Fransız Veri Koruma Kurumu’ndan reCAPTCHA Kullanımına Engel

Hazırlayanlar: Kübra İSLAMOĞLU BAYER ve Talha Eren KURUKIZ

Fransız Veri Koruma Kurumu, CNIL, 11 Nisan 2022 tarihli bir yazısında Google’ın ReCAPTCHA uygulamasının ilgili kişilerden rıza alınmaksızın kullanılmaması gerektiği konusunda Fransız İçişleri Bakanlığını uyardı.

Olayın esası, veri mühendisi ve geliştirici olan David Libeau isimli bir Fransız vatandaşının Google’ın ReCAPTCHA’sını tamamlaması gerektiğine dair bir polis formunda rastladığı ifadeye dayanıyor. Bu gerekliliği şaşkınlıkla karşılayan David Libeau olayı, Temmuz 2020’de CNIL’e taşıyor ve CNIL, yaklaşık iki yıllık bir süreden sonra 11 Nisan 2022 tarihli mektubu ile konuya ilişkin kararını David Libeau’a bildiriyor. Başvurucunun kendisine gelen cevabı sosyal medyada yayınlamasıyla kamuoyu bu karardan haberdar oluyor[1].

Bilindiği gibi bu uygulama, insan ve robotları birbirinden ayrıt etmek için güvenlik amacı ile kullanılıyor ve “bot dedektörü” olarak da anılıyor. Böylece, örneğin, bir iletişim formuna bot hesaplar tarafından spam mesajlar gönderilmesinin engellenmesi hedefleniyor. Her ne kadar Google’ın asıl amacı ilgili kişinin insan olup olmadığını anlamak ise de bu sonuca varabilmek adına, fare etkileşimlerinden ve donanım bilgilerine kadar birçok veriyi analiz ettiği biliniyor. Google ayrıca bir geçmiş kaydı oluşturmak amacıyla da bu verileri tutuyor.

Başvuruya konu olayda dikkat çeken ve başvuruyu bu şikayeti yapmaya iten, başvurucunun deyimi ile başvurucuyu “Şok Eden!” husus, başvurucunun, polis bildirim formunu doldururken ReCAPTCHA uygulamasına tabi tutulması ve dolayısıyla da bir polis bildirim formu doldurduğu bilgisinin de Google’a aktarılıyor olması.

CNIL’in bu konudaki kararının ayrıntıları yayınlanmamış olsa da başvurucuya iletilen kısa yazıda internet sitesinde artık Google’ın ReCAPTCHA’sının kullanılmaması (ve yerine farklı bir teknoloji kullanılması) veya daha fazla güvenlik önlemi alması gerektiğine dair İçişleri Bakanlığı’na talimat verildiği bilgisine yer verilmiş.

Cevabında 6 Ocak 1978 tarihli Bilgisayarlar, Dosyalar ve Özgürlükler Kanunu’nun 82. maddesini hatırlatan CNIL, söz konusu bildirim formuna erişimin yalnızca kullanıcının rızası ile gerçekleştirilebileceğini, Kanun’da öngörülen istisnaların ise bu olayda uygulanmasının söz konusu olamayacağını vurguluyor.

Gelişmelerden sonra ilgili sayfadan[2] ReCAPTCHA uygulamasının kaldırıldığını söyleyelim.

Öte yandan Google’ın ReCAPTCHA uygulamasını sakıncalı bulan tek veri koruma otoritesi CNIL de değil. Nitekim Almanya’da Bavyera Eyalet Veri Koruma Otoritesi (BayLDA) de internet sitesinde bulunan soru cevap bölümündeki[3] “Internet sitesine Google ReCAPTCHA uygulamasını entegre edebilir miyim?” şeklindeki bir soruya şu ifadelerle cevap veriyor yer veriyor:

“Web sitesi işletenler alternatifleri mutlaka kontrol etmelidir. Yine de Google reCAPTCHA entegre edilmişse, sorumlu kişi, DS-GVO madde 5/1-2 uyarınca hukuka uygun kullanımı kanıtlayabilmesi gerektiğini bilmelidir. Google’ın kullanıcı verilerini nasıl işlediğini açıklayamazsanız, kullanıcıyı şeffaf bir şekilde bilgilendiremez ve yasal kullanımı kanıtlayamazsınız.

Uygulamanın etkinleştirilmesi Google sunucularına bağlandığından ve sonuç olarak veriler ABD’ye aktarılabildiğinden, Avrupa Adalet Divanı’nın (ABAD) Schrems II[4] kararındaki gereksinimler dahil olmak üzere üçüncü ülke aktarımları için geçerli gereksinimlerin de karşılanması gerekir (bkz. SSS “Şirketimiz kişisel verileri, AB dışındaki ülkelere aktarabilir mi?”[5] arama terimi altında “uluslararası veri trafiği”). Her kullanıcı özellikle, Schrems II kararının katı gereksinimlerinin karşılanıp karşılanmadığını kontrol etmelidir. Aksi takdirde, aktarım kabul edilemez.”

Ancak yine aynı soru cevap bölümünde yer alan “Captchalar yer aldıkları internet sitesini botlardan koruyabilir mi” şeklinde soruya verilen aşağıdaki cevaptan BayLDA’nın Captcha kullanımını teşvik ettiği de görülmektedir:

“Evet, web sitesi işletenlerin captcha kullanmasında yalnızca meşru menfaatleri bulunmamaktadır aynı zamanda bu, hizmetin sunulabilirliğini sağlamak adına bir yükümlülükleridir de”

Dolayısıyla kısaca ifade etmek gerekirse captcha kullanımı tek başına hukuka aykırılık teşkil etmese de hangi captchanın kullanıldığı, bu yolla hangi verilerin toplandığı, toplanan verilerin hangi amaçlarla işlendiği ve verilerin kimlere aktarıldığının dikkatlice değerlendirilmesi gerekiyor.