Yaşamın her alanında meydana gelen dijitalleşme, ticaret hayatının da ayrılmaz bir parçası olarak düşünülmektedir. Kanun koyucu da bu dijitalleşme açısından, ulusal mevzuatımızda gün geçtikte artan sayıda düzenlemeler ile açıkları kapatmayı hedeflemektedir. Bu doğrultuda, 7 Nisan 2016 tarihli Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile bu alanda köklü düzenlemeler yapılmıştır.

İşbu makalede, veri sorumlusu sıfatını haiz kişilerin KVKK’ya uygun hareket etmek adına internet sitelerinde yapması gerekenler ile internet sitelerinde TTK uyarınca yayımladıkları bilgi ve belgelerin olası bir KVKK ihlali oluşturup oluşturmayacağı konusu değerlendirilecektir.

1. Aydınlatma Yükümlülüğüne İlişkin Uygulama ve Yöntemler

KVKK’nın veri sorumlusu sıfatı taşıyan kişilere getirmiş olduğu asli yükümlülüklerden biri, 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler asgari olarak KVKK’nın 10. maddesinde sayılan unsurlar hakkında aydınlatılmalıdır ve işbu aydınlatma yükümlülüğü yerine getirilirken Tebliğ’de düzenlenen usul ve esaslara uyulmalıdır. KVKK, veri sorumlusu sıfatını haiz şirketlerin aydınlatma yükümlülüğünü, herhangi bir şekil şartına bağlamamış olup sadece aydınlatma yükümlülüğüne bağlı asgari unsurları düzenlemek ile yetinirken Tebliğ’de, aydınlatmanın şekline dair birtakım hükümler yer almaktadır. Ancak işbu aydınlatma yükümlülüğünün doğrudan veri sorumlusunun internet sitesi vasıtasıyla yerine getirilmesi gerektiğini ve/veya buna dair bir belge hazırlanması gerektiği hiçbir yerde düzenlenmemektedir. Aksine Tebliğ, m. 5’te işbu aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceğini öngörmektedir. Hal bu olmakla birlikte Tebliğ’in m.5/1’in e bendi uyarınca , işbu aydınlatma yükümlülüğünün yerine getirildiğine dair ispat mükellefiyetinin veri sorumlusuna ait olduğunu açıkça hükme bağlanmıştır.

Yukarıda verilen genel bilgiler ışığında, şirketlerin KVKK ile uyumlu hale gelebilmek adına yapması gerekenlerden ilki 10. maddede sayılan asgari unsurları içeren bir aydınlatma metnini internet sitelerinde yayımlamaktır. Şirketler bu aydınlatma metinlerini çeşitli uygulamalarla internet sitelerinde yayımlamaktadırlar. Bazı şirketler doğrudan “Kişisel Verileri Koruma Politikası” isimli özgün bir belge oluştururken, diğerleri ise hali hazırda mevcut “Gizlilik Politikası” (birlikte: “Aydınlatma Metni”) metnini, gerekli unsurları kapsayacak şekilde revize etmektedirler.

Önemle hatırlatılması gereken bir husus, bu şekilde bir metni internet sitesinde yayımlanmak başlı başına KVKK’dan kaynaklı aydınlatma yükümlülüğünü yerine getirmek adına yeterli olmayacak ancak şüphesiz yararlı olacaktır.

KVKK ve alt düzenlemelerinde, aydınlatma yükümlülüğüne ilişkin olarak AB’de hali hazırda benimsenmiş olan “katmanlı bilgilendirme” prensibi esas alınmaktadır. Zira Tebliğ’in m. 5/1’in c bendinde, veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işlendiği takdirde, aydınlatma yükümlülüğünün her bir birim nezdinde ayrıca yerine getirilmesi gerektiği hükme bağlanmış olup bu hükümle katmanlı bilgilendirme prensibine işaret edilmektedir. Bu doğrultuda, uzun, karmaşık ve anlaşılması zor metinler kullanmak yerine ilgili kullanıcıyı adım adım bilgilendirmek aydınlatma yükümlülüğünün amacıyla daha çok örtüşmektedir. İşbu katmanlı bilgilendirme hem fiziki ortamda hem de elektronik ortamda çeşitli yöntemlerle uygulanabilmektedir. Fiziki ortamda, örneğin iş yerindeki kameralar vasıtasıyla kamera görüntüleri toplanıyor ise, iş yerinde, ilgili kullanıcıların kolayca görebileceği çeşitli yerlere “Bu iş yerinde kamera kaydı yapılmaktadır. Daha detaylı bilgi için lütfen yetkili kişilere danışınız” tarzında bir bildirim ile şirketler, katmanlı bilgilendirmenin ilk “katmanını” yerine getirmiş sayılabilmektedir. Detaylı bilgi talep eden ilgili kullanıcıları ise, KVKK m. 10’da sayılan asgari unsurlar hakkında, kapsamlı ve detaylı bir Aydınlatma Metni vasıtasıyla bilgilendirmek mümkün olabilir. Benzer şekilde elektronik ortamda, ilgili kullanıcı internet sitesini kullanırken, ilgili kullanıcı ile temas edildiği noktada ilgili kullanıcının ekranında “Bu işlemi gerçekleştirdiğiniz takdirde kişisel verileriniz işlenecektir. Daha detaylı bilgi için lütfen tıklayınız” deyip ilgili kullanıcı tıkladığında, sadece esaslı noktalara değinen, kısa ve net bir metne yönlendirilebilir. İşbu kısa metnin içerisine yine, “Daha detaylı bilgi için lütfen tıklayınız” deyip, ilgili kullanıcı kapsamlı ve detaylı Aydınlatma Metni’ne yönlendirilebilir. Bu şekilde bir aydınlatma, Tebliğ’in de emrettiği şekilde genel ve muğlak ifadelerden kaçınılarak anlaşılır, açık ve sade bir dil kullanılarak yapılmış olabilecektir.

Bir diğer ifadeyle şirketlerin, ilgili kullanıcılara doğrudan uzun ve detaylı bir Aydınlatma Metni sunmak yerine ilgili kullanıcıyı, ilgili kullanıcı ile temas ettikleri her noktada, yukarıda bahsi geçen katmanlı bilgilendirme vasıtasıyla aydınlatmalarının çok daha yararlı ve amaca uygun olacağı kanaatindeyiz.

2. İnternet Sitelerine Çeşitli Teknolojiler Aracılığı ile Konan Onaylama Mekanizmaları

KVKK kapsamında ilgili kişiden alınacak iki ayrı beyan önem teşkil etmektedir: 1) aydınlatıldığına dair beyan ve 2) kişisel verilerinin işlenmesine dair açık rızasına dair beyan. Her iki durumda da bu yükümlülüğünün yerine getirildiğine dair ispat mükellefiyeti veri sorumlusuna yüklendiğinden, veri sorumlusu sıfatını haiz şirketlerce ilgili kişiden bu beyanların alınması önem teşkil etmektedir. Bu durumda, internet sitesi aracılığıyla yapılan aydınlatmanın ilgili kullanıcı tarafından elektronik ortamda okunduğunun ve/veya yine elektronik ortamda rıza verildiğinin ispatı hangi durumda önem teşkil edecektir?

İlk beyan olan aydınlatıldığına dair beyanda önemli olan husus şirketlerin, ilgili kullanıcı ile hangi ortamda temas ettiği ve dolayısıyla aydınlatma yükümlülüğünü hangi ortamda yerine getirdikleridir.

i. Eğer ilgili kişi ile fiziken görüşülüyorsa, dolayısıyla kişinin yüz yüze iken aydınlatılması durumu mevcut ise ve ilgili kullanıcıdan aydınlatıldığına dair beyan fiziki kağıt üzerinde alınmaktaysa bu ilgili kullanıcının ilk aşamada aydınlatıldığının ispatı için yeterli olacaktır. Ancak, aydınlatma yükümlülüğünün sadece sözleşmenin kurulması aşamasına özgü bir yükümlülük olmadığını ve işlem süresince oluşabilecek güncellemeler için de geçerli olduğunu hatırlatmak isteriz.

ii. Eğer fiziki ortamda ilgili kullanıcı ile temas edilmemekte, dolayısıyla fiziken herhangi bir beyan alınmamakta ve ilgili kullanıcı ile sadece internet sitesi aracılığıyla işlem yapılmaktaysa bu durumda internet sitesinde aşağıda detaylandırılacak olan çeşitli onaylama mekanizmaları suretiyle aydınlatıldığına dair beyan alınması, ispat mükellefiyetinin yerine getirilmesi açısından önem teşkil etmektedir.

İşlem ister fiziki ortamda ister internet sitesi aracılığıyla yapılsın, yukarıda belirtilen şekilde beyanların alınmaması halinde katmanlı bilgilendirme prensibi ışığında şirketin veri sorumlusunu temas ettiği her yerde aydınlattığını, beyandan başka vasıtalar ile ortaya koyabiliyor olduğundan emin olmalıdır. Buna karşın, belirtilen şekilde beyanların alınması şüphesiz şirketin yararına olacaktır.

Bilindiği üzere KVKK’nın aydınlatma yükümlülüğü yanı sıra getirdiği bir diğer asli yükümlülük açık rıza alma yükümlülüğüdür. Ancak, her halükârda yerine getirilmesi gereken aydınlatma yükümlülüğünün aksine açık rıza alma yükümlülüğü ayrı bir değerlendirmeye tabidir. Şirketler, internet sitesi vasıtasıyla ürün ve/veya hizmet sağlamakta ve bu doğrultuda ilgili kullanıcıdan kişisel verilerini talep etmekteyse, ilgili kullanıcı ile şirket arasında bir sözleşme akdedilip akdedilmediği değerlendirmesi yapılmalıdır. Eğer ilgili kullanıcı ile şirket arasında bir sözleşme akdedilmekteyse, ilgili kişinin bu sayfadaki ürün ve/veya hizmet kullanımından yararlanmak adına girdiği kişisel verileri, KVKK’nın 5. maddesinin 2. fıkrası uyarınca işlemek mümkün olabileceğinden açık rıza beyanı alınmasına gerek kalmayacaktır. Bu noktada şirketin, sözleşmenin ifası adına aldığı bilgileri amaç ile ölçülü olarak kullanması gerektiği hususunun önemini hatırlatmak isteriz. Buna karşın ilgili kullanıcı ile sözleşme akdedilmemekte (ve 5. maddenin 2. fıkrasında sayılan diğer “işleme şartları” da uygulanamazsa) ise şirket ilgili kişiden bu sayfada (veya fiziki ortamda) açık rıza almak ile yükümlüdür.

Açık rıza veya aydınlatıldığına dair beyanların alındığının ispatı amacıyla, ilgili kullanıcının özgür irade ve isteğini açıkça ortaya koyabilecek çeşitli onaylama mekanizmalarını benimsemek mümkündür. Bu mekanizma, “onay veriyorum”, “kabul ediyorum” veya benzer ifadeler altında teyit edici bir biçimde tıklama veya kutu işaretleme şeklinde bir mekanizma olabileceği gibi “ekranı sağa/sola kaydırma” hareketi gibi çeşitli teknolojik diğer mekanizmalar da olabilecektir. Önemli olan, ilgili kullanıcının bir “olumlayıcı eylem” (affirmative action) gerçekleştirmesidir. Buna ilaveten, belki de rızaya ilişkin en önemli husus, ilgili kullanıcının neye rıza verdiğiyle ilgili tam olarak bilgi sahibi olması gerektiğidir. Dolayısıyla bu vasıtayla ilgili kullanıcıya doğru bir şekilde aydınlatmanın ve katmanlı bilgilendirme yaklaşımının önemi bir kez daha vurgulanmaktadır.

3. Çerez Politikası

Üçüncü ve yukarıda belirtilenlerden ayrı bir husus olarak ise şirketlerin “Çerez Politikası” değerlendirilmelidir.

Mevzuatımızda çerezler konusu 5809 sayılı Elektronik Haberleşme Kanunu kapsamında ele alınmakla birlikte açıklayıcı ve detaylı bir düzenleme bulunmamaktadır. Yasal düzenleme ile belirlenen tek husus, çerezler aracılığıyla toplanan veriler bakımından, verileri toplanan kişilerin (i) açık ve kapsamlı olarak bilgilendirilmeleri ve (ii) rızalarının alınması gerektiği hususudur. Mevzuatımızda hal böyle olduğundan, Çerez Politikası’nın nasıl ve ne detayda ele alınması gerektiği konusunda AB mevzuatına bakılması ve AB mevzuatında benimsenen ilkeleri göz önüne almak suretiyle bir metin oluşturulmasının faydalı olacağını düşünmekteyiz. AB mevzuatında bu konu, 2002/58/EC sayılı yönerge (“ePrivacy Yönergesi”) ile ele alınmaktadır.

ePrivacy Yönergesi’nin 5. maddesinin 3. fıkrasına göre, üye veya kullanıcıların terminal cihazlarına çerez veya benzer teknolojiler yerleştirmek suretiyle bilgi depolamak veya hali hazırda depolanmış bilgilere erişmek ancak

i. ilgili üye veya kullanıcının onayının alınmış ve

ii. işbu onayın belirgin ve kapsamlı bir bilgilendirmeye dayalı olarak verilmiş olması şartıyla mümkündür.

AB’nin kişisel verilerin korunması mevzuatı hakkında, Kişisel Verileri Koruma Kurulu’yla benzer şekilde, zaman zaman bilgilendirme ve/veya uygulama kılavuzları çıkaran Data Protection Working Party (“WP 29”), ePrivacy Yönergesi’nin yukarda anılan maddesini kapsamlı olarak değerlendirmiştir. WP 29’a göre söz konusu onayın geçerli olabilmesi için özgür irade ile verilmiş olması, spesifik olması ve ilgili kişinin bilgilendirmeye dayalı isteklerini yansıtması gereklidir. Buna ilaveten ilgili kişi onay verirken, WP 29’un kullandığı ifade ile, bir “affirmative action” gerçekleştirmelidir. Bir diğer ifadeyle, ilgili kişinin verileri çerezler aracılığıyla toplanmadan önce, ilgili kişi, yukarıda da detaylandırıldığı üzere tıklama suretiyle “onay veriyorum”, “kabul ediyorum” veya benzer ifadeler altında teyit edici bir biçimde onay vermelidir.

ePrivacy Yönergesi’nin 25. resitali uyarınca, onaydan önce yapılacak olan bilgilendirme, açık ve anlaşılır bir dil ile yapılmalıdır. WP 29, ilgili kişi çerezlere ve benzer teknolojilere bağlı teknik yapıları ve terminolojiyi anlayamayacağından, bu bilgilendirmenin ilgili kişiye olabildiğince yalın ve anlaşılır bir dil ile aktarılması gerektiği kanısındadır. Bunun yanı sıra söz konusu bilgilendirme kolayca erişilebilir ve görülebilir bir biçimde ilgili kişiye sunulmalıdır. Bir diğer ifadeyle, ilgili kullanıcı internet sitesini ziyaret ettiğinde, Çerez Politikası görülebilir bir biçimde ilgili kişinin ekranında belirmelidir.

İnternet ortamında çerezler aracılığıyla toplanan verilerin “kişisel veri” olduğu noktasında hiçbir tartışma bulunmamaktadır. Dolayısıyla internet sitelerinde çerezler aracılığıyla veri toplayan şirketlerin, internet sitesinde ayrı bir Çerez Politikası oluşturmasa dahi yukarıda anlatılan katmanlı bilgilendirme prensibinin benimsenmesinin ve en azından Aydınlatma Metni içerisinde çerezlere özellikle atıf yapılmasının son derece önemli olduğu kanaatindeyiz.

4. TTK Uyarınca İnternet Sitesine Konmuş Olan İçerik

2012’de yürürlüğe girmiş 6102 sayılı Türk Ticaret Kanunu’nun (“TTK”) 1524. maddesi uyarınca denetime tabi sermaye şirketleri, internet sitesi açmak ile yükümlüdürler. Söz konusu maddeye istinaden düzenlenmiş Sermaye Şirketlerinin Açacakları İnternet Sitesine Dair Yönetmelik’te (“İnternet Sitesi Yönetmeliği”) ise açılacak internet sitesinde yayımlanması zorunlu asgari içerikler belirlenmiştir. İşbu içeriklerden bir kısmı, KVKK bakımından kişisel veri sayılan içerikleri de kapsamaktadır.

İnternet Sitesi Yönetmeliği kapsamındaki yükümlülüklerini yerine getirebilmek adına şirketler, birtakım belgeleri KVKK öncesinde internet sitelerine yüklemiş bulunduklarından KVKK sonrasında bu belgelerin değerlendirmesi yapılmalıdır.

İnternet sitesine belge ve/veya bilgi yüklerken veya bunların denetimini yaparken şirketlerin konan bilginin öncelikle i) “kişisel veri” olup olmadığını, ii) kişisel veri ise TTK uyarınca yayımlanmasının zorunlu olup olmadığını ve iii) zorunlu ise, yapılan yayımın zorunluluk ile ölçülü olup olmadığını değerlendirmesi ve bu değerlendirme sonucunda ilgili evrakı yayımlaması gerekmektedir. Bu prensip ışığında yapılan TTK uyum çalışmalarının KVKK ihlali teşkil etmemesi sağlanmış olacaktır.

Uygulamada en sıklıkla karşılaşılan durumlardan örnek vermek gerekirse, şirketlerin bir bölümünün imza sirkülerini internet sitelerinde yayımladıklarını görmekteyiz. Oysa İnternet Sitesi Yönetmeliği’nin 6. maddesinin 3. fıkrası uyarınca şirketlerin “Yönetim kurulunun veya müdürler kurulunun temsile yetkili kişileri ve bunların temsil şekillerini gösterir kararı” yayımlaması gerekmektedir.

Maddenin lafzından da anlaşılabileceği üzere söz konusu hüküm şirketlere imza sirkülerini (ve dolayısıyla imza sirkülerinin ekinde yer alan kimlik fotokopilerini) değil atamaların yapıldığı yönetim kurulu kararını yayımlamayı zorunlu kılmaktadır. Kaldı ki; kimlik fotokopisinde yer alan kan grubu ve din bilgileri, KVKK kapsamında “özel nitelikli kişisel veri” olarak kategorize edildiğinden daha da büyük önem arz etmektedir. Bu kapsamda şirketler TTK ve İnternet Sitesi Yönetmeliği kapsamındaki yükümlülüklerini yerine getirirken maddeyi geniş yorumlamakta ve fazla bilgi ve belgeleri de yükleyebilmektedir.

Sonuç olarak, “TTK yükümlülüklerini yerine getirmede eksik olmaması adına fazla olsa dahi yayımla” bakış açısı KVKK öncesi dönem için geçerli olsa dahi, şirketlerin KVKK sonrasında tüm şirket prensiplerinde benimsemesi gerektiği gibi internet sitelerinde de “zorunlu değilse yayımlama” prensibini benimsemesi gerekmektedir.