Geçtiğimiz ay
Birleşik Devletler’in California eyaletinde büyük teknoloji firmalarını
ilgilendiren önemli bir gelişme yaşandı. Buna göre 1 Ocak 2020’de yürürlüğe
girecek olan California Consumer Privacy Act of 2018 (“CCPA”) ile California, Birleşik Devletler’de kapsamlı bir verilerin
korunması mevzuatına sahip olan ilk eyalet olacak.
Neden büyük teknoloji firmalarını ilgilendiriyor?
Bilindiği üzere kişisel verilerin korunmasına ilişkin olarak Avrupa Birliği
ve yerel mevzuatlar kapsam olarak kişisel verileri işleyen hemen hemen tüm
teşebbüsleri kapsama alıyor. Bununla birlikte, kişisel veriler üzerinden
milyonlar kazanan firmalarla küçük teşebbüslerin aynı kurallara tabi olması
uzun bir süre eleştiri konusu olmuştu. Bu noktada CCPA’nin en önemli özelliği
kişisel veriler ile ticari açıdan yakın ilişki sağlayan ve bundan yüksek kar
elde eden firmaları hedef alıyor olması. Nitekim ilgili mevzuat yalnızca
California’da yerleşik kişilerin verilerini işleyen ve aşağıda yer alan
koşulların en az birini taşıyan teşebbüsleri kapsıyor. Bu çerçevede:
Gayri safi gelirin
25 milyon Amerikan Dolarını aşması,
Yılda
50.000’den fazla California’da yerleşik kişinin kişisel verilerinin satın
alınması, satılması, alınması veya paylaşılması,
Yıllık net
gelirin yarısının müşterilerin kişisel verilerinin satılmasından elde edilmesi,
koşullarından
birinin taşınması halinde ilgili firma CCPA’in kapsamında olacak.
GDPR ile benzer mi?
Tanımlar
maddesine bakıldığında ise genel olarak Avrupa Veri Koruma Tüzüğü (“GDPR”) ile paralel bir şekilde kişisel
veri kavramının oldukça kapsayıcı şekilde tanımlandığını, böylelikle, ilgili
kişi ile ilişkilendirilebilecek her türlü verinin, kişisel veri olarak kabul
edildiğini görüyoruz.
Bunun karşın
GDPR’a nazaran ilgili kişilerin haklarının oldukça geniş tutulduğunu
söyleyebiliriz. Nitekim CCPA kapsamında ilgili kişiler hangi verilerinin
işlendiğini ve bu verilerin kimlere satıldığını veri sorumlusundan
öğrenebilecekler. Ayrıca, veri sorumluları kişisel verilerin üçüncü kişilere
satılıp satılmaması noktasında ilgili kişiye seçim hakkı tanımak zorunda
bırakılmış. Bu durum uzun vadede büyük teknoloji firmalarının epey bir canını
yakacak gibi gözüyor.
Cezai Yaptırımlar oldukça ağır
CCPA her bir
ihlal başına 2.500 Amerikan Doları ceza öngörüyor, kasıtlı ihlallerde ise bu
rakam 7.500 Amerikan Dolarına kadar çıkabiliyor. Bir veri sızıntısı
çerçevesinde on binlerce kişinin verisinin ihlal edileceği göz önüne
alındığında, veri sorumluların oldukça yüksek miktarda idari yaptırımlar ile
karşı karşıya kalabileceğini rahatlıkla söyleyebiliriz.
Bu noktada en
önemli farklılıklardan biri ise CCPA kapsamında ilgili kişiler istedikleri
takdirde toplu davaların yanında bireysel olarak da veri sorumlusu hakkında
dava açarak tazminat talep edebiliyorlar.
Sonuç olarak
Birleşik
Devletler’de kişisel verilerin korunması adına oldukça önemli bir gelişme
yaşandı. Bu gelişmenin en önemli mesajı ise daha önce uluslararası vergi
hukukunda da gördüğümüz üzere büyük teknoloji firmalarına yönelik, doğrudan bu
firmaları hedef alan regülasyonların gün geçtikçe daha popüler hale
gelebileceği. Dolayısıyla bu ve benzer düzenlemelerin yakın zamanda Avrupa’da
ve ülkemizde de söz konusu olabileceğini öngörebiliriz.
Hatırlanacağı üzere bu yılın başında Almanya Rekabet
Otoritesi Bundeskartellamt, Facebook hakkındaki soruşturmasını
neticelendirmişti. Soruşturma neticesinde Facebook’un rekabeti ihlal ettiği
tespit edilmiş, herhangi bir para cezası uygulanmadan ihlale neden olan
davranışlara son verilmesi yönünde bazı tedbirlerin uygulanmasına karar
verilmişti.
Bundeskartellamt tarafından verilen kararda Facebook’un,
kullanıcıların verilerini ölçüsüz bir şekilde topladığı ve başka internet
siteleri üzerindeki eklentileri sayesinde kullanıcıların bilgisi olmaksızın
veri toplayabildiği belirtilmişti. Bundeskartellamt Facebook’un bu
davranışlarını Alman Rekabet Kanunu GWB’nin (Gesetz gegen
Wettbewerbsbeschränkungen) hakim durumun kötüye kullanılmasını düzenleyen hükmüne aykırılık olarak değerlendirmişti.
Kararda Facebook’un bu davranışları AB Genel Veri Koruma Tüzüğü GDPR (General
Data Protection Regulation) ekseninde de değerlendirilmişti.
Bundeskartellamt’ın Şubat ayında açıkladığı bu Facebook
kararı pek çok eleştiriye hedef oldu. Eleştirilerin başında ise Facebook’un
karara konu davranışlarının rekabet hukukundan ziyade veri koruma hukuku ile
ilişkili olduğu, bu nedenle Bundeskartellamt’ın düzenleyici kurum olarak
kendisine tanınan yetki alanının sınırlarını aştığı gelmekteydi. Facebook da
hakkında verilmiş karara karşı aynı eleştiriyi getirmiş ve Bundeskartellamt’ın
kararına karşı itiraz sürecini işleteceğini belirtmişti.
Geçtiğimiz günlerde Facebook’un itirazı ilk meyvesini verdi.
Karara karşı itiraz mercii olan Düsseldorf Bölge Mahkemesi, Bundeskartellamt’ın
Facebook hakkında verilmiş kararının yürütmesini durdurdu ve rekabet
otoritesinin kararındaki tedbirlerin uygulanmamasına karar verdi. Düsseldorf Bölge
Mahkemesi yürütmeyi durdurma kararında, Bundeskartellamt’ın kararında açık bir
hukuka aykırılık olduğu konusunda ciddi şüphelerinin bulunduğunu belirtti ve
“Facebook’un uygulamalarının veri koruma hukukuna aykırı oluşu doğrudan bir
rekabet ihlaline işaret etmez” ifadeleriyle karara yönelik eleştirilerle benzer
bir tavır sergiledi. Facebook’un davranışlarının yeni rakiplerin piyasaya
girişine engel olduğuna yönelik herhangi bir değerlendirmenin Bundeskartellamt
tarafından yeterince yapılmadığına dikkat çekilen yürütmeyi durdurma kararında,
Google’ın nezdinde çok kapsamlı veriler barındırmasına karşın sosyal medya
platformu Google+’ın piyasada tutunamayarak kapanması verinin tek başına
rekabetçi avantaj sağlamayabileceği argümanına örnek olarak yer verildi.
Bundeskartellamt, Düsseldorf Bölge Mahkemesi’nin yürütmeyi
durdurma kararının ciddi hukuki eksikliklerinin bulunduğunu belirterek kararın
kaldırılması için temyiz merciine müracaat edeceğini açıkladı.
Avrupa rekabet soruşturmalarında hâkim durumdaki
şirketlerin veri toplama ve işleme süreçleri rekabet otoritelerinin odak
noktası haline geldi. Bu sert rüzgârdan en çok etkilenecek teşebbüsler ise
teknoloji devleri olacak gibi görünüyor.
Almanya’nın rekabet otoritesi Bundeskartellamt’ın
Facebook hakkında yürüttüğü soruşturmayla başlayan değişim rüzgârı, tüm Avrupa
Birliği’ni etkisi altına almaya başladı. Facebook, Apple ve Microsoft gibi
teknoloji devleri ulusal rekabet otoritelerince mercek altına alındıkça,
rekabet hukuku soruşturmalarında veri güvenliği kurallarının incelenmesi
yaygınlaşmaya başladı. Öyle ki, çeşitli evrelerde rekabet soruşturmalarında
veri güvenliği kurallarının devreye girmesi tartışılıyor.
Avrupa Komisyonu Genel Sekreteri Martin Selmayr, son
dönemde hem birleşme devralma hem de hâkim durumun kötüye kullanılması
dosyalarında rekabet hukuku ve kişisel verilerin korunması kurallarının iç içe
geçtiğini belirtti.[1]
Aynı zamanda Avrupa Birliği veri koruma kurallarının da mimarlarından biri olan
Selmayr, Brüksel’de gerçekleşen bir konferansta yaptığı konuşmada iki alanın da
insan onuru, tercihler ve özgürlükler üzerine kurulduğunun altını çizerek,
düzenlemelerde yeknesaklığın kaçınılmaz olduğuna işaret etti. Selmayr’ın
konuşmasında dikkat çeken bir diğer nokta ise, rekabet soruşturmalarında
kişisel verilerin korunmasına ilişkin endişelerin de incelenmesine kimsenin
engel olamayacağını açıkça belirtmesi oldu.
Değişim rüzgârının öncüsü Bundeskartellamt başkanı
Andreas Mundt da aynı konferansta yaptığı konuşmada Avrupa rekabet
otoritelerinin hâkim durumun kötüye kullanılıp kullanılmadığının değerlendirirken
Genel Veri Koruma Yönetmeliği’ni (“GDPR”)
dikkate alması gerektiğini vurguladı. Rekabet hukukuna ilişkin yeni bir GDPR
yaratmaktansa, var olan düzenlemenin uygulanmasının daha mantıklı olduğunu
savunan Mundt, teknoloji devlerinin sahip olduğu pazar gücünün endişe verici
olduğunu belirtti.
Bu süreç nasıl başladı?
Bundeskartellamt 2019’un başlarında sonuçlandırdığı
soruşturmada, Almanya’da sosyal ağ pazarında hâkim durumda olan Facebook’un
veri toplama ve işleme süreçlerinin hâkim durumun kötüye kullanılması teşkil
ettiğine karar vermişti.[2] Facebook,
kendi uygulamasının yanı sıra, Instagram, Whatsapp ve beğen-paylaş özelliği gömülü olan üçüncü taraf internet
sitelerinden herhangi bir kısıtlama olmaksızın kullanıcı verisi toplamakta,
daha sonra bu verileri Facebook kullanımı için bir şart olarak ileri
sürmekteydi. Kullanıcılar rıza göstermeksizin uygulamayı kullanamadığından,
kişisel verilerin işlenmesinin bir mal ve/veya hizmet sunumunun şartı olarak
ileri sürülmemesi kuralına aykırılık söz konusuydu.
Başta veri koruma otoritelerinin yetki alanında
görülebilecek bu konuya, Bundeskartellamt tarafından söz konusu verilerin hâkim
durumun korunması ve güçlendirilmesi hususunda teşebbüslere önemli bir avantaj
sağladığı gerekçesiyle müdahale etti ve Facebook’a iş yapış modelini düzeltmesi
için toplamda 12 aylık bir süre tanıdı.
Fransa’dan işbirliği çağrısı
Fransız rekabet otoritesi Autorite de la Concurrence’in
başkanı Isabelle de Silva, otoritenin geçtiğimiz yıla ilişkin yıllık raporunu
sunduğu toplantıda rekabet soruşturmalarında veri toplama ve veri güvenliği
konularına daha fazla ağırlık vereceklerinin sinyallerini verdi.[3]
Teşebbüslerin veri işleme olduğu gibi, veri toplama yöntemlerinin de hakim
durumun kötüye kullanılması teşkil edebileceğinin altını çizen de Silva,
Bundeskartellamt’ın Facebook kararına atıf yaparak, kendilerinin de dijital
platformları mercek altına aldığına işaret etti.
Hâlihazırda Autorite de la Concurrence ve Bundeskartellamt
algoritmalar üzerine ortak bir çalışma hazırladığı biliniyor. Önümüzdeki Ekim ayında
Mundt ve de Silva tarafından sunulması beklenen raporun algortimaların rekabet
hukukundaki yerinin belirlenmesinin yanı sıra benzer işbirliklerinin devamını
getireceği de öngörülüyor. Fransız rekabet otoritesinin Fransız
telekomünikasyon otoritesi ARCEP ve veri koruma otoritesi CNIL ile veri gözetim
ve denetimi alanlarında güçlerini birleştireceğini açıklayan de Silva,
teknoloji devlerinin hâkim durum soruşturmalarında da Avrupa’da benzer bir iş
birliğine ihtiyaç duyulduğunun altını çizdi.
Türkiye’de ne noktadayız?
Aslında rekabet kişisel verilerin korunması hukuku
arasındaki yakın ilişki ve işbirliğini görmek için fazla uzağa gitmemize gerek
yok. Nisan ayında Rekabet Kurumu eski başkanı Ömer Torlak ile Kişisel Verileri
Koruma Kurumu Başkanı Faruk Bilir arasında gerçekleşen toplantıda Avrupa’daki rüzgârların
Türkiye’yi de etkisi altına alacağının sinyalleri verilmişti. Kurum başkanları
dosyalarda bilgi alışverişinde bulunacaklarını ve mevzuat uyumluluğunun
şirketlerin uluslararası rekabet gücünü arttıracağını düşündüklerini
belirtirken, iki Kurum arasında bir de İşbirliği Protokolü imzalandı.[4]
İşbirliği rüzgârlarının Avrupa’da ve ülkemizdeki rekabet
hukuku iklimini ne şekilde değiştireceğini ise zaman gösterecek.
[1] Newman, Matthew.
“Facebook, Microsoft antitrust cases show convergence with data-privacy rules,
EU officials say.” MLex Global Antitrust, MLex, 10 July 2019, 14:47.
Facebook’un yakın zamanda duyurduğu kripto para Libra
uluslararası finans düzleminde tartışıladursun, Uluslararası Ödemeler
Bankası’na göre konu regülasyon ve rekabeti de içerecek şekilde geniş bir
perspektiften ele alınmalı.
Klasik iktisatta paranın üç fonksiyonunun
olduğu kabul edilir: (i) mübadele aracı olma (medium of exchange), (ii) değer saklama aracı olma (store of value), (iii) hesap birimi olma
(unit of account). Son dönemlerde
dillerden düşmeyen blokzincir teknolojisine dayalı kripto paraların bu
fonksiyonları sağlayıp sağlayamadığı tartışma konusu. Kripto paraların en
yaygını Bitcoin’in dahi bu fonksiyonları karşılayamadığı konusunda iktisatçılar
neredeyse hemfikir. Bu nedenle kripto paraların piyasada yaygınlaşmadığı ve
yaygınlaşmalarının da güç olduğu ifade ediliyor. Ancak piyasaya yeni bir oyuncu
geliyor ve bu oyuncu terazinin (!) dengesini kendi lehine değiştirebilir.
Facebook’un yakın zamanda tanıttığı Libra adlı kripto para, Big Tech olarak
anılan büyük teknoloji şirketlerinin diğer piyasalara doğru yayılmacı
politikalarının son örneklerinden biri. Visa, Mastercard, PayPal ve PayU gibi
ödeme sistemi devlerinin de ortak olduğu Libra, diğer kripto paraların
sağlayamadığı üç temel fonksiyonu sağlama yolunda ise hızlı bir çıkış
yapabilecekmiş gibi görünüyor.
Teknoloji devlerinin regülasyon ve rekabet
çevrelerinde yakından takip edildiği bir dönemde tanıtılan Libra, ülkelerin
merkez bankalarının üye olduğu global düzenleyici otorite Uluslararası Ödemeler
Bankası’nın da (BIS – Bank for International Settlements) dikkatini çekmiş
durumda. BIS tarafından Libra’nın tanıtımının hemen ardından yapılan açıklama[1],
Libra’nın global finansal istikrarda olumsuz etkiler doğurabileceğine yönelik
çekinceler barındırıyor. Basel’li düzenleyici otorite tarafından yayımlanan
yakın tarihli rapor da konuya daha geniş bir perspektiften yaklaşarak teknoloji
devlerinin finansal piyasalara girişinin olası sonuçlarını ve olumsuzluklara karşı
erkenden alınabilecek önlemleri değerlendiriyor[2].
Henüz on yılını tamamlamış olan 2008 yılındaki
uluslararası finans krizinin ardından finansal piyasaların yerleşik oyuncuları
bankalar, global ölçekte düzenleyici otoritelerin sıkı regülasyonları ile karşılaştılar.
Krizlerin önüne geçilmesini ve finansal istikrarın teminini amaçlayan bu
düzenlemeler bankalar bakımından ciddi uyum maliyetleri yaratıyor. Teknoloji devlerinin
ise finansal piyasalarda boy gösterirken bu düzenlemelere tabi olmamaları ve
uyum maliyetlerinden kurtulmaları, bankaların eşit olmayan bir oyun alanında
rekabet edemedikleri algısının güçlenmesine ve şikayetlerin doğmasına yol
açıyor. Buradaki endişelerin başında ise bu şirketlerin teknolojik
üstünlüklerini ve geniş kullanıcı portföylerini kullanarak bankaları gelecekte
kadük teşebbüsler haline getirmeleri var. Bu şekilde halihazırda problemler
görülen finansal piyasalarda çok daha dar oligopollerle karşılaşılabileceği
yönünde çekinceler var. Tüm bu çekincelere karşın BIS’in sloganı; aynı faaliyet
için aynı regülasyon. Yakın zamanda finansal piyasaların yeni oyuncuları
teknoloji devleri de finansal piyasaların kurallarına hızlı bir uyum sağlamak
zorunda kalabilir.
BIS’in bu noktada yaptığı bir diğer önemli
değerlendirme ise global ve yerel düzlemdeki birbirinden farklı konuları
düzenleyen regülasyonların iç içe çalışma gerekliliği üzerine. BIS’in
değerlendirmesine göre finansal piyasaların düzenleyici kurumlarının, kişisel
verileri koruma kurumlarının ve rekabet otoritelerinin yakın temas içinde ortak
bir politika izlemeleri gerekiyor. Nitekim BIS’in raporunda teknoloji devlerinin
farklı piyasalarda varlık göstermeye başlamalarının analizi yapılırken farklı
otoritelerin aksiyonlarının bu şirketleri ne yönde etkileyebileceği konusu bir
pusula alegorisiyle değerlendiriliyor. Bu kapsamda Almanya rekabet otoritesi
Bundeskartellamt’ın yakın zamanda verdiği Facebook kararının kişisel verilerin
kullanımı bakımından teknoloji devlerine bir kısıtlama getirdiği
değerlendirilirken, Çin’in yakın zamanda Baihang adlı dijital platforma kredi
puanlaması lisansı vermesinin ve Hindistan’ın yeni Birleşik Ödemeler Arayüzü
sisteminin ise piyasalara girişin önünü açan gelişmeler olduğu kabul ediliyor.
BIS’in yaptığı değerlendirmelerden en önemlisi
ise düzenleyici otoritelerin rekabet değerlendirmesi konusundaki
yetkinliklerine ilişkin. Zira belirtildiği şekilde teknoloji devlerinin mevcut
avantajlarından yararlanarak çeşitli piyasalara giriyor olması öncelikli olarak
bu piyasalardaki rekabeti ilgilendiriyor. Bu doğrultuda BIS’in de belirttiği
üzere bu piyasaların düzenleyici otoritelerinin hızlı bir şekilde rekabet ve
rekabet hukuku alanında yetkinliklerini artırmaları gerekiyor. BIS’e göre geç
olmadan regülasyon ve rekabet politikalarının global düzlemde teknoloji devlerinin
ilerleyişine adapte edilmesi gerekiyor. Regülasyon ve rekabet dünyasındaki
tartışmalar Facebook’un Libra’sı sayesinde yakında şiddetlenecek gibi
görünüyor.
[1] BIS Araştırma Dairesi Başkanı Hyun Song Shin’in Libra’ya dair
açıklamaları için bkz. https://www.youtube.com/watch?v=QC8spl8u6Lg
TÜSİAD’ın 2014 yılında yayınladığı e-ticaret konulu ilk
rapor, Türkiye’deki e-ticaret için durum tespiti yapan bir çalışmaydı[1].
E-ticareti dijital pazarların odak noktasına koyan bu raporda Türkiye için
atılması gereken adımlar da yer almıştı. 2017 yılında çıkan ikinci rapor ise
e-ticaretteki gelişmelerin yanında, perakende olarak nitelendirilebilecek B2C
e-ticarete odaklanan bir rapor olarak hazırlanmıştı[2].
TÜSİAD’ın geçtiğimiz günlerde yayınladığı üçüncü rapor ise B2C’nin yanında B2B
e-ticarete, e-ihracata ve tamamen dijital olarak verilen hizmetlere odaklanmış bir
çalışma olarak karşımıza çıkıyor[3].
E-ticaretin gelişiminin birçok faktöre bağlı olduğunu,
bunların içerisinde internet kullanımının yaygınlığının, lojistik olanakların,
ödeme sistemlerinin, tüketici algısının vb. koşulların önemli olduğunu
biliyoruz. TÜSİAD’ın ilk iki raporu bu faktörler konusunda iyi birer referans
kaynağı olurken, söz konusu üçüncü raporun e-ticaretteki gelişmelere e-ihracat,
sosyal medya ve B2B e-ticaret konusunda ilave boyutlar kattığını söylemek
mümkün.
Rapor yapısal olarak, önce dünyada ve sonra Türkiye’de (1) e-ticaret
hacmi üzerinde etkili olan faktörlerdeki gelişmeleri, (2) e-ticaret
ekosistemindeki değişimi inceliyor. Ekosistem içerisindeki değişimi ele alırken
yasal düzenlemelerdeki (regülasyon) değişikliklere önemli bir yer ayrıldığı
görülüyor. Bu blogu okuyanların ilgi alanını düşünerek, rapordaki diğer konuları
bir kenara bırakıp yasal düzenlemeler alanındaki tespitlere kısa kısa değinmek
isteriz.
Bazıları bu blogda da yer alan düzenlemelerin başında,
Hindistan’da yerel e-ticaret oyuncularını küresel oyuncuların rekabetinden
korumak amacıyla Amazon, Flipkart gibi önemli pazaryeri oyuncularına getirilmesi
düşünülen kısıtlayıcı düzenlemeler yer alıyor[4].
Yine Asya kıtasından devam edersek, e-ticaretin en gelişmiş
olduğu ülkelerden biri olan Çin’de son dönemde önemli yasal düzenlemelerin gündemde
olduğu tespiti yapılıyor. E-ticaret platformlarının rekabeti engelleyici fiillerine
cezalar gelirken, kullanıcıların ürün ve hizmetler konusundaki deneyimlerini
yansıtan kullanıcı yorumlarına dair yeni düzenlemelere dikkat çekiliyor.
ABD’de ise firmaların ürünlerinin satışının
gerçekleştirdiği eyalette fiziksel bir ofisi veya mağazası olmasa dahi çevrimiçi
satışlardan ilgili vergilerin alınmasına ilişkin düzenlemeler getirildiğine
değiniliyor.
Avrupa kıtasına geldiğimizde ise e-ticareti ilgilendiren en
önemli gelişme olarak, 2018 yılı ortasında Genel Veri Koruma Tüzüğü’nün
(General Data Protection Regulation – GDPR) yürürlüğü girmesi ortaya konuyor.
Söz konusu tüzüğün 3. maddesinde öngörüldüğü şekliyle, GDPR’nin AB üyesi ülkelerde
kurulu olan veya AB pazarına ürün veya hizmet sunan firmalara uygulanıyor olması,
e-ticareti doğrudan etkileyecek bir faktör olarak sunuluyor[5].
Türkiye için yapılan değerlendirmelerde e-ticaret
alanındaki düzenlemelere dair gelişmelerin başında 2016’da yasallaşan Kişisel
Verilerin Korunması Kanunu (KVKK) geliyor[6].
Raporda özel bir bölüm ayrılan KVKK düzenlemeleri için iki tespit dikkati çekiyor.
Bunlardan ilki KVKK’nın B2B e-ticaret paydaşları için nasıl uygulanacağına dair
bir kılavuzun gerekliliğine, ikincisi ise kişisel verilerin saklanması için
bulut bilişim kullanımına dair belirsizliğe işaret ediyor.
Raporda, Türkiye’deki düzenlemelere dair yer alan diğer
konulara baktığımızda ise iki konunun gözümüze çarptığını söyleyebiliriz.
Bunlardan ilki, internet ortamında verilen reklam hizmetlerinin gelir/kurumlar
vergisi stopajı kapsamına alınması. Diğeri ise yurt dışındaki e-ticaret
platformlarından yapılan satın alma işlemlerinde bedeli 22 Avroyu aşmayan ürünlere
tanınan vergi muafiyetinin yürürlükten kaldırılması.
Raporda değinilmeyen, fakat Türkiye’deki e-ticaret hacmi
üzerinde etkili olabilecek son dönemde gerçekleştirilen bir diğer değişikliği
de biz ekleyelim. Rekabet Kurulu, geçtiğimiz Nisan ayında Dikey Anlaşmalara
İlişkin Kılavuz’da bir revizyona gitmişti. Hatırlatmak gerekirse bu revizyonla,
marka sahiplerinin internet satışlarına getirdiği kısıtlamalar ve çeşitli
e-ticaret platformlar tarafından kullanılan “en çok kayrılan müşteri” (EKM)
şartları konusunda önemli tespitlerde bulunulmuştu[7].
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından son dönemde
uygulamayı yakından ilgilendiren kararlar yayınlandı. Bu yazımızda, Kurul’un,
kişisel verilerin güvenliğinin sağlanması ve korunması, Kurul kararlarına
uyulması ve aydınlatma yükümlülüğünün yerine getirilmesi ile ilgili olan
kararlara ilişkin bilgilendirmemizi bulabilirsiniz.
I. Teknik Servis Hizmeti Veren
Veri Sorumlusunun Kurul Kararına Uymaması
Teknik servis
hizmeti veren veri sorumlusu firma hakkında kişisel verileri ihlal ettiği
gerekçesi ile Kurul’a gelen ihbar neticesinde, Kurul firmanın internet
sitesinde servise bırakılan cihazlar için kişilere verilen sorgu numaralarının
son iki hanesinin değiştirilerek başka cihaz sahiplerine ait cihaz kod
numaralarına ulaşılabildiğini ve bunu takip eden linklerde ise ilgili kişilere
ait kimlik bilgileri ile sahip oldukları cihazlara ilişkin kod numaralarına
erişilebildiğini tespit etmişti. Kurul bu tespiti üzerine, veri sorumlusu
tarafından söz konusu linklerin
kullanımının durdurulmasına ve kişisel
verilerin güvenliğine ilişkin gerekli idari ve teknik tedbirleri almaması
sebebi ile veri sorumlusu firmanın 150.000 TL idari para cezası ödemesine
karar vermişti.[1]
Kurul’un bu kararının şirkete tebliğinden sonra, Kurul tarafından veri sorumlusu firmanın internet sitesinde yapılan sorgulamada, internet sitesi üzerinden yönlendirilen çeşitli linkler aracılığı ile halen teknik servis hizmeti alan ilgili kişilerin sahip oldukları cihazların kod numaralarına ulaşılabildiği, kargo gönderileri sorgulama linki aracılığı ile firma tarafından ilgili kişilere gönderilen kargoları teslim alan kişilerin ad ve soyad bilgilerine açık bir şekilde erişilebildiği tespit edilmiş olup; veri sorumlusu firmanın Kurul Kararı’na uymadığı tutanağa bağlandı. Bunun üzerine Kurul, Kurul kararına uymama sebebi ile veri sorumlusu firmaya 50.000 TL idari para cezası uygulanmasına ve söz konusu sorgulama sistemine erişimin tamamen engellenmesine karar verdi.[2]
Tüketici
şikayetleri ve Kurum’a intikal eden ihbarlar sonucunda Kurum bir marketi mercek
altına aldı. Şikayetlerde marketin bazı alışveriş/hizmet alımlarında indirim ve
puan biriktirme avantajı sağlayan sadakat kartlarının açık rızanın bir ürün
veya hizmetin sunulmasına ilişkin koşul olarak ileri sürüldüğü, ihbarlarda ise
marketin kart kullanımına ilişkin açık rıza alma esnasında “Veri İzni Alma
Uygulaması” adı altında 0,01 TL’lik bir hizmet bedeli alındığı iddia edildi.
Yapılan
incelemede, müşterilerin sadakat karta ilişkin açık rıza vermemeleri halinde
kendilerine hizmet sunulmaması gibi bir durumun ortaya çıkmadığı, dolayısıyla
hizmet veya ürün sunumunun açık rıza şartına bağlanmadığı anlaşıldı. Marketin
savunmasından müşterilere çeşitli kanallardan yapılan duyuruların hukuka uygun
olmayan şekilde elde edilen kişisel verilere meşruiyet kazandırılması için
değil, aksine önceden alınan rızalara ilişkin matbu formdaki bazı eksiklik veya
tahrifatların giderilmesi amacıyla alındığı anlaşıldığından konuya ilişkin bir
işlem tahsis edilmedi.
“Veri
İzni Alma Uygulaması” adı altında alınan hizmet bedelinin ise alışveriş
kasalarına kurulan bilgi teknolojileri sisteminden kaynaklanan ve sehven
yansıtılan bir bedel olduğu ve söz konusu bedelin müşteri kartlarına aynı
tutarda indirim olarak yüklendiği anlaşıldığından, bu hususta da herhangi bir
işlem yapılmamasına hükmedildi.
Bu
süreçte marketin Üyelik Rıza metni ile Aydınlatma Metni arasında tutarsızlıklar
tespit eden Kurul, bu tutarsızlıkların giderilmesine ve Aydınlatma metninin
kanunun temel ilkeleri ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde
Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hale
getirilmesine hükmetti. Bu kararın arkasında yatan sebebin, marketin gıda ve
ihtiyaç maddelerinin perakende olarak tüketiciye sunulması faaliyetinin
kapsamını ve amacını aşan nitelikteki özel nitelikli kişisel verileri toplaması
ve işlemesi olduğu anlaşıldı.
III. Siz siz olun başvurulara zamanında cevap
verin![4]
İlgili
kişinin hakları kapsamındaki taleplerini veri sorumlusu T.C. Ziraat Bankası A.Ş.’ye
(“Banka”) bildirmesi ile başlayan süreç, Kurum’un önüne geldi. Kuruma
yapılan şikayet başvurusunda Banka’nın kanuni yükümlülüğü olan 30 günlük sürede
ilgili kişinin başvurusuna yanıt vermediği anlaşıldı.
Kurum’un
konuya ilişkin açıklama talebini içeren yazısı Banka’ya teslim edilmekle
beraber, Banka’dan herhangi bir dönüş yapılmamasını takiben Kurum, Kanun’un
18/3. maddesi çerçevesinde sorumlular ile gerekli tedbirleri almak ve
denetimleri yapmakla yükümlü kişiler hakkında disiplin hükümlerine göre işlem
yapılmasına karar verdi.
İlgili
kişi başvurusuna ilişkin ise Banka tarafından cevap verilmesine ve Banka’nın
kanuni yükümlülüklerine uyum konusunda azami dikkat ve özen göstermesi
konusunda talimat verilmesi kararlaştırıldı. Son olarak Banka’nın internet sitesinde yer
alan Aydınlatma Metni’ne ilişkin görüşlerini bildiren Kurul, ilgili metinde
işlenen verilerin hangi hukuki sebebe dayandırıldığı belirtilmediği ve veri
işleme amaçları ifadesinin belirsizlik yarattığı gerekçesiyle metnin gözden
geçirilmesine ve Tebliğ’e uygun hale getirilmesine hükmetti.
IV. Kurul’a Yapılan Şikayet
İlgili kişi, bir
şahsın kendisi ve ailesine ait kişisel verilere hukuk dışı yollar ile erişerek
bu verileri ilgili kişinin rızası olmaksızın üçüncü kişiler ve İcra
Müdürlükleri ile paylaştığı iddiası ile Kurul’a şikayette bulundu.
Kurul tarafından
yapılan inceleme neticesinde, şikayet edilen şahsın kısmen veya tamamen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla gerçekleştirdiği bir veri işleme faaliyetinin
olmadığı, dolayısıyla kendisinin veri
sorumlusu olarak değerlendirilemeyeceği belirtildi.
Ek olarak, Kurul, şikayet edilenin eylemlerinin Türk Ceza
Kanunu kapsamında suç niteliği taşıyabileceğini belirtmiş ve konunun ceza
yargılaması konusu olabileceğini açıkladı. Bu nedenlerle, ilgili kişinin
iddiası bakımından Kurul tarafından yapılabilecek bir işlem olmadığına karar
verildi.[5]
Sonuç
Kurum
kararlarınında veri sorumluları için önemli mesajlar içerdiği kanaatindeyiz. Bu
kapsamda Kurul kararlarının yerine getirilmesinin önemi ve
gerekliliğini ve Kurul’a yapılan şikayetlerde
ortaya konan iddiaların ispat yükünün başvurucuda olduğunu hatırlatır,
başkalarına ait kişisel verilerin ilgili kişilerin rızası olmadan elde
edilmesinin Türk Ceza Kanunu kapsamında suç teşkil edeceğini dikkatinize
sunarız. Ayrıca kararlardan Kurul’un veri sorumlularının aydınlatma metinlerini
mercek altına aldığı anlaşılmakla, aydınlatma metinlerinizi Kanun’un temel
ilkeleri ve Tebliğ kapsamında yeniden gözden geçirmenizin faydalı olabileceğini
belirtmek isteriz.
[1]
Kurul’un 14/02/2019 Tarihli ve 2019/23 Sayılı
Kararı
[2]
Kurul’un 05/03/2019 Tarihli ve 2019/52 Sayılı
Kararı
[3]
Kurul’un 25.03.2019 Tarihli ve 2019/82 Sayılı
Kararı
[4]
Kurul’un 02.05.2019 Tarihli ve 2019/122 Sayılı
Kararı
[5]
Kurul’un 01/03/2019 Tarihli ve 2019/47 Sayılı
Kararı
Regülasyon ekosisteminin önemli unsurlarından olan
kişisel verilerin korunması, 6698 sayılı Kanun’un yürürlüğe girmesi ile
ülkemizdeki uygulama hayatına da hızlı bir giriş yaptı. Gelişen teknolojiler
karşısında dijitalleşen dünyanın en değerli varlığı olan “kişisel veriler”; bir
taraftan müşteri davranışları ve kullanıcı tercihlerini gözlemleyerek
kişiselleştirilmiş hizmetlerin önünü açarken bir taraftan da veri sahiplerinin
mahremiyetlerini hacir altına alıyor. İnovsyon destekli yaratıcı yıkım
süreçlerinin karşı karşıya getirdiği bu menfaatler arasındaki dengeye hukuk
zerk etmek ise yine yasamaya ve düzenleyici otoritelere düşüyor.
Bu kapsamda, veri koruma kurallarına uluslar üstü bir
standart kazandırmayı amaçlayan General Data Protection Regulation (“GDPR”), 2016 yılından itibaren mehaz
Avrupa uygulamalarını düzenliyor. Ülkemiz veri koruma mevzuatına da doğrudan
şekil vermiş olan GDPR’ın Avrupa’daki uygulama trendleri ise veri koruma
alanındaki karar insicamını yeni yeni oluşturan tüm ülkeler tarafından yakından
takip ediliyor ve referans alınıyor.
İşte bu bağlamda, GDPR temelli bir veri koruma
uygulamasına sahip olan Birleşik Krallık cephesinde biyometrik verilerin
işlenmesine kılavuzluk edecek bir gelişme yaşandı. Avrupa veri koruma içtihadı
üzerinde önemli etkisi olan Birleşik Krallık Veri Koruma Otoritesi[1] (“ICO”), İngiltere Gelir ve Gümrük İdaresi’nin[2] (“HMRC”) telefon destek hattını arayan
kullanıcıların ses kaydı verilerinin işlenerek otomatik bir ses tanıma (Voice ID) sistemi kurulmasını incelemiş
ve açık rıza alınmadan işlenen yaklaşık beş milyon kullanıcının verisinin
silinmesi yönünde karar vermiştir.
Bildiğiniz üzere, kişisel verilerin işitsel bir izdüşümü
olan ses kayıtları, gerek ülkemizde gerekse Avrupa veri koruma otoritelerince
biyometrik veriler kategorisinde değerlendiriliyor ve özel verilerin işlenmesi
rejimine tabi tutuluyor. Bu kapsamda, veri
koruma ağının işleyişine yön veren İngiltere’deki güncel uygulama
trendleri ile bunların ülkemizdeki yansımalarına dair değerlendirmeler de önem
kazanıyor.
İnceleme konusu uygulama
HMRC, 2017 yılında telefon destek hattının ara yüzü
içerisine yeni bir otomasyon sistemi ekledi. Kullanıcıların, uzun güvenlik
prosedürlerini tamamlayarak kimliklerini teyit etmek için vakit kaybetmelerine
engel olmak isteyen bu sistem, kullanıcıların ses kayıtlarını alarak bir
sonraki aramalarında onları seslerinden tanımlamak üzere işletiliyor.
Kullanıcıların bir HMRC danışmanı ile konuşmaya başlamalarına kadar geçen
süreyi önemli ölçüde kısalttığı değerlendirilen sistemin, tüm bu etkinlik
kazanımlarını sağlayabilmesi için ise öncelikle veri koruma kuralları ile tam
uyumluluğu sağlaması gerekiyor.
İşte HMRC’nin sisteminin karşılaştığı problem de tam
burada ortaya çıkıyor. İleri teknolojik imkanlar karşısında bireylerin
mahremiyetlerini ve medeni özgürlüklerini korumayı hedefleyen bir sivil haklar
organizasyonu olan Big Brother Watch[3]
tarafından hazırlanan bir şikayet üzerine başlatılan inceleme sonucunda, vergi
otoritesinin bahse konu sisteminin GDPR ile uyumlu olmadığı anlaşılıyor.
Gerçekten de, kar amacı gütmeyen bir organizasyon olarak özellikle devlet
destekli mahremiyet ihlallerini engellemek amacıyla kampanyalar yürüten ve kamu
davalarına katılan Big Brother Watch; Haziran 2018’de şikâyet konusu eylemlerin
detaylarını açıklamış[4] ve
kullanıcılara verilerini ses tanıma sistemine aktarmak dışında bir seçenek
sunulmadığını belirterek sistemin kullanıcıların rızası hilafına uygulamaya koyulduğunu
iddia etmişti.
Birleşik Krallık Veri Koruma Otoritesi’nin kararı
Big Brother Watch şikâyeti üzerine konuyu inceleme altına alan ICO ise HMRC
tarafından kurulan sistemin bir biyometrik veri türü olan ses kayıtlarının
işlenmesi üzerine inşa edildiğini değerlendirerek bu tür verilerin özel
nitelikli veriler grubuna dâhil olduğunu ve işlemeler için kullanıcılardan açık
rıza alınması gerektiğini belirtiyor. İnceleme konusu uygulamayı da bu
perspektiften değerlendiren İngiliz veri koruma otoritesi, kullanıcılardan ses
tanıma sistemine dâhil edilmeleri aşamasında tatminkâr bir “açık rıza”
alınmadığını ve kullanıcılara sistemden çıkabilme opsiyonunun (opt-out) izah edilmediğini
değerlendiriyor[5].
Özel nitelikli biyometrik verilerin, kullanıcıların açık rızası olmaksızın
işlenmesinin veri koruma kurallarına aykırı olduğuna kanaat getiren ICO, bu
sebeple HMRC tarafından mevzuata aykırı şekilde toplanarak işlenen tüm
verilerin silinmesine karar veriyor[6].
Veri koruma otoritesinin kararına saygı duyduğunu
belirten HMRC ise bir yandan mevzuata aykırı şekilde sistemine dâhil ettiği
yaklaşık beş milyon kullanıcının verisini imha ederken bir yandan da ses tanıma
sisteminin devamlılığını sağlamak adına kullanıcılardan rıza alma sürecini
yeniden gözden geçiriyor. GDPR döneminde biyometrik
verilere ilişkin ilk defa böyle bir yaptırım uygulanmasını öngören karar,
biyometrik verilerin, ileri bir koruma gerektiren özel nitelikli verilerden
olduğunu sarih biçimde tanımlayan ilk karar olması ile de dikkat çekiyor[7].
Veri koruma uygulamasının en kapsamlı “veri imha etme”
vakıasını ortaya çıkartan ICO kararı, gerek biyometrik verilerin işlenmesi
konusundaki hassas sinir uçlarına işaret etmek açısından gerekse veri koruma
kurallarının vergi idaresi gibi önde gelen kamu kuruluşlarına da tavizsiz
uygulanacak olduğunu göstermesi açısından ülkemiz uygulamasına da yol
gösterecek önemli iç görüler içeriyor. Bu itibarla, bankalar, GSM operatörleri
ve hastaneler başta olmak üzere telefon destek hatlarını yaygın kullanan
teşebbüsler açısından ICO’nun kararından ders çıkartılabilecek noktaların daha
iyi anlaşılması adına, ses kaydı kullanımlarının biyometrik veri vasfını
incelememiz de faydalı olacaktır.
Ses kaydının
biyometrik veri olup olmadığını nasıl anlarım
Ses tanıma sistemleri, bireyin kendisine has ses
şablonunu ve konuşma ritmini analiz ederek parmak izi benzeri bir biyometrik
tanıma ve kimlik tespit etme işlevi taşıyor. Sisteme işlenen bir ses kaydının
vokal karakterini çözümlemek için yüzlerce farklı davranışsal faktörü inceleyen
ses tanıma sistemleri, konuşan kişinin ağız yapısı, konuşma hızı ve vurgu
şemalarını da bu değerlendirmeye dâhil ediyor.
Sesleri ve ritimleri sayısal bir şablon üzerine oturtan
bu sistemler, her birey için farklı bir işitsel kimlik oluşturup kişinin hasta
olduğu veya sesinin değiştiği durumlarda dahi tanımlama yapabilecek şekilde
dizayn ediliyor.
Öte yandan belirtmek gerekir ki, “biyometrik ses tanıma
sistemleri” ile “otomatik ses algılama sistemlerini” birbirleri ile
karıştırmamak gerekiyor. Biyometrik ses tanıma sistemlerinin aksine, otomatik
ses algılama sistemleri yalnızca sisteme yöneltilen kelimeleri algılayarak bu
kelimeler üzerinden talimatlar alıp yönlendirmeler veriyor fakat kullanıcının
kimliğini tanımlamak üzere herhangi bir işlem gerçekleştirmiyor. Veri koruma
sorumluluklarının belirlenmesinde önem arz eden bu farklılık kapsamında; ses
verisini kişileri tanımlamak için kullanan biyometrik sistemler için
kullanıcının açık rızası gerekirken herhangi bir tanımlama işlemi içermeyen sesli
komut sistemleri açısından bu yükümlülük gündeme gelmiyor.
Karara ilişkin tepkiler
“İnovatif dijital hizmetlerin
hayatlarımızı kolaylaştırdığını” belirten ICO Yardımcı Komiseri Steeve
Woods, konuya ilişkin hazırladığı değerlendirme yazısında “bu gelişmelerin bedelinin bireylerin temel mahremiyet haklarının ihlali
olmaması gerektiğini” belirtiyor[8].
ICO Komiseri Elizabeth Denham ise HMRC’nin “ses tanıma
sistemini uygularken veri koruma prensipleri hakkında
hiç denecek kadar az değerlendirme yaptığını”
belirterek “bilgilerin toplanması
esnasında kullanıcılarla kurum arasında belirgin bir güç dengesizliği olduğunu”
ekliyor “kullanıcıların sisteme girmeyi
nasıl reddedeceklerinin veya reddetmeleri halinde herhangi bir olumsuzluk yaşamayacaklarının
açıklanmadığına” da vurgu yapıyor[9]. Konunun veri koruma ve hesap verebilirlik açısından
önemli olduğunu da belirten ICO Komiseri, “HMRC
nezdinde bir denetim gerçekleştirerek karara uyulup uyulmadığını takip
edebileceklerine” de dikkat çekiyor[10].
Şikâyeti gerçekleştirerek inceleme sürecini
tetikleyen Big Brother Watch organizasyonunun Direktörü Silkie Carlo ise konuya
ilişkin yaptığı açıklamada “kararın biyometrik verilerin
toplanmasına ilişkin emsal niteliğinde olduğunu” değerlendiriyor[11].
HMRC İcra Kurulu Başkanı Sir Jon Thompson ise konuya ilişkin yazdığı mektup ile
bahse konu verileri silmeye başladıklarını belirterek “ses tanıma sisteminin kullanıcılar arasında popüler olduğunu ve
kullanıcı verilerinin de daha etkin korunmasını sağladığını” ve yürürlükte
kalmasından memnun olduklarını belirtiyor[12].
Sonuç
ICO’nun kararı biyometrik verilerin işlenmesi alanında
birtakım ilklere sahne oluyor. Birleşik Krallık’taki en kapsamlı veri imhasına
karar veren veri koruma otoritesi, bu kararı ile GDPR temelli uygulamalarında
ilk defa “ses kayıtlarını” ve dolayısıyla da “biyometrik verileri” daha ileri
bir koruma rejimine tabi özel nitelikli verilerin içerisinde değerlendiren bir
içtihat oluşturuyor. Bu kapsamda belirtmek gerekir ki, ülkemiz veri koruma
mevzuatı kapsamında da özel nitelikli veri olarak değerlendirilen biyometrik
verilerin işlenmesi için kullanıcıların açık rızalarının alınması gerekiyor.
Açık rızanın yokluğunda toplanan verilerin; veriyi
toplayan kurumun bir kamu kurumu olmasına veya toplanan verilerin hacminin ne
kadar büyük olduğuna bakılmaksızın silinmesine karar verilebileceğini ve bu
durumun takip eden denetim ve yerinde incelemeler ile temin edilebileceğini
gözler önüne seren karar, bu tür verilerin işlenmesi ile iştigal eden şirketler
açısından da bir uyarı niteliği taşıyor. Açık rızanın nasıl algılanması ve
neleri ihtiva etmesi gerektiği konusunda da ipuçları veren ICO kararı; rızası
aranan kullanıcılara, bahse konu sistemden çıkma hakları (opt-put) olduğunun ve bu hakkı icra etmeleri durumunda kendilerine
sağlanan hizmetlerin olumsuz etkilenmeyeceğinin açıkça ve pro-aktif olarak
belirtilmesi gerektiğini öğütlerken sisteme dâhil olmanın mecburi olduğu
yönünde bir izlenim uyandırmaktan da kaçınılması gerektiğini gösteriyor.
Türk veri koruma rejimi tarafından da yakından takip
edilen GDPR uygulamaları hakkında faydalı iç görüler sağlayan bu içtihat;
özellikle bankalar, GSM operatörleri, internet servis sağlayıcıları ve
hastaneler gibi kapsamlı telefon destek hizmetleri sunan ve ses kaydı verileri
ile muhatap olan teşebbüsler açısından önem arz ediyor.
Bu itibarla belirtmek gerekir ki, ses kaydı veya parmak
izi gibi biyometrik verilerin kişileri tanımlamak için kullanılmasını içeren
uygulamaları hayata geçirecek kurumların, öncelikle kullanıcılara yüksek
standartta bilgi veren ve seçeneklerini tanımlayan bir açık rıza prosedürü
hazırlamaları gerekiyor. Aynı kapsamda, bu tür bir açık rıza almadan bahse konu
verileri işlemeye başlamış olan kuruluşların ise bu verileri imha etmeleri veya
kullanıcılardan açıklanan şekilde bir açık rıza almaları önem kazanıyor. Benzer
bir durumda, Kişisel Verileri Koruma Kurumu tarafından nasıl bir aksiyon
alınacağı konusu henüz keşfedilmeyi beklerken İngiliz veri koruma otoritesinin
GDPR uygulamalarının, büyük ölçüde yol gösterici olabileceği değerlendiriyoruz.
