Kişisel Veriler ve Rıza (Consent) İşlemleri

Bir önceki yazımda, kullanıcı verilerinin toplanması, işlenmesi ve saklanması ile ilgili 25 Mayıs 2018 tarihinde yürürlüğe alınan Genel Veri Koruma Yönetmeliği (GDPR)'nden bahsetmiş ve bu yönetmelik gereği kullanıcı veriler ile ilgili yükümlülükleri özetlemeye çalışmıştım.

AA

Bu yazıda ise, izleme ve kişiselleştirme işlemlerinin nasıl yapılandırılması gerektiğine değinmeye çalışacağım. Elbette bu işlemleri öncelikli olarak sıklıkla kullanılan uygulamalar / servisler bağlamıda ele alacağım.

Google Ads - Veri koruma kişileri
GDPR Consent Examples & Definitions

Kullanıcı Verileri ve Kullanıcı Rızası

Sıklıkla kullanılan consent tanımı ile başlayabiliriz. Consent izin, onay, razı olmak, uygun bulmak gibi anlamlara gelen, kişilerin belirli bir duruma istinaden verdikleri onayı / gösterdikleri rızayı ifade eder. Bu terim hukuk, tıp, araştırma ve sosyal ilişkiler içerisinde sıklıkla kullanılmaktadır. Ancak, rıza şartının yine yasalarca belirtilmiş sınırlar dahilinde ele alınması gerekir. Örneğin, reşit olmayan bir kullanıcı rıza gösterse dahi yine ilgili yasalarca rızadan doğan yükümlülükler dışında kalabilir. Dolayısıyla, rıza süreci gündelik dilin yanı sıra, ilgili bağlam çerçevesinde değerlendirilmelidir.

Rıza türleri, muğlak olmayan rıza (unumbiguous consent), zımni rıza (implied consent), açık rıza (explicit consent), bilgilendirilmiş rıza (informed consent) ve oybirliğiyle rıza (unanimous consent), ikame edilmiş rıza (substituted consent) gibi alt kavramları da içerir.

Muğlak Olmayan Rıza
AB kişisel veri koruma hukukunda rıza muğlak olmayan rıza şeklinde ele alınmaktadır ve muğlak olmayan şekilde verilmiş olma şartı ile geçerlidir. Dolayısıyla, rızanın geçerli olması için taşıması gereken nitelik ve koşullar nettir. GDPR özel nitelikli kişisel veriler bakımından açık rıza (explicit consent) kavramını kullanmayı sürdürmüştür1.
Zımni Rıza
Bir kişinin eylemlerinden ve belirli bir durumun gerçeklerinden ve koşullarından (veya bazı durumlarda, bir kişinin sessiz kalması veya hareketsiz kalmasıyla) elde edilen rızadır. Zımni ifadesi kapalı olarak yapılan veya söylenen, dolayısıyla anlatılan durumları tanımlar.
Açık Rıza
İmadan ziyade, açık ve net bir şekilde ifade edilen bir onaydır. Yazılı olarak, sözlü veya sözsüz olarak gerçekleştirilebilir. Örneğin. başını sallamak gibi net bir hareketle açık onay verilebilir. Tanıklar tarafından kanıtlanmayan, yazılı olmayan veya bir ses veya video kaydı taraflardan birinin reddetmesi durumunda itiraz hakkı doğurur. KVKK’da rıza kavramı için daima "açık rıza" tabiri kullanılmaktadır1.
Bilgilendirilmiş Rıza
Bir eylemin gerçeklerini, onay ile birlikte ortaya çıkacak yükümlülükler ve gelecekteki sonuçlarını net bir şekilde ortaya koyan, rıza gösteren kişinin bu durumu anladığını beyan ettiği rızadır. Araştırmalar çerçevesinde de sıklıkla kullanılır; katılımcılar araştırma prosedürünü anladıklarını ve buna rıza gösterdiklerini açık bir şekilde beyan ederler.
Oybirliği İle Rıza
Dernek, sendika, vb. çeşitli taraflardan oluşan bir grubun oybirliği ile vermiş olduğu rızayı ifade eder.
İkame Edilmiş Rıza
Bir karar vericinin, ehliyetsiz bir kişi yerine verdiği onaydır.

Bu rıza türlerinin dışında da farklı rıza türleri ve/veya Türkçe karşılığı sebebyile (ör. open consent) karışıklık yaşanması muhtemel kullanımlar da söz konusudur1.

Tekrar GDPR'a dönelim. GDPR'ye göre, son kullanıcıların (end-user) rızası geçerli, özgürce verilmiş, kapsamı ortaya koyulmuş, durum ile ilgili bilgilendirilmiş olarak verilmelidir. Verilen bu izin aktif olmalıdır. Ancak, yasal izinlerin alınmasına ilişkin uygulanabilirlik eksikliği ve kapsamın genişliği, dijital dünyada bir uyum zorluğu oluşmuştur. Elbette hukuki olarak gri noktalar değerlendirilebilmektedir. Örneğin, güncel bir araştırma Google, Amazon, Facebook, Apple ve Microsoft gibi (kısaca GAFAM) firmaların rıza alma mekanizmalarında karanlık kalıplar kullandıklarını ve elde edilen rızanın hukuka uygunluğuna ilişkin şüpheleri artırdığını göstermiştir2.

Yapılacak İşlemler

Kişisel verilerin toplanması, işlenmesi ve saklanması ile ilgili süreçleri yapılandırın. Bu verilerin hangi amaçlarla toplandığı ve kimlerle hangi amaçlarla paylaşılacağı ile ilgili bilgileri açık ve anlaşılır bir dille sunun. Bu bilgilerin toplanması gerekliliği durumlarında kullanıcıların onayını alın. Kullanıcılar bu onayı tamamen ya da kısmen verebilir veya kaldırabilir3.

Teknik ve Hukuki Temsilci

  • Veri güvenliği ve çevrimiçi reklamlar ile ilgili süreçler konusunda teknik ve hukuki danışmanlık alın.
  • Kullanıcı talepleri ve hukuki işlemler ile ilgili bildirimlerin iletileceği bir birincil iletişim sorumlusu / temsilci belirleyin.
  • Kullanıcı bilgilendirme, izinlerin yönetimi, taleplerin işlenmesi, hukuki olarak zorunlu kullanıcı bilgilerinin yönetilmesi ve ilgili diğer hukuki süreçler için bir hukuki danışman & yasal temsilci ile çalışın.
  • Kullandığınız araç / servislerin veri yönetimi ve veri gizliliği politikalarını inceleyin. Bu araç ve servislerin GDPR şartlarına uygunluğundan emin olun.
  • Verileri kendiniz saklıyor ve/veya işliyorsanız veri koruma yetkilisi belirleyin. Bu kişi kuruluşun GDPR şartlarına uymasını sağlamakla yükümlüdür.
  • Eğer mümkün ise AB Temsilcisi ile çalışın.
  • Temsilci bilgilerini ilgili sayfalara / servislere ekleyeyin.
  • Kullanıcı talepleri için özelleştirilmiş sayfalar kullanın ve edinilen kullanıcı taleplerini temsilciler vasıtasıyla hızlı bir şekilde işleme alın.
Google Ads - Veri koruma kişileri

Örneğin, Google Ads aracılığı ile çevrimiçi reklamları yönettiğinizi varsayalım. Bu durumda yukarıda bahsi geçen temsilci bilgilerini Ayarlar ve Faturalandırma > Hesap > Tercihler > Veri koruma kişileri adımlarını izleyerek yapılandırabilirsiniz4.

İzleme (Tracking) İşlemlerini Yapılandırın

Kullanılan izleme ve reklam servisleri GDPR başta olmak üzere bölgesel (KVKK, CCPA, ePrivacy, vb.) ve genel yönetmelikler gereği düzenlemeler yapmak ve bu düzenlemeler ile ilgili kendi kullanıcılarını anlaşılır bir dille yönlendirmek zorundalar. Bunun yanı sıra, eğer web sayfası ve/veya uygulaması da kullanıcı verilerini saklamakta ise hangi verileri ne amaçla (kategoriler, vb.) ve ne kadar süre sakladığını, kimlerle paylaştığını belirtmek ile yükümlü.

Örneğin, bu sitede genel ve safya özelinde (örneğin Youtube videoları, SlideShare sunumları içeren, vb.) çeşitli izleme araçları ve çerezler (cookie) kullanılmakta. Genel olarak performans iyileştirme (günlük ziyaretçi sayısı, form gönderimi takibi, yüklenme süresi, UX iyileşirme, vb.) süreçleri için kullanılan bu araçlar içerisinde kesinlikle kişileri tanımlayıcı bilgiler (ad-soyad, e-posta, IP, vb.) kullanılmamakta. Bu işlemler hem kurulumların kendisi hem de GDPR, CCPA ve ePrivacy ile uyumluluğunun kontrolü ile gerçekleştirilmekte.

Kurulum, uyumluluk süreci ve diğer yapılandırma işlemleri servisler, kategoriler ve yönetmelikler temelinde farklılık gösterdiği için ayrı yazılarla ele alacağım.

Verilerin Güvenliğinden Emin Olun

Eğer kullanıcı verileri kendi websiteniz ve/veya uygulamalarınız üzerinden kayıt ediyorsanız elbette izlemeniz gerekecek süreç, almanız gereken hukuki danışmanlığı kapsamı ve paylaşacağınız bilgi mesajları daha farklı olacak. Bu verileri saklamaya başladığınız an itibariyle olası ihlallere karşı da yükümlülüğünüz başlar. Bu nedenle düzenli olarak kontroller yapmalı, kullanıcıları olası ihlalleri hızlı bir şekilde bildirmeli, süresi dolan bilgileri silmeli ve/veya anonimleştirmelisiniz. Bu verileri işlemeniz veya 3. parti kişi veya kuruluşlarla (izleme, satış, vb.) paylaşıyorsanız bu sürecin denetiminden de sorumluluğunuz doğacaktır.

İhlalleri En Geç 72 Saat İçerisinde Bildirin

Veri güvenliğinin bir parçası olarak, olası ihlaller veya şüpheler ile ilgili kullanıcıları 72 saat içerisinde bilgilendirmelisiniz. Aksi durumda ciddi cezalar ödemek durumunda kalabilirsiniz. Örneğin, GDPR yönetmeliği uyarınca 20 milyon euro'ya ya da kurum veya kuruluşun yıllık gelirinin %4'üne kadar (hangisi daha çoksa) ceza söz konusu olabilmekte.

Taleplere En Geç 30 Gün İçerisinde Dönüş Yapın

Verileri saklamanız veya harici uygulamalar kullanmanıza bağlı olarak kullanıcılar tarafından iletilen taleplere (izin ekleme (opt-in), izin kaldırma (opt-out), kişiler verilerini indirme, güncelleme, silme, anonimleştirme, unutulma, vb.) 30 gün içerisinde dönülmesi gerekmekte. Ek olarak, kullanıcıların ilgili izinleri kolay bir şekidle görüntüleyebilmeleri ve verdikleri izinleri kendilerinin de yapılandırabilmesini mümkün hale getirmeniz avantaj sağlayacaktır. Örneğin, pek çok çerez / izleme uyumluluk aracı bu konuda özelleştirilebilecek seçenekler sunmaktadır. Ancak, değişmeyen husus, hangi verilerin kayıt edildiğini bile zorunluluğunuz. Eksik bilgilendirme veya yapılandırma süreci hukuki olarak zorluklarla karşılaşmanıza neden olabilir. Bu nedenle sürekli kontollerin ve süreç iyileştirme işlemlerinin ihmal edilmemesi gerekir.