AVRUPA VERİ KORUMA KURULU İLE KİŞİSEL VERİLERİ KORUMA KURULUNUN HİZMETİN RIZA ŞARTINA BAĞLANMASINA (BAĞLANTI YASAĞINA) YÖNELİK YAKLAŞIMI
A. Genel Olarak
Rıza, 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVKT”) m. 4(11)’de ilgili kişinin “…bir beyan yoluyla ya da açık bir onay eylemi ile kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve şüpheye yer bırakmayan göstergesi” olarak tanımlanmıştır[1]. Bu kapsamda GVKT’de rızanın unsurları olarak rızanın; (i) özgür iradeyle açıklanmasının, (ii) belirli bir konuya ilişkin olmasının, (iii) bilgilendirmeye dayalı olmasının ve (iv) ilgili kişinin isteklerini ve kişisel verilerinin işlenmesini kabul ettiğini açık bir şekilde gösteren bir beyanın veya açık olumlu bir eylemin bulunmasının arandığı belirtilebilir. Benzer şekilde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 3(1)(a) kapsamında açık rıza için de belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeyle açıklanma unsurlarının varlığı aranmıştır[2].
Rızanın özgür iradeyle açıklanması, ilgili kişinin kişisel verileri üzerinde gerçekten kontrolünün olması ve bu verilerin işlenmesi konusunda seçim hakkının bulunması anlamına gelmektedir[3]. Bu sebeple ilgili kişinin işleme faaliyetine rıza vermeye ilişkin gerçek bir seçeneğinin olmaması, kendini rıza vermek zorunda hissetmesi, rıza vermemesi veya rızasını geri çekmesi halinde olumsuz sonuçlara katlanmasının gerekmesi halinde rızanın geçersiz olacağı kabul edilmektedir[4]. Rızanın, hüküm ve koşulların müzakere edilemez bir parçası olarak düzenlenmesi halinde de rızanın özgürce verilmediği varsayılmaktadır[5].
Rızanın özgür iradeyle açıklanması açısından öne çıkan şartlardan bir tanesi hizmetin rıza şartına bağlanmamasıdır (conditionality). Kısaca “bağlantı yasağı” olarak adlandırılabilecek bu husus, uygulamada işleme faaliyetleri için hukuka uygunluk sebebi olarak rızaya dayanılmasının önündeki bir engel olarak karşımıza çıkmaktadır. Konuyla ilgili olarak GVKT m. 7(4)’te rızanın serbestçe verilip verilmediği değerlendirilirken, bir hizmetin sağlanması dahil, bir sözleşmenin ifasının “sözleşmenin ifası için gerekli olmayan kişisel verilerin işlenmesi için rıza verilmesi koşuluna tabi tutulması” hususunun özellikle dikkate alınacağı düzenlenmiştir. GVKT Gerekçe 43 uyarınca bu kapsamda verilen rızanın ilgili kişinin özgür iradesiyle verilmediği varsayılmaktadır.
Geçerli bir rızadan bahsedebilmek için aranan unsurlar birbirleriyle etkileşim içerisindedir. Bu sebeple nihayetinde bu unsurlara bir bütün olarak yaklaşılması ve rıza mekanizmasının bu kapsamda tasarlanması gerekmektedir. Avrupa Veri Koruma Kurulu (“EDPB”) tarafından 2016/679 sayılı Tüzük Çerçevesinde Rıza Konulu Rehber (“Rehber”) kapsamında önemi vurgulanan rızaya ilişkin diğer geçerlilik/hukuka uygunluk şartları kısaca aşağıdaki şekildedir:
– Veri sorumlusu ile ilgili kişi arasındaki güç dengesizliğinin (örneğin, veri sorumlusunun kamu kurumu olmasından veya taraflar arasında işçi-işveren ilişkisinin bulunmasından kaynaklanabilir) ilgili kişinin özgür iradesini ortadan kaldıracak seviyede olmaması (Rehber para. 16-24)[6],
– Rıza taleplerinin ayrıntılı olarak düzenlenmesi, ilgili kişinin hangi amaçla verilerinin işlenmesine rıza verdiğini özgürce ve ayrı ayrı seçebilmesi, toplu rıza vermeye zorlanmaması (Rehber para. 42-45)[7],
– İşlev kaymasına yönelik bir önlem olarak işleme amacının ayrıntılarıyla belirtilmesi ve işleme faaliyetleri için rıza alınmasına ilişkin yapılan bilgilendirme ile diğer işlemlere dair bilgilerin net bir şekilde ayrılması (Rehber para. 55-61)[8],
– Veri sorumlusunun ilgili kişinin rızasını almadan önce mevzuata uygun şekilde aydınlatma yükümlülüğünü yerine getirmesi, bu kapsamda ilgili kişiye asgari olarak (i) veri sorumlusunun kimliği, (ii) rıza alınmak istenen her bir işleme faaliyetinin amacı, (iii) hangi tür verilerin toplanacağı ve kullanılacağı, (iv) rızayı geri çekme hakkının varlığı, (v) varsa, GVKT m. 22 kapsamında otomatik bireysel karar alınması için ilgili kişinin kişisel verilerinin kullanıldığı ve (vi) GVKT m. 46 kapsamında kişisel verilerin üçüncü ülkelere veya uluslararası kuruluşlara aktarımı için dayanılabilecek bir yeterlilik kararının ve uygun koruyucu önlemlerin bulunmamasından kaynaklanan aktarıma ilişkin olası risklerin bilgisinin sağlanması (Rehber para. 62-64)[9],
– İlgili kişiden alınacak rızaya birden fazla veri sorumlusunun (ortak veri sorumluluğu) dayanması veya orijinal rızaya dayanmak isteyen veri sorumlularınca verilerin işlenmesi veya bu taraflara aktarılması söz konusu ise ilgili kişiyi aydınlatma kapsamında “veri sorumlusunun kimliği, hangi tür verilerin toplanacağı ve kullanılacağı” bilgisi verilirken tüm veri sorumlularının belirtilmesi (Rehber para. 65)[10],
– GVKT m. 7(2) uyarınca rıza talebinin diğer hususlardan açıkça ayırt edilebilir, anlaşılabilir ve kolay erişilebilir bir şekilde sunulması; bilgilendirme yapılırken açık ve sade bir dilin kullanılması (Rehber para. 66-74)[11],
– Rızanın ilgili kişinin beyanı veya açık olumlu bir eylemiyle verilmesi, veri sorumlusu tarafından rıza mekanizmalarının ilgili kişiler için açık ve anlaşılır olacak şekilde tasarlanması ve rızanın işleme faaliyetine başlamadan önce alınması (Rehber para. 75-90)[12],
– GVKT m. 7(1) uyarınca veri sorumlusunun ilgili kişinin kişisel verilerinin işlenmesine rıza verdiğini ve alınan bu rızanın geçerli olduğunu gösterebilmesi (Rehber para. 104-111)[13],
– GVKT m. 7(3) uyarınca ilgili kişinin rızasını istediği zaman geri çekebilmesi, ilgili kişinin bu hakkı konusunda bilgilendirilmesi ve rızayı geri çekmenin rıza vermek kadar kolay olması (Rehber para. 112-120)[14]
gerekmektedir.
B. Avrupa Veri Koruma Kurulunun Bağlantı Yasağına Yönelik Yaklaşımı
EDPB, sözleşmenin ifası ile ilgili kişinin rızası şeklindeki iki farklı işleme sebebinin birleştirilerek sınırlarının bulanıklaştırılamayacağını ifade etmektedir[15]. Bunun için ilk olarak sözleşme kapsamı ve sözleşmenin ifası için hangi verilerin işlenmesinin gerektiği doğru bir şekilde tespit edilmelidir[16]. Sözleşmenin ifası amacı ile verilerin işlenmesi arasında doğrudan ve objektif bir bağlantı olması gerekmektedir[17].
EDPB, kesin bir üslupla yazılmayan ve “varsayılmak” ifadesini içeren GVKT m. 7(4) kapsamında nadiren de olsa şarta bağlamanın rızayı geçersiz kılmamasının söz konusu olabileceğini belirtmektedir[18]. Bu sebeple şarta bağlamanın açık rızayı geçersiz kıldığı hususunun aksi ispat edilebilir bir karine olduğu ileri sürülebilir. Hesap verilebilirlik ilkesinin bir sonucu olarak buradaki ispat yükü veri sorumlusu üzerinde olacaktır[19].
Aynı veri sorumlusunun ilgili kişiye “ek amaçlarla işlemeye rıza verme” ile “ek amaçlarla işlemeye rıza vermesine gerek olmaksızın gerçekten eşdeğer olan bir hizmetten yararlanma” arasında seçim imkânı sunduğu hallerde şarta bağlı bir hizmet olmadığının ileri sürülmesi mümkündür[20]. Başka bir veri sorumlusu tarafından eşdeğer bir hizmet sağlanıyor olması ise ilgili kişiye seçim imkânı tanınması olarak görülmemektedir[21].
EDPB, çerez duvarlarını (cookie walls) da bu kapsamda değerlendirmiş olup hizmetlere ve işlevlere erişimin bir kullanıcının terminal ekipmanında bilgilerin depolanmasına veya halihazırda depolanmış olan bilgilere erişim sunulmasına ilişkin rızaya bağlı tutulamayacağını belirtmiştir[22].
EDPB’nin Rehber kapsamında bağlantı yasağına ilişkin verdiği örnekler aşağıdaki şekildedir[23]:
– Örnek 6: Bir banka, müşterilerinden doğrudan pazarlama amaçları için ödeme detaylarının üçüncü kişilerce kullanılmasına rıza vermelerini talep etmiştir. Bu işleme faaliyeti, bankanın müşterileri ile akdettiği sözleşmenin ifası ve olağan banka hesabı hizmetlerinin yerine getirilmesi için gerekli değildir. Bu amaçla işlemeye rıza vermeyi reddeden müşterilerin bankacılık hizmetlerinden yararlanmasının önlenmesi, banka hesaplarının kapatılması ya da duruma bağlı olarak ücretlerde bir artışa gidilmesi halinde rızalar özgürce verilmemiş sayılacaktır.
– Örnek 6a: Bir internet sitesine girildiğinde “çerezleri kabul et” butonuna tıklanmadan internet sitesinin içeriğine erişilememesi, ilgili kişiye gerçek bir seçim imkânı tanınmadığından rızanın özgürce verilmemesine neden olacaktır.
Rehber kapsamında rızanın özgür iradeyle açıklanması unsuruna ilişkin verilen bazı diğer örnekler ise aşağıdaki şekildedir[24]:
– Örnek 1: Fotoğraf düzenlemeye ilişkin bir mobil uygulama, hizmetlerinin kullanımı için kullanıcılarından GPS ile yer belirleme özelliğini etkinleştirmelerini istemiştir. Uygulama kapsamında kullanıcıların toplanan verilerinin ayrıca çevrimiçi davranışsal reklamcılık amacıyla kullanılacağı bilgisi verilmiştir. Fotoğraf düzenleme hizmetinin sağlanması için coğrafi konum belirleme veya çevrimiçi davranışsal reklamcılık gerekli olmayıp kullanıcıya temel hizmetin ötesine geçen ek bir hizmet sağlanması da söz konusu değildir. Kullanıcıların bu işleme amaçları için rıza vermemesi halinde uygulamayı kullanmaları mümkün olmayacağı için rızalarının özgür iradeyle verildiği kabul edilemeyecektir.
– Örnek 8: Yaşam tarzına ilişkin bir mobil uygulama, telefona indirilmesi esnasında telefonun ivme ölçerine erişmek için kullanıcıların rıza vermesini talep eder. İvme ölçere erişim uygulamanın çalışması için gerekli değildir, ancak kullanıcılarının hareketleri ile aktivite seviyeleri hakkında daha fazla bilgi edinmek isteyen veri sorumlusu için faydalıdır. Daha sonra verdiği rızayı geri çeken kullanıcı, artık uygulamanın sınırlı ölçüde çalıştığını öğrenir. Bu durum GVKT Gerekçe 42 uyarınca rıza vermeme veya rızanın geri çekilmesi halinde olumsuz sonuçlara maruz kalmanın bir örneği olup rızanın baştan itibaren geçerli bir şekilde alınmadığını göstermektedir. Bunun sonucu olarak veri sorumlusunun bu şekilde topladığı kullanıcıların hareketlerine ilişkin tüm kişisel verileri silmesi gerekmektedir.
– Örnek 9: İlgili kişi, bir moda perakendecisinin genel indirimler ile ilgili bir bültenine abone olmuştur. Perakendeci, kullanıcının alışveriş geçmişine ya da gönüllü olarak doldurulacak anket sonuçlarına dayanarak kişiye özel teklifler sunabilmek adına alışveriş tercihleri hakkında daha fazla veri toplamak için ilgili kişiden rıza talep etmiştir. İlgili kişinin rızasını geri çekmesi halinde tekrardan kişiselleştirilmemiş moda indirimleri alabilmesi ise mümkündür. İlgili kişinin rızasını geri çekmesi halinde yalnızca izin verilen ödül ortadan kalkacağı için bu bir zarar olarak kabul edilmeyecektir. Bu durumda ilgili kişinin özgür iradesi sakatlanmamış olacaktır.
– Örnek 10: Bir moda dergisi, okuyucularına resmi olarak piyasaya sürülmelerinden önce yeni makyaj ürünlerini satın alabilmeleri için erişim sunmayı teklif eder. Bu ürünler kısa süre içerisinde satışa sunulacaktır, ancak okuyuculara bu ürünlerin özel bir ön izlemesinin sunulması teklif edilmektedir. Bu avantajdan yararlanabilmek için ilgili kişilerin posta adreslerini vermesi ve derginin posta listesine abone olmayı kabul etmesi gerekmektedir. Posta adresi ürünlerin nakliyesi için gerekirken posta listesine abonelik ise yıl boyunca kozmetik veya tişört gibi ürünlere dair ticari tekliflerin gönderilmesi için kullanılmaktadır. Şirket, posta listesinde yer alan verilerin sadece mal gönderimi veya derginin kendisi tarafından kâğıt ile reklam yapılması için kullanılacağını ve başka hiçbir kuruluşla paylaşılmayacağını açıklamaktadır. Okuyucunun bu sebeple adresini vermek istememesi halinde ürünlerin yine de kendisine ulaştırılması mümkün olacağı için rıza vermemenin olumsuz bir sonucu olmayacaktır.
C. Kişisel Verileri Koruma Kurulunun Bağlantı Yasağına Yönelik Yaklaşımı ve İlgili Kararları
Kişisel Verileri Koruma Kurulu (“Kurul”) 16.02.2018 tarihli ve 2018/19 sayılı kararında, KVKK m. 5(2)(c) uyarınca bir sözleşmenin kurulması veya ifası için sözleşme taraflarına ait kişisel verilerin işlenmesi durumunda ayrıca açık rıza alınmasının ve açık rızanın sözleşmenin bir koşulu olarak dayatılmasının; ilgili kişinin yanıltılması ve yanlış yönlendirilmesi nedeniyle hakkın kötüye kullanılması olarak kabul edileceğini ve hizmetin açık rıza şartına bağlanmasının açık rızayı sakatlayacağını ifade etmiştir[25]. Örneğin Kurum, çevrimiçi reklamcılık çerezleri için “Kullanım Koşulları ve Sözleşmesi” ya da “Gizlilik Bildirimi” gibi metinler içerisine yerleştirilmek suretiyle açık rıza alınmasının mümkün olmadığı, sözleşme kapsamında verilen temel hizmetin yerine getirilmesiyle doğrudan ilgisi olmayan kişisel veriler için sözleşmeye dayanılmasının ilgili kişilerin yanıltılmasına neden olacağı ve çerez yoluyla kişisel veri işlenmesi için alınması istenen açık rızanın sözleşmenin kurulması veya ifasının ön şartı olarak dayatılamayacağı değerlendirmesini yapmıştır[26]. Ancak Kurum “somut olayın niteliğine göre ancak ilgili kişinin açık rızasıyla yapılabilen işleme faaliyetleri” bakımından açık rızaya dayanılmasının KVKK’ya aykırı olmadığının ileri sürülebileceğini belirtmektedir[27].
Doktrinde, GVKT Gerekçe 43 ve Madde 29 Kişisel Veri Koruma Çalışma Grubu’nun görüşü uyarınca açık rızanın sözleşmeye bağlanmasının ilgili kişinin özgür iradesini sakatlayacağı hususunun bir karine olduğunun ve aksinin veri sorumlusu tarafından ispat edilmesi halinde açık rızanın geçerli olacağının kabul edilebileceği yönünde bir görüş bulunmaktadır[28]. EDPB’nin Rehber’de bağlantı yasağına ilişkin belirttiği hususlar da bu görüşü destekler niteliktedir.
Türk hukukunda bağlantı yasağına ilişkin benzer bir düzenleme 6098 sayılı Türk Borçlar Kanunu kapsamında “Bağlantılı Sözleşme” başlıklı m. 340’ta düzenlenmiştir. İlgili hüküm uyarınca konut ve çatılı işyeri kiralarında sözleşmenin kurulması ya da sürdürülmesi “kiracının yararına olmaksızın, kiralananın kullanımıyla doğrudan ilişkisi olmayan bir borç altına girmesine bağlanmışsa” kirayla bağlantılı sözleşme geçersiz olmaktadır. Burada kiraya veren ile kiracı arasındaki güç dengesizliğinin dikkate alındığı ve kiraya verene göre daha zayıf bir konumda olan kiracının korunmasının amaçlandığı anlaşılmaktadır[29]. 6502 sayılı Tüketicinin Korunması Hakkında Kanun m. 5’te ise tüketicilere ilişkin bir düzenleme yapılmış olup “tüketiciyle müzakere edilmeden sözleşmeye dâhil edilen ve tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizliğe neden olan sözleşme şartları” haksız şart olarak tanımlanmış ve bu şartların kesin olarak hükümsüz olacağı belirtilmiştir. Doğası gereği hizmet sağlayıcılara göre daha zayıf bir konumda olan tüketiciler açısından sözleşme hükümlerinin dürüstlük kuralına aykırı olacak şekilde aleyhe olmaması için düzenlenen bir kural olduğu anlaşılmaktadır. İlgili kişinin karşısına veri sorumlusu olarak çıkan hizmet sağlayıcılar açısından KVKK kapsamında bağlantı yasağının uygulanmasının, belirtilen bu hükümler açısından da doğru bir uygulama olduğu belirtilebilir. Nihayetinde KVKK dahil tüm bu düzenlemeler kapsamında taraflar arasındaki güç dengesizliği karşısında zayıf konumda olan kişinin korunması amaçlanmaktadır.
Kurul’un bağlantı yasağına ilişkin verdiği ve resmi internet sitesinde yayımladığı başlıca kararlar kısaca aşağıdaki şekildedir:
– Kurul’un 25.03.2019 tarihli ve 2019/82 sayılı kararı[30]: Bir marketin sağladığı sadakat kart ile ilgili internet sitesine giriş yapıldığı esnada veya kart tarafından kişilerin cep telefonuna gönderilen kısa mesajlar kapsamında işleme faaliyeti için açık rıza alınmaya çalışılmasının bağlantı yasağına aykırı olduğu konusunda Kurum’a şikâyette bulunulmuştur. Kurul; müşterinin sadakat kart programına üye olmadığı durumda şirketin sunduğu üründen ve kişiye özel fırsat dünyasından faydalanamadığını, ancak bu durumun şirketin sunduğu alışveriş ortamından faydalanılmasını engellemediğini, hizmet sunumu kapsamında sadakat kart programına katılımın müşteriye zorunlu tutulmadığını ve bu programa üye olmayan müşterilere hizmet sunulmaması gibi bir durumun ortaya çıkmadığını belirtmiştir. Bu kapsamda bağlantı yasağının mevcudiyetine ilişkin iddia konusunda yapılacak bir işlemin bulunmadığına karar vermiştir.
– Kurul’un 08.07.2019 tarihli ve 2019/206 sayılı kararı[31]: Kurum’a yapılan ihbarda veri sorumlusunun hizmet sunduğu internet sayfasına girildiğinde siteye giriş için zorunlu bir alan çıktığı ve e-posta adresinin talep edildiği, istenilen kişisel veriler verilmeden ana sayfaya geçilemediği ve ilgili kişisel verilerin verilmesinin bir hizmet şartı olarak talep edildiği iddia edilmiştir. Kurul, ilgili internet sitesinin farklı illerde, sektörlerde ve farklı hizmet sağlayıcılar tarafından sunulan çeşitli hizmetlerin, indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma/hizmet sağlayıcı rolünü üstlendiğini belirtmiştir. Bu bakımdan siteye üye olmayan müşterilerin site bünyesinde de yer alan hizmet sağlayıcıların sağladığı hizmetlerden yararlanması imkânının ortadan kaldırılmadığını, sadece site kapsamında sunulan indirimli fiyatların ve avantajların yalnızca üyelere sunulmasının söz konusu olduğunu ifade etmiştir. Ürün veya hizmetten yararlandırmanın açık rıza şartına dayandırılması söz konusu olmadığı için bu konuda tesis edilecek herhangi bir işlem olmadığına karar vermiştir.
– Kurul’un 27.02.2020 tarihli ve 2020/173 sayılı kararı[32]: Kurul, Amazon’un amazon.com.tr’de bulunan Gizlilik Bildirimi’nde yer alan “belirli bilgileri vermemeyi tercih edebilirsiniz, ancak bu durumda Amazon Hizmetlerinin çoğundan yararlanamazsınız” ve “çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız” şeklindeki ifadelerin işleme faaliyetinin hizmet şartına bağlanması olduğunu belirtmiştir. Sözleşmenin taraflarına ait kişisel verilerin işlenmesi durumunda ayrıca açık rıza alınmasının ve bunun üyelik ile hizmetin bir koşulu olarak dayatılmasının hakkın kötüye kullanılması anlamına geleceğini ve açık rızayı sakatlayacağını ifade etmiştir.
– Kurul’un 05.05.2020 tarihli ve 2020/335 sayılı kararı[33]: Kurul, araç kiralama hizmeti bakımından Kimlik Bildirme Kanunu’nun gereği olarak veri sorumlusunun veri işlediğini, ancak veri sorumlusu tarafından ilgili kişiye imzalatılmaya çalışılan belgede ayrıca mevzuatın istisna kıldığı haller ile sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde ilgili kişinin verilerinin işlenmesi için açık rızasının istendiğini belirtmiştir. Toptan bir şekilde açık rıza alınmaya çalışılmasının, hizmetin ifası için gerekli olmayan verilerin talep edilmesinin ve açık rıza verilmemesi halinde ilgili kişilere hizmet verilmemesinin hizmet şartına bağlama olduğunu tespit etmiş ve hukuka aykırı işleme faaliyeti olduğuna karar vermiştir.
– Kurul’un 03.09.2020 tarihli ve 2020/667 sayılı kararı[34]: Bir sigorta şirketinin sağlık sigortası poliçesi hizmetini açık rıza şartına bağlamasının KVKK’ya uygunluğu değerlendirilmiş olup poliçedeki sağlık verilerinin KVKK m. 6(3) uyarınca işlenemeyeceği, işlemenin ancak açık rızayla gerçekleştirilmesi mümkün olduğundan ilgili kişinin açık rızasının alınmasının KVKK’ya aykırı olmadığı belirtilmiştir.
– Kurul’un 20/04/2021 tarihli ve 2021/389 sayılı kararı[35]: Bir sigorta şirketi ile bireysel emeklilik sözleşmesi (BES) akdeden ilgili kişinin, poliçe bilgilerine ulaşmak için şirketin internet sayfasına giriş yaparken önüne çıkan onay kutucuğu ile verilerinin işlenmesine rıza vermek zorunda bırakıldığı yönündeki ihbarı değerlendirilmiştir. Kurul, BES Teklif Formu’ndan “Hizmet Sözleşmesi ile ilgili uygulamanın kullanımında talep edilen verilerin veri sorumlusunun internet üzerinden sunduğu hizmetlerde şifre dışında geliştirilen bir yöntem” olarak görüldüğünün anlaşıldığını ve bu durumda sözleşmenin kurulması veya ifasına ilişkin işleme şartına dayanılmış olunacağından hizmetin açık rıza şartına bağlanmasından söz edilemeyeceğini ifade etmiştir. Ancak işleme faaliyetinin açık rıza haricindeki bir işleme şartı kapsamında yürütülmesi mümkün iken ilgili kişinin açık rızasının alınmasının aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağını, hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil edeceğini belirtmiştir.
D. Sonuç
Yukarıda incelendiği üzere, bir sözleşmenin kurulması veya ifası için sözleşme taraflarına ait kişisel verilerin işlenmesi söz konusu olmasına karşın ilgili kişinin açık rızasının alınması ve açık rızanın sözleşmenin bir şartı olarak ileri sürülmesi açık rızayı sakatlayan bir husus olarak değerlendirilmektedir. Nitekim bu durumda ilgili kişi sözleşmenin ifası için gerekli olmayan kişisel verilerin işlenmesi konusunda açık rıza vermeye mecbur bırakılabilmektedir. Kısaca bağlantı yasağı olarak belirtilebilecek bu şart, açık rızanın özgür iradeyle açıklanması unsuru kapsamında GVKT m. 7(4)’te açıkça düzenlenmiştir. KVKK’da ise m. 3(1)(a) kapsamında özgür iradeyle açıklanma unsuru düzenlenmiş olmasına karşın bağlantı yasağına ilişkin ayrıca bir hükme yer verilmemiştir. Ancak Kurum tarafından yayımlanan rehberler ile Kurul kararları kapsamında bağlantı yasağına ilişkin yapılan değerlendirmelerden bağlantı yasağının KVKK açısından da açık rızaya ilişkin önemli bir şart olarak kabul edildiği anlaşılmaktadır.
EDPB’nin Rehber kapsamındaki tespitlerinden; bağlantı yasağının nadiren de olsa rızayı geçersiz kılmamasının söz konusu olabileceği, şarta bağlamanın açık rızayı geçersiz kıldığı hususunun aksi ispat edilebilir bir karine olarak kabul edilebileceği ve “ek amaçlarla işlemeye rıza verme” ile “ek amaçlarla işlemeye rıza vermeye gerek olmaksızın gerçekten eşdeğer bir hizmetten yararlanma” arasında ilgili kişiye seçim imkânı sunan veri sorumlusunun bu karineyi ileri sürebileceği anlaşılmaktadır. Çeşitli Kurul kararlarında da “eşdeğer hizmetten yararlanma seçeneğinin ilgili kişiye seçim imkânı olarak tanınıp tanınmadığı” konusunda yapılan değerlendirmeler, EDPB’nin bu görüşünün Kurul tarafından da dikkate alındığını göstermektedir. Belirtilen karineye ilişkin ispat yükünün veri sorumlusu üzerinde olması itibariyle rıza mekanizmasını kurgulayan veri sorumlusunun bağlantı yasağını da dikkate alarak açık rızayı dikkatli bir şekilde konumlandırması gerekmektedir.
Kurum ayrıca somut olayın niteliğine göre ancak ilgili kişinin açık rızasıyla yapılabilen işleme faaliyetleri için açık rızaya dayanılmasının söz konusu olabileceğini belirtmiştir. Kurul, KVKK m. 5(2) kapsamındaki işleme şartlarına dayanılması mümkün iken açık rızaya dayanılmasını hakkın kötüye kullanılması olarak yorumlamaktadır[36]. Bu bakımdan Kurum’un ilgili tespitinin genel işleme faaliyetlerine ilişkin Kurul kararlarına uygun olduğu belirtilebilir. Ancak açık rıza, KVKK m. 5 kapsamında genel işleme faaliyetleri için başvurulabilecek istisnai bir yol iken KVKK m. 9 uyarınca yurt dışına aktarım bakımından olağan bir başvuru yolu haline gelmiştir[37]. Uygulama açısından mevcut durumda KVKK m.9 kapsamında kişisel verilerin yurt dışına aktarımı için dayanılabilecek aktarım yollarının azlığı da düşünüldüğünde, Kurum’un “ancak ilgili kişinin açık rızasıyla yapılabilen işleme faaliyetlerine” ilişkin tespitinin uygulamaya nasıl etki edeceği sorusu gündeme gelmektedir[38]. Bu sorunun cevabı ise Türkiye’nin 2021-2023 yıllarına ilişkin Eylem Planları kapsamında GVKT hükümleri dikkate alınarak KVKK’da yapılacak değişiklikler ile yurt dışına aktarıma ilişkin Kurul tarafından verilecek kararlar doğrultusunda şekillenecektir.
***
Bu yazıda yer alan yazı ve sair içeriklerin, bireysel kullanım dışında ticari amaçlarla izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Kanun uyarınca yasal işlem yapılacaktır. Yazının tüm hakları saklıdır.
[1] GVKT’nin Türkçe tercümesi için bkz. Bora Gemicioğlu, Zeynephan Gemicioğlu, Kişisel Verilerin Korunması Mevzuatı Uluslararası Düzenlemeler ve İçtihatlar, 2. bsk., İstanbul, On İki Levha, 2020, s. 453-518.
[2] Kişisel Verileri Koruma Kurumu (“Kurum”), ayrıca açık rızanın ilgili kişinin neye onay vermesinin istendiği konusunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemiyle elde edilmesi gerektiğini belirtmektedir. Bkz. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, KVKK Yayınları, Ankara 2022, s. 29, (Çevrimiçi)
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf, E.T. 15 Temmuz 2022. Kurum’un çerezler bakımından açık rızanın unsurlarının karşılanmasına ilişkin değerlendirmeleri için bkz. a.e., s. 29-33.
[3] European Data Protection Board, Guidelines 05/2020 on Consent Under Regulation 2016/679, Version 1.1, 04.05.2020, s. 7, (Çevrimiçi)
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf, E.T. 15 Temmuz 2022.
[4] A.e.
[5] A.e.
[6] A.e., s. 8-9.
[7] A.e., s. 12. Kurum, çerezler için alınacak açık rızanın belirli bir konuya ilişkin olma unsurunu karşılayabilmesi için “çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının” belirtilmesinin gerektiğini ifade etmiştir. Bkz. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, s. 29.
[8] European Data Protection Board, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 13-15.
[9] A.e., s. 15. Kurum, çerezlere ilişkin alınacak açık rıza bakımından aydınlatma yükümlülüğünün nasıl yerine getirilmesi gerektiğine dair ayrıca değerlendirme yapmıştır. Bu kapsamda ilgili kişinin sadece siteye girmiş olmasının kişisel verilerinin işlenmesi yönünde açık iradesini beyan ettiği şeklinde yorumlanamayacağını ve site ziyaretiyle birlikte işleme faaliyetine başlanabilmesi için aydınlatmanın kişisel veri işleme şartından bağımsız olarak internet sitesine giriş aşamasında yapılması gerektiğini belirtmiştir. Aydınlatma metninde “çerezin adı, kullanım amacı, kullanım süresi ve birinci veya üçüncü taraf olup olmadığı bilgilerine” yer verilmesini tavsiye etmiştir. Bkz. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, s. 35-36.
[10] European Data Protection Board, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 16.
[11] A.e., s. 16-18.
[12] A.e., s. 18-20. Kurum, çerezler için alınacak açık rıza bakımından ilgili kişi nezdinde rıza yorgunluğu yaratılmaması için ilgili kişinin her siteye girişinde açık rızasının alınmamasını, ancak açık rıza tercihinin periyodik olarak ilgili kişiye hatırlatılmasını önermektedir. İyi bir uygulama örneği olarak siteye giren ilgili kişinin önüne bir çerez yönetim paneli çıkarılmasını ve ilgili kişiye renk, büyüklük ve punto açısından eşit şekilde “kabul et”, “reddet” ve “tercihler” butonunun sunulmasını belirtmiştir. Aydınlatma yükümlülüğünün yerine getirilmesi açısından çerez yönetim paneline çerezler yoluyla kişisel veri işlenmesine ilişkin bir açıklama veya gerekirse bir link konulması mümkündür. Burada açık rıza alınmak istenen çerezlerin yönetim panelinde ilk olarak pasif biçimde gelmesinin önemli olduğu vurgulanmıştır. Bkz. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, s. 30-31.
[13] European Data Protection Board, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 22-23.
[14] A.e., s. 23-25. Kurum, çerezler için verilen açık rızanın ilgili kişi tarafından istenildiğinde geri alınabilmesi için iyi bir uygulama örneği olarak “rıza yönetim platformunun bir ikona ya da içeriği engellemeyecek kadar küçük bir banda dönüştürülerek internet sayfasının küçük bir köşesinde bulundurulmasını” belirtmiştir. Bkz. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, s. 30.
[15] European Data Protection Board, Guidelines 05/2020 on Consent Under Regulation 2016/679, s. 10.
[16] A.e.
[17] A.e.
[18] A.e., s. 11.
[19] A.e.
[20] A.e.
[21] A.e.
[22] A.e., s. 12. Benzer bir değerlendirme Kurum tarafından da yapılmıştır. Kurum, siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesinin hizmetin ön şartı olarak ileri sürülmesinin ilgili kişinin özgür iradesini sakatlayabileceğini ve açık rızanın geçersiz olmasına neden olabileceğini belirtmiştir. Ancak somut olay özelinde değerlendirme yapılması kaydıyla ilgili kişilerin bir hizmeti elde edebilmesi için çerez duvarı haricindeki belirli bazı adil alternatiflerin sunulmasının söz konusu olabileceğini ifade etmiştir. Bkz. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, s. 32.
[23] Örnek numaralandırmaları Rehber’de belirtilen şekilde yazılmıştır.
[24] Örnek numaralandırmaları Rehber’de belirtilen şekilde yazılmıştır.
[25] Kurul’un 16.02.2018 tarihli ve 2018/19 sayılı kararı için bkz. Kişisel Verileri Koruma Kurumu, “Hizmetin Açık Rıza Şartına Bağlanması”, (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina-Baglanmasi, E.T. 15 Temmuz 2022.
[26] Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber, s. 31.
[27] Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar – 2, Ankara, KVKK Yayınları, 2022, s. 20, (Çevrimiçi) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/d077b665-66b6-4615-975a-249f93e084ba.pdf, E.T. 15 Temmuz 2022.
[28] Şehriban İpek Aşıkoğlu, Fatih Burak Uzun, “Kişisel Verilerin Yurtdışına Aktarımının Açık Rızaya Dayandırılmasının Yarattığı Sorunlar ve Çözüm Önerileri”, Prof. Dr. Türkan Rado’nun Anısına Armağan, Ed. Abuzer Kendigelen, İstanbul, On İki Levha, 2020, s. 921-967, s. 945-946, (Çevrimiçi) https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3683903, E.T. 15 Temmuz 2022.
[29] M. Murat İnceoğlu, Ece Baş, “Kira Hukukunda Bağlantılı Sözleşme Yapma Yasağı”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, C. LXX, S. 2, 2012, s. 165-182, s. 165-166, (Çevrimiçi) https://dergipark.org.tr/tr/download/article-file/97736, E.T. 15 Temmuz 2022.
[30] İlgili karar için bkz. (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/5463/-Bir-market-zincirinin-sadakat-kart-uygulamasina-iliskin-ihbar-ve-sikayetler-hakkinda-Kisisel-Verileri-Koruma-Kurulunun-25-03-2019-tarihli-ve-2019-82-sayili-Karari, E.T. 15 Temmuz 2022.
[31] İlgili karar için bkz. (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/6709/2019-206, E.T. 15 Temmuz 2022.
[32] İlgili karar için bkz. (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/6739/2020-173, E.T. 15 Temmuz 2022.
[33] İlgili karar için bkz. (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/6909/2020-335, E.T. 15 Temmuz 2022.
[34] İlgili karar için bkz. (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/6878/2020-667, E.T. 15 Temmuz 2022.
[35] İlgili karar için bkz. (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/6967/2021-389, E.T. 15 Temmuz 2022.
[36] Örneğin bkz. Kurul’un 20.04.2021 tarihli ve 2021/389 sayılı kararı, (Çevrimiçi) https://www.kvkk.gov.tr/Icerik/6967/2021-389, E.T. 15 Temmuz 2022.
[37] Işıl Çelik, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Kişisel Verilerin Yurt Dışına Aktarılması, İstanbul Üniversitesi Hukuk Fakültesi Özel Hukuk Yüksek Lisans Tezleri Dizisi, İstanbul, On İki Levha, 2022, s. 50.
[38] Bağlantı yasağının kişisel verilerin yurt dışına aktarımına etkisi hakkında daha detaylı bilgi için bkz. a.e., s. 159-162.
Bunlara da bakmak isteyebilirsin
Avrupa Konseyi Siber Suç Sözleşmesi İkinci Ek Protokolü 22 Ülke tarafından İmzalandı[1
AVRUPA İNSAN HAKLARI MAHKEMESİ 54934/00 Başvuru Numaralı, 29 Haziran 2006 Tarihli Karar Gabriele WEBER ve Cesar Richard SARAVIA / Almanya
