Zorunlu Çerezlerle Yurt Dışına Veri Aktarılıyor ise Aktarım için Açık Rıza Alınması Gereklidir!

13.02.2024

Bora Yazıcıoğlu

Kübra İslamoğlu Bayer

27.12.2023 tarihinde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde bir dizi yeni karar yayınlandı. Önemli gördüğümüz kararları özetlediğimiz bilgi notumuza buradan ulaşabilirsiniz. Bu kararlardan, geniş katılımlı çevrim içi bir oyunun Türkiye’deki dağıtıcısı ve tek yetkilisi konumundaki veri sorumlusunun oyun kullanıcısı/üyelerine dair veri işleme faaliyetlerinin değerlendirildiği kararı kapsamlı bir değerlendirme içerdiğinden biz de bu kararı özel olarak incelemek istedik ve kararın önemli gördüğümüz noktalarını sizler için derledik.

Kurul: Kişisel Verileri Koruma Kurulu

Kanun: Kişisel Verilerin Korunması Kanunu

Kurum: Kişisel Verileri Koruma Kurumu

Çerez Rehberi: Çerez Uygulamaları Hakkında Rehber

1. Kararın önemli ana fikri ve görüşümüz

Bilindiği gibi zorunlu çerezlerin web sitesinde kullanılması için açık rıza alınmasına gerek yoktur. Dolayısıyla bu tür çerezlerin kullanılmasının hukuki sebebi “açık rıza” değil -duruma göre- “meşru menfaat”, “sözleşmenin ifası” vb. olarak kabul edilmektedir.
Kurul zorunlu çerezler kullanılarak yurt dışına kişisel veri aktarıldığında bu aktarım yönünden açık rıza alınması gerektiğini belirtmiştir.
Bu çerçevede, ”zorunlu çerezler için yurt dışı aktarıma ilişki açık rıza alınması”nın “hizmetin açık rıza şartına bağlanamaması” ilkesine aykırı yorumlanmayacağı izlenimi doğmaktadır.
Ancak zorunlu çerezlerin, internet sitesinin düzgün ve etkili bir şekilde çalışması için gerekli oldukları göz önünde bulundurulduğunda, ilgili kişilerin bu açık rızayı vermemesi ya da internet sitesi ayarlarından çerezleri engellemesi durumunda internet sitesinin hiç çalışamaması gibi bir sorunla karşılaşılabilir. Bu rızanın zorunlu tutulması belirttiğimiz ilkeye aykırılık teşkil edilebilir. Bu nedenle, zorunlu çerezler yoluyla yurt dışına aktarım meselesi uygulamacılar için hala sorun teşkil etmektedir. Planlanan Kanun değişikliğinde bu tür sorunların dikkate alınarak yıllardır devam eden yurt dışına aktarım meselesine etkili bir çözüm getirilmesi en büyük beklentimizdir.

2. Kararın özeti

İlgili Kişinin İddiaları	Kurul’un Tespitleri	Kurul’un Değerlendirmesi	Yaptırım
Oyun kullanıcısı/üyelerin kişisel verilerinin yurt dışına aktarıldığı ve veri sorumlusunun internet sitesinde yer alan ve "Aydınlatma Metni" olduğu, “Gizlilik Politikası” ve “Çerez Politikası” incelendiğinde bunun kolaylıkla anlaşılabildiği.	Veri sorumlusunun ofisi ve hizmet aldığı bir diğer firmanın merkezinin ziyaret edilmesi suretiyle yerinde inceleme yapılmasının akabinde veri sorumlusu tarafından oyun sunucularının yurt içinde tutulduğu ve oyun kullanıcısı/üye olan ilgili kişinin kişisel verilerinin yurt dışına aktarımının yapılmadığının anlaşıldığı.	Oyuncuların/üyelerin kişisel verileri yurt dışına aktarılmadığı.	Yurt dışı aktarımı yönünden; tesis edilecek herhangi bir işlem bulunmadığı Talimatlandırma: Oyunculara/üyelere ilişkin kişisel verilerin fiilen yurt dışına aktarılmadığı tespit edildiğinden “Gizlilik Politikası”, “Kayıt Ol Aydınlatma Metni” ve “Kişisel Veri Koruma Politikası” başlıklı metinler ile VERBIS kaydının yurt dışına aktarım bölümlerinin güncellenmesi.
Veri sorumlusunun hile ve sahtekarlık tespiti amacıyla kullandığı yazılım aracılığıyla ilgili kişinin bilgisayarındaki kişisel verilere erişim sağladığı	Yazılımın sadece bilgisayardaki açık olan yazılımların türünü ayırt etmeye çalıştığı, Sahtecilik ve hile yapma göstergelerinden biri olan IP değişiminin de bu yazılım üzerinden takip edildiği, İnternet üzerinden bilgi transferinin yapılmadığı IP adresinin takip edildiği bilgisinin elde edildiği, Veri sorumlusunun şikâyete konu edilen özel yazılımı oyun kullanıcılarının hile ve sahtekarlığa başvurup başvurmadığını tespit amacıyla kullandığı, Bu kullanım sırasında oyuncuların bilgisayarındaki kişisel verilere erişim sağlamak suretiyle hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı.	Hukuka aykırı kişisel veri işleme faaliyetinde bulunulmadığı.	Tesis edilecek herhangi bir işlem bulunmadığı
Veri sorumlusunun internet sitesinde yer alan gizlilik politikasının, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun olmadığı.	“Kayıt Ol Aydınlatma Metni”: Aydınlatma metninde “… paylaşılabilir.” gibi muğlak ifadelere yer verilmemesi gerektiği, “Gizlilik Politikası”: Metnin incelemeye konu veri sorumlusuna değil, veri sorumlusunun büyük ortağı olan şirkete ait olduğu ve kullanıcılara sunulan diğer metinlerle tutarlı olmadığı, “Kişisel Veri Koruma Politikası”: Daha geniş bir ilgili kişi grubuna hitap etmesine rağmen hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiği ve hangi üçüncü taraflara aktarıldığının açık bir şekilde metinden anlaşılamadığı.	Metinlerin Tebliğ’e uygun olmadığı ve aralarında tutarsızlık bulunduğu.	Talimatlandırma: Metinlerin Tebliğ’e uygun ve birbirlerinin yanı sıra VERBİS kaydı ile tutarlı hale getirilmesi. Ayrıca gizlilik politikasının, diğer metinlerle tutarlı hale getirilemiyorsa kaldırılması.
Çerez politikasında açık rızaya yer verilmediği halde açık rıza talep edildiği ve ayrıca yurt dışında bulunan bazı firmaların üçüncü parti çerezleri kullanılarak kişisel verilerinin işlendiği ve yurt dışına aktarıldığı.	İnternet sitesindeki çerezlere ilişkin pop-up açıklaması altında, “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere iki seçenek sunulduğu, Gerekli (zorunlu) çerezler dışındaki çerez türlerinin tamamı için “tüm çerezlere izin ver” seçeneği sunularak toplu şekilde açık rıza alındığı, İlgili kişilere seçim yapma imkânı sunulmadığı.	Açık rıza alınmasını gerektiren her bir çerez tipi için seçeneklerin sunulması suretiyle “opt-in” yöntemiyle açık rıza alınması gerektiği ve açık rızanın Kanun’a uygun olmadığı	750.000TL idari para cezası Talimatlandırma: Çerezler yoluyla kişisel verilerin yurt dışına aktarımı için ilgili kişilerden ayrıca açık rıza alınmasına yönelik gerekli düzenlemelerin internet sitesinde yapılması.
	Üçüncü taraf çerez sağlayıcıları tarafından çeşitli çerezlerin “gerekli çerezler” kategorisinde kullanıldığının belirtildiği Yurt dışında yerleşik şirketler tarafından sağlanan üçüncü taraf zorunlu çerezler vasıtasıyla yurt dışına aktarılan kişisel veriler bakımından aktarım şartlarının Kanun’a uygun olmadığı.	Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla kullandığı çerezler aracılığıyla yurt dışına veri aktarımı faaliyetini gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği dikkate alındığında; İlgili kişilerin açık rızasının alınmadığı ve Kanun’un 9’uncu maddesine aykırı bir şekilde yurt dışına aktarım yapıldığı.
	İnternet sitesinde yer alan “Çerez Politikası” ve “Çerez Beyanı” metinlerindeki tablolarda çerezlere ilişkin farklı bilgilerin yer aldığı.	Tabloların güncellenmesi ve yeknesak hale getirilmesi gerektiği.	Talimatlandırma: Çerez Politikası ve Çerez Beyanı metinlerinin birbiri ile tutarlı ve uyumlu olacak şekilde Tebliğ’e uygun hale getirilmesi.

This website is available “as is.” Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

SPK’dan e-Başvuru Zorunluluğu

CMB Deploys Electronic System for Submissions

Sermaye Piyasası Kurulu Tarafından Payların İlk Halka Arzı Öncesi Uyulacak Ön Şartlardaki Tutarların İndirimine İlişkin Kurul İlke Kararı Yayımlandı

Recent Changes Regarding the Determination of Companies Subject to Independent Auditing

Call Option Agreement on Shares of a Joint Stock Company

Bağımsız Denetime Tabi Şirketlerin Belirlenmesine Dair Karar

The Constitutional Court Decision on Legal Professional Privilege

Two-minute Recap of Recent Developments in Turkish Competition Law - March 2024

Two-minute Recap of Competition Law Matters Around the Globe – March 2024

Türkiye’s Green Transition Journey and Effects on Construction Sector

“Reasonable” Remedy Period

An Overview of FIDIC 2022 Reprint

Veri Koruması İçin Yöntemler: Anonimleştirme ve Psödönimleştirme Hakkında Bir İnceleme

Safeguarding Data: A Review of Anonymization and Pseudonymization

ÇSY Kapsamında Kişisel Verilerin Korunması Hukukunun Önemi

Anayasa Mahkemesi’nden 6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu’nun Bazı Hükümlerinin İptaline İlişkin Yeni Karar

New Decision by the Constitutional Court on the Annulment of Certain Provisions of the Mediation in Civil Disputes Law No. 6325

Esin Litigation Quarterly | Issue 4 | March 2024

2024 Yılı İtibarıyla Perakende Ticaret Mevzuatında Neler Değişti?

Sadakat Programlarına İndirimli Satış Reklamı Yasağı!

Obligations under the Distance Contracts Regulation are Postponed

Kamu İhale Sözleşmelerinde Düşük Karbon Emisyonuna Sahip Yeşil Çimento Kullanımının Yaygınlaştırılmasına İlişkin Tebliğ Yayımlandı

Communiqué on the Promotion of the Use of Green Cement with Low Carbon Emission in Public Procurement Contracts has been Published

Şarj Hizmeti Ağlarında Konsolidasyon: Lisans İptalleri

Kurumsal Sürdürülebilirlik Özen Yükümlülüğü Direktifi (CSDDD) Onaylandı

Corporate Sustainability Due Diligence Directive (CSDDD) Approved

Yeşil Dönüşüm Yolunda: Çevre Etiketi Sistemi

Ödeme ve Elektronik Para Kuruluşlarının Asgari Özkaynak Miktarlarında Değişiklikler

Amendments Regarding Minimum Equity Amounts for Payment and Electronic Money Institutions

Dijital Türk Lirası’nda Faz-2 Çalışmalarına Başlandı

Technology Disruption in the Insurance Industry

Cyber Insurance

İklim Değişikliğinin Sigorta Sektörü Üzerindeki Etkisi

Türkiye's Geopolitical and Strategic Importance Regarding Counterfeiting Activities

Design Registration Application in Turkey: Things to Consider

Turkish PTO Will Handle Non-Use Cancellation Actions as of January 10, 2024

İşçinin Ölümü Halinde Kıdem Tazminatı ve Ölüm Tazminatı Taleplerinin Karşılaştırmalı Olarak Değerlendirilmesi

Non-competition Obligation - Intervention of the Judge

İş Sözleşmelerinde Rekabet Etme Yasağı

Türkiye İlaç ve Tıbbi Cihaz Kurumu Tıbbi Cihaz Sektör Belgesi Yayınlandı

Turkish Medicines and Medical Devices Agency Published the Industry Report on Medical Devices

Spor Müsabakalarına Dayalı Bahis ve Şans Oyunları

Remarkable Topics of Recent Times: Betting and Games of Chance on Sports Competitions

Advertising Board Published the Report on Supplementary Food Advertisements!

Convertible Investments in Türkiye

Türkiye’de Pay Opsiyon Planları ve Birleşme Devralmalara Etkileri

Employee Stock Option Plans and Effects on M&A Practices in Türkiye

Yayımlanan Yönetmelik ile Konutların Turizm Amaçlı Kiralanması

Konutların Turizm Amaçlı Kiralanması

Konut Kira Bedeli Artışlarında Azami Sınır

Anonim Şirketlerde Önemli Miktardaki Varlığın Satışı ve İlgili Tartışmalı Konular

Sale of Significant Assets in Joint Stock Companies and Related Contentious Issues

Adi Konkordatoda Alacaklılar Toplantısı

Türkiye’de Çalışan Pay Opsiyon Planları ve Yatırım Sürecindeki Etkileri

Yatırım ve Pay Devri İşlemlerinde Ara Dönem ve Kapanış Şartları

What is Convertible Debt as a Method of Quick Access to Finance?

Damga Vergisi Kanun Genel Tebliği (Seri No: 69) Hakkında Bilgi Notu

Information Note Regarding the General Communiqué on the Stamp Duty Law (Serial No: 69)

Anayasa Mahkemesi’nden Enflasyon Düzeltmesine İlişkin Önemli Karar

The AI Act: The World's First Comprehensive Laws to Regulate AI

AB’den Devrim Niteliğinde Düzenleme: Yapay Zekâ Yasası Onaylandı

Revolutionary Regulation from EU: AI Act is Approved

Regulation on Preventing Collision at Sea

Türkiye’de Deniz Kirliliği Cezalarına İlişkin Yeni Düzenleme

Current Pollution Administrative Fines

Şirket Yöneticilerinin Cezai Sorumluluğu

An Overview of Occupational Fraud 2024: A Report to the Nations by ACFE

Güneş Balçıkla Sıvanmaz!

Zorunlu Çerezlerle Yurt Dışına Veri Aktarılıyor ise Aktarım için Açık Rıza Alınması Gereklidir!

Popular Articles on Data Protection & Privacy

Latest Insights from YAZICIOGLU LEGAL

Subscribe to our newsletter