Kategori: Kişisel Verilerin Korunması

Veri Sorumlularına Yeni Yıl Hediyesi!

Yayın tarihi  ​​27 Aralık 2019 Yazar and
Kategoriler: Kişisel Verilerin Korunması

Veri sorumlularının Kişisel Verilerin Korunması Kanunu’ndan (KVKK) kaynaklanan bir yükümlülükleri de Veri Sorumluları Siciline (VERBİS) kaydolmak. Yeni yılın sonuna yaklaşırken veri sorumlularının gündeminde son kayıt tarihi 31 Aralık 2019 olan VERBİS başvuruları vardı. Oldukça kapsamlı ve zaman alan bir süreci içeren VERBİS başvuruları için son tarih, bugün yayınlanan Kurul kararı ile ertelendi!

Kurul, yayınladığı kararında VERBİS kayıt süreci aşamalarına ilişkin olarak veri sorumluların yaşadığı sorunlara değinerek, yalnızca VERBİS başvuru formlarının Kurum’a iletilmesi suretiyle VERBİS kayıt yükümlülüğünün yerine getirilmiş sayılmadığını bir kez daha hatırlattı. Bu kapsamda sürecin iki aşamalı olduğunu ve veri sorumlularının öncelikle oluşturdukları VERBİS başvuru formunu Kurum’a iletmeleri gerektiğini, daha sonra ise VERBİS’e giriş yaparak veri işleme bildirimini gerçekleştirmeleri gerektiğini hatırlatmak isteriz.

VERBİS kayıt süresinin uzatılmasının ardında, veri işleme faaliyetlerinde şeffaflık, disiplin ve hesap verilebilirlik gibi amaçların layıkıyla yerine getirilebilmesi saikinin yattığı anlaşılıyor. Öyle ki Kurul birçok veri işleme bildirimini incelediğini ve bunlarda ciddi yanlışlıklar ve mevzuata aykırılıklar tespit ettiğini açıkladı. Kurul’a göre yapılan bildirimlerde; kişisel veriler, işleme amaçları, alıcı grupları, veri konusu kişi grupları, alınan teknik ve idari tedbirler, yurtdışına veri aktarımı ve saklama süreleri gibi unsurlar da kendi içinde örtüşmüyor.

Bu kapsamda eksikliklerin giderilmesi için veri sorumlularına tanınan ek süreler ile VERBİS’e yeni kayıt tarihleri aşağıdaki tablodaki şekilde belirlendi:

Veri Sorumluları Erteleme Sonrası Kayıt için Son Tarih
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan veri sorumluları;   Yurtdışında yerleşik veri sorumluları 30 Haziran 2020
Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları 30 Eylül 2020
Kamu kurum ve kuruluşu veri sorumluları 31 Aralık 2020

VERBİS kayıt sürelerinin ikinci kez uzatıldığı dikkate alındığında, KVKK’da öngörülen yaptırımlar ile karşılaşmamak adına veri sorumlularının yeni kayıt sürelerine riayet etmeleri ve kayıt işlemlerini Kurum tarafından sağlanan detaylı kılavuzlar ışığında gerçekleştirmelerinin önem arz ettiği kanaatindeyiz. Bu uzatma kararı ile birlikte Kurul’un da vurguladığı bir hususa parmak basmak gerekiyor. VERBİS, şeffaflığın sağlanması, kişisel verilerin korunması alanında bir kültürün oluşturulması ve disiplinin sağlanması noktalarında önemli bir araç olmakla birlikte, veri sorumlularının VERBİS’e kayıt olmuş olmaları ve veri işleme bildiriminde bulunmaları KVKK’ya uyum yükümlülüğünün tamamen yerine getirildiği anlamına gelmiyor. Bu kapsamda veri sorumlularının VERBİS dışında, KVKK’dan kaynaklanan diğer yükümlülüklerini de ifa etmeleri gerekiyor.

Türkiye’nin adli bilişim uzmanına sahip ilk hukuk ekibi BASEAK’ta…

Dilara Yeşilyaprak Yayın tarihi  ​​15 Kasım 2019 Yazar
Kategoriler: Kişisel Verilerin Korunması, Regülasyonlar, Rekabet Hukuku, Rekabet Uyum Programı, Uluslararası Ticaret, Yerinde İncelemeler

Daha önce EY’ın Adli Teknoloji ve Keşif Hizmetleri (Forensic IT) departmanında Kıdemli Müdür olarak ve Sestek Ses ve İletişim Bilgisayar Teknolojileri’nde Ürün ve Teknoloji Danışmanlığı Takım Lideri olarak görev yapan Burak Aytekin; Kamu Politikaları, Regülasyon ve Rekabet ekibimize katıldı.

Aytekin, 12 yılı aşkın süredir elektronik keşif ve inceleme, veri analizi, siber güvenlik, kişisel verilerin korunması ve usulsüzlük incelemesi projelerinde ve yönetimlerinde yer almış bulunuyor. Rekabet hukuku, kişisel verilerin ve beyaz yakalı suçları dâhil olmak üzere çeşitli hukuk alanlarında gelişmiş adli BT araçlarını ve elektronik keşif yazılımlarını kullanma konusunda derin bir deneyime sahip olan Aytekin, aynı zamanda 2018 yılından beri Etik ve İtibar Derneği tarafından düzenlenen “Kurumsal Etik ve Uyum Yönetimi Sertifika Programı”nda ders veriyor. Aytekin, yazılım geliştirme konusundaki geçmişiyle bugüne kadar iki yazılım teknolojisi şirketi kurmuş olup müşteri taleplerine özel çözümler sunma konusunda pratik deneyime sahip.

Bu birikimi ile Kamu Politikaları, Regülasyon ve Rekabet ekibine çok önemli bir katkı sağlayacak ve ekibimize kapsamlı ve etkin soruşturma süreçleri ve uyum programları dâhil olmak üzere birçok konuda yardımcı olacak olan Burak Aytekin’e “Ekibimize hoş geldiniz!” demekten büyük mutluluk duyuyoruz!

California’da CCPA Dönemi

Yayın tarihi  ​​20 Eylül 2019 Yazar and
Kategoriler: Kişisel Verilerin Korunması

Geçtiğimiz ay Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin korunması mevzuatına sahip olan ilk eyalet olacak.

Neden büyük teknoloji firmalarını ilgilendiriyor?

Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:

  • Gayri safi gelirin 25 milyon Amerikan Dolarını aşması,
  • Yılda 50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın alınması, satılması, alınması veya paylaşılması,
  • Yıllık net gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,

koşullarından birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.

GDPR ile benzer mi?

Tanımlar maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul edildiğini görüyoruz.

Bunun karşın GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını yakacak gibi gözüyor.

Cezai Yaptırımlar oldukça ağır

CCPA her bir ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.

Bu noktada en önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında dava açarak tazminat talep edebiliyorlar.

Sonuç olarak

Birleşik Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da ve ülkemizde de söz konusu olabileceğini öngörebiliriz.

Veri Koruma Hukuku’nun İhlali Tek Başına Rekabet Hukuku’nun İhlali Anlamına Gelir mi? : Düsseldorf Bölge Mahkemesi’ne Göre Hayır!

Yayın tarihi  ​​28 Ağustos 2019 Yazar and
Kategoriler: Hakim Durumun Kötüye Kullanılması, Kişisel Verilerin Korunması, Rekabet Hukuku, Telekomünikasyon, Teknoloji ve Medya

Hatırlanacağı üzere bu yılın başında Almanya Rekabet Otoritesi Bundeskartellamt, Facebook hakkındaki soruşturmasını neticelendirmişti. Soruşturma neticesinde Facebook’un rekabeti ihlal ettiği tespit edilmiş, herhangi bir para cezası uygulanmadan ihlale neden olan davranışlara son verilmesi yönünde bazı tedbirlerin uygulanmasına karar verilmişti.

Bundeskartellamt tarafından verilen kararda Facebook’un, kullanıcıların verilerini ölçüsüz bir şekilde topladığı ve başka internet siteleri üzerindeki eklentileri sayesinde kullanıcıların bilgisi olmaksızın veri toplayabildiği belirtilmişti. Bundeskartellamt Facebook’un bu davranışlarını Alman Rekabet Kanunu GWB’nin (Gesetz gegen Wettbewerbsbeschränkungen) hakim durumun kötüye kullanılmasını düzenleyen  hükmüne aykırılık olarak değerlendirmişti. Kararda Facebook’un bu davranışları AB Genel Veri Koruma Tüzüğü GDPR (General Data Protection Regulation) ekseninde de değerlendirilmişti.

Bundeskartellamt’ın Şubat ayında açıkladığı bu Facebook kararı pek çok eleştiriye hedef oldu. Eleştirilerin başında ise Facebook’un karara konu davranışlarının rekabet hukukundan ziyade veri koruma hukuku ile ilişkili olduğu, bu nedenle Bundeskartellamt’ın düzenleyici kurum olarak kendisine tanınan yetki alanının sınırlarını aştığı gelmekteydi. Facebook da hakkında verilmiş karara karşı aynı eleştiriyi getirmiş ve Bundeskartellamt’ın kararına karşı itiraz sürecini işleteceğini belirtmişti.

Geçtiğimiz günlerde Facebook’un itirazı ilk meyvesini verdi. Karara karşı itiraz mercii olan Düsseldorf Bölge Mahkemesi, Bundeskartellamt’ın Facebook hakkında verilmiş kararının yürütmesini durdurdu ve rekabet otoritesinin kararındaki tedbirlerin uygulanmamasına karar verdi. Düsseldorf Bölge Mahkemesi yürütmeyi durdurma kararında, Bundeskartellamt’ın kararında açık bir hukuka aykırılık olduğu konusunda ciddi şüphelerinin bulunduğunu belirtti ve “Facebook’un uygulamalarının veri koruma hukukuna aykırı oluşu doğrudan bir rekabet ihlaline işaret etmez” ifadeleriyle karara yönelik eleştirilerle benzer bir tavır sergiledi. Facebook’un davranışlarının yeni rakiplerin piyasaya girişine engel olduğuna yönelik herhangi bir değerlendirmenin Bundeskartellamt tarafından yeterince yapılmadığına dikkat çekilen yürütmeyi durdurma kararında, Google’ın nezdinde çok kapsamlı veriler barındırmasına karşın sosyal medya platformu Google+’ın piyasada tutunamayarak kapanması verinin tek başına rekabetçi avantaj sağlamayabileceği argümanına örnek olarak yer verildi.

Bundeskartellamt, Düsseldorf Bölge Mahkemesi’nin yürütmeyi durdurma kararının ciddi hukuki eksikliklerinin bulunduğunu belirterek kararın kaldırılması için temyiz merciine müracaat edeceğini açıkladı.

Avrupa’da Yaz Sert Geçiyor: Rekabette Veri Güvenliği Fırtınasına Dikkat!

Yayın tarihi  ​​17 Temmuz 2019 Yazar and
Kategoriler: Kişisel Verilerin Korunması

Avrupa rekabet soruşturmalarında hâkim durumdaki şirketlerin veri toplama ve işleme süreçleri rekabet otoritelerinin odak noktası haline geldi. Bu sert rüzgârdan en çok etkilenecek teşebbüsler ise teknoloji devleri olacak gibi görünüyor.

Almanya’nın rekabet otoritesi Bundeskartellamt’ın Facebook hakkında yürüttüğü soruşturmayla başlayan değişim rüzgârı, tüm Avrupa Birliği’ni etkisi altına almaya başladı. Facebook, Apple ve Microsoft gibi teknoloji devleri ulusal rekabet otoritelerince mercek altına alındıkça, rekabet hukuku soruşturmalarında veri güvenliği kurallarının incelenmesi yaygınlaşmaya başladı. Öyle ki, çeşitli evrelerde rekabet soruşturmalarında veri güvenliği kurallarının devreye girmesi tartışılıyor.

Avrupa Komisyonu Genel Sekreteri Martin Selmayr, son dönemde hem birleşme devralma hem de hâkim durumun kötüye kullanılması dosyalarında rekabet hukuku ve kişisel verilerin korunması kurallarının iç içe geçtiğini belirtti.[1] Aynı zamanda Avrupa Birliği veri koruma kurallarının da mimarlarından biri olan Selmayr, Brüksel’de gerçekleşen bir konferansta yaptığı konuşmada iki alanın da insan onuru, tercihler ve özgürlükler üzerine kurulduğunun altını çizerek, düzenlemelerde yeknesaklığın kaçınılmaz olduğuna işaret etti. Selmayr’ın konuşmasında dikkat çeken bir diğer nokta ise, rekabet soruşturmalarında kişisel verilerin korunmasına ilişkin endişelerin de incelenmesine kimsenin engel olamayacağını açıkça belirtmesi oldu.

Değişim rüzgârının öncüsü Bundeskartellamt başkanı Andreas Mundt da aynı konferansta yaptığı konuşmada Avrupa rekabet otoritelerinin hâkim durumun kötüye kullanılıp kullanılmadığının değerlendirirken Genel Veri Koruma Yönetmeliği’ni (“GDPR”) dikkate alması gerektiğini vurguladı. Rekabet hukukuna ilişkin yeni bir GDPR yaratmaktansa, var olan düzenlemenin uygulanmasının daha mantıklı olduğunu savunan Mundt, teknoloji devlerinin sahip olduğu pazar gücünün endişe verici olduğunu belirtti.

Bu süreç nasıl başladı?

Bundeskartellamt 2019’un başlarında sonuçlandırdığı soruşturmada, Almanya’da sosyal ağ pazarında hâkim durumda olan Facebook’un veri toplama ve işleme süreçlerinin hâkim durumun kötüye kullanılması teşkil ettiğine karar vermişti.[2] Facebook, kendi uygulamasının yanı sıra, Instagram, Whatsapp ve beğen-paylaş özelliği gömülü olan üçüncü taraf internet sitelerinden herhangi bir kısıtlama olmaksızın kullanıcı verisi toplamakta, daha sonra bu verileri Facebook kullanımı için bir şart olarak ileri sürmekteydi. Kullanıcılar rıza göstermeksizin uygulamayı kullanamadığından, kişisel verilerin işlenmesinin bir mal ve/veya hizmet sunumunun şartı olarak ileri sürülmemesi kuralına aykırılık söz konusuydu.

Başta veri koruma otoritelerinin yetki alanında görülebilecek bu konuya, Bundeskartellamt tarafından söz konusu verilerin hâkim durumun korunması ve güçlendirilmesi hususunda teşebbüslere önemli bir avantaj sağladığı gerekçesiyle müdahale etti ve Facebook’a iş yapış modelini düzeltmesi için toplamda 12 aylık bir süre tanıdı.

Fransa’dan işbirliği çağrısı

Fransız rekabet otoritesi Autorite de la Concurrence’in başkanı Isabelle de Silva, otoritenin geçtiğimiz yıla ilişkin yıllık raporunu sunduğu toplantıda rekabet soruşturmalarında veri toplama ve veri güvenliği konularına daha fazla ağırlık vereceklerinin sinyallerini verdi.[3] Teşebbüslerin veri işleme olduğu gibi, veri toplama yöntemlerinin de hakim durumun kötüye kullanılması teşkil edebileceğinin altını çizen de Silva, Bundeskartellamt’ın Facebook kararına atıf yaparak, kendilerinin de dijital platformları mercek altına aldığına işaret etti.

Hâlihazırda Autorite de la Concurrence ve Bundeskartellamt algoritmalar üzerine ortak bir çalışma hazırladığı biliniyor. Önümüzdeki Ekim ayında Mundt ve de Silva tarafından sunulması beklenen raporun algortimaların rekabet hukukundaki yerinin belirlenmesinin yanı sıra benzer işbirliklerinin devamını getireceği de öngörülüyor. Fransız rekabet otoritesinin Fransız telekomünikasyon otoritesi ARCEP ve veri koruma otoritesi CNIL ile veri gözetim ve denetimi alanlarında güçlerini birleştireceğini açıklayan de Silva, teknoloji devlerinin hâkim durum soruşturmalarında da Avrupa’da benzer bir iş birliğine ihtiyaç duyulduğunun altını çizdi.

Türkiye’de ne noktadayız?

Aslında rekabet kişisel verilerin korunması hukuku arasındaki yakın ilişki ve işbirliğini görmek için fazla uzağa gitmemize gerek yok. Nisan ayında Rekabet Kurumu eski başkanı Ömer Torlak ile Kişisel Verileri Koruma Kurumu Başkanı Faruk Bilir arasında gerçekleşen toplantıda Avrupa’daki rüzgârların Türkiye’yi de etkisi altına alacağının sinyalleri verilmişti. Kurum başkanları dosyalarda bilgi alışverişinde bulunacaklarını ve mevzuat uyumluluğunun şirketlerin uluslararası rekabet gücünü arttıracağını düşündüklerini belirtirken, iki Kurum arasında bir de İşbirliği Protokolü imzalandı.[4]

İşbirliği rüzgârlarının Avrupa’da ve ülkemizdeki rekabet hukuku iklimini ne şekilde değiştireceğini ise zaman gösterecek. 

[1] Newman, Matthew. “Facebook, Microsoft antitrust cases show convergence with data-privacy rules, EU officials say.” MLex Global Antitrust, MLex, 10 July 2019, 14:47.

[2] https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=4

[3] Yaiche, Arezki. “Data-Collection Abuses among Priorities of French Competition Authority.” MLex Global Antitrust, MLex, 9 July 2019, 14:05.

[4] https://www.kvkk.gov.tr/Icerik/5431/-Kurumumuz-ile-Rekabet-Kurumu-Arasinda-Isbirligi-Protokolu-Imzalandi

Bu terazi (!) bu sıkleti çeker mi? : Teknoloji şirketlerinin finansal piyasalara girişi

Yayın tarihi  ​​12 Temmuz 2019 Yazar and
Kategoriler: Bankacılık, Kişisel Verilerin Korunması, Regülasyonlar, Rekabet Hukuku, Rekabet İktisadı, Telekomünikasyon, Teknoloji ve Medya

Facebook’un yakın zamanda duyurduğu kripto para Libra uluslararası finans düzleminde tartışıladursun, Uluslararası Ödemeler Bankası’na göre konu regülasyon ve rekabeti de içerecek şekilde geniş bir perspektiften ele alınmalı.

Klasik iktisatta paranın üç fonksiyonunun olduğu kabul edilir: (i) mübadele aracı olma (medium of exchange), (ii) değer saklama aracı olma (store of value), (iii) hesap birimi olma (unit of account). Son dönemlerde dillerden düşmeyen blokzincir teknolojisine dayalı kripto paraların bu fonksiyonları sağlayıp sağlayamadığı tartışma konusu. Kripto paraların en yaygını Bitcoin’in dahi bu fonksiyonları karşılayamadığı konusunda iktisatçılar neredeyse hemfikir. Bu nedenle kripto paraların piyasada yaygınlaşmadığı ve yaygınlaşmalarının da güç olduğu ifade ediliyor. Ancak piyasaya yeni bir oyuncu geliyor ve bu oyuncu terazinin (!) dengesini kendi lehine değiştirebilir. Facebook’un yakın zamanda tanıttığı Libra adlı kripto para, Big Tech olarak anılan büyük teknoloji şirketlerinin diğer piyasalara doğru yayılmacı politikalarının son örneklerinden biri. Visa, Mastercard, PayPal ve PayU gibi ödeme sistemi devlerinin de ortak olduğu Libra, diğer kripto paraların sağlayamadığı üç temel fonksiyonu sağlama yolunda ise hızlı bir çıkış yapabilecekmiş gibi görünüyor.

Teknoloji devlerinin regülasyon ve rekabet çevrelerinde yakından takip edildiği bir dönemde tanıtılan Libra, ülkelerin merkez bankalarının üye olduğu global düzenleyici otorite Uluslararası Ödemeler Bankası’nın da (BIS – Bank for International Settlements) dikkatini çekmiş durumda. BIS tarafından Libra’nın tanıtımının hemen ardından yapılan açıklama[1], Libra’nın global finansal istikrarda olumsuz etkiler doğurabileceğine yönelik çekinceler barındırıyor. Basel’li düzenleyici otorite tarafından yayımlanan yakın tarihli rapor da konuya daha geniş bir perspektiften yaklaşarak teknoloji devlerinin finansal piyasalara girişinin olası sonuçlarını ve olumsuzluklara karşı erkenden alınabilecek önlemleri değerlendiriyor[2].

Henüz on yılını tamamlamış olan 2008 yılındaki uluslararası finans krizinin ardından finansal piyasaların yerleşik oyuncuları bankalar, global ölçekte düzenleyici otoritelerin sıkı regülasyonları ile karşılaştılar. Krizlerin önüne geçilmesini ve finansal istikrarın teminini amaçlayan bu düzenlemeler bankalar bakımından ciddi uyum maliyetleri yaratıyor. Teknoloji devlerinin ise finansal piyasalarda boy gösterirken bu düzenlemelere tabi olmamaları ve uyum maliyetlerinden kurtulmaları, bankaların eşit olmayan bir oyun alanında rekabet edemedikleri algısının güçlenmesine ve şikayetlerin doğmasına yol açıyor. Buradaki endişelerin başında ise bu şirketlerin teknolojik üstünlüklerini ve geniş kullanıcı portföylerini kullanarak bankaları gelecekte kadük teşebbüsler haline getirmeleri var. Bu şekilde halihazırda problemler görülen finansal piyasalarda çok daha dar oligopollerle karşılaşılabileceği yönünde çekinceler var. Tüm bu çekincelere karşın BIS’in sloganı; aynı faaliyet için aynı regülasyon. Yakın zamanda finansal piyasaların yeni oyuncuları teknoloji devleri de finansal piyasaların kurallarına hızlı bir uyum sağlamak zorunda kalabilir.

BIS’in bu noktada yaptığı bir diğer önemli değerlendirme ise global ve yerel düzlemdeki birbirinden farklı konuları düzenleyen regülasyonların iç içe çalışma gerekliliği üzerine. BIS’in değerlendirmesine göre finansal piyasaların düzenleyici kurumlarının, kişisel verileri koruma kurumlarının ve rekabet otoritelerinin yakın temas içinde ortak bir politika izlemeleri gerekiyor. Nitekim BIS’in raporunda teknoloji devlerinin farklı piyasalarda varlık göstermeye başlamalarının analizi yapılırken farklı otoritelerin aksiyonlarının bu şirketleri ne yönde etkileyebileceği konusu bir pusula alegorisiyle değerlendiriliyor. Bu kapsamda Almanya rekabet otoritesi Bundeskartellamt’ın yakın zamanda verdiği Facebook kararının kişisel verilerin kullanımı bakımından teknoloji devlerine bir kısıtlama getirdiği değerlendirilirken, Çin’in yakın zamanda Baihang adlı dijital platforma kredi puanlaması lisansı vermesinin ve Hindistan’ın yeni Birleşik Ödemeler Arayüzü sisteminin ise piyasalara girişin önünü açan gelişmeler olduğu kabul ediliyor.

BIS’in yaptığı değerlendirmelerden en önemlisi ise düzenleyici otoritelerin rekabet değerlendirmesi konusundaki yetkinliklerine ilişkin. Zira belirtildiği şekilde teknoloji devlerinin mevcut avantajlarından yararlanarak çeşitli piyasalara giriyor olması öncelikli olarak bu piyasalardaki rekabeti ilgilendiriyor. Bu doğrultuda BIS’in de belirttiği üzere bu piyasaların düzenleyici otoritelerinin hızlı bir şekilde rekabet ve rekabet hukuku alanında yetkinliklerini artırmaları gerekiyor. BIS’e göre geç olmadan regülasyon ve rekabet politikalarının global düzlemde teknoloji devlerinin ilerleyişine adapte edilmesi gerekiyor. Regülasyon ve rekabet dünyasındaki tartışmalar Facebook’un Libra’sı sayesinde yakında şiddetlenecek gibi görünüyor.

[1] BIS Araştırma Dairesi Başkanı Hyun Song Shin’in Libra’ya dair açıklamaları için bkz. https://www.youtube.com/watch?v=QC8spl8u6Lg

[2] BIS Annual Economic Report 2019, s. 55-80.

TÜSİAD’ın üçüncü e-ticaret raporu çıktı!

Yayın tarihi  ​​10 Temmuz 2019 Yazar
Kategoriler: Kişisel Verilerin Korunması, Regülasyonlar, Rekabet Hukuku, Telekomünikasyon, Teknoloji ve Medya

Şahin ARDIYOK, Emin KÖKSAL

TÜSİAD’ın 2014 yılında yayınladığı e-ticaret konulu ilk rapor, Türkiye’deki e-ticaret için durum tespiti yapan bir çalışmaydı[1]. E-ticareti dijital pazarların odak noktasına koyan bu raporda Türkiye için atılması gereken adımlar da yer almıştı. 2017 yılında çıkan ikinci rapor ise e-ticaretteki gelişmelerin yanında, perakende olarak nitelendirilebilecek B2C e-ticarete odaklanan bir rapor olarak hazırlanmıştı[2]. TÜSİAD’ın geçtiğimiz günlerde yayınladığı üçüncü rapor ise B2C’nin yanında B2B e-ticarete, e-ihracata ve tamamen dijital olarak verilen hizmetlere odaklanmış bir çalışma olarak karşımıza çıkıyor[3].

E-ticaretin gelişiminin birçok faktöre bağlı olduğunu, bunların içerisinde internet kullanımının yaygınlığının, lojistik olanakların, ödeme sistemlerinin, tüketici algısının vb. koşulların önemli olduğunu biliyoruz. TÜSİAD’ın ilk iki raporu bu faktörler konusunda iyi birer referans kaynağı olurken, söz konusu üçüncü raporun e-ticaretteki gelişmelere e-ihracat, sosyal medya ve B2B e-ticaret konusunda ilave boyutlar kattığını söylemek mümkün.

Rapor yapısal olarak, önce dünyada ve sonra Türkiye’de (1) e-ticaret hacmi üzerinde etkili olan faktörlerdeki gelişmeleri, (2) e-ticaret ekosistemindeki değişimi inceliyor. Ekosistem içerisindeki değişimi ele alırken yasal düzenlemelerdeki (regülasyon) değişikliklere önemli bir yer ayrıldığı görülüyor. Bu blogu okuyanların ilgi alanını düşünerek, rapordaki diğer konuları bir kenara bırakıp yasal düzenlemeler alanındaki tespitlere kısa kısa değinmek isteriz.

Bazıları bu blogda da yer alan düzenlemelerin başında, Hindistan’da yerel e-ticaret oyuncularını küresel oyuncuların rekabetinden korumak amacıyla Amazon, Flipkart gibi önemli pazaryeri oyuncularına getirilmesi düşünülen kısıtlayıcı düzenlemeler yer alıyor[4].

Yine Asya kıtasından devam edersek, e-ticaretin en gelişmiş olduğu ülkelerden biri olan Çin’de son dönemde önemli yasal düzenlemelerin gündemde olduğu tespiti yapılıyor. E-ticaret platformlarının rekabeti engelleyici fiillerine cezalar gelirken, kullanıcıların ürün ve hizmetler konusundaki deneyimlerini yansıtan kullanıcı yorumlarına dair yeni düzenlemelere dikkat çekiliyor.

ABD’de ise firmaların ürünlerinin satışının gerçekleştirdiği eyalette fiziksel bir ofisi veya mağazası olmasa dahi çevrimiçi satışlardan ilgili vergilerin alınmasına ilişkin düzenlemeler getirildiğine değiniliyor.

Avrupa kıtasına geldiğimizde ise e-ticareti ilgilendiren en önemli gelişme olarak, 2018 yılı ortasında Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation – GDPR) yürürlüğü girmesi ortaya konuyor. Söz konusu tüzüğün 3. maddesinde öngörüldüğü şekliyle, GDPR’nin AB üyesi ülkelerde kurulu olan veya AB pazarına ürün veya hizmet sunan firmalara uygulanıyor olması, e-ticareti doğrudan etkileyecek bir faktör olarak sunuluyor[5].

Türkiye için yapılan değerlendirmelerde e-ticaret alanındaki düzenlemelere dair gelişmelerin başında 2016’da yasallaşan Kişisel Verilerin Korunması Kanunu (KVKK) geliyor[6]. Raporda özel bir bölüm ayrılan KVKK düzenlemeleri için iki tespit dikkati çekiyor. Bunlardan ilki KVKK’nın B2B e-ticaret paydaşları için nasıl uygulanacağına dair bir kılavuzun gerekliliğine, ikincisi ise kişisel verilerin saklanması için bulut bilişim kullanımına dair belirsizliğe işaret ediyor.

Raporda, Türkiye’deki düzenlemelere dair yer alan diğer konulara baktığımızda ise iki konunun gözümüze çarptığını söyleyebiliriz. Bunlardan ilki, internet ortamında verilen reklam hizmetlerinin gelir/kurumlar vergisi stopajı kapsamına alınması. Diğeri ise yurt dışındaki e-ticaret platformlarından yapılan satın alma işlemlerinde bedeli 22 Avroyu aşmayan ürünlere tanınan vergi muafiyetinin yürürlükten kaldırılması.

Raporda değinilmeyen, fakat Türkiye’deki e-ticaret hacmi üzerinde etkili olabilecek son dönemde gerçekleştirilen bir diğer değişikliği de biz ekleyelim. Rekabet Kurulu, geçtiğimiz Nisan ayında Dikey Anlaşmalara İlişkin Kılavuz’da bir revizyona gitmişti. Hatırlatmak gerekirse bu revizyonla, marka sahiplerinin internet satışlarına getirdiği kısıtlamalar ve çeşitli e-ticaret platformlar tarafından kullanılan “en çok kayrılan müşteri” (EKM) şartları konusunda önemli tespitlerde bulunulmuştu[7].

[1] TÜSİAD. (2014). Dijital Pazarın Odak Noktası e-Ticaret: Dünya’da Türkiye’nin Yeri, Mevcut Durum ve Geleceğe Yönelik Adımlar. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/8575_2aa6e4ca543c2375304fd4d4edf532a5.

[2] TÜSİAD. (2017). Dijitalleşen Dünyada Ekonominin İtici Gücü: E-Ticaret. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/8595_8e317197ef6a8179195e319a5668a7a0.

[3] TÜSİAD. (2019). E-Ticaretin Gelişimi, Sınırların Aşılması ve Yeni Normlar. Erişim tarihi 03.07.2019, https://tusiad.org/tr/yayinlar/raporlar/item/download/9228_dd99423af3c375774e32203b5a3e6daa.

[4] Bkz. ÇINAR, G. (4 Nisan 2019). Hindistan’da doğrudan yabancı yatırımın kuralları değişiyor: Çevrimiçi platformların başı yine dertte! Rekabet Regülasyon. Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/hindistanda-dogrudan-yabanci-yatirimin-kurallari-degisiyor-amazonun-basi-yine-dertte/.

[5] Bkz. CANBEYLİ, A. (20 Mayıs 2019). Kişisel Verilerin Korunması Alanında Yol Gösterici Gelişmeler: İngiltere Ses Kaydı ve Diğer Biyometrik Verilerin İşlenmesi Konusunda GDPR’ı Nasıl Uyguluyor?. Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/kisisel-verilerin-korunmasi-alaninda-yol-gosterici-gelismeler-ingiltere-ses-kaydi-ve-diger-biyometrik-verilerin-islenmesi-konusunda-gdpri-nasil-uyguluyor/.

[6] Bkz. SÜTLÜ, S. (4 Nisan 2018). Kişisel Verileri Koruma Kurumu’ndan İki Yeni Tebliğ! Erişim tarihi 25.04.2019, http://www.rekabetregulasyon.com/kisisel-verileri-koruma-kurumundan-iki-yeni-teblig/.

[7] Bkz. YEŞİLYAPRAK, D. (14 Mayıs 2018). “Yeni Kılavuz Çıktı Hanım” – Evet de Yeni Kılavuz Neden Bahsediyor? Erişim tarihi 25.04.2019 http://www.rekabetregulasyon.com/yeni-kilavuz-cikti-hanim-evet-de-yeni-kilavuz-neden-bahsediyor/.