KVKK’dan yeni ilke kararı : Reklam yaparken iki kere düşün!

Kişisel Verileri Koruma Kurulu, ilgili kişilerin e-posta adreslerine veya cep telefonlarına izinsiz bir şekilde reklam bildirimi/ aramaları yapılmasının önüne geçmek adına bir ilke kararı aldı.

Veri sorumluları ve işleyenlerinin Kanun kapsamında geçerli bir hukuki sebebe dayanmaksızın ilgili kişilere reklam içerikli yönlendirme yaptığı hususunda kendisine Kurum’a pek çok başvuru yapıldığını vurgulayan kararda;

  • İlgili kişilerin rızalarını almadan veya Kanun’un 5. maddesinde hüküm altına alınan işleme şartları sağlamadan gerçekleştirilen veri işleme faaliyetlerinin derhal durdurulması gerektiği,
  • Söz konusu işleme faaliyetinin veri işleyen tarafından gerçekleştirilse dahi veri sorumlularının bu durumdan müştereken sorumlu olduğu,
  • Bu tip geçerli bir hukuki sebebe dayanmayan işleme faaliyetleri hakkında Kanun’un 18. maddesi çerçevesinde işlem tesis edileceği,
  • İlgili işleme faaliyetinin ayrıca 5271 sayılı Ceza Muhakemesi Kanunu’nun 158. maddesi uyarınca ihbaren ilgili Cumhuriyet Başsavcılığına bildirileceği,

sonuçlarına ulaşılmıştır.

Dolayısıyla gerek veri sorumluları gerekse veri işleyenlerin geçerli bir hukuki sebebe dayanmayarak ilgili kişilerle iletişim kurma hususunda iki kere düşünmelerinde ve bir profesyonele danışmalarında fayda var.

İlgili karar metnine buradan ulaşabilirsiniz.

Kişisel verilerin korunması alanına ilişkin tüm gelişmeleri blogumuz üzerinden sizlere aktarmaya devam edeceğiz.

Sercan Sağmanlıgil

Yine Uber! Bu sefer Data Protection ihlali

Bu yazıda içlerinde 600,000 sürücünün de bulunduğu 57 milyon müşterinin etkilendiği bir siber sızıntıyı ele alacağız. Söz konusu sızıntı dünyaca bilinirliği olan uluslararası ulaşım şebekesi Uber nezdinde gerçekleşti.

Şirket, 2016 yılında, müşterilerin isimleri, e mail adresleri, telefon numaraları, sürücülerin ehliyet bilgileri gibi verilerin de içinde yer aldığı bir veri hırsızlığı olayıyla karşı karşıya kalmıştı. Fakat şirketin o dönemki CEO’sunun, sızıntıdan 2016 Kasım’da haberdar olduktan sonra zarar gören ilgili kişilere bildirimde bulunmadığı anlaşıldı. Bunun yerine verileri çalan hackerlarla olayı gizli tutmaları ve çalıntı verileri silmeleri için $100,000’a anlaştığı ortaya çıktı. Yaklaşık bir yıl boyunca üstü örtülen bu olayı Şirketin yeni CEO’su Dara Khosrowshahi’nin olaydan haberdar olur olmaz açığa çıkardığı haberlere yansıdı.
Bunun üzerine İowa eyaleti yerel mahkemesi Uber’i 50 eyalet ve Washington DC’nin savcılarına ödeme yapmaya hükmetti. Eyalet savcılarının tutar hakkındaki görüşmeleri sonucu ödenecek en büyük meblağ 26 milyon dolarlık talebiyle Kalifornia eyaleti savcısına oldu. Bunu takiben sırasıyla İllinois ve New York eyaletlerinin 8.5 milyon dolar ve 5.1 milyon dolar elde ettikleri, İowa’nın ise 612,950 dolar edindiği biliniyor. Bu farklı tutarların belirlenmesindeki koşulun İowa eyalet savcısı Tom Miller’ın açıklamasına göre etkilenen sürücü sayısıyla alakalı olduğu tespit edildi. Böylelikle verileri korumak adına yeterli tedbirleri alamaması ve yetkili mercilere ihbarda bulunmaması Uber’e 148 milyon dolara mal oldu.

Bu nakit uzlaşmaya ek olarak Uber, daha çetin veri koruma politikaları benimseyerek gelecekte olması imkan dahilindeki sızıntıları engelleme, ayrıca düzenli olarak güvenlik durumları hakkında yetkili mercilere rapor verme yükümlülüğü altında.

Çok yakın zamanda yaşanan bu siber saldırı ve ardından gelen ilgililerin zararlarını tazmin süreçleri gösteriyor ki veri korunma alanı tüm dünyada gittikçe daha da önem kazanıyor. Şirketlerin yeni yasalara yeterli uyumu sağlayamaması hem maddi hem itibari olarak büyük zararlara sebep olmakta. Hızlanan süreç, Türkiye’de de önemli kararları yavaş yavaş görmeye başlayacağımıza bir işaret.

Sare Goluoğlu

Duymayan kalmasın: VERBİS Açıldı

Bugün itibariyle Kişisel Verilerin Korunması Kanunu ve Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında VERBİS – Veri Sorumluları Sicil Bilgi Sistemi açılmıştır. Sicile kayıt sisteminin nasıl işlediğini hatırlayacak olursak VERBİS, veri sorumlularının veri siciline başvurularını ve sicille ilgili diğer işlemlerinde kullanacakları, internet üzerinden erişilebilen bir sistemdir. Kişisel Verilerin Korunması Kurumu’nun sitesinden VERBİS bölümüne tıklanmasıyla sisteme erişilebilmektedir.

Sistemde “Veri Sorumlusu Yönetici Girişi”, “Sicile Kayıt” ve “Sicil Sorgulama” bölümleri bulunmakta, bir de Sistem hakkında hazırlanan detaylı bir kılavuza ulaşılabilmektedir. Bu kılavuz veri sorumluları için Sistem’e giriş, kayıt, yurtiçinde / yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlusu için bilgi formları ve nasıl düzenlenecekleri, veri sorumlusu yöneticisi bakımından irtibat kişisinin nasıl atanacağı ve bu kişinin sisteme nasıl giriş yapabileceği, son olarak da sicil sorgulama işlemleriyle ilgili ayrıntılı bilgilere yer vermektedir.

Sisteme ilişkin daha detaylı bilgileri en kısa sürede sizinle paylaşacağız.

Sare Goluoğlu

 

Paylaşım Ekonomisi: Rekabet Hukuku Perspektifinden Uber’in İşleyişi

Mark Anderson ve Max Huffman tarafından kaleme alınan The Sharing Economy Meets the Sherman Act: Is Uber a Firm, a Cartel, or Something in Between? adlı makale kuşkusuz geçtiğimiz yılın rekabet hukuku alanında yayınlanan en başarılı çalışmalarından biri. Yazarlarımızdan Sercan Sağmanlıgil, bu makalenin ana başlıklarını sizler için özetliyor.

Teknoloji ve internet hızla gelişmeye, bu gelişme ise piyasaları etkilemeye devam ediyor. Önü alınmaz değişimin sonuçlarından bir tanesi de paylaşım ekonomisi kavramı. Özünde herhangi bir üçüncü kişiye ihtiyaç duyulmaksızın satıcı ve alıcının doğrudan iletişim kurması ile bir hizmetin ifa edilmesi anlamına gelen bu yeni kavram, geleneksel ticari model yapılarından önemli ölçüde ayrılıyor. Daha yalın bir dil ile ifade etmek gerekirse, paylaşım ekonomilerinde bireysel kişiler sermaye ve emeği koyarken, ana platform pazarlama faaliyetlerini ve yapısına göre farklılık gösterebilen kontrol mekanizmasını işletiyor. Bu farklılık ise geleneksel ticari modellere göre dizayn edilmiş rekabet hukuku kurallarının bu yeni trende nasıl uygulanacağını sorunsalı ile bizi karşı karşıya bırakıyor.

Bu çerçevede ilgili makalede söz konusu ticari modellerin rekabet hukuku kurallarının temelini oluşturan Sherman Act altında incelenmesine yer veriliyor. Bilindiği üzere, Sherman Act, davranışları rekabet hukuku altında doğrudan hukuka uygun veya olmayan şeklinde ayırabiliyorken, bazı davranışların hukuka uygunluğunun tayin edilebilmesi için ilgili pazardaki ekonomik etkilerinin incelenmesi gerektiğini ifade ediyor. Bu doğrultuda, bir sonraki aşama ise inceleme altına alınan davranışın bir anlaşma neticesinde doğup doğmadığının tespit edilmesi üzerinde yoğunlaşıyor. Nitekim anlaşmanın varlığının tespit edilmesi için birtakım şartlar aranmasının yanında, anlaşmanın varlığı halinde de söz konusu anlaşmanın Sherman Act altında nasıl sınıflandırılacağı ayrıca önem arz ediyor.

Bununla birlikte, anlaşmanın rekabet hukuku bakımından uygunluğunun tespiti bakımından ikili bir ayrıma gidiliyor. Bazı anlaşmalar içeriği itibariyle per se (kendiliğinden) rekabet hukuku ihlali oluştururken, diğerleri rule of reason (haklı sebep) incelemesine tabi tutularak piyasada yaratmış olduğu etki çerçevesinde mercek altına alınıyor. Per se rekabet hukuku ihlaline sebebiyet veren anlaşmalara örnek olarak ise fiyat tespiti veya pazar paylaşımı içeren anlaşmalar örnek gösterilebiliyor.

Uber örneği üzerinden yapılan analizde ise, Uber ve sürücülerinin hukuken ayrı kabul edilmesi gerektiği ifade edilirken, öncelikle uber sürücüleri arasında bir “anlaşmanın” varlığından söz edilip edilemeyeceği mercek altına alınıyor. Yapılan incelemenin sonunda ise sözleşme hukuku bakımından söz konusu ilişkinin anlaşma niteliğine haiz olduğu belirtiliyor. Anlaşmanın varlığının tespitini takiben, bu anlaşmanın Sherman Act altında hangi sınıflandırmaya tabi olacağı inceleniyor. Makalede Uber ve sürücüleri arasındaki ilişki rekabet hukuku kapsamında dörtlü bir sınıflandırmaya tabi tutuluyor. Vertical restrictions on distribution, membership organizations, horizontal joint ventures ve joint sales agencies kategorileri altında yapılan incelemenin sonucunda, Uber ve sürücüleri arasındaki ilişkinin bu anlaşma tiplerinden, “membership organizations” ve “joint sale agencies” ile benzerlik taşıdığı belirtiliyor. Buna göre, membership organizations’larda olduğu gibi taraflar ortak hüküm ve koşullara tabi iken, joint sale agencies’de olduğu gibi ürün sürücüler tarafından üretilirken, pazarlama Uber platformu tarafından gerçekleştiriliyor. Bu durumda makalede, Uber sürücüleri arasında yatay bir anlaşma olduğu kabul ediliyor.

Söz konusu yatay anlaşmanın rekabet hukuku incelemesi bakımından önem arz eden hususun ise anlaşmanın per se ihlal oluşturup oluşturmadığının belirlenmesi olduğu ifade ediliyor. Yapılan analizin sonunda, Uber sürücüleri arasında nihai fiyatlara ilişkin işbirliğinin Uber platformunun kendi algoritmasından kaynaklandığı, bu yönüyle söz konusu anlaşmaların per se ihlal olarak kabul edilmemesi gerektiği vurgulanıyor. Buna göre bir ihlal iddiası olduğunda paylaşım ekonomisini benimseyen platformun söz konusu inovatif yatırımı çerçevesinde ilgili pazarda ne gibi bir pro-rekabetçi etki yarattığını ortaya koyması; söz konusu rekabetçi etkinin ise ilgili algoritmadan kaynaklanan fiyat birliğiyle ilişkilendirilmesi gerektiği belirtiliyor.

Sonuç olarak ilgili makalede özetle, Uber özelinde sürücülerin ilgili pazara giriş rahatlığı ile fiyat belirleme algoritması arasında organik bir bağ kurulması ve olası bir ihlal iddiası nezdinde bu bağın ortaya konulması gerektiği ifade ediliyor.

Makalenin tam metni için tıklayınız.

Bayram Öncesi KVKK’dan Beklenen Kararlar: Duymayan Kalmasın Sicile Kayıt Tarihleri Belli Oldu

Uzun süredir beklenen veri sorumluları siciline kayıt yükümlülüğünün başlangıç tarihi 18.08.2018 tarihli Resmi Gazetede yayınlanan Kurum kararı ile kamuoyuna duyuruldu. Bunun yanında sicilden istisna tutulan veri sorumlularının listesi de genişletildi. Detayları Sercan Sağmanlıgil aktarıyor. 

Son dönemde hemen hemen tüm şirketlerin gözü sicile kayıt işlemlerinin başlayacağı tarihi öğrenme adına Kişisel Verilerin Korunması Kurumu’nun (“KVKK”) üzerindeydi. Beklenen haber Bayram arifesinde, 18.08.2018 tarihli Resmi Gazetede yayınlanan Kurul kararları ile geldi.

Kurul, 19/07/2018 tarih 2018/88 sayılı kararı ile Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihinin 01.10.2018 olması ve Sicile kayıt yaptırmaları için bu veri sorumlularına 30.09.2019 tarihine kadar süre verilmesine karar verdi. Aynı tarihler yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları için de geçerli.

Ana faaliyet konusu özel nitelikli veri işleme olan gerçek ve tüzel kişi veri sorumluları için ise biraz daha ek süre tanınarak sicile kayıt başlangıç tarihi 2019 Ocak ayının başlangıcı olarak belirlendi. Söz konusu veri sorumluları 2020 yılı Nisan ayına kadar sicile kayıt yaptırabilecekler.

Kamu kurum ve kuruluşu veri sorumluları için ise Sicile kayıt yükümlülüğü başlangıç tarihi 01.04.2019, bitiş tarihi ise 30.06.2020 olarak belirlendi.

Sicile Kayıt Yükümlülüğünden İstisna Tutulan Veri Sorumlularına Ekleme

Kurul, yine aynı tarihli Resmi Gazete yayınlanan kararları ile veri sorumluları siciline kayıt yükümlülüğünden istisna tutulan veri sorumlularına yenilerini ekledi. Buna göre;

bakımından Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir.

Bu noktada belirtmek gerekir ki, sicile kayıt yükümlülüğünden istisna tutulmak 6698 sayılı Kanun kapsamında veri işleme esnasında uyulması gereken hüküm ve kurallardan da veri sorumlularının muaf tutulduğu anlamına gelmemektedir. İlgili veri sorumluları veri işlerken Kanun’a uyum göstermek zorundadır.

Veri sorumluları siciline kayıt ve istisna tutulanlar ile ilgili detaylar açıklandıkça sizleri bilgilendirmeye devam edeceğiz.

İyi bayramlar,

Sercan Sağmanlıgil

Avrupa Birliği’nden Dijital Vergi Hamlesi

Avrupa Birliği Komisyonu geçtiğimiz hafta dijital platformda ticari faaliyette bulunan şirketlerin vergilendirilmesine ilişkin yeni bir öneride bulundu.

Komisyon tarafından yapılan çalışmanın temelinde ise, vergilendirmeye ilişkin mevcut kuralların dijital ortamlarda son yıllarda yaşanan hızlı gelişmeye ayak uyduramaması, bu yönüyle dijital platformda hizmet sunan firmaların diğer firmalara oranla daha az vergi ödemesi yatıyor.

Hatırlanacağı üzere, geçtiğimiz yıllarda Amazon, Google gibi dijital platformda faaliyet gösteren büyük teknoloji firmalarının vergi planlamaları çerçevesinde elde ettikleri kazançlarına oranla çok daha düşük miktarda vergi ödediği, bunun da temel olarak vergi mevzuatı ve çifte vergilendirme anlaşmalarının günümüz gelişmelerine ayak uyduramıyor olmasından kaynaklandığı tartışılmıştı.

Bu gelişmeler üzerine 2012 yılında gerçekleştirilen G20 zirvesinde alınan kararla, OECD tarafından BEPS projesi başlatılmış, matrah aşındırılması ve vergi erozyonunun önlenmesi için 15 eylem planı oluşturulmuştu. Dijital faaliyetlerin vergilendirilmesi, BEPS projesinde gerek birinci gerekse beşinci eylem planı çerçevesince tartışılmış ve adil bir vergilendirmenin sağlanması adına geçtiğimiz Haziran ayında imzalanan çok uluslu anlaşma ile alınan bir dizi önlem çifte vergilendirme anlaşmalarında doğrudan uygulanmıştı.

Anlaşılan o ki bu gelişmeler yeterli görülmeyerek, Komisyon tarafından dijital platformun adil bir şekilde vergilendirilmesi adına iki ayrı yasa tasarısı paketi önerilmiş. Bu paketlerden ilki uzun dönemde sonuç alınması bakımından kurumlar vergisi sisteminde dijital kanalların kullanılmasıyla elde edilen gelirlerin vergilendirilmesine ilişkin köklü değişiklikler yapılmasını öngörürken, diğer öneri ise kısa dönemde bir çözüm bulmak adına hali hazırda etkin bir şekilde vergilendirilemeyen dijital faaliyetlere ilişkin olarak geçici bir vergi türü öngörülmesini amaçlamakta.

Komisyonun ilgili önerisinin akıbeti halen daha belirsizliğini korurken, kamuoyu tarafından özellikle Fransa ve Almanya’nın desteklediği kısa vadede sonuç vermesi planlanan bir geçici vergi türünün öngörülmesi ihtimali daha yüksek görülmekte. %1’den %5’ kadar olması önerilen bu geçici vergi türünün, %3’den aşağı olmayacağına kesin gözüyle bakılıyor.

Özellikle Facebook, Google gibi dünyanın önde gelen teknoloji firmalarının Avrupa Birliği ile sıcak ilişkiler kurmaya çalıştığı bir dönemde, Avrupa Birliği tarafından BEPS’in yanı sıra ayrıca bir dijital vergilendirme rejimi öngörülmesi pek çok politik tartışmayı da beraberinde getireceğe benziyor. Dijital platformda hizmet sunan öncü şirketlerin pek çoğunun Birleşmiş Devletler merkezli olmasının  ve Birleşmiş Devletler Hükümeti’nin dış ticarette son dönemde göstermiş olduğu şahin yaklaşımın bu tartışmaları daha da alevlendireceği kesin.

 

 

 

Singapur’da Rekabet Kurumu Uzmanları Oldukça Popüler

Dentons, Rodyk ortaklarından Mohamad Rizuan Pathie’nin, Ocak ayından itibaren altı aylık secondment çerçevesinde BASEAK Rekabet ve Regülasyon ekibine katkı sağlayacağını duyurmaktan mutluluk duyuyoruz. Esaslı çalışma alanı rekabet hukuku olan Pathie, aynı zamanda şirketler hukuku alanında da hukuki danışmanlık hizmeti sağlamaktadır.

Kendisiyle rekabet hukukuna dair yaptığımız bir sohbette Singapur’da Rekabet Kurumu uzmanlarının oldukça medyatik olduğundan bahsetti. Bunu teyit eder şekilde Japonya’da elektronik sektörünün önde gelen üreticilerinden Panasonic’e kesilen rekor cezaya ilişkin geçtiğimiz hafta Straits Times’da yapılan haberde ilgili soruşturmayı yürüten raportörlerin ilginç bir fotoğrafına yer verildi. Bu fotoğraf bize yürütülen bir soruşturmaya yönelik olarak çalışan uzmanları değil, daha çok yeni filmleri için poz veren yıldızları hatırlattı.

Kim bilir belki günün birinde biz de Rekabet Kurumu uzmanlarını Türk medyasında görmeye başlarız.

 

 

 

 

 

 

İlgili habere buradan ulaşabilirsiniz.