doldurularak Kuruma ulaştırılması talep edilmiştir.
- Veri sorumlusundan alınan 19.04.2021 tarihli (22.04.2021 intikal tarihli) yazıda özetle;
- İlgili internet sitesinin ilgili şirkete ait olmakla birlikte şirketin Türkiye’deki operasyonlarından farklı ilgili şirket’in sorumlu olduğu,
- İlgili kişinin kendilerine ilettiği sorularla ilgili olarak “Öncelikle tarafımız ile iletişime geçtiğiniz için teşekkür ederiz. Sitemizde diğer birçok sitede de yer alan Google Analytics ve türevleri gibi kullanıcı dönüşünü takip etmek üzere kullanılan yazılımlar bulunmaktadır. Bu durumun dışında veriler sadece gelecekte oluşabilecek dolandırma / dolandırılma gibi durumları önlemek amacıyla tutulmakta ve herhangi bir üçüncü parti kişi veya kurum ile paylaşılmamaktadır.” cevabının verildiği,
- İlgili kişinin kendilerine yaptığı başvuruda gerekli aydınlatma yapılmadığına ilişkin şikâyette bulunmasının ardından kendisine cevap verildiği, daha sonrasında ilgili kişinin kendilerine ulaşan ikinci bir talebinin bulunmadığı,
- Sitedeki KVKK aydınlatma metnine ilgili web adresinden ulaşılabildiği, bu metinde hangi verilerin hangi amaçlarla işlendiğine dair kapsamlı bir açıklama sunulduğu,
- Sitede satıcılar için satış yapma ön şartı olan telefon ve kimlik onay zorunluluğunu tamamlamalarının ardından bu verilerin satıcıların kendi kabulleri ile siteye girildiği ve bu bilgilerin yalnızca satış esnasında oluşan komisyon sözleşmesi sebebiyle alınmakta olduğu,
- Bu nedenle alınan bilgilerin yalnızca sözleşme kapsamından doğacak hukuki sorumluluk kaynaklı olarak talep edildiği ve satıcılar tarafından siteye iletildiği,
- Dolayısıyla ilgili kişinin şikayetinde kötü niyetli olduğu,
- İlgili kişinin site üzerinde bir sanal hesap satım işlemi gerçekleştirmesi neticesinde komisyon sözleşmesinden doğan sorumluluğun yanı sıra alıcının satış sonrası uğrayabileceği zararlardan doğacak rücu hakkından dolayı muhtemel hukuki sorumluluğa karşı bu verilerin korunmasının veri sorumlusu açısından zaruri olduğu ve nitekim bu hususta alıcı mağduriyeti bakımından halen takip edilen birçok dosyanın bulunduğu,
- Bu kapsamda internet sitesinde işlenen kişisel verilerin Kanun’un 5 inci maddesinin (2) numaralı fıkrasında yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanılarak işlendiği
ifade edilmektedir. Yazı ekinde ilgili kişinin veri sorumlusuna ilettiği başvurunun ekran görüntüsü ile Veri Sorumluları Sicil Bilgi Sistemi başvuru formunun bir örneği yer almaktadır.
III. İddia ve Beyanların Değerlendirilmesi
- Bilindiği üzere, Kanun’un amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”, kişisel verisi işlenen gerçek kişi; “veri sorumlusu” ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
- Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeleri düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmü yer almakta olup bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayılmaktadır.
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fikrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fikrasında ise Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümleri yer almaktadır.
- Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu belirtilmektedir.
- İlgili kişinin Kanun kapsamındaki hakları 11’inci maddenin (1) numaralı fıkrasında düzenlenmiş olup buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
- Şikayete konu olay, veri sorumlusunca işletilen ilgili iinternet sitesinde işlenen çerezlere ilişkin aydınlatma yapılmadığı, zorunlu olmayan çerezler için ilgili kişinin açık rızasının alınmadığı ve ayrıca siteye üye olunurken işlenen kimlik ve iletişim verileri kapsamında aydınlatma yükümlülüğünün yerine getirilmediği iddiasından ibarettir. Bu çerçevede şikâyete yönelik değerlendirmeler: “A- Çerezlere yönelik aydınlatma ve açık rıza yükümlülüğü” ile “B- Üyelik kaydı sırasındaki aydınlatma yükümlüğü” olmak üzere iki başlık altında yapılmıştır.
A.Sitede işlenen çerezler için aydınlatma yükümlülüğünün yerine getirilmediği ve zorunlu olmayan çerezler için açık rıza alınmadığı iddiası ile ilgili olarak;
- İlgili kişi şikayetinde, ilgili web siteye ilk girişte site tarafindan çerezler aracılığı ile gerçekleştirilen kişisel veri işleme faaliyetine ilişkin aydınlatma yapılmadığını ve zorunlu olmayan çerezler için site ziyaretçilerinin açık rızalarının alınmadığını belirtmektedir. Bu kapsamda sitenin çerez verisi işleyip işlemediğinin anlaşılması amacıyla ziyaret edildiğinde çok sayıda çerezin mevcut olduğu görülmekle birlikte bu kapsamda herhangi bir aydınlatma yapılmadığı, zorunlu olmayan ve kullanıcı hareketlerini reklam veya istatistik gibi amaçlar için takip eden çerezler için açık rıza alma yoluna gidilmediği tespit edilmiştir. Bu kapsamda veri sorumlusunun bahse konu internet sayfasında işlemekte olduğu çerez verilerine yönelik olarak kullanıcıların siteye ilk ziyareti sırasında Kanun’un 10’uncu maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
- Diğer taraftan Kurulun çerezler kapsamında işlenen kişisel verilerle ilgili almış olduğu 10.03.2022 tarih ve 2022/229 sayılı Kararında;
- Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
- “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
- “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği,
- Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği
ifadelerine yer verilmektedir. Bu kararın ilgili kişi şikayetinden ileri bir tarihte yayımlanmasına karşılık aradan geçen zaman süresince veri sorumlusunun site üzerinde gerekli düzenlemeleri yapmamış olduğu görülmektedir.
- Bu karardan hareketle zorunlu ve zorunlu olmayan çerez ayrımının veri sorumlusunca yapılmak suretiyle zorunlu olmayan reklam/pazarlama ve istatistik vb. amaçlı çerezler için henüz işleme faaliyeti gerçekleşmeden kullanıcıların açık rızalarının alınmasının sağlanması gerekmekte olup halihazırda veri sorumlusunca sitede gerçekleştirilen bu türden kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde düzenlenen kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğüne aykırı olduğu kanaatine varılmıştır.
- Bilindiği üzere, 5326 sayılı Kabahatler Kanunu’nun “İdari para cezası” başlıklı 17’nci maddesinin (7) numaralı fıkrasına göre idari para cezalarının her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanunu’nun mükerrer 298’inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılması gerekmekte olup; Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında uygulanabilecek idari para cezasının 2020 yılı için yeniden değerlenmiş alt limiti 27.040- TL olarak, üst limiti ise 1.802.636- TL olarak hesaplanmaktadır. Ayrıca, 5326 sayılı Kabahatler Kanunu’nun 17’nci maddesinde “(1) İdari para cezası, maktu veya nispi olabilir. (2) İdari para cezası, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebilir. Bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu birlikte göz önünde bulundurulur. (…)” denmektedir.
- Bu çerçevede veri sorumlusunca işletilen internet sitesinde Türkiye’den ve yurtdışından çok sayıda kullanıcının kişisel verilerinin işlendiği ve ticari faaliyetlere konu olan kişisel veri aktarımının kullanıcıların mahremiyeti açısından ciddi risk taşımakta olduğu anlaşılmaktadır.
- İlgili kişi şikayetinde site kullanıcılarının siteye üyeliği sırasında kullanıcılardan kimlik ve iletişim verilerinin talep edildiği ancak bu süreçte kişilere aydınlatma ve açık rıza metinlerinin sunulmadığı belirtilmekte ve şikâyet ekinde buna ilişkin 30.10.2020 tarihli ekran görüntüleri sunulmaktadır. Ekran görüntüleri incelendiğinde üyelik formunun bulunduğu sayfada kişisel verilerin işlenmesi ile ilgili olarak herhangi bir aydınlatma metninin bulunmadığı görülmektedir.
- Bununla beraber, şikâyetin Kurulca incelenmeye başlanmasının hemen ardından 10.03.2021 tarihinde sitede yapılan incelemede üyelik formunun bulunduğu sayfada “Gizlilik Politikası” başlığı altında kişisel verilerin işlenmesine yönelik bilgilendirici bir metne yer verildiği görülmüştür. Ancak bu bilgilendirme metninde Kanun’un 10’un maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine aykırı olabilecek birtakım hususlar göze çarpmıştır.
- Ancak bugün itibariyle sitede üyelik formunun bulunduğu sayfaya “KVKK Aydınlatma Metni” sayfasının eklendiği ve ilgili web sitesi bağlantısı altında site ziyaretçilerine yönelik aydınlatmada bulunulduğu tespit edilmiştir. Bununla birlikte bu metnin incelenmesinden;
- Kişisel veri kategorilerinin işleme amaçlarıyla eşleştirildiği görülmekle birlikte her bir veri kategorisi için Kanun’da yer alan hangi işleme şartlarına dayanıldığının belirtilmediği,
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 4’üncü maddesinin (1) numaralı fıkrasının (a) bendi uyarınca veri sorumlusunun Türkiye’deki temsilcisine ait bilgi verilmediği ve bu durumun Türkiye’de bulunan ilgili kişilerin yapacakları başvuru için zorluk teşkil edeceği,
- “Reklam/Kampanya / Promosyon Süreçlerinin Yürütülmesi” amacı kapsamında işlenen kişisel veriler için ilgili kişilerin açık rızalarının alınmadığı,
- “Satış Akdi Hallerinde Paylaşılan Bilgiler” başlığında belirtilen kişisel veri aktarımının alıcı grupları bakımından yeterli bilgi içermediği, site içerisinde yapılan işlemler neticesinde birtakım verilerinin işlenmesini peşinen kabul edileceğinin belirtildiği ve bu kapsamda sitenin Türkiye’deki kullanıcılarının yurt dışına aktarılacak verileri için açık rızalarının alınmadığı,
- Sitede işlenen kişisel verilerin farklı bir adreste tutulduğu ve Türkiye dışındaki kullanıcıların verilerinin Türkiye’ye aktarıldığı, bununla birlikte Türkiye’deki kullanıcılar için de yurt dışına aktarımın söz konusu olduğu
anlaşılmakta olup veri sorumlusunun aydınlatma yükümlülüğü bakımından hukuka aykırılıkların bulunduğu değerlendirilmiştir.
IV.Değerlendirmenin Hukuki Dayanağı
Kanun’un 10’uncu maddesi.
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 4’üncü maddesi.
V.Sonuç
İlgili internet sitesini işleten ilgili kişi hakkındaki iddiaları kapsamında Kurula
ilettiği 30.10.2020 tarihli şikâyetin incelenmesi neticesinde;
- Veri sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel veri işlendiği, bu durumun ise işlendiği Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklere aykırı teşkil ettiği dikkate alındığında veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fikrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
- Sitede çerezlerle işlenen kişisel veriler bakımından Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde ilgili kişilere yönelik aydınlatma yükümlülüğünün yerine getirilmesi ve sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
- Kullanıcılara sunulan kayıt formunun doldurulması sırasında işlenen kişisel verilerle ilgili olarak sitede aydınlatma metninin sunulmakta olduğu anlaşılmış olmakla birlikte söz konusu aydınlatma metninde tespit edilen eksikliklerin Kanun’un 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun biçimde düzenlenerek sonucundan Kurula bilgi vermesi yönünde veri sorumlusunun talimatlandırılmasına,
karar verilmiştir.