Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza

Kişisel verilerin korunması birçok hukuk dalının kesişme noktasıdır. Kişisel verilere yönelik her türlü müdahale kural olarak hukuka aykırılık teşkil eder. Anayasa’mız gereğince, kişisel verilerin işlenebilmesindeki istisnaların başında kişinin açık rızası gerekir. Kişisel Verilerin Korunması Kanunu’nda, veri öznesinin şahsi özellikleri dikkate alınmaksızın açık rızaya ilişkin olarak çerçeve hüküm getirilmiştir. Veri öznesinin tüketici olması durumunda, tüketici hukukuna ilişkin genel prensipler ve yasalarla getirilen koruyucu hükümler doğrudan uygulama alanı bulur. Tüketicinin kişisel verisinin işlendiği durumlarda, veri işleyen ile tüketici arasındaki “güç dengesizliği” dikkate alınmalıdır. Tüketicinin kişisel verisinin işlenmesine ilişkin verdiği açık rızayı özgürce vermediği karine olarak kabul edilmelidir. Tüketici hukukunda yapılacak yasal düzenleme ile mal ve hizmet sağlayıcılarının çerezin kişisel veri olmadığını ispat etme külfeti altına sokulmaları gerekmektedir. Aksi takdirde çerezler, kişisel veri olarak kabul edilmelidir.

Anahtar Kelimeler:

Açık Rıza, Veri Öznesi, Eşitsiz Güç Dengesi, Belirlenebilir Gerçek Kişi, Çerezler

Explicit Consent in The Processing of Personal Data of Real Person Consumers

Protection of personal data exists in many law branches. In principle, all inter-ventions with personal data are considered illegal. Turkish Constitution considers explicit consent of a person as one of the exceptions of processing of personal data. Data Protection Act (DPA) provides a framework provision for explicit consent regardless of the personal features of the data subject. If the data subject is a consumer, general principles in consumer law as well as protective provisions provided by related legislation are directly applied. When a costumer’s data is processed, the “imbalance of power” between the customer (data subject) and the processor has to be taken into account. A consumer’s explicit consent has to be presumed not to be freely given. Product and service providers have to be put under the obligation to prove that cookies are not personal data with a new legislation in consumer law. Otherwise, cookies have to be considered as personal data.

Keywords:

Explicit Consent, Data Subject, Imbalance of Power, Identifiable Real Person, Cookies,

PDF

___

KAYNAKÇA
AKSOY, Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Çakmak Yayınevi, Ankara 2010.
AVCI-BRAUN, Cihan, Kişisel Verilerin İşlenmesinde Rıza, Yeditepe Üniversitesi, Hukuk Fakültesi Dergisi, C:XV, S.1, Y.2018, s. 13-34.
CLARK, James vd. California's Consumer Privacy Act and the GDPR - where do they overlap?, P. & D.P. 2018, 18(7), 7-9. http://icproxy.khas.edu.tr/login?url=http://icproxy.khas.edu.tr:2092/login.aspx?direct=true&db=edswst&AN=edswst.2438061&lang=tr&site=eds-live
ÇEKİN, Mesut Serdar, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, 2. Bası, İstanbul 2019.
EREN, Fikret, Borçlar Hukuku Genel Hükümler, Yetkin Yayınevi, 19. Bası, Ankara 2015.
HAN, Işık Aslı, Kişisel Verilerin İşlenmesi Bağlamında Hukuka Uygunluk Sebebi Olarak Veri Sahibinin Rızası, Galatasaray Üniversitesi Hukuk Fakültesi Dergisi, 2019/1, s. 417-461.
HELVACI, Serap, Türk ve İsviçre Hukuklarında Kişilik Hakkını Koruyucu Davalar, Beta Yayınevi, İstanbul 2001.
IT GOVERNANCE PRIVACY TEAM, EU general data protection regulation (GDPR): an implementation and compliance guide. IT Governance Ltd, 2017.
KESER BERBER,Leyla/ATABEY, Ayça/MERT,Melis, E-Gizlilik Tüzük Taslağının Son Versiyonu Üzerine Düşünceler , Kişisel Verileri Koruma Dergisi, Yıl 2019, Cilt 1 , Sayı 2, s. 66-74.
KOCAYUSUFPAŞAOĞLU, Necip/HATEMİ, Hüseyin/SEROZAN, Rona/ARPACI, Abdülkadir, Borçlar Hukukuna Giriş, Hukuki İşlem, Sözleşme, 7.Bası, Filiz Kitabevi, İstanbul 2017.
KÜZECİ, Elif: Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara, 2010.
OĞUZMAN, M. Kemal/ÖZ, Turgut, Borçlar Hukuku Genel Hükümler, C.I, 14.Bası, Vedat Kitapçılık, İstanbul 2016.
ÖZDEMİR, Hayrunnisa, Elektronik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korunması, Seçkin Yayınevi, Ankara 2009.
PURTOVA, Nadezhda. The law of everything. Broad concept of personal data and future of EU data protection law, Law, Innovation and Technology, 2018. 10:1, s. 40-81, DOI:10.1080/17579961.2018.1452176 https://www.tandfonline.com/doi/full/10.1080/17579961.2018.1452176
SCHERMER, Bart W., CUSTERS, Bart, VAN DER HOF, Simone. "The crisis of consent: How stronger legal protection may lead to weaker consent in data protection." Ethics and Information Technology 16.2.2014.
SELEK, Ozan, Genel Veri Koruma Tüzüğü Işığında Kişisel Verilerin İşlenmesinde Rıza Açıklaması, Dokuz Eylülü Üniversitesi, Hukuk Fakültesi, C. 21, S.2, Y.2019 (s. 911-951).
SİRMEN, Lale, Tüketici Hukukunun Amacı ve Özellikleri, Aydın ZEVKLİLER’e Armağan, C.III, Yaşar Üniversitesi E-Dergisi Vol 8 Özel Sayı, s. 2465-2475.
TAŞKAYA, Merih/TALAY, Ömür, Dijital Gözetimin Pazarlama Amaçlı Aracıları: “Çerezler” ve Çerez Kullanımında “Açık Rıza”, Akdeniz Üniversitesi İletişim Fakültesi Dergisi, Y.2019, S.31, s. 356-376. (https://dergipark.org.tr/tr/pub/akil/issue/47030/534603, ET: 05/02/2020).
TAYLOR, Chantelle, UK regulator's guidance on GDPR consent - is the definition any clearer?, P. & D.P. 2017, 17(5), 13-15.
UTZ, Christine, et al. (Un) informed Consent: Studying GDPR Consent Notices in the Field. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security, 2019. p. 973-990. https://dl.acm.org/doi/10.1145/3319535.3354212.
WATTS, Mark. Consent vs legitimate interest: Part 1, P. & D.P. 2018, 19(2), 7-9, https://www.pdpjournals.com/overview-privacy-and-data-protection.
YÜCEDAĞ, Nafiye, Medeni Hukuk Açısında Kişisel Verilerin Korunması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri, İÜHFM C. LXXV, S. 2017, s. 765-790.
ABAD KARARLARI
Judgment of 1 October 2019, Planet49, C-673/17, EU:C:2019/:801 http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=2645649
Judgment of 20 December 2017, Nowak, C‑434/16, EU:C:2017:994 http://curia.europa.eu/juris/document/document.jsf?text=&docid=198059&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=2695698
Judgment of 19 October 2016, Breyer, C-582/14, EU:C:2016:779 http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=2725971
YASAL METİNLER Charter Of Fundamental Rights Of The European Union 2012/C 326/02 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN
Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31993L0013:en:HTML
“Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)”,http://eur-lex.europa.eu/eli/reg/2016/679 (ET:02.01.2020).
General Data Protection Regulation Recitals https://gdpr-info.eu/recitals/
İNTERNET KAYNAKLARI
Article 29 Working Party Guidelines on consent under Regulation 2016/679 https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51030
Article 29 Working Party, Opinion 15/2011 on the definition of consent https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf
Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, 2018 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf
Kişisel Verileri Koruma Kurulu, 100 Soruda Kişisel Verilerin Korunması Kanunu, s. 27 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf
Türkiye Büyük Millet Meclisi Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf (ET: 26/01/2020).
What is considered personal data under the EU GDPR? https://gdpr.eu/eu-gdpr-personal-data (ET: 02/01/2020).