Kişisel Verilerin Korunması Kanunu, yürürlüğe girdiği günden beri bir kısım alışkanlıkları değiştirdiği gibi, iş hayatını yönlendirmeye de devam ediyor. KVKK ve ikincil mevzuat gereğince veri sorumlularına getirilen yükümlülüklerden en önemlilerinden biri Aydınlatma Yükümlülüğüdür. Bu yükümlülük, veri sorumlularının veri işleme faaliyetine başlamadan önce veri sahiplerini, veri işleme amaçları ve yöntemleri hakkında aydınlatması ve veri işleme faaliyetinin hukuki gerekçelerini açıklamasını içeriyor.
Bu yükümlülüğün yerine getirilmemesi, veri sorumlusu yönünden ağır yaptırımlar uygulanmasına neden olabilecek bir eksiklik. Bu nedenle tüm veri işleme faaliyetlerinin gözden geçirilerek aydınlatma yükümlülüğünün yerine getirildiğinin teyit edilmesi veri sorumlularını 2023 yılı itibari ile 5.971.989,00-TL’na vara para cezaları ile karşı karşıya bırakabilir.
Bu uygulamada çalışanlar, müşteriler veya ziyaretçiler gibi farklı veri sahibi grupları ve belirli veri işleme faaliyetleri yönünden oturmuş bir uygulama bulunsa da bazı iş ve işlemler yönünden hala uygulamada sıklıkla hata yapıldığı gözlemlenmektedir. Bunların başında gelen sorun ise internet sitelerinde kullanılmakta olan çerezler. Yaygın İngilizce tabiri ile cookies…
Kişisel Verilerin Korunması Kanunu gereği ilgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. Bu yasal düzenlemeyi iyi bilen bazı açık gözler, geçtiğimiz günlerde web sitelerinde çerez kullanım uyarısı olmayan şirketleri tespit ederek site sahiplerine Kanunun 11. madde düzenlemesi uyarınca başvurmak sureti ile çerez politikaları hakkında bilgi istediler. Bilindiği üzere, veri sorumlusu, bu düzenleme gereği yapılan bu başvuruya en geç 30 gün içerisinde cevap vermek zorundadır. Peki ya bu süreyi kaçırırsa ya da çerez politikasına sahip olmadığı için cevap veremeyecek durumda olursa ne olur ?
Veri sorumlusu olarak çerezler aracılığı ile kişisel veri işleyen yahut site içerisinde 3. Taraf çerezlerinin barındırılması halinde ilgili kişinin çerez politikası ile aydınlatılması, kişiye opt-in hakkı tanınması ve çerezlerin kabul edilene kadar kullanılmamasını sağlayacak sistemlerin kurulması zorunludur. Aksi halde bu faaliyet yasa dışı veri işleme olarak değerlendirilecek ve şikayet neticesinde ve Kişisel Verileri Koruma Kurumunca uygulanacak ciddi para cezalarını ödemek, ya da başvuruda bulunan ilgili kişiye ( ya da bu boşluğu kullanan uyanıklara) ciddi bir sus payı vererek belki de çok pahalı bir ders almış olacaklar.
Peki böyle bir hukuki ders almak ve idari para cezası tehdidi ile karşılaşmamak için ne yapmak lazım şimdi de ona bakalım ;
Çerezler
Günümüzde çerezler (cookies), aktif olarak neredeyse her internet sitesinde kullanılan bir teknolojidir. Kullanımları birçok yönü ile hayatı önem taşıdığı gibi bazı sitede bulunan “beni hatırla” gibi kullanıcı şifresini yeniden girmeksizin oturum açmaya olanak tanıyabilmeleri ile kullanıcı deneyimini iyileştirmektedir. Bu özellikleri kullanıcı deneyimini kolaylaştırsa da çerezler aracılığı ile kişisel veriler işlenmekte olduğundan kullanımları özellikle Avrupa Birliği’nde ve devamında Dünya genelinde verilerinizi nasıl topladıkları, işledikleri ve kullandıkları konusunda soru işaretlerine ve yasal düzenlemelere neden olmuştur.
Sizler de bir arama motorunda yaptınız bir arama sonrasında, aradınız ürün ya da bir bilgiyle ilgili bir reklam ya da bilgilendirme ile karşılaşmışsanız çerezler aracılığı ile kişisel verileriniz toplanmış ve işlenmiş demektir. Kişiselleştirilmiş reklamlar adı verilen bu uygulama, teknoloji şirketlerinin sitelere yerleştirmiş olduğu ve çoğunlukla 3. Taraf çerezler olarak adlandırılan takipçiler aracılığı ile online alışkanlıklarınız, arama geçmişisiniz gibi çevrimiçi ayak iziniz kullanılarak, size özel bir hizmet olarak nitelendirilebilir Peki size özel bu hizmetin sağlanabilmesi için nelerden feragat etmeniz gerekli ? Bu sorunun cevabının kimi durumlarda kişilik hakları ve çevrimiçi gizlilik olması, birçok ülkede, gizlilik hakkı konusunda endişeye neden olmuş ve yasal düzenlemelere gidilmiştir.
Ülkemizde doğrudan çerez ve online takipçilerin kullanımına ilişkin bir düzenleme bulunmasa da 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ve ikincil mevzuat düzenlemeleri, çerez kullanımında ve veri sorumlularının dikkat etmeleri gereken hususlar içermektedir.
Bu konuda yürürlükte olan ve Veri Koruma Kurulları tarafından çerez kategorizasyonu ve online gizlilik konularında dikkate alınan, 2002/58/EC Sayılı Direktif Avrupa Birliği Direktifi, Türk Kişisel Verileri Koruma Kurumu tarafından çerez kategorizasyonu ve uygulamalarında rehber alınmaktadır. Direktif, 6698 Sayılı Kanun ile paralel olup aynı zamanda geniş ve kapsamlı düzenlemeler içermektedir. Bu nedenle Veri Sorumluları tarafından tüm çerez uygulamaları yönünden, Direktif bir yol gösterici niteliğinde olup ülkemizde çerezlere ilişkin dorudan bir yasal düzenleme bulunmadığından Direktifin rehberliğinde hareket edilmesi yaptırımlardan koruyacaktır.
Direktifin “İletişimin Gizliliği” başlıklı m. 5, f. 3. fıkrasında yer alan düzenleme ile üye devletler tarafından çerezlerin: “abonenin ya da kullanıcının terminal ekipmanında bilgi depolanmasına ya da depolanan bilgilere erişim sağlanmasına, ilgili abonenin, Direktif 95/46/EC’ye uygun olarak, işlemin amaçları hakkında geniş kapsamlı bilgi verilmiş olması koşuluyla izin verecektir. Bu durum, elektronik iletişim ağı üzerinden iletişim iletiminin gerçekleştirilmesi amacıyla veya abone tarafından açıkça talep edilen bir bilgi topluluğu hizmetinin sağlayıcısının bu hizmeti sağlamaması için gerekli olan herhangi bir teknik depolama veya erişimi engellemeyecektir.” açık rıza ve bilgilendirme şartı ile işlenebileceğini düzenlemiştir. Akabinde bu kuralın istisnaları düzenlenmiştir.
Bilgilendirme Yükümlülüğü
6698 sayılı kanun uyarınca kişisel verilerin işlenmesinden önce aydınlatma yükümlülüğü bulunmakta olup internet sitesi içeresinde çerez kullanımı bulunuyor ise çerezin türü yahut tarafından bağımsız olarak kullanıcılara bilgilendirme yapılması zorunludur.
Kanun ve Direktif kapsamında bilgilendirmenin; kullanıcının siteye giriş yaptığı anda, karşısına çıkan ilk sayfada veya açık, kapsamlı ve görünür şekilde yapılması gerekir.
Bu kapsamda sitenizde, tüm çerez türlerinin listelendiği bir Çerez Politikası oluşturulmalı ve politika içerisinde tüm çerezler açıklanmalı ve çerezlerin kullanım amaçları, kullanılan üçüncü taraf çerezlerine, çerezler yoluyla üçüncü taraflara veri aktarılıp aktarılmadığına, çerezlerin hangi süreyle saklandığı ve son olarak kullanıcılara çerez kullanımına ilişkin seçenek sunulması yahut bu tercihini nasıl değiştireceği sunulmalıdır.
Rızanın Alınması
Kişisel Verilerin İşlenmesine İlişkin Bireylerin Korunmasına İlişkin Çalışma Grubu’nun 2013 yılında verdiği karar ile açık rıza, özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak, veri işleme faaliyetinin başlamadan, ilgili kişinin aktif eylemine bağlı olarak alınması gerekmektedir.
İstisnalar “Kriter A ve Kriter B çerezleri”
Çerez kullanımından önce kullanıcıların rızalarının alınması zorunlu olsa da bazı istisnaların varlığı halinde açık rızanın alınmaksızın internet sitelerinde çerez kullanımı mümkündür. Bu istisna bilgilendirme yükümlülüğü için geçerli değildir.
Buna göre Direktif m. 5, f. 3 düzenlemesi kapsamında haberleşmenin elektronik haberleşme ağı üzerinden iletiminin sağlanması amacıyla kullanılması “Kriter A” veya çerez kullanımının, abone veya kullanıcı tarafından açıkça talep edilen bir bilgi toplumu hizmetinin sunulması bakımından mutlak surette zorunlu olması “Kriter B” durumlarında, rıza alınmasına ilişkin kural uygulanmayacaktır.
Ancak, istisnalar dışında kalan tüm çerezler yönünden kalan tüm çerez türleri yönünden açık rıza alınması gerekmektedir.
Yasal Durum
Kanun ve 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete ’de yayınlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Tebliğ ile hangi veri işleme şartına dayanıldığı yahut ilgilinin açık rızasının alınıp alınmadığına bakılmaksızın tüm veri işleme faaliyetleri öncesinde Aydınlatma Yükümlülüğünün yerine getirilmesi zorunlu kılınmıştır.
Tebliğ’de Aydınlatma Yükümlülüğünün yerine getirilmesi sırasında ilgili kişiye “veri sorumlusunun ve varsa temsilcisinin kimliği; kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği; kişisel veri toplamanın yöntemi ve hukuki sebebi ; son olarak ilgili kişinin 6698 sayılı Kanunun 11 inci maddesinde sayılan diğer hakları hakkında bilgi verilmelidir. Çerezlere yönelik olarak aydınlatmanın hangi suretle yapılacağı kanunumuzda ayrıca düzenlenmemiştir. Ancak Çalışma Grubu tarafından yapılan değerlendirme ile çerezlere yönelik aydınlatmanın kullanıcının bir web sayfasına giriş yapar yapmaz karşısına çıkan ilk sayfada site içerisinde çerezlerin kullanımına ilişkin açık, kapsamlı ve görünür bir bildirim yapılması gerektiğini ifade etmektedir.
Bunun yanında kullanıcılara site tarafından kullanılan tüm çerez türlerine ve çerezlere ilişkin bilgi sunulmalı, çerezlerin kullanım amaçları ile kullanılan üçüncü taraf çerezlere ve çerezler yoluyla üçüncü taraflara veri aktarımına ilişkin bilgilendirme yapılmalı, çerezlerin hangi süreyle saklanacağı da bildirilmelidir.
Son olarak, kullanıcılara sahip oldukları seçenekler gelecekte bu tercihi nasıl değiştirebilecekleri konusunda da bilgi verilmelidir.
Kullanıcının sahip olduğu seçenekler, çerezleri kabul etmek yahut reddetmek olabilir. Bununla birlikte kullanıcı bir bölümünü kabul ederek bir kısmını reddedebileceğin bu seçeneğin de sunulması gerekir. Son olarak kullanıcıya tümünü kabul et seçeneğinin sunulması halinde tümünü reddet seçeneğinde de aynı şekilde sunulması gerekir.
Bu kapsamda web sitesinin içerisinde bir çerez politikası bulunmalı ve aydınlatma yükümlülüğünün yerine getirilmesi sağlanmalıdır. Ancak bu durumda aydınlatma yükümlülüğünün veri işleme faaliyetinden önce yürütülmesi gerektiğinden sitenizde öncelikle katmanlı aydınlatma yoluna gidilebilir.
Web sitemiz var, şirketimizde bir IT ekibi var nasılsa bakarlar diye düşünmeyin. Göze batmayan bu tarz bir eksiklik sonucu ağır idari para cezaları ile karşılaşılması ve saçınızı başınızı yolacak kadar sinirlerinizi bozmanız son derece mümkündür. Bu konuda bir nebze olsun farkındalık yaratabilirsek ne mutlu bize…
Melih C. Öztürk
K&P Legal Kardas Hukuk Bürosu
Avukat
