top of page
antalya kvkk danışmanı, esra uysal ibat, melike köse aysun

  Kurul Tarafından Verilen Ä°dari Yaptırım Kararları

Bir internet servis sağlayıcısının veri ihlali hakkında Karar

 

12 Mart 2020 - 2020/213 (veri güvenliÄŸini saÄŸlamaya yönelik gerekli teknik ve idari tedbirlerin alınmaması)

​

Kurula  intikal eden veri ihlal bildiriminde; ÅŸirketin, müÅŸterilerin bireysel iÅŸlemlerini yapabilmeleri adına online iÅŸlem merkezinin bulunduÄŸu, online iÅŸlemlerde fatura ödemesi yapılamadığı ve bu sorunun ÅŸirkete bildirildiÄŸi, â€‹ ÅŸirket tarafından sorunun giderilmeye çalışıldığı esnada güvenlik açığının ortaya çıktığı ve bu açık nedeniyle 69 kiÅŸiye ait kart bilgisinin 649 ÅŸirket müÅŸterisi tarafından görüntülendiÄŸi tespit edilmiÅŸtir. 

​​

Söz konusu bildirimin incelenmesi neticesinde Kurum kararında; yazılım geliÅŸtiricilere sözlü olarak bildirilen deÄŸiÅŸiklik talebinin test ortamında yapılmadığı, gerçek ortamda yapılmış olmasının uygulamada yapılan deÄŸiÅŸikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduÄŸu bu durumun ise teknik ve idari tedbir eksikliÄŸi olduÄŸu,​ veri sorumlusu ÅŸirketin, kiÅŸisel verilerin sistem ara yüzlerinde hiç gösterilmediÄŸi ya da maskelendiÄŸi savunmasında bulunulmuÅŸ olmasına karşılık müÅŸterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduÄŸu, son olarak ise Veri sorumlusunun bir veri güvenliÄŸi politikasının bulunduÄŸu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleÅŸtiÄŸi tarihten sonra olduÄŸu 

belirtilerek 6698 sayılı KiÅŸisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliÄŸini saÄŸlamaya yönelik gerekli teknik ve idari tedbirleri almayan Åžirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezasının uygulanmasına karar verilmiÅŸtir.​

Amazon Turkey Perakende Hizmetleri Limited Şirketince işlenen kişisel veriler hakkında yapılan başvuru

 

27 Åžubat 2020 - 2020/173 (veri güvenliÄŸine iliÅŸkin yükümlülüklerin yerine getirilmemesi)

​

Kuruma intikal eden ihlal bildiriminde; 

​

- Amazon.com.tr internet sitesi ve baÄŸlı uygulamalar aracılığıyla sunulan hizmetlere iliÅŸkin olarak elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, 

- Amazon.com.tr sitesini sadece ziyaret eden bir kiÅŸinin ilgili hükümleri kabul ettiÄŸi ve sadece internet sitesini ziyaret etmekle elektronik olarak iletiÅŸim almaya onay verdiÄŸi ÅŸeklinde bir uygulamaya gidildiÄŸinin görüldüÄŸü,

-AlışveriÅŸ yapabilmek için zorunlu olan üye hesabı oluÅŸturulması amacıyla “Kullanım ve Satış Åžartları”nı kabul ederek elektronik iletiÅŸim izni verilmiÅŸ sayılmanın özgür irade ile verilmiÅŸ bir açık rıza olarak deÄŸerlendirilemeyeceÄŸi, nitekim bu hususun emsal Kurum kararı uyarınca "Açık rızanın Hizmet Åžartına BaÄŸlanması”olarak deÄŸerlendirilmesi ile açık rızayı sakatlayacağının belirtildiÄŸi,

- Sitede yer lan bir takım ifadelerden kiÅŸisel verilerin yurt dışına aktarıldığının anlaşıldığı; ancak hâlihazırda kiÅŸisel verilerin yurt dışına aktarılması için açık rıza alınmadığı belirtilerek inceleme yapılması talep edilmiÅŸtir .

​

Kurum tarafından yapılan inceleme neticesinde; 

​

-  Telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kiÅŸilere ticari nitelikli iletiler gönderilmesi, bir kiÅŸisel veri iÅŸleme faaliyetine iÅŸaret ettiÄŸi  dolayısıyla ticari nitelikli bir elektronik iletinin ticari elektronik ileti gönderilmesine iliÅŸkin mevzuata uygun olarak gönderilmesi gerektiÄŸi,

Ancak, üyelik oluÅŸturulurken herhangi bir aÅŸamada açık rıza alınması yoluna gidilmediÄŸinin kurumca tespit edildiÄŸi, gizlilik bildirimindeki ifade ile yalnızca aydınlatma yapılırken aynı zamanda kiÅŸilerden açık rıza alınması yoluna gidildiÄŸi izlenimini yaratıldığı,

    BilindiÄŸi üzere açık rıza dışında iÅŸleme nedenlerinin varlığı halinde açık rıza alınması yoluna gidilmesinin, dürüstlük kuralına aykırılık ÅŸeklinde yorumlandığı gibi, diÄŸer yandan açık rıza gerektiren veri iÅŸleme süreçleri bakımından da aydınlatmanın yapılması ile açık rızanın alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmediÄŸi, 

    Bu kapsamda, veri sorumlusunun ilgili kiÅŸilerin iletiÅŸim bilgilerini iÅŸlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kiÅŸilerin açık rızasını almadığı, açık rıza dışında da bir iÅŸleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüÄŸünü yerine getirmediÄŸi kanaatine varıldığı belirtilmiÅŸtir.

Devamla,

​

-   Veri sorumlusunun, “Gizlilik Bildirimi” metninde “Belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoÄŸundan yararlanamazsınız.” ya da “Çerezlerimizi engellerseniz veya reddederseniz alışveriÅŸ sepetinize ürün ekleyemez, satın alma aÅŸamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.” diyerek kiÅŸisel verilerin iÅŸlenmesini hizmet ÅŸartına baÄŸladığı

   Amazon.com.tr’nin topladığını beyan ettiÄŸi veriler incelendiÄŸinde, …Ä°lgili kiÅŸinin arkadaÅŸlarının bilgilerin, kendisi bakımından kiÅŸisel veri olmakla birlikte ayrıca bu bireylere ait birer kiÅŸisel veri niteliÄŸini de taşıdığı. böylece üye ile Amazon.com.tr arasında bir sözleÅŸmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kiÅŸilerine ait e-posta adresleri de bu kiÅŸilerin açık rızalarına dayanmaksızın iÅŸlenmekte olduÄŸu, öte yandan “kredi geçmiÅŸi bilgileri, duruma iliÅŸkin bilgiler, kurumsal ve finansal bilgiler” Kanunda yer alan genel ilkeler baÄŸlamında deÄŸerlendirildiÄŸinde, bu verilerin orantılı ve sınırlı bilgiler olmadığı, iÅŸlenen verilerin ilgili kiÅŸiler tarafından en azından öngörülebiliyor olması gerektiÄŸinden veri sorumlusunca “iÅŸlendikleri amaçla baÄŸlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiÄŸinin deÄŸerlendirildiÄŸi,

 

-   Veri sorumlusunun “Gizlilik Bildirimi” incelendiÄŸinde ‘Amazon KiÅŸisel Bilgilerinizi Paylaşıyor mu?’ baÅŸlığı altında açıklanan ÅŸekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kiÅŸisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaÅŸmamayı seçme ÅŸansınız olacaktır.” ifadesine yer verildiÄŸi,

    Ä°lgili kiÅŸinin kiÅŸisel verilerini paylaÅŸmamayı tercih etme ÅŸansının mümkün olması, ancak ilgili kiÅŸinin açık rızasına istinaden verilerinin iÅŸlenmesi halinde geçerli olabileceÄŸi çünkü Kanunun 8’inci maddesinin 2 ve 3 numaralı fıkraları kapsamında gerçekleÅŸtirilen veri aktarımı iÅŸlemlerinde ilgilinin açık rızası aranmayacağı gibi (Kanunun 5’inci maddesinin 2 numaralı fıkrası, 6’ncı maddesinin 3 numaralı fıkrası ve diÄŸer kanunlarda öngörülen hallerde yapılan iÅŸlemeler), bu durumlarda ilgili kiÅŸinin verilerini paylaÅŸmamayı tercih etme ÅŸansı da bulunmayacak olduÄŸu öte yandan, açık rızanın en geç aktarma faaliyeti gerçekleÅŸtiÄŸi sırada alınması gerektiÄŸi bundan sonra alınacak açık rıza mevzuata uygun kabul edilemeyecek olduÄŸu  dolayısıyla, aktarım faaliyetinin gerçekleÅŸmesinden sonra rızanın geri alınabileceÄŸinin söylenmesi kanun lafzının tersine yorumlanması olarak deÄŸerlendirileceÄŸi belirtilmiÅŸ,

KiÅŸisel verilerin aktarılmasına iliÅŸkin gizlilik bildiriminde yer alan muÄŸlak ifadelerin aktarıma iliÅŸkin Kanun hükümlerine aykırı hareket edildiÄŸi kanaati uyandırdığı vurgulanmıştır.

 

-  Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiÅŸ olsa da “Amazon Hesabınızı OluÅŸturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul edildiÄŸi (“Hesap oluÅŸturarak iÅŸbu Gizlilik Bildirimi’nde belirtilen uygulamaları kabul etmektesiniz.”); aynı ÅŸekilde kayıtlı bir müÅŸteri, site üzerinden sipariÅŸ verdiÄŸinde kendisine “Gizlilik Bildirimi”nin kabul edildiÄŸine dair tekrar hatırlatma yapıldığı (“SipariÅŸ verdiÄŸinizde Amazon.com.tr’nin Gizlilik Bildirimini, Kullanım ve Satış KoÅŸullarını ve Çerez Bildirimini kabul etmiÅŸ olursunuz”) belirtilerek ilgili kiÅŸilerin rızasının alındığı veri sorumlusunca iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata uygun kabul edilemeyeceÄŸinin deÄŸerlendirildiÄŸi,

  Kanun çerçevesinde açık rızanın, kiÅŸinin sahip olduÄŸu verinin iÅŸlenmesine, kendi isteÄŸi ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, , belirli bir konu ile sınırlandırılmayan ve ilgili iÅŸlemle sınırlı olmayan genel nitelikteki açık rızalar “battaniye rızalar” olarak kabul edildiÄŸi ve hukuken geçersiz sayıldığı,

   Bu kapsamda “Gizlilik Bildirimi”ne onay verildiÄŸi yönünde yapılacak bilgilendirme ile “veri iÅŸleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaÅŸma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı, mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kiÅŸisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kiÅŸilerin açık rızasını alması gerektiÄŸi, ancak veri sorumlusunun yurt dışına aktarıma iliÅŸkin bir açık rıza alma yoluna gitmediÄŸi, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiÅŸ olduÄŸu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceÄŸi, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliÄŸine iliÅŸkin yükümlülüklere aykırılık oluÅŸturduÄŸu kanaatine varılmıştır.

 

-   Veri sorumlusunun internet sitesinin incelenmesinde yapılan iÅŸleme faaliyeti site ziyaret edildiÄŸinde baÅŸladığı, öyle ki çerezler hakkında hazırlanan metinde siteyi ziyaret eden kiÅŸilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri saÄŸlamak ve aÅŸağıda sayılanların da aralarında bulunduÄŸu ek amaçlar için çerezlerin, piksellerin ve diÄŸer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı beyan edildiÄŸi görülmüÅŸ olup bu durumda sitede gerekli metinlere yer verildiÄŸi savından yola çıkılarak Kanunda hüküm altına alınan aydınlatma yükümlülüÄŸünün yerine getirildiÄŸi sonucuna varmanın mümkün olmadığı,

Siteyi ilk defa ziyaret eden bir kiÅŸinin daha henüz veri sorumlusu ile bir sözleÅŸme iliÅŸkisi içine girip girmeyeceÄŸinin ya da kiÅŸisel verilerinin iÅŸlenmesine açık rızası olup olmayacağının belirli olmaması düÅŸünüldüÄŸünde yalnızca siteye girmiÅŸ olması ile verilerinin iÅŸlenmesi yönünde açık iradesini beyan ettiÄŸi düÅŸünülemeyeceÄŸi,

Farklı veri iÅŸleme araçları kullanılarak site ziyareti ile birlikte veri iÅŸlenmeye baÅŸlanması için aydınlatmanın öncelikle web sitesine giriÅŸ aÅŸamasında yapılması gerektiÄŸi, Ancak site giriÅŸinde farklı araçlarla (ör. Çerezler) kiÅŸisel verilerin iÅŸlendiÄŸine dair bir bilgilendirme sunulmamakla birlikte (ör. pop-up mesajlar) yapılan iÅŸleme için izin verilmesine dair bir istemin de mevcut olmadığı,

   Bu durumun hem iÅŸleme faaliyetindeki açık rıza ÅŸartına hem aydınlatma yükümlülüÄŸüne aykırılık teÅŸkil ettiÄŸi, web sitesine giriÅŸle birlikte kiÅŸisel verilerin iÅŸlenmeye baÅŸlamasına karşın aydınlatmanın yapılmaması, veri sorumlusunun çerezler vasıtasıyla iÅŸlenen söz konusu kiÅŸisel verilere iliÅŸkin aydınlatma yükümlülüÄŸünü Kanunun 10’uncu maddesinde ve Aydınlatma YükümlülüÄŸünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında TebliÄŸde düzenlendiÄŸi ÅŸekilde yerine getirmediÄŸi kanaatini oluÅŸturduÄŸu belirtilmiÅŸtir.

​

www.amazon.com.tr’ye iliÅŸkin yürütülen resen inceleme neticesinde yukarıda yer verilen deÄŸerlendirmeler sonucunda;

​

  • Veri sorumlusunun ilgili kiÅŸilerin iletiÅŸim bilgilerini iÅŸlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kiÅŸilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir iÅŸleme nedenine dayanmadığı, diÄŸer yandan üyenin temas kiÅŸilerine ait e-posta adreslerinin de bu kiÅŸilerin açık rızalarına dayanmaksızın iÅŸlendiÄŸi, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket edildiÄŸi,

  • Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon KiÅŸisel Bilgilerinizi Paylaşıyor mu?’ baÅŸlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kiÅŸisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaÅŸmamayı seçme ÅŸansınız olacaktır.” ifadesine yer verildiÄŸi, metinde yer aldığı ÅŸekilde ilgili kiÅŸinin kiÅŸisel verilerini paylaÅŸmamayı tercih etme ÅŸansının mümkün olmasının, ancak ilgili kiÅŸinin açık rızasına istinaden verilerinin iÅŸlenmesi halinde geçerli olabileceÄŸi, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kiÅŸisel verilerin aktarılmasına iliÅŸkin Kanun hükümlerine aykırı hareket edildiÄŸi,

  • KiÅŸisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduÄŸu ülkelerin Kurulca henüz belirlenmediÄŸi, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kiÅŸisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin (1) numaralı fıkrasında yer aldığı üzere ilgili kiÅŸilerin açık rızasını alması gerektiÄŸi, ancak veri sorumlusunun yurt dışına aktarıma iliÅŸkin usulüne uygun bir açık rıza alma yoluna gitmediÄŸi, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiÅŸ olduÄŸu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceÄŸi dikkate alındığında veri sorumlusu tarafından Kanunun 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18’inci maddesinin (1) numaralı maddesinin (b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,

  • Veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri iÅŸlemeye iliÅŸkin genel bir bilgilendirme olması nedeniyle kiÅŸisel verilerin iÅŸlenmesine iliÅŸkin ilgili kiÅŸilere aydınlatma yapıldığı anlamına gelmediÄŸi göz önünde bulundurulduÄŸunda ihbar edilen web sitesine giriÅŸle birlikte çerezler vasıtasıyla kiÅŸisel verilerin iÅŸlenmeye baÅŸlamasına karşın, çerezler, üyelik giriÅŸi gibi veri iÅŸlemenin baÅŸladığı hiçbir aÅŸamada aydınlatma yükümlülüÄŸünün, Kanunun 10’uncu maddesinde ve Aydınlatma YükümlülüÄŸünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında TebliÄŸde düzenlenen usul ve esaslara uygun olarak yerine getirilmediÄŸi kanaati oluÅŸtuÄŸundan Kanunun 10’uncu maddesinde düzenlenen Aydınlatma YükümlülüÄŸünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18’inci maddesinin (1) numaralı fıkrasının (a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,

  • Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kiÅŸisel veri iÅŸleme süreçlerini ve bununla uyumlu ÅŸekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Åžartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına,

  • Söz konusu Kararın Kanunun 23’üncü maddesinin (5) numaralı fıkrası çerçevesinde Kurumun internet sayfasında yayımlanmasına karar verilmiÅŸtir.

Spor salonu hizmeti sunan sorumlusunun, üyelerinin giriÅŸ-çıkış kontrolünü biyometrik veri iÅŸleyerek yapması ile ilgili KiÅŸisel Verileri Koruma Kurulunun Kararı

 

27 Åžubat 2020 -2020/167

​

...

bottom of page