Türkiye’nin adli bilişim uzmanına sahip ilk hukuk ekibi BASEAK’ta…

Daha önce EY’ın Adli Teknoloji ve Keşif Hizmetleri (Forensic IT) departmanında Kıdemli Müdür olarak ve Sestek Ses ve İletişim Bilgisayar Teknolojileri’nde Ürün ve Teknoloji Danışmanlığı Takım Lideri olarak görev yapan Burak Aytekin; Kamu Politikaları, Regülasyon ve Rekabet ekibimize katıldı.

Aytekin, 12 yılı aşkın süredir elektronik keşif ve inceleme, veri analizi, siber güvenlik, kişisel verilerin korunması ve usulsüzlük incelemesi projelerinde ve yönetimlerinde yer almış bulunuyor. Rekabet hukuku, kişisel verilerin ve beyaz yakalı suçları dâhil olmak üzere çeşitli hukuk alanlarında gelişmiş adli BT araçlarını ve elektronik keşif yazılımlarını kullanma konusunda derin bir deneyime sahip olan Aytekin, aynı zamanda 2018 yılından beri Etik ve İtibar Derneği tarafından düzenlenen “Kurumsal Etik ve Uyum Yönetimi Sertifika Programı”nda ders veriyor. Aytekin, yazılım geliştirme konusundaki geçmişiyle bugüne kadar iki yazılım teknolojisi şirketi kurmuş olup müşteri taleplerine özel çözümler sunma konusunda pratik deneyime sahip.

Bu birikimi ile Kamu Politikaları, Regülasyon ve Rekabet ekibine çok önemli bir katkı sağlayacak ve ekibimize kapsamlı ve etkin soruşturma süreçleri ve uyum programları dâhil olmak üzere birçok konuda yardımcı olacak olan Burak Aytekin’e “Ekibimize hoş geldiniz!” demekten büyük mutluluk duyuyoruz!

California’da CCPA Dönemi

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

Veri Koruma Hukuku’nun İhlali Tek Başına Rekabet Hukuku’nun İhlali Anlamına Gelir mi? : Düsseldorf Bölge Mahkemesi’ne Göre Hayır!

Hatırlanacağı üzere bu yılın başında Almanya Rekabet Otoritesi Bundeskartellamt, Facebook hakkındaki soruşturmasını neticelendirmişti. Soruşturma neticesinde Facebook’un rekabeti ihlal ettiği tespit edilmiş, herhangi bir para cezası uygulanmadan ihlale neden olan davranışlara son verilmesi yönünde bazı tedbirlerin uygulanmasına karar verilmişti.

Bundeskartellamt tarafından verilen kararda Facebook’un, kullanıcıların verilerini ölçüsüz bir şekilde topladığı ve başka internet siteleri üzerindeki eklentileri sayesinde kullanıcıların bilgisi olmaksızın veri toplayabildiği belirtilmişti. Bundeskartellamt Facebook’un bu davranışlarını Alman Rekabet Kanunu GWB’nin (Gesetz gegen Wettbewerbsbeschränkungen) hakim durumun kötüye kullanılmasını düzenleyen  hükmüne aykırılık olarak değerlendirmişti. Kararda Facebook’un bu davranışları AB Genel Veri Koruma Tüzüğü GDPR (General Data Protection Regulation) ekseninde de değerlendirilmişti.

Bundeskartellamt’ın Şubat ayında açıkladığı bu Facebook kararı pek çok eleştiriye hedef oldu. Eleştirilerin başında ise Facebook’un karara konu davranışlarının rekabet hukukundan ziyade veri koruma hukuku ile ilişkili olduğu, bu nedenle Bundeskartellamt’ın düzenleyici kurum olarak kendisine tanınan yetki alanının sınırlarını aştığı gelmekteydi. Facebook da hakkında verilmiş karara karşı aynı eleştiriyi getirmiş ve Bundeskartellamt’ın kararına karşı itiraz sürecini işleteceğini belirtmişti.

Geçtiğimiz günlerde Facebook’un itirazı ilk meyvesini verdi. Karara karşı itiraz mercii olan Düsseldorf Bölge Mahkemesi, Bundeskartellamt’ın Facebook hakkında verilmiş kararının yürütmesini durdurdu ve rekabet otoritesinin kararındaki tedbirlerin uygulanmamasına karar verdi. Düsseldorf Bölge Mahkemesi yürütmeyi durdurma kararında, Bundeskartellamt’ın kararında açık bir hukuka aykırılık olduğu konusunda ciddi şüphelerinin bulunduğunu belirtti ve “Facebook’un uygulamalarının veri koruma hukukuna aykırı oluşu doğrudan bir rekabet ihlaline işaret etmez” ifadeleriyle karara yönelik eleştirilerle benzer bir tavır sergiledi. Facebook’un davranışlarının yeni rakiplerin piyasaya girişine engel olduğuna yönelik herhangi bir değerlendirmenin Bundeskartellamt tarafından yeterince yapılmadığına dikkat çekilen yürütmeyi durdurma kararında, Google’ın nezdinde çok kapsamlı veriler barındırmasına karşın sosyal medya platformu Google+’ın piyasada tutunamayarak kapanması verinin tek başına rekabetçi avantaj sağlamayabileceği argümanına örnek olarak yer verildi.

Bundeskartellamt, Düsseldorf Bölge Mahkemesi’nin yürütmeyi durdurma kararının ciddi hukuki eksikliklerinin bulunduğunu belirterek kararın kaldırılması için temyiz merciine müracaat edeceğini açıkladı.

Avrupa’da Yaz Sert Geçiyor: Rekabette Veri Güvenliği Fırtınasına Dikkat!

Avrupa rekabet soruşturmalarında hâkim durumdaki şirketlerin veri toplama ve işleme süreçleri rekabet otoritelerinin odak noktası haline geldi. Bu sert rüzgârdan en çok etkilenecek teşebbüsler ise teknoloji devleri olacak gibi görünüyor.

Almanya’nın rekabet otoritesi Bundeskartellamt’ın Facebook hakkında yürüttüğü soruşturmayla başlayan değişim rüzgârı, tüm Avrupa Birliği’ni etkisi altına almaya başladı. Facebook, Apple ve Microsoft gibi teknoloji devleri ulusal rekabet otoritelerince mercek altına alındıkça, rekabet hukuku soruşturmalarında veri güvenliği kurallarının incelenmesi yaygınlaşmaya başladı. Öyle ki, çeşitli evrelerde rekabet soruşturmalarında veri güvenliği kurallarının devreye girmesi tartışılıyor.

Avrupa Komisyonu Genel Sekreteri Martin Selmayr, son dönemde hem birleşme devralma hem de hâkim durumun kötüye kullanılması dosyalarında rekabet hukuku ve kişisel verilerin korunması kurallarının iç içe geçtiğini belirtti.[1] Aynı zamanda Avrupa Birliği veri koruma kurallarının da mimarlarından biri olan Selmayr, Brüksel’de gerçekleşen bir konferansta yaptığı konuşmada iki alanın da insan onuru, tercihler ve özgürlükler üzerine kurulduğunun altını çizerek, düzenlemelerde yeknesaklığın kaçınılmaz olduğuna işaret etti. Selmayr’ın konuşmasında dikkat çeken bir diğer nokta ise, rekabet soruşturmalarında kişisel verilerin korunmasına ilişkin endişelerin de incelenmesine kimsenin engel olamayacağını açıkça belirtmesi oldu.

Değişim rüzgârının öncüsü Bundeskartellamt başkanı Andreas Mundt da aynı konferansta yaptığı konuşmada Avrupa rekabet otoritelerinin hâkim durumun kötüye kullanılıp kullanılmadığının değerlendirirken Genel Veri Koruma Yönetmeliği’ni (“GDPR”) dikkate alması gerektiğini vurguladı. Rekabet hukukuna ilişkin yeni bir GDPR yaratmaktansa, var olan düzenlemenin uygulanmasının daha mantıklı olduğunu savunan Mundt, teknoloji devlerinin sahip olduğu pazar gücünün endişe verici olduğunu belirtti.

Bu süreç nasıl başladı?

Bundeskartellamt 2019’un başlarında sonuçlandırdığı soruşturmada, Almanya’da sosyal ağ pazarında hâkim durumda olan Facebook’un veri toplama ve işleme süreçlerinin hâkim durumun kötüye kullanılması teşkil ettiğine karar vermişti.[2] Facebook, kendi uygulamasının yanı sıra, Instagram, Whatsapp ve beğen-paylaş özelliği gömülü olan üçüncü taraf internet sitelerinden herhangi bir kısıtlama olmaksızın kullanıcı verisi toplamakta, daha sonra bu verileri Facebook kullanımı için bir şart olarak ileri sürmekteydi. Kullanıcılar rıza göstermeksizin uygulamayı kullanamadığından, kişisel verilerin işlenmesinin bir mal ve/veya hizmet sunumunun şartı olarak ileri sürülmemesi kuralına aykırılık söz konusuydu.

Başta veri koruma otoritelerinin yetki alanında görülebilecek bu konuya, Bundeskartellamt tarafından söz konusu verilerin hâkim durumun korunması ve güçlendirilmesi hususunda teşebbüslere önemli bir avantaj sağladığı gerekçesiyle müdahale etti ve Facebook’a iş yapış modelini düzeltmesi için toplamda 12 aylık bir süre tanıdı.

Fransa’dan işbirliği çağrısı

Fransız rekabet otoritesi Autorite de la Concurrence’in başkanı Isabelle de Silva, otoritenin geçtiğimiz yıla ilişkin yıllık raporunu sunduğu toplantıda rekabet soruşturmalarında veri toplama ve veri güvenliği konularına daha fazla ağırlık vereceklerinin sinyallerini verdi.[3] Teşebbüslerin veri işleme olduğu gibi, veri toplama yöntemlerinin de hakim durumun kötüye kullanılması teşkil edebileceğinin altını çizen de Silva, Bundeskartellamt’ın Facebook kararına atıf yaparak, kendilerinin de dijital platformları mercek altına aldığına işaret etti.

Hâlihazırda Autorite de la Concurrence ve Bundeskartellamt algoritmalar üzerine ortak bir çalışma hazırladığı biliniyor. Önümüzdeki Ekim ayında Mundt ve de Silva tarafından sunulması beklenen raporun algortimaların rekabet hukukundaki yerinin belirlenmesinin yanı sıra benzer işbirliklerinin devamını getireceği de öngörülüyor. Fransız rekabet otoritesinin Fransız telekomünikasyon otoritesi ARCEP ve veri koruma otoritesi CNIL ile veri gözetim ve denetimi alanlarında güçlerini birleştireceğini açıklayan de Silva, teknoloji devlerinin hâkim durum soruşturmalarında da Avrupa’da benzer bir iş birliğine ihtiyaç duyulduğunun altını çizdi.

Türkiye’de ne noktadayız?

Aslında rekabet kişisel verilerin korunması hukuku arasındaki yakın ilişki ve işbirliğini görmek için fazla uzağa gitmemize gerek yok. Nisan ayında Rekabet Kurumu eski başkanı Ömer Torlak ile Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir arasında gerçekleşen toplantıda Avrupa’daki rüzgârların Türkiye’yi de etkisi altına alacağının sinyalleri verilmişti. Kurum başkanları dosyalarda bilgi alışverişinde bulunacaklarını ve mevzuat uyumluluğunun şirketlerin uluslararası rekabet gücünü arttıracağını düşündüklerini belirtirken, iki Kurum arasında bir de İşbirliği Protokolü imzalandı.[4]

İşbirliği rüzgârlarının Avrupa’da ve ülkemizdeki rekabet hukuku iklimini ne şekilde değiştireceğini ise zaman gösterecek. 


[1] Newman, Matthew. “Facebook, Microsoft antitrust cases show convergence with data-privacy rules, EU officials say.” MLex Global Antitrust, MLex, 10 July 2019, 14:47.

[2] https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=4

[3] Yaiche, Arezki. “Data-Collection Abuses among Priorities of French Competition Authority.” MLex Global Antitrust, MLex, 9 July 2019, 14:05.

[4] https://www.kvkk.gov.tr/Icerik/5431/-Kurumumuz-ile-Rekabet-Kurumu-Arasinda-Isbirligi-Protokolu-Imzalandi

Bu terazi (!) bu sıkleti çeker mi? : Teknoloji şirketlerinin finansal piyasalara girişi

Facebook’un yakın zamanda duyurduğu kripto para Libra uluslararası finans düzleminde tartışıladursun, Uluslararası Ödemeler Bankası’na göre konu regülasyon ve rekabeti de içerecek şekilde geniş bir perspektiften ele alınmalı.

Klasik iktisatta paranın üç fonksiyonunun olduğu kabul edilir: (i) mübadele aracı olma (medium of exchange), (ii) değer saklama aracı olma (store of value), (iii) hesap birimi olma (unit of account). Son dönemlerde dillerden düşmeyen blokzincir teknolojisine dayalı kripto paraların bu fonksiyonları sağlayıp sağlayamadığı tartışma konusu. Kripto paraların en yaygını Bitcoin’in dahi bu fonksiyonları karşılayamadığı konusunda iktisatçılar neredeyse hemfikir. Bu nedenle kripto paraların piyasada yaygınlaşmadığı ve yaygınlaşmalarının da güç olduğu ifade ediliyor. Ancak piyasaya yeni bir oyuncu geliyor ve bu oyuncu terazinin (!) dengesini kendi lehine değiştirebilir. Facebook’un yakın zamanda tanıttığı Libra adlı kripto para, Big Tech olarak anılan büyük teknoloji şirketlerinin diğer piyasalara doğru yayılmacı politikalarının son örneklerinden biri. Visa, Mastercard, PayPal ve PayU gibi ödeme sistemi devlerinin de ortak olduğu Libra, diğer kripto paraların sağlayamadığı üç temel fonksiyonu sağlama yolunda ise hızlı bir çıkış yapabilecekmiş gibi görünüyor.

Teknoloji devlerinin regülasyon ve rekabet çevrelerinde yakından takip edildiği bir dönemde tanıtılan Libra, ülkelerin merkez bankalarının üye olduğu global düzenleyici otorite Uluslararası Ödemeler Bankası’nın da (BIS – Bank for International Settlements) dikkatini çekmiş durumda. BIS tarafından Libra’nın tanıtımının hemen ardından yapılan açıklama[1], Libra’nın global finansal istikrarda olumsuz etkiler doğurabileceğine yönelik çekinceler barındırıyor. Basel’li düzenleyici otorite tarafından yayımlanan yakın tarihli rapor da konuya daha geniş bir perspektiften yaklaşarak teknoloji devlerinin finansal piyasalara girişinin olası sonuçlarını ve olumsuzluklara karşı erkenden alınabilecek önlemleri değerlendiriyor[2].

Henüz on yılını tamamlamış olan 2008 yılındaki uluslararası finans krizinin ardından finansal piyasaların yerleşik oyuncuları bankalar, global ölçekte düzenleyici otoritelerin sıkı regülasyonları ile karşılaştılar. Krizlerin önüne geçilmesini ve finansal istikrarın teminini amaçlayan bu düzenlemeler bankalar bakımından ciddi uyum maliyetleri yaratıyor. Teknoloji devlerinin ise finansal piyasalarda boy gösterirken bu düzenlemelere tabi olmamaları ve uyum maliyetlerinden kurtulmaları, bankaların eşit olmayan bir oyun alanında rekabet edemedikleri algısının güçlenmesine ve şikayetlerin doğmasına yol açıyor. Buradaki endişelerin başında ise bu şirketlerin teknolojik üstünlüklerini ve geniş kullanıcı portföylerini kullanarak bankaları gelecekte kadük teşebbüsler haline getirmeleri var. Bu şekilde halihazırda problemler görülen finansal piyasalarda çok daha dar oligopollerle karşılaşılabileceği yönünde çekinceler var. Tüm bu çekincelere karşın BIS’in sloganı; aynı faaliyet için aynı regülasyon. Yakın zamanda finansal piyasaların yeni oyuncuları teknoloji devleri de finansal piyasaların kurallarına hızlı bir uyum sağlamak zorunda kalabilir.

BIS’in bu noktada yaptığı bir diğer önemli değerlendirme ise global ve yerel düzlemdeki birbirinden farklı konuları düzenleyen regülasyonların iç içe çalışma gerekliliği üzerine. BIS’in değerlendirmesine göre finansal piyasaların düzenleyici kurumlarının, kişisel verileri koruma kurumlarının ve rekabet otoritelerinin yakın temas içinde ortak bir politika izlemeleri gerekiyor. Nitekim BIS’in raporunda teknoloji devlerinin farklı piyasalarda varlık göstermeye başlamalarının analizi yapılırken farklı otoritelerin aksiyonlarının bu şirketleri ne yönde etkileyebileceği konusu bir pusula alegorisiyle değerlendiriliyor. Bu kapsamda Almanya rekabet otoritesi Bundeskartellamt’ın yakın zamanda verdiği Facebook kararının kişisel verilerin kullanımı bakımından teknoloji devlerine bir kısıtlama getirdiği değerlendirilirken, Çin’in yakın zamanda Baihang adlı dijital platforma kredi puanlaması lisansı vermesinin ve Hindistan’ın yeni Birleşik Ödemeler Arayüzü sisteminin ise piyasalara girişin önünü açan gelişmeler olduğu kabul ediliyor.

BIS’in yaptığı değerlendirmelerden en önemlisi ise düzenleyici otoritelerin rekabet değerlendirmesi konusundaki yetkinliklerine ilişkin. Zira belirtildiği şekilde teknoloji devlerinin mevcut avantajlarından yararlanarak çeşitli piyasalara giriyor olması öncelikli olarak bu piyasalardaki rekabeti ilgilendiriyor. Bu doğrultuda BIS’in de belirttiği üzere bu piyasaların düzenleyici otoritelerinin hızlı bir şekilde rekabet ve rekabet hukuku alanında yetkinliklerini artırmaları gerekiyor. BIS’e göre geç olmadan regülasyon ve rekabet politikalarının global düzlemde teknoloji devlerinin ilerleyişine adapte edilmesi gerekiyor. Regülasyon ve rekabet dünyasındaki tartışmalar Facebook’un Libra’sı sayesinde yakında şiddetlenecek gibi görünüyor.


[1] BIS Araştırma Dairesi Başkanı Hyun Song Shin’in Libra’ya dair açıklamaları için bkz. https://www.youtube.com/watch?v=QC8spl8u6Lg

[2] BIS Annual Economic Report 2019, s. 55-80.

TÜSİAD’ın üçüncü e-ticaret raporu çıktı!

Şahin ARDIYOK, Emin KÖKSAL

TÜSİAD’ın 2014 yılında yayınladığı e-ticaret konulu ilk rapor, Türkiye’deki e-ticaret için durum tespiti yapan bir çalışmaydı[1]. E-ticareti dijital pazarların odak noktasına koyan bu raporda Türkiye için atılması gereken adımlar da yer almıştı. 2017 yılında çıkan ikinci rapor ise e-ticaretteki gelişmelerin yanında, perakende olarak nitelendirilebilecek B2C e-ticarete odaklanan bir rapor olarak hazırlanmıştı[2]. TÜSİAD’ın geçtiğimiz günlerde yayınladığı üçüncü rapor ise B2C’nin yanında B2B e-ticarete, e-ihracata ve tamamen dijital olarak verilen hizmetlere odaklanmış bir çalışma olarak karşımıza çıkıyor[3].

E-ticaretin gelişiminin birçok faktöre bağlı olduğunu, bunların içerisinde internet kullanımının yaygınlığının, lojistik olanakların, ödeme sistemlerinin, tüketici algısının vb. koşulların önemli olduğunu biliyoruz. TÜSİAD’ın ilk iki raporu bu faktörler konusunda iyi birer referans kaynağı olurken, söz konusu üçüncü raporun e-ticaretteki gelişmelere e-ihracat, sosyal medya ve B2B e-ticaret konusunda ilave boyutlar kattığını söylemek mümkün.

Rapor yapısal olarak, önce dünyada ve sonra Türkiye’de (1) e-ticaret hacmi üzerinde etkili olan faktörlerdeki gelişmeleri, (2) e-ticaret ekosistemindeki değişimi inceliyor. Ekosistem içerisindeki değişimi ele alırken yasal düzenlemelerdeki (regülasyon) değişikliklere önemli bir yer ayrıldığı görülüyor. Bu blogu okuyanların ilgi alanını düşünerek, rapordaki diğer konuları bir kenara bırakıp yasal düzenlemeler alanındaki tespitlere kısa kısa değinmek isteriz.

Bazıları bu blogda da yer alan düzenlemelerin başında, Hindistan’da yerel e-ticaret oyuncularını küresel oyuncuların rekabetinden korumak amacıyla Amazon, Flipkart gibi önemli pazaryeri oyuncularına getirilmesi düşünülen kısıtlayıcı düzenlemeler yer alıyor[4].

Yine Asya kıtasından devam edersek, e-ticaretin en gelişmiş olduğu ülkelerden biri olan Çin’de son dönemde önemli yasal düzenlemelerin gündemde olduğu tespiti yapılıyor. E-ticaret platformlarının rekabeti engelleyici fiillerine cezalar gelirken, kullanıcıların ürün ve hizmetler konusundaki deneyimlerini yansıtan kullanıcı yorumlarına dair yeni düzenlemelere dikkat çekiliyor.

ABD’de ise firmaların ürünlerinin satışının gerçekleştirdiği eyalette fiziksel bir ofisi veya mağazası olmasa dahi çevrimiçi satışlardan ilgili vergilerin alınmasına ilişkin düzenlemeler getirildiğine değiniliyor.

Avrupa kıtasına geldiğimizde ise e-ticareti ilgilendiren en önemli gelişme olarak, 2018 yılı ortasında Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation – GDPR) yürürlüğü girmesi ortaya konuyor. Söz konusu tüzüğün 3. maddesinde öngörüldüğü şekliyle, GDPR’nin AB üyesi ülkelerde kurulu olan veya AB pazarına ürün veya hizmet sunan firmalara uygulanıyor olması, e-ticareti doğrudan etkileyecek bir faktör olarak sunuluyor[5].

Türkiye için yapılan değerlendirmelerde e-ticaret alanındaki düzenlemelere dair gelişmelerin başında 2016’da yasallaşan Kişisel Verilerin Korunması Kanunu (KVKK) geliyor[6]. Raporda özel bir bölüm ayrılan KVKK düzenlemeleri için iki tespit dikkati çekiyor. Bunlardan ilki KVKK’nın B2B e-ticaret paydaşları için nasıl uygulanacağına dair bir kılavuzun gerekliliğine, ikincisi ise kişisel verilerin saklanması için bulut bilişim kullanımına dair belirsizliğe işaret ediyor.

Raporda, Türkiye’deki düzenlemelere dair yer alan diğer konulara baktığımızda ise iki konunun gözümüze çarptığını söyleyebiliriz. Bunlardan ilki, internet ortamında verilen reklam hizmetlerinin gelir/kurumlar vergisi stopajı kapsamına alınması. Diğeri ise yurt dışındaki e-ticaret platformlarından yapılan satın alma işlemlerinde bedeli 22 Avroyu aşmayan ürünlere tanınan vergi muafiyetinin yürürlükten kaldırılması.

Raporda değinilmeyen, fakat Türkiye’deki e-ticaret hacmi üzerinde etkili olabilecek son dönemde gerçekleştirilen bir diğer değişikliği de biz ekleyelim. Rekabet Kurulu, geçtiğimiz Nisan ayında Dikey Anlaşmalara İlişkin Kılavuz’da bir revizyona gitmişti. Hatırlatmak gerekirse bu revizyonla, marka sahiplerinin internet satışlarına getirdiği kısıtlamalar ve çeşitli e-ticaret platformlar tarafından kullanılan “en çok kayrılan müşteri” (EKM) şartları konusunda önemli tespitlerde bulunulmuştu[7].


[1] TÜSİAD. (2014). Dijital Pazarın Odak Noktası e-Ticaret: Dünya’da Türkiye’nin Yeri, Mevcut Durum ve Geleceğe Yönelik Adımlar. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/8575_2aa6e4ca543c2375304fd4d4edf532a5.

[2] TÜSİAD. (2017). Dijitalleşen Dünyada Ekonominin İtici Gücü: E-Ticaret. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/8595_8e317197ef6a8179195e319a5668a7a0.

[3] TÜSİAD. (2019). E-Ticaretin Gelişimi, Sınırların Aşılması ve Yeni Normlar. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/9228_dd99423af3c375774e32203b5a3e6daa.

[4] Bkz. ÇINAR, G. (4 Nisan 2019). Hindistan’da doğrudan yabancı yatırımın kuralları değişiyor: Çevrimiçi platformların başı yine dertte! Rekabet Regülasyon. Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/hindistanda-dogrudan-yabanci-yatirimin-kurallari-degisiyor-amazonun-basi-yine-dertte/.

[5] Bkz. CANBEYLİ, A. (20 Mayıs 2019). Kişisel Verilerin Korunması Alanında Yol Gösterici Gelişmeler: İngiltere Ses Kaydı ve Diğer Biyometrik Verilerin İşlenmesi Konusunda GDPR’ı Nasıl Uyguluyor?. Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/kisisel-verilerin-korunmasi-alaninda-yol-gosterici-gelismeler-ingiltere-ses-kaydi-ve-diger-biyometrik-verilerin-islenmesi-konusunda-gdpri-nasil-uyguluyor/.

[6] Bkz. SÜTLÜ, S. (4 Nisan 2018). Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ! Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/kisisel-verileri-koruma-kurumundan-iki-yeni-teblig/.

[7] Bkz. YEŞİLYAPRAK, D. (14 Mayıs 2018). “Yeni Kılavuz Çıktı Hanım” – Evet de Yeni Kılavuz Neden Bahsediyor? Erişim tarihi 25.04.2019 http://www.rekabetregulasyon.com/yeni-kilavuz-cikti-hanim-evet-de-yeni-kilavuz-neden-bahsediyor/.

Kişisel Verileri Koruma Kurulu’ndan dört yeni karar!

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde uygulamayı yakından ilgilendiren kararlar yayınlandı. Bu yazımızda, Kurul’un, kişisel verilerin güvenliğinin sağlanması ve korunması, Kurul kararlarına uyulması ve aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili olan kararlara ilişkin bilgilendirmemizi bulabilirsiniz.

I. Teknik Servis Hizmeti Veren Veri Sorumlusunun Kurul Kararına Uymaması

Teknik servis hizmeti veren veri sorumlusu firma hakkında kişisel verileri ihlal ettiği gerekçesi ile Kurul’a gelen ihbar neticesinde, Kurul firmanın internet sitesinde servise bırakılan cihazlar için kişilere verilen sorgu numaralarının son iki hanesinin değiştirilerek başka cihaz sahiplerine ait cihaz kod numaralarına ulaşılabildiğini ve bunu takip eden linklerde ise ilgili kişilere ait kimlik bilgileri ile sahip oldukları cihazlara ilişkin kod numaralarına erişilebildiğini tespit etmişti. Kurul bu tespiti üzerine, veri sorumlusu tarafından söz konusu linklerin kullanımının durdurulmasına ve kişisel verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri almaması sebebi ile veri sorumlusu firmanın 150.000 TL idari para cezası ödemesine karar vermişti.[1]

Kurul’un bu kararının şirkete tebliğinden sonra, Kurul tarafından veri sorumlusu firmanın internet sitesinde yapılan sorgulamada, internet sitesi üzerinden yönlendirilen çeşitli linkler aracılığı ile halen teknik servis hizmeti alan ilgili kişilerin sahip oldukları cihazların kod numaralarına ulaşılabildiği, kargo gönderileri sorgulama linki aracılığı ile firma tarafından ilgili kişilere gönderilen kargoları teslim alan kişilerin ad ve soyad bilgilerine açık bir şekilde erişilebildiği tespit edilmiş olup; veri sorumlusu firmanın Kurul Kararı’na uymadığı tutanağa bağlandı. Bunun üzerine Kurul, Kurul kararına uymama sebebi ile veri sorumlusu firmaya 50.000 TL idari para cezası uygulanmasına ve söz konusu sorgulama sistemine erişimin tamamen engellenmesine karar verdi.[2]

II. Sadakat kartları hizmet alımına engel mi? [3]

Tüketici şikayetleri ve Kurum’a intikal eden ihbarlar sonucunda Kurum bir marketi mercek altına aldı. Şikayetlerde marketin bazı alışveriş/hizmet alımlarında indirim ve puan biriktirme avantajı sağlayan sadakat kartlarının açık rızanın bir ürün veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, ihbarlarda ise marketin kart kullanımına ilişkin açık rıza alma esnasında “Veri İzni Alma Uygulaması” adı altında 0,01 TL’lik bir hizmet bedeli alındığı iddia edildi.

Yapılan incelemede, müşterilerin sadakat karta ilişkin açık rıza vermemeleri halinde kendilerine hizmet sunulmaması gibi bir durumun ortaya çıkmadığı, dolayısıyla hizmet veya ürün sunumunun açık rıza şartına bağlanmadığı anlaşıldı. Marketin savunmasından müşterilere çeşitli kanallardan yapılan duyuruların hukuka uygun olmayan şekilde elde edilen kişisel verilere meşruiyet kazandırılması için değil, aksine önceden alınan rızalara ilişkin matbu formdaki bazı eksiklik veya tahrifatların giderilmesi amacıyla alındığı anlaşıldığından konuya ilişkin bir işlem tahsis edilmedi.

“Veri İzni Alma Uygulaması” adı altında alınan hizmet bedelinin ise alışveriş kasalarına kurulan bilgi teknolojileri sisteminden kaynaklanan ve sehven yansıtılan bir bedel olduğu ve söz konusu bedelin müşteri kartlarına aynı tutarda indirim olarak yüklendiği anlaşıldığından, bu hususta da herhangi bir işlem yapılmamasına hükmedildi.

Bu süreçte marketin Üyelik Rıza metni ile Aydınlatma Metni arasında tutarsızlıklar tespit eden Kurul, bu tutarsızlıkların giderilmesine ve Aydınlatma metninin kanunun temel ilkeleri ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hale getirilmesine hükmetti. Bu kararın arkasında yatan sebebin, marketin gıda ve ihtiyaç maddelerinin perakende olarak tüketiciye sunulması faaliyetinin kapsamını ve amacını aşan nitelikteki özel nitelikli kişisel verileri toplaması ve işlemesi olduğu anlaşıldı.

III. Siz siz olun başvurulara zamanında cevap verin![4]

İlgili kişinin hakları kapsamındaki taleplerini veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye (“Banka”) bildirmesi ile başlayan süreç, Kurum’un önüne geldi. Kuruma yapılan şikayet başvurusunda Banka’nın kanuni yükümlülüğü olan 30 günlük sürede ilgili kişinin başvurusuna yanıt vermediği anlaşıldı.

Kurum’un konuya ilişkin açıklama talebini içeren yazısı Banka’ya teslim edilmekle beraber, Banka’dan herhangi bir dönüş yapılmamasını takiben Kurum, Kanun’un 18/3. maddesi çerçevesinde sorumlular ile gerekli tedbirleri almak ve denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem yapılmasına karar verdi.

İlgili kişi başvurusuna ilişkin ise Banka tarafından cevap verilmesine ve Banka’nın kanuni yükümlülüklerine uyum konusunda azami dikkat ve özen göstermesi konusunda talimat verilmesi kararlaştırıldı. Son olarak Banka’nın internet sitesinde yer alan Aydınlatma Metni’ne ilişkin görüşlerini bildiren Kurul, ilgili metinde işlenen verilerin hangi hukuki sebebe dayandırıldığı belirtilmediği ve veri işleme amaçları ifadesinin belirsizlik yarattığı gerekçesiyle metnin gözden geçirilmesine ve Tebliğ’e uygun hale getirilmesine hükmetti.

IV. Kurul’a Yapılan Şikayet

İlgili kişi, bir şahsın kendisi ve ailesine ait kişisel verilere hukuk dışı yollar ile erişerek bu verileri ilgili kişinin rızası olmaksızın üçüncü kişiler ve İcra Müdürlükleri ile paylaştığı iddiası ile Kurul’a şikayette bulundu.

Kurul tarafından yapılan inceleme neticesinde, şikayet edilen şahsın kısmen veya tamamen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirdiği bir veri işleme faaliyetinin olmadığı, dolayısıyla kendisinin veri sorumlusu olarak değerlendirilemeyeceği belirtildi.

Ek olarak, Kurul, şikayet edilenin eylemlerinin Türk Ceza Kanunu kapsamında suç niteliği taşıyabileceğini belirtmiş ve konunun ceza yargılaması konusu olabileceğini açıkladı. Bu nedenlerle, ilgili kişinin iddiası bakımından Kurul tarafından yapılabilecek bir işlem olmadığına karar verildi.[5]

Sonuç

Kurum kararlarınında veri sorumluları için önemli mesajlar içerdiği kanaatindeyiz. Bu kapsamda Kurul kararlarının yerine getirilmesinin önemi ve gerekliliğini ve Kurul’a yapılan şikayetlerde ortaya konan iddiaların ispat yükünün başvurucuda olduğunu hatırlatır, başkalarına ait kişisel verilerin ilgili kişilerin rızası olmadan elde edilmesinin Türk Ceza Kanunu kapsamında suç teşkil edeceğini dikkatinize sunarız. Ayrıca kararlardan Kurul’un veri sorumlularının aydınlatma metinlerini mercek altına aldığı anlaşılmakla, aydınlatma metinlerinizi Kanun’un temel ilkeleri ve Tebliğ kapsamında yeniden gözden geçirmenizin faydalı olabileceğini belirtmek isteriz.


[1] Kurul’un 14/02/2019 Tarihli ve 2019/23 Sayılı Kararı

[2] Kurul’un 05/03/2019 Tarihli ve 2019/52 Sayılı Kararı

[3] Kurul’un 25.03.2019 Tarihli ve 2019/82 Sayılı Kararı

[4] Kurul’un 02.05.2019 Tarihli ve 2019/122 Sayılı Kararı

[5] Kurul’un 01/03/2019 Tarihli ve 2019/47 Sayılı Kararı