Amazon Türkiye’ye 1,2 Milyon TL Kişisel Veri Cezası: 2020/173 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 27/02/2020 tarihli bu kararıyla, küresel e-ticaret devlerinin Türkiye’deki faaliyetlerinde KVKK uyumunun “kağıt üzerinde” kalamayacağını tescil etmiştir. Karar; açık rızanın hizmet şartına bağlanması, yurt dışına veri aktarımı ve çerez yönetimi gibi dijital pazarlamanın en kritik alanlarına dair ders niteliğinde tespitler içermektedir.
1. Olayın Özeti: “Kabul Ediyorum” Demek Yetmiyor
Olay: Bir ihbar üzerine Amazon Türkiye (www.amazon.com.tr) hakkında resen inceleme başlatılmıştır. İncelemede; siteyi ziyaret edenlerin otomatik olarak elektronik iletiye onay vermiş sayılması, kişisel verilerin açık rıza olmaksızın yurt dışına aktarılması ve üyelik şartı olarak tüm gizlilik politikalarının dayatılması gibi hususlar değerlendirilmiştir.
Amazon’un Savunması: * Müşterilerin hesap oluştururken “Gizlilik Bildirimi”ni onayladığı,
- İletişim tercihlerini istedikleri zaman değiştirebildikleri (opt-out),
- Yurt dışına aktarım için taahhütname başvurularının sürdüğü iddia edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Battaniye Rıza” Hukuksuzdur
Kurul, Amazon’un veri işleme süreçlerini KVKK’nın temel ilkeleri üzerinden mahkûm etmiştir:
A. Açık Rızanın “Hizmet Şartına” Bağlanması (Md. 4)
Amazon, “Belirli bilgileri vermezseniz hizmetlerden yararlanamazsınız” diyerek açık rızayı bir zorunluluk olarak sunmuştur.
- Karar: Bir hizmetin sunulmasının açık rıza şartına bağlanması, rızayı “sakatlar” ve özgür iradeyi ortadan kaldırır. Bu durum dürüstlük kuralına aykırıdır.
B. “Opt-Out” (Vazgeçme) Değil, “Opt-In” (Katılım) Esastır
Amazon sisteminde pazarlama e-postaları için kutucukların önceden işaretli (tıklanmış) olarak gelmesi ve kullanıcının bunu kaldırmasının beklenmesi hukuka aykırı bulunmuştur.
- Kural: Kişi, kendi bilinçli eylemiyle (tık atarak) onay vermelidir. Önceden onaylı gelen sistemler “açık rıza” sayılmaz.
C. Yurt Dışına Veri Aktarımı (Md. 9)
Türkiye’deki verilerin ABD ve AB’ye aktarılması için Kurul izni veya “yeterli koruma” ilanı bulunmadığından, tek yol açık rızadır.
- İhlal: Amazon’un “Hizmeti kullanarak aktarımı kabul etmiş sayılırsınız” şeklindeki zımni/varsayımsal onayı, Kanun’un 9. maddesine aykırıdır.
D. Çerezler ve Aydınlatma (Md. 10)
Siteye girildiği anda çerezler vasıtasıyla veri işleme başlamasına rağmen, giriş aşamasında bir aydınlatma (pop-up vb.) yapılmadığı tespit edilmiştir.
- Eksiklik: Sadece sitenin en altında link olarak duran “Gizlilik Bildirimi”, usulüne uygun bir aydınlatma yükümlülüğü yerine geçmez.
3. Karar Sonucu: Rekor İdari Para Cezası
Kurul inceleme neticesinde iki ayrı ceza uygulamıştır:
- Veri Güvenliği İhlalleri (Md. 12): Yurt dışına usulsüz aktarım, rızasız ticari ileti ve genel ilkelere aykırılık nedeniyle 1.100.000 TL,
- Aydınlatma Yükümlülüğü İhlali (Md. 10): Çerezler ve üyelik aşamasındaki eksik bilgilendirme nedeniyle 100.000 TL,olmak üzere toplam 1.200.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
Ayrıca Amazon’a; Gizlilik Bildirimi, Kullanım Şartları ve Çerez Politikalarını KVKK’ya uygun hale getirmesi için talimat verilmiştir.
4. Özgür Eralp Perspektifi: “Global Standartlar Yerel Kanunları Ezmemeli”
Bilişim hukuku alanındaki tecrübemizde, Amazon gibi dev yapıların tüm dünyada uyguladıkları “Standart Gizlilik Sözleşmeleri”ni Türkiye’de de doğrudan kullanmaya çalıştıklarını görüyoruz. Ancak bu karar gösteriyor ki; Türkiye’de faaliyet gösteriyorsanız, KVKK’nın “açık rıza” ve “yurt dışına aktarım” konusundaki katı kurallarına uymak zorundasınız.
Bir yatırımcı avukat vizyonuyla uyarım şudur: E-ticaret siteleri, “Sözleşmeyi onaylıyorsan verini de alırım” şeklindeki “Battaniye Rıza” (Blanket Consent) mantığından derhal vazgeçmelidir. Kullanıcıya seçim şansı tanınmayan, “ya hep ya hiç” tarzı dayatmalar, Kurul nezdinde en yüksek sınırdan cezalandırılmaktadır. 2026 yılı güncel limitlerinde bu cezalar on milyonlarca liraya ulaşabilmektedir.
Sıkça Sorulan Sorular
1. Amazon gibi bir siteden alışveriş yaparken her şeyi onaylamak zorunda mıyım?
Hayır. Alışveriş için gerekli olan veriler (isim, adres, ödeme) “sözleşme ifası” için işlenebilir ancak reklam mailleri almak veya verilerinizin yurt dışına aktarılması için size ayrı ve seçilebilir onay kutucukları sunulmalıdır.
2. Çerez (Cookie) onay penceresi çıkmıyorsa ne olur?
Bu bir KVKK ihlalidir. Kurul bu kararda, siteye giriş anında aydınlatma yapılmamasını doğrudan ceza sebebi saymıştır.
3. “Gizlilik Politikası” linkine tıklamam aydınlatıldığım anlamına gelir mi?
Hayır. Aydınlatma aktif bir bilgilendirme gerektirir. Sizin bir linki arayıp bulmanız değil, verinin toplandığı anda bilginin size sunulması esastır.
4. 1.200.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki bu ceza, günümüzde (2026) çok daha sarsıcı maliyetlere ve ciddi prestij kaybına karşılık gelmektedir.
5. Arkadaşımın e-postasını Amazon’a verirsem ne olur?
Kararda belirtildiği üzere; Amazon’un üyelerinden başkalarına ait (arkadaşlar vb.) e-postaları toplamasını Kurul, o kişilerin rızası olmadığı için hukuka aykırı bulmuştur. Bir başkasının verisini rızasız paylaşmak hem sizin hem de paylaşan kurumun sorumluluğundadır.
Kaynaklar
- KVKK Kurumu – 2020/173 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 5, 9, 10, 12 ve 18)
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
Etiketler
KVKK, Amazon Türkiye, Yurt Dışına Veri Aktarımı, Açık Rıza, Çerez Politikası, İdari Para Cezası, 2020/173 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, E-Ticaret Hukuku, Aydınlatma Yükümlülüğü, Ticari Elektronik İleti
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),