Anasayfa/ Makale/ Dijital Platformlarda Veri, Çerezler ve İlgili Kişi Hakları

Dijital Platformlarda Veri, Çerezler ve İlgili Kişi Hakları

Dijital platformlarda yurt dışına kişisel veri aktarımı, çerez kullanımı ve KVKK ile GDPR kapsamında ilgili kişi hakları hukuki boyutlarıyla ele alınmaktadır. Özellikle 12 Mart 2024 KVKK değişiklikleri sonrasında veri aktarım kuralları ve çerezler aracılığıyla işlenen verilere dair aydınlatma ile rıza mekanizmaları detaylandırılmaktadır.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA GDPR (GENEL VERİ KORUMA TÜZÜĞÜ) UNUTULMA HAKKI KVKK

Dijitalleşmenin hız kazanmasıyla birlikte, dijital platformlar üzerinden gerçekleştirilen kişisel veri işleme faaliyetleri küresel bir boyut kazanmıştır. Bu durum, özellikle yurt dışına veri aktarımı, kullanıcıların çevrimiçi hareketlerini izleyen çerez teknolojileri ve veri sahiplerine tanınan ilgili kişi hakları konularında kapsamlı hukuki değerlendirmeleri zorunlu kılmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde, veri sorumlusu konumundaki platformların bu süreçleri hukuka uygun ve şeffaf bir şekilde yürütmesi gerekmektedir. Kullanıcıların verileri üzerinde kontrol sahibi olmasını sağlayan hukuki mekanizmalar, temel hak ve hürriyetlerin ihlallerinin önüne geçilmesi adına büyük önem taşımaktadır. İşbu hukuki incelemede, platformların sınır ötesi veri akışını nasıl hukuka uygun sağladığı, çerezler vasıtasıyla yürütülen veri işleme pratiklerinin yasal sınırları ve veri öznelerinin sahip olduğu haklar detaylı olarak ele alınacaktır.

Yurt Dışına Kişisel Veri Aktarımı Kuralları

12 Mart 2024 tarihinde yürürlüğe giren yeni mevzuat değişiklikleri ile yurt dışına veri aktarımı rejimi baştan aşağı yenilenmiş ve GDPR'a benzer aşamalı, esnek bir sisteme geçilmiştir. Değişiklik öncesinde ağırlıklı olarak açık rıza veya Kurul onaylı taahhütnamelere dayanan kısıtlayıcı sistem, dijital platformların küresel operasyonlarında tıkanıklıklara yol açmaktaydı. Yeni hukuki düzenlemeyle birlikte aktarım için öncelikle yeterlilik kararı aranmaktadır. Eğer aktarım yapılacak ülke, uluslararası kuruluş veya ilgili sektör için Kurul tarafından verilmiş bir yeterlilik kararı bulunmuyorsa, uygun güvencelere dayalı aktarım mekanizmaları devreye girmektedir. Bu güvenceler arasında, çok uluslu grup şirketleri için tasarlanan bağlayıcı şirket kuralları ve taraflar arasında akdedilen, Kurul'a bildirim zorunluluğu bulunan standart sözleşmeler öne çıkmaktadır. Platformların, yurt dışı tabanlı bulut sunucuları kullanması durumunda dahi bu aktarım kurallarına riayet etmesi gerekmektedir.

Çerezler (Cookies) Aracılığıyla Kişisel Veri İşlenmesi

Çerezler, internet sitelerinin kullanıcıların cihazlarını tanımasını ve çevrimiçi tercihlerini hatırlamasını sağlayan, HTTP protokolü kapsamında iletilen metin parçacıklarıdır. Dijital platformlar, sundukları deneyimi kişiselleştirmek ve davranışsal profilleme yapmak amacıyla işlevsel, analitik veya reklam amaçlı çerezlere başvurmaktadır. Kişisel Verileri Koruma Kurulu’nun yayımladığı güncel rehberler ışığında, bir platformun düzgün çalışması için teknik olarak zorunlu olan kesinlikle gerekli çerezler haricindeki tüm çerez kullanımları için kullanıcıların açık rızasının alınması yasal bir zorunluluktur. Ayrıca, çerezler vasıtasıyla işlenen verilerin doğası gereği, kullanıcıların bu rızayı özgür iradeleriyle verebilmesi ve istedikleri zaman yönetebilmesi için şeffaf bir çerez paneli sunulmalıdır. Önceden işaretlenmiş onay kutucukları (opt-out) veya temel hizmetin sunulmasını doğrudan çerez onayına bağlayan rıza dayatmaları, hukuka aykırı kabul edilmektedir.

KVKK ve GDPR Kapsamında İlgili Kişi Hakları

Veri koruma hukukunun temel gayesi, bireylerin kendi kişisel verileri üzerinde hukuki söz sahibi olmasını temin etmektir. KVKK’nın 11. maddesi uyarınca veri özneleri; kişisel verilerinin işlenip işlenmediğini öğrenme, erişim hakkı, verilerin amacına uygun kullanılıp kullanılmadığını sorgulama ve aktarıldığı üçüncü kişileri bilme haklarına mutlak surette sahiptir. Eksik veya hatalı işlenen veriler için düzeltme hakkı ve yasal şartların oluşması durumunda silme hakkı da kanunla teminat altına alınmıştır. Bu hakların kullanımı için veri sorumlularının Türkçe dilinde başvuru kabul etmesi ve talepleri en geç otuz gün içinde etkin bir şekilde yanıtlaması emredici bir kuraldır. Özellikle küresel ölçekli dijital platformların, kullanıcı başvurularını yasal sürelere uygun yönetmek adına özel ve erişilebilir iletişim sistemleri geliştirmesi, şeffaflık ilkesinin yerine getirilmesi için kritik bir adımdır.

Unutulma ve Veri Taşınabilirliği Haklarının Değerlendirilmesi

İlgili kişi haklarının dijital çağdaki en önemli yansımalarından biri unutulma hakkı ve veri taşınabilirliği hakkı olarak karşılık bulmaktadır. KVKK metninde doğrudan unutulma hakkı ibaresi yer almasa da bu hak, Yargıtay ve Anayasa Mahkemesi kararları ile silme hakkı bağlamında içtihatlarla şekillenmiştir. Bireyler, geçmişte hukuka uygun yayınlanmış ancak zamanla güncelliğini ve kamu yararını yitirmiş bilgilerin arama motoru indekslerinden çıkarılmasını talep edebilmektedir. Veri taşınabilirliği ise GDPR'da açıkça düzenlenmiş olmasına rağmen KVKK'da yer almayan, ancak sektörel bazda elektronik ticaret düzenlemeleriyle e-pazaryerlerinde dolaylı olarak uygulama alanı bulan yenilikçi bir haktır. Aşağıdaki tabloda dijital platformların sıklıkla karşılaştığı söz konusu temel hak farklılıkları özetlenmektedir:

Hak Kategorisi KVKK Kapsamı GDPR Kapsamı
Silme ve Unutulma Hakkı Silme ve yok etme hakkı kanunda var, unutulma hakkı yargı içtihatları ve Kurul kararlarıyla uygulanır. Hem silme hakkı hem de unutulma hakkı ayrıntılı ve açıkça düzenlenmiştir.
Veri Taşınabilirliği Hakkı Kanunda açık bir düzenleme bulunmamakla birlikte sektörel ticari mevzuatta yansımaları mevcuttur. İlgili kişinin verilerini yapılandırılmış formatta başka platforma taşıma hakkı vardır.
Otomatik Kararlara İtiraz Otomatik sistemlerle analiz sonucu kişinin aleyhine çıkan neticeye itiraz hakkı mevcuttur. Profilleme dâhil olmak üzere otomatik karar alma süreçlerine ilişkin genel itiraz hakkı vardır.
Siteye girince çerezleri kabul etmeden kullanamıyorum, bu yasal mı? expand_more
Hayır, dijital platformların sundukları temel hizmeti doğrudan çerez onayına bağlayan rıza dayatmaları hukuka aykırı kabul edilmektedir. Platformun düzgün çalışması için teknik olarak zorunlu olan kesinlikle gerekli çerezler dışında kalan tüm çerez kullanımları (örneğin davranışsal profilleme veya reklam) için sizin özgür iradenizle açık rıza vermeniz şarttır. Ayrıca, sitelerin bu tercihleri istediğiniz zaman yönetebilmeniz için şeffaf bir çerez paneli sunması ve önceden işaretlenmiş onay kutucukları (opt-out) kullanmaması yasal bir zorunluluktur.
Şirket verilerimizi yabancı bir bulut sunucusuna yüklememiz yasal mı? expand_more
Evet yasaldır, ancak dijital platformların yurt dışı tabanlı bulut sunucuları kullanması durumunda 12 Mart 2024 tarihli yeni mevzuat değişikliklerine riayet etmesi zorunludur. Bu yeni hukuki düzene göre yurt dışına veri aktarımında öncelikle Kurul tarafından verilmiş bir yeterlilik kararı aranmaktadır. Eğer aktarım yapılacak ülke veya sektör için böyle bir karar yoksa, bağlayıcı şirket kuralları veya Kurul'a bildirimi zorunlu olan standart sözleşmeler gibi uygun güvencelere dayalı mekanizmaların işletilmesi gerekmektedir.
Yıllar önceki eski haberlerimi arama motorlarından sildirebilir miyim? expand_more
Evet, bireylerin kendi kişisel verileri üzerinde söz sahibi olmasını sağlayan unutulma hakkı kapsamında bu talebi ileri sürebilirsiniz. KVKK metninde doğrudan unutulma hakkı ibaresi yer almasa da, Anayasa Mahkemesi ve Yargıtay içtihatlarıyla bu durum silme hakkı bağlamında hukuki bir güvenceye kavuşturulmuştur. Geçmişte hukuka uygun yayınlanmış olsa dahi zamanla güncelliğini ve kamu yararını yitirmiş bilgilerin arama motoru indekslerinden çıkarılmasını talep etme hakkınız yasal olarak mevcuttur.
Bir siteye kişisel verilerim için başvurduğumda cevap süresi nedir? expand_more
Veri sorumlusu konumundaki dijital platformlar, kişisel verilerinizin silinmesi, düzeltilmesi veya işlenip işlenmediğinin sorgulanması gibi ilgili kişi başvurularınızı en geç otuz gün içinde etkin bir şekilde yanıtlamak zorundadır. Bu yükümlülük, şeffaflık ilkesinin yerine getirilmesi adına kanunla getirilmiş emredici bir kuraldır. Ayrıca, platformların küresel ölçekli faaliyet göstermesi fark etmeksizin bu talepleri karşılamak için Türkçe dilinde başvuru kabul etmeleri gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir