Kullanıcılar web sitelerini araştırmak ya da sadece eğlence için kullanmaktadır. Genel olarak, web siteleri kullanıcıları analiz ve pazarlama için izlemektedir. Aynı zamanda kişisel veriler satış konusu olabilmektedir. Kullanıcı davranışı analizi için, çerezler en uygun seçenektir. Ancak, kişisel verileri toplandığı için, web sitelerinde çerezler açısından devre dışı bırakma seçeneği bulunması gerekmektedir. Bu yazımızda çerezlerin neden belirli bir şekilde tasarlanması gerektiğini ve neden önemli olduğunu inceledik.
General Data Protection Regulation ("GDPR") uyarınca, söz konusu web sitesi kullanıcıdan herhangi bir veriyi işlemesi halinde, kullanıcının açık rızasını vermesi gerekmektedir. Ayrıca GDPR'da rızanın şekline ilişkin hükümler bulunmaktadır.
GDPR'ın 30. gerekçesi kapsamında, çerezler, veri işleyen ve veri sorumlusunun bunları işlemesine olanak tanıyan bir çevrimiçi tanımlama aracı olarak tanımlanmaktadır. Bu nedenle, GDPR'ın 7.maddesinde, kullanıcı tarafından herhangi bir zamanda geri alınabilecek ve özgür iradeyle verilebilecek açık bir rıza olmalıdır.
Ayrıca GDPR kapsamında, kişisel verileri işlememek için web sitesinde bir kutucuğu işaretlemek şeklinde zımni rıza verilen çerezleri yasaklayan "veri sahibinin kişisel verilerin işlenmesine ilişkin sözleşmesinin serbestçe verilmiş, belirli, bilgilendirilmiş ve açık bir göstergesini oluşturan açık bir onay eylemiyle onay verilmelidir" şeklinde belirtilmektedir.
Örtülü olarak verilen rızaya bir örnek olarak devre dışı bırakma/ ayrılma çerezleri verilebilir. Devre dışı bırakma/ayrılma çerezlerinde genellikle kişisel verilerin işlenmemesi için kullanıcının bir kutucuğu işaretlemesi veya politikanın kabul edilmemesi durumunda kullanıcı farklı sayfalara yönlendirilmesi gerekmektedir. AB, GDPR ile veri sorumlularını tercihe dayalı çerezleri kullanmaya teşvik etmektedir ve kullanıcıları hangi çerezlerin etkin olacağını seçmeye zorlamamaktadır, sonuç olarak kullanıcıyı web sitesinde bulunan tüm çerezlere izin vermeye yönlendirilmektedir.
KVKK'nın verdiği kararlardan birinde durum "açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerinin kabul edildiği ve kişilere bu onayı kaldırmaları yönünde imkân veren bir sistemin değil, opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir" şeklinde belirtilmiştir.
Kullanıcının herhangi bir yönlendirme olmaksızın "izin ver" düğmesini tıklamasına izin verme veya vermeme arasında seçim yapmasına olanak tanıyan bir tasarım oluşturmanın GDPR'a uygun olduğu kabul edilmektedir. Uyulması gerçekten kolay görünebilir, ancak Zendata tarafından yakın zamanda yapılan bir çalışmada ABD web sitelerinin %67'si GDPR'a uymadığı görülmektedir.
Çalışmada, Crunchbase'deki en iyi 1000 ABD web sitesi incelenmiştir ve veriler, bu web sitelerinin %67'sinin GDPR'a uymadığını göstermiştir. Çalışma, bu web sitelerinin %43.22'sinin bir devre dışı bırakma mekanizması sağlamadığını ve söz konusu web sitelerinin %54.94'ünün sayfanın ilk yüklenmesinde çerezler için herhangi bir bildirimde bulunmadığını göstermiştir.
Günün sonunda, AB düzenlemelerine ve GDPR'ın uygulanmaması, GDPR'ın ihlaline ve 120.000 dolara kadar para cezasına neden olmaktadır. Para cezaları ürkütücü olsa da, doğru uygulama ve çerez politikası ile özgürce verilen, belirsiz olmayan ve net olan açık rıza almak kolay olduğu ortadadır.
Comments