Anasayfa/ Makale/ Kişisel Verilerin Karşı Edim Niteliği ve Rıza...

Makale

Elektronik ticaret platformlarında alıcıların kişisel verileri, platform kullanımına karşılık bir karşı edim niteliği taşımaktadır. Bu makalede, kişisel verilerin borçlar hukuku bağlamında karşı edim olarak kabulü, açık rıza mekanizmasının hukuki sınırları, battaniye rıza yasağı ve rıza yorgunluğu gibi güncel hukuki sorunlar incelenmektedir.

Kişisel Verilerin Karşı Edim Niteliği ve Rıza Mekanizması

AÇIK RIZA

Günümüzde elektronik ticaret platformları, kullanıcılarına sundukları dijital hizmetlerin ve altyapının karşılığında genellikle doğrudan bir maddi ücret talep etmemekte; bunun yerine alıcıların kişisel verilerinin işlenmesine rıza göstermesini sözleşmenin temel şartı haline getirmektedir. Bu durum, hukuk dünyasında kişisel verilerin salt bir kişilik hakkı unsuru olmaktan çıkarak, aynı zamanda ekonomik değeri haiz bir karşı edim olarak değerlendirilmesi sonucunu doğurmuştur. Alıcı, platformda kendisine sunulan kişisel hesap, güvenli alışveriş ortamı ve diğer imkânlardan yararlanabilmek için sözleşmesel bir borç altına girerek verilerinin işlenmesine yasal çerçevede onay vermektedir. Bir hukuki işlemin kurulabilmesi ve geçerli olabilmesi için aranan temel şartlar, bu yeni nesil üyelik sözleşmeleri bakımından da titizlikle ele alınmalıdır. Borçlar hukuku prensipleri ve kişisel verilerin korunması mevzuatı ışığında, kişisel verilerin bir ödeme aracı gibi sözleşmeye konu edilmesi, rıza mekanizmasının sınırları ve alıcının fiil ehliyeti gibi meseleler, uygulamada karşılaşılan temel hukuki uyuşmazlıkların merkezinde yer almaktadır.

Karşı Edim Olarak Kişisel Veriler ve Fiil Ehliyeti

Elektronik pazar yeri ekosisteminde alıcı tarafını oluşturan üyelik sözleşmelerinde, aracı hizmet sağlayıcıların sunduğu platform kullanımına karşılık alıcının asli edim yükümlülüğü, talep edilen kişisel verilerinin işlenmesine rıza göstermektir. Kişisel veriler doğrudan insanın fiziki ve manevi kişiliğiyle sıkı sıkıya bağlantılı olsa da, günümüz dijital ekonomisinde bu verilerin kolaylıkla maddi bir değere çevrilmesi mümkündür. Söz konusu ekonomik değer, kişisel verilerin borçlandırıcı hukuki işlemlere konu edilmesine, dolayısıyla borçlar hukuku anlamında geçerli bir karşı edim olarak kabul edilmesine hukuki bir engel teşkil etmemektedir. Alıcının bu sözleşme kapsamında kişisel verilerini paylaşmayı bir borç olarak üstlenmesi, onun hukuken geçerli bir irade beyanında bulunmasını gerektirir. Bu noktada alıcının, yaptığı işlemin sonuçlarını kavrayabilecek düzeyde ayırt etme gücüne ve yasal olarak fiil ehliyetine sahip olması zorunludur. Türk hukukunda, kişisel verilerin ticari bir sözleşmeye konu edilmesi bağlamında özel bir yaş sınırı öngörülmediğinden, kişinin kendi verilerini bir karşı edim olarak sunabilmesi için kural olarak on sekiz yaşını doldurmuş ve ergin olması aranmalıdır. Aksi takdirde, yasal temsilcisinin onayı bulunmaksızın küçüğün kurduğu üyelik sözleşmesi askıda hükümsüzlük yaptırımı ile karşılaşacaktır.

Açık Rıza Mekanizması ve Özgür İrade Unsuru

Kişisel verilerin bir karşı edim niteliğiyle işlenebilmesi, ancak veri sahibinin hukuka uygun bir açık rıza beyanında bulunmasıyla mümkündür. İlgili mevzuat uyarınca açık rıza; belirli bir konuya ilişkin, detaylı bilgilendirmeye dayanan ve mutlak surette özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. Sözleşmenin tarafı olan aracı hizmet sağlayıcılar, alıcılardan hangi kişisel verilerin, hangi spesifik amaçlarla işleneceği hususunda şeffaf bir aydınlatma yapmalı ve bu yasal çerçevede onay almalıdır. Uygulamada sıklıkla karşılaşılan en büyük hukuki problemlerden biri, alıcının kişisel verilerini paylaşmadan platformda herhangi bir işlem yapmasına izin verilmemesi durumudur. Alıcının sunulan asli hizmetten faydalanabilmesi için rıza göstermeye adeta mecbur bırakılması, özgür irade unsurunu temelinden zedelemektedir. Gönüllülük esasına dayanmayan, hizmetin verilmesinin mutlak bir ön şartı olarak dayatılan bu tür rıza beyanları, hukuken gerçek ve geçerli bir açık rıza olarak nitelendirilemez. Dolayısıyla sırf hizmete erişimi engelleme tehdidiyle alınan onaylara dayanılarak yürütülen veri işleme faaliyetleri hukuka aykırı kabul edilmektedir.

Battaniye Rıza Yasağı ve Rıza Yorgunluğu

Üyelik sözleşmelerinde alıcının verilerinin işlenmesine onay vermesi, karşı tarafa her türlü veriyi zaman ve kapsam sınırı olmaksızın işleme hakkı tanımaz. Uygulamada sıklıkla karşılaşılan ve hukuken geçersiz kabul edilen battaniye rıza (blanket consent) uygulamaları, rıza mekanizmasının özüne aykırıdır. Kullanıcı deneyimini iyileştirmek veya gelecekteki olası araştırmalar gibi son derece soyut, ucu açık ve belirsiz ifadelerle alınan genel onaylar açık rıza vasfı taşımaz. Kişisel verilerin ancak açık, kesin ve meşru amaçlarla sınırlandırılmış şekilde işlenmesi temel bir yasal zorunluluktur.

Alıcıların rıza mekanizmasındaki haklarını ihlal eden başlıca hatalı uygulamalar şunlardır:

  • Sınırları çizilmemiş ve fazlasıyla genel ifadelerle veri işleme izni talep edilmesi.
  • Alıcının sürekli olarak karşısına çıkarılan karmaşık onay kutucuklarıyla rıza yorgunluğuna sürüklenmesi.
  • Rıza ve aydınlatma metinlerinin anlaşılması güç hukuki bir dille ve gereksiz uzunlukta hazırlanması.
  • Verilen rızanın geri alınmasının, rızanın verilmesi sürecinden çok daha zor bir prosedüre tabi tutulması.

Dijital platformlarda kullanıcıların önüne sürekli çıkan ve okumadan kabul etmeye zorlayan bu tür yönlendirici tasarımlar, kişide rıza yorgunluğu (consent fatigue) yaratarak özgür iradeyi sakatlamaktadır. Rıza yorgunluğu yaşayan alıcı, hukuki sonuçlarını değerlendirmeden sırf hizmete hızla ulaşabilmek adına otomatik bir onay vermekte; bu durum da kişisel verilerin korunması mevzuatının güvence altına almayı hedeflediği temel şeffaflık ilkelerini tamamen işlevsiz kılmaktadır.

4 dk okuma Yayınlanma: Güncelleme: