Kişisel Verilerin İşlenmesi Hizmet Şartı Kabul Edilebilir mi?

Bilindiği üzere açık rıza; kişisel verileri işlenecek olan ilgili kişinin kişisel veri işleme sürecine dair yeterli bilgi sahibi olması, hiçbir tereddüde mahal verilmeyecek şekilde kendisiyle ilgili veri işlenmesine onay vermesi anlamına gelmektedir. Açık rıza üyeliğin ve hizmetin koşullu bir dayatması olmamalıdır.

Kişisel Verilerin İşlenmesi Hizmet Şartı Kabul Edilebilir mi?

Bilindiği üzere açık rıza; kişisel verileri işlenecek olan ilgili kişinin kişisel veri işleme sürecine dair yeterli bilgi sahibi olması, hiçbir tereddüde mahal verilmeyecek şekilde kendisiyle ilgili veri işlenmesine onay vermesi anlamına gelmektedir. Açık rıza üyeliğin ve hizmetin koşullu bir dayatması olmamalıdır. Hizmetin açık rıza şartına dayandırılması açık rızayı zedelemektedir.

Yazımızda anlatacağımız somut olayda;

Veri Sorumlusu: web sitesi sahibi kişidir. KVKK'ya yapılan ihbar başvurusunda veri sorumlusunun kendisine ait web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği, e-posta adresinin istendiği, istenilen kişisel veriler alınmadan ana sayfaya geçiş imkânının bulunmadığı ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları yer almaktadır. KVKK konu ile alakalı inceleme başlatmıştır. KVKK tarafından verilen kararda herhangi bir cezai yaptırım öngörülmemiş; şirketin Aydınlatma Yükümlülüğünü 6698 sayılı KVKK'ya uygun şekilde talimatlandırması istenmiştir.

Somut olaya ilişkin tüm şirketleri ilgilendiren sonuçları özetleyecek olursak;

Açık rıza kişilerin kişisel verilerinin işlenmesine ilişkin olumlu irade beyanını içermelidir. Keza 6698 sayılı Kanunda da açık rıza “belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması” olarak tanımlanmıştır.

Belirli bir hizmetin sunumu için oluşturulan web sitelerde yer alan;

 “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır." 


şeklindeki metinler 6698 sayılı KVKK'ya uygun değildir. Şöyle ki kişilerden açık rıza gerektirmeyen durumlarda alınan açık rıza kötü niyetli kullanıma açıktır. Kanunun 5 inci maddesinin 2 fıkrasında yer alan kişisel veri işleme şartlarından herhangi birisinin gerçekleşmesi açık rıza alınmadan kişisel verilerin işlenebileceği anlamına gelmektedir.

Açık rıza ve aydınlatma yükümlülüğü farklı kavramlardır. Aydınlatma yükümlülüğü yerine getirilirken; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılacağı, kişisel veri toplamanın hukuki yöntemi, ilgili kişinin 11 inci maddede sayılan hakları mutlaka içerikte bulunmalıdır. Açık rıza ise kişisel veriler işlenirken ilgili kişinin bilgilendirilmesi ve onayı anlamına gelen bir ön şarttır fakat; veri sorumlusu,

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızasını almaya gerek yoktur;

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Dolayısıyla KVKK uyum süreçlerini gerçekleştirecek olan şirketler, Açık Rıza Onamı ve Aydınlatma Yükümlüğü arasındaki farkı ayırt ederek hareket etmelidir. İlgili süreçler ayrı ayrı takip edilmelidir.

Konuya ilişkin KVKK 08/07/2019 tarih ve 2019/206 sayılı Karar Özeti aşağıdaki şekildedir;

 

Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında” Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Karar Özeti

 
Karar Tarihi : 08/07/2019
Karar No : 2019/206
Konu Özeti :Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğün usulüne uygun yerine getirmediği iddiaları hakkında


Kurumumuza intikal eden ihbar başvurusunda özetle, veri sorumlusunun hizmet sunduğu web sayfasına girildiğinde, giriş yapılması için zorunlu bir alan çıktığı ve e-posta adresinin talep edildiği, istenilen kişisel veriler verilmeden ana sayfaya geçiş imkânının bulunmadığı ve bu bakımdan söz konusu kişisel verinin verilmesinin bir hizmet şartı olarak talep edildiği; kişisel veri talebi sırasında aydınlatma yükümlülüğü kapsamında sunulan metnin, işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia edilmekte olup, konuya ilişkin olarak başlatılan resen inceleme çerçevesinde alınan 08/07/2019 tarih ve 2019/206 sayılı Kurul Kararı ile;

1- 6698 sayılı Kişisel Verilerim Korunması Kanunu çerçevesinde açık rızanın, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşıdığı, kişinin açık rıza açıklaması ile aslında veri sorumlusuna kendi hukuksal değerine ilişkin verdiği kararı bildirdiği ve açık rıza açıklamasının, ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını ve gerçekleştirilme biçimini de belirlemesini sağlayacağı, açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerektiği,

Kanunun 3 üncü maddesinde yer verilen açık rıza tanımı kapsamında açık rızanın “belirli bir konuya ilişkin olması, rızanın bilgilendirmeye dayanması ve özgür iradeyle açıklanması” şeklinde üç unsurunun bulunduğu,

Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınmasının, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği, Kurumumuza intikal eden ihbarda bahse konu web sayfasının, kişisel verinin işlenmesini bir hizmet şartı olarak talep ettiğinin iddia edildiği,

Bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasının, açık rızanın özgür iradeyle açıklanmış olması kuralına aykırılık teşkil edecek olmakla birlikte, incelemeye konu web sitesinin, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı niteliğinde olmadığı; farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolü üstlendiğinin görüldüğü,

Bu çerçevede söz konusu Sitenin, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetler açısından üyelerine artı bir menfaat/avantaj sağladığı; siteye üye olmak istemeyen müşterilerin, söz konusu site bünyesinde yer almakla birlikte, farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetlere erişim, bu ürünleri ya da hizmetleri satın alma imkânlarının da ortadan kaldırılmadığı;

Bu anlamda iddiaya konu hususta, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade Site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu

değerlendirmelerinden hareketle, iddiaya konu hususa ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında tesis edilecek herhangi bir işlem bulunmadığına,

2- İkinci olarak Kanunun 10 uncu maddesi hükmü uyarınca, kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişinin, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğu,

“Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in; 5 inci maddesinin birinci fıkrasının

(f) bendinde; “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmünün,

(g) bendinde; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.” hükmünün,

(ğ) bendinde; “Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.” hükmünün,

(h) bendinde; “Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.” hükmünün,

(j) bendinde ise; “Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.” hükmünün

yer aldığı,

İhbara konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metin, söz konusu mevzuat düzenlemeleri çerçevesinde incelendiğinde;

Web sitesinin ilgili kişiler hakkında işlediği ad, soyadı, doğum tarihi, cep telefonu numarası, e-posta, cinsiyet, adres, sosyal medya hesaplarıyla bağlanılması durumunda üyenin o kanallar aracılığıyla paylaşılmasına onay verdiği bilgilerin, üyenin tüm alışveriş bilgilerinin, yani hangi üye işyeri, alışveriş noktası ve zamanı, ne kadar ödeme yaptığı, hangi kampanyadan faydalandığı, aldığı indirim tutarı, alışverişindeki ürün bilgileri, uygulama üzerindeki gezinme ve tıklama bilgilerinin, uygulamayı açtığı lokasyon bilgilerinin, “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde mi yoksa ilgili kişilerin açık rızalarına istinaden mi işlendiğinin ya da söz konusu kişisel verilerin hangilerinin “ilgili mevzuat”tan kaynaklanan yasal yükümlülük çerçevesinde hangilerinin ise ilgili kişilerin açık rızalarına istinaden işlendiğinin açıkça belirtilmemiş olduğu,

İlgili kişilerin kişisel verilerin işlenmesinin hukuki sebebi olarak “ilgili mevzuattan kaynaklanan yasal yükümlülük”ten bahsedildikten sonra, aydınlatma metninin devamında, “… söz konusu amaç ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verilerinizi … sizlerden talep etmektedir. Bu kişisel veriler veri sorumlusunun sunmuş olduğu hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden, … işlenecek ve saklanacaktır.” şeklinde bir bilgilendirmede bulunularak, kişisel veri işleme faaliyetinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu,

Oysa kişisel veri işleme faaliyetinin, Kanunda bulunan açık rıza dışındaki şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği,

dikkate alındığında, bahse konu web adresi üzerinden erişim sağlanan “GİZLİLİK ve KVK Politikamız” başlıklı metnin, “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun düzenlenmediği, bu kapsamda söz konusu metnin Tebliğde yer verilen hükümler dikkate alınmak suretiyle güncellenmesi, ayrıca aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği yönünde Şirketin talimatlandırılmasına

karar verilmiştir.

 

Güncelleme Tarihi: 04 Mart 2022, 15:50
YORUM EKLE
SIRADAKİ HABER