Makale
Elektronik ticarette kullanıcı deneyimini şekillendiren çerezler, ticari iletiler ve profilleme faaliyetleri, kişisel verilerin korunması hukuku açısından büyük önem taşır. Bu makalede, elektronik iletişim bağlamında veri işleme şartları, aydınlatma yükümlülükleri ve açık rıza gereksinimleri hukuki bir perspektifle incelenmektedir.
Çerezler, Ticari İletiler ve Profillemede
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte, elektronik ticaret faaliyetleri hayatımızın vazgeçilmez bir parçası haline gelmiştir. Bu ekosistemde kullanıcılara daha iyi hizmet sunmak, hedef kitleyi belirlemek ve pazarlama stratejilerini optimize etmek amacıyla çerezler, ticari elektronik iletiler ve profilleme teknolojileri yoğun olarak kullanılmaktadır. Ancak, teknolojik imkanların artmasıyla sınırları genişleyen veri işleme faaliyetleri, bireylerin özel hayatının gizliliği ve kişisel verilerin korunması bağlamında çeşitli hukuki durumları da beraberinde getirmektedir. Kişisel verilerin korunması mevzuatı ve elektronik ticaret kuralları, kullanıcı verilerinin şeffaf, ölçülü ve hukuka uygun bir şekilde işlenmesini temin etmek için çeşitli kurallar öngörmektedir. Özellikle kullanıcı hareketlerinin izlenmesi ve otomatik karar alma mekanizmaları ile bireylerin tüketim alışkanlıklarının analiz edilmesi, veri sorumlularına ciddi hukuki yükümlülükler yüklemektedir. Bu makale, veri gizliliği perspektifinden çerezlerin sınıflandırılması, ticari iletilerin hukuki şartları ve profilleme işlemlerinde dikkate alınması gereken yasal sınırları detaylandırmaktadır.
Profilleme ve Otomatik Karar Alma Mekanizmaları
Elektronik ticarette, devasa veri yığınlarının analiz edilmesiyle elde edilen büyük veri uygulamaları, şirketlere önemli rekabet avantajları sağlamaktadır. Bu veriler kullanılarak gerçekleştirilen otomatik karar alma mekanizmaları, insan müdahalesi olmaksızın yapay zeka algoritmaları desteğiyle sonuçlar üreten sistemlerdir. Profilleme ise bireylerin kişisel özelliklerini, ekonomik durumlarını veya tüketim tercihlerini tahmin etmek amacıyla kişisel verilerin otomatik olarak işlenmesidir. Yasal mevzuat kapsamında, verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucunda kişinin aleyhine bir durum ortaya çıkması halinde, ilgili kişinin itiraz etme hakkı bulunmaktadır. Bireylerin farkındalığı olmaksızın haklarında değerlendirmeler yapılması, kişilik haklarına doğrudan bir müdahale teşkil edebileceğinden, bu işlemler hukuki bir temel çerçevesinde, ölçülülük ilkesine uygun ve şeffaf bir şekilde yürütülmelidir. Ayrıca uluslararası alanda uygulanan Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında da kişilerin profilleme dahil olmak üzere otomatik karar alma süreçlerine konu olmayı reddetme hakkı açıkça güvence altına alınmıştır.
Ticari Elektronik İletiler ve Hukuki Sınırları
İşletmelerin kendilerini, mal veya hizmetlerini tanıtmak amacıyla elektronik iletişim kanalları üzerinden gönderdikleri içerikler, ticari elektronik ileti olarak adlandırılmaktadır. İlgili yasal düzenlemeler ve yönetmelikler uyarınca, kural olarak bu iletilerin gönderilebilmesi için alıcıdan önceden açık rıza alınması zorunludur. Türkiye’deki hukuki düzenlemelerde uygulanan önceden onay sistemi, kullanıcıların ticari mesaj trafiği üzerinde kontrol sahibi olmasını amaçlar. Alınan onayların hukuken geçerli olabilmesi için, yasal süresi içinde İleti Yönetim Sistemi veri tabanına kaydedilmesi gerekmektedir. Ayrıca, mobil uygulamalar üzerinden kullanıcılara gönderilen anlık bildirim mesajları da ticari bir pazarlama amacı taşıdığında mevzuat gereği ticari elektronik ileti statüsünde kabul edilmektedir. Veri sorumluları, kullanıcılara diledikleri zaman ve hiçbir gerekçe göstermeksizin bu iletileri almayı reddetme hakkı sunmakla yükümlüdür. Esnaf ve tacirlere gönderilecek iletilerde ise istisnai olarak sonradan ret etme sistemi geçerli olsa da, gönderim öncesinde ulusal sistem üzerinden alıcının ret hakkını kullanıp kullanmadığının kontrol edilmesi zorunludur.
Çerez (Cookie) Türleri ve Aydınlatma Yükümlülüğü
İnternet siteleri tarafından kullanıcıların cihazlarına yerleştirilen ve bilgi paylaşımını sağlayan metin dosyaları olan çerez kullanımı, elektronik ticaret platformlarında hedef tüketicileri saptamak ve kişiselleştirilmiş reklamlar sunmak için benimsenmektedir. Ancak çerezlerin çalışması, kullanıcıların internet üzerindeki hareketlerini izlediği için kişisel verilerin işlenmesi faaliyeti anlamına gelir ve sıkı hukuki kurallara tabidir. Çerezler, yasal yönlendirmeler doğrultusunda kullanım amaçlarına, taraflarına ve sürelerine göre çeşitli gruplara ayrılmaktadır. Örneğin, kullanıcıların siteler arası geçişlerini takip ederek profil çıkaran ve davranışsal reklamcılık amacıyla kullanılan reklam ve pazarlama çerezleri veya üçüncü taraflarca yerleştirilen çerezler, doğrudan ilgili kişinin açık rızasına tabidir. Diğer taraftan, çerez duvarı adı verilen ve siteye erişimi tüm çerezlerin zorunlu onayına bağlayan kısıtlayıcı uygulamalar, kullanıcının özgür iradesini sakatladığı gerekçesiyle hukuka aykırı kabul edilmektedir.
Aşağıda kullanım amaçlarına göre çerezlerin hukuki sınıflandırması yer almaktadır:
- Zorunlu Çerezler: İnternet sitesinin çalışması, form doldurma veya sepete ürün ekleme gibi temel fonksiyonlar için mecburi olup açık rıza aranmaksızın kullanılır.
- İşlevsel Çerezler: Kullanıcının dil veya bölge gibi tercihlerinin hatırlanmasını sağlar, kullanımı için genel kural olarak açık rıza alınması şarttır.
- Performans ve Analitik Çerezler: Ziyaretçi sayısının tespiti ve istatistiki ölçümler için kullanılır; kişisel veri eşleştirmesi yapılıyorsa açık rıza gerektirir.
- Reklam ve Pazarlama Çerezleri: Çevrimiçi hareketleri izleyerek kişiselleştirilmiş reklamlar sunar ve veri sorumlusunun meşru menfaatine dayandırılamayacağından mutlak surette ilgili kişinin açık rızasını gerektirir.
Veri sorumluları, dijital ortamdaki çerezleri hangi amaçla kullanırsa kullansın, ilgili kişiyi web sitesine ilk giriş anında mutlaka aydınlatmak zorundadır. Çerez aydınlatma yükümlülüğü yerine getirilirken, pop-up veya bant şeklinde yapılan bilgilendirmelerde çerezlerin isimleri, türleri, kullanım amaçları ve saklama süreleri açıkça belirtilmeli; daha kapsamlı bilgi için tam metin aydınlatma bildirimine yönlendirme sağlanmalıdır. Bunun yanı sıra, çerezlere onay verilmesi işlemi ile aydınlatma metninin okunup kabul edilmesi hususu aynı butona tıklama veya tek bir kutucuğu işaretleme eylemine bağlanmamalıdır. Bu hukuki işlemlerin kullanıcılara ayrı ayrı sunulması, bireylerin açık ve serbest iradesiyle tercih yapabilmesi ve rıza yorgunluğuna maruz bırakılmaması açısından oldukça kritiktir. İnternet sitesi işleticileri ile üçüncü taraf çerez sağlayıcıları, yasal koruma mekanizmaları çerçevesinde müşterek veri sorumlusu sıfatıyla hareket ettiklerinden, tasarımda gizlilik ilkesi gereği mevzuata eksiksiz uyum sağlamalıdır.