2009 yılında 2002/58/AT sayılı e-Privacy Direktifi’nin tüm AB üye ülkelerinde[1] uygulanmak üzere yürürlüğe girmesinden itibaren, web siteleri tarafından çeşitli amaçlar ile kullanılan (gelişmiş işlevselliklerden, mantıksal analize, hedeflenmiş reklamcılığa, ürün optimizasyonuna vb.) çerezlerin[2] veya benzer izleme teknolojilerinin (bundan sonra “çerezler” olarak anılacaktır) kullanımına ilişkin rıza almak için bir dizi pratik uygulama geliştirilmiştir. Web sitesi işletmecileri tarafından uygulanan rıza alma yöntemleri, kurumların ve hedef kitlelerinin çeşitliliğini yansıtmaktadır.
Web sitesi işletmecileri, aldıkları rıza AB mevzuatı kapsamında geçerli sayıldığı sürece rıza almaya ilişkin farklı yöntemler kullanmakta serbesttir. Web sitesi işletmecileri tarafından geçerli rıza alımına ilişkin uygulanan belirli bir yöntemin tüm gereklilikleri yerine getirip getirmediğine ilişkin değerlendirme işbu çalışmanın ilerleyen bölümlerinde yapılacaktır.
e-Privacy Direktifi, çerezlerin depolanması veya çerezlere erişim için rıza alımını şart koşmasına rağmen AB Üye Devletleri nezdindeki web sitesi işletmecileri arasında yasal gerekliliklere ilişkin uygulamalar değişiklik göstermektedir. Her ne kadar söz konusu uygulamaların her biri rıza mekanizmasının yararlı bir bileşeni olsa dahi somut olayda ayrı yöntemler kullanmak, mutlaka geçerli bir rıza alındığı anlamına gelmemektedir. Zira geçerli bir rıza için tüm unsurların yerine getirilmesi gerekmektedir. (örn. Etkili bir seçim mekanizması ayrıca uyarıda bulunmayı ve bilgi vermeyi gerektirmektedir.) Halihazırda görülen uygulamalar aşağıdaki yöntemlerin birini veya daha fazlasını temel almaktadır;
- Farklı türdeki çerezlerin[3] web sitesi tarafından kullanıldığına dair web sitesine giriş yapar yapmaz görünen bir uyarı kapsamında kullanıcının hangi tür çerezler kullanıldığına ilişkin daha fazla bilgiye ulaşabileceği genelde bir bağlantı veya bir dizi bağlantı sunma yoluyla,
- Kullanıcının web sitesi tarafından ayarlanan çerezleri kabul ettiğine dair web sitesine giriş yapar yapmaz görünen bir uyarı yoluyla,
- Kullanıcıların tercihe bağlı olarak dilediği zaman çerez kullanımına izin verip dilediği zaman iznini geri çekebileceğine ve bunun yöntemlerine ilişkin bilgilendirme yoluyla,
- Kullanıcının tüm çerezleri veya bazılarını kabul edebileceği veya reddedebileceği bir mekanizma sunmak yoluyla,
- Kullanıcının sonradan çerezlerle ilgili bir önceki tercihi değiştirmesi için bir seçenek sunmak yoluyla.
e-Privacy Direkitifi’nin ilgili kişiler ve pratik uygulamalar kapsamında farklı yorumlamaları söz konusu olduğu göz önünde bulundurulduğunda ortaya çıkan soru şudur: Tüm AB Üye Devletleri kapsamında işletilen bir web sitesi için hangi uygulama tam olarak yasal uyumu sağlayacaktır?
2002/58/AT Sayılı Direktif’in 2. maddesinin (f) bendi ve 17 numaralı gerekçesi 95/46/AT Sayılı Direktif’e atıf yaparak rıza kavramını tanımlamaktadır. 95/46/AT Sayılı Direktif’in 2. maddesinin (h) bendi uyarınca bireyin kendi kişisel verilerinin işlenmesi için verdiği rıza spesifik olarak belli bir konuya özgü ve bireyin işbu veri işleme faaliyetine ilişkin bilgilendirildiğinin ve mutabık olduğunun bir göstergesi olmalıdır. 95/46/AT Sayılı Direktif’in 7. maddesi uyarınca ise rıza ayrıca “açık” olmalıdır.
Çalışma Grubu rızaya ilişkin görüşünde[4] farklı Üye Ülkeler arasında rıza kavramının yorumlanmasında farklılıklar meydana gelebileceğini kabul etmiştir. Rızaya ilişkin görüş, rızanın geçerlilik koşullara ve bulundurması gereken temel hususlara açıklık getirmektedir:
- Spesifik bilgilendirilme: Rızanın geçerli olabilmesi için spesifik ve belirli bir konuya özgü bilgilendirilmeye dayalı olması gerekmektedir. Bir diğer deyişle, işleme faaliyetinin temel amacını belirtmeyen “battaniye rıza” kabul edilemez niteliktedir.
- Zamanlama: Genel bir kural olarak rıza, işleme faaliyetine başlanmadan önce verilmelidir.
- Etkin Seçim: Rıza açık olmalıdır. Bu kapsamda rıza alma ve verme süreci veri öznesinin niyetine ilişkin şüpheye mahal vermeyecek nitelikte olmalıdır. Ayrıca rızanın geçerli olması için kullanıcının isteklerine ilişkin etkin bir gösterge niteliğini taşıması gerekmektedir. Bu tür bir göstergenin asgari ölçüde ifade ediliş şekli veri öznesinin isteklerini göstermeye uygun olacak kadar açık ve veri sorumlusu tarafından anlaşılabilir nitelikte olması koşuluyla her türlü işaret olabilecektir. ( Söz konusu işaret sayfanın altına el ile atılmış bir imza veya rızanın makul bir biçimde verildiğini gösteren aktif bir davranış olabilir.)[5]
- Serbestçe verilme: Rıza ancak veri öznesinin gerçek bir seçim yapma kabiliyetinin olması, aldatılma, ikrah, tehdit riskinin olmaması ve rızasını vermediği takdirde negatif sonuçlarla karşılaşma ihtimali ile korkutulmaması şartıyla geçerli olabilecektir.
Tüm AB Üye Ülkeleri kapsamında rızanın geçerli olmasına ilişkin hükümleri belirten hem yukarıdaki hem de başkaca[6] açıklamalar doğrultusunda Çalışma Grubu, bir web sitesi işletmecisinin çerezler için her Üye Devlet’in şartlarını karşılayan ve rızanın temel şartları olan spesifik bilgilendirilme, ön izin, kullanıcının etkin bir davranışına ilişkin gösterge ve serbestçe seçme kabiliyeti hususlarını içeren bir rıza mekanizması sağlaması gerektiğini detaylı olarak açıklamaktadır.
- Spesifik Bilgilendirilme
Belirlenen mekanizma, rızanın alındığı yerde ve zamanda çerezlerin kullanımına ilişkin açık, anlaşılabilir ve görünür bir uyarı sağlamalıdır. Örneğin, web sayfasında kullanıcının sayfayı ilk gördüğü anda, bir diğer deyişle giriş sayfasında. Kullanıcılar, web sitesine erişim sağlarken web sitesi tarafından kullanılan çerezlerin farklı türleri veya amaçları ile ilgili bütün gerekli bilgilere erişebilmelidir. Web sitesi kullanılan tüm çerezlerin yer alacağı şekilde tasarlanmış bir lokasyona yönlendirecek şekilde bir bağlantıyı (link) belirgin bir şekilde kullanıcıya sunabilecektir. Sunulması gereken bilgiler, çerezlerin kullanım amacı veya amaçları ve eğer varsa üçüncü kişilerin sunduğu çerezler veya üçüncü kişilerin web sitesinden çerezler aracılığıyla veri toplaması durumuna ilişkin detaylardan oluşmaktadır. Saklama süresi (örn. çerezlerin geçerlilik tarihi), tipik değerler, üçüncü taraf çerezlerine ilişkin detaylar ve diğer teknik bilgiler gibi bilgilere kullanıcıları tam olarak bilgilendirmek için mutlaka yer verilmelidir. Ayrıca kullanıcılar çerezlere ilişkin isteklerini hangi yollarla belirtebileceklerine ilişkin bilgilendirilmelidir. Örneğin; tümünü veya bazılarını nasıl kabul edecekleri, tamamını nasıl reddedebilecekleri ve gelecekte bu tercihlerini nasıl değiştirebilecekleri.
- Zamanlama
Çalışma Grubu daha önceki görüşünde de açıkladığı üzere[7] rıza, veri işleme faaliyeti başlamadan önce verilmelidir. Söz konusu Görüş e-Privacy Direktifi’nin 5/3 maddesinin kapsamına da uygunluk sağlamaktadır. Bu kapsamda tüm AB Üye Devletleri arasında uyum sağlayabilmek için rıza çerezler kullanılmadan veya çerezlere ilişkin bilgiler okunmadan önce alınmalıdır. Sonuç olarak, bir web sitesi kullanıcıya çerezleri kullanıcının cihazına yüklemeden önce kullanıcının çerezlere ilişkin görüşlerini belirtebileceği bir çözüm yolu sunmalıdır.
- Etkin Davranış
Çerezlerin türlerine ve kullanım amacına ilişkin bilgiye ek olarak web sitesi kullanıcıya rızalarını nasıl gösterebileceklerine ilişkin ayrıca açık ve anlaşılabilir bilgi sunmalıdır. Genelde bu uygulama kullanıcı web sitesini açar açmaz ana sayfada bilgilendirme yoluyla yapılır.
Rıza elde etmeye yarayacak araçlar açılış ekranı, banner, iletişim kutusu, tarayıcı ayarları gibi hususları içerebilecektir. İkinci olarak 2009/136/AT Sayılı Vatandaş Hakları Direktifi’nin 66. Gerekçesi “95/46/AT Sayılı Direktif’e uyumlu olarak teknik anlamda gerekli ve etkili olduğu zamanlarda kullanıcının işlemeye ilişkin rızası tarayıcının uygun ayarlarıyla veya başkaca uygulamalar aracılığıyla ifade edilebilir” hükmünü içermektedir. Web sitesi işletmecileri bu durumda kullanıcının tam olarak bilgilendirildiğine ve aktif olarak tarayıcılarını veya diğer uygulamaları ayarladıklarına güvenebilecektir. Zira doğru şartlar altında bu tarz bir ayarlama web sitesi işletmecileri tarafından kabul görebilecek etkin bir davranış anlamına gelmektedir. Tarayıcı ayarları uyarınca geçerli ve etkin bir rıza almanın şartları Çalışma Grubu’nun 2/2010 Sayılı Görüşü uyarınca tanımlanmıştır.
Kullanıcıların çerezlere ilişkin rızalarını belirtebileceği süreç doğrudan pozitif bir eyleme veya etkin bir davranışa dayanmalıdır. Söz konusu eylemin veya davranışın hangi anlama geleceği konusunda kullanıcı tam olarak bilgilendirilmiş olmalıdır. Bu kapsamda kullanıcılar rızalarını bir butona veya bağlantıya tıklayarak veya bilgilendirmenin sağlandığı bir kutucuğu işaretleyerek (eğer pozitif eylem çerezlerin kullanımı hakkında verilen bilgilerle birlikte alınmakta ise) veya web sitesi işletmecisinin açık rıza olarak yorumlayabileceği başka bir etkin davranış aracılığıyla verebileceklerdir.
İşbu çalışmanın amacı kapsamında etkin davranış kullanıcının gösterebileceği bir eylemi ifade etmektedir. Genellikle bu davranış giriş sayfası üzerinden bir bağlantıya, bir resme veya başka bir içeriğe tıklayarak web sitesi üzerinden izlenebilir kullanıcı-müşteri talebine dayanmaktadır. Bu tür kullanıcı taleplerinin şekli web sitesi işletmecinin kullanıcının tam olarak bilgilenerek bu talebi sunduğuna inanmasının sağlayabilecektir. Her şekilde bu yöntem kullanıcıya hangi eylemin çerezlere ilişkin rıza alındığına dair göstergesi olacak şekilde sunulmalıdır. Herhangi bir etkin davranış söz konusu olmadığında geçerli rızanın var olduğu kabul edilmeyecektir.
- Gerçek Seçim – Serbestçe Verilmiş Rıza
Rıza mekanizması kullanıcıya ana sayfada çerezlere ilişkin gerçek ve anlaşılabilir bir yöntem sunmalıdır. Kullanıcının çerezlerin tümünü veya bazılarını kabul etme, tümünü veya bazılarını reddetme ve gelecekte seçimlerini değiştirmeye ilişkin serbestçe seçme özgürlüğü olmalıdır.
Bazı Üye Ülkeler’de birtakım web sitelerine erişim çerezlerin kabulü şartına dayandırılmaktadır. Ancak yine de kullanıcı, web sitesini çerezsiz olarak kullanmaya devam etme veya yalnızca web sitesi hizmetinin sağlanması amacıyla ve izin şartından muaf olanlar için gerekli olanları kabul ederek bazılarını alma imkanını korumalıdır. Kullanıcıya sunulan seçenekler arasında ayrıntı düzeyinin yüksek olması önerilmektedir.
Yukarıdaki argüman, 2002/58/EC Sayılı e-PRivacy Direktifi’nin 25. gerekçesi uyarınca spesifik bir web sitesi içeriğinin kullanılması için çerez kullanımının şarta bağlanmasının ancak yasal bir amaç söz konusu ise mümkün olabileceğine ilişkin hükmüne dayanmaktadır. “Spesifiki web sitesi içeriği” ifadesindeki vurgu web sitelerinin genel erişimini çerez kullanımına ilişkin kabulü şarta bağlamamaları gerektiğini kastetmektedir.
Örneğin, gerekli olmayan çerezler için rızanın orantısız olduğu düşünülen web siteleri kullanıcının seçebileceği seçenekler olan bazı belirli hizmetler sunmalıdır. Çoğu AB Üye Devletleri nezdinde bu servisler kamu sektörü hizmetleri ile sağlanmaktadır.
Kullanıcılar ayrıca çerezlerin izlenmesine ilişkin gerçek bir seçim yapma hakkına sahip olmalıdır. Bu tür izleme çerezleri genellikle bireylerin web siteleri kapsamındaki davranışlarını takip etme, bu davranışlara ilişkin profiller oluşturma, ilgilerine ilişkin sonuç çıkarma ve insanları bireysel olarak etkileyen kararlar alma amacıyla kullanılmaktadır. İzleme çerezleri insanları birbirinden ayırmaya yarayacak şekilde kullanıldığında kişisel veri olarak adlandırılabilecektir. İzleme çerezleri kullanılarak kişisel veri işleme faaliyeti gerçekleştirilebilmesi için veri sorumlusunun kullanıcının açık rızasını alması gerekmektedir. Bahsedilen ilkeye aykırılığa dayanan bir uygulama, veri koruma mevzuatı kapsamında ulusal otorite tarafından verilebilecek bir ihlal kararına sebep olabilecektir.
Türkçe’ye çeviren: Av. Zülal Arslan
Brüksel’de Oluşturulmuştur, 2 Ekim 2013
Çalışma Grubu İçin
Başkan
Jacob KOHNSTAMM
[1] 2013 yılının Ocak ayından itibaren.
[2] 04/2012 Sayılı Görüş uyarınca tanımlandığı üzere “çerez” terimi HTTP çerezi yoğun olmakla birlikte bir dizi teknolojiyi kapsamaktadır.
[3] Örn. Sosyal eklenti şeklinde izleme çerezleri, üçüncü taraf reklamları veya Çerez Kullanımında Rıza İstisnalarına İlişkin Görüş uyarınca belirtilen mantıksal analizler.
[4] 15/2011 Sayılı Görüş, rızanın tanımı.
[5] Ayrıca veri korumasına ilişkin düzenlenen önümüzdeki AB Regülasyonu rızayı “açık olumlu beyan” olarak tanımlamaktadır.
[6] Çevrimiçi Davranışsal Reklam Faaliyetlerine İlişkin 2/2010 Sayılı Görüş içerisindeki açıklamalar.
[7] Rızanın tanımına ilişkin 15/2011 Sayılı Görüş.
Bir cevap yazın