LÜKSEMBURG ULUSAL VERİ KORUMA KOMİSYONU’NDAN (CNPD) AMAZON’A 746Milyon Euro Para Cezası

Henüz resmi bir karar ilanı bulunmamakla birlikte Lüksemburg Ulusal Veri Koruma Komisyonu olan CNPD’nin, AB’nin Genel Veri Koruma Tüzüğü’nü (GDPR) ihlal ettiği gerekçesiyle 16 Temmuz 2021 tarihli karar ile Amazon.com Inc.’yi 746 milyon Euro (888 milyon dolar) cezaya çarptırdığı bilgisi Amazon tarafından paylaşılmıştır.

Amazon, Lüksemburg’da yerleşik olup, kişisel verilerin korunmasına dair Lüksemburg Ulusal Veri Koruma Komisyonu olan CNPD uygulamasına tabidir. Vatandaşlarının dijital hakları ve özgürlüklerini savunan Fransız derneği “Quadrature du Net”, Amazon.com Inc dahil birçok uluslararası şirket hakkında şikayette bulunmuş ve söz konusu süreç, 2019 yılından beri devam etmiştir.

Yapılan açıklamalardan anlaşıldığı üzere ihlal, Mayıs 2018’de yürürlüğe giren AB Genel Veri Koruma Tüzüğü (GDPR) uyarınca e-ticaret devi olan Amazon’un, düzenlemeye aykırı olarak kişisel verileri toplaması ve kullanması ile ilgilidir. Bilindiği üzere AB’nin Genel Veri Koruma Tüzüğü (GDPR), şirketlerin kişisel verileri kullanmadan evvel gerçek kişilerin onayını almalarını gerektirir. AB, Genel Veri Koruma Tüzüğü’nü (GDPR) uygulamaya koyarak ilk defa kişisel verilerle ilgili bir düzen getirmiş ve dijital hizmetlere ilişkin platformların, artık bir kullanıcıyı kendi istekleri dışında hedeflemek için çeşitli hizmetler aracılığıyla toplanan verileri kullanamayacağını açıkça ifade etmiştir. Somut olay dahilinde Amazon’un bu hususa aykırı hareket ettiği hususu gündeme gelmiştir. Konu resmi karar paylaşıldığında netlik kazanacaksa da kararın, kişiselleştirilmiş reklamcılıkta kullanıcı kişisel verilerinin bazı kullanımının yasa dışı olduğu varsayımına dayanıyor gibi görünüyor. Bu nedenle, kararın dijital ekonomi genelinde kişiselleştirme uygulamaları için önemli etkisi olabileceğini söylemek yanlış olmayacaktır. Nitekim Amazon gibi şirketler, kullanıcılarının kişisel verilerini kullanma biçimleri nedeniyle birçok eleştirinin de muhatabı konumundadır.

Buna karşın Amazon, tam aksi yöndeki iddialar ile kararın haksız olduğunu belirtmiş, yılın ikinci çeyrek raporlarını paylaşarak söz konusu yaptırım ile alakalı bilgileri internet sitesinden duyurmuş ve hukuki süreci sonuna kadar takip edeceklerinin sinyalini vermiştir.
Bununla birlikte Amazon, yapmış olduğu savunma ile müşteri deneyimini iyileştirmek için veri topladığını ve çalışanların bununla neler yapabileceğini yöneten yönergeler belirlediğini ifade etmekteyse de aksi görüş, bu ve benzeri şirketlerin piyasada kendisine haksız bir avantaj sağlamak için verileri kullandığına dair endişe içinde olduklarını dile getirmektedir.

Ek olarak belirtmek gerekir ki süreç uzun olmakla beraber, konuya aşina olanlar da hatırlayacaktır ki geçtiğimiz ay Lüksemburg Ulusal Veri Koruma Komisyonu olan GNPD, aynı konuya dair Amazon.com Inc. aleyhine 425 milyon dolardan fazla para cezası önerisi içeren karar taslağı ile konuya dair sinyal vermiş ve bu durum, kamuoyu bilgisine de sunulmuş idi. Henüz netleşmemiş olsa da taslak kararın, nihai karar halini aldığını söylemek mümkün olacak gibi.

Diğer yandan bir hususu daha belirtmeden geçmeyelim. Ceza bedeli dikkate alındığında GDPR’ın 83. maddesinin beşinci bendi uyarınca ihlal halinde bir teşebbüs olması halinde, bir önceki mali yılın yıllık dünya çapındaki cirosunun %4’üne kadar idari para cezalarına tabi olacağı şeklinde düzenleme yapılmıştır. Buradan hareketle Lüksemburg Ulusal Veri Koruma Komisyonu olan CNPD bazı düzenlemelere takılabilir. Zira CNPD’nin hükmettiği son karar, Amazon‘un 2020 yılı gelirleri göz önünde bulundurulduğunda bahse konu düzenlemeye aykırılık teşkil ettiği yönündeki görüşler tarafından eleştiriye açık bırakılmıştır. Bu kapsamda konuya dair diğer AB ülkelerinin tavrı önem arz etmekte olup resmi kararın ilanı ile birlikte konunun içerik itibariyle netlik kazanacağını söylemek uygun olacaktır.

Amazon’un konuya ilişkin bildirimine şuradan ulaşabilirsiniz.