Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1645 sayılı Karar Özeti


"Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1645 sayılı Karar Özeti

 

Karar Tarihi : 28/09/2023
Karar No : 2023/1645
Konu Özeti : Geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusu tarafından kişisel verilerin hukuka aykırı işlenmesi

 

Kuruma intikal ettirilen şikâyet dilekçesinde özetle;

  • Veri sorumlusunun, geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu ve Türkiye'deki kullanıcılar için oyun adına her türlü işlemi yapan ve tüm ticari gelirleri elde eden firma olduğu,
  • İlgili kişinin, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki haklarını kullanmak amacıyla veri sorumlusuna başvurduğu ancak kendisine verilen yanıtta pek çok talebinin yanıtsız bırakıldığı veya yanıltıcı ve eksik bilgi verildiği, veri sorumlusu tarafından verilen cevapta birçok mevzuattan bahsedildiği ancak hangi kişisel verinin hangi amaç ve hangi hukuki sebeple bu mevzuatlara dayanılarak işlendiğinin bildirilmediği,
  • Veri sorumlusu tarafından verilen, kişisel verilerin adli ve idari kurumlar dışında yurt içinde veya yurt dışında herhangi bir yere aktarılmadığı şeklindeki cevabın tamamen gerçek dışı olduğu, veri sorumlusunun internet sitesinde yer alan ve "aydınlatma metni" olduğu belirtilen bilgilendirme yazısının, yine internet sitesinde yayımlanan gizlilik politikasının ve çerez politikasının incelenmesi neticesinde kişisel verilerin yurt dışına aktarıldığının kolaylıkla anlaşılabileceği,
  • Veri sorumlusu tarafından "hile ve dolandırıcılığı önlemek" amacı ile üçüncü taraf bir yazılım kullanıldığı, bu yazılımın oyuna her giriş sırasında çalıştığı ve o an bilgisayarda bulunan tüm dosya ve yazılımları taradığı ve oyun açık kaldığı sürece bu yazılımın çalışmaya devam ettiği, söz konusu yazılımın sahibi olan firmanın lisans sözleşmesinin incelenmesi neticesinde bu yazılım aracılığıyla da kişisel verilerin hukuka aykırı olarak elde edilerek yurt dışına aktarıldığının anlaşıldığı,
  • Veri sorumlusunun "yalnızca IP adresi ile tespit yapıyoruz" ifadesinin gerçeğe aykırı olduğu, bir kişinin cihazında hangi yazılımın çalıştığının yalnızca IP adresi ile tespit edilmesinin teknik olarak imkânsız olduğu,
  • Veri sorumlusunun internet sitesinde yer alan gizlilik politikasının, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olmadığı

ifade edilerek Kanun kapsamında gerekli işlemlerin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

  • Şirketlerinin ortaklık yapısının tamamen yabancı uyruklu hissedarlardan oluştuğu, şirketin yer aldığı sektörün oyuncu-geliştirici, oyuncu-yayıncı, oyuncu-oyuncu, lisans veren-lisans alan, marka hakkı sahibi-marka hakkını kullanan vb. kimseler arasında akdedilecek dijital oyun sözleşmeleri hazırlanması üzerine kurulu olduğu, böylece ortaklarının yabancı olmasının da iş süreçleri bakımından kişisel verilerin yurt dışına aktarımını zorunlu kıldığı, oyun hizmetleri kapsamında kullanılan bütün sunucuların Türkiye'de tutulduğu,
  • İlgili kişinin işlenen kişisel verilerinin, oyuna kayıt olunabilmesi amacıyla "e-posta adresi, IP adresi" ve kendisi tarafından güvenli giriş uygulaması seçildiyse bu verilere ek olarak "cep telefonu numarası" olduğu, söz konusu kişisel verilerin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu kanuna bağlı mevzuat, Türk Borçlar Kanunu'nun 419/3 maddesi, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bağlı mevzuat, Türk Ceza Kanunu ve 6698 sayılı Kanun başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülüklerinin yerine getirilebilmesi amacıyla 6698 sayılı Kanun'un 5’inci maddesinin 2‘nci fıkrasının (ç) bendi doğrultusunda ve meşru menfaatlerin sağlanması amacıyla ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Kanun’un 5’inci maddesinin 2’nci fıkrasının (f) bendi doğrultusunda işlendiği,
  • Oyun içerisinde ürün satın alınabilse de kredi kartı bilgilerinin aracı hizmet sağlayıcısı tarafından işlendiği ve hiçbir kredi kartı bilgisi, ad, soyadı bilgisinin taraflarınca işlenmediği,
  • Kişisel verilerin yasal yükümlülüklerin yerine getirilmesi amacıyla Kanun'un 8’inci maddesinin 2’inci fıkrasının (a) bendi ve Kanun'un 5’inci maddesinin 2’nci fıkrasının (ç) bendi uyarınca adli makamlarla paylaşılması haricinde tedarikçi de dahil olmak üzere kullanıcıların kişisel verilerinin kimse ile paylaşılmadığı,
  • İlgili kişinin 23.05.2020 tarihinde kendilerine başvurduğu ve 22.06.2020 tarihinde ilgili kişiye cevap verildiği,
  • Hiçbir oyuncudan "ad, soyadı, TCKN" gibi, oyuncu ile oyun karakterlerinin ve oyundaki eşyaların eşleştirilmesini sağlayacak kişisel veri talep edilmediği, ilgili kişilerden oyun hizmeti kapsamında "e-posta adresi"nin talep edildiği, oyuncuların takma isimlerle oyuna giriş yaptığı, e-posta adreslerinin de kişilerin gerçek adlarını içermediği, çevrim içi oyunlar bakımından genel teamülün de bu olduğu,
  • İlgili kişinin; oyun alışveriş kayıtları, hareket kayıtları, eşya kayıtları, karakter bilgileri, sunucu bilgileri vb. bilgilerin kişisel veri niteliğine sahip olduğunu belirttiği, ancak bahsi geçen bu güçlendiriciler veya ürünlere her oyuncunun sahip olabildiği, bu nedenle de bir gerçek kişiyi belirli veya belirlenebilir kılmasının mümkün olmadığı, ayrıca oyunda belirli sayıda sunucu olması nedeniyle kullanıcıların sadece oluşturulmuş mevcut sunuculardan giriş yapabildiği, bu sunuculardan kişilerin belirlenebilir veya belirli kılınmasının mümkün olmadığı,
  • Hile ve dolandırıcılık faaliyetlerini tespit etmek amacıyla özel bir yazılım kullanıldığı, ilgili kişinin şikayetinde belirttiğinin aksine bu yazılımın kişilerin bilgisayarındaki tüm dosyaları taramasının, kamera ve mikrofona erişmesinin söz konusu olmadığı, bu yazılımın çalışma mantığının anti-virüs programları gibi bilgisayarda tarama yapmak olmadığı, hile ve dolandırıcılık programlarının sıfırlardan ve birlerden oluşan kodlarını tespit etmeyi amaçladığı, bunun için de bilgisayardaki tüm dosyaların değil kendi içerisine tanımlanmış hile ve dolandırıcılık yazılımlarının exe dosyası kodunu taradığı, ayrıca yazılım aracılığıyla hiçbir şekilde yurt dışına kişisel veri aktarılmadığı,
  • Veri sorumlusu olarak kişisel verilerin korunması konusunda gerekli azami özeni gösterdikleri,
  • Sadece internet sitesinin çalışması için zorunlu olan çerezlerin kullanıldığı, bu çerezler dışında pazarlama vb. amaçlarla çerez kullanılmadığı, çerez politikasının internet sitesinin ziyaret edildiği durumda “pop-up” olarak ekranda yer aldığı,
  • İnternet sitesinde yer alan aydınlatma metni ve gizlilik politikasının, Kanun’un yürürlüğe girdiği dönemden önce hazırlandığı, bu nedenle aydınlatma metni ile gizlilik politikasının güncellenmesi ve mevcut veri işleme faaliyetlerine uygun hale getirilmesi amacıyla yeni bir uyum sürecinin başlatıldığı

ifade edilmiştir.

Söz konusu cevap metninden, “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme gerçekleştirilmiştir. Bu inceleme neticesinde, kişisel verilerin yurtdışına aktarımı hususunda veri sorumlusu tarafından;

  • Oyun kullanıcılarının/üyelerin kişisel verilerinin (kullanıcı adı, e-posta adresi, şifre ve kullanıcı tarafından sağlanması halinde cep telefonu numarasının) yurt dışına aktarılmadığı, yurt dışında bulunan hissedarlara kullanıcı verilerinin aktarılmadığı,
  • Kullanıcılara oyun hizmetinin sunulabilmesi için satın alınan 10 fiziksel sunucu ile bu fiziksel sunuculara bağlı olarak oluşturulan sanal sunucular ile kiralanan 1 adet fiziksel sunucunun; bu konuda hizmet alınan firmanın sistem odasında bulunduğu, sunucuların fiziksel güvenliğinin ilgili firma tarafından sağlandığı,
  • Yurt dışında bulunan herhangi bir sunucuyla bağlantı sağlanmadığı,
  • Lisansına sahip olunan hissedar yabancı şirket tarafından doğrudan gönderilmesi nedeniyle Kullanıcı Sözleşmesi ve Gizlilik Politikasının içeriğine müdahil olunamadığı, Kişisel Verileri Koruma Politikası ve Kayıt Ol Aydınlatma Metni’nin, bu dokümanlara paralel olarak hazırlandığı ve internet sitesinde yer alan tüm dokümanların Kanun’a ve ilgili mevzuata uygun hale getirilmesine ilişkin revizyon çalışmasının devam ettiği,
  • Günlük ve haftalık olarak yedekleme alındığı, yedeklerin bir kısmının bir bulut bilişim platformunda tutulduğu, kopyaların “Portal veri tabanı” ve “Oyuncu veri tabanı” olmak üzere 2 farklı şekilde tutulduğu, söz konusu veri tabanlarından “Portal veri tabanı”nda kişisel verilerin yer aldığı, portal veri tabanının veri sorumlusu şirket içerisinde tutulduğu ve dışardan erişimin bulunmadığı, bulut bilişim platformuna aktarılan yedekler içerisinde “Portal veri tabanı” yedeklerinin yer almadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 28/09/2023 tarihli ve 2023/1645 sayılı Kararı ile;

  • Gözetleme yazılımı aracılığıyla kişisel verilerin hukuka aykırı işlenmesi” iddiası hakkında; veri sorumlusunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumunda olduğu çevrim içi oyun tarzındaki oyunlarda oyuncuların sahtecilik, hile yapma ve hesapları başkalarına satma ihtimallerinin yüksek olduğu, bu işlemi gerçekleştirebilmek amacıyla oyuncuların oyunu bizzat kendisi oynamadan bot yazılımları (Tekrarlayan, otomatik çalışan ve önceden tanımlanmış görevleri yerine getiren bir yazılım programıdır. Botlar genellikle insan kullanıcıların davranışlarını taklit eder veya onların yerini alır. Otomatik oldukları için insan kullanıcılardan çok daha hızlı çalışırlar. Müşteri hizmetleri veya dizin oluşturma arama motorları gibi kullanışlı işlevleri gerçekleştirebilecekleri gibi, bir bilgisayar üzerinde tam kontrol sağlamak amaçlı kötü amaçlı yazılım biçiminde de kullanılabilirler.) aracılığıyla otomatize edilmiş bir şekilde oyunun ilerletilmesini sağlayabildiği ve bu sayede oyun içerisinde seviye yükseltme, karakter geliştirme gibi işlemleri yapabildiği, söz konusu bot yazılımların internet üzerinde tek bir IP üzerinden bu işlemi gerçekleştirmediği ve VPN (Virtual Private Network - uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisi) aracılığı ile IP adresinin bu süreç içerisinde değiştirildiği; veri sorumlusunun kullandığı özel yazılımın ise oyun açıldığı anda bilgisayar içerisinde açılan veya açılmış olan exe’lerin (executable file - Windows bilgisayarlarda bir programın kurulumuna izin veren dosyaların uzantıları exe. şeklinde olup exe. uzantılı dosyalar Windows işletim sistemlerine farklı programların yüklenmesini ve kurulmasını sağlarlar.) analizini gerçekleştirerek oyuncunun bir bot yazılımı kullanıp kullanmadığını tespit etmeye çalıştığı, bu yazılımın sadece bilgisayardaki açık olan exe’lerin türünü ayırt etmeye çalıştığı, sahtecilik ve hile yapma göstergelerinden biri olan IP değişiminin de yine bu yazılım üzerinden takip edildiği, burada internet üzerinden bilgi transferinin yapılmadığı IP adresinin takip edildiği bilgisinin elde edildiği, sonuç itibariyle veri sorumlusunun şikayete konu edilen özel yazılımı oyun kullanıcılarının hile ve sahtekarlığa başvurup başvurmadığını tespit amacıyla kullandığı, bu kullanım sırasında oyuncuların bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı,
  • Aydınlatma yükümlülüğünün yerine getirilmesi hakkında; 
    • Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi uyarınca, veri sorumlusu veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere  veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu, ayrıca Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinde aydınlatma yükümlülüğüne ilişkin “Usul ve Esaslar”ın kapsamlı bir biçimde açıklandığı, 
    • Veri sorumlusunun internet sitesinin incelenmesi neticesinde, kişisel veri işleme faaliyetine ilişkin olarak “Kayıt Ol Aydınlatma Metni”, “Kişisel Veri Koruma Politikası” ve “Gizlilik Politikası” metinlerinin yer aldığının tespit edildiği, “Kayıt Ol Aydınlatma Metni” ile “Kişisel Veri Koruma Politikası” metinlerinin veri sorumlusu tarafından, “Gizlilik Politikası”nın ise veri sorumlusunun büyük hissedarı olan yabancı menşeili şirket tarafından hazırlandığı, 
    • Veri sorumlusu tarafından sunulan çevrim içi sanal oyun hizmetinden faydalanmak isteyen ilgili kişilerin üyelik kaydı oluşturmasının gerektiği, üyelik kaydı oluşturulurken, ilgili kişilerin “Kayıt Ol Aydınlatma Metni” ile “Gizlilik Politikası”nı okuduğuna, anladığına ve kabul ettiğine dair kutucuğu işaretlemelerinin talep edildiğinin görüldüğü, “Kayıt Ol Aydınlatma Metni” incelendiğinde veri sorumlusu tarafından üyelik kaydı oluşturacak olan ilgili kişilere yönelik hazırlandığı ve genel olarak Kanun’un 10’uncu maddesine ve Aydınlatma Tebliği’ne uygun olduğu görülmekle birlikte “… paylaşılabilir.” gibi muğlak ifadelere yer verilmemesi gerektiği, 
    • “Gizlilik Politikası” başlıklı metin incelendiğinde; ilgili metnin veri sorumlusunun büyük hissedarı olan şirket tarafından ziyaretçilere, kullanıcılara ve müşterilere sunulan bir çevrim içi gizlilik politikası olduğu ve söz konusu şirketin ayrı bir veri sorumlusu olduğu kanaatine varıldığı, metinde genel olarak; toplanan bilgi türleri (çocukların kişisel verilerinin işlenmesi; ilgili kişiler tarafından sağlanan tanılanabilir şahsi bilgiler; teknolojiler, yöntemler ve/veya servisler aracılığıyla toplanan bilgiler) ve bu bilgilerin e-posta adresi, cinsiyet, telefon numarası, ev adresi, doğum tarihi, IP adresi gibi bilgileri kapsadığı; elde edilen bilgilerin şirket tarafından kullanımı ve paylaşımı (ticari amaçlı kurum içi kullanımı; ticari amaçlı üçüncü partilerin kullanımı ve/veya paylaşımı; promosyon, yarışma ve/veya çekiliş durumları; satın alma, satma, tasfiye, birleşme; bilgilerin iş dışı sebeplerle ifşası, kullanımı ve/veya paylaşımına ilişkin açıklamalar) ile kişisel bilgilerin güncelliğinin sağlanması hususlarına yer verildiği, söz konusu metnin Kanun’un 10’uncu maddesi ve Aydınlatma Tebliği ile uyumlu olmadığının tespit edildiği, bu nedenle ilgili kişilere üyelik kaydı sırasında sunulan ve Kullanıcı Sözleşmesinde de kabul edildiği varsayılan bu metnin diğer metinlerle tutarlı olarak Kanun’a uygun hale getirilmesi veya kaldırılması gerektiği, 
    • “Kişisel Veri Koruma Politikası” metninde ise kişisel verilerin işlenmesi faaliyetine ilişkin genel bilgilere yer verilmiş olmakla birlikte diğer iki metin ile karşılaştırıldığında daha geniş bir ilgili kişi kategorisine (çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, ziyaretçiler) hitap ettiği, veri sorumlusu tarafından yürütülen kişisel veri işleme faaliyetinin amaçları, kişisel veri kategorileri, kişisel verilerin paylaşıldığı tarafların kategorileri ve paylaşma amaçlarına yer verildiği, hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiği ve hangi üçüncü taraflara aktarıldığının açık bir şekilde anlaşılamadığı, bu nedenle söz konusu metnin Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (g), (ğ) ve (h) bentlerine uygun hale getirilmesi gerektiği, 
    • Sonuç itibariyle üç farklı metnin sunulmasının ilgili kişiler açısından karmaşık bir durum oluşturduğu, bu hususun yerinde inceleme sırasında da veri sorumlusuna iletildiği ve veri sorumlusunun bu dokümanların Kanun’a uyumlu hale getirilmesi için çalışmalar yürütüldüğünü belirttiği,
  • Kişisel verilerin yurtdışına aktarımı hakkında; 
    • Kanun’un 9’uncu maddesinde “Kişisel verilerin yurt dışına aktarılması” hususunun düzenlendiği, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rıza “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmış olup açık rıza açıklamasının, ilgili kişinin işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini belirlemesini sağladığı, bu kapsamda açık rızanın, rıza veren kişinin olumlu irade beyanını içermesi gerektiği, veri sorumlusunun, veriyi kullanımı sonrasında gerçekleştireceği yurt dışına veri aktarımı gibi ikincil işlemler için ayrıca açık rıza alması gerektiği, açık rızanın alındığına dair ispat yükümlülüğünün veri sorumlusuna ait olduğu, 
    • Türkiye Ticaret Sicili Gazetesinde yapılan inceleme sonucunda veri sorumlusunun ortaklarının yabancı uyruklu iki farklı şirket olduğu, veri sorumlusunun internet sitesinde yayımladığı dokümanların ve VERBİS sorgu sayfasının, kişisel verilerin yurtdışına aktarımı yönünden incelenmesi sonucunda ise;
      • Yabancı uyruklu ortak şirketlerden biri tarafından hazırlanan “Gizlilik Politikası” metninde “…Aşağıdaki gizlilik politikası bize vermiş olduğunuz bireysel tanılanabilir bilgileriniz ve elde ettiğimiz bireysel olmayan tanılanabilir bilgilerinizi nasıl topladığımız, sakladığımız, tuttuğumuz ve kullandığımız, bu maddeler dahil ancak bunlarla sınırlı olmayan tüm aktiviteler hakkında sizi bilgilendirir…” ifadesi ile “Çevrimiçi ürünlerimizdeki ücretli servislerle bağlantılı olarak, üçüncü partilerle ticari ilişkiler kurmak zorundayız. Bu ilişkiler neticesinde müşterilerin istedikleri ücretli servisler ve/veya ürünlerin sistemini başarılı bir şekilde yürütebilmek için müşterilerimizin şahsi tanılanabilir bilgilerinin kaydının tamamını veya bir kısmını paylaşıyoruz.” ifadesinin yer aldığı, 
      • Kullanıcı Sözleşmesi” metninde ise “…Şirket bu sözleşmedeki tüm şartlar ve koşulları kabul etmeniz ve gönderilen Davranış Kurallarına uymanız halinde çevrimiçi bilgisayar oyunlarını oynamanıza izin verir. Eğer sözleşmeyi kabul ediyorsanız, lütfen bu sözleşmenin sonundaki “Bu KULLANICI SÖZLEŞMESİ’ni kabul ediyorum” ve “Bu GİZLİLİK POLİTİKASI’nı kabul ediyorum” düğmesine basınız…” ifadesinin yer aldığı, veri sorumlusu internet sitesinde oyun hesabı oluşturmak amacıyla “Kayıt Ol” sekmesine tıklandığında üyeliği gerçekleştirebilmek için “ID, e-posta, şifre” bilgilerinin girilmesi ve “Şunları okuduğumu, anladığımı ve kabul ettiğimi bildiriyorum: Kayıt Ol KVK Aydınlatma Metni, Kullanıcı Sözleşmesi, Gizlilik Politikası ve Davranış Kuralları. Eğer 13 yaşında iseniz ve yaşadığınız ülkedeki reşit olma yaşının altında iseniz, bu Kullanıcı Sözleşmesini ailenizle birlikte gözden geçirmelisiniz.” ifadesinin yer aldığı bir kutucuğun işaretlenmesi gerektiği, “Kayıt Ol Aydınlatma Metni”nde ise veri sorumlusu tarafından ilgili kişilerden temin edilen “ID, e-posta, şifre” gibi kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartları kapsamında işlendiği; hesap oluşturan kullanıcıların kişisel verilerinin oyun hesabının oluşturulması, oyuncu grubuna katılımların sağlanması, sisteme girişin gerçekleştirilmesi, sunulan ürün ve hizmetlerden faydalanılabilmesi amaçlarıyla iş ortaklarıyla, tedarikçilerle, talep edilmesi ve/veya hukuken gerekmesi halinde yetkili kamu kurum ve kuruluşları, adli makamlar, mahkemeler ve noterler ile Kanun’un 8’inci ve 9’uncu maddelerine uygun olarak paylaşılabileceğinin ifade edildiği, 
      • “Kişisel Veri Koruma Politikası” başlıklı metinde ise kişisel veri sahibi kategorisinin; çalışan adayı, çalışan, hissedar/ortak, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi ile ziyaretçileri kapsadığı, kişisel verilerin paylaşıldığı taraf kategorisi kapsamında ise tedarikçiler, yetkili kamu kurum ve kuruluşları ile hissedarların sayıldığı, söz konusu metinde yer alan “ürün ve hizmet alan kişi” kategorisinin, veri sorumlusu internet sitesinde yayımlanan Kayıt Ol Aydınlatma Metnini, Kullanıcı Sözleşmesini ve Gizlilik Politikasını kabul etmek suretiyle veri sorumlusu tarafından internet sitesi üzerinden sunulan çevrim içi sanal bilgisayar oyunu hizmetinden faydalanmak ve istenildiğinde oyun ürünü satın alabilmek amacıyla üyelik hesabı oluşturan ilgili kişileri kapsadığı, 
      • VERBİS’e kayıtlı olan veri sorumlusunun VERBİS’e kaydettiği bilgiler incelendiğinde; veri konusu kişi grubunun çalışan adayı, çalışan, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi ile ürün veya hizmet alan kişileri kapsadığı; yurtdışına aktarılan veri kategorilerinin ise kimlik, iletişim (adres no, e-posta adresi, iletişim adresi, KEP adresi, telefon no) ve işlem güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri) olduğunun görüldüğü, 
    • Ayrıca “veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğindeki e-posta adresi ve IP adresinin yurtdışına aktarımının yapılıp yapılmadığı hususunda kesin bir kanaate varılamadığından” veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme yapılması neticesinde; veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı, sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile sözleşme yapıldığı, veri sorumlusu tarafından sunulan veri tabanlarının yedeklenmesine ilişkin ekran görüntüleri incelenmiş olup bir bulut bilişim platformunda çevrim içi sanal oyunlar kapsamındaki bilgilerin (oyun seviyesi, oyunda kullanılan eşyalar, vb.) yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin tespit edildiği, bu çerçevede veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurtdışına aktarımının yapılmadığı kanaatine varıldığı,
  • Çerezler aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetinin hukuka uygunluğu hakkında; 
    • Kurumumuz tarafından yayımlanmış olan “Çerez Uygulamaları Hakkında Rehber”de, veri sorumluları tarafından çerezlerin kullanılması suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinde dikkat edilmesi gereken hususlara yer verildiği, bu çerçevede özetle; çerezler aracılığıyla kişisel veri işlenirken, “Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması” ve “Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması” kriterlerinin göz önünde bulundurulması gerektiği, açık rıza şartına dayanılarak gerçekleştirilecek olan kişisel veri işleme faaliyetinde açık rızanın kullanıcının aktif eylemine (örneğin kullanıcıya sunulan çerez tercihlerinin “opt-in” yönteminin kullanılması) dayanması gerektiği, çerez kapsamında açık rıza alınırken internet sitesine girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulmasının iyi uygulama örneği olabileceği, aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesinin yerinde olacağı, 
    • İlgili kişinin şikayetinde veri sorumlusunun internet sitesinde yayımlanan çerez politikasında açık rızası olmadığı halde "Kullanıcının bu Site'yi ziyaret etmesi, işbu politika kapsamında çerez kullanımına onay verdiği anlamına gelmektedir." denildiği ve yurt dışında bulunan bazı firmaların üçüncü parti çerezleri kullanılarak kişisel verilerinin işlendiği ve yurt dışına aktarıldığını iddia ettiği, 
    • Veri sorumlusunun internet sitesinde zorunlu çerezler, işlev çerezleri, analiz/performans çerezleri ile hedefleme/reklam çerezlerinin kullanıldığı, çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, gerekli çerezler dışındaki çerezler yoluyla kişisel veri işleme faaliyeti için “tüm çerezlere izin ver” seçeneğinin sunularak topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, ancak açık rıza alınmasını gerektiren her bir çerez tipi için seçeneklerin sunulması suretiyle “opt-in” yöntemiyle açık rıza alınması gerektiğinden veri sorumlusunun açık rıza metninin  açık rızanın “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarını sakatladığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği, 
    • Diğer taraftan veri sorumlusunun internet sitesinde yayımlanan “Çerez Beyanı” ve “Çerez Politikası”nda yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, ancak Çerez Uygulamaları Hakkında Rehber’de de belirtildiği üzere, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü tarafın, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlü olduğu, Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla kullandığı çerezler aracılığıyla yurt dışına veri aktarımı faaliyetini gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği dikkate alındığında; ilgili kişilerin açık rızasının alınmadığı ve Kanun’un 9’uncu maddesine aykırı bir şekilde yurtdışına aktarım yapıldığı, 
    • Çerezler aracılığıyla kişisel veri işlenmesi faaliyetine ilişkin olarak aydınlatma yükümlülüğünün yerine getirilmesi bakımından ise internet sitesinde yer alan “Çerez Politikası” ve “Çerez Beyanı” metinlerindeki tablolarda çerezlere ilişkin farklı bilgilerin yer aldığı tespit edildiğinden tabloların güncellenmesi ve yeknesak hale getirilmesi gerektiği

değerlendirmelerinden hareketle;

  • Veri sorumlusuna ait internet sitesinde yayımlanan çerezlere ilişkin pop-up açıklaması altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçeneğin sunulduğu, “tüm çerezlere izin ver” seçeneği sunularak gerekli çerezler kategorisi dışındaki her bir çerez tipi için topluca açık rıza alma yoluna gidildiği ve ilgili kişilere tercih etme imkanının sunulmadığı, Çerez Beyanı ve Çerez Politikası metinlerinde yer alan çerez tablosunda üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği, üçüncü taraf çerez sağlayıcısının yurt dışında yerleşik bir firma olduğu, veri sorumlusu tarafından internet sitesinde çerezler yoluyla açık rıza şartına dayalı olarak gerçekleştirilen kişisel veri işleme faaliyetinde açık rızanın unsurlarından olan “belirli bir konuya ilişkin olması” ve “özgür iradeyle verilmesi” unsurlarının sağlanmaması nedeniyle açık rızanın sakatlandığı ve Kanun’un 5’inci maddesi kapsamında hukuka uygun bir kişisel veri işleme faaliyetinin gerçekleştirilmediği; diğer taraftan sağlayıcısı yurt dışında yerleşik şirketler olan ve zorunlu çerez kategorisinde bulunan üçüncü taraf çerezler kullanılarak kişisel verilerin yurt dışına aktarımının yapılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 9’uncu maddesinde belirtilen yurt dışına veri aktarım şartlara dayanmaması nedeniyle hukuka aykırı olduğu kanaatine varılmış olup Kanun’un 12’inci maddesinde düzenlenen veri güvenliği yükümlülüklerine aykırı hareket ettiği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 750.000 TL idari para cezası uygulanmasına,
  • Çerez Politikası ve Çerez Beyanı metinlerinin birbiri ile tutarlı ve uyumlu olacak şekilde, Çerez Uygulamaları Hakkında Rehber de dikkate alınmak suretiyle Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi, söz konusu metinlerde çerezler yoluyla kişisel verilerin yurt dışına aktarımının yapıldığı hususuna yer verilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Çerezler yoluyla kişisel verilerin yurt dışına aktarımı için ilgili kişilerden ayrıca açık rıza alınmasına yönelik gerekli düzenlemelerin internet sitesinde yapılması ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun internet sitesinde yayımlanan kişisel verilerin işlenmesi faaliyetine ilişkin “Gizlilik Politikası”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” başlıklı metinlerin birbirleriyle ve VERBİS’e işlenen bilgiler ile tutarlı ve uyumlu olacak şekilde Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusuna ait internet sitesinde sunulan çevrim içi oyun hizmetinde, oyun sunucularının yurtiçinde tutulması nedeniyle oyun sunucuları üzerinden oyuncuların/üyelerin kişisel verilerinin yurtdışına aktarımının yapılmadığı dikkate alındığında; web sitesinde yayımlanan “Gizlilik Politikası”, “Kullanıcı Sözleşmesi”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası”nın ve VERBİS kaydının kişisel verilerin yurt dışına aktarımı ile ilgili bölümlerinin güncellenmesi ve Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusu tarafından yurt içinde tutulmak üzere 11 oyun sunucusunun satın alındığı; sunuculara ilişkin güvenlik, barındırma vb. hizmetler için bir firma ile Hizmet Sözleşmesi yapıldığı ve aylık hizmet bedeli ödendiği; söz konusu firmanın sistem odasında bulunan veri sorumlusuna ait oyun sunucularının numaralarının, Hizmet Sözleşmesi ekinde belirtilen sunucuların numaraları ile aynı olduğu; veri sorumlusu tarafından bir bulut bilişim sisteminde çevrim içi sanal oyunlar kapsamındaki bilgilerin (oyun seviyesi, oyunda kullanılan eşyalar, vb.) yedeklendiği, oyuncuların/üyelerin kişisel verilerinin yedeklenmediğinin yerinde inceleme neticesinde tespit edildiği dikkate alındığında; veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurt dışına aktarımının yapılmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına,
  • İlgili kişi tarafından bahse konu çevrim içi oyun oynandığı sırada, veri sorumlusunca kullanılan ve şikayete konu olan yazılımın, oyun kullanıcısı tarafından hile ve sahtekarlık amacıyla bir yazılımın kullanılıp kullanılmadığını tespit etmek amaçlı olarak “exe.” uzantılı dosyaların türünü ayırt etmek için kullanılan bir yazılım olduğu dikkate alındığında; oyun kullanıcısı/üye olan ilgili kişinin bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı kanaatine varılmış olup bu hususta Kanun kapsamında veri sorumlusu hakkında tesis edilecek herhangi bir işlem bulunmadığına 

karar verilmiştir.