15.02.2024'te KVKK tarafından yayımlanan Çevrimiçi Mahremiyet ve Çerezler Konulu Kişisel Verilerin Korunması Kanunu Bülteni'ne yönelik uzman görüşlerimizi paylaşıyoruz.
2. www.Jurcom.nl
Liva Sefer
Privacy & Compliance Counsel | Lawyer | ISO 27001 LA | LLM Candidate
15 Şubat 2024 Perşembe günü Kişisel Verileri Koruma Kurumu tarafından yayımlanan
“Çevrimiçi Mahremiyet ve Çerezler Konulu Kişisel Verilerin Korunması Kanunu Bülteni” ile
ilgili sizleri bilgilendirmek istiyoruz.
Kişisel Verileri Koruma Kurulu, üç aylık periyotlarla çıkardığı bu bültenlerde veri sorumlularının
dikkat etmesi gereken konuları ve gerçekleştirilen faaliyetleri derlemektedir. Bu sayının ana
konusunun çerezler olması ve alışveriş deneyimi, potansiyel müşteriye ulaşma gibi pek çok
sebeple sizlerin de çerez kullanması nedeniyle bazı konulara değinmek isteriz.
İnternet ile yaygınlaşan deneyim kültürünün anonim kalması son derece önemlidir. Çerezlerin
ana çıkış noktası olan “hafıza kazandırma” ihtiyacı; kullanıcı isteklerinin hatırlanması ve
bireysel internet deneyiminin zenginleştirilmesi kapsamında asıl gaye olarak ortaya
çıkmaktadır. Sizlerin internet sitesine erişim sağlandığında kullanıcıların terminal
ekipmanlarına indirilen bu küçük metin dosyaları birkaç farklı kategoride
değerlendirilmektedir.
• Kesinlikle Gerekli (Zorunlu) Çerezler: İnternet sitesinin çalışması için gereklidir. Bu
nedenle onaylı olarak gelmesinde herhangi bir beis bulunmamaktadır.
• İşlevsel Çerezler: Kişiselleştirme ve tercihlerin hatırlanması için kullanılır. Onaylı olarak
gelmemelidir.
• Performans-Analitik Çerezler: Kullanıcı davranışlarını analiz etmek ve siteyi
iyileştirmek için kullanılır. Onaylı olarak gelmemelidir.
• Reklam/Pazarlama Çerezleri: Kullanıcıların çevrim içi hareketlerine dayalı olarak
kişisel ilgi alanlarını belirlemek ve buna yönelik reklamlar göstermek için kullanılır.
Onaylı olarak gelmemelidir.
Söz konusu çerezler genellikle aşağıdaki amaçlarla kullanılır:
• Kullanıcıların bir internet sitesine giriş yapmasını sağlama (Oturum Yönetimi)
• Tercih edilen internet sitesi ayarlarının ve diğer kişisel tercihlerin saklanması
(Kişiselleştirme)
• Kullanıcıların internet deneyimlerine, ilgi alanlarına ve alışkanlıklarına göre
kişiselleştirilmiş reklamların gösterilmesi (Takip ve Çevrim İçi Davranışsal Reklamcılık)
Çerezlere izin vermek veya vermemek, bir kullanıcının kişisel tercihlerine ve internet sitesinden
beklediği performansa göre değişkenlik gösterecektir. Dolayısıyla, internet sitesi ziyaretlerinde
sunulan çerezlerle ilgili bilgilendirmelerin Kanun'un gerekliliklerine uyumlu olmasına özen
gösterilmeli ve buna göre uyum süreçleri yürütülmelidir. Ayrıca, internet korsanlarının kötü
3. www.Jurcom.nl
niyetli amaçlar için kurguladıkları internet sitelerinden gelen talep ve bildirimlere karşı
düzenli periyotlarla kontroller sağlanmalıdır.
Ancak, çerezlerin mahremiyet açısından potansiyel riskler taşıdığı da unutulmamalıdır.
Çerezler, kötü niyetli kullanıldığında kullanıcıların çevrim içi davranışlarını izleyebilmekte ve
kişisel verilerin gizliliğini tehlikeye atabilmektedir. Dolayısıyla, çerezlerin kullanımıyla ilgili
bilgilendirme ve kullanıcının rızası son derece önemlidir.
AB ve Türk hukukunda çerezlerin kullanımı belirli kurallara tabidir. AB'de çerezlerin kullanımı,
kullanıcının açık ve kapsamlı rızasına dayanırken, Türk hukukunda çerezlerin kullanımı 5809
sayılı Elektronik Haberleşme Kanunu'nda düzenlenmiştir. Çerezler vasıtasıyla kişisel verilerin
işlenmesi, kişisel verilerin korunması hakkında kurallara tabidir ve Kişisel Verileri Koruma
Kurumu tarafından yayımlanan rehberlerle belirlenen prensiplere uygun olma zorunluluğu
bulunmaktadır.
Kişisel Verilerin Korunmasına İlişkin Avrupa'daki Gelişmeler:
Kurul, ayrıca bu üç aylık periyot içerisinde AB kapsamında gerçekleşen birtakım süreçleri de
derlemiştir. Yurt dışında süreç yürütmekte iseniz ve/veya yürütmeyi düşünüyorsanız GDPR
hususunda dikkate alınması gereken bazı kurallar şu şekildedir:
• Birleşik Krallık Veri Koruma Otoritesi (ICO) tarafından iş yerinde çalışan izlenmesine
ilişkin yayımlanan rehber neticesinde; meşru bir menfaat bulunmadığı takdirde
işyerinde çalışan izlemenin yasal dayanaktan yoksun olacağı ifade edilmiştir.
İzlemenin niteliği ile çalışanların işleri birlikte değerlendirilmeli ve meşru menfaat
dengesi sağlanarak aynı zamanda ölçülü olunması da sağlanmalıdır.
• Belçika Veri Koruma Otoritesi (APD), çerezlerin ve üçüncü taraf izleme
mekanizmalarının doğru şekilde kullanılmasına ilişkin bir kontrol listesi
yayımlamıştır. Bu kontrol listesi, çerezlerin kullanımına ilişkin hatırlatmalarda
bulunurken, özellikle "kesinlikle gerekli olmayan" herhangi bir izleme için kullanıcıların
özgür, spesifik ve bilgilendirilmiş rızasının gerekliliğini vurgulamaktadır.
• Avrupa Veri Koruma Kurulu (EDPB) ve Avrupa Veri Koruma Denetçisi (EDPS), dijital euro
oluşturulması önerisi üzerine bir görüş metni yayımlamıştır. Bu metinde, dijital euronun
mahremiyete verdiği önem vurgulanırken, yüksek bir veri koruma standardının
sağlanması, veri korumasının tasarımının sisteme dahil edilmesi, Avrupa Merkez
Bankası ve ödeme hizmeti sağlayıcılarına yönelik açıklamaların yapılması ve
kullanıcıların dijital euro'ya ilişkin tanımlayıcı bilgilere erişim hakkına sahip olması gibi
konularda çağrıda bulunulmaktadır.
• İspanya Veri Koruma Otoritesi (AEPD), çevrim içi şifreleme sistemlerinin güvenliğinin
değerlendirilmesi için bir tarayıcı uygulaması yayımlamıştır. Bu uygulama, kişisel
4. www.Jurcom.nl
verilerin işlenmesinde hangi şifreleme standartlarının aranması gerektiği konusunda
rehberlik sağlamakta ve bilgilerin yerel olarak saklanmasına olanak tanımaktadır.
• Kanada Mahremiyet Komisyonerliği Ofisi (OPC), çocukların mahremiyet
standartlarını iyileştirmek amacıyla eyalet düzeyindeki veri koruma otoriteleri ile
birlikte iki adet rehber yayımlamıştır. Bu rehberler, veri işleme faaliyetlerinde
gençlerin yararının gözetilmesine odaklanmakta ve çocukların korunmasına yönelik iyi
uygulamalara ilişkin tavsiyeler sunmaktadır.
• Avrupa Veri Koruma Denetçisi (EDPS), yapay zekâ ürünlerine hukuki sorumluluk
kurallarının uygulanmasına yönelik Avrupa Komisyonu tarafından hazırlanan iki
düzenleme teklifi hakkında görüşünü yayımlamıştır. Bu teklifler, bireylerin yapay zekâ
ürünleri veya hizmetlerinden kaynaklanan zararlara karşı korunmasını
amaçlamaktadır.
• Güney Kore Kişisel Bilgilerin Korunması Komisyonu (PIPC), “Yapay Zekâ Mahremiyet
Ekibi” adlı yeni bir grup kurulduğunu duyurmuştur. Bu ekip, veri koruma hukukuna
odaklanmak yerine yapay zekâ döneminde takip edilmesi gereken ilkeleri tasarlamayı
amaçlamaktadır.
• Dünya Sağlık Örgütü (WHO), sağlık alanında yapay zekânın düzenlenmesine ilişkin
temel hususları ele alan bir çalışma yayımlamıştır. Bu çalışmada, yapay zekâ
sistemlerinin güvenliği ve etkinliği, ihtiyacı olanlara hızlı bir şekilde uygun sistemler
sunulması ve çeşitli paydaşlar arasında iş birliğinin önemi vurgulanmaktadır.
• İspanya Veri Koruma Otoritesi, sentetik verilerin ve veri koruma arasındaki ilişkiyi ele
alan bir blog yazısı yayımlamıştır. Bu yazıda, makine öğrenimi süreçlerinde sentetik
verilerin nasıl kullanılabileceği ve mahremiyetin korunmasına yönelik bir teknik olarak
sentetik verilerin nasıl kullanılabileceği incelenmektedir.
• OECD, güvenilir yapay zekâ politikalarına ilişkin tavsiye kararını güncelleyerek yeni
bir tanım getirmiştir. Bu kararla birlikte yapay zekâ sistemleri için bir tanım
sunulmuş ve önemli hususlar ele alınmıştır.
• Fransa Veri Koruma Otoritesi, API veri paylaşımına ilişkin tavsiyeler içeren bir çalışma
yayımlamıştır Bu çalışmada, veri paylaşımı sırasında güvenliği sağlamak için alınması
gereken önlemler ele alınmaktadır.
Kişisel Verilerin Korunmasına İlişkin Türkiye'deki Gelişmeler:
• Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber
yayımlanmıştır. Rehberde; Genetik verilerin işlenmesi ve ilkeleri, Veri sorumlularının
yükümlülükleri, Genetik veri güvenliğinde teknik ve idari tedbirler, Genetik verilerin
işlenmesine yönelik tavsiyeler konularında çeşitli bilgiler yer almaktadır.
• Kişisel Verileri Koruma Kurumu ile Rekabet Kurumu arasında iş birliği ve bilgi paylaşımı
protokolü imzalanmıştır. Bu kapsamda iki kurumun da görev alanına giren konularda;
kişisel verilerin korunması ve rekabetin korunması bakımından ortak çalışmalar
yürütülmesi, raporlar yayımlanması ve ortak etkinlikler düzenlenmesi kararlaştırılmıştır.
5. www.Jurcom.nl
• Mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi
suretiyle kişisel verilerin işlenmesine ilişkin “kamuoyu duyurusu” yayımlanmıştır.
• Çevrim İçi Alışverişte Dikkat Edilmesi Gereken Altın Kurallar isimli tedbir önerileri
yayımlanmıştır. Kurum, sosyal ağ hesapları üzerinden “Efsane Kasım”, “Efsane Cuma”
ve farklı isimlerle yapılan indirim kampanyaları nedeniyle internet alışverişlerinde
dikkat edilmesi gereken hususları hatırlatmak amacıyla bu çalışmaları
gerçekleştirmiştir.
• Kurum, “Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler” başlıklı
yeni bir rehber yayımlamıştır. Rehber, mobil uygulamalarda mahremiyetin
korunmasına yönelik mevcut ve potansiyel riskleri ele alıyor. Kullanıcıların mobil
uygulama kullanımıyla ilgili bazı tavsiyeler şunlardır:
o Uygulamalar güvenilir platformlardan indirilmelidir.
o Uygulama adı doğrulanmalı ve kaynağı bilinmeyen uygulamalardan
kaçınılmalıdır.
o Kişisel veri taleplerine dikkat edilmeli ve gizlilik/güvenlik ayarları
düzenlenmelidir.
o Kullanılmayan uygulamalar cihazda tutulmamalıdır.
o Yüksek puan ve olumlu yorumlar güvenilirlik garantisi sağlamaz, veri erişim
izinleri kontrol edilmeli ve gizlilik politikası incelenmelidir.
o Kullanıcıların güçlü parolalar oluşturması teşvik edilmelidir.
Ayrıca, rehberde kişisel veri işleyen taraflara yönelik uyum tavsiyeleri de yer almaktadır. Bu
çerçevede, kullanıcıların çok faktörlü kimlik doğrulama yöntemlerini kullanmaları ve güçlü
parolalar oluşturmaları önemle vurgulanmaktadır. Çocukların verilerinin işlenmesi ayrı bir
dikkat gerektirir ve çocuklara özel politika ve prosedürlerin uygulanması önerilmektedir.
Son olarak Kişisel Verilerin Korunması açısından dijital parmak izi süreçlerine dair bir inceleme
gerçekleştirilmiştir. Bu kapsamda dijital parmak izinin yaratacağı mahremiyet riskleri ve
teknoloji kullanımına ilişkin çeşitli konular şu şekilde derlenmiştir:
• Farklı Takip Teknolojileri ve Riskler: Çevrim içi takip için kullanılan çeşitli teknolojilerin
farklı mahremiyet riskleri bulunmaktadır. Dijital parmak izi çıkarımı, özellikle pasif
yöntemlerle kullanıldığında mahremiyet açısından yüksek riskler taşımaktadır.
• Dijital Parmak İzi ve Kişisel Veriler: Dijital parmak izi aracılığıyla elde edilen bilgiler,
kullanıcının benzersiz şekilde tanımlanmasını sağlar ve kişisel veri işlenmesini gerektirir.
Bu bilgiler, kişinin kimliğinin belirlenmesine ve farklı amaçlarla kullanılmasına olanak
tanır.
• Teknoloji Üreticilerinin Sorumlulukları: Dijital parmak izi kullanımının mahremiyete
zarar vermemesi için teknoloji üreticilerinin bazı önlemler alması gerekmektedir. Bu
6. www.Jurcom.nl
önlemler arasında şeffaflık, kullanıcı farkındalığının artırılması ve mahremiyet odaklı
tasarım yer almaktadır.
• Veri Koruma ve Yasal Sorumluluklar: Veri sorumlularının uygun açık rıza alması,
kişisel verilerin güvenliğini sağlaması ve veri koruma yasalarına uygun hareket etmesi
gerekmektedir.
• Tespit Edilebilirlik ve Önlemler: Dijital parmak izinin kullanımının tespit edilmesi ve
önlenmesi için kullanıcıların tarayıcı ayarlarını kontrol etmeleri, JavaScript'i devre dışı
bırakmaları ve mahremiyet artırıcı teknolojileri kullanmaları önerilmektedir.
• Türkiye Özelinde Çalışmalar ve Farkındalık: Türkiye'de dijital parmak izi çıkarımının
yaygınlığına yönelik geniş kapsamlı çalışmaların yapılması ve kullanıcıların bu konuda
bilinçlendirilmesi önemlidir.