Bir web sitesi sahibiyseniz, site ziyaretçilerine sunmanız gereken bazı sözleşme ve politikalar söz konusudur. Bu metinler sitenizin amacı ve faaliyet alanınıza göre farklılık göstermektedir. Örneğin üye kaydı almayan bir blog sitesi ile üye kaydı alan bir sosyal medya sitesinin hukuki metin ihtiyaçları farklı olacaktır.
Bazı metinler 6698 sayılı Kişisel Verilerin Korunması Kanunu nedeniyle zorunluyken bazı metinlerse General Data Protection Regulation (Genel Veri Koruma Regülasyonu, GDPR) nedeniyle oluşturulmalıdır.
Bu makalemizde web siteleri için ortak olarak hazırlanması gereken hukuki metinler üzerinde durduk. Örneğin bir e-ticaret sitesiyseniz “Mesafeli Satış Formu” ya da bir sosyal ağ iseniz “Kullanıcı Sözleşmesi” gibi metinlere de web sitenizde yer vermeniz gerekmektedir.
1. Gizlilik Politikası (Privacy Policy)
Web sitenizin faaliyet alanı ne olursa olsun bir gizlilik politikası hazırlamanız gerekmektedir. Bu politika, kullanıcıların kişisel verilerinin neden toplandığı, nasıl işlendiği, nasıl korunduğu ve hangi ortaklarla paylaşıldığına ilişkin genel bir metindir. Bu metin GDPR art. 30’da yer alan sorulara cevap verecek şekilde hazırlanmalıdır. Diğer bir ifadeyle gizlilik politikası dayanağını GDPR’dan alır.
Uygulamada yapılan en büyük hata ise Gizlilik Politikasının, 6698 sayılı Kanun m. 10’da ifade edilen “Aydınlatma Metni” ile karıştırılmasıdır. Gizlilik Politikası, KVKK’da bir yükümlülük olarak düzenlenen Aydınlatma Metni ile aynı şey olmayıp, Aydınlatma Metni’ne göre daha genel kapsamlıdır. Dolayısıyla GDPR’a uygun olarak hazırlanan bir Gizlilik Politikası, doğrudan doğruya KVKK yükümlülüğünün yerine getirilmesi anlamına GELMEMEKTEDİR.
Kişisel Verilerin Korunması Kurumu da 08.11.2019 tarihli duyurusunda bu hususa dikkat çekerek aydınlatma yükümlülüğünün GDPR nezdinde yerine getirildiğini belli eden ve doğrudan GDPR’a atıf yapan metinlerin, KVKK’ya karşı olan sorumluluğu ortadan kaldırmadığını ve söz konusu metnin KVKK’nın 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4 üncü maddesi hükümlerine uygun şekilde düzenlenmesi gerektiğini ifade etmiştir. (İlgili duyuruya ulaşmak için tıklayın.)
Web sitenizde yer alan metnin adının ne olduğundan ziyade içeriğinin ne olduğu önemlidir. Örneğin “KVKK Aydınlatma Metni” başlıklı bir metnin içeriği KVKK m. 10’a uygun olarak hazırlanmadıysa bu metin “genel nitelikte gizlilik politikası” olarak kabul edilecek ve KVKK m. 10’da yer alan aydınlatma yükümlülüğü yerine getirilmiş olarak kabul edilmeyecektir.
Sonuç olarak web sitesinde yer alması gereken Gizlilik Politikası, GDPR’a uyumluluk için gerekmekte olan ve GDPR m. 30’da yer alan hususlara cevap verilmesi gereken, KVKK’ya göre ise kişisel verilerin nasıl işlendiği hakkında genel olarak bilgi veren; bir olaya özgülenmemiş bir metindir.
2. Aydınlatma Metni
Aydınlatma Metni, dayanağını 6698 sayılı Kanun m. 10’dan alan, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 4’üncü maddesine uygun olarak hazırlanması gereken bir metindir.
Aydınlatma Metni, kişisel verilerin elde edilmesi sırasında, ilgili faaliyete ilişkin olarak hazırlanması gereken bir metindir. Örneğin uçak bileti almak amacıyla bir web sitesine giren kullanıcıya biletleme ekranında gösterilmesi gereken Aydınlatma Metni, uçak bileti alım işlemine özgülenmiş olmalıdır. Bu aşamada kullanıcıya gösterilen Aydınlatma Metni bilet alma işlemine özgü olmayıp genel bir Aydınlatma Metni ise, Tebliğ’e uygun olmayıp, KVKK’ya aykırılık oluşturacaktır.
Kişisel Verileri Koruma Kuruma da benzer olayda bir banka hakkında ihlal kararı vermiştir. Söz konusu olayda, kredi kartı başvurusu yapmak için web sitesinin ilgili kısmına giriş yaptıktan sonra kullanıcıya gösterilen Aydınlatma Metni’nin kredi kartı başvurusuna özgülenmemiş olduğu, gösterilen metnin genel bir aydınlatma metni olduğu tespit edilerek banka hakkında idari para cezası uygulanmıştır. (İlgili karara gitmek için tıklayın.)
3. Çerez Politikası (Cookie Policy)
Çerez Politikası, GDPR nezdinde hazırlanması gereken politikalardan biridir. Bu konuyla ilgili bilinen en büyük yanlışlardan birisi de şirket merkezinin ya da web sitesinin Avrupa Birliğinde olmaması nedeniyle bir Çerez Politikası hazırlamaya gerek olmadığı şeklindedir. Bu görüş, baştan sona yanılgıdır. Merkezin nerede olduğu, bu politikanın hazırlanıp hazırlanmamasına etki etmez. Web siteniz AB’den trafik aldığı sürece Çerez Politikası hazırlamak gerekmektedir.
Çerez Politikası, web sitesinde çalıştırılan çerezlerin hangi verileri nasıl topladığına ilişkin olarak bilgilendirmenin yapıldığı metindir. Bu metin Gizlilik Politikası’nın içerisinde bir alt başlıkta sunulabileceği gibi, ayrı bir politika olarak da sunulabilir. Bizim önerimiz Gizlilik Politikası’nda çerezlere ilişkin alt bir başlık oluşturup kısa bir bilgilendirme yapmanız ve detaylı bilgi için ayrı olarak sunduğunuz Çerez Politikanıza URL vererek atıf yapmanızdır.
Uygulamada yapılan en büyük hata, kullanıcının web sitesine girmesinin ardından çerezlerin çalıştırılmaya başlaması ve “Bu web sitesine girerek çerez kullanımına onay vermektesiniz.” Gibi hukuki dayanaktan yoksun, genel geçer bir bilgilendirme yapılmasıdır. Bu yaklaşım açık rızayı sakatlamakta olup, hukuka aykırılık oluşturmaktadır. Çerez kullanımına izin verip vermemek tamamen ziyaretçinin takdirine bırakılmalıdır. Bu nedenle çerezler varsayılan olarak kapalı tutulmalı, kullanıcının rızası alındıktan sonra çalıştırılmaya başlamalıdır.
4. Açık Rıza Metni
Açık rıza, 6698 sayılı Kanun m. 3’e göre “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza”dır. Açık rıza temel bir hukuka uygunluk sebebidir. Dolayısıyla usulüne uygun olarak alınan açık rıza, kişisel veri sahibinin verilerini işlemeye imkân verir. Örneğin bir e-ticaret sitesiyseniz sizden alışveriş yapan kullanıcıya pazarlamasyon amacıyla sonradan ticari elektronik ileti göndermeniz müşteriden açık rıza almanız halinde hukuka uygun olacaktır.
Burada dikkatinizi çekmek istediğimiz husus kanun koyucunun hukuka uygunluk için “rıza” değil, “açık rıza” aramasıdır. Diğer bir ifadeyle kullanıcının rızası tereddütte yer vermeyecek şekilde, aktif bir eylem neticesinde alınmalıdır. Örneğin “İletişim formundan bize ulaşmanız halinde belirttiğiniz e-posta adresine sonradan ticari ileti göndermemizi kabul edersiniz.” Şeklinde bir ifade hukuka aykırıdır. Kullanıcının aktif ve açık bir hareketle onay vermesi gerekmektedir. “İletişim formundan bize ulaşmanız halinde belirttiğiniz e-posta adresine sonradan ticari ileti göndermemize onay veriyor musunuz?” şeklinde bir check-box daha doğru olacaktır.
Kişisel Verileri Koruma Kurulu, verdiği bir kararda açık rızanın bir hizmet şartına bağlanmasını hukuka aykırı olarak kabul etmiş ve ilgili web sitesi hakkında idari para cezası uygulanmasına karar vermiştir. (İlgili karara gitmek için tıklayın.)
Uygulamada yapılan büyük hatalardan bir diğeriyse açık rızanın belirli bir konuya ilişkin olmaksızın sınırsızca alınmasıdır. Halbuki açık rıza belirli bir konuya ilişkin alınmalıdır. Örneğin tarafınızca ticari elektronik ileti gönderilmesi amacıyla cep telefonu numarası alınan bir kişinin bu cep telefonu numarasının üçüncü parti iş ortaklarıyla paylaşılması hukuka tamamen aykırıdır. Bir kişinin açık rızayla olsa dahi kişisel bir verisini tarafınızla paylaşması, bu veriyi sınırsızca işleyebileceğiniz anlamına gelmemektedir.
Kaynakça
itgovernance.co.uk
gdprhub.eu
gdpr-text.com
ico.org.uk
kvkk.gov.tr
privacypolicies.com
cookieyes.com
İnsanlar Bu Konuyu Tartışıyor.
Yorumları göster Hide commentsTeşekkür ederim, yeni bir web sitesi projesi hakkında sizinle çalışmak istiyordum
Selamlar, e-posta adresiniz üzerinden iletişime gün içerisinde geçeceğiz.
Hocam merhaba,
İngilizce gizlilik politikası hazırlayıcı emulatörler var, kullanımını tavsiye eder misiniz?
Açıkçası etmiyorum. Her web sitesinin gereksinimleri farklı. Hazır metinler yalnızca bir şablon sunuyor. Şablonu oluşturup kendiniz düzenlerseniz bir ihtimal kullanılabilir.