İlgili kişinin Kuruma intikal eden şikayetinde özetle, bir oyun platformunun internet sayfasına giriş yapıldığında çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli bir cevap alınamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde sitenin işletilmesinden sorumlu veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle,

Söz konusu internet sitesinin şirkete ait olduğu ancak Türkiye’deki operasyonlarından başka bir şirketin sorumlu olduğu, KVKK aydınlatma metnine sitede paylaşılan link aracılığı ile ulaşılabildiği ve bu metinde kişisel verilerin hangi amaçlarla işlendiğine dair kapsamlı bir açıklama sunulduğu, Sitede satıcılar için satış yapma ön şartı olan telefon ve kimlik onay zorunluluğu olduğu, bu bilgilerin satıcıların kendi kabulleri ile siteye girildiği ve yalnızca satış esnasında oluşan komisyon sözleşmesi sebebiyle alındığı, alınan bilgilerin yalnızca sözleşme kapsamında doğacak hukuki sorumluluk kaynaklı olarak talep edildiği ve satıcılar tarafından siteye iletildiği, İlgili kişinin site üzerinde bir sanal hesap satım işlemi gerçekleştirmesi neticesinde komisyon sözleşmesinden doğan sorumluluğun yanı sıra alıcının satış sonrası uğrayabileceği zararlardan doğacak rücu hakkından dolayı muhtemel hukuki sorumluluğa karşı bu verilerin işlenmesinin veri sorumlusu açısından zaruri olduğu, Bu kapsamda internet sitesinde işlenen kişisel verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasında yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ile “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanılarak işlendiği,

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 23/12/2022 tarih ve 2022/1358 sayılı Kararı ile,

Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin hüküm altına alındığı, (2) numaralı fıkrada ise, kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menf