İnternet Siteleri ve Kişisel Verilerin Korunması
Kişisel verilerin korunması internetin gelişmesi ile hayatımızda daha fazla yer edinen hukuki kurumlardan olmuştur. Bir kişiyi tanımlanabilir kılacak her türlü veri olarak belirtilebilecek kişisel verilerin diğer kişiler (veri sorumlusu) tarafından alındığı ortamlardan birisi de internet siteleridir. İnternet sitelerinde kişisel veriler alınırken Kişisel Verilerin Korunması Kanunu uyarınca getirilen yükümlülüklere dikkat edilmesi gerekmektedir.
Kişisel Verilerin Korunması Yükümlülükleri
KVKK m.4’2 göre kişisel verilerin hukuka ve dürüstlük kurallarına uygun şekilde alınması, güncel ve doğru olması, belirli, meşru ve açık amaçlarla işlenmesi ve işlendikleri amaçla ölçülü şekilde alınmaları gerekmektedir. Ayrıca alınan kişisel veriler amaçlarına göre yeterli sürelerde muhafaza edileceklerdir.
Bu ilkele uyarınca bir kişisel veriler alınırken yine KVKK m.5 gereğince kişilerin açık rızasının alınması zorunludur. Fakat kişisel verilerin işlenmesinin Kanunlarda açıkça öngörülmesi, açık rıza alınamayacak olunması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ve gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması, kişisel veri sahibinin kişisel veriyi alenileştirmesi veya veri sorumlusunun meşru menfaatlerinin korunması için zorunlu olması İ(temel hak ve özgürlük sınırlarında) şartlarından birisi açık rıza alınma zorunluluğunu kaldıracaktır.
Aynı zamanda her halükarda kişisel verisi alınan kişiler KVKK m.10’daki hususlarda aydınlatılmalıdır. Bunlar ise veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği ve hangi amaçla kimlere aktarılacağı, kişisel verilerin toplanma yöntemi ve hukuki sebebi ve m.11 içerisindeki haklardır.
İşte internet sitelerinde de kişisel veri alınırken bu hususlara dikkat edilmelidir.
İnternet Sitelerinde Yer Alması Gereken KVKK Metinleri Nelerdir?
İnternet sitelerinde yukarıdaki şartlar uyarınca kişisel veriler işlenecektir. Görüldüğü üzere KVKK m.5’te yer alan şartlar mevcut değil ise her zaman açık rıza gerekecektir. Peki internet sitelerinde işlenen veriler bu şartlardan birisi kapsamına dahil olabilir mi? Yani internet sitelerinde alınan her kişisel veri için açık rıza alınması zorunlu mudur?
Bu sorunun cevabı için internet sitelerinde kişisel verilerin hangi kısımlarda alındığını incelemek gerekmektedir. Bu kısımlar ise en fazla üyelik ve iletişim sayfalarıdır. KVKK m.5/2-c uyarınca bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olunması, açık rıza şartını iptal edecektir. İnternet sitelerinde “üyelik” amaçlı alınan ve m.4’teki şartlara da uyan kişisel veriler için bu sebeple kullanıcılardan açık rıza alınması gerekmemektedir.
“İletişim” menülerinde alınan kişisel veriler için doğrudan aynı cümle söylenemeyecektir. Zira iletişim menüsünde alınan kişisel veriler her zaman sözleşmenin kurulması veya ifasıyla doğrudan ilgili değildir. Bunun yanında bir müşterinin iletişime geçtiğinde isminin, soy isminin, telefonunun, mailinin vb. alınması veri sorumlusu (internet sitesi sahibi) meşru menfaatleri için zorunlu kabul edilebilmesi mümkündür. Bu ise m.5/2-f bendi uyarınca açık rıza alınmasını gerekli kılmaz. Buradaki şartlar dışında bir verinin alınması veya verilerin m.5/2 şartları dışında kullanılacak olması durumlarında ise her internet sitesi kullanıcıların açık rızasını almalıdır.
Yine doğrudan kişisel veri olmasa da bir gerçek kişiye ulaşabilir kılan “çerezler” de kişisel veri sayıldığından yukarıdaki şartlara göre kişilerden çerezler hakkında açık rıza alınmalıdır.
Her durumda internet sitelerinde alınan kişisel verilerde kullanıcıların “aydınlatılması” zorunlu olacaktır.
KVKK Açısından İnternet Sitelerinde Zorunlu Olan Hukuki Metinler
Özetle internet sitelerinde olması gereken hukuki metinler şu şekilde sayılabilir:
1- Aydınlatma Metni: KVKK m.10 uyarınca kişisel verileri alınan kişiler aydınlatılmalıdır. Bu ise internet sitesinde ilgili sayfada yer alan aydınlatma metni ile gerçekleşmelidir.
2- Açık Rıza Metni: KVKK m.5/2’deki şartları taşımayan kişisel veri işleme faaliyetleri konusunda internet sitelerinde “ayrıca ve açıkça” “açık rıza metni” olması zorunludur.
3- Çerez Metni: Kişisel veri sayılabilecek çerezlerin işlenmesi (pazarlama çerezleri vb.) için de “çerez metni” olması zorunludur.
Sonuç
Görüldüğü üzere çoğu internet sitesinde yer alan “üyelik”, “iletişim”, “yorum” vb. sayfaların 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca birçok hukuki denetimden geçmeleri gerekmektedir. Aksi takdirde internet sitesi sahipleri (veri sorumluları) “597.198 TL”ye varan idari para cezalarına çarptırılabileceklerdir.
Yazarın tüm Blog yazıları için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin tüm geçmiş sayılarına bağlantıdan ulaşabilirsiniz.
Ankara Barosu’na kayıtlı avukattır. Selçuk Üniversitesi Hukuk Fakültesi’nden 2019 yılında mezun olmuştur. Hukuk ve teknoloji alanlarında çalışmalar yürütmekte olup, Hukuk ve Bilişim Dergisi ile Blog’un genel koordinatörlük ve editörlük görevlerini yürütmektedir. Anadolu Üniversitesi S.B.E. Özel Hukuk Anabilim Dalından “Metaverse Dünyasında Fikri Hakların Korunması” konulu yüksek lisans tezi ile mezun olmuştur.