Giriş
Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ve Kaliforniya Tüketici Mahremiyeti Yasası’nın (“CCPA”) ‘rıza’ kavramını düzenleyiş şekillerinin nasıl olduğu incelenecek olursa;
GDPR‘da kişisel verilerin işlenmesi için olması gereken yasal şartlar:
rıza
sözleşme
yasal zorunluluk
aciliyet durumu
kamu görevi
meşru menfaat şeklindedir. Söz konusu yasal dayanaklardan biri ise GDPR kapsamında ‘rıza’ beyanıdır.
CCPA incelenecek olursa, CCPA içinde kişisel verilerin işlenmesi için gerekli olan yasal dayanaklar GDPR’daki şekli ile düzenlenmemiştir. CCPA’de İlgili Kişi, verilerinin satılmasına, aktarılması ile ilişkili olarak tercih etme/reddetme hakkını kullanmadıkça veri işlemeye izin vermiş sayılır. Yani verileri işlenmeden önce alınması gereken bir rıza genel olarak yoktur. CCPA uyarınca çoğu durumda rıza alınması gerekmez. Rıza bir nevi varsayılan rıza şeklinde algılanmaktadır. Her ne kadar rıza alma zorunluluğu çoğu durumda olmasa dahi kişisel verisi işlenen gruplara hangi kategoriye giren kişisel verisinin işlendiği, verilerin nasıl ve neden kullanıldığı açıklanmak zorundadır. Tüketiciler, hangi kişisel bilgilerinin toplandığını öğrenme, kişisel bilgilerin aktarılıp aktarılmadığını öğrenme, tüketici ifşa hareketini durdurma gücü olduğunu bilmeli, kişi bu sorguya yapsa dahi eşit hizmet ve fiyat alacağından şüphe duymamalıdır.
GDPR Kapsamında Rıza Kavramı
Rıza kavramı, GDPR kapsamında yukarıda ifade edildiği üzere bir yasal dayanak olarak düzenlenmiştir. GDPR 4/11 maddesi uyarınca, Rıza kavramı “Veri sahibinin bir beyan yolu ile ya da kendisine ait kişisel verilerin işlenmesini kabul ettiğini gösterecek şekilde açık bir onayla ve özgür bir şekilde verilmiş, belirli bir konu hakkında, bilinçli ve açık göstergesidir.” şeklinde gerçekleştirilmiştir. İşbu tanım içinde rızanın hukuka uygun olmasını sağlayan bazı unsurlar taşımaktadır;
Açık rıza ile olması gerektiği hususu; bu hususta açık rıza diğer rıza türlerine göre daha kapsamlı olmasının yanında ayırt edilecek derecede İlgili Kişi’ye yapılmış olan aydınlatma neticesinde verilen onaydır. Veri işleyen bu hususta verileri işleyeceği zaman kendisi ile bilgileri düzgün vermeli, hangi verileri işleyeceğini açıkça belirtmeli, işlediği kişisel veriler bakımından ne tür koruma önlemlerine sahip olduğunu açıklamalı ve veri işlemenin ne gibi sonuçları olacağını açıklıkla ifade etmelidir. Bu hususta Veri Sorumlusu yapacağı bu bildirimleri çok faza hukuki dil ile yapmamalı, olabildiğince şeffaf olmalıdır.
Rıza Özgür Şekilde Verilmiş Olmalıdır; Söz konusu verilecek olan rıza bir zorunluluk durumu yaratılarak şart olarak verilmemelidir. Bu hususta rızanın her zaman ya da istenildiği zaman geri alınabilecek olması ve bu durumun İlgili Kişi’ye haber verilmesi de rızanın özgür olmasını sağlayan unsurlardan biridir.
Rıza Belirli Bir Konu Hakkında Olmalıdır; Battaniye rıza türü bu hususta geçersiz olacaktır. İlgili Kişi, rızasını ancak belirli bir konu hakkında verebilir yoksa genel anlamıyla sınıları belli olmayan bir rıza belirli olmayacağından geçerli de olmayacaktır.
GDPR’da yer alan yukarıda kısaca elementleri sayılan rıza her durumda olmasa dahi çoğu durumda kişisel veri işlenmeden önce alınması gereken rızadır. AB’de Kişisel veriler işlenmek amacıyla toplanmadan önce veri sorumlusunun Kişisel verileri işleme yasal dayanağını GDPR’a göre belirlemesi gerekir.
CCPA Kapsamında Rıza Kavramı
Yukarıda ifade edildiği üzere; CCPA’ da İlgili Kişi, verilerinin satılmasına, aktarılması ile ilişkili olarak tercih etme/reddetme hakkını kullanmadıkça veri işlemeye izin vermiş sayılır. Yani Verileri işlenmeden önce alınması gereken bir rıza veya onay genel olarak yoktur.
CCPA uyarınca çoğu durumda rıza alınması gerekmez. Rıza bir nevi varsayılan rıza şeklinde algılanmaktadır.
CCPA’ da her ne kadar genel kural rıza alma zorunluluğu olmasa dahi bazı durumlarda rıza alınması gerekmektedir. Bu durumlar;
13-16 yaş grubuna sahip kişiler
13 yaş altı çocuklar
First-Party ve Third-Party Çerezler
Özellikle 13 yaş altı ve 13-16 yaş grupları arasında bulunan kişilerin, kişisel verisi işlenecek ise bu durumda eğer ilgili kişi 13-16 yaş aralığında ise kendisinin eğer 13 yaşından küçük ise veli veya vasisinin onayı alınmalıdır. Bu husus bazı problemleri de içerisinde barındırmaktadır. Özellikle Facebook vs. gibi uygulamaları 13-16 yaş arası çocuk gruplarının çok aktif olarak kullandığı bilinen bir gerçektir. Bu noktada Facebook vs. şirket gruplarının bu kişilerden onay alması gerekmektedir. Eğer kullanan kişi 13 yaşından küçük bir kişi ise bu durumda kullanan kişinin ebeveyninin onayı alınması şarttır. Ancak Facebook vs. şirketlerde yaş kategorisi kişinin iradesi ile işaretlenen bir buton şeklinde olduğu için ve oraya yaş olarak 13-16 arası ya da 13 yaşından küçük yazmanın uygulama kullanma için tek başına yeterli olmayacağı ve ekstra işlemlere maruz kalacağını bilen o yaş grubu kişiler bu sorundan kurtulabilmek amacıyla yalan söyleyerek yaşlarını büyük göstermektedir. Burada Facebook gibi şirketlerin uygulama düzenini daha sağlıklı hale getirmesi CCPA açısından daha uygun olacaktır. Burada gündeme gelebilecek diğer bir konu ise California’da uygulanan hukuk gereğince genel olarak 18 yaş altı kişilerin hukuki işleme onay vermesi mümkün değilken CCPA’in neden 13-16 yaş arası kişi gruplarına bu noktada onay verme yetkisi tanıdığına ilişkindir.
Çerezler ile ilgili olan kısım ise biraz daha karışıktır. Şöyle ki, ilk olarak GDPR kapsamında ele alacak olursak, yukarıda ifade edildiği üzere GDPR’da genel kural onay alınması olduğu için çerezlerde de onay alınmalıdır. Ancak CCPA’da durum bu kadar basit değildir. First-Party (birinci taraf) çerezler, ziyaret edilen internet sitesi tarafından oluşturulup ilgili kişinin kişisel verileri kaydederek, gerekli internet sitesine yönlendirirken; Third-Party (üçüncü taraf) çerezler ise diğer siteler, iş ortaklıkları veya servis sağlayıcıları gibi 3.taraflarca oluşturulur. Söz konusu çerez türünde İlgili Kişi’nin satış bilgileri işlenmektedir. Bu hususta CCPA kapsamında First-Party çerezlerde onaya gerek yok iken Third-Party çerezlerde onaya ihtiyaç duyulduğuna yönelik doktrinde tartışmalar devam etmektedir.
KAYNAKÇA
https://www.youtube.com/watch?v=XI5r5JWqcIU
https://www.freeprivacypolicy.com/blog/ccpa-consent-requirements/
https://blog.lexpera.com.tr/kisisel-verilerin-korunmasi-cercevesinde-cerezler-turleri-kullanimlari-ve-uygulama-ornekleriyle/
https://www.termsfeed.com/blog/ccpa-consent/
Comments