Çerezler (Cookies) ve GDPR İhlali: Oracle ve Salesforce Grup Davası

I. Giriş

Çerezler (“Cookies”); web sitesi ziyaretleri arasında verilerinizi depolayarak yapacağınız sonraki ziyaretler için size özelleştirilmiş bir deneyim sunmayı amaçlayan bir teknolojidir. Bir nevi web sitelerin hafızasıdır. Çerezler;

• Online alışveriş web sitelerinde sepetinizde neler kaldığını hatırlamada;
• Kullanıcı adınızı ve parolanızı hatırlamada;
• Web sitesi trafiğini analiz etmede;
• Kullanıcının tarayıcı davranışlarını izlemede;
• Özelleştirilmiş reklam sunmada kullanılırlar.

Çerez türleri; Session cookies (geçici çerez/oturum çerezi), Persistent cookies (kalıcı çerez), Third-party cookies (üçüncü taraf çerezleri), First-party cookies (birinci taraf çerezleri)’dir. Session cookies; tarayıcının oturumu kapadıktan sonra sona eren/vadesi dolan çerez türü olup kullanıcı tarayıcıyı kapattıktan sonra bilgiler serverdan silinir. Web sitesi kullanımı sırasında sitenin kullanıcının hareketlerini hatırlar.[1] Örnek olarak alışveriş sitelerindeki sepet listesini söyleyebiliriz. Sepete bir ürün ekleyip sayfalar arası geçiş (çeşitli ürünleri incelerken vb.) yaptığınızda seçtiğiniz ürünün hala sepette olduğunu görürsünüz fakat siteyi kapatıp açtığınızda sepetiniz boş görünecektir, bunu sağlayan session cookies’tir[2] ve persistent cookie’ye göre gizliliğe daha az müdahale eder. Persistent cookies; web sitelerini gezerken, sitelerin (web server) tarayıcılar aracılığıyla hard diskinize bıraktığı küçük bilgilerdir[3]. Kullanıcının cihazında kullanımları arasınca depolanırlar. Kullanıcıların tercihleri ve seçimlerini hatırlar örnek olarak parolamı hatırla seçeneğini seçtiğimizde siteden çıkış yapsak da sitenin bizi tekrar girdiğimizde hatırlamasıdır. Kalıcı çerezler, geçerlilik tarihi sona erene kadar veya kullanıcı çerezleri silene kadar bilgisayarda dururlar. Geçerlilik tarihi ise server tarafından belirlenir. Tabi ki kalıcı çerezleri manuel olarak ya da tarayıcı ayarlarını belirli aralıkta çerezleri silecek şekilde ayarlayarak silebiliriz. Üçüncü taraf çerezleri; kullanıcının ziyaret ettiği alan dışındaki bir alan tarafından ayarlanır. Bu genellikle web sitesi resimler, sosyal medya eklentileri (Twitter, Facebook) veya reklamlar gibi diğer sitelerden öğeler içerdiğinde ortaya çıkar. Çok çeşitli olabilir ve istatistiksel, kullanım verileri toplayabilir, kullanıcı zevklerini toplayabilir vb. Ayrıca, istatistiksel amaçlar için ziyaretçiler hakkında her türlü bilgiyi toplayan Google Analytics gibi analitik hizmetler, Google Adsense vb. de 3. taraf çerezlerine örnek gösterilebilir. Son olarak birinci taraf çerezleri ise, doğrudan kullanıcının ziyaret ettiği web sitesi, yani tarayıcının adres çubuğunda görüntülenen URL tarafından ayarlanır.[4]

–

II. Çerezlerin Kişisel Veri Niteliği ve Açık Rıza Unsurlarının Değerlendirilmesi

Çerez kullanımının hayatımıza kattığı kolaylıklar olduğu gibi verilerimize ulaşım ve takip konusunda çeşitli ihlallere de yol açabilmektedir. Çerezler, aslında bir harf ve rakam kombinasyonudurlar. Bu açıdan bakıldığında bir kişisel veri niteliği yokmuş gibi görünse de girdiğimiz web sitelerinde çerezlerin kullanımını kabul ettiğimizde aslında birçok özel ve genel nitelikli kişisel verimizi paylaşmış oluruz. Bu verilerin birleştirilmesi sayesinde ilgili kişi belirlenebilir hale gelir. Bu veriler; sağlık verilerimizden tutun da cinsiyetimize, ilişki durumumuzdan cinsel yönelimimize, yaşımıza ve konumumuza ilişkin olabilecektir.

Burada bir önemli nokta ise çerez kullanımı sırasında rızanın unsurlarına uygun alınmasıdır. Bunu değerlendirebilmek için de açık rızanın unsurlarını incelememiz gereklidir. Açık rızanın unsurları açık ve belirli bir konu/amaç hakkında, bilgilendirilmeye ve özgür iradeye dayalı olmasıdır. İşlenilen veriler bu unsurlara dayanmalıdır. Bilgilendirme yapılırken işlenecek verinin türü, ne amaçla işleneceği, verinin aktarılıp aktarılmayacağı ya da ne süreyle işleneceği belirtilmeli, bilgilendirmenin spesifik ve açık olması gerekir. Ayrıca rızanın “örtülü rıza” olmaması, aktif bir şekilde ve verilecek hizmetin bir koşulu olmaması halinde özgür iradeye ve bilgilendirmeye dayalı olduğu kabul edilir.[5]

2002/58/EC sayılı E-Mahremiyet Direktifi (ePrivacy Directive)[6] 5.maddesi 3. fıkrasında belirtildiği üzere elektronik haberleşme networklerinde (çerezler gibi) bilgi depolama veya terminal ekipmanda[7]depolanan bilgiye ulaşım kazanılması kullanıcı (user) ve abonelere (subscriber) açık ve kapsamlı bilgilendirme sağlanması şartıyla mümkündür. Bilgilendirmede kullanmayı düşünülen çerezlerin ne olduğu ve bu çerezlerin hangi amaçla kullanılmak istendiği belirtilmelidir.[8] Ayrıca bu bilgilendirmelerin ve reddetme haklarını sunma yöntemleri olabildiğince kullanıcı dostu ve herkesin anlayabileceği şekilde ifade edilmelidir. Mahremiyet ve Elektronik  Haberleşme Tüzüğü (PECR)[9] veya E-Mahremiyet Direktifinde (ePrivacy Directive) rıza kavramı tanımlanmamış olup Genel Veri Koruma Tüzüğü (GDPR)’ın 4.maddesi 11.fıkrasında belirtilen rıza tanımı uygulanmaktadır: 

 

“Veri sahibinin “rızası”, veri sahibinin isteklerinin, bir beyanla veya açık bir olumlu eylemle, ilgili kişisel verilerin işlenmesine ilişkin mutabakatı ifade eden, serbestçe verilen, belirli, bilgilendirilmiş ve açık bir şekilde belirtilmesi anlamına gelir. “

–

Kullanıcı, açık ve olumlu bir hareketle hayati olmayan çerezler hakkında rıza vermelidir. Ayrıca web sitesini kullanmaya devam etmek geçerli bir rızanın varlığını göstermeyecektir. Yukarıda daha detaylı bahsettiğimiz gibi kullanıcıyı sitede kullanılan çerezler ve ne yaptıkları hakkında açık bir şekilde rıza vermeden önce aydınlatılmalı ve eğer 3. taraf çerezleri kullanılıyorsa 3. tarafın kim olduğunu açık ve spesifik olarak belirtilmeli ve 3. tarafın bu bilgilerle ne yapacağını açıklanmalıdır. Önceden ‘tiklenmiş’ kutucuklar ya da çerez kullanımı ‘açık’ olarak duran kutucuklar kullanılamayacaktır. GDPR 32. beyanında da susma ve hareketsiz kalmanın rıza göstermek olmadığını belirtir ve önceden ‘tiklenmiş’ kutucukları yasaklar.[10] Ayrıca rızanın sağlanmasında gerekli olmayan çerezler üzerinde kullanıcıya kontrol verme ve kullanıcı çerez kullanımına rıza göstermese de web sitesine ulaşabilmeye devam etmesine izin verilmesi de önem arz etmektedir. [11]

–

III. “Oracle and Salesforce” Grup Davası

Geçtiğimiz günlerde “Oracle ve Salesforce” adlı ünlü yazılım şirketlerine 3. taraf çerezleri kullanarak kullanıcıya özel reklam yapmak adına kullanıcıların verilerini işleyerek ve paylaşarak GDPR’ı (General Data Protection Regulation, Genel Veri Koruma Yönetmeliği) ihlal ettiği gerekçesiyle Hollanda, İngiliz ve Galler mahkemelerinde grup davaları açıldı. Davalar Hollanda menşeili Mahremiyet Kolektif’i adlı bir sivil toplum kuruluşu tarafından (The Privacy Collective) yargıya taşındı. Kolektif, Oracle ve Salesforce şirketlerinin açık rıza almaksızın kişisel veri işlediği ve paylaştığı ve bu nedenle de Tüzük’ün yürürlüğe girmesinden beri ihlalde bulunduklarını ifade etti.[12] Ayrıca Kolektif firmaların real time bidding [13]( gerçek zamanlı teklif usulü  reklam) ile kullanıcılara özelleştirilmiş reklamlar sunmak adına çerezlerle kullanıcıların izini sürdüğü, izlediği ve kullanıcının verilerini müzayede yoluyla reklamcılara sattığını belirtmiştir.[14] Salesforce ve Oracles firmaları ise bu iddialara karşı çıkarak GDPR’a uyum ekiplerinin olduğunu ve böyle bir ihlalin söz konusu olmadığını ifade etmişlerdir. [15] Davanın GDPR tarihinin en büyük cezası olabileceği de söz konusu.

–

IV. Sonuç

Sonuç olarak çerez kullanımlarının hayatımızı kolaylaştıran yanları olduğu gibi çerezlerin kişisel verilerin korunması hukukuna ve açık rızanın unsurlarına dayalı olarak kullanılması da önem arz etmektedir. Aksi takdirde ulusal ve uluslararası kişisel veri mevzuatlarını ihlal ettiği gerekçeleriyle dava yoluna gidilebilecektir. Çerezler sadece harf ve rakam kombinasyonları olduklarından belirli bir kişi söz konusu değil gibi görünse de toplanan bilgilerin birleştirilmesiyle ilgili kişi kolayca belirlenebilir hale gelecektir. Real time bidding gibi davranışsal reklam teknolojilerinde de çerez kullanımı kişinin verilerinin toplanmasında kullanılarak kişiye özelleştirilmiş reklamlar sunmada kullanılmaktadır. Yeni reklamcılığın online reklamcılık olduğu ve verinin yeni petrol olduğu (Data is the new oil) bugünlerde pek çok şirket RTB gibi teknolojileri kullanmakta ve bundan kâr sağlamaktadır. Kullanıcı olarak web sitelerin çerez politikalarına, bilgilendirmenin ve rızanın kişisel veriler hukukuna uygun verilmesine dikkat ederek bilgisayarlarımıza yerleşen çerezleri düzenli olarak silmeye önem göstermeliyiz. Şirketlerin de çerez kullanımlarında açık rızanın unsurlarına ve veri mevzuatlarına uygun davranması ve kullanıcı dostu politikalar benimsemesi gerekmektedir.

–

Kaynakça

• [1]https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/what-are-cookies-and-similar-technologies/#cookies3 ,Çevrimiçi,16.08.2020
• [2]Daha ayrıntılı bilgi için bkz. https://www.hakantasan.com/index/makaleler/95/session-cookies-nedir-ve-nasil-calisir-session-nedir-session-nasil-calisir/, Çevrimiçi,16.08.2020
• [3] Daha ayrıntılı bilgi i.in bkz.https://www.hakantasan.com/index/makaleler/97/persistent-cookies-nedir-ve-nasil-calisir-cookie-nedir-cookie-nasil-calisir/ ,Çevrimiçi,16.08.2020
• [4]https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/what-are-cookies-and-similar-technologies/#cookies3 ,Çevrimiçi,17.08.2020
• [6] Bahsi geçen Direktif için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32002L0058, Çevrimiçi,23.08.2020
• [7] Terminal ekipman, çerezlerin yer aldığı cihazlara denir. Bunlara örnek olarak; mobil telefon, bilgisayar, tablet gibi cihazlar verilebilir. Ek olarak; giyilebilir teknolojiler, akıllı televizyonlar ve nesnelerin interneti de dahil bağlantılı cihazlar örnek verilebilir.
• [8] Daha ayrıntılı bilgi için bkz.  https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/what-are-the-rules-on-cookies-and-similar-technologies/ ,Çevrimiçi,23.08.2020
• [9]PECR hakkında bilgi için bkz. https://ico.org.uk/for-organisations/guide-to-pecr/what-are-pecr/ ,Çevrimiçi,23.08.2020
• [10] Daha ayrıntılı bilgi için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679 ,Çevrimiçi,23.08.2020
• [11] Rıza ve açık ve kapsamlı bilgilendirme hakkında daha ayrıntılı bilgi için bkz. https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/what-are-the-rules-on-cookies-and-similar-technologies/ ,Çevrimiçi,23.08.2020
• [12]https://www.computerweekly.com/news/252487600/Oracle-and-Salesforce-sued-over-online-ad-tracking ,Çevrimiçi,24.08.2020
• [13]“Davranışsal reklam teknolojisinin özel bir görünümü olan gerçek zamanlı teklif usulünde ise birçok katılımcının elde ettiği verileri ortak bir havuzda bir araya getirip kişiye en uygun reklamın sunulması için çeşitli aktörler arasında bir ilişki kurulmaktadır.” Doç.Dr.Mesut Serdar Çekin, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, s.191 
• [14]https://www.techradar.com/news/oracle-and-salesforce-face-class-action-lawsuits-over-online-ad-tracking ,Çevrimiçi,24.08.2020
• [15]https://www.computerweekly.com/news/252487600/Oracle-and-Salesforce-sued-over-online-ad-tracking ,Çevrimiçi,24.08.2020 

[zombify_post]