En güncel:
Online-Oyun-Dagiticilari-Hakkinda-KVKK-KARARI
Bilişim HukukuKişisel Verilerin Korunması

Oyun Dağıtıcısı Veri Sorumlusu Hakkında KVKK Kararı


28/09/2023 tarihli ve 2023/1645 sayılı Karar ile, Türkiye’deki geniş katılımlı çevrim içi bir oyunun dağıtıcısı ve tek yetkilisi olan veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesi konusunda Kişisel Verileri Koruma Kurulu tarafından değerlendirilmiştir.

Şikayet Özeti

Veri Sorumlusunun Yanıtsız Bırakma ve Yanıltıcı Bilgi Verme Pratiği

Dilekçede belirtilen ilk husus, geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi olan veri sorumlusunun, kullanıcının Kişisel Verilerin Korunması Kanunu‘nun 11. maddesi kapsamındaki haklarını kullanma çabalarına karşı eksik, yanıltıcı ve yanıtsız bırakma eğiliminde olduğunu vurgular. Veri sorumlusu tarafından yapılan cevapta, mevzuat referanslarına rağmen hangi kişisel verinin, hangi amaç ve hukuki sebep ile işlendiğine dair açıklamaların eksik olduğu belirtilmiştir.

Gerçek Dışı Veri Transferi Beyanı ve Hile Yazılımı Kullanımı

İkinci olarak, kullanıcının dilekçesinde ifade edildiği üzere, veri sorumlusunun kişisel verilerin yurt içi veya yurt dışına aktarılmadığı yönündeki beyanının gerçek dışı olduğu belirtilmiştir. Ayrıca, firmanın “hile ve dolandırıcılığı önlemek” amacıyla kullanılan üçüncü taraf yazılımın incelenmesi sonucunda, bu yazılım aracılığıyla kişisel verilerin hukuka aykırı bir şekilde elde edilip yurt dışına aktarıldığına dair bilgiler sunulmuştur.

Teknik İmkânsızlık ve Uyum İhlali

Son olarak, kullanıcı dilekçesinde veri sorumlusunun “yalnızca IP adresi ile tespit yapıyoruz” ifadesinin teknik olarak imkânsız olduğuna dair bir iddia ortaya konmuştur. Ayrıca, internet sitesinde yer alan gizlilik politikasının Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olmadığına dair bir tespit sunulmuştur. Bu noktada, veri sorumlusunun teknik pratiklerindeki zayıflıklar ve uyum ihlalleri vurgulanmıştır.

Veri Sorumlusu’nun Cevabı

Yabancı Ortaklık ve Veri Transferi Hakkındaki Savunma

Veri sorumlusu, şirketin yabancı uyruklu hissedarlardan oluşan ortaklık yapısına sahip olduğunu ve sektör gereği dijital oyun sözleşmelerinin hazırlanmasının iş süreçlerinin temelini oluşturduğunu belirtmiştir. Ayrıca, kişisel verilerin yurt dışına aktarımının zorunlu olduğunu savunarak, oyun hizmetleri kapsamındaki sunucuların Türkiye’de tutulduğunu vurgulamıştır.

Kişisel Veri İşleme Amaçları ve Hukuki Dayanaklar Hakkındaki Açıklamalar

Veri sorumlusu, işlenen kişisel verilerin oyun kaydı oluşturulabilmesi amacıyla kullanıcının “e-posta adresi, IP adresi” ve güvenli giriş uygulaması seçeneği kullanılıyorsa “cep telefonu numarası” olduğunu ifade etmiştir. Bu verilerin, çeşitli yasal düzenlemelere dayanarak işlendiğini, özellikle 5651 sayılı Kanun, Türk Borçlar Kanunu, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Türk Ceza Kanunu‘na uygun olarak işlendiğini ve meşru menfaatlerin sağlanması amacıyla kullanıldığını savunmuştur.

Veri Paylaşımı, Hile Yazılımı ve Çerez Politikası Hakkındaki İfade

Veri sorumlusu, kişisel verilerin sadece adli makamlarla paylaşıldığına vurgu yaparak, kullanıcı verilerinin tedarikçi dahil hiçbir kurum veya kişiyle paylaşılmadığını ifade etmiştir. Hile ve dolandırıcılık faaliyetlerini önlemek amacıyla kullanılan özel yazılımın detaylarına değinerek, bu yazılımın sadece belirli kodları taramak ve yurt dışına kişisel veri aktarımı yapmamak amacıyla kullanıldığını belirtmiştir. Ayrıca, çerez politikasının sadece internet sitesinin çalışması için zorunlu çerezleri içerdiğini ve pazarlama amaçlı çerez kullanılmadığını ifade etmiştir. Son olarak, gizlilik politikası ve aydınlatma metninin güncellenmesi sürecini başlattıklarını belirtmiştir.

İnceleme

Gözetleme Yazılımı Aracılığıyla Kişisel Verilerin Hukuka Aykırı İşlenmesi İddiası

  • Oyun dağıtıcısının Türkiye’deki tek yetkili olduğu,
  • Oyuncuların bot yazılımları aracılığıyla otomatize edilmiş şekilde oyun ilerletme potansiyeli olduğu,
  • Bu bot yazılımların VPN kullanarak IP adresini değiştirdiği ve özel yazılımın oyuncunun bilgisayarındaki açık olan exe’leri analiz ederek hile tespiti yaptığı,
  • Ancak, veri sorumlusunun bu süreçte hukuka aykırı kişisel veri işleme faaliyetinde bulunmadığı sonucuna varılmıştır.

Aydınlatma Yükümlülüğünün Yerine Getirilmesi İddiası

Veri sorumlusunun Aydınlatma Yükümlülüğü ile ilgili Kanun‘un 10. maddesi çerçevesindeki taahhütleri incelenmiştir. İnternet sitesinde yer alan “Kayıt Ol Aydınlatma Metni“, “Kişisel Veri Koruma Politikası” ve “Gizlilik Politikası” metinleri değerlendirilmiştir. Üyelik kaydı oluştururken ilgili kişilere bilgi verme yükümlülüğünün yerine getirilmesi amacıyla hazırlanan bu metinler arasında tutarsızlıklar tespit edilmiştir.

Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” metinleri genel olarak Kanun ve Aydınlatma Tebliği‘ne uygun olup, üyelik kaydı oluşturacak kişilere yönelik bilgi sağlamaktadır. Ancak, “Gizlilik Politikası” başlıklı metin, veri sorumlusunun büyük hissedarı olan yabancı menşeili şirket tarafından hazırlanmış ve Kanun’a uyumlu değildir. Bu metin, belirsiz ifadeler içermekte ve Aydınlatma Tebliği’ne aykırılık göstermektedir.

Kişisel Verilerin Yurtdışına Aktarımı

  • Veri sorumlusunun yurtdışında bulunan ortak şirketlerine kişisel veri aktarımı konusunda açık rıza alınmasının gerekliliği vurgulanmış,
  • Yurtdışına aktarılan veri kategorileri belirtilmiş (kimlik, iletişim, işlem güvenliği),
  • Yapılan incelemeler sonucunda oyun sunucularının yurt içinde olduğu ve kişisel verilerin yurtdışına aktarılmadığı belirlenmiştir.

Çerezler Aracılığıyla Kişisel Veri İşleme Faaliyeti

  • Çerez kullanımına dair rehberde belirtilen kriterlere uygun hareket edilmesi gerektiği vurgulanmış,
  • Açık rıza şartına dayalı kişisel veri işleme faaliyetlerinde, açık rızanın belirli bir konuya ilişkin ve özgür iradeyle verilmiş olması gerektiği ifade edilmiş,
  • İlgili kişilere çerez tercihlerini belirleme imkanı sunulmaması ve açık rızanın eksik alınması eleştirilmiştir.

Veri Güvenliği ve İdari Para Cezası

  • Çerez Politikası, Çerez Beyanı, Gizlilik Politikası, Kayıt Ol Aydınlatma Metni ve Kişisel Veri Koruma Politikası metinlerinin birbirleriyle uyumlu ve Kanun’a uygun hale getirilmesi talimatı verilmiş,
  • Bu metinlerde çerezler yoluyla kişisel verilerin yurtdışına aktarımına dair bilgi verilmesi ve Kurula bilgi verilmesi önerilmiş,
  • Veri sorumlusunun veri güvenliği yükümlülüklerine uyumunda eksiklikler tespit edilerek 750.000 TL idari para cezası uygulanması kararı alınmıştır.

BİLGİLENDİRME: Av. İlker Kağan KOÇ “ilkerkagankoc.com” internet sitesinde yer alan, hukuki meselelerin ve içtihatların değerlendiği çalışmalar 1136 sayılı Avukatlık Kanunu kapsamında tavsiye niteliğinde değildir.

Bunları da sevebilirsiniz

AİHM Caroline von Hannover Başvurusu

AİHM: Caroline von Hannover Başvurusu (Başvuru No: 59320/00)

kvkk 8yp

8. Yargı Paketi KVKK Değişiklikleri

KVKK Kararı: Reklam Amaçlı SMS Gönderilmesi

SMS gönderilmesi amacıyla kişisel verilerin işlenmesi hakkında KVKK Kararı