Haftanın Güncel Gelişmeleri
GİRİŞ
Covid-19 tüm dünyayı etkisine almış olsa da şirketlerin birçoğu ticari faaliyetlerine devam etmekte ve personel çalıştırmakta olup, bu husus piyasaların canlı kalmasını sağlamaktadır. Bu kapsamda Covid-19 karşılık sektörel bazda gelişmeler gerçekleşmeye devam etmekte ve yeni yasalar çıkartılmakta, kararlar alınmaktadır. Bu yazımızda ise işte son dönemde gerçekleşen bu gelişmeleri inceleyeceğiz.
Kişisel Verilerin Korunması Kanunu Kapsamında Amazon Türkiye’ye İdari Para Cezası Kesildi
Bildiğiniz gibi Amerika Birleşik Devletleri merkezli “Amazon” hem satış hacmi hem de piyasa değer açısından dünyanın en büyük e-ticaret şirketlerinden biri olup, hemen hemen her ülkede faaliyet göstermektedir. Bu kapsamda çok uluslu bir şirket olan Amazon’un veri saklama politikası ile veri aktarım prensipleri büyük önem arz etmektedir.
Son dönemde özellikle yurt dışı veri aktarımı hususunda bağlayıcı şirket kuralları açıklayan Kişisel Verileri Koruma Kurumu da bu hususa büyük önem vermektedir. İşte tam da bu sebeple bu kurallar ile yurt dışına veri aktarımına ilişkin olarak ilk cezalardan biri ülkemizde olduğu gibi dünyanın birçok yerinde faaliyet gösteren Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon Türkiye”)’ne kesilmiştir.
Kişisel Verileri Koruma Kurulu’nun 27/02/2020 tarihli ve 2020/173 Sayılı kararı uyarınca;
“Ticari elektronik iletiye ilişkin ayrı bir mevzuat bulunmakla birlikte, telefon numarası, e-posta adresi gibi bilgilerin bir veri kayıt sisteminde depolanması suretiyle kişilere ticari nitelikli iletiler gönderilmesi, bir kişisel veri işleme faaliyetine işaret etmektedir. … bu mesajların iletilmesi için kullanılan iletişim kanallarının kişisel veri niteliğinde olması nedeniyle ticari elektronik iletilerin gönderilmesi süreçlerinin aynı zamanda kişisel verilerin korunması mevzuatına da uygun olması gerekmektedir.”
Bu kapsamda ticari elektronik iletiler kapsamında alınan bilgiler ile bu mesajların iletilmesi için kullanılan iletişim sebebiyle de ticari elektronik iletiler gönderilirken de kişisel verilerin korunması mevzuatına uygun hareket edilmesi gerektiği belirtilmiştir.
“Tarafımızca yapılan incelemede, www.amazon.com.tr sayfasında bir üyelik profili oluşturulmak suretiyle, iletişim bilgisinin pazarlama amaçlı iletiler gönderilmesi amacıyla işlenmesi hususunda ilgili kişilerin açık rızasının alınıp alınmadığı kontrol edilmiş olup, üyelik yapılabilmesi için gerekli bilgilerin girilmesi sırasında herhangi bir açık rıza alınmadığı, üyelik sürecinin tamamlanmasının ardından girilen “Hesabım” sekmesinde “İletişim Tercihleri” bölümünde Genel Ayarlar” başlığında, “e-postalar şu anda ……. E-posta adresine gönderiliyor” açıklamasının yer aldığı, “Promosyon E-postaları” başlığına tıklandığında ise “haberdar olmak istediğiniz tüm iletişim kategorilerini seçin” ifadesine yer verilmekle birlikte, 10 adet başlığın önceden tıklanmış olarak ekranda belirdiği, bu bölümün en altında ise “lütfen bana artık pazarlama e-postaları göndermeyin” kutucuğunun yer aldığı görülmektedir.
… Kanunda yer verilen tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir.”
Bu kapsamda internet sitesi üzerinde üyelik açarken alınan kişiye ait isim-soy isim, e-posta bilgileri gibi bilgilerin, bireyden bilinçli ayrıca bir onay alınmaksızın kullanılarak pazarlama amaçlı ticari ileti gönderilemeyeceği belirtilmiştir.
“…Bu kapsamda veri sorumlusunca web sitesinde yayımlanan “Gizlilik Bildirimi”, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir.”
Yukarıdaki belirtilen hususlarla ilgili yapılan incelemeler sonunda ise;
“… veri sorumlusunun ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı dikkate alındığında Kanunun 12’nci maddesinde yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmediği kanaatine varılmaktadır.”
“…İlgili kişinin arkadaşlarının bilgileri, kendisi bakımından kişisel veri olmakla birlikte ayrıca bu bireylere ait birer kişisel veri niteliğini de taşımaktadır. Böylece üye ile Amazon.com.tr arasında bir sözleşmenin ifası veya üyenin açık rızası kapsamında, üyenin temas kişilerine ait e-posta adresleri de bu kişilerin açık rızalarına dayanmaksızın işlenmektedir.”
Yukarıdaki gerekçelerle ise kişilerin iletişim bilgilerini işleyerek ticari elektronik ileti gönderirken kişilerin açık rızasının usulüne uygun olarak alınmadığı, üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği sonucuna varılmıştır.
Buna ek olarak Amazon’un sakladığı bilgiler olarak belirttiği “kredi geçmişi bilgileri, duruma ilişkin bilgiler, kurumsal ve finansal bilgiler”in de orantılı ve sınırlı bilgiler olmadığını zira işlenen verilerin ilgili kişiler tarafından en azından öngörülebiliyor olması gerektiği belirtilerek veri sorumlusunca “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı hareket edildiği sonucuna varılmıştır.
“Veri sorumlusunun “Gizlilik Bildirimi” incelendiğinde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında açıklanan şekillerde paylaşım yapıldığı belirtilerek son maddede “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verilmiştir. Metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olması, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabilecektir.”
Bu hususla ilgili olarak kişisel verilerin en geç verinin işlendiği sıraya kadar alınması gerektiği belirtilerek söz konusu işlemde ise önce aktarım yapılıp sonrasında rızanın geri alınabileceğinin söylenmesi ancak rızanın geri alındıktan akıbetinin ne olacağının belirtilmemesi açıkça yasaya aykırı bulunmuştur.
Yine Amazon, çerezler hakkında hazırlamış olduğu metinde;
“metinde siteyi ziyaret eden kişilerin tarayıcılarını veya cihazını tanımak, ilgileri hakkında daha fazla bilgi sahibi olmak; gerekli özellik, hizmetleri sağlamak ve aşağıda sayılanların da aralarında bulunduğu ek amaçlar için çerezlerin, piksellerin ve diğer teknolojilerin (hep birlikte “çerezler” olarak anılacaktır) kullanıldığı”
Şeklinde açıklamada bulunmuştur. Kişisel Verileri Koruma Kurumu, bu açıklamanın aydınlatma yükümlülüğünün yerine getirilmesi olarak kabul edilemeyeceğini, zira siteye ilk girildiği anda verilerin işlenmeye başladığını ancak siteye girmesinin verilerinin işlenmesine onay verdiği şeklinde yorumlanamayacağını belirtmiştir. Site girişinde Çerezler gibi araçlara kişisel verilerin işlendiğine dair bir bilgilendirme veya pop-up mesajlar gibi yapılan işleme için izin verilmesine dair bir sistemin de mevcut olmadığının altını çizerek web sitesine girişle birlikte kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmamasını aydınlatma yükümlülüğüne aykırı bulmuştur.
Yurt Dışına Veri Aktarımı ile İlgili Olarak
“…Bu kapsamda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa edilmektedir. Mevcut hukuki düzenlemeler çerçevesinde veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9’uncu maddesinin 1 numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği, bu durumun Kanunun 12’nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere aykırılık oluşturduğu kanaatine varılmıştır.”
Her ne kadar kısa bir süre önce yurt dışına veri aktarımı ile ilgili olarak bağlayıcı şirket kuralları açıklanmış ve bu kapsamda çok uluslu şirketlerin bu kurallara uygun olarak yurt dışına veri aktarabileceği düzenlenmişse de verilen ceza söz konusu açıklamadan önce olup, bağlayıcı şirket kurallarından yararlanamayan şirketler açısından da emsal teşkil etmektedir.
Buna göre Kişisel Verilerin Korunması Kurulu, tek bir rıza beyanı ile alınan onayın geçerli olmadığını ve özellikle yurt dışına veri aktarımı yapılırken bu şekilde alınan toplu bir rıza beyanının açık rıza sayılamayacağını belirtmiştir.
Yukarıda açıklanan sebepler ile Amazon Türkiye’ye 1.2 Milyon Türk Lirası tutarında idari para cezası kesilmiştir.
Covid-19’un Hastalık Sigortası Kapsamında Değerlendirilmesi
Covid-19’un tüm dünyayı etkisi altına almış ve özellikle çalışmaya devam eden kişiler arasında hastalığın bulaşıcı olması sebebiyle çok kısa süre yayılmıştır. Bu durumdan en çok etkilenenler ise hiç şüphesiz çalışmaya devam eden işçilerdir. Bu sebeple de en çok merak edilen konulardan biri işçiye iş yerinde Covid-19 (Koronavirüs) virüs bulaşmasıdır.
Sosyal Güvenlik Kurumu Başkanlığı 07.05.2020 tarihli ve 96597630-010.06.02-E.5852699 sayılı Koronavirüs konulu yazısı ile Koronavirüs’ün iş kazası hükümleri kapsamında değil hastalık sigortası kapsamında değerlendirilmesi gerektiğini bildirmiştir.
Şöyle ki, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 15. Maddesi uyarınca; “4’üncü maddenin birinci fıkrasının (a) ve (b) bentleri kapsamındaki sigortalının, iş kazası ve meslek hastalığı dışında kalan ve iş göremezliğine neden olan rahatsızlıklar, hastalık halidir.” Şeklinde düzenleme yapılmıştır. Bu kapsamda bu hüküm dikkate alınarak ve Covid-19’un bulaşıcı hastalık olduğu dikkate alınarak salgın sebebiyle sağlık hizmet sunucularına müracaat eden sigortalıların hastalık kapsamında değerlendirileceği bildirilmiştir.
Finansal Piyasalarla ilgili Yanıltıcı Açıklamalar Yapmak Yasaklandı
Son dönemde Covid-19’un da etkisiyle piyasalarda dalgalanmalar yaşanmakta ve bu dalgalanmalar kur oranlarını da etkilemektedir. Bunun bir sebebi de piyasayı ve kitleleri yanıltıcı açıklamalardır. İşte tam da bu sebeple Bankacılık Düzenleme ve Denetleme Kurumu tarafından 07.05.2020 tarihli Resmi Gazete’de Finansal Piyasalarda Manipülasyon ve Yanıltıcı İşlemler Hakkında Yönetmelik (“Yönetmelik”) yayınlanmıştır.
Söz konusu Yönetmelik’in amacı 5411 sayılı Bankacılık Kanununun 76/A maddesi kapsamına giren, finansal piyasalarda manipülasyon ve yanıltıcı işlem ve uygulamaların belirlenmesidir.
Söz konusu madde uyarınca;
“… bankalar tarafından; 4 üncü maddede sayılan işlemler yoluyla finansal piyasalarda yapay arz, talep veya döviz kuru dahil fiyat oluşumunu sağlamak amaçlı işlem ve uygulamaların yapılması, internet ortamı dahil farklı araçlarla gerçeğe aykırı veya yanıltıcı bilgilerin yayılması, tasarruf sahiplerinin gerçeğe aykırı veya yanıltıcı şekilde yönlendirilmesi ya da bu amaçları sağlamaya yönelik benzer işlem ve uygulamaların yapılması, finansal piyasalarda manipülasyon ve yanıltıcı işlemler olarak kabul edilir.” Şeklinde düzenleme yapılmış ancak madde kapsamında hangi eylemlerin bu kapsamda kabul edileceği düzenlenmemiştir.
Yönetmelik ile işte bu hususlar açıklanmıştır. Bu kapsamda Türk Bankaları ile Türkiye’de şubesi bulunan yabancı bankaların devamdaki eylemleri gerçekleştirmeleri yasak olup, finansal piyasalarda manipülasyon ve yanıltıcı işlem olarak kabul edilecektir:
- Bir finansal aracın arzına, talebine veya fiyatına ilişkin yanlış veya yanıltıcı izlenim uyandıran veya uyandırabilecek olan ya da döviz kuru ve faiz dahil bir finansal aracın fiyatının kasten anormal veya yapay düzeyde tutulmasının sağlanması,
- Arz talep dengesinin normal şartlarda gerçekleşmediği dönemlerde, finansal piyasaların dalgalanmasından ya da sığlığından faydalanmak suretiyle, finansal piyasaların düzensizliğini artıracak ya da istikrarını olumsuz etkileyecek şekilde, bir finansal aracın fiyatına veya faiz, döviz kuru, CDS gibi referans değerlere etkide bulunacak işlemlere dahil olmak,
- Bankaların yurt dışı yerleşiklerle yaptıkları bir bacağı döviz diğer bacağı TL olan para swapı, forward, opsiyon ve diğer türev işlemlerine ilişkin veya bankalarca yurt dışına TL likidite sağlanmasına ilişkin Kurulca alınan karar ve sınırlamaların dolaylı yöntemler kullanılarak aşılmasına ya da söz konusu Kurul kararlarının etkisizleştirilmesine yönelik işlem ve uygulamalar gerçekleştirmek,
- Aldatıcı bir mekanizma veya kurgu yoluyla döviz kuru ve faiz dahil bir finansal aracın fiyatını etkileyen veya etkileyebilecek işlemlere dahil olmak,
- Bir finansal aracın arzına, talebine veya döviz kuru ve faiz dahil fiyatına ilişkin yanlış veya yanıltıcı izlenim uyandıran ya da uyandırabilecek olan ya da bu fiyatın anormal veya yapay düzeyde tutulmasını sağlayan ya da sağlayabilecek olan yanlış veya yanıltıcı bilgi veya söylentileri yaymak,
- İnternet veya diğer kitle iletişim araçları yoluyla görüş bildirerek, öncesinde pozisyon alınmış bir finansal araç hakkında, alınan pozisyonla ilgili çıkar çatışmasının kamuoyundan gizlenmesi suretiyle, söz konusu finansal aracın, faiz oranı ve döviz kuru dahil, fiyatı üzerinde etkide bulunmak veya bulunmaya çalışmak.
- Yanlış veya yanıltıcı olduğunu bildiği ya da bilmesi gerektiği halde, bir referans değer hakkında yanlış veya yanıltıcı bilgiler iletmek, yanlış veya yanıltıcı girdiler sağlamak ya da bir referans değerin hesaplanmasını manipüle edici herhangi bir davranışta bulunmak,
- Bir finansal aracın arz veya talebi üzerindeki hakim rolün kullanılması suretiyle finansal aracın alım satım fiyatlarını sabitlemeye veya başka bir haksız kazanç sağlamaya yönelik eylemlerde bulunmak,
- Finansal piyasaların açılış ve kapanışlarında, faiz ve döviz kuru dahil bir finansal aracın açılış veya kapanış fiyatlarını etkileyen veya etkileyebilecek alım veya satım işlemleri gerçekleştirerek bu açılış ya da kapanış fiyatlarına göre pozisyon alan yatırımcıların yanlış yönlendirilmesini sağlamak,
- Tasarruf sahiplerini gerçeğe aykırı veya yanıltıcı şekilde yönlendirmek,
- Finansal sisteme olan güveni zedeleyerek sistemik riske neden olabilecek şekilde bilgi ve söylentiler yaymak.
Olarak sayılmıştır. Bu kapsamda Bankacılık Kanunu kapsamındaki kurum ve kuruluşların bu tür eylemler ile finansal piyasaları yanlış yönlendirmesi, yanıltması ve manipüle etmesi yasaklanmış ve bu şekilde piyasalardaki dalgalanmaların önüne geçilmeye çalışılmıştır.