“İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması” hakkında Kişisel Verileri Koruma Kurulunun 03/02/2021 tarihli ve 2021/85 sayılı Karar Özeti
Karar Tarihi | : | 03/02/2021 |
Karar No | : | 2021/85 |
Konu Özeti | : | İlgili kişinin Kanunun 11 nci maddesi kapsamındaki başvurusuna veri sorumlusu tarafından verilen cevabın yeterli bulunmaması |
Kuruma intikal eden şikâyette; ilgili kişinin “….com.tr” adresinden ürün siparişi verdiği, bu işlem ve veri sorumlusunun e-bültenine kayıt olması esnasında kişisel verilerinin işlenmesine ilişkin bir aydınlatmanın sunulmadığı, 26.06.2019 tarihinde veri sorumlusuna; hangi kişisel verilerinin hangi amaçlarla işlendiği, hangi verilerinin ne kadar süre ile saklandığı ve bu kişisel verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı hususlarının yanıtlanması için başvuruda bulunduğu, veri sorumlusunun bu hususlardaki yanıtlarını içeren cevabî yazısının, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 13 üncü maddesi uyarınca 30 günlük süre içerisinde 23.07.2019 tarihinde ilgili kişiye iletildiği ancak ilgili kişinin veri sorumlusunun cevabını yeterli bulmadığı zira;
- Veri sorumlusunun internet sitesinde bulunan "Kişisel Veriler Politikası" (Politika) bölümünün bir aydınlatma olmadığı, tüm siteyi kapsamaya çalışan karışık bir metin olduğundan ötürü "belirli ve açık" olmadığı,
- İlgili kişi veri sorumlusuna başvurduğunda kendisine verilen cevap ile veri sorumlusuna ait internet adresinde yer alan Politikanın kimi yerlerde çeliştiği; Politikada IP, Çerez gibi verilerin sayıldığı ancak ilgili kişiye verilen cevapta bu konularda bir bilgilendirmenin yapılmadığı,
- İlgili kişiye verilen cevap metni içerisinde kişisel verilerin, “idarî ve resmî makamlar ile taşıma şirketlerine sınırlı ve orantılı bir şekilde aktarıldığı”nın ifade edildiği fakat Politika metni içerisinde kişisel verilerin "yurt içi/yurt dışı kuruluşlar ile diğer üçüncü kişilere" aktarıldığının söylendiği,
- Politika metni içerisinde birçok veri ve veri aktarımından söz edildiği ancak veri bazında bir bilgilendirmenin yapılmadığı, örneğin kimlik bilgilerinin ya da adreslerin hangi şirketlere aktarıldığı hususunda bir açıklama yer almadığı
ifade edilerek veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusu şirketin savunması talep edilmiş olup veri sorumlusunun cevabi yazısında özetle;
- İlgili kişinin internet siteleri üzerinden üyelik kaydı oluşturarak ürün sipariş ettiği, Kanunun yürürlüğe girmesiyle birlikte veri sorumlusunun Kanun kapsamında bir kişisel verileri koruma politikası uygulamaya başladığı, ilgili kişinin başvuru tarihinden itibaren geçen süre içerisinde politika metninde iyileştirmeler yapıldığı ve “Kişisel Verilerin Korunması ve İşlenmesi Hakkında Aydınlatma Metni”nin veri sorumlusunun sitesinde yer aldığı, ilgili kişinin başvurusunda belirli ve açık olmadığını ileri sürdüğü metnin yeniden düzenlenerek daha açık bir anlama kavuşturulduğu,
- IP, Çerez gibi verilere ilişkin açıklamaların halihazırda Aydınlatma Metninde yer aldığı, veri sorumlusunun internet sitesinde ayrıca Çerez Politikasına da yer verildiği, metinde yer alan bilgilendirme ve açıklamaların Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 4 üncü maddesine uygun kapsamda olduğu, 24.06.2019 tarihli Mesafeli Satış Sözleşmesi gereği ilgili kişinin siparişinin ulaştırılması için zorunlu olarak işlenen ve kargo firmasına aktarılan verileri dışında herhangi bir veri paylaşımının gerçekleştirilmediği
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/85 sayılı Kararı ile;
- Kanunun “Veri sorumlusunun aydınlatma yükümlülüğü” başlığını haiz 10 uncu maddesinin (1) numaralı fıkrasının; “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükümlerini amir olduğu,
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesinde, Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesinin gerektiği, 5 inci maddesinin (1) numaralı fıkrasının (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği, (g) bendinde aydınlatma yükümlülüğü yerine getirilirken genel nitelikte ve muğlak ifadelere yer verilmemesi gerektiği, (ğ) bendinde açık, anlaşılır ve sade bir dil kullanılması gerektiği, (h) bendinde “hukuki sebep”ten kastın, Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanarak veri işlendiğinin olduğu, bu sebeple aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça ifade edilmesinin gerektiği, (ı) bendinde aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı gruplarının belirtilmesi gerektiği ve (j) bendinde aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesinin lüzumlu olduğu hükümlerinin bulunduğu,
- Kanunun veri sorumlusuna yüklediği “Aydınlatma Yükümlülüğü”nün amacının, ilgili kişilerin, kişisel verilerini belirli işlemler için veri sorumlularına vermeden önce; kişisel verilerinin kullanımı, aktarımı, bu işlemlerin hukukî mesnetleri ve başvuru mercii olan veri sorumlusunun kimliği ile kendilerinin kişisel verileri üzerinde var olan haklarıyla alakalı olarak bilgilendirilerek, kişisel verileri üzerindeki hakimiyetlerini tamamen yitirmelerini önlemek olduğu, aydınlatma yükümlülüğünün varlığı, şeffaflık ilkesinin bir gereği olup şeffaflığın şartının da ilgili kişinin anlaşılabilir bir şekilde bilgilendirilmesi olduğu,
- Bu doğrultuda hazırlanan bir Aydınlatma Metninin, ilgili kişilere, yaptıkları işlem bazında, söz konusu işlem dahilinde kullanılan kişisel verilerine ilişkin bilgilendirme sağlamasının beklendiği, veri sorumluları için genel hukukî metinler niteliğinde olan “Gizlilik Politikası”, “Veri İşleme Politikası” gibi metinlerin, karışık yapıları ve ilgili kişilerin ihtiyacı olan belirlilikteki bilgilendirmeleri sağlayamamaları nedenleriyle Aydınlatma Metni olarak kullanılmamaları gerektiği,
- Zira 26.06.2020 tarihinde Kurumun internet sitesinden yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Kamuoyu Duyurusu”nun (h) maddesinde de bu durumun, “İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma metinleri olarak kullanılmamalıdır.” şeklinde açıklandığı,
- Nitekim Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”nde de “Kanun’un 4’üncü maddesinde yer alan temel ilkeler gereği veri sorumlularının, faaliyetleri kapsamında işlediği kişisel verileri, hangi işleme amacına dayanarak işlediğini kişisel veri bazında belirlemesi ve bu amacın da aydınlatma metinlerinde açıkça belirtilmesi gerekmektedir.” denilerek, aydınlatma yükümlülüğünün işlenecek kişisel veri bazında yerine getirilmesi gerektiğinin ifade edildiği,
- Veri sorumlusunun güncel Aydınlatma Metni incelendiğinde Kanunda ifade olunan asgari unsurlara (veri sorumlusunun kimliği, kişisel verilerin işlenme amaçları, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve 11 inci maddede sayılan diğer haklar) yer verildiğinin görüldüğü, ayrıca veri sorumlusunun işlediği kişisel verilerin de kategorik olarak Aydınlatma Metninde sunulduğu,
- Veri sorumlusunun internet sitesinden (….com.tr) sipariş verilmek istendiğinde iki seçenek olduğu; bunlardan birincisinin internet sitesine üye olarak siparişi gerçekleştirmek, diğerinin ise üye olmadan devam ederek siparişi tamamlamak olduğu; söz konusu internet sitesinde bulunan “Üye Ol” sayfasına tıklandığında “Kişisel Verilerin Korunması hakkındaki açık rıza metnini okudum, onaylıyorum” butonu aktif edilmeden siteye üye olunamadığı, bir Aydınlatma Metni hüviyetini taşımayan bu metnin de kendi içerisinde Gizlilik Politikası metnine bir bağlantı içermediği, üye olunmadan devam edildiği takdirde ise aydınlatmaya dair herhangi bir buton veya pop-up yardımıyla aydınlatmada bulunulmadığı,
- Açık Rıza Metinlerinin, ilgili kişilere, işlenecek kişisel verileri hakkında sade ve özet bilgiler sunan metinler olduğu; bununla birlikte detaylı bilgilendirme için veri sorumlularının ilgili kişileri Aydınlatma Metnine yönlendirdikleri, bu durumun aydınlatmanın kişisel verilerin işlenmesinden önce yapılması adına önemli bir gereklilik olduğu fakat veri sorumlusunun bu gerekliliği yerine getirmediğinin anlaşıldığı,
- Tebliğin “Usul ve esaslar” başlığını haiz 5 inci maddesinin (1) numaralı fıkrasının (e) bendine göre aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna ait olduğundan, veri sorumlusunun internet sitesinin en alt bölümünde bir link olarak yer verdiği politika metninin internet sitesinden alışveriş yapan ilgili kişilerin aydınlatıldığını ispatta yetersiz kaldığı zira söz konusu Aydınlatma Metninin, ilgili kişilerin sipariş vermesi ve üye olması sırasında ekrana gelmediğinden ilgili kişilerin bahse konu metni okuyup okumadığının belirsiz olduğu, bu noktada, internet sitesinden sipariş verilmesi veya internet sitesine üye olunması gibi, ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında ilgili kişilere, gerçekleştirdikleri işlemler özelinde; işlenecek kişisel veri kategorileri, bu verilerin işlenme amacı, hangi veri kategorilerinin hangi alıcı gruplarına ne maksatla aktarıldığı, sipariş kapsamında gerçekleştirilen veri işleme faaliyetlerinin hukukî sebeplerinin belirtildiği bir metin vasıtasıyla, işlenecek kişisel veriler bazında aydınlatma yapılarak sonrasında ilgili kişilere, veri sorumlusunun genel veri işleme politikasını yansıtan metnine, örneğin bir link eklenmesi vasıtasıyla yönlendirme yapılabileceği,
- Bu anlamda, veri sorumlusunun ilgili kişilere, kişisel verilerinin en geç elde edilmesi esnasında, bahse konu işlemler bazında, “belirli ve açık” bir aydınlatmada bulunmadığı ve Aydınlatma Metninde eksiklikler bulunduğu; bu sebeplerle de Tebliğin 5 inci maddesinin (1) numaralı fıkrasının; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” şeklindeki (g), “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünü amir (ğ) ve “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmünü ihtiva eden (j) bentlerine aykırı hareket ettiği
değerlendirmelerinden hareketle,
- Veri sorumlusunun, internet sitesi üzerinden sipariş verilmesi veya üye olunması gibi ilgili kişilerin kişisel verilerinin işlenmesine sebebiyet verecek işlemler esnasında, o anda ve sonrasında gerçekleştirilecek veri işleme faaliyetine ilişkin bir aydınlatmada bulunmadığı, ilgili kişilerin kişisel verilerinin kullanımı ile ilgili olarak bilgi alabilmek için kendilerinin bahse konu politika metnini arayıp bulmaları gerektiği, bu metnin de tüm siteyi kapsayan bir politika metni hüviyetinde olduğu ve bu durumun Tebliğin 5 inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (j) bentlerine aykırılık teşkil ettiği kanaatine varılmış olup Kanunun “Şikayet üzerine veya resen incelemenin usul ve esasları”nı düzenleyen 15 inci maddesinin (5) numaralı fıkrasının “Şikayet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmü uyarınca veri sorumlusunun, söz konusu hukuka aykırılıkların giderilmesi ve sonucundan Kurula bilgi vermesi hususlarında talimatlandırılmasına
karar verilmiştir.