Çerez Aydınlatma Metni ve Onayı Hakkında Danimarka Veri Koruma Otoritesi’nin Kararı

tarafından | Ara 19, 2020 | makaleler | 0 yorum

 

Çerez Aydınlatma Metni ve Onayı Hakkında Danimarka Veri Koruma Otoritesinin Kararı

Çerez aydınlatma metni ve onayı hakkında  Danimarka Veri Koruma Otoritesi’nin (Datatılsynet) 11/12/2020 tarihinde www.golf.dk adresi için ceza ile sonuçlandı. İnternet sitesinde yer alan çerez onayı ve aydınlatma metnine ilişkin yapılan şikayet hakkında verilen karar ve hukuki temelleri, GDPR uygulamasına ışık tutacak nitelikte.

  • Çerez Aydınlatma Metni ve Onayı

www.golf.dk  adresindeki websitesine girişte alınan çerez aydınlatma metni ve onayının, çerezleri kabul etmeme seçeneğinin bulunmaması nedeniyle, GDPR ve Danimarka Kişisel Verilerin Korunması Düzenlemelerine aykırı olduğu; bu nedenle alınan rızanın geçerli rıza sayılamayacağı hakkında Datatilsynet’e (Danimarka Veri Koruma Otoritesi) yapılan şikayet, ihlal kararı ile sonuçlanmıştır. 

Sitede yer alan şikayete konu çerez metni aşağıdaki gibidir;

“Bu web sitesinde çerezleri,

içeriğimizi ve reklamlarımızı kişiselleştirmek, sosyal medyada yeni özelliklerimizi sunabilmek ve trafiği analiz etmek  için kullanmaktayız. Ayrıca sitemizi kullanım bilgilerinizi içeren bilgileri sosyal medya, reklam ve analiz partnerlerimiz ile paylaşmaktayız. Partnerlerimiz çerezler ile toplanan bilgileri  ve sizin tarafınızdan sağlanan diğer bilgileri ya da kendi servislerini kullanarak elde ettikleri bilgileri birleştirebilir. Eğer siteyi kullanmaya devam ederseniz çerezleri  kabul etmiş sayılacaksınız.”

Bu metnin altında onay beyanı olarak  “Tüm Çerezlere İzin Ver” (“Allow All Cookies”) ve  “Detayları Göster” (“Show Details”) şeklinde iki buton yer almaktaydı. 

Web sitesinin yaptığı savunmada çerezler ile toplanan verilerin işlenmesinin veri sahibinin GDPR Art. 6/1-a ya uygun olarak verilmiş rızasına dayandığını, çünkü rızanın “Allow All Cookies” butonu tıklanarak veya sitede gezinmeye devam etmesi ile alınmış olduğunu iddia etmiştir. Bununla birlikte, açık rıza ilgili DPA şikayetinin değerlendirmesi aşamasının başlamasından önce alınmış bir rıza söz konusu olduğu ve rızanın geri alınması yöntemlerinin sitedeki “Gizlilik Politikası” içinde yer aldığını; ayrıca kurumların sürekli yenilenen çerez uygulamalarını takip ederken hataya düşmüş olabileceklerini ileri sürmüştür. 

  • Çerez Aydınlatma Metni ve Onayı Hakkında Datatilsynet’in Kararı

Datatilsynet site ziyaretçilerinden yukarıda belirtilen şekilde bir rıza alınmasını, bu tür bir rızanın gerekli ayrıntıyı içermemesi ve özgür iradeye dayanmaması sebepleriyle ilgili mevzuat ve düzenlemelere aykırı bularak, metnin yenilenmesine karar vermiştir.

  • Çerez Aydınlatma Metinleri Hakkında DPA’nın Görüşünün Hukuki Temelleri

 

  • Açık Rızanın Aykırılığı Bakımından

İşleme faaliyetinin hukuka uygunluğu” başlıklı 6. maddesinin 1. fıkrasında veri işlemenin hukuki sebepleri sayılmıştır:

İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:

 (a) veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;….” 

  •  Bu maddede açık rıza; veri işlenmesine bir hukuki sebep olarak sayılmıştır.

GDPR 4. maddesi 11. fıkrasında “açık rıza” tanımı yer almaktadır:

“(11) veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir;

  • Bu tanıma göre açık rıza: rıza gösterilecek işlemle sınırlı ve kişinin iradesinin bir zorlama olmadan özgürce verilmiş olması gerektiği anlaşılmaktadır.

 2016/679 sayılı Regulation  32 de açık rıza daha detaylı unsurlar ile açıklanmıştır:

“Rıza; veri sahibinin kendisiyle ilgili kişisel verilerin, elektronik araçlar dahil olmak üzere yazılı bir beyanla veya sözlü bir beyanla işlenmesine dair verdiği özgür iradeyle, belirli ve bilgilendirme içeren ve şüpheye yer bırakmayacak kesinlikte olumlu açık onay hareketi ile verilmelidir.

Bu onay  bir siteye girişte kutucuğun işaretlenmesi, bilgi toplumu hizmetleri için teknik ayarların seçilmesi veya bu bağlamda veri konusunun kişisel verilerinin önerilen işlenmesini kabul ettiğini açıkça gösteren başka bir beyan veya davranış seçme şeklinde olabilir.

Pasif, önceden işaretlenmiş kutucuk açık rıza oluşturmaz.

Rıza aynı amaç veya amaçlar için olan tüm veri işleme aktivitelerini içermelidir. 

Veri işlemenin birden çok amacı varsa, rıza hepsi için verilmelidir.

Eğer veri sahibinin onayı elektronik yollarla bir talep sonrasında verilecekse, talebin açık, kısa olması ve verildiği hizmetin kullanımını gereksiz yere aksatmaması gerekir.”

Avrupa Birliği Adalet Divanı C-673/17 sayılı kararı 62. paragrafına atıf yapmıştır:

Bu nedenle, resital 32 de öngörüldüğü şekilde rıza; websitesine girildiğinde  bir kutucuk işaretleme  şeklinde olabilir. Ancak aynı hüküm gereğince önceden işaretlenmiş kutucukların işaretlenmesi veya hareketsizliğin rıza sayılamayacağı öngörülmüştür.”

Tüm bu düzenlemeler ve kararlar göz önüne alındığında internet sitesinde alınacak rıza eğer söz konusu veri işlemeden kaçınma imkanı sunmuyorsa özgürce verilmiş bir açık rızadan bahsedilemez. 

Somut olayda  Website ziyaretçilerinin onayı, veri işlemeye dair özgürce verilmiş bir onaya ilişkin  varsayıma dayanmaktadır, “Gönüllülüğe dayanan” bir rıza mevcut değildir.

  • Çerez Aydınlatma Metnindeki Hukuka Aykırılıklar 

Çerez Çözümleme” metninde yer alan “ Gerekli veri işlemeler açık rıza veya özel durumlarda meşru menfaate dayanarak işlenebilecektir.” şeklindeki ifadeyi GDPR Art. 12’ye göre “şeffaflık ilkesine aykırı” ve “ziyaretçiler tarafından anlaşılması zor” olarak değerlendirmiştir. 

DPA’nın görüşüne göre rıza metni yalnızca açık rıza alınan veri işlemeyi konu almalıdır. Bu nedenle veri sorumlusu açık rıza metninin içinde yer alan kişisel veri işleme temellerinin farkında olmalıdır. 

Çerez Ayarları içinde yer alan çerez çözümlemelerinin istatistik ve pazarlama ile ilgili olanları için de ayrıca web sitesinin meşru menfaatlerine itiraz etme imkanı sunulması gerektiğini çünkü veri işleme esaslarının aslında web sitesinin istatistik ve pazarlama ile ilgili kişisel verileri işlemesinin temelini oluşturduğunu eklemiştir. 

  • Sonuç

DPA Çerezler hakkındaki görüşlerinin bir kısmını şu şekilde açıklamıştır;

  • İnternet sitesinde yer alacak çerez onay metinleri çerez aydınlatmayla birebir uyum içinde  olmalı.
  • Veri işleme amaçlarını şeffaflık ilkesi çerçevesinde , açıkça ve şüpheye yer bırakmayacak şekilde ziyaretçilere ifade etmelidir. 
  • Bir ziyaretçiden alınacak çerez onayı, aktif bir hareketle ziyaretçinin onaylayabileceği şekilde yazılmalıdır. Pasif kalınması  seçeneğinin bulunması veya onay verilmeden sitede dolaşıma devam edilmesi hallerinde ziyaretçinin açık rızasının varlığına dair bir varsayım yapılması GDPR ilkelerine aykırılık teşkil edecektir. 

 

İlgili Görüş Yazısı Orijinal Metni:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/dec/ny-afgoerelse-ugyldigt-samtykke-paa-hjemmeside 

 Diğer Görüş ve Makalelerimiz:

https://www.eralp.av.tr/category/yayinlar/makaleler/

Kamera ile İzlenme Hakkında İtalyan Veri Koruma Otoritesinin Görüşü Hakkında Makale için:

Kamera İle İzleme Hakkında İtalyan Veri Koruma Otoritesinin Yayınladığı Görüş

 

Çerez Aydınlatma Metni ve Onayı Hakkında Danimarka Veri Koruma Otoritesi’nin Kararı

tarafından | Ara 19, 2020 | makaleler | 0 yorum

 

Çerez Aydınlatma Metni ve Onayı Hakkında Danimarka Veri Koruma Otoritesinin Kararı

Çerez aydınlatma metni ve onayı hakkında  Danimarka Veri Koruma Otoritesi’nin (Datatılsynet) 11/12/2020 tarihinde www.golf.dk adresi için ceza ile sonuçlandı. İnternet sitesinde yer alan çerez onayı ve aydınlatma metnine ilişkin yapılan şikayet hakkında verilen karar ve hukuki temelleri, GDPR uygulamasına ışık tutacak nitelikte.

  • Çerez Aydınlatma Metni ve Onayı

www.golf.dk  adresindeki websitesine girişte alınan çerez aydınlatma metni ve onayının, çerezleri kabul etmeme seçeneğinin bulunmaması nedeniyle, GDPR ve Danimarka Kişisel Verilerin Korunması Düzenlemelerine aykırı olduğu; bu nedenle alınan rızanın geçerli rıza sayılamayacağı hakkında Datatilsynet’e (Danimarka Veri Koruma Otoritesi) yapılan şikayet, ihlal kararı ile sonuçlanmıştır. 

Sitede yer alan şikayete konu çerez metni aşağıdaki gibidir;

“Bu web sitesinde çerezleri,

içeriğimizi ve reklamlarımızı kişiselleştirmek, sosyal medyada yeni özelliklerimizi sunabilmek ve trafiği analiz etmek  için kullanmaktayız. Ayrıca sitemizi kullanım bilgilerinizi içeren bilgileri sosyal medya, reklam ve analiz partnerlerimiz ile paylaşmaktayız. Partnerlerimiz çerezler ile toplanan bilgileri  ve sizin tarafınızdan sağlanan diğer bilgileri ya da kendi servislerini kullanarak elde ettikleri bilgileri birleştirebilir. Eğer siteyi kullanmaya devam ederseniz çerezleri  kabul etmiş sayılacaksınız.”

Bu metnin altında onay beyanı olarak  “Tüm Çerezlere İzin Ver” (“Allow All Cookies”) ve  “Detayları Göster” (“Show Details”) şeklinde iki buton yer almaktaydı. 

Web sitesinin yaptığı savunmada çerezler ile toplanan verilerin işlenmesinin veri sahibinin GDPR Art. 6/1-a ya uygun olarak verilmiş rızasına dayandığını, çünkü rızanın “Allow All Cookies” butonu tıklanarak veya sitede gezinmeye devam etmesi ile alınmış olduğunu iddia etmiştir. Bununla birlikte, açık rıza ilgili DPA şikayetinin değerlendirmesi aşamasının başlamasından önce alınmış bir rıza söz konusu olduğu ve rızanın geri alınması yöntemlerinin sitedeki “Gizlilik Politikası” içinde yer aldığını; ayrıca kurumların sürekli yenilenen çerez uygulamalarını takip ederken hataya düşmüş olabileceklerini ileri sürmüştür. 

  • Çerez Aydınlatma Metni ve Onayı Hakkında Datatilsynet’in Kararı

Datatilsynet site ziyaretçilerinden yukarıda belirtilen şekilde bir rıza alınmasını, bu tür bir rızanın gerekli ayrıntıyı içermemesi ve özgür iradeye dayanmaması sebepleriyle ilgili mevzuat ve düzenlemelere aykırı bularak, metnin yenilenmesine karar vermiştir.

  • Çerez Aydınlatma Metinleri Hakkında DPA’nın Görüşünün Hukuki Temelleri

 

  • Açık Rızanın Aykırılığı Bakımından

İşleme faaliyetinin hukuka uygunluğu” başlıklı 6. maddesinin 1. fıkrasında veri işlemenin hukuki sebepleri sayılmıştır:

İşleme faaliyeti, ancak aşağıdaki hususlardan en az biri geçerli olduğunda ve olduğu ölçüde, hukuka uygundur:

 (a) veri sahibinin bir ya da daha fazla sayıda spesifik amaca yönelik olarak kişisel verilerinin işlenmesine onay vermesi;….” 

  •  Bu maddede açık rıza; veri işlenmesine bir hukuki sebep olarak sayılmıştır.

GDPR 4. maddesi 11. fıkrasında “açık rıza” tanımı yer almaktadır:

“(11) veri sahibinin ‘rızası’ veri sahibinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir;

  • Bu tanıma göre açık rıza: rıza gösterilecek işlemle sınırlı ve kişinin iradesinin bir zorlama olmadan özgürce verilmiş olması gerektiği anlaşılmaktadır.

 2016/679 sayılı Regulation  32 de açık rıza daha detaylı unsurlar ile açıklanmıştır:

“Rıza; veri sahibinin kendisiyle ilgili kişisel verilerin, elektronik araçlar dahil olmak üzere yazılı bir beyanla veya sözlü bir beyanla işlenmesine dair verdiği özgür iradeyle, belirli ve bilgilendirme içeren ve şüpheye yer bırakmayacak kesinlikte olumlu açık onay hareketi ile verilmelidir.

Bu onay  bir siteye girişte kutucuğun işaretlenmesi, bilgi toplumu hizmetleri için teknik ayarların seçilmesi veya bu bağlamda veri konusunun kişisel verilerinin önerilen işlenmesini kabul ettiğini açıkça gösteren başka bir beyan veya davranış seçme şeklinde olabilir.

Pasif, önceden işaretlenmiş kutucuk açık rıza oluşturmaz.

Rıza aynı amaç veya amaçlar için olan tüm veri işleme aktivitelerini içermelidir. 

Veri işlemenin birden çok amacı varsa, rıza hepsi için verilmelidir.

Eğer veri sahibinin onayı elektronik yollarla bir talep sonrasında verilecekse, talebin açık, kısa olması ve verildiği hizmetin kullanımını gereksiz yere aksatmaması gerekir.”

Avrupa Birliği Adalet Divanı C-673/17 sayılı kararı 62. paragrafına atıf yapmıştır:

Bu nedenle, resital 32 de öngörüldüğü şekilde rıza; websitesine girildiğinde  bir kutucuk işaretleme  şeklinde olabilir. Ancak aynı hüküm gereğince önceden işaretlenmiş kutucukların işaretlenmesi veya hareketsizliğin rıza sayılamayacağı öngörülmüştür.”

Tüm bu düzenlemeler ve kararlar göz önüne alındığında internet sitesinde alınacak rıza eğer söz konusu veri işlemeden kaçınma imkanı sunmuyorsa özgürce verilmiş bir açık rızadan bahsedilemez. 

Somut olayda  Website ziyaretçilerinin onayı, veri işlemeye dair özgürce verilmiş bir onaya ilişkin  varsayıma dayanmaktadır, “Gönüllülüğe dayanan” bir rıza mevcut değildir.

  • Çerez Aydınlatma Metnindeki Hukuka Aykırılıklar 

Çerez Çözümleme” metninde yer alan “ Gerekli veri işlemeler açık rıza veya özel durumlarda meşru menfaate dayanarak işlenebilecektir.” şeklindeki ifadeyi GDPR Art. 12’ye göre “şeffaflık ilkesine aykırı” ve “ziyaretçiler tarafından anlaşılması zor” olarak değerlendirmiştir. 

DPA’nın görüşüne göre rıza metni yalnızca açık rıza alınan veri işlemeyi konu almalıdır. Bu nedenle veri sorumlusu açık rıza metninin içinde yer alan kişisel veri işleme temellerinin farkında olmalıdır. 

Çerez Ayarları içinde yer alan çerez çözümlemelerinin istatistik ve pazarlama ile ilgili olanları için de ayrıca web sitesinin meşru menfaatlerine itiraz etme imkanı sunulması gerektiğini çünkü veri işleme esaslarının aslında web sitesinin istatistik ve pazarlama ile ilgili kişisel verileri işlemesinin temelini oluşturduğunu eklemiştir. 

  • Sonuç

DPA Çerezler hakkındaki görüşlerinin bir kısmını şu şekilde açıklamıştır;

  • İnternet sitesinde yer alacak çerez onay metinleri çerez aydınlatmayla birebir uyum içinde  olmalı.
  • Veri işleme amaçlarını şeffaflık ilkesi çerçevesinde , açıkça ve şüpheye yer bırakmayacak şekilde ziyaretçilere ifade etmelidir. 
  • Bir ziyaretçiden alınacak çerez onayı, aktif bir hareketle ziyaretçinin onaylayabileceği şekilde yazılmalıdır. Pasif kalınması  seçeneğinin bulunması veya onay verilmeden sitede dolaşıma devam edilmesi hallerinde ziyaretçinin açık rızasının varlığına dair bir varsayım yapılması GDPR ilkelerine aykırılık teşkil edecektir. 

 

İlgili Görüş Yazısı Orijinal Metni:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/dec/ny-afgoerelse-ugyldigt-samtykke-paa-hjemmeside 

 Diğer Görüş ve Makalelerimiz:

https://www.eralp.av.tr/category/yayinlar/makaleler/

Kamera ile İzlenme Hakkında İtalyan Veri Koruma Otoritesinin Görüşü Hakkında Makale için:

Kamera İle İzleme Hakkında İtalyan Veri Koruma Otoritesinin Yayınladığı Görüş