Giriş
Son zamanlarda, üzerinde ne olduğunu okumadan önce size bir açılır mesaj sunan web siteleriyle, çoğunlukla haber web siteleriyle karşılaşmış olabilirsiniz. Bu açılır mesaj sizden ‘reklamları kaldırmak için ödeme yapmanızı’ veya ‘reklamlarla birlikte ücretsiz okumanızı’ isteyecektir (veya içeriği okumak istiyorsanız kişiselleştirilmiş reklamları kabul etmeniz gerektiğini belirtecektir).
Birleşik Krallık Bilgi Komiserliği Ofisi (Information Commissioner’s Office) yakın zamanda bu ‘rıza/onay ver ya da öde’ modeli (consent or pay model) ile ilgili bir rehber/kılavuz yayınlayarak[1], bazı işletmelerin web sitesi kullanıcılarını çevrimiçi hizmetlere erişmek için kişisel verilerini paylaşmak veya ücret ödemek arasında seçim yapmaya zorlayabileceği endişelerine değinmiştir.
Bu rehberin amacı, hâlihazırda bu modeli kullanan veya benimsemeyi düşünen işletmelerin Birleşik Krallık veri koruma düzenlemelerine uyum sağlamalarına yardımcı olmaktır.
Bu yazıda Bilgi Komiserliği Ofisi’nin rehberliği ve işletmeler için ne anlama geldiği ele alınacaktır.
- ‘Rıza veya ödeme’ nedir?
Basitçe ifade etmek gerekirse, ‘rıza ver veya öde’ web sitesi ziyaretçilerine bir seçenek sunan bir iş modelidir: Ziyaretçiler, kişiselleştirilmiş reklamcılık için kişisel verilerinin kullanılmasını kabul ederek çevrimiçi hizmetlere ücretsiz olarak erişebilir veya bu hizmetlere erişmek için bir ücret ödeyerek verilerinin kişiselleştirilmiş reklamcılık için kullanılmasından vazgeçebilirler.
Kişiselleştirilmiş reklamcılık, hedeflenen reklamları sunmak için tarama geçmişi, konum ve ilgi alanları gibi kullanıcı verilerinin toplanmasına dayanır. Bu veriler genellikle çerezler aracılığıyla toplanır: bir kullanıcı bir web sitesini ziyaret ettiğinde cihazına indirilen küçük metin dosyaları.
Birçok çevrimiçi işletme gelir için bu modele bağlıdır. Ancak kullanıcılar izlemeyi reddederse, işletmeler değerli verileri kaybeder ve bu da potansiyel olarak reklam gelirlerini etkileyebilir. Bunu hafifletmek için bazı işletmeler, kullanıcı gizlilik tercihlerini gelir ihtiyaçlarıyla dengelemenin bir yolu olarak ‘rıza/onay veya ödeme’ modelini tanıtmıştır.
- ‘Rıza veya ödeme’ yasal mıdır?
Potansiyel olarak evet. Birleşik Krallık veri koruma düzenlemeleri ‘rıza ver veya öde’ modelini açıkça yasaklamasa da, işletmeler yaklaşımlarının yasal koşullarla, özellikle Birleşik Krallık Genel Veri Koruma Yönetmeliği[2] (General Data Protection Regulation) ve 2003 tarihli Gizlilik ve Elektronik İletişim Yönetmeliği[3] (Privacy and Electronic Communications Regulations) ile uyumlu olduğundan emin olmalıdır. Bu yönetmelikler uyarınca, ‘rıza ver veya ödeme yap’ modelini uygulayan işletmeler aşağıda daha ayrıntılı olarak ele alınan temel veri koruma ilkelerine uymalıdır.
- Hukuki arka plan
Özgürce verilen rıza: Neden önemlidir? İşletmeler, bu tür işleme için yasal dayanaklardan birine sahiplerse kişisel verileri işleyebilirler. Bir işletme, kişisel verileri işlemek için yasal dayanak olarak rızaya güvenmeyi seçerse, Birleşik Krallık Genel Veri Koruma Yönetmeliği’nin 7. maddesi ve 32 no.lu gerekçesinde belirtilen yükümlülükleri karşılamalıdır.
Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne göre, rızanın/onayın geçerli olması için;
Özgürce verilmiş olması (freely given),
Belirli ve bilgilendirilmiş olması (specific and informed) ve
Kesin/Net olması (unambiguous)
gerekir.
Önemli bir koşul, rızanın özgürce verilmesi gerektiğidir; yani rıza zorla, manipüle edilerek veya haksız baskıyla elde edilemez. Bu ilke, bireylerin kişisel verileri üzerinde gerçek kontrole sahip olmalarını ve kişisel verilerinin işlenmesine rıza göstermeye zorlanmış hissetmeden bilinçli kararlar alabilmelerini sağlar.
‘Rıza veya ödeme’ modelinin yükselişi, kullanıcıların bu senaryolarda gerçek bir seçeneğe sahip olup olmadıkları konusunda önemli tartışmalara yol açmıştır.
Teoride kullanıcılar kişiselleştirilmiş reklamlara (ve dolayısıyla kişiselleştirilmiş reklamcılık amacıyla kişisel verilerinin işlenmesine) onay verebilir veya hizmete erişim için ödeme yapabilir (işleme olmaksızın), ancak gerçek daha karmaşık olabilir.
Ücretli alternatif makul olmayan bir şekilde pahalıysa veya hizmete gerçek bir alternatif yoksa kullanıcılar onay vermekten başka pratik bir seçenekleri olmadığını düşünebilirler. Bu da söz konusu onayın (kişisel verilerinin kişiselleştirilmiş reklamcılık için kullanılmasına ilişkin onayın) gerçekten gönüllü olup olmadığı konusunda endişelere yol açar.
İşletmenin yaklaşımının kullanıcıları rıza göstermeye zorladığı görülürse, bu özgürce verilen rıza standardını karşılamayabilir. Bu, Bilgi Komiserliği Ofisi’nin rehberliğinin ele almaya çalıştığı temel noktalardan biridir (aşağıya bakın).
Peki, Gizlilik ve Elektronik İletişim Yönetmeliği nasıl uygulanır? Gizlilik ve Elektronik İletişim Yönetmeliği, çerezlerin ve benzer izleme teknolojilerinin kullanımını düzenler. Gizlilik ve Elektronik İletişim Yönetmeliği uyarınca, tüm işletmeler zorunlu olmayan çerezleri ayarlamadan önce geçerli kullanıcı onayı almalıdır. Kullanıcılar, cihazlarına herhangi bir kişiselleştirilmiş reklam çerezi yerleştirilmeden önce izlemeyi aktif olarak kabul etmelidir. Önceden işaretlenmiş kutular veya nadiren okunan bir gizlilik politikasında çerezler hakkında bilgi sağlamak bu standardı karşılamaz.
Bu tür bir onayın Gizlilik ve Elektronik İletişim Yönetmeliği kapsamında ‘rıza veya ödeme’ modeli açısından geçerli olup olmadığı da aynı şekilde Bilgi Komiserliği Ofisi’nin rehberliğinin konusudur.
- Bilgi Komiserliği Ofisi’nin rehberliğinden çıkarılacak temel sonuçlar
Bu kılavuz, işletmelerin ‘rıza ver ya da öde’ modelini kullanırken veri koruma düzenlemelerine uymak için zorunlu olarak ne yapmaları gerektiğini, yapacaklarını ve yapabileceklerini (must, should and could) ortaya koymaktadır.
‘Zorunluluk’ (must) yasal bir koşulu ifade eder, ‘yapmalı’ (should) ise Bilgi Komiserliği Ofisi’nin beklediği şeydir ancak işletme hâlâ yasalara uyum gösterebildiği ve ‘yapabilir’ (could) işletmelerin yasalara uymasına yardımcı olabilecek iyi uygulamaları ifade ettiği sürece farklı yaklaşımlar memnuniyetle karşılanır.
Rehberlik 4 temel faktör etrafında oluşturulmuştur:
4.1. Güç dengesizliği [power imbalance]
Bu faktör, bir işletme ile kişisel verileri işlenen kişiler arasındaki ilişkiyi ifade eder. Hizmete güvenme gibi unsurlar, kullanıcıların hizmete erişmek için kişiselleştirilmiş reklama onay vermekten başka gerçek bir seçenekleri olmadığını hissettikleri durumlar yaratabilir. Bu dinamik, onayın özgürce ve gönüllü olarak verildiğini kanıtlamayı zorlaştırır.
Bu sorunu çözmek için işletmeler, bağlamsal reklamcılık (contextual advertising) gibi alternatif erişim seçenekleri sunmayı, kullanıcıların gerçek bir seçeneğe sahip olmasını ve haksız yere onay vermeye zorlanmamasını sağlamayı düşünmelidir.
Bağlamsal reklamcılık esasen kişiselleştirilmemiş reklamcılıktır. Reklamın kullanıcının profiline uyacak şekilde değiştirilmesi yerine, bağlamsal reklamcılık genellikle yalnızca görüntülenen içerikle ilgilidir (bu nedenle hedeflenmez ancak ideal olarak yine de ilgilidir).
İşletme ‘rıza veya ödeme’ modelini kullanıyorsa, kullanıcıların kişiselleştirilmiş reklamlara özgürce rıza gösterdiğini, yani gerçek bir seçeneğe sahip olduklarını göstermelidir. Bunu yapmak için, işletmeler bir güç dengesizliği olup olmadığına dair bir değerlendirme yapmalı, bu değerlendirmeyi belgelemeli ve inceleme altında tutmalıdır.
İşletme, pazardaki konumunu ve insanların hizmetine ne kadar güvendiğini veya rıza göstermeyi reddederlerse zarar görüp görmeyeceklerini göz önünde bulundurmalıdır. İşletme bu modeli daha sonra tanıtacaksa, web sitesinin hâlihazırda mevcut kullanıcılarına özel bir önem verilmeli ve işletme bu modeli tanıtırsa, örneğin değiştirme maliyetleri gibi, zarar görmemelerini sağlamalıdır, örneğin, müşterilerle bağlantı kurmak için sosyal medyayı kullanan biri aynı ağı yeniden kurmakta zorluk çekebilir.
Değerlendirme sonucunda güç dengesizliği riski olduğu ortaya çıkarsa, bu durum dikkate alınmalı ve kişilerin hâlâ özgürce rıza verebilmelerini sağlayacak şekilde davranılmalıdır.
4.2. Uygun ücret [appropriate fee]
Uygun ücret, kullanıcıların kişiselleştirilmiş reklamcılığa onay verme veya bundan kaçınmak için ücret ödeme arasında gerçekten seçim yapmasının mümkün olduğu bir tutarı ifade eder. Uygun ücret, kişiselleştirilmiş reklamcılık için kişisel verilerin paylaşılmamasıyla ilişkili değerdir.
Ücretin belirlenmesinde işletmenin büyüklüğü, piyasa konumu ve işlemin niteliği dikkate alınmalıdır. İşletme, ücretin uygun olduğunu ve gerçek bir seçime olanak tanıdığını gösteremezse, kullanıcılar yalnızca ücreti ödememek için bile olsa onay vermeye zorlanabilirler.
Bu durum, özgürce verilen rıza kavramını zayıflatır ve yasal uyumun gösterilmesini zorlaştırır.
4.3. Eşdeğerlik [equivalence]
Eşdeğerlik, işletmenin ‘rıza ver’ ve ‘öde’ seçeneği altında esasen aynı temel hizmeti sunması gerektiği anlamına gelir. Aynı olması gerekmez. Bunu değerlendirmek için, işletmenin bu temel hizmetin ne olduğunu belirlemesi ve ardından hem ‘rıza ver’ hem de ‘öde’ seçeneklerinin eşdeğer ve aynı kalitede olan bu temel hizmeti sağladığını gösterebilmesi gerekir.
İşletme, temel hizmetin niteliğini değiştirmediği sürece, ‘rıza’ veya ‘öde’ seçeneklerinde temel hizmete ek özellikler sunabilir. Eşdeğerliğin önemli olmasının nedeni, web sitesinin ücretli bir sürümünün, kullanıcının onay vermesi durumundaki sürümden daha kötü olması durumunda, kullanıcının web sitesinin daha iyi sürümüne erişmek için onay verme konusunda baskı hissetmesi olasılığıdır.
İşletme eşdeğerliği kanıtlayamıyorsa, eşdeğer bir hizmet sağladığından emin olmak için sunduklarını yeniden gözden geçirmelidir.
4.4. Tasarım gizliliği [privacy bp design]
‘Rıza’ veya ‘ödeme’ modelinin bağlamında, tasarıma göre gizlilik, kullanıcı gizliliğinin sonradan akla gelen bir şey değil, en başından itibaren temel bir husus olmasını sağlamak anlamına gelir.
Bu, ‘rıza’ ve ‘ödeme’ seçeneklerinin Birleşik Krallık Genel Veri Koruma Yönetmeliği’nde belirtilen tasarıma göre gizlilik koşullarına uygun bir şekilde sunulmasını içerir. Bu ayrıca Gizlilik ve Elektronik İletişim Yönetmeliği kapsamındaki koşulları da karşılar.
‘Rıza ver veya öde’ modelini uygulamadan önce, işletmeler reklam teknolojilerinin kullanımını ve kişisel veri işlemeyi kapsayacak şekilde mevcut veri koruma etki değerlendirmelerini (data protection impact assessment) güncellemelidir. Henüz bir veri koruma etki değerlendirmesi yürütülmediyse, Birleşik Krallık Genel Veri Koruma Yönetmeliği’ne uyumu sağlamak için yeni bir değerlendirme yapılmalıdır.
Tasarıma göre gizlilik yaklaşımı, kullanıcıların kişisel verileri üzerinde anlamlı bir seçim ve kontrole sahip olmasını sağlar. Buna şunlar dâhildir:
Seçeneklerin açık biçimde sunulması (clear presentation of options): Kullanıcılar, şeffaf etiketleme ve veri işleme hakkında erişilebilir bilgilerle ‘rıza’ ve ‘ödeme’ arasındaki farkı tam olarak anlamalıdır. Ayrıca, Gizlilik ve Elektronik İletişim Yönetmeliği’nin bireylere rıza göstermeden önce ‘açık ve kapsamlı’ bilgi sağlaması da açık bir yükümlülüktür.
Zararlı tasarım uygulamalarından kaçınılması (avoiding harmful design practices): Onayın özgürce verilmesini sağlamak için aldatıcı veya zorlayıcı taktiklerden (yanıltıcı ifadeler gibi) kaçınılmalıdır.
Belirli ve ayrıntılı rızanın sağlanması (ensuring specific and granular consent): Kişiselleştirilmiş reklamcılık için onay, içerik kişiselleştirme veya analiz gibi diğer veri kullanımlarından ayrı olmalı ve kullanıcıların bilgileri üzerinde kontrol sahibi olmasını sağlamalıdır.
Reddetmenin kolaylaştırılması (making refusal easy): Kullanıcılar, herhangi bir baskı veya olumsuz sonuç olmaksızın, onayı kabul ettikleri kadar kolay bir şekilde reddedebilmelidir.
Kullanıcıların hizmeti kolayca terk etmelerine izin verilmesi (allowing users to leave the service easily): Bir kullanıcı onay vermek veya ödeme yapmak istemiyorsa, net ve anlaşılır bir çıkış seçeneğine sahip olmalıdır.
İşletmeler ayrıca kullanıcıların seçimlerini ve veri koruma haklarını anlamalarına ne kadar etkili bir şekilde olanak sağladığını değerlendirmek için kullanıcı testleri de gerçekleştirebilirler (could).
Sonuç
Bilgi Komiserliği Ofisi’nin bu kılavuzu, ‘rıza ver veya öde’ modelinin karmaşıklıklarını vurgulayarak, işletmelerin gizlilik hakları ile ticari çıkarları arasında dikkatli bir denge kurması gerektiğini vurgulamaktadır.
Bu yaklaşım otomatik olarak yasa dışı olmasa da, rızanın/onayın özgürce verildiğinden, ücretlerin makul olduğundan ve kullanıcıların Birleşik Krallık Genel Veri Koruma Yönetmeliği ile Gizlilik ve Elektronik İletişim Yönetmeliği’ne uymak için gerçek bir seçeneğe sahip olduğundan emin olunacak şekilde uygulanmalıdır.
[1] <https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/online-tracking/consent-or-pay/about-this-guidance/>.
[2] <https://www.legislation.gov.uk/eur/2016/679/contents>.
[3] <https://www.legislation.gov.uk/uksi/2003/2426/contents>.
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.