FRANSIZ DANIŞTAYI : SİTE EDİTÖRÜ ÜÇÜNCÜ TARAF ÇEREZLERİ VASITASIYLA İŞLENEN KİŞİSEL VERİLERDEN DE SORUMLUDUR

Yazan:Hasan Yaşar Güneş

Gözden Geçiren: Kadir Hazan

Daha önceden çevirisini yaptığımız Le Figaro kararında, emsal karar olarak kabul edilen bu kararı da sizinle paylaşmak istedik. Figaro kararında kısaca; İnternet sitesine, sitenin iş ortakları tarafından yerleştirilen çerezler bakımından da site editörünün sorumluluğunun bulunduğunu belirtiyordu. Bu yazıda Le Figaro kararına emsal oluşturan Fransız Danıştay’ın (Conseil d’État) verdiği kararı özetleyerek anlatmaya çalıştık.

Fransız Veri Koruma Kurumu olan CNIL’ın (kamuya açıklanmamış olan) SAN-2017-007 sayılı, 18 Mayıs 2017 tarihli kararı ile 6 Ocak 1978 Tarihli Veri İşleme, Dosyalama ve Özgürlükler Hakkında Kanun’un 45 ve devamındaki maddeleri gereğince Editions Croque Futur Şirketi (“www.challenges.fr ” sitesini yayımlayan şirket) aleyhinde 25.000Euro para cezası vermesi üzerine adı geçen şirket, bu para cezasının iptal edilmesi veya azaltılması talebi ile Fransız Danıştay’ına başvurmuştur.

CNIL tarafından verilen yaptırım kararı, CNIL’ın bahsi geçen internet sitesinde çeşitli tarihlerde çevrimiçi olarak gerçekleştirdiği kontrollere istinaden tespit ettiği ihlallere dayanmaktadır. CNIL tespit ettiği bu ihlalleri şirkete bildirmiş ancak şirket tarafından gerekli düzeltmelerin tamamının yerine getirilmemesi üzerine CNIL şirkete para cezası vermiştir. CNIL tarafından tespit edilen ihlaller kısaca şunlardır:

1. İlk olarak, şirkete verilen resmi bildirime rağmen challenges.fr sitesinde hesap açmaya yarayan formlarda yukarıda belirtilen 6 Ocak 1978 Tarihli kanun 32/1 de bulunan şartların;
   • Verileri toplayan kişi veya kurumun kimliği hakkında,
   • Toplanan verilerin kullanım amaçları hakkında,
   • Veri kullanımı sunulan metne yanıt vermenin zorunlu olup olmadığı hakkında,
   • Toplanan verilerin AB üyesi olmayan devletlere transferi hakkında,
   • Verilen izinlere karşı itiraz haklarını nasıl kullanabilecekleri hakkında,

Kişisel bilgileri alınan kişilerin ya da yasal temsilcilerinin önceden gerekmektedir. Ancak CNIL tarafından yapılan incelemeler sonucunda, CNIL’in uyarısından sonra düzeltilen noktaların yalnızca 6’ncı fıkrada belirtilen itiraz, erişim ve düzeltme hakkına ilişkin iyileştirmeler yapıldığı, diğer şartların ise yerine getirilmediği anlaşılmıştır.  Fransız Danıştay’ı da yaptığı incelemede kurumun bu bulgularını doğrulamıştır.

2. Sitenin son kullanıcıya ulaştığı ve “kullanıcı terminali” (veya kullanıcı portalı) olarak adlandırılan alanda çerezler kullanmasına rağmen, kullanıcılardan onay alınmaması veya kullanıcılar, çerezleri fark etse dahi bunlara karşı başvurabileceği herhangi bir itiraz mekanizmasının bulunmaması CNIL’in kararının esas konusunu oluşturmaktadır. Bu çerez kullanımının detaylarına bakarsak;

• 6 Ocak 1978 tarihli Kanun’a göre, bir elektronik hizmetin abonesi veya kullanıcısı, kendisine ait verilerin kullanılabilmesi için, veri sorumlusu veya hizmet temsilcileri tarafından bu veriler kullanılmadan önce eksiksizce bilgilendirilmelidir. Ayrıca kullanıcı portalındaki bilgilerin kaydedilebilmesi amacıyla gerekli erişim veya kayıt izinlerinin kullanılabilmesi için de yine kullanıcı onayına gerek duyulmaktadır. Bu durumlarda alınacak kullanıcı onayları ise onayın verildiği cihazın veya bağlantılı olan diğer cihazların uygun özelliklerinden alınan bilgilerle sınırlı kalması koşuluyla geçerlidir. Bu noktada, kullanıcı terminalindeki kullanıcı verilerinin kaydedilmesi veya depolanması işleminin kullanıcı onayı alınmadan yapılabileceği iki istisna durum vardır:
  • Sunulan ortamın herkes tarafından bilinen elektronik iletişimi etkinleştirmek ve kolaylaştırmak yönünde özel bir amacı varsa,
  • Kullanıcının açık talebi üzerine bir çevrimiçi iletişim hizmetinin sağlanması için kullanıcı terminalindeki çerezlerin kesinlikle gerekli olduğu durumlar mevcutsa.

Bu hallerden biri varsa veri sorumlusu, kullanıcılara bu bilgilendirmeyi yapmak zorunda değildir. Tekrar belirtmek gerekir ki bu durumlar istisna olarak belirlenmiştir ve kullanım alanları oldukça sınırlıdır.

• Söz konusu olayda, site kullanıcı terminaline çerezler yerleştirip kullanıcı verilerini işlemiştir. Bu işleme işlemi sırasında kullanıcılara hiçbir bildirimde bulunmamış ve bu işlemeye karşı itiraz yolları da kapalı tutulmuştur. Sitenin yukarıda belirttiğimiz istisnai durumlardan yararlanabilecek bir durumu da mevcut olmadığından şirket, CNIL tarafından İdari para cezasına çarptırılmıştır.

3. Ayrıca kararda belirtilen bir diğer dikkat çekici nokta ise; Sitenin ekonomik bakımdan sürdürülebilir olması için reklam amaçlı çerezlerin kullanılmasının yukarıda belirttiğimiz kullanıcı verilerinin işlenmesi için kullanıcı onayı gerektirmeyen belirtilen istisnalardan, “kesinlikle gerekli” ifadesi kapsamında değerlendirilemeyeceğinin kararda belirtilmiş olmasıdır. Ekonomik olarak gerekli olması bu eylemi “kesinlikle gerekli” bir işlem haline getirmemektedir. Böylece yine uygulamada sıkça başvurulan “Sitenin devamlılığı için reklam göstermek zorunludur bu yüzden reklam amaçlı çerezlerin kullanılması için açık rızaya gerek yoktur” savunmasının da geçersiz bir argüman olduğu Fransız Danıştay’ı tarafından da onaylanmıştır.
4. Bunlara ek olarak şirketin, sitenin çalışması için gerekli olan verileri topladıktan sonra 1978 tarihli Kanun’un 6’ncı maddesinde belirtilen “verileri toplanma amacı ile orantılı sürelerde saklama” kuralını da ihlal ederek kullanıcı verilerini verilerinin toplanma amaçlarına kıyasla orantısız sürelerde sakladığını da belirtti.
5. Ayrıca temyiz makamı, daha önceden çevirisini yaptığımız Figaro kararında da atıf yapılan şu noktayı da belirtmektedir:

Sitelere üçüncü kişiler (iş ortakları da buna dahil) tarafından yerleştirilen çerezler konusundaki sorumluluk bakımından, veri sorumlusunun (mevzu bahis kararımızda site sahibi şirket bu pozisyondadır) çerezleri yerleştiren üçüncü kişi kadar olmasa da “denetleyici” olarak kabul edilip sorumlu tutulabilecektir.

CNIL, bu ihlalleri tespit etmesinin ardından şirkete bu uygulamalarını düzeltmesi için 3 ay süre tanımıştır. Bu süre içerisinde de bu ihlallerin düzeltilmemesi üzerine, CNIL kararında Editions Croque Futur şirketini 25.000 Euroluk para cezası vermiş ve bu uygulamaların düzeltilmesini istemiştir.

Şirket, CNIL’in bu kararını temyize taşımasının gerekçesi olarak şunları ileri sürmüştür:

1. Belirtilen koşulları Haziran 2016’ya (yani CNIL’in verdiği 3 aylık süre bitmeden önce) kadar sağladığını,
2. Kullanıcılara, çerezlerin kullanılmasına izin vermeme seçeneği de sunduklarını sadece bu onayı daha önceden veren kullanıcılar için tekrardan bir onay metni sunmadıklarını,
3. Olası çerezleri kabul etmemeleri durumunda sitede gezinme sırasında karşılaşacakları durumlar konusunda kullanıcıları bilgilendirdiklerini,

Bu itiraza karşı CNIL; belirtilen uygulamalardaki kullanıcı ayarlarının çerezlerin kullanılabilmesi için geçerli bir onay ve reddetme biçimi olarak değerlendirilemeyeceğini belirtmiştir. Croque Futur isimli şirketin başvurusu yeterince gerekçeli olmakla beraber yukarıda anlatılan incelemeler sonucunda kararın iptal talebi gerektirecek bir duruma rastlanmamıştır. İdari Yargılama Kanununun 761/1 maddesi uyarınca istenen sonuçlarda dahil olmak üzere başvurucunun talebi reddedilmiştir.

Temyiz makamı tarafından yapılan inceleme sonucunda;

1. CNIL’in verdiği kararın onanmasına, Editions Croque Futur şirketinin taleplerinin reddedilmesine,
2. Ayrıca hükmedilen para cezasını miktarı da ihlallerin niteliğiyle, ciddiyetiyle ve oluşturduğu kalıcı zararlarla orantılı bulunarak, şirketin cezanın miktarının azaltılması yönündeki talebinin de reddedilmesine

karar verilmiştir.

Kararın Fransızca orjinal metni : https://conseil-etat.fr/fr/arianeweb/CE/decision/2018-06-06/412589

Fransız Veri Koruma Kurumu : Çerezler – FIGARO Şirketi aleyhine 50.000 Euro’luk Ceza