GDPR Avrupa birliği sınırları içerisindeki vatandaşlarının kişisel verilerini barındıran bütün işletmeleri kapsar. Şirketin konumu Avrupa birliği sınırları içerisinde bulunmasa dahi bu vatandaşların verilerini topladığı için yönetmelikten sorumlu tutulmaktadır.
Hiçbir kişisel veri, yönetmelikte belirtildiği şekilde yapılmadığı veya ilgili kişiden (kişisel veri sahibinden) açık bir onay almadığı sürece işlenemez. İlgili kişi bu izni istediği zaman iptal etme hakkına sahip olmaktadır. GDPR geçmişte saklanmış verileri de kapsamaktadır. Genel Veri Koruma Tüzüğü GDPR maddelerine uyum sağlamayan işletmeleri ciddi ceza ve yaptırımlar beklemektedir.
Bu kişisel veriler:
– İsim, adres, kimlik numarası
– Konum, Ip adresi, cookie bilgileri vb. internet verileri
– Fiziksel görünüme ait veriler ve biometrik veriler
– Irk köken bilgileri
– Siyasi görüş
– Tıbbi veriler gibi vb. verileri kapsamaktadır.
Kullanıcı profili oluşturan forum siteleri, ürün satışı yapıp kullanıcı verileri kaydeden e-ticaret siteleri, yorum yapma izi veren wordpress sitesi vb. siteler GDPR ‘dan etkilenmektedir.
– Avrupa birliği sınırları içerisinde yaşayan bireylerin verilerini işleyen şirketlerin nerde bulunduğu önemli değildir. Avrupa birliğine üye ülkelerin vatandaşlarının verilerini işleyen tüm işletmeler konumu ne olursa olsun bu yönetmelikten sorumludur.
– Yönetmeliğe uyumlu olmayan siteler için yüksek miktarlarda ceza kesilebilir.
– Kullanıcıdan kişisel verileri alınırken basit bir sistemle ve kolay anlaşılır bir şekilde onayı alınmalı ve iptali de bu şekilde gerçekleştirilmelidir.
– Şirketler için İhlal bildirimleri zorunlu tutulmaktadır.
– Kullanıcıların hangi verilerinin alındığına, nerelerde nasıl kullanıldığına, ne kadar süreyle tutulacağını bilme hakkına sahiptirler
– Kullanıcılar kaydedilen verileri erişim hakkına ve verilerini güncelleme hakkına veya silme hakkına sahiptir. Verileri üstünde kısıtlama da getirebilirler
Kullanıcı rızası alma mesajını AdSense’te ilk kez etkinleştirdiğiniz zaman, sizin için otomatik olarak bir Funding Choices hesabı oluştururuz. Böylece, sitenizde zaten mevcut olan AdSense kodunu kullanarak kullanıcı rızası alma mesajınızı gösterebilirsiniz. Başka kod eklemeniz gerekmez.
AdSense’te oluşturduğunuz kullanıcı rızası alma mesajı, sitenizin kullandığı reklam teknolojisi sağlayıcıları listeler ve kişiselleştirilmiş reklamlar göstermek için ziyaretçilerden çerez kullanımına ve bu sağlayıcıları kullanmanıza izin vermelerini ister. Kullanıcı seçim yaptıktan sonra, kullanıcı rızası alma mesajı, IAB GDPR çerçevesinden yararlanarak kullanıcının rıza gösterme durumunu Google reklam etiketlerine otomatik olarak iletir. AB kullanıcı rızası alma mesajlarının Funding Choices’da nasıl çalıştığı hakkında daha fazla bilgi edinin.
Kullanıcı rızası alma mesajınız, kullanıcıların sitenizde bir tercih yaptıktan sonra gizlilik ve çerez ayarlarını değiştirmesine olanak tanıyan bir bağlantı da içerir. Bu bağlantı, IAB TCF 2.0 sürümü politikalarına uymanız gerektiğini belirten bir metin içerir.
Not: Kullanıcı rızası alma mesajınız, “AB kullanıcı rızası” sayfanızdaki reklam sunma seçeneğini geçersiz kılacaktır. Örneğin, halihazırda “Kişiselleştirilmemiş reklamlar” ayarını seçmişseniz, kullanıcı izin verdiği takdirde sitenizde yine de kişiselleştirilmiş reklamlar gösterilir.
Sıklıkla kullanılan consent tanımı ile başlayabiliriz. Consent izin, onay, razı olmak, uygun bulmak gibi anlamlara gelen, kişilerin belirli bir duruma istinaden verdikleri onayı / gösterdikleri rızayı ifade eder. Bu terim hukuk, tıp, araştırma ve sosyal ilişkiler içerisinde sıklıkla kullanılmaktadır. Ancak, rıza şartının yine yasalarca belirtilmiş sınırlar dahilinde ele alınması gerekir. Örneğin, reşit olmayan bir kullanıcı rıza gösterse dahi yine ilgili yasalarca rızadan doğan yükümlülükler dışında kalabilir. Dolayısıyla, rıza süreci gündelik dilin yanı sıra, ilgili bağlam çerçevesinde değerlendirilmelidir.
Rıza türleri, muğlak olmayan rıza (unumbiguous consent), zımni rıza (implied consent), açık rıza (explicit consent), bilgilendirilmiş rıza (informed consent) ve oybirliğiyle rıza (unanimous consent), ikame edilmiş rıza (substituted consent) gibi alt kavramları da içerir. Muğlak Olmayan Rıza AB kişisel veri koruma hukukunda rıza muğlak olmayan rıza şeklinde ele alınmaktadır ve muğlak olmayan şekilde verilmiş olma şartı ile geçerlidir. Dolayısıyla, rızanın geçerli olması için taşıması gereken nitelik ve koşullar nettir. GDPR özel nitelikli kişisel veriler bakımından açık rıza (explicit consent) kavramını kullanmayı sürdürmüştür. Zımni RızaBir kişinin eylemlerinden ve belirli bir durumun gerçeklerinden ve koşullarından (veya bazı durumlarda, bir kişinin sessiz kalması veya hareketsiz kalmasıyla) elde edilen rızadır. Zımni ifadesi kapalı olarak yapılan veya söylenen, dolayısıyla anlatılan durumları tanımlar. Açık Rızaİmadan ziyade, açık ve net bir şekilde ifade edilen bir onaydır. Yazılı olarak, sözlü veya sözsüz olarak gerçekleştirilebilir. Örneğin. başını sallamak gibi net bir hareketle açık onay verilebilir. Tanıklar tarafından kanıtlanmayan, yazılı olmayan veya bir ses veya video kaydı taraflardan birinin reddetmesi durumunda itiraz hakkı doğurur. KVKK’da rıza kavramı için daima “açık rıza” tabiri kullanılmaktadır. Bilgilendirilmiş RızaBir eylemin gerçeklerini, onay ile birlikte ortaya çıkacak yükümlülükler ve gelecekteki sonuçlarını net bir şekilde ortaya koyan, rıza gösteren kişinin bu durumu anladığını beyan ettiği rızadır. Araştırmalar çerçevesinde de sıklıkla kullanılır; katılımcılar araştırma prosedürünü anladıklarını ve buna rıza gösterdiklerini açık bir şekilde beyan ederler. Oybirliği İle RızaDernek, sendika, vb. çeşitli taraflardan oluşan bir grubun oybirliği ile vermiş olduğu rızayı ifade eder. İkame Edilmiş RızaBir karar vericinin, ehliyetsiz bir kişi yerine verdiği onaydır.
Bu rıza türlerinin dışında da farklı rıza türleri ve/veya Türkçe karşılığı sebebyile (ör. open consent) karışıklık yaşanması muhtemel kullanımlar da söz konusudur1.
Tekrar GDPR’a dönelim. GDPR’ye göre, son kullanıcıların (end-user) rızası geçerli, özgürce verilmiş, kapsamı ortaya koyulmuş, durum ile ilgili bilgilendirilmiş olarak verilmelidir. Verilen bu izin aktif olmalıdır. Ancak, yasal izinlerin alınmasına ilişkin uygulanabilirlik eksikliği ve kapsamın genişliği, dijital dünyada bir uyum zorluğu oluşmuştur. Elbette hukuki olarak gri noktalar değerlendirilebilmektedir. Örneğin, güncel bir araştırma Google, Amazon, Facebook, Apple ve Microsoft gibi (kısaca GAFAM) firmaların rıza alma mekanizmalarında karanlık kalıplar kullandıklarını ve elde edilen rızanın hukuka uygunluğuna ilişkin şüpheleri artırdığını göstermiştir.