MESAFELİ SÖZLEŞMELERDE TÜKETİCİNİN KİŞİSEL VERİLERİNİN KORUNMASI(*)
YBHD • Yıl 8 - Sayı 2023/1, s. 311-344
MESAFELİ SÖZLEŞMELERDE TÜKETİCİNİN KİŞİSEL VERİLERİNİN KORUNMASI(*)
Dr. Xxxxx XXXX XXXXX(**)
ÖZET
Tüketici ve mesafeli sözleşme kavramlarının tanımı 6502 sayılı Tüketicinin Korunması Hakkında Kanunda (TKHK) yapılmıştır. TKHK’nın başlıca amacı olan tüketicinin korunmasının kapsamına, tüketicinin kişilik hakkının bir parçası olan tüketicinin kişisel verilerinin korunması da girer. Tüketicilerin internet üzerinden kurduğu mesafeli sözleşmeler, aynı zamanda elektro- nik sözleşmelerdir. Dolayısıyla konu ile ilgili Elektronik Ticaret Kanunu (E-ticaret Kanunu) hü- kümleri de önem taşımaktadır. Kişisel verilerin korunması noktasında ne TKHK ne Mesafeli Sözleşmeler Yönetmeliği (MSY) ne de E-ticaret Kanunu’nda özel düzenleme mevcuttur. Hatta e-ticaret Kanunu’nda kişisel verilerin korunmasına ilişkin olan m.10 yürürlükten kaldırılmıştır. Dolayısıyla, özel bir düzenleme olmaması nedeniyle artık tüketicilerin kişisel verilerinin korun- masına ilişkin KVKK hükümleri uygulanacaktır. Satıcı/sağlayıcı ile tüketicinin fizikken bir araya gelmeksizin akdettiği mesafeli sözleşmelerde, tüketicinin kişisel verilerinin işlenmesi adeta kaçınılmazdır. Bu noktada, ayrıca çerez politikaları da tüketici açısından göz önüne alınmalıdır. Tüketicinin kişisel verilerinin işlenebilmesi için tüketicinin xxxx xxxx göstermesi ya da hukuka uygunluk nedenlerinden birinin varlığı gerekir. Çalışmamızda, öncelikle tüketici kavramı açık- landıktan sonra mesafeli sözleşme incelenecek tüketicilerin mesafeli sözleşme kapsamında kişisel verilerinin işlendiği çerez ve ticari iletiler ile kişisel verilerinin işlenmesinde rıza ve rızanın gerekmediği hallere değinilecektir.
Xxxxxxx Xxxxxxxxx
Kişisel Veri, Tüketici, Mesafeli Sözleşme, Çerezler, Aracı Hizmet Sağlayıcı.
(*) DOI: 10.33432/ybuhukuk.1184770 - Geliş Tarihi: 05.10.2022 - Kabul Tarihi: 10.01.2023.
(**) Çukurova Üniversitesi Hukuk Fakültesi Medeni Hukuk Anabilim Dalı,
E-posta: xxxxxx@xx.xxx.xx; Orcid Id: xxxxx://xxxxx.xxx/0000-0000-0000-0000.
PROTECTION OF CONSUMERS’ PERSONAL DATA IN DISTANCE CONTRACTS
ABSTRACT
The definitions of consumer and distance contracts are made in the Law No. 6502 on the Protection of the Consumer (TKHK). The protection of the consumer’s personal data, which is a part of the consumer’s personality right, is also included in the scope of consumer protection, which is the main purpose of the TKHK. Distance contracts that consumers establish over the internet are also electronic contracts. Therefore, the relevant provisions of the Electronic Commerce Law (e-commerce Law) are also included. Regarding the protection of personal data, there are no special regulations in the TKHK, the Regulation on Distance Contracts (MSY), or the e-commerce Law. In fact, in the e-commerce Law Article 10, the article on the protection of personal data, has been repealed. Therefore, KVKK provisions regarding the protection of personal data of consumers will now be applied. It is almost inevitable that the personal data of the consumer is processed in distance contracts concluded without the seller/supplier and the consumer coming together physically. At this point, cookies and cookie policies should also be considered from the consumer’s point of view. In order for the personal data of the consumer to be processed, the consumer’s express consent or the existence of one of the reasons for compliance with the law is required. In the study, first of all, after the concept of consumer is explained, the distance contract will be scrutinized. The cookies and commercial messages- in which the personal data of the consumers are processed within the scope of the distance contract- and the cases in which consent is required or not required in the processing of their personal data will be mentioned.
Keywords
Personal Data, Consumer, Distance Contracts, Cookies, Intermediary Service Provider.
GİRİŞ
Tüketicinin korunması, Anayasa m.172 ile güvence altına alınmıştır. TKHK m.1’de kanunun amacının, doğrudan tüketicinin kişisel verilerini korumak ol- duğu açıkça yer almasa da kişisel veriler, tüketicinin kişilik hakkının bir parçası olduğundan korunmalıdır. Tüketici işlemlerinde, tüketici zayıf konumdadır. Zira çoğu durumda, tüketici yapılacak sözleşmeye müdahale edememektedir. Mesafeli sözleşmelerde ise tüketici hiç görmediği ve fiziken bir araya gelmediği satıcı/sağlayıcı ile bir sözleşme kurmakta ve ürün/hizmetin hiç veya gereği gibi ifa edilememesi tehlikesiyle karşılaşabilmektedir. Bunun yanında, mesafeli söz- leşmelerin kurulması ve ifası aşamasında, tüketicinin kişisel verileri işlenmek zorundadır. Sözleşmenin gereği gibi ifa edilebilmesi için tüketicinin adı, iletişim bilgileri, adresi, kredi kartı bilgileri gibi pek çok verisi işlenmektedir. Ayrıca, çoğu aracı hizmet sağlayıcı ve platform, pazarlama teknikleri ve performans değerlendirmesi yapma amacıyla çerezler (cookies) aracılığıyla tüketicilerin alışveriş alışkanlıklarına dair verileri işlemektedir.
I. TÜKETİCİNİN KİŞİSEL VERİLERİ
A. TÜKETİCİ KAVRAMI
6502 sayılı TKHK m.3’te tüketici, “ticari veya mesleki olmayan amaçlarla hareket eden gerçek veya tüzel kişi” olarak tanımlanmıştır. Bu tanımdan yola çıkarak tüketici, sözleşme kurma amacı gelir elde etmek ya da mesleki faaliyetle- rini sürdürme niyeti olmayan taraftır. Örneğin, tekrar satma amacı olmadan beyaz eşya alan bir kişi tüketicidir.
Önemli olan nokta, tüketici olarak adlandıracağımız tarafın, sözleşmeye ta- raf olma iradesi ve amacıdır1. Bunun belirlenmesinde ise bir defalık amaç değil;
1 Gümüş, M. Alper (2014) Tüketicinin Korunması Hakkında Kanun Şerhi, C. I, İstanbul, Vedat Kitapçılık, s. 30; Xxxxx, Sezer (2021) Tüketicinin Korunması Hakkında Kanun Şerhi, 2. Baskı, Ankara, Adalet Yayınevi, s. 83; Xxxxxxx, Xxxxx (2015) Tüketici Xxxxxx Xxxxxxxx, Ankara, Adalet Yayınevi, s. 59; Xxxxxx Xxxx, Şebnem/Kara, İlhan (2021) Tüketici Hukuku Dersleri, Ankara, Yetkin Yayınevi, s. 30 vd; Bal, Xxxxx (2022) “Tacirin Tüketici Sıfatı Sorunu”, Türkiye Adalet Akademisi Dergisi, S: 50 s. 368.
süreklilik arz eden bir amaç olması dikkate alınır. Ticari amacın varlığının belir- lenmesinde baskın görüş, alınan mal veya hizmetin bedelinin, daha sonra başka bir işlem vasıtasıyla tüketiciye geri dönüşü olup olmadığıdır. Örneğin, tüketici aldığı bir boyayı kullanarak resim yapıyor ve daha sonra bu resmi satıyor ise boyayı satın almak için harcadığı para, resim satışından geri döneceğinden bu kişi tüketici olarak kabul edilmemelidir.
Kanun metninde hem gerçek kişilerin hem de tüzel kişilerin tüketici sıfatına sahip olabileceği düzenlenmiştir. Gerçek kişi tüketiciye, tacir olmayan gerçek kişiler girer. TTK m.19’da yer alan karine gereğince gerçek kişi tacirlerin borçla- rının ticari olması esastır ancak gerçek kişi tacirin işlemi yaptığı sırada işlemi yapma amacının ticari işletmesiyle ilgili olmadığını satıcı/sağlayıcıya açıkça bil- dirir ya da yapılan işin niteliğinin zaten işin ticari sayılmasına elverişli olmaması halinde bu iş, adi iş sayılır. Örneğin, çimento işi ile uğraşan bir gerçek kişi taci- rin bebek beşiği almasında, kişinin bunu ticari veya mesleki amaçla almadığı bellidir ve bu kişi tüketici sayılmalıdır.
Tüzel kişi tacir kavramının içine ise yalnızca ticari işletme işletmeyen der- nek ve vakıflar girer.2 Gerçek kişi tacirler ve şirketlerdir. Doktrinde farklı görüş- ler olmakla birlikte, ticari işletmeler tüketici kavramına girmemektedir3.
B. SATICI, SAĞLAYICI VE ARACI HİZMET SAĞLAYICI KAVRAMLARI
TKHK m.3’te satıcı ve sağlayıcı tanımlanmıştır. Buna göre, mesleki ve ticari amaçlarla tüketiciye hizmet sunan ya da hizmet sunanın adına ya da hesabına hareket eden gerçek veya tüzel kişi sağlayıcı; mesleki ve ticari amaçlarla tüketici- ye mal sunan ya da mal sunanın adına ya da hesabına hareket eden gerçek veya tüzel kişi ise satıcıdır. Bir başka deyişle, bir tüketici işleminde tüketici ile işlem
2 Gümüş, s. 30; Akipek Öcal, /Xxxx, s. 31; Xxxxxxx, s. 61.
3 Konu ile ilgili detaylı bilgi için Bknz. Yücer Aktürk, İpek (2016) “Tüzelkişi Tacirin Tüketici Sıfatı”, Gazi Üniversitesi Hukuk Fakültesi Dergisi, C. XX, S. 2; Aynı Görüşte, Xxxxxx Xxxxxx
/ Uyumaz Alper, (2013) “6502 Sayılı Tüketicinin Korunması Hakkında Kanunun Bazı Hü- kümlerine (M.1-16) İlişkin Bir İnceleme”, İnönü Üniversitesi Hukuk Fakültesi Dergisi, C: 4, S: 2, s. 245. Xxxxxx, Xxxxxx (2016) “Madde 3 Şerhi”, Xxxxx Xxxx, Ankara, s. 55-56.
yapan kişi, satıcı veya sağlayıcıdır. Bir mobilya, telefon, gıda, araba satıcısı, TKHK kapsamında satıcı olarak kabul edilir. Doktor, avukat, kuaför, terzi, vete- riner gibi tüketiciye hizmet sunan kişiler ise sağlayıcı olarak kabul edilir. Bu kişiler, veri hukuku bakımından tüketicinin kişisel verilerini işleyen veri sorum- lusu olarak kabul edilmelidir.
Aracı hizmet sağlayıcı ise, Mesafeli Sözleşmeler Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik m.2’de, “Oluşturduğu sistem ile uzaktan iletişim araçlarını kullanmak veya kullandırmak suretiyle satıcı veya sağlayıcı adına me- safeli sözleşme kurulmasına aracılık eden gerçek veya tüzel kişi” olarak tanım- lanmıştır. Aracı hizmet sağlayıcı kavramı, TKHK’nda düzenlenmemişken tanım olarak mevzuatımıza yeni eklenmiştir. Bu tanımın yanında, platform aracılığıyla kurulan mesafeli sözleşmelerde, aracı hizmet sağlayıcı ve tüketiciye karşı sorum- luluğu da belirlenmiştir.
Aracı hizmet sağlayıcısı ve tüketiciye karşı sorumluluğu düzenlenmeden önce, aracı hizmet sağlayıcı ile tüketici arasında yalnızca üyelik sözleşmesi ve bundan doğan sorumluluk söz konusu olmaktaydı. Bu durum ise aracı hizmet sağlayıcıya güvenerek işlem yapan tüketici tarafın mağdur olması ihtimalini doğurmaktaydı4. Bu sorun, 1 Nisan 2022 tarihinde yayımlanan 7392 sayılı Ka- nun ile TKHK m.48 hükmünde oluşturulan mesafeli sözleşme ilişkisine aracı hizmet sağlayıcı olarak yeni bir kavramın dâhil edilmesiyle son bulmuştur. Aracı hizmet sağlayıcı kavramının düzenlenmesi, çok yerinde olmuştur. Zira uygula- ma incelendiğinde, artık pek çok mesafeli sözleşme, çevrim içi platform ve aracı hizmet sağlayıcı vasıtasıyla kurulmaktadır; çünkü mesafeli sözleşmenin kurula- bilmesi için düzenli ve organize sistemin varlığı gerekse de bu sistemin salt satıcı veya sağlayıcı tarafından kurulmuş olması aranmamaktadır5.
4 Değişiklik öncesi Çiçek sepetine ilişkin Yargıtay 3. Hukuk Dairesi, E: 2021/4000, K: 2021/11403 sayılı karar.
5 Baş Süzel, Ece (2022) Mesafeli Sözleşmeler ve İş Yeri Dışında Kurulan Sözleşmeler, İstanbul, On İki Levha Yayıncılık, s. 16; Özbay Özdoğru, Zeynep (2022) İnternet Ortamında Faaliyet Gösteren Aracılık Edenlerin Mesafeli Sözleşmeden Dolayı Tüketiciye Karşı Sorumluluğunun Şartları, İstanbul, On İki Levha Yayıncılık, s. 31.
C. KİŞİSEL VERİ
KVKK 3. maddesine göre, bir kişi ile ilişki kurulabilen her türlü veri kişisel veridir. Bu kapsamda, kişinin ismi, yaşı, mesleği, imzası, sosyal medya hesapları, fotoğrafları, banka hesap numarası, elektronik posta adresi, telefon numarası6, bilgisayarının IP adresi7, telefonunun IMEI numarası, kredi kartı bilgileri8, o kişinin kişisel verisidir9.
İlgili kişi olan tüketici özelinde örnek vermek gerekirse, tüketicinin plat- form üzerinde yaptığı yorumlar, profil fotoğrafları, çağrı merkezleriyle görüşme yaparken kaydedilen ses kayıtları, alışveriş alışkanlıklarına dair veriler de kişisel verileri olarak kabul edilebilir. Zira bu veriler, tüketici ile bağlantı kurulmasına imkân sağlayan verilerdir. Özellikle mesafeli sözleşmelerde, tüketicilerin kişisel verileri olmaksızın sözleşme kurulması dahi mümkün değildir.
Tüketicinin kişisel verileri, mesafeli sözleşme kurulabilmesi için gerekli ol- masının yanında, tüketicinin alışveriş alışkanlığı, aldığı ürünler, bir ürün/hizmeti satın almak için kaç dakika platformda kaldığı, ürün/hizmet alır- ken nelere dikkat ederek karar verdiği, ürün/hizmet memnuniyet grafiği gibi veriler ile her tüketicinin, tüketici profilinin oluşturulmasında da kullanılmak- tadır. Profilleme sayesinde, platformlar tüketicinin beğenebileceği ürün/hizmetleri ön plana çıkarabilir; tüketiciye yönelik reklamlar ile ilgisini çekebilir. Bir kişinin alışveriş sitesinde tenis raketi aldıktan sonra tenis ekipman-
6 Yargıtay 12 Xxxx Xxxxxxx, E: 2014/11621 K: 2015/568 T: 19.1.2015; Yargıtay 12 Ceza Dairesi, E. 2014/11879 K. 2015/22 T: 12.1.2015, xxxxxxx.xxx.xx.
7 XXXX, Xxxxxxx x. SABAM davası detaylı bilgi için ayrıca bknz. Yücedağ, Nafiye (2017) “Me- deni Hukuk Açısından Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri”, İÜHFM, C: LXXV, S: 2, s. 767.
8 Yargıtay 12 Ceza Dairesi, E: 2013/10672 K: 2013/15772 T: 10.06.2013, xxxxxxx.xxx.xx.
9 Xxxx Xxxxx, Miray (2022) Özel Nitelikli Kişisel Verilerin İşlenmesi ve Bundan Doğan Sorum- luluk, İstanbul, On İki Levha Yayınları, s. 29; Xxxxxx, Xxxxxx Xxxxx (2017) Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, On İki Levha Yayınları, İstanbul, s. 30; Xxxxxxx, s. 767; Ayrıca Bakınız AYM E: 2013/122 K: 2014/74; AYM E: 2014/ 149 K: 2014/151 T: 09.04.2014; AYM E: 2013/84 K: 2014/183 T: 04.12.2014; AYM E: 2014/74 K: 2014/201 T: 25.12.2014; AYM E: 2014/180 K: 2015/30 T: 19.03.2015.
ları reklamlarının belirmesinin sebebi bu profilleme ve çerezler vasıtasıyla çev- rim içi davranışsal reklamcılık uygulamalarıdır10.
Tüketicilere ait bu profiller, verileri elde eden şirketler tarafından tüketici ilişkisi olmayan diğer şirketler ile paylaşılmaktadır. OECD tarafından yayımla- nan bir rapora göre, Amerika Birleşik Devletleri’nde verileri analiz eden Lexis- Nexis, DocuSearch, Experian gibi “data broker” şirketler bulunmaktadır. Aynı rapora göre 2013 yılında anılan şirketlerde kişilerin adres bilgileri 0.50 dolar, doğum tarihleri 2 dolar, sosyal güvenlik numaraları 8 dolar, ehliyet numaraları 3 dolar, askerlik bilgileri 35 dolara satılmaktadır11. Görüldüğü üzere, tüketicinin kişisel verilerinin, pazarlama stratejileri, ürün performans geri dönüşlerinin sağlanması ve tüketici profillerinin oluşturulması noktasında önemli olmaların- dan dolayı ekonomik değeri de oluşmuştur.
D. İLGİLİ KİŞİ
Kişisel verisi işlenen gerçek kişi, “ilgili kişi” olarak tanımlanmıştır. KVKK koruma kapsamına sadece gerçek kişiler girmektedir12. Konumuz açısından değerlendirildiğinde, sadece gerçek kişi tüketici, ilgili kişi olarak kabul edilir. Tüzel kişi tüketici olan ticari işletme işletmeyen dernek ve vakıflar, ilgili kişi olarak KVKK kapsamında korunmaz13. Dolayısıyla çalışmanın kapsamı, gerçek kişi tüketicilerin kişisel verilerinin korunmasıdır.
E. VERİ SORUMLUSU
KVKK m.3’e göre veri sorumlusu, kişisel verilerin işleme amaçlarını ve vası- talarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden so- rumlu olan gerçek veya tüzel kişiyi ifade eder14. Tüzel kişiler, özel veya kamu
10 Keser Berber, Xxxxx (2014) Çevrim İçi Davranışsal Reklamcılık, İstanbul, On İki Levha Yayınları.
11 OECD, (2013) “Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value”, OECD Digital Economy Papers, No. 220, OECD Publishing, Pa- ris. <xxxx://xx.xxx.xxx/00.0000/0x000xxxxxxx-xx>, s. 30 vd.
12 Xxxx Xxxxx, s. 31.
13 Aksi görüş, Taştan, s. 32-33.
14 <xxxxx://xxx.xxxx.xxx.xx/Xxxxxx/0000> s.e.t.: 02.10.2022.
tüzel kişisi olmaları dikkate alınmaksızın, bizzat kendileri veri sorumlusu sıfatıy- la sorumludur15.
Tüketici işlemlerinde, ilgili kişi olan tüketici ile işlem yapan satıcı veya sağ- layıcı veri sorumlusudur. Mesafeli sözleşmenin kurulmasına aracılık eden bir platform var ise platform da veri sorumlusu olarak kabul edilir. Bu durum hem MSY’den hem de tüketici ile aracı hizmet sağlayıcı arasındaki üyelik sözleşme- sinden kaynaklanır.
Günümüzde kişisel veriler sadece elektronik ticaret veya hizmet almak için zorunlu hale gelmiştir. Bu sebeple, kişisel verilerini paylaşmak zorunda kalan müşterilerin, kişisel verilerinin korunması hem bireylerin temel hak ve özgür- lüklerinin korunması hem de ticaret hayatının sağlıklı bir şekilde işlemesi için önemlidir16.
MSY’de tanımlanan aracı hizmet sağlayıcı ve elektronik ticaret aracı hizmet sağlayıcı KVKK kapsamında veri sorumlusu olur. Keza Kişisel Verileri Koruma Kurumu’nun ‘Veri Sorumlusu ve Veri İşleyen’ başlıklı rehberinde de aracı hiz- met sağlayıcı konumunda olan ödeme servisi sağlayan çevrim içi çok taraflı platformlar, veri sorumlusu olarak kabul edilmiştir. Platform ve aracı hizmet sağlayıcı yanında, satıcı ve sağlayıcı da veri sorumlusu olarak kabul edileceğin- den, bu noktada iki veri sorumlusu bulunmaktadır.
F. KALICI VERİ SAKLAYICISI
TKHK m.3’te “Tüketicinin gönderdiği veya kendisine gönderilen bilgiyi, bu bilginin amacına uygun olarak makul bir süre incelemesine elverecek şekilde kay- dedilmesini ve değiştirilmeden kopyalanmasını sağlayan ve bu bilgiye aynen ula- şılmasına imkân veren kısa mesaj, elektronik posta, internet, disk, CD, DVD, hafıza kartı ve benzeri her türlü araç veya ortamı” ifade eder şeklinde tanımlan- mıştır. Bu kavram, 4077 sayılı Kanun’da yer almamaktaydı. Yeni eklenen bu
15 Kişisel Verileri Koruma Kurumu, Veri Sorumlusu ve Veri İşleyen, <xxxx.xxx.xx> s.e.t.: 02.10.2022.
16 Xxxx, Habip (2013) “Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uygulama- ları ve Ülkemizdeki Durum”, UMD, S. 3, s. 2.
kavram aslında, teknolojik alandaki gelişmelerle birlikte tüketicinin satı- cı/sağlayıcı ile ilişkisinin kolaylaşmasını amaçlamaktadır. Gerçekten de kalıcı veri saklayıcısı, tüketicinin bilgilendirilmesini kolaylaştırmakta, sözleşme ku- rulması ve kurulmasından sonra satıcı/sağlayıcı ile tüketici arasında iletişim kurması ve tüketiciye ispat kolaylığını sağlamaktadır17.
Mesafeli sözleşmelerde, satıcı/sağlayıcı ile tüketici, sözleşmenin hiçbir saf- hasında bir araya gelmediğinden kalıcı veri saklayıcısı kavramı daha da önem kazanmaktadır. Bu ortam sayesinde tüketici hem bilgi alabilir hem de bilgi ilete- bilir. Ayrıca, kendisine sözleşmeye ilişkin ön bilgilendirme yine bu ortam üze- rinden yapılır. Bu ortamda saklanan bilgilerin değiştirilememesi de tüketici açı- sından olumlu sonuç doğurmaktadır.
II. MESAFELİ SÖZLEŞME KAVRAMI
Teknolojinin gelişmesiyle birlikte, satıcı/sağlayıcı ile tüketicinin bir araya gelmeden uzaktan iletişim araçları vasıtasıyla mesafeli sözleşme kurmaları, özel- likle pandemi döneminde, oldukça artmıştır. Taraflardan birinin tüketici olduğu ve tarafların fiziki olarak bir araya gelmeden akdettiği bu sözleşmeler, mesafeli sözleşme olarak kabul edilir18.
Mesafeli sözleşme, TKHK x.00’xx, 00000 Sayılı Mesafeli Sözleşmeler Yö- netmeliğinde (MSY) ve 29253 Sayılı Finansal Hizmetlere İlişkin Mesafeli Söz- leşmeler Yönetmeliğinde (FHMSY) düzenlenmiştir. Mesafeli sözleşme, TKHK x.00/X’xx, “Satıcı veya sağlayıcı ile tüketicinin eş zamanlı fiziksel varlığı olmaksı- zın, mal veya hizmetlerin uzaktan pazarlanmasına yönelik olarak oluşturulmuş bir sistem çerçevesinde, taraflar arasında sözleşmenin kurulduğu ana kadar ve
17 Xxxxxxx, Hayrunnisa (2020) Türk Hukukunda Tüketicilerin Kişisel Verilerinin Korunması, İstanbul, Aristo Yayınevi, s. 10.
18 Mesafeli sözleşmeler hakkında detaylı bilgi için bknz. Baş Süzel, s. 12 vd.; Xxxxx Xxxxxxx, s. 13 vd; Xxxxxx Xxxx, / Xxxx, s. 136 vd; Xxxxxxxxx, Xxxxxxx (2016) “Madde-48 Mesafeli Söz- leşmeler”: Xxxxxx, Xxxxx/Tüzüner, Özlem (Editörler), Xxxxx Xxxx (National Commentary), Xx- xxxxxx, Xxxxxx Xxxxx Yayınevi; Çakırca, Xxxx Xxxx (2018) “6502 Sayılı Tüketicinin Korun- ması Hakkında Kanun’a Göre Mesafeli Sözleşmeler”, Banka ve Ticaret Hukuku Dergisi, C. 34, S. 3, s. 108.
kurulduğu an da dâhil olmak üzere uzaktan iletişim araçlarının kullanılması suretiyle kurulan sözleşmelerdir” şeklinde ifade edilmiştir.
Kanuni tanımdan yola çıkarak mesafeli sözleşmelerin unsurları; tarafların fizi- ken bir araya gelmemesi, uzaktan iletişim araçlarının kullanılarak organize bir sis- temin aracılığıyla kurulması ve MSY m.2’de sayılan kapsam dışı sözleşmelerden olmamasıdır. Birinci ve en önemlisi, satıcı/sağlayıcı ile tüketici gerek sözleşmenin kurulması gerekse sözleşme görüşmeleri sırasında fiziki olarak bir araya gelmemeli- dir19. Taraflar, sözleşmeyi MSY m.4’te sayılan vasıtalar aracılığıyla kurmalıdır.
TKHK m.48’in gerekçesinde, sözleşmenin kurulması anına kadar ifadesi “Bu tanım aynı zamanda tüketicinin sadece mal veya hizmetler hakkında bilgi toplamak amacıyla bir satıcı veya sağlayıcının işyerini ziyaret etmesinin ardından uzaktan bir iletişim aracı vasıtasıyla sözleşmeyi müzakere ettiği ve kurduğu durumları da kapsar. Bu durumun tam tersine satıcı veya sağlayıcının işyerinde müzakere edildikten sonra uzaktan bir iletişim aracı kullanılarak kurulan bir sözleşme mesafeli sözleşme olarak kabul edilmez. Bir sözleşme uzaktan iletişim araçlarıyla başlatılırsa, fakat sonunda satıcı veya sağlayıcının işyerinde kurulursa bu da mesafeli sözleşme olarak kabul edilmez. Benzer şekilde mesafeli sözleşme kavramı bir profesyonelden hizmet almak amacıyla tüketici tarafından uzaktan iletişim araçları vasıtasıyla rezervasyon yapıl- ması durumunu kapsamaz. Örneğin saç tıraşı olmak için berberin aranarak rezer- vasyon yapılması” şeklinde açıklanmıştır. Dolayısıyla, sözleşme görüşmeleri ve söz- leşmenin kurulması anında taraflar bir araya gelmemelidir.
Bunun yanı sıra, taraflar arasındaki sözleşmenin kapsam dışı sözleşme ol- maması gerekmektedir. Hangi sözleşmelerin mesafeli sözleşme kapsamında olmadığı MSY m.2’de sayılmıştır.
19 Tüketicinin Korunması Hakkında Kanun m.48’in gerekçesine göre; tüketici, satı- cı/sağlayıcının işyerine yalnızca mal veya hizmetler hakkında bilgi toplamak için gitmiş fakat sözleşme müzakereleri ve sözleşmenin kurulması uzaktan iletişim aracıyla gerçekleştirilmişse yine mesafeli sözleşmeden bahsedilir. Xxxxxxxxx, (2016), s. 17-18; Çakırca, s. 108-109; Xxxx Xxxxx, Cihan (2016) “Tüketicinin Korunması Hakkında Kanun Kapsamında Mesafeli Söz- leşmeler”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, C. 12, S. 2, s. 29; Xxxxx Xxxxxxx, s. 16 vd; Baş Süzel, 2022, s. 13.
Üçüncü unsur, mal veya hizmetlerin uzaktan pazarlanmasına yönelik dü- zenli bir organizasyonun varlığıdır20. Nitekim madde gerekçesinde “Önemli olan uzaktan pazarlamanın tek seferlik, istisnai bir durum olmamasıdır” şeklindeki ifadeyle sistemin sürekliliği vurgulanmıştır. Belirtmek gerekir ki, her uzaktan pazarlama sistemi değil; sözleşmeyi kurmaya elverişli bir sistem olması halinde sorumluluk gündeme gelecektir. Örneğin, çeşitli mal ve hizmetlerin fiyatlarını karşılaştırmaya imkân sağlayan bir internet sitesi, sözleşme kurmaya imkân sağlamadığından bu çalışma kapsamında uzaktan pazarlama sistemi olarak ka- bul edilmemelidir21.
Düzenli ve organize sistemin varlığı kurucu unsur olmakla birlikte bu sis- temin satıcı veya sağlayıcı tarafından kurulması gerekmez22. Bir aracı hizmet sağlayıcı vasıtasıyla platform üzerinden sözleşme kurulması mümkündür. Gü- nümüzde mesafeli sözleşmelerin pek çoğu çevrim içi çok taraflı platformlar ile kurulmaktadır. Aracı hizmet sağlayıcı ile platform üzerinden kurulan sözleşme- lerin artmasıyla birlikte bu iki kavram, MSYDY m.2’de tanımlanmıştır.
İnternet üzerinden kurulan mesafeli sözleşmeler, aynı zamanda E-ticaret Kanununda düzenlenen elektronik sözleşme kapsamına da girer. 7 Temmuz 2022 tarihinde yürürlüğe giren 7416 sayılı E-ticaret Kanunu m.2/I(f)’de elektro- nik ticaret aracı hizmet sağlayıcı kavramı tanımlanmıştır. MSYDY’deki tanım- lar, E-ticaret Kanunu ile uyumludur. Aracı hizmet sağlayıcı kavramı, TKHK’da yapılan değişikliklerle birlikte hem TKHK hem de E-ticaret Kanunu nezdinde yeknesaklaşmıştır.
7416 sayılı Kanun ile getirilen değişiklikte elektronik ticaret aracı hizmet sağlayıcı, “Elektronik ticaret pazar yerinde elektronik ticaret hizmet sağlayıcıların mal veya hizmetlerinin teminine yönelik sözleşme yapılmasına ya da sipariş ve- rilmesine imkân sağlayan aracı hizmet sağlayıcıyı” olarak tanımlanmıştır. Geniş anlamda e-ticaret çevrim içi çok taraflı platformlar ile gerçekleştirilebilecek tüm
20 Xxxxx, Xxxxxx (2015) Mesafeli Sözleşmelerin İnternet Üzerinden Kurulması, Ankara, Tur- han Kitapevi, s. 25.
21 Baş Süzel, s. 18.
22 Baş Süzel, s. 16; Özbay Özdoğru, s. 31.
ticari aktiviteleri; dar anlamda e-ticaret ise tüketicilerin uygun çevrim içi ortam- lardan mal ve hizmet satın almasına dayalı aktiviteleri ifade etmektedir23.
III. MESAFELİ SÖZLEŞMELERDE TÜKETİCİLERİN KİŞİSEL VERİLERİNİN İŞLENMESİ
A. TÜKETİCİNİN KİŞİSEL VERİLERİN İŞLENMESİNDE UYULMASI GEREKEN İLKELER
İlgili kişilerin, kişisel verilerinin güvenliğini sağlamaya yönelik verilerin iş- lenmesine ilişkin ilkeler belirlenmiştir. Bu ilkeler, KVKK m.4. maddede “Genel İlkeler” başlığında düzenlenmiştir. Bu ilkelerden ilki, hukuka ve dürüstlük kural- larına uygun olma ilkesidir. Türk Medeni Kanunu 2. maddesine paralel olan bu ilke kapsamında, verilerin hukuka ve dürüstlük kuralına uygun işlenmesi gere- kir24. Bu ilke, hakkın kötüye kullanılmamasını da kapsar. Örneğin, tüketiciye düzenli ve rahatsız edici şekilde mesaj atılması hakkın kötüye kullanılması ola- rak değerlendirilebilir25.
İlgili kişi tüketicinin, işleme faaliyetleri hakkında hiç aydınlatılmaması ya da yetersiz aydınlatılması bu ilkeye aykırılık meydana getirir. Örneğin, Innovations
v. Data Protection Registar davasında, tüketiciler, sipariş verme aşamasını geçe- ne kadar verilerinin üçüncü kişiler ile paylaşılmasına rıza gösterdikleri hakkın- daki bilgiye erişemiyorlardı. Bu olayda, mail order şirketinin, tüketicilerinin verilerini üçüncü kişilerle paylaşacağına dair aydınlatmayı önceden yapmaması- nın dürüstlük kuralını ihlal ettiği sonucuna varılmıştır26.
İkinci ilke, doğru ve gerektiğinde güncel olma ilkesidir. Bu ilke kapsamında, veri sorumlusu satıcı, sağlayıcı ve aracı hizmet sağlayıcı, tüketicilerinin verilerini
23 Doğan, Cihan (2021) Rekabet Hukuku ve İktisadı Bağlamında Dijital Platformlar, İstanbul, On İki Levha Yayıncılık, s. 16.
24 Xxxx Xxxxx, s. 77; Xxxxxxx, Xxx X. (1998) “Data Protection Pursuant to the Right to Privacy in Human Rights Treaties”, IJ-IT, C. 6, s. 263.
25 Kişisel Verileri Koruma Kurulunun 31.05.2019 tarihli ve 2019/159 sayılı karar özeti,
26 Xxxxxx, X. Xxxxx (2011) Internet and the Law, Palgrave, s. 163.
doğru ve güncel tutmalıdır. Mesafeli sözleşmeler özelinde örneğin tüketicinin adresinin yanlış kaydedilmesi ve teslimatların yanlış adrese gönderilmesi hem KVKK hem de TKHK kapsamında, uygun değildir27.
Üçüncü ilke, belirli, açık ve meşru amaçlar için işlemedir. Tüketicinin kişisel verileri belirli ve meşru amaçlar için işlenmelidir. Tüketiciye yapılacak aydınlat- mada bu açıklamalar önceden belirlenmeli, açık ve meşru olmalıdır28. Tüketici verileri, keyfi amaçlar ya da meşru olmayan sebepler ile işlenmemelidir. Örneğin, bir giyim mağazasının ürün performans değerlendirmesi yapmaya yönelik anket için tüketicilerin telefon numaralarını kaydetmesi makul bir sebep olabilecek iken tüketicilerin kan gruplarını kaydetmesi meşru olmayan bir sebep olacaktır.
Dördüncü ilke olan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi üç kural getirmektedir. Öncelikle, tüketicilerin kişisel verileri işlendikleri amaç ile sınır- lı olarak kullanılmalıdır. Örneğin, müşteri memnuniyeti kontrolü amacıyla edinilen iletişim bilgileri, reklam amaçlı kullanılmamalıdır. Ayrıca, veri asgarileştirme ilkesi gereğince yalnızca gerektiği kadar veri işlenmelidir. Bu kapsamda, tüketiciye tesli- mat sağlanması için gerekli olan T.C. kimlik, telefon ve adres bilgisi yeterli iken bir de araba plakasının istenmesi orantısız ve amaçla bağlantılı olmaz.
Beşinci olarak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Mevzuatta veya amaç için gerekli olan sürenin aşılması ve veri işlenmesine devam edilmesi veri ihlalini oluşturur. Be- lirlenen sürenin aşılmasıyla beraber veriler, silinmeli, yok edilmeli veya anonim hale getirilmelidir.
B. XXXX XXXX
1. Tanım
Sözleşme sırasında tüketicinin kişisel verilerinin işlenebilmesi için tüketici- nin xxxx xxxx göstermesi gerekir. Kişisel veriler bakımından ise rıza, kişisel veri-
27 Kişisel Verileri Koruma Kurulunun 22/06/2021 tarihli ve 2021/603 sayılı Karar Özeti,
28 Xxxx Xxxxx, s. 81.
leri işleme faaliyetlerini hukuka uygun hale getiren unsurlardan biridir29. Kişisel verilerin korunması bakımından geçerli olan rıza, aydınlatılmış rızadır.
Xxxx xxxx KVKK m.3’te tanımlanmıştır. Açık bir rızadan bahsedebilmek için il- gili kişi tüketicinin bilgilendirilmiş olması, rıza verilecek konunun belirli bir konuya ilişkin olması ve tüketicinin rızasını özgür iradeyle açıklaması gerekir. KVKK m.10’a göre, aydınlatma görevi veri sorumlusuna aittir30. Dolayısıyla, tüketiciye kişisel veri- lerinin işlenmesine ilişkin bilgiyi satıcı/sağlayıcı/hizmet sağlayıcı vermelidir.
Rızanın alınmasına yönelik, ticari elektronik iletiler bakımından, E-ticaret Kanununda düzenleme yapılmıştır. Buna göre, esnaf ve tacir olmayan kişilerin mal ve hizmet sözleşmesi sebebiyle elde edilen iletişim adreslerine benzer mal ve hizmetlere ilişkin ticari elektronik ileti gönderilmesi, ilgilinin önceden xxxx xxxx vermesi koşuluna bağlanmıştır. Buna göre, ilgili kişi olan tüketicilere elektronik ileti gönderilmesi için mutlaka ileti öncesinde buna ilişkin rızanın varlığı gere- kir. Bu kapsamda, örneğin, tüketicilere gönderilen “SMS ret için xxxx’e ret yazın gönderin.” şeklinde kısa mesajlar, aslında kişisel verilerinin işlenmesine yönelik geçerli bir rızanın var olduğu anlamına gelmemelidir31.
Keza, opt-out şeklinde verilen rıza beyanları da geçerli olarak kabul edilmeme- lidir. Zira opt-out yöntemi, varsayılan ayar olarak tüketicinin internet sayfasında rıza gösterdiğinde dair kutucuğun işaretli olarak bulunmasıdır. ABAD, Planet49 davasında, önceden işaretli kutucuğun xxxx xxxx olarak kabul edilmeyeceğine karar vermiştir32. İnternet üzerinde kurulan sözleşmelerde, xxxx xxxx verildiğine ilişkin internet sayfasında boş kutucuğun işaretlenmesi şeklinde opt-in rıza verilmelidir. Tüketicinin, geçerli bir rıza için aktif bir davranışta bulunması aranmalıdır.
29 Xxxx Xxxxx, s. 96; Xxxxx, Xxxxx Xxxx (2018) “Kişisel Verilerin İşlenmesinde Rıza”, YÜHFD,
C. 15, S. 1, s. 15; Xxxxx, Xxxxx Xxxxxx (2018) Avrupa Birliği ile Mukayeseli Olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu, On İki Levha Yayınları, İstanbul, s. 54; Xxxxxx, Xxxxxx (2018) “Xxxx Xxxx”, Kişisel Sağlık Verileri III. Ulusal Kongresi, s. 18.
30 Xxxx Xxxxx, s. 96.
31 Xxxx Xxxxx, s. 100; Xxxxx, 2018, s. 16.
32 Keser Berber, Xxxxx/Xxxxxx, Ayça/Mert, Melis (2019) “E-Gizlilik Tüzük Taslağının Son Versiyonu Üzerine Düşünceler”, Kişisel Verileri Koruma Dergisi, C: 2, S: 1, s. 69.
2. Tüketicinin Bilgilendirilmesi
Açık rızanın birinci unsuru bilgilendirmeye dayanmasıdır. Bu kapsamda, öncelikle, tüketiciye kişisel verilerinin işlenmesi konusunda bilgi verilmesi gere- kir. İlgili kişi tüketiciye, xxxx xxxx vermeden önce, veri sorumlusu sıfatıyla satı- cı/sağlayıcı ve aracı hizmet sağlayıcı kimliği, varsa veri işleyenler, veri işleme faaliyetleri ile hedefleri amaçları, verilerin ne şekilde ve ne kadar süre ile sakla- nacağı gibi konular hakkında bilgi verilmelidir33.
İlgili kişinin bilgilendirilmesi konusunda, KVKK m.10-11 ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği” dikkate alınmalıdır. Bunun yanı sıra sözleşme özelinde fazladan bilgi vermek gerekiyor ise veri sorumlusu Tebliğ ile sınırlı olmaksızın daha kapsamlı bilgilendirme yapmalıdır34. Örneğin, Amazon’un kişisel verilerin paylaşılması hakkında yaptığı bildirimde, paylaşım yapıldığında bildirim alacaksınız şeklin- deki ifadesinden, tüketicilerin ancak paylaşım yapıldıktan sonra bilgi alabileceği sonucu çıkmaktadır. Kurum, hem paylaşıma ilişkin açık rızanın alınacağı zaman konusunda hem de tüketiciye paydaşlar hakkında bilgi verilmemesi bakımından kanuna aykırılık tespit etmiştir35.
Mesafeli sözleşmelerde tüketicinin bilgilendirilmesi, TKHK m.48/2 ve MSY m.5-8 arasında düzenlenmiştir. Buna göre, tüketiciye mesafeli sözleşme kurul- madan önce, sözleşmenin tarafları, sözleşme konusu, sözleşme miktarı, cayma hakkının varlığı ve kullanım şekli, uyuşmazlık olması halinde çözüm yöntemleri gibi konularda bilgi verilmesi gerekir. Yalnızca, bu bilgilerin verilmesi yeterli
33 Xxxx Xxxxx, s. 104; Xxxxxxx, Xxxx/Xxx Xxx Xxxx, Xxxxxx /Xxxxxxxx, Xxxx/Xxxxxxx-Xxxxxx, Xxxxxx/Xxxxxxxxxx, Xxxxxxx (2013) “Informed Consent in Social Media Use - The Gap between User Expectations and EU Personal Data Protection Law” SCRIPTed, C: 10, S: 4,
<xxxx://xxxxxx-xx.xxx/?xx0000>, s. 446; Article 29 Working Party Guidelines on Consent Un- der Regulation 2016/679, <xxxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxx-xxxxxx.xxx?xxxx_ id=62305>.
34 Xxxxxxx, Xxxxx (2022) “Kişisel Verilerin Reklam Amaçlı İşlenmesinde Hukuka Uygunluk Sebepleri”, Kişisel Verileri Koruma Dergisi, C: 1, S: 1, s. 1-20.
35 Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkındaki başvuru ile ilgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti,
<xxxxx://xxx.xxxx.xxx.xx/Xxxxxx/0000/0000-000>.
olmayıp ayrıca bu bilgilendirmenin yapıldığının teyidi de zorunludur. Bu bilgi- lendirmenin yapılmasından MSY değişikliği sonrası satıcı/sağlayıcı ile aracı hizmet sağlayıcı müteselsil sorumludur.
TKHK ve MSY bilgilendirme yükümlülüğü ile KVKK’da yer alan bilgilen- dirme yükümlülüğü, kapsadıkları konular bakımından birbirinden farklıdır. TKHK ve MSY, kurulan mesafeli sözleşmeye ilişkindir. Bu bilgilendirme, satı- cı/sağlayıcı ile bir araya gelmeden ve satın aldığı mal/ürünü muayene etme imkânı olmayan tüketiciyi, özellikle sözleşmenin hiç veya gereği gibi ifa edil- memesi ihtimallerinde korumaya yöneliktir. KVKK’da yer alan bilgilendirme yükümlülüğü ise kurulan bu sözleşme dolayısıyla tüketicinin işlenmesi zorunlu kişisel verilerinin güvenliğine ve işleme faaliyetleri hakkında tüketiciye bilgi verilmesine yöneliktir. Dolayısıyla, her iki bilgilendirme konu ve amaç itibariyle birbirlerinden tamamen farklıdır.
TKHK ve KVKK’da yer alan bilgilendirme yükümlülükleri şekil itibariyle de birbirlerinden farklıdır. MSY m.6’ya göre, mesafeli sözleşmedeki bilgilendirme, uzaktan iletişim aracına uygun olarak en az on iki punto büyüklüğünde, anlaşıla- bilir bir dilde, açık, sade ve okunabilir bir şekilde, tüketicinin ödeme yükümlülüğü altına girmesinden hemen önce, satıcı/sağlayıcı veya aracı hizmet sağlayıcı tara- fından yazılı olarak veya kalıcı veri saklayıcısı ile yapılmalıdır. KVKK bakımından ise xxxx xxxx öncesi yapılacak bildirime ilişkin bir şekil şartı yoktur. KVKK bakı- mından her ne kadar yazılı veya sözlü yapılması arasında bir fark olmasa da özel- likle platform aracılığıyla kurulan mesafeli sözleşmeler özelinde değerlendirildi- ğinde, bilgilendirmenin, sözlü olarak yapılması mümkün değildir.
Bir diğer farklılık ise bilgilendirme zamanına ilişkindir. TKHK ve MSY’ye göre, bilgilendirme sözleşme yapılmadan ve tüketici ödeme yükümlülüğü altına girmeden önce yapılmalıdır. Tüketicinin kişisel verilerinin işlenmesine yönelik bilgilendirme ise özellikle platform aracılığıyla kurulan mesafeli sözleşmelerde tüketicinin platforma üye olması sırasında yapılmakta ve daha sonra işleme amacı değişmemiş ise yinelenmemektedir. Üyelik gerekmeksizin mesafeli söz- leşme kurulmasına aracılık eden platformlar ise kişisel verilerin işlenmesine ilişkin bilgilendirmeyi ve rızayı, çerez uygulamasına yönelik talep etmektedir.
3. Xxxx Xxxx Verilecek Konunun Belli Olması
Ayrıca rıza verilecek konunun sınırlarının belirli olması gerekir. Kapsamı belli olmayan ve amaca hizmet etmeyen işleme faaliyetlerine verilecek rıza, ge- çerli bir rıza olarak kabul edilmemelidir. Tüketici, xxxx xxxx göstermeden önce tam olarak hangi verilerinin işleneceğini bilmelidir36.
İşleme konusunun belli olması hususunda, tüketici işlemlerinde özellikle haksız şartlar ve şaşırtıcı şartlar ele alınmalıdır. Haksız şartlar TKHK m.5 ve Tüketici Sözleşmelerindeki Haksız Şartlar Hakkında Yönetmelik’te düzenlen- miştir. TKHK m.5/f.1’e göre, “Haksız şart; tüketiciyle müzakere edilmeden söz- leşmeye dâhil edilen ve tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizliğe neden olan sözleşme şartlarıdır”. Tanımdan yola çıkarak denilebilir ki, her sözleşme maddesi değil, yalnızca tüketicinin müdahale etme imkânı olmadığı ve tüketici aleyhine olan maddeler haksız şart olarak kabul edilir37. Bir başka ifadeyle, tüke- ticiyle müzakere edilen veya tüketici aleyhine sonuç doğurmayan maddeler, haksız şart olmaz. Haksız şartın hukuki sonucu kesin hükümsüzlüktür.
Haksız şartları yanında şaşırtıcı şartlar da verilecek açık rızanın geçerliliği noktasında incelenebilir. Şaşırtıcı şartlar, kurulan sözleşmenin niteliğine tama- men yabancı olan şartlardır. Öyle ki sözleşmenin tarafı olan tüketicinin bu şar- tın varlığını bilmesi ondan beklenmemelidir38. Örneğin, bir çevrim içi platfor- mun, mesafeli sözleşme kurulurken tüketicinin kredi kartı bilgilerinin işlemesi- ne yönelik xxxx xxxxxx olağan ve beklenebilir karşılanır. Buna karşın, tüketicinin
36 Xxxx Xxxxx, s. 101; Xxxxxxx/Van Der Holf /Xxxxxxxx/Xxxxxxx-Xxxxxx/Xxxxxxxxxx, s. 445;
Article 29 Working Party, Guidelines on Consent Under Regulation 2016/679,
<xxxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxx-xxxxxx.xxx?xxxx_ id=62305>.
37 Xxxxx, Xxxxxxx (2016) “Tüketici Sözleşmelerindeki Haksız Şartlar (TKHK m.5)”, ERÜHFD,
C. XI, S. 1, s. 86; Xxxx, X. Tamer (2014) “Tüketici Sözleşmelerinde Haksız Şartlar”, Xxxxxx Xx- kuk Dergisi, C. 9, S. 89, s. 36; Xxxxxx Xxxx, Şebnem (2016) “Hukukumuzda Haksız Şartlar ve Sonuçları”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, C: 11, S: 0, x. 000 xx.
38 Xxxxxx, Xxxxx M. (2004) “Genel İşlem Şartlarının Denetiminde Yeni Açılımlar”, Prof. Dr. Xxxxx Xxxxxxxxxxxxxxxxx için Armağan, Ankara, Seçkin Yayıncılık, s. 111; Xxxxxxx, Hay- runnisa (2016) “Genel İşlem Şartlarında Şaşırtıcı ve Beklenmedik Şartlar TBK. m.21/I”, Mar- mara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, C: 22, s. 2349-2360.
sağlığına ve cinsel yaşantısına dair verilerin işlenmesine yönelik bir xxxx xxxxxx şaşırtıcı şart olur. Türk Borçlar Kanunu m.21/2 uyarınca, şaşırtıcı şartlar söz- leşmeye yazılmamış sayılır39. Yine de tüketici lehine yorum ilkesi gereği, yazıl- mamış sayılma yaptırımı, tüketici lehine sonuç doğuracak ise uygulanmayabilir.
4. Xxxxx Xxxxxxxx Açıklanmış Olma
Tüketicinin rızasının geçerli olabilmesi için tüketicinin özgür iradesiyle açıklaması gerekir40 Özgür iradeden bahsedebilmek için tüketicinin iradesinin rızasını açıkladığı sırada sakat olmaması gerekir. Aynı şekilde, tüketicinin rıza vermemesinin, aleyhine sonuç doğurmaması gereklidir. Zira eğer ilgili kişi tüke- tici, verilerinin işlenmesine rıza vermemesi halinde hak kaybına uğramayacağını düşünerek rıza göstermek zorunda hissederse, burada kişinin özgür iradesinden bahsedilemez41.
Müşteri sadakat programı yürüten bir mağazanın, sadakat kart sahibi tüke- ticilere indirim yaptığı ve bu karta sahip olmak için tüketicilerin kişisel verileri- nin işlenmesinin zorunlu tutulması üzerine, veri sorumlusu mağaza hakkında Kurum’a ihbarda bulunulmuştur. Bu olaya dair Kurul, her ne kadar sadakat kartı sahibi olan tüketicilere indirim yapılsa da sadakat kartı olmayan müşterile- re de satış yapılmaya devam edildiğini ve bu nedenle kişisel verilerin işlenmesine yönelik açık rızanın hizmet şartı olarak ileri sürülmediğine karar vermiştir42.
Pek çok internet sitesinde veya cep telefonunda kullanılan uygulamalar, ki- şisel verilerin işlenmesine dair rıza almadan sitede ilerlemeye veya kalmaya dahi izin vermemektedir (take it or leave it choices)43. Tüketicinin, kişisel verilerinin
39 Özdemir, s. 2356.
40 Xxxx Xxxxx, s. 106; Xxxxxxx, s. 11.
41 Xxxx Xxxxx, s. 107.
42 İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı” hakkında Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Karar Özeti, <xxxxx://xxx.xxxx.xxx.xx/Xxxxxx/0000/0000-000>.
43 Xxxxxxxxx, Xxxxxxxx X. Zuiderveen/Kruikemeıer, Sanne/Xxxxxxx, Xxxxxx X./Xxxxxxxxx, Xxxxxx (2017) “Tracking Walls, Take-it-or-leave-it Choices, the GDPR and the e-Privacy Re- gulation”, EDPL, S: 3, s. 358.
işlenmesine rıza göstermeden hiçbir işlem yapamayacağına yönelik beyanlar, özgür iradesinin varlığı noktasında şüphe doğurmaktadır. Bu kapsamda örne- ğin, “...com’u kullanmaya devam ettiğiniz sürece kullanım koşullarını kabul eti- ğinizi varsayacağız.” gibi ifadeler ile alınan rıza, KVKK kapsamında geçerli ol- mamalıdır44.
Keza bir başka kararda, farklı satıcı/sağlayıcıların ürün/hizmetlerini karşı- laştırma imkânı sunan bir internet sitesinin üyelik koşulu incelenmiştir. Bu ka- rarda Kurum, internet sitesinin ürün/mal satmadığını ve yalnızca fiyat karşılaş- tırması yaptığını, dolayısıyla tüketici bu çerezleri kabul etmese dahi ürün/hizmetleri satın alabileceğinden açık rızanın hizmet koşuluna bağlanma- dığına karar vermiştir45. Belirtmek gerekir ki, TKHK m.48, sözleşme kurulması- na aracılık etme ifadesini kullanmıştır. Dolayısıyla, bu şekilde sözleşme kurulma imkânı sağlamayan ve yalnızca ürün/hizmetlere ilişkin bilgi veren internet site- leri, aracı hizmet sağlayıcı olarak kabul edilmemelidir.
Kişisel verilerin işlenmesinin, tüketiciye hizmetten yararlanma şartı olarak sunulması, hakkın kötüye kullanılması sonucunu doğurur. Kurum’un Amazon hakkında verdiği kararda, Amazon’un, çerezlerin kabul edilmemesi halinde site üzerinden alışveriş yapılamayacağı şeklindeki çerez politikasının, hakkın kötüye kullanılması, özgür iradenin kısıtlanması ve çerezlere yönelik açık rızanın geçer- siz olması olarak değerlendirmiştir46.
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (TİTEY) m.7/9, “Hizmet sağlayıcı, alıcıdan ticari elektronik ileti onayı vermesini, sunduğu mal ve hizmetin temini için ön şart olarak ileri süremez.” şeklinde düzenlenmiş- tir. Dolayısıyla, kişisel verilerin işlenmesine rıza göstermenin yanında ticari ileti alınmasına rıza gösterilmesi konusunda da tüketiciye baskı kurulamaz.
44 Xxxx Xxxxx, s. 110.
45 Veri sorumlusunun, web sitesinde kişisel verilerin işlenmesini hizmet şartı olarak talep ettiği ve aydınlatma yükümlülüğünü usulüne uygun yerine getirmediği iddiaları hakkında” Kişisel Verileri Koruma Kurulunun 08/07/2019 tarih ve 2019/206 sayılı Karar Özeti, <xxxx.xxx.xx> s.e.t.: 02.10.2022.
46 Kişisel Verileri Koruma Kurulunun 2020/173 Sayılı Kararı, <xxxx.xxx.xx> s.e.t.: 02.10.2022.
Veri Koruma Tüzük m.7’de iradenin özgürce verilip verilmediği değerlendiri- lirken, işlenmesi zorunlu olmayan verilerin işlenmesinin, sözleşmenin kurulması şartına bağlanıp bağlanmadığına bakılması gerektiğini belirtmektedir. Bu kapsam- da, eğer sözleşmenin kurulması için zorunlu olmayan veri işleme faaliyetleri, söz- leşmenin kurulması için şart koşulmuş ise özgür iradeden bahsedilemez47.
Çerezler konusunda ise çevrim içi platform ve internet sitelerinin, çerez kullanımına dair rızayı adeta tüketiciyi mecbur kılacak şekilde tasarlanması ve çerez duvarları oluşturması özgür iradeyi ortadan kaldırır. Çerez duvarları, in- ternet sitesi veya platformun, tüketicinin tüm şartları kabul etmemesi halinde siteye erişim izni vermeyen türde çerezlerdir. Tüketicilerin bu şekilde çerez du- varları olduğunda, hizmet almak için çerez kullanımını kabul etmek zorunda kalması, özgür irade ile karar verme imkanını ortadan kaldırmaktadır. Çerez duvarları özgür iradeyi zedelemenin yanında rıza yorgunluğu yaratmaktadır48. Rıza yorgunluğu, tüketicinin çok fazla rıza göstermesi gerektiği için artık bilgi- lendirmeleri okumadan ve bilinçsizce rıza vermesi olarak tanımlanabilir49.
Veri Koruma Tüzüğü, tasarımla veri koruma ve varsayılan ayarlarla veri ko- ruma (data protection by design and by default) sistemini kabul etmiştir. Ayrıca Article 29 Çalışma Grubu, varsayılan olarak tüm çerezleri reddeden ancak tüke- tici ilgili kişinin kutucuk işaretlemesiyle rıza göstermesine imkân sağlanmasını geçerli rıza olarak kabul etmiştir.
C. DİĞER HUKUKA UYGUNLUK NEDENLERİ
KVKK m.5’te ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlen- mesine ilişkin durumlara yer vermiştir. Çalışmamızın konusunu ilgilendiren ve xxxx xxxx gerektirmeyen durumlardan biri KVKK m.5/2-c’dir. İlgili maddeye göre, sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kay- dıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
47 Polater, s. 12.
48 Taştan, s. 158.
49 Xxxxx, Xxxxxxx Xxx/Xxxxxxxxxx, Mesut (2021) “AB ve Türk Hukuklarında Çerezler, Kişisel Verileri Koruma Dergisi, C: 3, S: 1, s. 66.
halinde xxxx xxxx aranmaz. Buna göre, mesafeli sözleşmenin kurulması veya ifasıyla doğrudan ilişkili kişisel veriler, tüketici xxxx xxxx göstermese dahi işlene- bilir. Örneğin, tüketiciye kargo aracılığıyla teslimat yapılacak ise tüketicinin isim, adres, telefon numarası gibi verileri sözleşmenin ifası amacıyla işlenmek zorundadır. Bu noktada, artık tüketicinin açık rızası aranmayacaktır. Buna kar- şın, tüketiciye reklam amaçlı bildirim yapılmak istenirse, sözleşmenin ifasıyla doğrudan alakalı olmadığından reklamlara ilişkin xxxx xxxx alınmalıdır50.
Bir diğer hukuka uygunluk nedeni ise KVKK m.5/2-ç’dir. Buna göre, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde, tüketici ilgili kişinin verileri xxxx xxxx olmaksızın işlenebilir. Veri so- rumlusunun olası bir uyuşmazlık halinde bir ispat aracı olarak kullanabilmesi için çağrı merkezi ile yapılan görüşmeleri muhafaza etmesi bu duruma örnek teşkil edebilir. Bilgi Teknolojileri ve İletişim Kurulu’nun 2016/DK-YED/517 sayılı kararı ile düzenlenen Posta Gönderilerine İlişkin Usul ve Esaslar m.4’te haberleşme amacı dışındaki gönderilerde, sağlayıcıların edinmesi gereken bilgi- ler belirtilmiş ve bunların iki yıl saklanması gerektiği düzenlenmiştir. Bu kap- samda, mesafeli sözleşmelerde tüketicinin m.4’te yer alan kişisel verilerinin iki yıl süreyle işlenmesi kanuni bir yükümlülüktür.
Son olarak KVKK m.5/2-f, ilgili kişinin temel hak ve özgürlüklerine zarar ver- memek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zo- runlu olması halini düzenlemiştir. Buna benzer düzenleme olan Veri Koruma Tü- züğünün Giriş Kısmında bu duruma, ilgili kişinin, veri sorumlusunun müşterisi olması durumu örnek verilmiştir. Veri sorumlusu olan bir satıcının, müşteri mem- nuniyetini, ürün-kalite değerlendirmesi yapmak amacıyla tüketicinin alışveriş de- ğerlendirmelerine veya alışkanlıklarına ilişkin verileri işlemesi örnek olabilir.
Belirtmek gerekir ki xxxx xxxx alınması gerekmeyen bu hallerde, ayrıca xxxx xxxx alınması dürüstlük kuralına aykırı olur51. Zira xxxx xxxx gerekmediği halde rıza alınması, ilgili kişide sanki rıza göstermeme ya da rızasını geri alma hakkı varmış gibi bir izlenim uyandırabilmektedir.
50 Polater, s. 16.
51 <xxxxx://xxx.xxxx.xxx.xx/Xxxxxx/0000/0000-000>.
IV. ÇEREZ UYGULAMALARI İLE KİŞİSEL VERİLERİN İŞLENMESİ
A. ÇEREZ TANIMI VE TÜRLERİ
Günümüzde, veriler adeta “yeni petrol” olarak kabul edilmektedir. Bu ne- denle, veriler ve veri profilleme başlı başına bir ticaret alanı haline gelmiştir. Yapılan araştırmaya göre, en çok kullanılan 500 internet sitesinin en az %90’ı, kullanıcılarından elde ettikleri verileri üçüncü kişilere satmaktadır52. Satılan veriler, her ne kadar anonim hale gelse de yapay zekâ uygulamalarıyla, yaş ve cinsiyet gibi gruplara ayrılması mümkündür. Bu nedenle de verilerin korunması noktasında sorunlar doğma ihtimali mevcuttur.
Dijital pazarlamacılar, yapay zekâ, sosyal ağ analizi, veri madenciliği gibi yöntemlerle veri toplama, profil oluşturma ve çevrim içi hedefleme gibi amaçla- ra ulaşmaya çalışır. Geleneksel reklamcılığın aksine dijital pazarlamacılar, kişi- selleştirilmiş ve hedeflenmiş pazarlama tekniklerini veri optimizasyonu ile daha etkili kullanabilmektedir. Verileri etkili kullanabilmek adına “kendi kendini ayarlayan” algoritmalar, “amaç” verileri ve “sürükleyici” multimedya gibi tek- niklere dayanarak tüketiciler, düzenli olarak sosyal ağlar, oyun platformları, sanal dünyalar ve çevrim içi videoların içinde gizlenen çerezler ile izlenir53.
Çerez (Cookie), internet sitesi operatörleri tarafından kullanıcı cihazına yer- leştirilen bir tür metin dosyasıdır54. İnternet kullanıcılarının çevrim içi hareket- lerinin terminal cihazlarında depolanmasını sağlar ve kullanıcının tarayıcısında saklanıp kullanıcıya ilişkin bu bilgileri aktarır. Çerezler, tüketiciler bakımından, profilleri oluşturularak reklam amaçlı kullanılmaktadır. Kişisel verileri işleyen
52 Xxxxxxx, Xxxx/Xxxxxx, Xxxxxxxxx E./Xxxxxxxxx, Xxxxxxx (2019) “Frontiers: How Effective is Third-Party Consumer Profiling? Evidence from Field Studies”, Marketıng Science, C: 38, S: 6, s. 918-926.
53 Xxxxxxx, Xxxx (2012) “Cookie Wars: How New Data Profiling and Targeting Techniques Thre- aten Citizens and Consumers in the “Big Data” Era”, Xxxxxxxx, S., Xxxxxx, R., Xx Xxxx, P., Po- ullet, Y. (edt.) European Data Protection: In Good Health? Springer, Dordrecht.
54 KVKK Rehber, 2022; Xxxxx, Xxxxxx (2013) “Much Ado About Cookies: The European Debate on the New Provisions of the E-privacy Directive Regarding Cookies,” ERPL, C. 1, s. 222-223; Keser Berber, 2014, s. 23; Xxxxx ve Xxxxxxxxxx, s. 63; Xxxxxx, Xxxxxxx N., (2017) “The Way the Cookie Crumbles: Online Tracking Meets Behavioural Economics”, IJ-IT, C. 25, s. 39.
çerezler olabileceği gibi kişisel verileri işlemeyen çerezler de olabilir. Çalışma- mız, tüketici hukuku özelinde ve kişisel verileri işleyen çerez ile sınırlıdır.
Çerezler, sürelerine, amaçlarına ve taraflarına göre üçe ayrılır.55 Sürelerine göre çerezler, oturum çerezleri (session cookies) ile kalıcı çerezlerdir. Oturum çerezleri, tüketicinin internette kalmasını sağlayan ve sayfayı kapadıktan sonra silinen çerezleridir. Kalıcı çerezler ise internet sayfası kapatılsa da verileri sakla- maya devam eden ancak belli bir süre sonra silinebilen çerezlerdir. Bunlar, hem banner şeklinde reklam amaçlı alarak hem de belli seçimlerin silinmemesi ama- cıyla kullanılmaktadır. Örneğin, tüketicinin alışveriş sepetindeki ürünlere tekrar dönebilmesi bu çerezler vasıtasıyla sağlanmaktadır.
Kullanım amaçlarına göre çerezler ise zorunlu çerezler, işlevsel, performans ve reklam amaçlı çerezler olarak dörde ayrılmaktadır. Zorunlu çerezler, internet sitesinin düzgün çalışmasını sağlayan çerez olduğundan xxxx xxxx gerekmeyen hallerden KVKK m.5/2 ile m.6/3 kapsamında değerlendirilmelidir56. İşlevsel çerezler daha çok kullanıcı açısından kolaylık sağlayan, dil ve benzeri tercihlerin hatırlanmasını sağlayan çerezlerdir. İşlevsel çerezler, internetten yararlanmayı engellemediğinden açık rızaya dayanmalıdır57.
Performans çerezleri ise internet sitesinin, örneğin çevrim içi alışveriş plat- formunun, çeşitli verileri analiz edebilmesini sağlayan çerezlerdir. Bu çerezler vasıtasıyla platform, günlük ziyaretçi sayısını, tüketicinin bir ürünü satın almaya karar vermeden önce kaç dakika çevrim içi kaldığını, hangi ürünleri incelediğini analiz edebilir. Reklam amaçlı çerezler ise kişiye özel reklamların oluşturulması amacıyla kullanılmaktadır. Bu çerezler, tüketicileri ve onların tercihlerini izleye- rek analiz eder ve her tüketiciye en uygun ürün /hizmet eşleşmesini bularak kişiye özel reklam oluşturur. Kişinin birkaç defa spor ayakkabı ürünlerini ince- lemesinden sonra diğer markalara ait spor ayakkabı reklamlarının banner olarak karşısına çıkması bu çerezler sayesinde olmaktadır.
55 KVKK Rehber, 2022.
56 <xxxxx://xxx.xxxx.xxx.xx/Xxxxxx/0000/0000-000>.
57 KVKK Rehber, 2022.
Taraflarına göre çerezler ise birinci ve üçüncü taraf çerezleri olarak ikiye ay- rılır. Birinci taraf çerezler, tüketicinin kullandığı internet sitesi tarafından yerleş- tirilen çerezler iken üçüncü taraf çerezleri internet sitesinden farklı tarafların yerleştirdiği çerezlerdir58. Article 29 Çalışma Grubu, tüketicinin alışveriş sepetini ileten birinci taraf çerezlerini, hizmetin sunulması için zorunlu olarak belirle- miştir. Üçüncü taraf çerezleri, kimin tarafından izlendiği belli olmadığından kişisel verilerin güvenliği bakımından birinci taraf çerezlerine göre daha ciddi tehlike oluşturur59.
Çerezler, KVKK’da düzenlenmemiştir. 5809 sayılı Elektronik Haberleşme Kanunu (EHK) çerezler bakımından kısmen uygulama alanı bulur. EHK, elektro- nik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve elektronik haberleşme altyapısını işleten şirketler bakımından geçerlidir. Ancak, haberleşme sağlamayan diğer internet sağlayıcıları kapsama alanına girmez.
2002/58/EC sayılı Direktif’te Kriter A ve Kriter B olarak iki durum, ilgilinin açık rızası gerekmeksizin çerez kullanımı ile ilgilidir. Kriter A, iletişimin elekt- ronik haberleşme şebekesi üzerinden sağlanması durumudur. Bu çerezler kulla- nılmadan iletişim sağlanamayacağından, xxxx xxxx aranmamaktadır60. Kriter B ise mesafeli sözleşme de dâhil olmak üzere çevrim içi olarak kurulan diğer hiz- metlere ilişkindir61. Bu kriter kapsamında, tüketicinin almak istediği hizmetin sağlanması için çerez kullanımı şart olmalıdır. Çevrim içi alışveriş hizmeti sunan bir platformun, tüketicinin seçimlerini ödeme sayfasında hatırlaması bu kriter kapsamına girer62. Bunun gibi, sürekli olmayan kimlik doğrulama çerezleri de kriter B kapsamında değerlendirilmelidir. Bu çerezler, tüketici bir internet site- sine giriş yaptığında, kişinin kimlik doğrulamasını hatırlar ve böylece kişi, say- fayı her yenilediğinde tekrar giriş yapmak zorunda kalmaz. Sürekli olan kimlik doğrulama çerezlerinde ise tüketiciden aktif bir davranış beklenir ve bu davranış
58 KVKK Rehber, 2022.
59 Xxxxx ve Xxxxxxxxxx, s. 63.
60 Article 29 Data Protection Working Party, 2012.
61 Avrupa Veri Koruma Kurulu, 2020.
62 Aksoy ve Xxxxxxxxxx, s. 67.
genelde, “Beni hatırla” şeklinde kutucuğun onaylanması şeklinde talep edilir. Örneğin, Trendyol sitesine bir kez giriş yapıldıktan sonra her sayfa değişikliğin- de tekrar kimlik doğrulama talep edilmemesinin nedeni sürekli çerezlerdir.
Article 29 Çalışma Grubu’na göre, üçüncü taraf pazarlama çerezleri ile per- formans (analitik) çerezleri, sözleşmenin kurulması için zorunlu olmadığından Kriter B kapsamında yer almaz63. Dolayısıyla, günlük ziyaretçi sayısını öğrenmek isteyen veri sorumlusu platform, tüketicilerden bu veriyi sağlayacak çerez kulla- nımı için xxxx xxxx talep etmelidir.
B. ÇEREZ POLİTİKALARI
Çerez ayarları, tüketicinin çerez hakkında bilgilendirilmesi, çerezlerin akta- rım ve silinme yöntemleri çerez politikalarını oluşturur. Çerez politikalarına ilişkin müstakil bir düzenleme yoktur. AB vatandaşlarının erişebildiği internet sayfalarına Veri Koruma tüzüğü uygulanacağından çerez politikaları hazırlanır- ken 2002/58/EC sayılı Direktif hükümlerinin göz önüne alınması isabetli olur.
Çerez politikalarında en önemli iki konu tüketicinin yeterli ve anlaşılabilir şekilde bilgilendirilmesi ve xxxx xxxx gereken durumlarda rızanın alınmasıdır. Bilgilendirme konusunda, tüketiciye çerezler hakkında güncel, doğru ve tam bilgi verilmelidir. Bu kapsamda, çerezlerin kimler tarafından kullanıldığı, ne kadar süre ve nerede depolandığı, silme ve imha politikaları hakkında yeterli bilgi verilmelidir.
Çerezler, xxxx xxxx verilmesinin gerekip gerekmediği noktasında ikiye ayrı- lır. Bir tarafta xxxx xxxx gerektirmeyen zorunlu çerezler; diğer tarafta xxxx xxxx gerektiren zorunlu olmayan çerezler yer alır. Dolayısıyla, sistemin çalışması için elzem olan ve mutlak suretle işlenmesi gereken çerezler söz konusu ise artık tüketicinin açık rızası gerekmez64. Buna karşın, izin verilmese dahi sistemin çalı- şabileceği ve daha çok performans, reklam ve analiz amaçlı kullanılan çerezler için xxxx xxxx gerekir.
63 Article 29 Data Protection Working Party, 2012.
64 Kişisel Verileri Koruma Kurumu 2022/229 sayılı Karar Özeti, <xxxx.xxx.xx> s.e.t.: 02.10.2022.
Bu onay, pop-ups şeklinde ekranda beliren açılır pencere şeklinde alınmak- tadır. Bu açılır pencerelerde, kişisel verilerin işlenmesine ilişkin bilgi verilmeli- dir. Özellikle, zorunlu olmayan çerezlerin varlığı halinde bunların neler olduğu, hangi amaçla ve kimlerle paylaşılmak üzere kişisel verilerinin işlendiğine dair bilgi verilmelidir. Kurum’un önün gelen olayda, pop-ups şeklindeki kutucukta “Çerez kullanımı sitemizi aktif şekilde kullanmanızı sağlamaktadır. Detaylı bilgi için ... adresi ziyaret ediniz.” şeklindeki ifadenin, zorunlu olmayan çerezlere ilişkin bilgi vermediğine karar vermiştir65.
Bu açılır pencerelerin, tüketiciye mutlaka tercih hakkı sunması gerekir. Tü- keticiye tercih hakkı sunmadan sadece xxxx xxxx vermesine yönelik seçim yap- maya zorlanması özgür irade ile verilmiş bir rıza olmayacağından geçerli sayıl- mamalıdır66.
Bir diğer önemli husus ise varsayımsal ayar olarak tüm çerezlere izin veril- miş şekilde seçim sunulmamasıdır. Kesin gerekli çerezler bakımından, varsa- yımsal ayarda onay verilmesi makul olacak iken örneğin reklam amaçlı çerezlere varsayımsal olarak rıza verilmiş olması tüketiciyi yanıltıcı nitelikte olur. Dolayı- sıyla, açılır pencerelerde varsayımsal olarak tüm çerezlere xxxx xxxx verilmiş ol- ması geçerli bir rıza olmaz.
V. MESAFELİ SÖZLEŞMELERDE TÜKETİCİLERİN KİŞİSEL VERİLERİNİN KORUNMASI
A. SATICI VE/VEYA SAĞLAYICININ YÜKÜMLÜLÜKLERİ
TKHK kapsamında, tüketicilerin kişisel verilerinin korunmasından en başta tüketici işleminin tarafı olan satıcı veya sağlayıcı, veri sorumlusu olarak sorumlu olur. Zira tüketici işleminin bir tarafında tüketici yer alırken diğer tarafında satıcı/sağlayıcı yer almaktadır. Satıcı/sağlayıcı, bu ilişkide veri sorumlusu sıfatına sahiptir. Dolayısıyla KVKK m.12 kapsamında kişisel verilerin işlenmesinden sorumlu olur.
65 Kişisel Verileri Koruma Kurumu 2022/229 sayılı Karar Özeti, <xxxx.xxx.xx> s.e.t.: 02.10.2022.
66 KVKK Rehber, 2022.
Satıcı/sağlayıcı, internet üzerinden satış yapıyor ise alışveriş sitelerinin güvenli- ğini sağlamalı ve tüketicileri kişisel verilerinin güvenliğini sağlamaya teşvik etmeli- dir. Örneğin, Kurum’un önüne gelen olayda, iki faktörlü kimlik doğrulama yöntemi kullanmayan ve tüketicilerin üye girişi için kullanacağı şifreleri zor kombinasyonlar oluşturarak seçmeye zorlamayan, basit şifre kombinasyonları yapmasına izin veren, satıcı aleyhine gerçekleşen ihlal sonrasında idari para cezası hükmetmiştir67.
B. ARACI HİZMET SAĞLAYICININ YÜKÜMLÜLÜKLERİ
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik m.12’de kişisel verilerin korunmasına ilişkin bir hüküm yer almaktadır. Buna göre, Ba- kanlıkça ticari elektronik ileti yönetim sistemini kurmakla yetkilendirilen kuru- luşlar, sağlayıcı ve aracı hizmet sağlayıcı, kişisel verilerin muhafazası ve korun- masından sorumludur. Bu verilerin, üçüncü kişiler ile paylaşılması için ilgililer- den aktarma öncesi rıza alınması gerekir.
MSY’deki değişiklik ile birlikte aracı hizmet sağlayıcı da platform üzerinden mesafeli sözleşme kurulmasına aracılık etmesinden dolayı kişisel verilerin ko- runmasından satıcı/sağlayıcı ile birlikte müteselsil sorumlu olur. MSY’de yapı- lan değişiklik sonrası, aracı hizmet sağlayıcı, MSY’de yer alan satıcı veya sağlayı- cı ile yapılan işlemlere ilişkin kayıtları üç yıl boyunca tutmakla yükümlüdür. TKHK m.48/5’te aynı yükümlülüğü düzenlemiştir. Her iki maddede de aracı hizmet sağlayıcı, belli verileri kanunen işlemek zorundadır. Bunun dışında, TKHK veya MSY’de, kişisel verilerin işlenmesinden doğan sorumluluk bakı- mından bir düzenleme yapılmamıştır.
Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkın- da Yönetmelik m.10’a göre, hizmet sağlayıcı ve aracı hizmet sağlayıcı, bu Yö- netmelik çerçevesinde yaptığı işlemler ve sunduğu hizmetler nedeniyle elde ettiği kişisel verilerin, 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu ve diğer ilgili mevzuat hükümleri saklı kalmak kaydıyla muha- fazasından ve hukuka aykırı olarak bunlara erişilmesini ve işlenmesini önlemek amacıyla gerekli tedbirlerin alınmasından sorumludur.
67 Kişisel Verileri Koruma Kurumu 2020/567 sayılı Karar Özeti, <xxxx.xxx.xx> s.e.t.: 02.10.2022.
E-ticaret Kanunu’nda 7416 Sayılı Kanun’la yapılan değişiklikler öncesi m.10’da aracı hizmet sağlayıcı için kişisel verilerin korunması yükümlülüğü öngö- rülmüştü. Mülga hükme göre aracı hizmet sağlayıcı yapmış olduğu işlemler nede- niyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur ve kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Bu hüküm 7416 Sayılı Kanun ile yürürlükten kaldırılmıştır.
Tüketicinin kişisel verilerinin korunması hususunda aracı hizmet sağlayıcı- ya sorumluluk yükleyen bu hükmün kanun metninden çıkarılması, aracı hizmet sağlayıcının artık kişisel verilerin korunmasından sorumlu olmadığı anlamına gelmemektedir. Bu şekilde bir düzenleme yapılmasının sebebi, konu ile ilgili olarak özel olarak düzenlenen KVKK hükümlerinin uygulanmasıdır.
Aracı hizmet sağlayıcı ile satıcı/sağlayıcının, tüketiciye karşı tüketici işle- minden doğan her türlü davranışından müteselsilen sorumlu olması TKHK ve MSY’de düzenlenmiştir. Kişisel verilerin korunması bakımından, bu şekilde düzenleme olmasa bile aynı sonuca KVKK m.12 ile ulaşılabilir. Zira KVKK m.12, veri sorumlularını her şekilde kişisel verilerin işlenmesinden sorumlu tutmaktadır. Aracı hizmet sağlayıcısı ile satıcı/sağlayıcı, veri sorumlusu oldu- ğundan TKHK ve MSY’de yer almasa da KVKK m.12 uyarınca kişisel verilerin işlenmesinden dolayı tüketiciye karşı sorumludur.
C. TÜKETİCİNİN KVKK KAPSAMINDA SAHİP OLDUĞU HAKLAR
Kanun’un 11. maddesinde ilgili kişinin hakları belirlenmiştir. İlk hak olarak ilgili kişi, kişisel verilerinin işlenip işlenmediğini öğrenme hakkına sahiptir. Buna mukabil, kişisel verileri işlenmiş ise işleme faaliyetlerine ilişkin bilgi talep etme hakkı vardır. Bu hak kapsamında ilgili kişi, veri sorumlusuna başvurup kişisel verilerinin işlenmesine dair bilgi talep edebilir.
İlgili kişiye bu şekilde bir hak tanınmasının başlıca sebebi, ilgili kişinin kişi- sel verilerinin aktif olarak korunabilmesidir. Zira ancak kişisel verileri hakkında bilgi sahibi olan ilgili kişi, işlenmeden dolayı sahip olduğu hakları kullanabilir.
İkinci olarak, ilgili kişi kişisel verilerinin işlenme amacını ve verilerin ama- cına uygun işlendiğini öğrenme hakkına sahiptir. Bu hakkın kullanılmasına
müteakip, verilerin işlenme amacına aykırılık tespit ederse veri sorumlusuna başvurabilir. GDPR, veri sorumlularına, ilgili kişilerin kişisel verilerine erişim yükümlülüğü getirmiştir.
Üçüncü olarak ilgili kişi, kişisel verilerinin yurt içinde veya yurt dışına akta- rıldığı üçüncü kişileri bilme hakkına sahiptir. Dördüncü olarak, kişisel veriler eksik veya yanlış işlenmiş ise ilgili kişi, veri sorumlusuna başvurarak eksiklikle- rin giderilmesini ve hataların düzeltilmesini isteme hakkına sahiptir.
Beşinci olarak, kişisel verilerin silinmesini veya yok edilmesini talep etme hakkına sahiptir. Ayrıca, verilerin silindiğini ya da yok edildiğinin kişisel verile- rin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkına da sahiptir. Veri sorumlusu, ilgili kişi bu hakkını kullandığında talebini en geç otuz gün içinde yerine getirmelidir. Ancak, veri sorumlusunun verileri saklaması için kanuni yükümlülük gibi, geçerli bir hukuki dayanağı varsa gerekçesini ilgili kişiye açık- layarak talebi yerine getirmeyebilir. Altıncı hak, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkıdır. Tüketicinin bu haklarının yanı sıra, KVKK m.11/ğ ve m.14’e dayanarak tazminat davası açması da müm- kündür68
SONUÇ
Mesafeli sözleşmelerin kullanımı son yıllarda giderek artmıştır ve artmaya da devam edecektir. Zaman tasarrufu sağlaması ve internetin olduğu her yerden kurulabilir olması gibi avantajlarının yanında tüketici açısından belirli riskler barındıran noktalar olsa da mesafeli sözleşmeler artık hayatın vazgeçilmez par- çasıdır. Mesafeli sözleşmelerde, tüketicinin kişisel verilerinin işlenmesi kaçınıl- mazdır. İlgili kişi olan tüketicinin isim, iletişim bilgileri, kredi kartı gibi pek çok verisi işlenmek zorundadır. E-ticaret Kanunu’nun kişisel verilerin korunmasına ilişkin hükmü yürürlükten kaldırılmış ve bu konuda KVKK uygulama alanı bulmuştur. Gerek satıcı/sağlayıcı gerekse aracı hizmet sağlayıcı, tüketici işlemle-
68 Xxxx Xxxxx, s. 311.
rinden dolayı tüketiciye karşı sorumludur. Her ne kadar, TKHK ve MSY’de kişisel veriler bakımından bir düzenleme olmasa da satıcı/sağlayıcı ve aracı hiz- met sağlayıcı, KVKK uyarınca veri sorumlusu olarak tüketicinin kişisel verileri- nin korunmasından sorumludur. Dolayısıyla, tüketicinin kişisel verilerinin ko- runması için öncelikle kişisel veriler, KVKK dikkate alınarak işlenmelidir. Bu kapsamda, KVKK’da belirlenen veri işleme ilkelerine riayet edilmelidir. Tüketi- cinin kişisel verilerinin en fazla işlendiği çerez politikaları ise varsayımsal ayar olarak veri asgarileştirme ilkesine uygun olmalıdır.
KAYNAKÇA
Xxxxxx Xxxxxx/Xxxxxx, Alper (2013) “6502 Sayılı Tüketicinin Korunması Hakkında Kanunun Bazı Hükümlerine (M.1-16) İlişkin Bir İnceleme”, İnönü Üniversitesi Hu- kuk Fakültesi Dergisi, C: 4, S: 2, s. 241-276.
Xxxxxx Xxxx, Şebnem (2016) “Hukukumuzda Haksız Şartlar ve Sonuçları”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, C: 11, S: 2, s. 201-218.
Xxxxxx Xxxx, Şebnem/Kara, İlhan (2021) Tüketici Xxxxxx Xxxxxxxx, Ankara, Yetkin Yayınları.
Xxxxxx, Xxxxxx (2016) “Madde-3 Mesafeli Sözleşmeler”: Xxxxxx, Xxxxx/Tüzüner, Özlem (Editörler), Milli Şerh (National Commentary), İstanbul, Xxxxxx Xxxxx Yayı- nevi.
Xxxxx, Xxxxxxx Xxx/Xxxxxxxxxx, Mesut (2021) “AB ve Türk Hukuklarında Çerezler”, Kişisel Verileri Koruma Dergisi, C: 3, S: 1, s. 61-88.
Article 29 Data Protection Working Party (2016) Guidelines on Consent Under Regulation 2016/679, <xxxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxx-xxxxxx.xxx?xxxx_ id=62305>.
Xxxx Xxxxx, Cihan (2016) “Tüketicinin Korunması Hakkında Kanun Kapsamında Mesafeli Sözleşmeler”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, C: 12, S: 2, s. 17-45.
Xxxx Xxxxx, Cihan (2018) “Kişisel Verilerin İşlenmesinde Rıza”, Yeditepe Üniversitesi Hukuk Fakültesi Dergisi, C: 15, S: 1, s. 13-35.
Xxxxx, Xxxx (2016) “Tüketici Sözleşmelerindeki Haksız Şartlar (TKHK m.5)”, ERÜHFD, C: XI, S: 1, 83-123.
Aydoğdu, Xxxxx (2015) Tüketici Xxxxxx Xxxxxxxx, Ankara, Adalet Yayınevi.
Bal, Xxxxx (2022) “Tacirin Tüketici Sıfatı Sorunu”, Türkiye Adalet Akademisi Dergisi, S: 50, s. 365-384.
Baş Süzel, Ece (2022) Mesafeli Sözleşmeler ve İş Yeri Dışında Kurulan Sözleşmeler, İstanbul, On İki Levha Yayınları.
Xxxxxx, Xxxxxx (2018) “Xxxx Xxxx Xxxxxxxxxx Fiziki ve Sanal Ortamda Uygulama So- runları”, s. 16-25, III. Kişisel Sağlık Verileri Ulusal Kongresi, İstanbul: İTTBY.
Xxxxxxxxx, Xxxxxxxx X. Zuiderveen/Kruıkemeıer, Sanne/Xxxxxxx, Xxxxxx X./Xxxxxxxxx, Xxxxxx (2017). “Tracking Walls, Take-it-or-leave-it Choices, the GDPR and the e-Privacy Regulation”, EDPL, S: 3, s. 347-367.
Xxxxxxx, Xxx X. (1998) “Data Protection Pursuant to the Right to Privacy in Human Rights Treaties”, International Journal of Law and Information Technology, C: 6, s. 247-284.
Xxxxxxx, Xxxx. (2012) “Cookie Wars: How New Data Profiling and Targeting Techniques Threaten Citizens and Consumers in the “Big Data” Era.” In: Xxxxxxxx, X., Xxxxxx, R., Xx Xxxx, P., Xxxxxxx, Y. (eds) European Data Protection: In Good Health? Sprin- ger, Dordrecht.
Xxxxxx, Xxxxxxx N., (2017) “The Way the Cookie Crumbles: Online Tracking Meets Behavioural Economics”, IJ-IT, C: 25, s. 38-62.
Xxxxxxx, Xxxx/Xxx Xxx Xxxx, Xxxxxx /Xxxxxxxx, Xxxx/Xxxxxxx-Xxxxxx, Xxxx- xx/Xxxxxxxxxx, Xxxxxxx. (2013) “Informed Consent in Social Media Use- The Gap Between User Expectations and EU Personal Data Protection Law”, Scripted, C. 10, S: 4, s. 437-457.
Çabri, Sezer (2021) Tüketicinin Korunması Hakkında Kanun Şerhi, 2. Baskı, Ankara, Adalet Yayınevi.
Çakırca, Xxxx Xxxx (2018) “6502 Sayılı Tüketicinin Korunması Hakkında Kanun’a Göre Mesafeli Sözleşmeler”, Banka ve Ticaret Hukuku Dergisi, C: 34, S: 3, s. 99-147.
Xxxxx, Xxxxxx (2015) Mesafeli Sözleşmelerin İnternet Üzerinden Kurulması, Ankara, Turhan Kitapevi.
Doğan, Cihan (2021) Rekabet Hukuku ve İktisadı Bağlamında Dijital Platformlar, İs- tanbul, On İki Levha Yayıncılık.
Xxxxxxxx Xxxxxxx, Sevgi (2019) Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, İstanbul, On İki Levha Yayınları.
Gümüş, Xxxxxxx Xxxxx (2014) 6502 Sayılı Tüketicinin Korunması Hakkında Kanun Şerhi, C: 1 İstanbul, Vedat.
Xxxx, X. Tamer (2014) “Tüketici Sözleşmelerinde Haksız Şartlar”, Terazi Hukuk Dergisi, C: 9, S: 89, s. 32-57.
Xxxxx, Xxxxxxxx (2020) “Tüketicinin Kişisel Verisinin İşlenmesinde Xxxx Xxxx”, SÜHFD, C: 28, S: 3, s. 1181-1215.
Xxxxx Xxxxxx, Xxxxx (2014) Çevrim içi Davranışsal Reklamcılık, İstanbul, On İki Levha Yayınları.
Xxxxx Xxxxxx, Xxxxx/Xxxxxx, Ayça/Mert, Melis (2019). “E-Gizlilik Tüzük Taslağının Son Versiyonu Üzerine Düşünceler”, Kişisel Verileri Koruma Dergisi, C: 2, S: 1, s. 66-74.
Xxxxx, Xxxxxx (2013) “Much Ado About Cookies: The European Debate on the New Provisions of the E-privacy Directive Regarding Cookies,” ERPL, C: 1, s. 222-223.
Xxxxxxx, Xxxx/ Xxxxxx, Xxxxxxxxx E./ Xxxxxxxxx, Xxxxxxx (2019) “Frontiers: How Effective is Third-Party Consumer Profiling? Evidence from Field Studies”, Marke- ting Science, C: 38, s. 918-926.
OECD, “Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value”, OECD Digital Economy Papers, Xx. 000, XXXX Xxx- xxxxxxx, Xxxxx, 0000.
Xxxx, Xxxxx (2013) “Elektronik Ortamda Kişisel Verilerin Korunması, Bazı Ülke Uy- gulamaları ve Ülkemizdeki Durum”, Uyuşmazlık Mahkemesi Dergisi, S: 3, s. 1-38.
Özbay Özdoğru, Zeynep (2022) İnternet Ortamında Faaliyet Gösteren Aracılık Edenle- rin Mesafeli Sözleşmeden Dolayı Tüketiciye Karşı Sorumluluğunun Şartları, İstan- bul: On İki Levha Yayınları.
Xxxxxxx, Xxxxxxxxxx (2016) “Genel İşlem Şartlarında Şaşırtıcı ve Beklenmedik Şartlar TBK m.21/II”, Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, C: 22, S: 3, s. 2349-2360.
Özdemir, Hayrunnisa (2020) Türk Hukukunda Tüketicilerin Kişisel Verilerinin Ko- runması, Ankara, Aristo Yayınevi.
Xxxx Xxxxx, Miray (2022) Özel Nitelikli Kişisel Verilerin İşlenmesi ve Bundan Doğan Sorumluluk, İstanbul, On İki Levha Yayınları.
Xxxxxxx, Xxxxx (2019) “Kişisel Verilerin Reklam Amaçlı İşlenmesinde Hukuka Uygunluk Sebepleri”, Kişisel Verileri Koruma Dergisi, 1(1), s. 1-20.
Xxxxxx, X. Xxxxx (2011) Internet and the Law, Palgrave.
Taştan, Xxxxxx Xxxxx (2017) Türk Sözleşme Hukukunda Kişisel Verilerin Korunması, İstanbul, On İki Levha Yayınları.
Xxxxxxxxx, Xxxxxxx (2016) Madde-48 Mesafeli Sözleşmeler: Xxxxxx, Hakan/Tüzüner, Özlem (Editörler), Milli Şerh (National Commentary), İstanbul, Xxxxxx Xxxxx Yayı- nevi.
Xxxxxxx, Xxxxxx (2018) The GDPR and the Internet of Things: A Three-Step Transpa- rency Model”, Law, Innovation And Technology, C: 10, S: 2, 2018.
Xxxxx X. Xxxxxx, (2004) “Genel İşlem Şartlarının Denetiminde Yeni Açılımlar”, Prof.
Dr. Xxxxx Xxxxxxxxxxxxxxxxx için Armağan, Ankara, Seçkin Yayıncılık.