16 July 2024
Tüketici Kişisel Verilerinin İşlenmesinde Açık Rıza
1. Giriş
Kişisel verilerin korunması hukukunun birçok hukuk dalının kesişim noktası olduğu aşikârdır. Kişisel verilere yönelik her türlü müdahale, kural olarak hukuka aykırılık teşkil eder. Anayasamız gereğince kişisel verilerin işlenebilmesindeki istisnaların başında kişinin açık rızası gelmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda, ilgili kişinin şahsi özellikleri dikkate alınmaksızın, açık rızaya ilişkin olarak çerçeve hüküm getirilmiştir. İlgili kişinin tüketici olması durumunda, tüketici hukukuna ilişkin genel prensipler ve yasalarla getirilen koruyucu hükümler doğrudan uygulanacaktır. Tüketicinin kişisel verisinin işlendiği durumlarda, veri sorumlusu ile tüketici arasındaki "güç dengesizliği" dikkate alınmalı ve buna göre bir yaklaşım benimsenmelidir. Bu makalemizde veri sorumlularınca tüketicilerden alınan açık rızalara ve açık rızanın geçerlilik şartlarına değineceğiz.
2. Tüketici Tanımı
6502 sayılı Tüketicinin Korunması Hakkında Kanun (TKHK), yürürlükten kaldırılan 4077 sayılı Tüketicinin Korunması Hakkında Kanun'a paralel olarak ticari veya mesleki olmayan amaçlarla hareket eden tüzel kişilerin de tüketici olabileceğini düzenlemiştir. KVKK'da getirilen düzenlemeler gerçek kişilere ilişkin olduğundan, çalışmamızda gerçek kişi tüketici esas alınarak değerlendirmeler yapılacaktır.
Herhangi bir yasanın tüketici hukukuna ait olması için tüketiciye uygulanması yeterlidir. İlgili kuralın Tüketici Kanunu'nda düzenlenmiş olması gerekmemektedir. Bu nedenle de kişisel verilerin korunmasına ilişkin TKHK'da hüküm olmamasına rağmen, KVKK'da düzenlenen kurallar tüketiciye uygulanırken, tüketici hukukunun amaçları dikkate alınarak değerlendirme yapılmalıdır. Tüketicinin sağlık ve güvenliği ile ekonomik çıkarlarını korumak TKHK'nın başlıca amaçlarındandır. Kişisel veriler ise 6698 sayılı KVKK kapsamında korunmaktadır ancak kişisel veri sahibi aynı zamanda tüketici ise ayrıca tüketici hukukunun genel ilkeleri ve yasal düzenlemeler çerçevesinde tüketiciye sağlanan koruyucu hükümlerden de yararlanabilecektir.
3. Açık Rıza
Kişisel verilerin işlenmesi, verinin ilk defa elde edilmesinden itibaren başlar ve kişisel verilerin üzerinde gerçekleştirilen bütün işlemleri ifade eder. Kişisel Verilerin Korunması Kanunu'nda da hem genel hem de özel nitelikli kişisel veriler için açık rıza hukuki işleme sebebi olarak değerlendirilebilmektedir.
GDPR'daki düzenlemeye göre de kişisel verilerin işlenmesini hukuka uygun hâle getiren sebeplerden biri de veri sahibinin rızasıdır (md 6/1/a). GDPR'da genel nitelikli kişisel verilerin işlenmesinde "rıza" yeterli kabul edilmiştir fakat özel nitelikli kişisel verilerin işlenmesi için "açık rıza" aranmıştır (md 9). KVKK ile GDPR karşılaştırıldığında, açık rıza tanımında "tereddüde yer bırakmayacak açıklıkta" (unambiguously) ifadesine yer verilmediği görülmektedir. Açık rızanın özellikleri her somut olaya ilişkin değerlendirilmesi gerektiğinden kanun koyucunun yasa yapma tekniği açısından tercih ettiği bu yöntem son derece yerinde bir yöntemdir.
GDPR'da küçüklerin rızası ayrıca düzenlenmiştir (md 8/1). Düzenleme gereğince, küçüklerin kişisel verilerin işlenebilmesi için en az 16 yaşında olmaları gerekir. 16 yaşın altındaki küçüklerin kişisel verilerinin işlenebilmesi için ebeveynlerinin izni gerekmektedir. GDPR'da, üye devletlere yaş sınırını, 13 yaşın altında olmaması şartıyla dilediği gibi belirleme yetkisi verilmiştir (md 8). KVKK'da ise kişisel veri öznesinin yaşına ilişkin herhangi bir düzenleme getirilmemiştir. Bu nedenle de Türk Medeni Kanunu'nun ehliyete ilişkin hükümleri doğrudan uygulama alanı bulacaktır. Verilecek rızanın bağımsız olması ve birden fazla rıza verilecekse her bir rızanın ayrı olması gerekir.
Veri sahibi tarafından verilen rızanın geçerli olabilmesi için aranan ilk şart, rızanın belirli bir konuya ilişkin verilmiş olmasıdır (KVKK m.3/1,a). Bu unsurdan anlaşılması gereken, konunun somut olması ve çerçevesinin çizilmiş olmasıdır. Sınırları belirsiz olan hususlarda açık rıza alınması mümkün değildir. Daha sonra ihtiyaç olabilir gerekçesiyle de kişisel veri işlenmesi hukuka aykırı kabul edilmektedir. Veri sorumluları, açık rızayı hangi konuya ilişkin olarak almak istediğini tüketiciye açıklamalıdır. Açık rızanın belirli konuya ilişkin alınmış olması aynı zamanda rızanın sınırını da belirler. Belirli konuya ilişkin olma unsuru beraberinde belli amaç unsurunu da getirmektedir. Amacın açık, belirli ve meşru olması gerekir (KVKK md 4/c).
İlgili kişinin sınırsız ve belirsiz konulara ilişkin açıkladığı irade beyanı geçersizdir. Öğretide buna battaniye rıza denmektedir. Örneğin, ilgili kişinin "Yukarıda bahsedilen tüm veri işleme faaliyetleri kapsamında kişisel verilerimin işlenmesini kabul ediyorum" şeklinde yaptığı irade açıklaması açık rıza olarak kabul edilemeyecektir.
İnternet üzerinden yapılan tüketici işlemlerinde karşımıza sıkça çıkan "çerezler (cookies)" üzerinde de ayrıca durmamız gerekmektedir. Çerezler, rakam ve harflerden oluşan küçük dosyalardır. İnternet üzerinden yapılan gezintilerde kişi ziyaret ettiği sitelerde izler bırakmaktadır. Bu izler takip edilerek kişinin profili çıkarılmaktadır. Kişinin ihtiyaçları doğrultusunda ilgili kişiye mal ve hizmet sağlayıcıları tarafından bilgilendirme yapılmaktadır. Çerezler, mal ve hizmet sağlayıcıları tarafından ilgili kişiye ihtiyaçlarına uygun teklifleri sunabilme açısından fırsat sağlamanın yanı sıra ilgili kişilere yönelik reklam gösterimi imkânı da sağlar.
Çerez kullanımı konusunda ziyaret edilen her siteye girişte çerez kullanımı için rıza istenmekte ve bu konuya ilişkin bilgilendirme metinlerine yer verilmektedir. Uygulamada, çerez kullanımına ilişkin yapılan bilgilendirmenin metinlerini okudum veya anladım şeklinde kutucuklar aracılığıyla onay alınması, alınan rızanın geçerli olduğu anlamına gelmeyecektir. Genellikle internet üzerinden verilen rızalarda bilgilendirme metinlerinin okunmadığı görülmektedir. Çerezlerin kullanımının kabul edilmesi rıza verildiği algısını yaratmaktadır. Bu durum kişisel veri güvenliğini tehdit etmektedir. İnternet sağlayıcıları, çerezler aracılığıyla sahip olunan bilgileri kendi amaçları doğrultusunda kullanabilmektedirler. Bu hususta detaylı bilgi için Kurum'un yayımlamış olduğu "Çerez Uygulamaları Hakkında Rehber" metnine buradan ulaşabilirsiniz.
4. Tüketicinin Kişisel Verisinde Açık Rızanın Özellikleri
Hayatın olağan akışı gereğince, sözleşmenin tarafları her zaman aynı imkânlara sahip olamaz. Örneğin, bir tacir işletmesi için hammadde alırken içinde bulunduğu koşullar ile bir tüketicinin ürün satın alırken içinde bulunduğu koşullar birbirinden farklıdır. Sözleşmesel ilişkilerin bu özelliklerinden dolayı kanun koyucu özel yasal düzenlemeler ile korucuyu hükümler getirmiştir. İşçi-işveren ilişkilerinde olduğu gibi tüketici hukukunda da bu özel düzenlemeler karşımıza sıkça çıkmaktadır.
Tüketicinin taraf olduğu sözleşmelerde ise, bir hükmün haksız şart olması ilgili hükmün geçersiz sayılması için yeterlidir. Şöyle ki, genel işlem koşullarından farklı olarak bir hükmün haksız şart sayılabilmesi için çok sayıda benzer sözleşmede kullanmak amacıyla hazırlanması gerekmez. "Haksız şart, tüketiciyle müzakere edilmeden sözleşmeye dâhil edilen ve tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizliğe neden olan sözleşme şartlarıdır." (TKHK md 5/1).
GDPR, tüketici sözleşmelerinde haksız şartlara ilişkin düzenlemeler getiren 5 Nisan 1993 tarih ve 93/13/EEC numaralı Yönerge'ye benzer olarak, açıklama bölümünün 42. kısmında da belirtildiği üzere, rıza bildirimlerinin açık ve düz bir dille, kolay ulaşılabilir ve haksız şartlar içermeyecek şekilde yazılması gerektiğini öngörmektedir.
GDPR ve KVKK, otonom (özerk) yetki modelini benimsemiştir. Bu yetki modelinde, veri sahibinin, mevcut bilgiye dayanarak bilinçli ve özgür bir seçim yaptığı kabul edilmektedir. Özellikle internet üzerinden kişisel verilerin işlenmesine ilişkin verilen rızalarda yapılan araştırmalar, yasal düzenlemelerin yeteri kadar amacına ulaşamadığını göstermektedir. Yapılan araştırmalarda öne çıkan temel husus, tüketicilerin çok sık gördükleri mesajları görmezden geldikleri ve nadiren gizlilik bildirimlerini okudukları yönündedir.
4.1. Tüketicinin Hiçbir Baskı Altında Kalmaması Gerekir
Özgür iradenin varlığından bahsedebilmek için iradesini açıklayan gerçek kişinin hiçbir dış faktörün etkisinde kalmaması gerekir. Veri sahibi, kendisinden kişisel verisi istendiğinde kendisine yöneltilen talebi reddetme hakkına sahip olmalıdır ve bu talebin reddedilmesi durumunda herhangi bir yaptırım olmayacağından emin olmalıdır.
Tüketicinin hiçbir baskı altında kalmaması ile kastedilen "baskı" TBK anlamında irade bozukluğu hâllerinden daha geniş bir anlam ifade eder. TBK anlamında irade bozukluğu hâllerinin varlığı durumunda ortaya çıkan irade, sakat irade olacaktır. Sakat bir iradenin varlığı hâlinde verilen iradenin özgür irade olduğundan bahsedilemeyecektir. Sözleşmenin kurulması için gerekli irade ile sözleşme gereğince kişisel verinin işlenmesi için aranan açık rıza farklı kavramlardır. Kişisel verinin işlenmesine ilişkin açık rıza genellikle sözleşmenin kuruluş aşamasında alınmaktadır ancak sözleşme kurulduktan sonra ifadan önceki aşamada da açık rızanın alınabilmesi mümkündür. Bu nedenle de teorik olarak sözleşmenin kurulması için gerekli rıza, irade bozukluğu hâllerinden birinin varlığı durumunda sakat olacaktır ama kişisel verinin işlenmesine ilişkin olarak alınan açık rıza geçerli olabilir.
Sözleşme kuruluşunda irade bozukluğu hâllerinden birinin varlığı durumunda, düzelebilir hükümsüzlük hâliyle karşılaşırız. İradesi sakatlanan kişinin sözleşmeyi onaylaması hâlinde sakat iradeye ilişkin sözleşme geçerli hâle gelir. Oysaki, kişisel verinin işlenmesi için alınması gereken açık rızanın baskı altında alınması hâlinde kesin hükümsüzlükle sakat bir hukuki işlemin varlığı söz konusudur. Bu nedenle de kişisel veri sahibinin onaylama yönündeki irade beyanı ile sonuç değişmeyecektir. Bu durumda ancak kişisel verinin işlenmesi için baştan açık rıza alınması gerekir.
Tüketicinin hiçbir baskı altında kalmamasından anlaşılması gereken husus, tüketicinin açık rızasını vermemesi hâlinde herhangi bir olumsuz durum veya tutumla karşılaşma endişesini taşımamasıdır. Örneğin, tüketici kişisel verisini vermediğinde taraf olduğu sözleşmeye konu ürünü satın alabileceğini biliyor ancak yapılan kampanya çekilişinden yararlanmama endişesini taşıyorsa, tüketicinin özgür iradesiyle açık rıza vermediği sonucuna varılamaz. Bu nedenle tüketicinin taşıyacağı endişe ile açık rıza arasında uygun nedensellik bağı varsa verilen rıza geçersiz olacaktır. Geçersizliğin türü de kesin hükümsüzlüktür.
İrade bozukluklarından "yanılma" hâlinde yanılmaya düşen tarafın sözleşme ile bağlı olmaması için yanılmanın "esaslı" olması aranmaktadır (TBK md 30). Kişi, kişisel verilerinin işlenmesi için vermiş olduğu açık rızasını açıklarken herhangi bir hususta yanılması hâlinde verilen açık rıza geçersiz olacaktır. Bir diğer ifade ile yanılmasının esaslı olması aranmayacaktır. Burada üzerinde durulması gereken kriter, yanılma ile verilen açık rıza arasında nedensellik bağının kurulabilmesidir.
GDPR'da rızanın geri alınması da düzenlenmiştir. Şöyle ki; veri sahibi, rızasını istediği zaman geri çekme hakkına sahiptir. Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayalı işlemin yasallığını etkilemez. Rıza vermek kadar geri çekmek de kolay olmalıdır (GDPR md 7/3). KVKK'da rızanın geri alınması hususu düzenlenmemiştir. 28.10.2017 tarih ve 30224 sayılı Resmî Gazete'de yayımlanan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi" hakkında Yönetmeliğin (RG-28/4/2019-30758) 12. maddesinde, kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri düzenlenmiştir. Düzenleme gereğince, KVKK md. 11 ve 13 kapsamında; ilgili kişi veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Bu talep hâlinde, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'te üç farklı ihtimâl düzenlenmiştir.
- Birinci ihtimâl, kişisel veri işleme şartlarının tamamen ortadan kalkmasına ilişkindir. Bu durumda veri sorumlusu talebe konu kişisel verileri en geç otuz gün içinde siler, yok eder veya anonim hâle getirir. Mevcut duruma ilişkin de ilgili kişiye bilgi vermelidir. (KVSYEAHGHY md 12/a)
- İkinci ihtimâl, kişisel verinin üçüncü kişiye aktarılmış olmasına ilişkindir. İşlenme şartları tamamen ortadan kalkan kişisel veri üçüncü kişilere aktarılmışsa, veri sorumlusu kendisine yöneltilen talebi üçüncü kişiye bildirir ve talebin yerine getirilmesi için gerekli işlemlerin yapılmasını temin eder. (KVSYEAHGHY md 12/b)
- Üçüncü ihtimâl, kişisel verinin işlenme şartlarının tamamen ortadan kalkmamasına ilişkindir. Veri sorumlusu, en geç otuz gün içinde yazılı veya elektronik ortamda kişisel veri işleme şartlarının tamamen ortadan kalkmadığını gerekçe göstererek talebi reddedebilir. (KVSYEAHGHY md 12/c)
4.2. Tüketiciye Seçim İmkânı Tanınmalıdır
Tüketicinin, bir mal veya hizmetten yararlanmak için taraf olduğu sözleşme kapsamında özgür iradesinden bahsedilmesi için, seçim imkânına sahip olması gerekir. Örneğin, tüketici Bay (X)'in üye olduğu XYZ Spor Merkezi A.Ş'nin güvenlik nedeniyle "parmak izi sistemini" kullandığını kabul edelim. Kullanılan sistem sayesinde güvenlik önemleri üst seviyede tutulmakta ve spor merkezine üye olmayan kişilerin girmesine engel olunmaktadır. Bu sistem sayesinde giriş ve çıkışlarda ayrıca güvenlik personeli çalıştırılmamakta ve dolayısıyla maliyet konusunda tasarrufta bulunulmaktadır. Spor merkezi yönetimi tarafından getirilen sistemin yararlı birçok yönünü saymak mümkündür. İnceleme konumuz nedeni ile cevaplanması gereken soru, tüketicinin kendisinden parmak izi istendiğinde, nedenleri makul ve meşru olmasına rağmen, kendisine başkaca bir alternatif sunulmaması nedeniyle tüketicinin açık rızasını dış dünyaya yansıttığının kabul edilip edilemeyeceğidir.
Kanaatimizce, bu durumda tüketicinin özgür iradesi ile açık rıza verdiğini kabul etmemiz gerekir. Tüketiciden kişisel verisi talep edilirken, makul ve yararlı sebeplerin bulunması yeterli değildir. Makul ve yararlı sebeplerin bulunmadığı durumlarda zaten açık rızanın talep edilebilmesi mümkün değildir. Bu nedenle de tüketiciye mümkün alternatifler sunulmalıdır. Örneğin, tüketiciye, kartla giriş imkânı sunulmalı ve bu imkânı kullanabilmesine herhangi bir sınırlama getirilmemelidir. Seçim imkânına sahip tüketicinin, kart taşıma külfetinden kurtulma veya daha güvenliği olduğunu düşündüğü için parmak izini vermesi, tüketicinin özgür iradesinin varlığını gösterebilir.
Vermiş olduğumuz örneği geliştirebiliriz. Aynı spor merkezinin retina tanıma sistemine dayalı olarak merkeze giriş yapabilmesi ihtimâlini getirebilmesi de mümkündür. Bu ihtimâli değerlendirecek olan kişi de tüketicidir. Tüketici dilerse kendisine ait bir kişisel veri olan retinasına ilişkin verinin de işlenmesine izin verebilir.
Tüketicinin taraf olduğu sözleşme ilişkisinde, kişisel verisini vermesi sözleşmenin bir unsuru hâline getirilmişse, bu durumda nasıl bir değerlendirme yapılması gerektiği hususunun da aydınlatılması gerekir. Vermiş olduğumuz örnekte bir değişikliğe giderek durumu netleştirebiliriz. XYZ Spor Merkezi A.Ş'nin, son bir yıldır güvenlik nedeniyle parmak izi sistemi ile giriş ve çıkış yapılan bir spor merkezi olduğu varsayımından hareket edelim. Bay (X) de bu spor merkezine üye olmak istiyor farz edelim. Bay (X)'in incelediği sözleşmenin kuruluş şartları arasında parmak izi verilmesinin gösterilmiş olduğunu kabul edelim. Sözleşmeye konulan bu şartla ilgili şirketin başta güvenlik, maliyet ve satış politikaları açısından son derece önemli sebeplerinin olduğunu kabul edelim. Mevcut durumda tüketicinin o spor merkezine üye olması zorunlu değildir. Aynı hizmeti veren başka şirketler de vardır. Başka bir spor merkezine gitmeyi tercih edebilir düşüncesi de akıllara gelebilir.
Bütün bu değerlendirmelerde asıl çözüm bekleyen sorun, kişisel verinin bir sözleşmenin kuruluş şartı hâline getirilebilmesinin mümkün olup olmadığı noktasında toplanmaktadır. Kişisel veri işlemenin öncelikli olarak sözleşmenin amacına hizmet etmesi gerekir. Sözleşmenin kuruluşu için zorunlu olmayan kişisel veri, sözleşmenin kuruluş şartı hâline getirilmesi veya sözleşmenin ifası şartı hâline getirilmesi durumunda verilen rıza geçersiz olacaktır. Bu durumlarda kişisel verinin işlenmesine ilişkin irade, bir zorlama ile alınmaktadır. Bir başka ifadeyle, rıza diğer "şart ve koşullardan" ayrı tutulmalı ve hizmet için gerekli olmadığı sürece ön şart olarak ileri sürülmemelidir. Tüketici hukukunda kişisel verilerin verilmesi kural olarak sözleşmenin kuruluş şartı hâline getirilemez. Bu kuralın istisnasından bahsedebilmek için kişisel verinin alınmasının sözleşmenin kuruluşu için zorunlu olması gerekir. Seçim imkânını ortadan kaldıran tek tip düzenlemelerin nedenleri ve faydalarının varlığı, vardığımız sonucu değiştirmeyecektir. Bay (X), böyle bir sözleşmeye taraf olsa ve kişisel verisini sözleşmenin tarafı olan şirket ile paylaşsa bile tüketicinin özgür iradesinden bahsedemeyiz.
Aynı şekilde çerez kullanımının kabulü koşula bağlanırsa verilen açık rızanın geçerliliğinden bahsedilemez. Çerez kullanımının koşula bağlanması ile elde edilen verinin kullanılacağı alanda belirsiz hâle gelmektedir.
GDPR md. 7/4'te sözleşme kapsamında alınan rızanın sözleşme açısından gerekli olup olmadığı hususuna ilişkin olarak açık bir düzenleme getirilmiştir. Bu düzenleme gereğince, özgürce rıza verilip verilmediği değerlendirilirken, diğer unsurların yanı sıra, bir hizmetin sağlanması da dâhil olmak üzere bir sözleşmenin ifasının gerçekleştirilmesi için gerekli olmayan kişisel verilerin işlenmesine ilişkin rıza olup olmadığına azami ölçüde dikkat edilmelidir.
5. Sonuç
Özel hayatın gizliliğinin korunması başta olmak üzere; temel hak ve özgürlüklerin korunması için kişisel verilere anayasal düzeyde bir koruma getirilmiştir. KVKK'da, veri öznesinin kişisel özellikleri dikkate alınarak düzenlemeler getirilmemiştir. Kanun koyucu, çerçeve hükümlere yer vermeyi tercih etmiştir.
Kişisel verilerin korunması hukukunun temel amacı, kişisel verileri korumaktır. Kişisel verileri işlemek kural olarak yasaktır. Bu kuralın en önemli istisnalarından biri, veri sahibinin rızasıdır. KVKK'da genel nitelikli ve özel nitelikli kişisel veri ayrımı yapılmışsa da her iki tip verinin işlenmesinde "açık rıza" aranmıştır. Açık rızanın verilmesi herhangi bir şekle tabi değildir. Dar anlamda örtülü rıza ile yani susma ile açık rızanın verilebilmesi mümkün değildir. Dış dünyaya yansıyan iradenin aktif bir davranışla ortaya konulması hâlinde geniş anlamda örtülü davranışla açık rızanın verilebilmesi mümkündür.
Kişisel verilerin korunması, birden fazla hukuk dalının kesişme noktasında yer almaktadır. Kişisel veri koruma hukuk dalının amacına ulaşabilmesi için diğer yasal düzenlemeler ile ilişkisi de incelenmelidir. KVKK, gerçek kişilerin kişisel verilerini korumak amacıyla yürürlüğe konulmuştur. Gerçek kişi tacir de olsa tüketici de olsa KVKK tarafından getirilen korumadan yararlanacaktır. Burada göz ardı edilmemesi gereken husus şudur:
Kişisel veri öznesinin tüketici olması durumunda TKHK'nın tüketici için getirmiş olduğu koruyucu hükümlerin, KVKK'nın uygulanmasında doğrudan uygulama alanı bulması gerekir. Özellikle, kişisel verilerin işlenmesi için aranan "açık rızanın" uygulamasında bu iki hukuk dalının ilişkisi büyük önem kazanmaktadır. Açık rızanın unsurlarının ne olduğu KVKK'da düzenlenmiştir. Bu unsurlar, niteliği gereği çerçevedir. O nedenle de her bir unsur somut olaya ilişkin olarak değerlendirilmelidir. Veri öznesinin tüketici olması durumunda öncelikli olarak tüketici ile veri işleyen arasındaki "güç dengesizliği" dikkate alarak değerlendirme yapılmalıdır. Veri öznesinin tüketici olması hâlinde tüketicinin özgür iradesiyle hareket etmediği karine olarak kabul edilmelidir. Tüketicinin birçok kişisel verisi aynı zamanda ekonomik bir değeri ifade etmektedir. Mal ve hizmet sağlayıcıları mümkün olan her fırsatta tüketicinin kişisel verisini işlemek isterler. Tüketicinin verdiği açık rızanın geçerliliği değerlendirilirken bu hususların dikkate alınması gerekir.
Yaygınlaşan e-ticaret uygulamaları nedeniyle tüketici işlemi de yaygın olarak internet üzerinden yapılmaktadır. Birçok internet sitesine girişte çerez uygulamaları ile karşılaşmaktayız. Çerez uygulamaları, kişisel verilerin korunması hukukunu tehdit eder boyutlara ulaşmaktadır. Çerezleri elde edenler, çerezler aracılığıyla gerçek kişiyi belirleyemedikleri gerekçesiyle alınacak rızanın KVKK kapsamında olmaması gerektiğini savunmaktadırlar. Oysaki gelişen teknoloji beraberinde her türlü bilgiye erişimi de kolaylaştırmaktadır. Bu nedenle de kanunda değişikliğe gidilerek, çerezleri kişisel veri olarak kabul etmek, menfaatler dengesine en uygun olan çözümdür. Getirilecek düzenlemede çerezin kişisel veri olmadığının ispat külfetini çerezi talep edenin yüklenmesi durumunda sorun büyük oranda çözülecektir.
Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.
Bilgilendirme Metni!