Kuruma intikal eden şikâyette özetle;
- İlgili kişinin e-ticaret sitesi üzerinden alışveriş yapacağı sırada ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kredi/banka kartı bilgilerini kaydetmesinin talep edildiği, ilgili kişinin siteden alışveriş yapabilmesi için kredi/banka kartı bilgilerini kaydetmesinin zorunlu tutulduğu ve ilgili bilgiler girilmeksizin “devam et” butonlarının işlemediği ve alışveriş yapılmasının mümkün olmadığı,
- Veri sorumlusu tarafından kredi/banka kartı bilgilerinin kaydedilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında geçerli bir veri işleme şartı bulunmadığı, ilgili kişinin veri sorumlusuna verilmiş bir açık rızası da olmadığı,
- Öte yandan ilgili kişiye bu işlemeye ilişkin bir aydınlatma da yapılmadığı
belirtilerek aracı hizmet sağlayıcı hakkında Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;
- Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyet gösteren şirketin, ödeme işlemlerinin tamamlanması amacıyla fatura adresi ve kredi/banka kartı bilgilerini (kart numarası, kart sahibinin adı, soyadı ve son kullanma tarihi) işlediği,
- Herhangi bir hesap oluşturmadan ve müşteri olmadan internet sitesinde gezinebilmenin mümkün olduğu, müşterilerin hesap oluşturmadan önce ya da hesap oluşturma aşamasında herhangi bir şekilde cüzdanlarına kredi kartı bilgilerini eklemelerinin talep edilmediği ancak Türkiye’deki diğer perakende şirketlerin çevrimiçi pazaryerlerinde olduğu gibi, veri sorumlusunun müşterilerin siparişlerine ilişkin ödemelerini alabilmek için ödeme bilgilerine ihtiyaç duyduğu,
- Bir müşterinin internet sitesi üzerinden satın alma işlemi gerçekleştirmek istediğinde eğer cüzdanında herhangi bir ödeme aracı yer almıyorsa bu durumda ödemeye devam et seçeneğini seçmeden önce cüzdanına kart bilgilerini eklemesi gerektiği, bu bilgilerin ödemenin müşterinin talebine uygun şekilde alınabilmesi amacıyla kullanıldığı, kart bilgilerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü kapsamında işlendiği,
- Müşteri bir satın alma işlemini tamamladığında Şirketin bu işleme ilişkin bilgileri 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında hem hizmet sağlayıcı hem de aracı hizmet sağlayıcı sıfatıyla üstlenmiş olduğu hukuki yükümlülükleri yerine getirebilmek adına işlediği, söz konusu süreç kapsamında kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) maddesinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı kapsamında işlendiği,
- Bunun yanı sıra Şirketin kart bilgilerini;
- Müşterilerinin, Şirketin ve diğer kişilerin güvenliğini korumak adına dolandırıcılığı ve suiistimali tespit edebilmek için Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmüne istinaden,
- Müşterinin Şirkete ait internet sitesinde Premium müşteri olması halinde aylık Prime üyelik ücretini tahsil edebilmek adına Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmüne istinaden işlediği,
- Ödeme aracı bilgilerini eklemiş olan müşterilerin, hesap ayarlarından diledikleri zaman kartlarını kaldırabildikleri ve bilgilerini değiştirebildikleri, bu durumun, müşterilerin hesapları üzerinde sahip oldukları kontrol yetkisini gösterdiği, kart bilgilerini cüzdanlarından kaldırmayı tercih etmeyen müşterilerin aynı bilgileri tekrar girmeye ihtiyaç duymadan sonraki satın almaları kolaylıkla yapabildikleri,
- Müşterilerin ödeme aracı bilgilerinin profil sayfası üzerinden incelenebildiği, ödeme aracı bilgilerinin düzenlenebildiği ve tamamen kaldırılabildiği, ödeme aracının kaldırılması durumunda müşterinin internet sitesi üzerindeki hesabını kullanmaya devam edebildiği,
- Şirketin veri işleme faaliyetlerine ilişkin olarak ilgili kişilere karşı aydınlatma yükümlülüğünü açık bir şekilde yerine getirdiği, Gizlilik Bildiriminde, ödeme süreçlerinin yürütülmesi için ödeme bilgilerinin işlendiğinin belirtildiği, Gizlilik Bildiriminin, Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun şekilde yayınlandığı, bu metnin, müşterilerin internet sitesinin ziyaret ettikleri her sayfanın altında, hesap oluşturma sayfasında ve oturum açma sayfasında yer aldığı, bu sayede müşterilerin kişisel verilerini Şirket ile paylaşmadan önce bu metni inceleyebildikleri,
- Bu kapsamda Şirketin kişisel veri işleme faaliyetlerini Kanun’a uyumlu şekilde yürüttüğü
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 11/04/2023 tarihli ve 2023/567 sayılı Kararı ile;
- İlgili kişinin iddiaları ve veri sorumlusunun beyanlarının teyit edilmesi amacıyla veri sorumlusunun şikâyete konu internet sitesinde jenerik bir hesap oluşturulması ve sipariş verilmeye çalışılması suretiyle sistemin test edildiği,
- Satın alma işleminin ikinci adımı olan “Bir Ödeme Aracı Ekleyin” adımında “kredi kartı veya banka kartı ekleyin” bölümünün yer aldığı, bu bölüme tıklandığında açılan pencerede, kart bilgilerinin girilebileceği alanların yan tarafında “iptal et” ve “kartınızı ekleyin” şeklinde iki seçenek olduğu, “iptal et” seçeneğine tıklanması durumunda ödemenin gerçekleştirilememesi nedeniyle alışverişin tamamlanamadığı, “kartınızı ekleyin” seçeneği tıklandığında ödeme aracı olarak bilgileri girilen kartın eklendiği ve satın alma aşamalarında sonraki aşamaya ancak bu bilginin girilmesi ile geçilebildiği, ödeme yapıldıktan ve sipariş tamamlandıktan sonra ise “Hesabım-Cüzdan-Kartlar ve Hesaplar” bölümünde tamamlanan siparişin ödenmesi amacıyla zorunlu olması sebebiyle kaydedilen kart bilgilerinin halen kayıtlı olduğunun görüldüğü, bu bölümde “düzenle” seçeneğine tıklanarak ilgili kart bilgilerinin cüzdandan kaldırılabildiğinin anlaşıldığı,
- İlgili kişinin iddiası ile uyumlu şekilde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiğinin anlaşıldığı,
- Alışverişin tamamlanması için kart bilgilerinin kaydedilmesinin zorunlu olması ve önceki alışveriş için veri sorumlusunun internet sayfasına girilen kart bilgilerinin alışverişin tamamlanmasının ardından kayıtlı olmaya devam etmesinde veri sorumlusu tarafından öne sürülen işleme şartlarının geçerli olup olamayacağının değerlendirilmesinin gerektiği,
- Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19 Mayıs 2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”nda satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının rıza olduğunun belirtildiği,
- Veri sorumlusu tarafından ödeme aracı ekleyen ilgili kişilerin sonraki satın almaları kolaylıkla yapabildiklerinin belirtildiği dikkate alındığında veri sorumlusu tarafından yeni bir veri işleme amacının ortaya koyulduğu,
- Kanun’un 4’üncü maddesinde yer alan genel ilkeler arasında yer alan “amaçla bağlı, sınırlı ve ölçülü olma” ilkesi ve “belirli, açık ve meşru amaçlarla işleme” ilkesi gereğince amaç değişikliği yeni bir veri işleme sürecine işaret etmekte olup amaç değiştiğinde veri işleme şartının da amaca uygun biçimde belirlenmesi gerektiği,
- Veri sorumlusunun alışverişin tamamlanması için kart bilgilerinin girilmesi gerektiğini beyan ettiği ve bu konuda Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan muhtelif işleme şartlarına dayandığı ancak alışveriş tamamlandıktan sonra kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinde aynı işleme şartlarına dayanmak mümkün olmayacağı gibi, veri sorumlusunun öne sürdüğü işleme şartlarının da ancak ilgili kişinin mevcut alışverişleri kapsamında geçerli olabileceği, veri sorumlusunun beyanında da yer aldığı üzere sonraki satın almaların kolaylaştırılması amacıyla kart bilgilerinin işlenmeye devam edilmesinde amaç değişikliği olduğundan bu amacın gerçekleştirilmesi kapsamında uygun işleme şartının da mevcut olması gerektiği,
- Kart bilgilerinin mevcut satın alma işlemi tamamlandıktan sonra işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanuna uygun şekilde alınmış açık rızaları kapsamında yapılabileceği,
- Veri sorumlusunun uyguladığı mevcut sistemin ise bu şekilde çalışmadığı, öncelikle kart bilgisinin kaydedildiği, sonrasında dileyen müşterilerin kart bilgisini hesabından kaldırabildikleri, böylece verilerin üzerindeki kontrolün sağlandığı beyan edilmekle birlikte bu durumun Kanun’un Genel İlkeler başlıklı 4’üncü maddesinde yer alan “hukuka ve dürüstlük kuralına” uygun olma ilkesine aykırı şekilde ilgili kişilerin yanıltılmasına sebep olduğu,
- Sonuç olarak, veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
- Veri sorumlusu tarafından ilgili kişilerin kart bilgilerinin işlenmesi hususunda Kanun’un 5’inci maddesinde yer alan geçerli bir işleme şartına dayanılmadığı kanaatine varıldığından bu süreçte aydınlatma yapılıp yapılmadığı hususunda ayrıca bir incelemenin bu aşamada yapılmadığı, öte yandan, söz konusu verinin ancak ilgili kişilerin açık rızası kapsamında işlenebileceği
değerlendirmelerinden hareketle,
- Veri sorumlusunun internet sayfasındaki üyelik hesabı kapsamında alışverişin tamamlanması için girilmesi gerekli olan kart bilgilerinin alışverişin tamamlanmasının ardından sonraki alışverişlerin kolaylaştırılması amacıyla ilgili kişinin cüzdan hesabında işlenmeye devam edildiği, bu amaçla veri işlemenin Kanun’un 5’inci maddesinin (1) numaralı fıkrasında yer alan açık rıza işleme şartı kapsamında gerçekleştirilebileceği ancak veri sorumlusu tarafından kart bilgilerinin sisteme kaydedilmesinin zorunlu tutularak ilgili kişilerce sonradan bu bilgilerin silinmesine izin verildiği, bu suretle hem kart bilgilerinin kaydedilmesinde Kanun’un 5’inci maddesi kapsamında geçerli bir açık rızanın alınmadığı hem de Kanun’un 4’üncü maddesinin (2) numaralı fıkrasında yer alan “hukuka ve dürüstlük kuralına uyma”, “belirli, açık ve meşru amaçla işleme” ve “işlendikleri amaçla bağlı sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği ve bu suretle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan veri güvenliğine ilişkin yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu dikkate alınarak 500.000 TL idari para cezası uygulanmasına,
- Öte yandan, bir alışveriş kapsamında kaydedilen kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinin ancak ilgili kişilerin bu yönde Kanun’a uygun şekilde açık rızalarının alınması halinde mümkün olabileceği dikkate alındığında kredi kartı bilgilerinin üyelik hesabına kaydedilebilmesi için ilgili kişilerin aktif olarak buna rıza göstermelerini sağlayacak bir sistem geliştirilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- İlgili kişilerin kredi kartı verilerinin üyelik hesaplarında ancak açık rıza işleme şartı kapsamında işlenebileceği kanaatine varıldığından bu hususta aydınlatma metinlerinde de gerekli düzenlemelerin yapılarak sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.