Dijital Platformlarda Veri, Çerezler ve İlgili Kişi Hakları

Dijitalleşmenin hız kazanmasıyla birlikte, dijital platformlar üzerinden gerçekleştirilen kişisel veri işleme faaliyetleri küresel bir boyut kazanmıştır. Bu durum, özellikle yurt dışına veri aktarımı, kullanıcıların çevrimiçi hareketlerini izleyen çerez teknolojileri ve veri sahiplerine tanınan ilgili kişi hakları konularında kapsamlı hukuki değerlendirmeleri zorunlu kılmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde, veri sorumlusu konumundaki platformların bu süreçleri hukuka uygun ve şeffaf bir şekilde yürütmesi gerekmektedir. Kullanıcıların verileri üzerinde kontrol sahibi olmasını sağlayan hukuki mekanizmalar, temel hak ve hürriyetlerin ihlallerinin önüne geçilmesi adına büyük önem taşımaktadır. İşbu hukuki incelemede, platformların sınır ötesi veri akışını nasıl hukuka uygun sağladığı, çerezler vasıtasıyla yürütülen veri işleme pratiklerinin yasal sınırları ve veri öznelerinin sahip olduğu haklar detaylı olarak ele alınacaktır.

Yurt Dışına Kişisel Veri Aktarımı Kuralları

12 Mart 2024 tarihinde yürürlüğe giren yeni mevzuat değişiklikleri ile yurt dışına veri aktarımı rejimi baştan aşağı yenilenmiş ve GDPR'a benzer aşamalı, esnek bir sisteme geçilmiştir. Değişiklik öncesinde ağırlıklı olarak açık rıza veya Kurul onaylı taahhütnamelere dayanan kısıtlayıcı sistem, dijital platformların küresel operasyonlarında tıkanıklıklara yol açmaktaydı. Yeni hukuki düzenlemeyle birlikte aktarım için öncelikle yeterlilik kararı aranmaktadır. Eğer aktarım yapılacak ülke, uluslararası kuruluş veya ilgili sektör için Kurul tarafından verilmiş bir yeterlilik kararı bulunmuyorsa, uygun güvencelere dayalı aktarım mekanizmaları devreye girmektedir. Bu güvenceler arasında, çok uluslu grup şirketleri için tasarlanan bağlayıcı şirket kuralları ve taraflar arasında akdedilen, Kurul'a bildirim zorunluluğu bulunan standart sözleşmeler öne çıkmaktadır. Platformların, yurt dışı tabanlı bulut sunucuları kullanması durumunda dahi bu aktarım kurallarına riayet etmesi gerekmektedir.

Çerezler (Cookies) Aracılığıyla Kişisel Veri İşlenmesi

Çerezler, internet sitelerinin kullanıcıların cihazlarını tanımasını ve çevrimiçi tercihlerini hatırlamasını sağlayan, HTTP protokolü kapsamında iletilen metin parçacıklarıdır. Dijital platformlar, sundukları deneyimi kişiselleştirmek ve davranışsal profilleme yapmak amacıyla işlevsel, analitik veya reklam amaçlı çerezlere başvurmaktadır. Kişisel Verileri Koruma Kurulu’nun yayımladığı güncel rehberler ışığında, bir platformun düzgün çalışması için teknik olarak zorunlu olan kesinlikle gerekli çerezler haricindeki tüm çerez kullanımları için kullanıcıların açık rızasının alınması yasal bir zorunluluktur. Ayrıca, çerezler vasıtasıyla işlenen verilerin doğası gereği, kullanıcıların bu rızayı özgür iradeleriyle verebilmesi ve istedikleri zaman yönetebilmesi için şeffaf bir çerez paneli sunulmalıdır. Önceden işaretlenmiş onay kutucukları (opt-out) veya temel hizmetin sunulmasını doğrudan çerez onayına bağlayan rıza dayatmaları, hukuka aykırı kabul edilmektedir.

KVKK ve GDPR Kapsamında İlgili Kişi Hakları

Veri koruma hukukunun temel gayesi, bireylerin kendi kişisel verileri üzerinde hukuki söz sahibi olmasını temin etmektir. KVKK’nın 11. maddesi uyarınca veri özneleri; kişisel verilerinin işlenip işlenmediğini öğrenme, erişim hakkı, verilerin amacına uygun kullanılıp kullanılmadığını sorgulama ve aktarıldığı üçüncü kişileri bilme haklarına mutlak surette sahiptir. Eksik veya hatalı işlenen veriler için düzeltme hakkı ve yasal şartların oluşması durumunda silme hakkı da kanunla teminat altına alınmıştır. Bu hakların kullanımı için veri sorumlularının Türkçe dilinde başvuru kabul etmesi ve talepleri en geç otuz gün içinde etkin bir şekilde yanıtlaması emredici bir kuraldır. Özellikle küresel ölçekli dijital platformların, kullanıcı başvurularını yasal sürelere uygun yönetmek adına özel ve erişilebilir iletişim sistemleri geliştirmesi, şeffaflık ilkesinin yerine getirilmesi için kritik bir adımdır.

Unutulma ve Veri Taşınabilirliği Haklarının Değerlendirilmesi

İlgili kişi haklarının dijital çağdaki en önemli yansımalarından biri AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı ve veri taşınabilirliği hakkı olarak karşılık bulmaktadır. KVKK metninde doğrudan AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı ibaresi yer almasa da bu hak, Yargıtay ve Anayasa Mahkemesi kararları ile silme hakkı bağlamında içtihatlarla şekillenmiştir. Bireyler, geçmişte hukuka uygun yayınlanmış ancak zamanla güncelliğini ve kamu yararını yitirmiş bilgilerin arama motoru indekslerinden çıkarılmasını talep edebilmektedir. Veri taşınabilirliği ise GDPR'da açıkça düzenlenmiş olmasına rağmen KVKK'da yer almayan, ancak sektörel bazda elektronik ticaret düzenlemeleriyle e-pazaryerlerinde dolaylı olarak uygulama alanı bulan yenilikçi bir haktır. Aşağıdaki tabloda dijital platformların sıklıkla karşılaştığı söz konusu temel hak farklılıkları özetlenmektedir:

Hak Kategorisi	KVKK Kapsamı	GDPR Kapsamı
Silme ve AYM Perspektifiyle)">AYM Perspektifiyle)">Unutulma Hakkı	Silme ve yok etme hakkı kanunda var, AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı yargı içtihatları ve Kurul kararlarıyla uygulanır.	Hem silme hakkı hem de AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı ayrıntılı ve açıkça düzenlenmiştir.
Veri Taşınabilirliği Hakkı	Kanunda açık bir düzenleme bulunmamakla birlikte sektörel ticari mevzuatta yansımaları mevcuttur.	İlgili kişinin verilerini yapılandırılmış formatta başka platforma taşıma hakkı vardır.
Otomatik Kararlara İtiraz	Otomatik sistemlerle analiz sonucu kişinin aleyhine çıkan neticeye itiraz hakkı mevcuttur.	Profilleme dâhil olmak üzere otomatik karar alma süreçlerine ilişkin genel itiraz hakkı vardır.

Makale