ÜÇÜNCÜ TARAF ÇEREZLERİ VASITASIYLA İŞLENEN KİŞİSEL VERİLERDEN DOĞAN SORUMLULUK
Logo



Av. İrem AKINCI 21 Sep, 2021 Universal

Üçüncü Taraf Çerezleri Vasıtasıyla İşlenen Kişisel Verilerden Doğan Sorumluluk


Fransız Danıştayı (Conseil d’État)

6 Haziran 2018 Tarihli Karar İncelemesi

 

Çerezler, bilgisayarlara otomatik olarak yüklenir ve kullanıcı hakkında verileri toplayarak bu verileri karşı taraf sunucularına gönderir. Gelen bu verilerin ise pazarlama stratejisi oluşturmak ve kullanıcı davranışlarını ölçmek maksadıyla yapıldığı belirtilmektedir. Ancak çerezlerin çok sık kullanılmaya başlanması ve daha detaylı analiz yapabilmesi kişisel verilerin korunması ve mahremiyetin ihlali gibi konuları da beraberinde getirmiştir. Çerezler, teknik olarak da incelendiğinde kullanıcıyı anonim bir şekilde değil ad-soyad, cep telefonu numarası, kişilik özellikleri ve medeni durum, maddi durum gibi çok özel bilgilere kadar gözden geçirdiği rahatlıkla görülmektedir[1].

Çerezler, kaynaklandıkları alana (domain) göre “birinci taraf çerezleri” ve “üçüncü taraf çerezleri” şeklinde iki sınıfa ayrılabilir. Birinci taraf çerezler, kullanıcının ziyaret ettiği web sitesi tarafından oluşturulmakta ve web sitesinin sahibi olan gerçek veya tüzel kişi kendi sitesini ziyaret eden kullanıcıyla doğrudan ilişki içerisinde bulunmaktadır. (OneTrust, 2020, s. 6). Üçüncü taraf çerezlerde ise web sitesinin sahibi olan gerçek veya tüzel kişiler, üçüncü kişilerin oluşturdukları çerezlere kendi web sitelerinde kullanılmak üzere izin vermekte ve üçüncü kişiler bu çerezler aracılığıyla kullanıcıyı izleyebilmektedirler. (Castelluccia ve Narayanan, 2012, s. 3; Skouma ve Léonard, 2015, s. 41)[2].

Çerezlerin internet yoluyla veri toplanması meselesi çerezlerin kişisel veri işleme faaliyetine sebep olup olmadığı konusunda tartışmalar doğurmuştur. Türk hukukunda “çerez” adı altında açık bir düzenleme bulunmamakla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’’ olarak tanımlar. Çerez vasıtasıyla toplanan verilerin kimliği belirli veya belirlenebilir gerçek kişiye ulaşmada yardımcı olması durumunda, çerez yoluyla veri toplamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri işleme faaliyeti olduğu yönünde görüş birliği mevcuttur.

Bu çalışmada, Fransız Danıştayı’nın (Conseil d’État) 6 Haziran 2018 tarihinde üçüncü taraf çerezlerini internet sitesinde bulunduran veri sorumlusunun hukuki yükümlülüğüne ilişkin verdiği karar incelenmiştir.

 

Fransız Danıştayı’nın (Conseil d’État) verdiği 6 Haziran 2018 tarihli karar özeti :

Fransız Veri Koruma Kurumu (CNIL) tarafından Editions Croque Futur Şirketi’ne (“Şirket”) ait “www.challenges.fr” sitesinde 28 Kasım 2014 ve 2 Haziran 2015 tarihlerinde çevrimiçi denetimlerde yapılmış olup, çeşitli veri ihlalleri tespit etmiştir. Tespitlerin ardından CNIL tarafından Şirkete, web sitesinde mevcut ihlallerin giderilmesi için 3 Haziran 2016 tarihinde talimat verilmiş ancak verilen süre içinde Şirket tarafından veri ihlallerinin giderilmesine yönelik düzenlemeler gerçekleştirilmemiştir. Bunun üzerine CNIL tarafından Editions Croque Futur Şirketi’ne ait “www.challenges.fr” sitesinde mevcut ihlaller nedeniyle cezaya hükmedilmiştir.

CNIL tarafından verilen kararın gerekçesinde öncelikle veri sorumlusunun bilgi verme yükümlülüğüne değinilmiştir.

Buna göre veri sorumlusu tarafından;

  • Kendisiyle ilgili kişisel verilerin toplandığı kişiye, daha önce bilgi verilmediği takdirde, veri sorumlusu veya temsilcisi tarafından bilgi verileceği,
  • Kontrolörün kimliği ve varsa temsilcisinin kimliğinden, (Kontrolörün açık tanımı için bkz. Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”): “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ”)
  • Verilerin işlenme amacından,
  • Zorunlu veya isteğe bağlı yanıtlardan,
  • Cevap verilmemesinin olası sonuçlarından,
  • Aktarılan verilerin alıcıları veya alıcı kategorilerinden,
  • Kanundan doğan haklardan,
  • Kişisel verilerin Avrupa Topluluğu üyesi olmayan bir devlete transferlerinden (yurt dışı aktarım),
  • Bu tür veriler anketler aracılığıyla toplandığında, anketlerin içeriğinden

bahsedilmesi gerektiği vurgulanır.

Şirket, web sitelerine yerleştirilen çerezlerin kategorilerinin web sitesi kullanıcıları tarafından ayırt edilmesine, önceden izin alınması gereken çerezlere karşı çıkmalarına, sitede gezinme sırasında alınan çerezlerin sonuçlarını bilmelerine izin vermemiştir. Bu nedenle CNIL tarafından, Şirketin web sitesinde sakladığı çerezler hakkında web sitesi kullanıcılarına bilgi verme ve çerezleri reddetme seçeneği sunma yükümlülüğünü ihlal ettiği sonucu çıkarılmıştır. Bunun yanı sıra CNIL, sitenin teknik işleyişi için gerekli olan veya kullanıcının açık talebi üzerine bir çevrimiçi iletişim hizmetinin sağlanmasına karşılık gelen çerezlerin onaya tabi olmayacağı ve fakat bir sitenin ekonomik olarak sürdürülebilirliği için reklam amaçlı belirli çerezlerin gerekli olmasının, bunları iletişim hizmetinin "sağlanması için kesinlikle gerekli" olacağı anlamına gelmediği yönünde görüş belirtmiştir.

CNIL tarafından, çerez kullanımının kanundan doğan veri işleme yükümlülüklerini doğurduğu, site editörü tarafından çerezler yerleştirildiğinde, kanun dâhilinde veri sorumlusu olarak kabul edileceği, aynı durumun üçüncü tarafların oluşturdukları çerezlerin kendi web sitelerinde kullanımına izin veren veri sorumluları tarafından da geçerli olacağı ve böyle bir durumda üçüncü taraf çerezleri bulunduran veri sorumlularının kanun düzenlemelerine uymayan çerezlerin yayınlanmamalarını sağlamak, bu tür çerezlerin kullanımı hakkında kullanıcıların rızalarını almak zorunda olduklarını belirtilmiştir. Önemle vurgulamak gerekir ki, üçüncü taraf çerez bulunduran veri sorumluları, üçüncü tarafların tüm yükümlülüklerinden sorumlu değil, ancak kendi web siteleri kapsamında kullanıcıların rızalarını alma ve ihlallerin önüne geçilmesi için atılacak her bir adımdan sorumludur.

Verilen cezanın bir sebebini de Şirketin, çerezler vasıtasıyla işlenen kişisel veriler bakımından işleme süresi tayin edilmemesi oluşturmaktadır. Ayrıca CNIL tarafından Şirkete, sahibi olduğu siteye yerleştirilen "çerezler" için on üç ayı geçmeyen bir veri saklama süresi tanımlamak için talimat verilmiştir. Şirket tarafından ortaklarıyla birlikte bir koruma süresi belirlenmesi için adımlar atılacağı iddia edilmişse de bu husus somut delillerle desteklenmemiştir. Kararda Şirketin talimatlar üzerine ihlalleri gidermek için herhangi bir işbirliği yapmadığına da değinilerek 6 Ocak 1978 tarihli Kanun’da (Fransız Kanunu) öngörülen işbirliği yapma yükümlülüğünü de ihlal ettiği vurgulanmıştır. Söz konusu yükümlülüğün GDPR’daki yansıması ise aşağıdaki şekildedir:

 31. Madde “Denetim makamıyla işbirliği”

“Kontrolör ve işleyici ile, uygun olduğu hallerde, bunların temsilcileri, talep üzerine, görevlerinin yürütülmesi ile ilgili olarak denetim makamı ile işbirliği yapar.”

Tüm bu sebeplerle CNIL tarafından Şirkete yasal düzenlemelere uyulması, eksikliklerin giderilmesi ihtar edilmiş, yasal yükümlülüklerin yerine getirilmediğinin tespit edilmesinin ardından yukarıda sayılan gerekçeler sebep gösterilerek Şirket aleyhine 25.000 Euro tutarında para cezası verilmiştir.

Her ne kadar yukarıda hükmedilen ceza üçüncü taraf çerezleri vasıtasıyla kişisel verileri hukuka aykırı işleyen şirkete yönelik olsa da, Türk hukukunda açık düzenlemesi bulunmayan çerezlerin hukuka aykırı işlenmesinin, Kişisel Verileri Koruma Kurulu tarafından yaptırım uygulama sebebi olduğu bilinmektedir[3]. Söz konusu yaptırım, açık rıza ve aydınlatma yükümlülüğüne uymaksızın çerezler vasıtasıyla kişisel veri işleme faaliyetinde bulunan Amazon Turkey Perakende Hizmetleri Limited Şirketi’ne uygulanmış, bu vesileyle Türkiye’de de çerezlerin kişisel veri işleme faaliyetine konu olduğu, veri sorumlularına ilgili kişiye karşı aydınlatma ve gerekli ise açık rıza alma yükümlülüğü yüklediği açıktır.

 

Bilgi ve değerlendirmelerinize sunulur.

Yazar : Av. İrem AKINCI

 

[1] Aytaçoğlu, Kaan; Şahin, Muzaffer; Sosyal Medyada Veri Toplama Yöntemleri ve Kişisel Verileri Koruma, Sosyal Bilimlerde Güncel Tartışmalar İnsan Çalışmaları 2, Bilgin Kültür Sanat Yayınları, 2019, s. 107-108.

[2] Aksoy Hüseyin Can; Halıcıoğlu, Mesut; “AB ve Türk Hukuklarında Çerezler: Kişisel Verilerin Korunması Açısından Karşılaştırmalı Bir Değerlendirme”, Kişisel Verileri Koruma Dergisi, C. 3 S.1, s.63.

[3] Kişisel Verileri Koruma Kurulu’nun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti için bkz. https://www.kvkk.gov.tr/Icerik/6739/2020-173 (E.T: 16.09.2021).

Fransız Danıştayı (Conseil d’État)

6 Haziran 2018 Tarihli Karar İncelemesi

 

Çerezler, bilgisayarlara otomatik olarak yüklenir ve kullanıcı hakkında verileri toplayarak bu verileri karşı taraf sunucularına gönderir. Gelen bu verilerin ise pazarlama stratejisi oluşturmak ve kullanıcı davranışlarını ölçmek maksadıyla yapıldığı belirtilmektedir. Ancak çerezlerin çok sık kullanılmaya başlanması ve daha detaylı analiz yapabilmesi kişisel verilerin korunması ve mahremiyetin ihlali gibi konuları da beraberinde getirmiştir. Çerezler, teknik olarak da incelendiğinde kullanıcıyı anonim bir şekilde değil ad-soyad, cep telefonu numarası, kişilik özellikleri ve medeni durum, maddi durum gibi çok özel bilgilere kadar gözden geçirdiği rahatlıkla görülmektedir[1].

Çerezler, kaynaklandıkları alana (domain) göre “birinci taraf çerezleri” ve “üçüncü taraf çerezleri” şeklinde iki sınıfa ayrılabilir. Birinci taraf çerezler, kullanıcının ziyaret ettiği web sitesi tarafından oluşturulmakta ve web sitesinin sahibi olan gerçek veya tüzel kişi kendi sitesini ziyaret eden kullanıcıyla doğrudan ilişki içerisinde bulunmaktadır. (OneTrust, 2020, s. 6). Üçüncü taraf çerezlerde ise web sitesinin sahibi olan gerçek veya tüzel kişiler, üçüncü kişilerin oluşturdukları çerezlere kendi web sitelerinde kullanılmak üzere izin vermekte ve üçüncü kişiler bu çerezler aracılığıyla kullanıcıyı izleyebilmektedirler. (Castelluccia ve Narayanan, 2012, s. 3; Skouma ve Léonard, 2015, s. 41)[2].

Çerezlerin internet yoluyla veri toplanması meselesi çerezlerin kişisel veri işleme faaliyetine sebep olup olmadığı konusunda tartışmalar doğurmuştur. Türk hukukunda “çerez” adı altında açık bir düzenleme bulunmamakla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu kişisel veriyi “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi’’ olarak tanımlar. Çerez vasıtasıyla toplanan verilerin kimliği belirli veya belirlenebilir gerçek kişiye ulaşmada yardımcı olması durumunda, çerez yoluyla veri toplamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri işleme faaliyeti olduğu yönünde görüş birliği mevcuttur.

Bu çalışmada, Fransız Danıştayı’nın (Conseil d’État) 6 Haziran 2018 tarihinde üçüncü taraf çerezlerini internet sitesinde bulunduran veri sorumlusunun hukuki yükümlülüğüne ilişkin verdiği karar incelenmiştir.

 

Fransız Danıştayı’nın (Conseil d’État) verdiği 6 Haziran 2018 tarihli karar özeti :

Fransız Veri Koruma Kurumu (CNIL) tarafından Editions Croque Futur Şirketi’ne (“Şirket”) ait “www.challenges.fr” sitesinde 28 Kasım 2014 ve 2 Haziran 2015 tarihlerinde çevrimiçi denetimlerde yapılmış olup, çeşitli veri ihlalleri tespit etmiştir. Tespitlerin ardından CNIL tarafından Şirkete, web sitesinde mevcut ihlallerin giderilmesi için 3 Haziran 2016 tarihinde talimat verilmiş ancak verilen süre içinde Şirket tarafından veri ihlallerinin giderilmesine yönelik düzenlemeler gerçekleştirilmemiştir. Bunun üzerine CNIL tarafından Editions Croque Futur Şirketi’ne ait “www.challenges.fr” sitesinde mevcut ihlaller nedeniyle cezaya hükmedilmiştir.

CNIL tarafından verilen kararın gerekçesinde öncelikle veri sorumlusunun bilgi verme yükümlülüğüne değinilmiştir.

Buna göre veri sorumlusu tarafından;

  • Kendisiyle ilgili kişisel verilerin toplandığı kişiye, daha önce bilgi verilmediği takdirde, veri sorumlusu veya temsilcisi tarafından bilgi verileceği,
  • Kontrolörün kimliği ve varsa temsilcisinin kimliğinden, (Kontrolörün açık tanımı için bkz. Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”): “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ”)
  • Verilerin işlenme amacından,
  • Zorunlu veya isteğe bağlı yanıtlardan,
  • Cevap verilmemesinin olası sonuçlarından,
  • Aktarılan verilerin alıcıları veya alıcı kategorilerinden,
  • Kanundan doğan haklardan,
  • Kişisel verilerin Avrupa Topluluğu üyesi olmayan bir devlete transferlerinden (yurt dışı aktarım),
  • Bu tür veriler anketler aracılığıyla toplandığında, anketlerin içeriğinden

bahsedilmesi gerektiği vurgulanır.

Şirket, web sitelerine yerleştirilen çerezlerin kategorilerinin web sitesi kullanıcıları tarafından ayırt edilmesine, önceden izin alınması gereken çerezlere karşı çıkmalarına, sitede gezinme sırasında alınan çerezlerin sonuçlarını bilmelerine izin vermemiştir. Bu nedenle CNIL tarafından, Şirketin web sitesinde sakladığı çerezler hakkında web sitesi kullanıcılarına bilgi verme ve çerezleri reddetme seçeneği sunma yükümlülüğünü ihlal ettiği sonucu çıkarılmıştır. Bunun yanı sıra CNIL, sitenin teknik işleyişi için gerekli olan veya kullanıcının açık talebi üzerine bir çevrimiçi iletişim hizmetinin sağlanmasına karşılık gelen çerezlerin onaya tabi olmayacağı ve fakat bir sitenin ekonomik olarak sürdürülebilirliği için reklam amaçlı belirli çerezlerin gerekli olmasının, bunları iletişim hizmetinin "sağlanması için kesinlikle gerekli" olacağı anlamına gelmediği yönünde görüş belirtmiştir.

CNIL tarafından, çerez kullanımının kanundan doğan veri işleme yükümlülüklerini doğurduğu, site editörü tarafından çerezler yerleştirildiğinde, kanun dâhilinde veri sorumlusu olarak kabul edileceği, aynı durumun üçüncü tarafların oluşturdukları çerezlerin kendi web sitelerinde kullanımına izin veren veri sorumluları tarafından da geçerli olacağı ve böyle bir durumda üçüncü taraf çerezleri bulunduran veri sorumlularının kanun düzenlemelerine uymayan çerezlerin yayınlanmamalarını sağlamak, bu tür çerezlerin kullanımı hakkında kullanıcıların rızalarını almak zorunda olduklarını belirtilmiştir. Önemle vurgulamak gerekir ki, üçüncü taraf çerez bulunduran veri sorumluları, üçüncü tarafların tüm yükümlülüklerinden sorumlu değil, ancak kendi web siteleri kapsamında kullanıcıların rızalarını alma ve ihlallerin önüne geçilmesi için atılacak her bir adımdan sorumludur.

Verilen cezanın bir sebebini de Şirketin, çerezler vasıtasıyla işlenen kişisel veriler bakımından işleme süresi tayin edilmemesi oluşturmaktadır. Ayrıca CNIL tarafından Şirkete, sahibi olduğu siteye yerleştirilen "çerezler" için on üç ayı geçmeyen bir veri saklama süresi tanımlamak için talimat verilmiştir. Şirket tarafından ortaklarıyla birlikte bir koruma süresi belirlenmesi için adımlar atılacağı iddia edilmişse de bu husus somut delillerle desteklenmemiştir. Kararda Şirketin talimatlar üzerine ihlalleri gidermek için herhangi bir işbirliği yapmadığına da değinilerek 6 Ocak 1978 tarihli Kanun’da (Fransız Kanunu) öngörülen işbirliği yapma yükümlülüğünü de ihlal ettiği vurgulanmıştır. Söz konusu yükümlülüğün GDPR’daki yansıması ise aşağıdaki şekildedir:

 31. Madde “Denetim makamıyla işbirliği”

“Kontrolör ve işleyici ile, uygun olduğu hallerde, bunların temsilcileri, talep üzerine, görevlerinin yürütülmesi ile ilgili olarak denetim makamı ile işbirliği yapar.”

Tüm bu sebeplerle CNIL tarafından Şirkete yasal düzenlemelere uyulması, eksikliklerin giderilmesi ihtar edilmiş, yasal yükümlülüklerin yerine getirilmediğinin tespit edilmesinin ardından yukarıda sayılan gerekçeler sebep gösterilerek Şirket aleyhine 25.000 Euro tutarında para cezası verilmiştir.

Her ne kadar yukarıda hükmedilen ceza üçüncü taraf çerezleri vasıtasıyla kişisel verileri hukuka aykırı işleyen şirkete yönelik olsa da, Türk hukukunda açık düzenlemesi bulunmayan çerezlerin hukuka aykırı işlenmesinin, Kişisel Verileri Koruma Kurulu tarafından yaptırım uygulama sebebi olduğu bilinmektedir[3]. Söz konusu yaptırım, açık rıza ve aydınlatma yükümlülüğüne uymaksızın çerezler vasıtasıyla kişisel veri işleme faaliyetinde bulunan Amazon Turkey Perakende Hizmetleri Limited Şirketi’ne uygulanmış, bu vesileyle Türkiye’de de çerezlerin kişisel veri işleme faaliyetine konu olduğu, veri sorumlularına ilgili kişiye karşı aydınlatma ve gerekli ise açık rıza alma yükümlülüğü yüklediği açıktır.

 

Bilgi ve değerlendirmelerinize sunulur.

Yazar : Av. İrem AKINCI

 

[1] Aytaçoğlu, Kaan; Şahin, Muzaffer; Sosyal Medyada Veri Toplama Yöntemleri ve Kişisel Verileri Koruma, Sosyal Bilimlerde Güncel Tartışmalar İnsan Çalışmaları 2, Bilgin Kültür Sanat Yayınları, 2019, s. 107-108.

[2] Aksoy Hüseyin Can; Halıcıoğlu, Mesut; “AB ve Türk Hukuklarında Çerezler: Kişisel Verilerin Korunması Açısından Karşılaştırmalı Bir Değerlendirme”, Kişisel Verileri Koruma Dergisi, C. 3 S.1, s.63.

[3] Kişisel Verileri Koruma Kurulu’nun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti için bkz. https://www.kvkk.gov.tr/Icerik/6739/2020-173 (E.T: 16.09.2021).


Abone Ol Paylaşılan bloglardan haberdar olmak için abone olabilirsiniz
E-Bülten aydınlatma metni için tıklayınız