Uluslararası Perakende Hizmeti Veren Bir Şirkete İlişkin Kurul Kararı

Türkiye’de resmi olarak etkinlik gösteren dünyanın önde gelen e-ticaret sitelerinden olan bir şirketin, Kişisel Verileri Koruma Kurumu (KVKK) tarafından Kişisel Verileri Koruma Kanunu’na uymadığı gerekçesi ile toplamda 1.2 milyon TL ceza ödemesine karar verildi.
Uluslararası alışveriş devlerinden biri olan şirket, geçtiğimiz aylarda Covid-19 sürecindeki çalışma şartları sebebiyle çalışanlarının yaptığı işe gitmeme eylemi ile gündeme gelmişti. Son olarak da firmanın Türkiye ayağına, Kişisel Verileri Koruma Kanunu’na uymadığı gerekçesiyle aldığı ceza ile tekrar gündemde.

Kişisel Verileri Koruma Kurumu 27.02.2020 tarihli 2020/173 sayılı kararı ile Şirket’e Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına” ve “Kanunun 10’uncu maddesinde düzenlenen Aydınlatma Yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına karar verilmiştir”

12. Maddedeki yükümlülükleri için “Veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.’’ Şeklinde açıklanmaktadır.

KVKK’nın verdiği cezada dikkat çeken 3 nokta karşımıza çıkmaktadır:
– Açık rıza
– Aydınlatma yükümlülüğü
– Yurt dışına veri aktarımı

Açık Rıza
KVKK’nın açıkladığı karara göre dikkat çeken ilk nokta kurulun mevzuatına uygun şekilde açık rıza alınmamış olması. Yapılan incelemeler sonucunda, şirketin web sitesinde üyelik işlemleri sırasında, açık rıza alınmadan üyelik sürecinin tamamlandığı, sonrasında kişilerin bu izni otomatik şekilde verdiği gözlemlenmiştir. Bu da Kişisel Verileri Koruma Kanunu’nun 4. Maddesinde yer alan ‘’hukuka ve dürüstlük kurallarına uygun olma” ve “işlenme amacı ile bağlı, sınırlı ve ölçülü olma” kuralına uymamaktadır.

Aydınlatma Yükümlülüğü
Aynı zamanda şirket web sitesinde yapılan incelemeye göre, hukuka uygun şekilde bir aydınlatma yapılmadığı sonucuna varılmıştır. Şirketin internet sitesinde bulunan Gizlilik Bildirimi’nin veri işlemeye yönelik genel bilgileri kapsayan bir içerik olduğu kanaatine varılmıştır.

Yurt Dışına Veri Aktarımı
Kişisel Verileri Koruma Kurumu’nun bu hususta en ilgi çekici kararı usule uygun olmayan şekilde veri aktarımı hakkındadır. Şirket’e verilen para cezasının büyük bir bölümü de bu ihlalden kaynaklanmaktadır. KVKK’ya göre şirket, yut dışı veri aktarımı yapabilmek için kullanıcıların açık rızasını almak zorunda. Hukuka uygun olarak açık rıza alınmadığı için şirketin, kanunun veri güvenliğini kapsayan 12. maddesine uymadığı tespit edilmiştir.