Web siteniz şirketinizin yüzüdür ve kullanıcı etkileşiminin ilk yeri olacaktır. İnternet siteleri üzerinden çok fazla miktarda kişisel veri toplanılmaktadır ve bu sebeple internet sitelerinde kaçınılmaz bir şekilde kişisel veri işlenmesi göz önüne alındığında internet site tasarımının belirli bir hukuki zemine oturtma gereği ortaya çıkmıştır. Web sitesi KVKK kapsamında uyumlu bir biçimde tasarlanması gerekmektedir. Kişisel Verileri Koruma Kurulu’nun internet sitesi faaliyetleri çerçevesinde birçok aykırılık tespiti bulunmaktadır ve bu tespitler neticesinde KVVK kapsamında internet sitesinde bulunması gereken temel ögeleri sizlere aktarmak isteriz.
Web Sitesi KVKK Uyum, İlgili Kişinin Açık Rızasının Alınması
Kişisel verinin işlenebilmesi için öncelikle ilgili kişinin açık rızasına duyulup duyulmadığını ve bu kapsamda KVKK’nın 5. ve 6. maddesinde sayılan veri işleme şartları ile kişisel verinin işleneceği iş sürecinin karşılaştırılması gereklidir KVKK’nın 5. ve 6. maddelerde öngörülen diğer şartların karşılanamaması durumunda son çare olarak açık rıza alma şartı gündeme gelecektir.
Açık rızaya dayalı bir biçimde veri işlenirken; veri sahiplerinin veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı, kişisel veri toplamanın yöntemi ve hukuki sebebi ve veri sahibinin hakları konularında veri sorumlusu tarafından bilgilendirme sağlanmalıdır. Ayrıca veri giriş alanlarında konumlandırılacak olan açık rızaların aydınlatmalardan/katmanlı aydınlatmalardan ayrı tutulması gereklidir.
Açık rıza ile ilgili unutulmaması gereken en önemli husus, veri işlemeye başlamadan önce kişilerin açık rızasının alınması gerekliliğidir. Veri işleme faaliyeti başladıktan sonra açık rıza alınması hukuka aykırılık teşkil edecektir. Aynı zamanda açık rıza vermek, kişiye bağlı bir hak olması sebebiyle verilen açık rıza geri alınabilir ve geri alma beyanı veri sorumlusuna ulaştığı andan itibaren hüküm ifade eder.
KVKK uyumlu bir web sitesinde açık rıza ilgili kişinin özgür iradesi ile alınmalıdır. Bu kapsamda açık rıza metninde ilgili kişinin iradesini sakatlayıcı yer alan ifadelerden (örn: açık rıza vermezseniz hizmeti alamazsınız, üye olamazsınız vb.) kaçınılması gereklidir. Bu bağlamda Kişisel Verileri Koruma Kurulu’nun görüşleri çok net olup birçok kararında, sağlanacak hizmeti açık rıza şartına bağlayan veri sorumlularına idari yaptırımlar uygulanmasına karar verirmiştir.
Son olarak her ne kadar KVKK’nın 5. veya 6. maddesinde bulunan şartlar çerçevesinde veri işleme faaliyeti gerçekleştirilse de Kişisel Verilerin Korunması Kanunu’nun 4.maddesi göz ardı edilmemelidir. Veri işleme dayanağı bulunmasına rağmen KVKK’nın “Genel İlkeler” başlığı altında çizilen sınırların aşılmaması önem arz etmektedir
Aydınlatma ve Katmanlı Aydınlatma Metinlerinin Konumlandırılması
Veri sorumlusunun aydınlatma yükümlülüğü Kişisel Verilerin Koruma Kanunu’nun 10. maddesinde açıklanmıştır. Buna göre kişisel veri işleyen veri sorumlusu , aydınlatma yükümlülüğünü yerine getirmek zorundadır. Kişisel Verileri Koruma Kurulu , 26/07/2018 tarihli ve 2018/90 “Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” verdiği kararda “aydınlatma yükümlülüğünün yerine getirilmesindeki amaç kişisel verilerin işlenmesi noktasında ilgili kişinin bilgi sahibi olmasının temin edilmesidir.” ifadesine yer vermiştir. Aydınlatma yükümlülüğü kapsamında , veri sorumlusunca yapılacak bilgilendirmede; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve KVKK’nın 11. maddesinde sayılan ilgili kişinin hakları gibi asgari temel bilgiler içermesi gerekmektedir:
Her veri giriş kanalında kişisel veri işleme faaliyet ilişkin uzun ve detaylı bilgiler içeren aydınlatma metinlerin konumlandırılması hem veri sorumlusu hem de ilgili kişi açısından zorluk teşkil edecektir. Bu kapsamda aydınlatma metinleri yerine katmanlı aydınlatma metinleri gündeme gelecektir. Katmanlı aydınlatma, kişisel verilerin elde edilmesi sırasında ilgili kişiye, kişisel verilerinin elde edildiği konusunda ön bilgilendirme yapılarak, ilgili kişinin Kişisel Verilerin Korunması Kanunu’nun 10. maddesine uygun aydınlatmaya yönlendirilmesini sağlamaktadır. Daha farklı bir ifade ile katmanlı aydınlatma, asıl aydınlatmaya yönlendirmeyi sağlayan veri sorumlusunun kimliği ve veri islemenin amacı gibi veri işleme faaliyetine ilişkin temel bilgilendirmeler içeren ön aydınlatmalardır.
Her ne kadar KVKK’nın 5. ve 6. maddeleri kapsamında veri işleme dayanağı mevcut olsa da kişisel verilerin elde edilmesi sırasında veri giriş alanlarına aydınlatma/katmanlı aydınlatmaların konumlandırılması gerekliliğini sizlere tekrardan hatırlatmak isteriz.
Çerez Kullanımı ve Çerez Tercih Paneli
Kişisel Verileri Koruma Kurumu tarafından, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir doküman oluşturulması amacıyla Çerez Uygulamaları Hakkında Rehber Taslağı (“Rehber“) hazırlanmış, bu Rehber’de çerez türlerine yer verilmiş ve açık rıza gerektiren çerez kullanım senaryoları ile açık rıza gerektirmeyen çerez kullanım senaryolarına detaylı bir şekilde ele alınmıştır. Rehber, internet sitesinin işleyişi için mutlaka gerekli çerezler ile internet sitesinin güvenliğini ya da işlevselliğini arttıran çerezlerin açık rıza alınmadan kullanılabileceğini fakat internet sitesi kullanımını analiz eden ya da reklamcılık amaçlı bilgi toplayan birinci veya üçün taraf çerezlerin (örn: Google Analytics’in _gid, _ga _gat,_utma,__utmt,__utmz, __utmv, __utmx,_opt_awkid,_opt_utmc çerezleri) kullanımının açık rıza alınması gerektiğini ifade etmektedir.
Web sitesinde açık rızaya ihtiyaç duyulmayan çerezler kullanılsa dahi açık rızadan bağımsız olarak en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Daha farklı bir ifade ile çerez kullanımına ilişkin aydınlatma metninin ilgili kişiye internet sitesine giriş anında sunulması gereklidir. Böylelikle aydınlatma yükümlülüğü, en geç kişisel verilerin işlenmesi sırasında yerine getirilecektir.
Bu yazımızda, bir web sitesi KVKK uyum çalışmaları ile yapılacak işlemlerin ana hatlarını çizmiş bulunmaktayız. İnternet sitesinde KVKK uyumunun nasıl sağlanabileceği konusunda belirli sonuçlara ulaşmış olsak da kesin ve isabetli tespitlerin yapılabilmesi adına her somut olayın taşıdığı koşullar çerçevesinde özel olarak değerlendirilmesi gereklidir.
Kaynak: Veri sorumlusu tarafından aydınlatma yükümlülüğü ve açık rıza onayı alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiği ile ilgili” Kişisel Verileri Koruma Kurulunun 26/07/2018 tarihli ve 2018/90 sayılı Karar Özeti https://www.kvkk.gov.tr/Icerik/5420/2018-90
Ayrıca bakınız; Veri Mahremiyeti (PbD) Nasıl Tasarlanır?
