İRLANDA VERİ KORUMA OTORİTESİ ÇEREZ VE DİĞER İZLEME TEKNOLOJİLERİNE İLİŞKİN KILAVUZ YAYINLADI !

07 Nisan 2020

İrlanda Veri Koruma Otoritesi (The Data Protection Commission – DPC), Çerezler ve Diğer İzleme Teknolojileri Hakkında Kılavuzunu dün internet sayfasında yayınlamıştır.

İrlanda Veri Koruma Otoritesi tarafından çerez ve diğer izleme teknolojilerine ilişkin olarak hazırlanan Kılavuzda özetle şu konular ele alınmıştır;

E-Gizlilik Direktifi 2011 yılında İrlanda’da bireysel iletişim gizliliğinin sağlanması ve korunması ve kullanıcıların izni olmadan bilgilerinin kullanılan cihazlar tarafından elde edilmesinin önlenmesi amacıyla yürürlüğe girmiştir.

İşbu Direktif internet kullanıcılarının birçoğunun farkında olduğu http veya internet tarayıcılardaki çerezleri kapsadığı gibi, yazılım geliştirme kiti, parmak okuyucu teknolojileri, beğeni butonu veya sosyal paylaşım araçları gibi çerez ve izleme teknolojileri ile bu çerezleri ve izleme teknolojilerini kullanan terminal ekipmanları da kapsam altına almaktadır. “Terminal Ekipman” kavramı Kılavuzda kısaca bilgisayar, telefon veya her türlü internet bağlantılı cihaz olarak tanımlanmıştır.

E-Gizlilik Direktifine göre kullanıcıların terminal ekipmanlarında bulunan bilgilere erişimi veya bu bilgilerin elde edilmesi veya kullanıcıya ait herhangi bir bilginin depolanması için kullanıcının rızasına gerek duyulmaktadır.

Rıza kavramı” Avrupa Birliği Genel Veri Koruma Regülasyonu’nun (“GDPR”) 4. maddesinin 11. fıkrasında açıklanmış olup, ilgili kişiden alınan rıza bu düzenlemeye uygun olmalıdır.  Buna göre rıza; “ilgili kişinin bir beyan yoluyla ya da açık bir onay eylemiyle kendisine ait kişisel verilerin işlenmesine onay verdiğini gösteren özgür bir şekilde verilmiş spesifik, bilinçli ve açık göstergedir”.

Rıza alınmasının istisnası ise iki başlıkta toplanmış ve örneklerle açıklanmıştır:

  1. İletişim İstisnası; tek amacı network üzerinden bir iletişimin gerçekleşmesi olan çerezler için uygulanmaktadır. Ayrıca kullanıcıların isteği ile veri unsurlarının değişmesinin izin verilmesinde kullanılan çerezler için uygulanabilmekle beraber iletişim hatalarının tespiti için kullanılan çerezlerde de kullanılmaktadır.
  2. Zorunlu Çerezler; bilgi toplayan servisler için belli şartlar dahilinde uygulanmaktadır. İstisna için öncelikle bu çerez kapsamında sunulan hizmet açık bir şekilde kullanıcı tarafından talep edilmeli ve çerez talep edilen hizmetin sağlanması için gerekli olduğu ölçü ile sınırlandırılmış olmalıdır. Reklamlarla ilgili çerezler bu kapsam altında değildir.

Bunun yanında Kılavuzda analitik çerezler için de rızanın gerekli olduğu belirtilmiştir. Ayrıca toplu bir şekilde veya birden çok amaç için rıza alınamamakta, başka amaçlar için verilen rızalar çerezler dahilinde kullanılamamakta ve rıza ilgili kişilere bir sözleşmenin şartı olarak sunulamamaktadır. Her rıza spesifik belli bir kullanım ve amaç için alınmalıdır.

Rızanın geri alınması da verilmesi kadar kolay bir şekilde düzenlenmeli, reddetme hakkı ise, eğer sunulmuş ise, kabul seçeneği ile birlikte aynı şekilde göze çarpacak şekilde kullanıcıya sunulmalıdır. E-Gizlilik Direktifinin 5(3). maddesine göre kullanıcı açık ve kapsamlı bir şekilde bilgilendirilmelidir. Bir çerezin birden fazla amaç kapsamında kullanıldığı durumlarda, rızanın işbu amaçların her biri için ayrı ayrı alınması gerekmektedir. Bunların yanında kullanıcıya açık ve kolay bir şekilde çerez izinlerini yönetebilmesi imkanı tanınmalıdır. Kullanıcı gerektiğinde rızasını geri çekebilmeli veya çeşitlendirebilmelidir.

Rızanın gerekli olması için bir çerezin kişisel veri içerip içermediğinin önemi yoktur. Ancak çerez kullanımı kişisel veri işlemeyi de kapsıyorsa, bu faaliyet GDPR ve 2018 Veri Koruma Kanunu (Data Protection Act 2018) kapsamındadır. Diğer bir deyişle, eğer çerezin işlemiş veya toplamış olduğu bilgi kişisel veri olarak değerlendiriliyorsa, bu işlem hem GDPR hem E-Gizlilik Direktifi kapsamındadır ve bu doğrultuda ilgili düzenlemelere uygun hareket edilmelidir. Özel nitelikli kişisel veriler için ise, katı bir şekilde açık rıza gerekmektir. Kılavuza göre bu rızanın çerez başlıkları veya gizlilik politikaları ile alınması da pek mümkün değildir. Öte yandan özel nitelikli kişisel veri işleme faaliyeti hiçbir şekilde GDPR’ın 5., 6. ve 9. maddelerine aykırı olmamalıdır.

Söz konusu Kılavuzun İngilizce metnine buradan ulaşabilirsiniz.

Konuya ilişkin herhangi bir sorunuz ve/veya yorumunuz olması halinde, bizimle her zaman iletişime geçebilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr