Atıf Şekli Cite As: KESER, Yıldırım, “Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza”, SÜHFD., C. 28, S. 3, 2020, s. 1181-1215. İntihal Plagiarism: Bu makale intihal programında taranmış ve en az iki hakem incelemesinden geçmiştir. This article has been scanned via a plagiarism software and reviewed by at least two referees. SELÇUK ÜNİVERSİTESİ HUKUK FAKÜLTESİ DERGİSİ Selçuk Law Review Araştırma Makalesi Research Article Gönderim Received: 17.04.2020 Kabul Accepte
Atıf Şekli Cite As: KESER, Yıldırım, “Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza”, SÜHFD., C. 28, S. 3, 2020, s. 1181-1215. İntihal Plagiarism: Bu makale intihal programında taranmış ve en az iki hakem incelemesinden geçmiştir. This article has been scanned via a plagiarism software and reviewed by at least two referees. SELÇUK ÜNİVERSİTESİ HUKUK FAKÜLTESİ DERGİSİ Selçuk Law Review Araştırma Makalesi Research Article Gönderim Received: 17.04.2020 Kabul Accepted: 15.09.2020 10.15337/suhfd.722284 TÜKETİCİNİN KİŞİSEL VERİSİNİN İŞLENMESİNDE AÇIK RIZA Dr. Öğr. Üyesi Yıldırım KESER Öz Kişisel verilerin korunması birçok hukuk dalının kesişme noktasıdır. Kişisel verilere yönelik her türlü müdahale kural olarak hukuka aykırılık teşkil eder. Anayasa’mız gereğince, kişisel verilerin işlenebilmesindeki istisnaların başında kişinin açık rızası gerekir. Kişisel Verilerin Korunması Kanunu’nda, veri özne- sinin şahsi özellikleri dikkate alınmaksızın açık rızaya ilişkin olarak çerçeve hüküm getirilmiştir. Veri öznesinin tüketici olması durumunda, tüketici huku- kuna ilişkin genel prensipler ve yasalarla getirilen koruyucu hükümler doğru- dan uygulama alanı bulur. Tüketicinin kişisel verisinin işlendiği durumlarda, veri işleyen ile tüketici arasındaki “güç dengesizliği” dikkate alınmalıdır. Tüke- ticinin kişisel verisinin işlenmesine ilişkin verdiği açık rızayı özgürce vermediği karine olarak kabul edilmelidir. Tüketici hukukunda yapılacak yasal düzenle- me ile mal ve hizmet sağlayıcılarının çerezin kişisel veri olmadığını ispat etme külfeti altına sokulmaları gerekmektedir. Aksi takdirde çerezler, kişisel veri olarak kabul edilmelidir. Anahtar Kelimeler Açık Rıza • Veri Öznesi • Eşitsiz Güç Dengesi • Belirlenebilir Gerçek Kişi • Çerezler Dr. Öğr. Üyesi, İstanbul Yeni Yüzyıl Üniversitesi Hukuk Fakültesi, Medenî Hukuk Anabilim Dalı, İstanbul, TürkiyeAsst. Prof., Istanbul Yeni Yuzyil University, Faculty of Law, Department of Civil Law, Istanbul, Turkey. ***@***.***• 0000-0002-7990-4218 1182 | Dr. Öğr. Üyesi Yıldırım KESER EXPLICIT CONSENT IN THE PROCESSING OF PERSONAL DATA OF REAL PERSON CONSUMERS Abstract Protection of personal data exists in many law branches. In principle, all inter- ventions with personal data are considered illegal. Turkish Constitution consid- ers explicit consent of a person as one of the exceptions of processing of person- al data. Data Protection Act (DPA) provides a framework provision for explicit consent regardless of the personal features of the data subject. If the data subject is a consumer, general principles in consumer law as well as protective provi- sions provided by related legislation are directly applied. When a costumer’s data is processed, the “imbalance of power” between the customer (data sub- ject) and the processor has to be taken into account. A consumer’s explicit con- sent has to be presumed not to be freely given. Product and service providers have to be put under the obligation to prove that cookies are not personal data with a new legislation in consumer law. Otherwise, cookies have to be consid- ered as personal data. Key Words Explicit Consent • Data Subject • Imbalance of Power • Identifiable Real Person • Cookies GİRİŞ Kişisel verilerin işlenmesinin belli yasal kurallara bağlanması, baş- ta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korun- ması amacını taşır. Türk Hukuku’nda kişisel veriler, anayasal düzeyde bir korumaya sahiptir (AY md 20/f.son). Anayasa’daki düzenleme gere- ğince, kişisel verilerin işlenmesi kural olarak yasaktır. Bu yasağın istis- nalarının başında veri öznesinin açık rızası gelir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile veri öznesinin şahsi özellikleri dikkate alarak bir düzenleme getirilmemiştir. Kanun koyucu, kişisel verinin işlenmesinde genel ilkeler ve işlenme şart- ları olarak çerçeve hükümler getirmeyi tercih etmiştir. Çalışmamızda 6698 sayılı Kanun tarafından açık rızaya ilişkin ge- tirilen düzenlemelerin tüketici hukukundaki uygulaması üzerinde duru- lacaktır. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1183 I. Tüketicinin Tanımı 6502 sayılı Tüketicinin Korunması Hakkında Kanun (TKHK), yü- rürlükten kaldırılan 4077 sayılı Tüketicinin Korunması Hakkında Ka- nun’a paralel olarak ticari veya mesleki olmayan amaçlarla hareket eden tüzel kişilerin de tüketici olabileceğini düzenlemiştir. KVVK’da getirilen düzenlemeler gerçek kişilere ilişkin olduğundan, çalışmamızda gerçek kişi tüketici esas alınarak değerlendirmeler yapılacaktır. Gelişen sanayi ve bilişim çağı beraberinde tüketicinin korunması zorunluluğunu getirmektedir. Tüketicilerin korunması, devletin anaya- sal görevleri arasındadır (AY md 172). Tüketici hukukunun amacı tüke- ticiyi korumaktır. Bu hukuk dalında nihaî amaç toplum yararıdır1. Tüke- ticinin korunması, başta ülke ekonomisi olmak birçok toplumsal yarara hizmet eder. Herhangi bir yasanın tüketici hukukuna ait olması için tüketiciye uygulanması yeterlidir. İlgili kuralın Tüketici Kanunu’nda düzenlenmiş olması gerekmemektedir. Bu nedenle de kişisel verilerin korunmasına ilişkin TKHK’da hüküm olmamasına rağmen KVKK’da düzenlenen ku- ralların tüketiciye uygulanırken, tüketici hukukunun amaçları dikkate alınarak değerlendirme yapılmalıdır. Tüketicinin sağlık ve güvenliği ile ekonomik çıkarlarını korumak THKK’nın başlıca amaçlarındandır. Kişi- sel veriler KVKK kapsamında korunmaktadır ama kişisel veri sahibi aynı zamanda tüketici ise ayrıca tüketici hukukunun genel ilkeleri ve yasal düzenlemeler çerçevesinde tüketiciye sağlanan koruyucu hüküm- lerden de yararlanacaktır. II. Kişisel Verinin Tanımı A) Gerçek Kişi Tanımı Türk Medeni Kanunu gereğince, kişilik, çocuğun tam ve sağ ola- rak doğduğu andan itibaren başlar ve ölümle son bulur (TMK md 1 SİRMEN, Lale, Tüketici Hukukunun Amacı ve Özellikleri, Aydın ZEVKLİLER’e Armağan, C. III, Yaşar Üniversitesi E-Dergisi, Vol. 8, Özel Sayı, s. 2467; ZEVKLİ- LER, Aydın/ÖZEL, Çağlar, Tüketicinin Korunması Hukuku, Seçkin Yayınevi, An- kara 2016,s. 42. 1184 | Dr. Öğr. Üyesi Yıldırım KESER 28/f.1). Ölümle birlikte kişilik son bulduğundan ölen kişiye ait bilgilerin KVKK kapsamında korunabilmesi mümkün değildir2. Kişilik hakkı, kişinin bütün kişisel değerleri üzerinde sahip olduğu haktır3. Kişilik hakkı, soyut bir kavramdır ve içeriği zaman ve yere göre değişir4. B) Kişisel Verinin Tanımı 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun ile geti- rilen koruma gerçek kişilere ilişkindir (md 3/b). Bu nedenle de tüzel kişi- lere ilişkin verilerin bu kanun kapsamında korunabilmesi mümkün de- ğildir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin genel veya özel her türlü bilgiyi ifade etmektedir (KVKK md 3/d). Ger- çek kişinin fotoğrafı, cinsiyeti, kan grubu, yaşı, sigorta numarası, adresi, telefon numarası ve benzeri bilgiler kişisel verilere örnek gösterilebilir. KVKK’da kişisel veriler genel ve özel nitelikli kişisel veriler olmak üzere ikiye ayrılmıştır. Genel nitelikli kişisel veriler, özel nitelikli kişisel veri özelliğini taşımayan verilerdir. KVKK’da, özel nitelikteki kişisel veriler sayılmıştır (KVVK md 6/1)5. Özel nitelikli kişisel veriler, nitelikle- ri gereği hassas verilerdir. Bu nedenle de başkaları tarafından bilinmesi hâlinde veri sahibinin temel hak ve özgürlükleri doğrudan etkilenebilir. Örneğin, ünlü doktor A, AIDS hastasıdır. Hastalığının başkaları tarafın- dan bilinmesini istememektedir. Bay A’nın hastalığı, özel nitelikli kişisel verisidir. Bazı insanlar, AIDS hastalığının sadece cinsel yolla bulaşan bir 2 Bazı ülkeler ölmüş kişilere ait verilerin kişisel veri olarak kabul edilebileceğine ilişkin düzenlemeler getirmişlerdir. Örneğin, Fransa. Ayrıntılı bilgi için, AKSOY, Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yönünden Kişisel Verilerin Korunması, Çakmak Yayınevi, Ankara 2010, s. 21; ÖZDEMİR, Hayrunnisa, Elektro- nik Haberleşme Alanında Kişisel Verilerin Özel Hukuk Hükümlerine Göre Korun- ması, Seçkin Yayınevi, Ankara 2009, s. 125. 3 HELVACI, Serap, Türk ve İsviçre Hukuklarında Kişilik Hakkını Koruyucu Davalar, Beta Yayınevi, İstanbul 2001, s. 41. 4 ÖZDEMİR, s. 111. 5 KVKK md 6/1 şu şekilde düzenleme getirmiştir: “ Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, der- nek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güven- lik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir”. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1185 hastalık olduğunu düşünebilirler. Bazı insanlar ise solunum yoluyla bulaştığını düşünebilirler. Düşünce farklılıkları ve başkaca hassasiyet- lerden dolayı, Bay A’nın, başta meslek yaşamı olmak üzere sosyal hayatı bu hastalığa ilişkin farklı bakış açılarından dolayı olumsuz etkilenebilir. Özel nitelikli kişisel veriler nitelikleri gereği ayrımcılık tehlikesi riski de taşırlar6. Bu nedenlerle de genel nitelikli kişisel verilerden ayrılırlar. Yasal düzenleme gereğince, “kişilerin ırkı, etnik kökeni, siyasi dü- şüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafe- ti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” (md 6/1). Yasal düzenleme ile “Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbest Dolaşımı ve 95/46/EC sayılı Yönerge’nin Yürürlükten Kaldırılması İle İlgili Olarak Gerçek Kişilerin Korunması ile İlgili 27 Nisan 2016 Tarihli Avrupa Par- lamentosu ve Konseyinin (AB) 2016/679 sayılı Tüzüğü’ne (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repea- ling Directive 95/46/EC “GDPR”) paralel bir düzenleme getirilmiştir (md 9/1). 1) Kimliği Belli Gerçek Kişi “Kişisel veri, kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder (KVKK md 3/d)”. Yasal düzenleme, 24.10.1995 tarihli, Avrupa Parlamentosu Kişisel Verilerin İşlenmesi ve Bu Tür Veri- lerin Serbest Dolaşımı ile İlgili Olarak Kişilerin Korunmasına İlişkin 95/46 sayılı Yönerge’nin (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Move- ment of Such Data “95/46/EC Yönergesi”) 2 (a) bendi esas alarak düzen- lenmiştir. Kimliği belli kavramından anlaşılması gereken, kişisel verinin ait olduğu gerçek kişinin doğrudan anlaşılmasıdır. Örneğin, iş başvuru- sunda bulunan kişinin ya da mal beyanında takip borçlusunun kimliği 6 ÖZDEMİR, s. 126. 1186 | Dr. Öğr. Üyesi Yıldırım KESER bellidir. Somut olayda kişinin belli olup olmadığı belirlenirken dikkate alınması gereken temel ilkeyi şu şekilde ifade edebiliriz: Herhangi bir ek bilgiye ihtiyaç duymaksızın kişinin kimliği belirlenebiliyorsa kimliği belli gerçek kişinin varlığı kabul edilmelidir. 2) Kimliği Belirlenebilir Gerçek Kişi KVKK’da “kimliği belirlenebilir” ifadesinin ne anlama geldiği ta- nımlanmamıştır. KVKK’nın gerekçesinin 3.maddesi 1. fıkrasında7 belir- lenebilirlik unsuru ile ne ifade edilmek istendiği açıklanmıştır. Bu açık- lama gereğince, mevcut veri, eğer ki, herhangi bir gerçek kişi ile ilişki- lendirilebiliyorsa ve kurulan bağlantı ile gerçek kişinin sosyal, ekono- mik, fiziksel ve psikolojik kimliği ifade edilebilir hâle geliyorsa kimliği belirlenebilir gerçek kişinin varlığı kabul edilmelidir. Kanunun gerekçe- sinde özellikle, vergi kimlik numarası ve sigorta sicil numarası gibi ka- yıtların da ek bilgi ile ilişkilendirilmesi hâlinde gerçek kişinin kimliği tespit edilebileceğinden bu gibi kayıtların varlığı halinde de kimliği be- lirlenebilir gerçek kişinin varlığının kabul edilmesi gerektiği vurgulan- maktadır. Kimliği belirlenebilir gerçek kişinin kimliğini belirleyecek bilgileri sınırlayıcı olarak sayabilmek mümkün değildir. Mevcut bilgi her somut olayın özelliklerine göre değerlendirilmelidir8. İlginin yaşı, mesleği, ço- cuğu kimi durumlarda kişinin belirlenmesine hizmet edebilir9. “Kişisel Verilerin İşlenmesi ve Bu Verilerin Serbest Dolaşımı ve 95/46/EC sayılı Yönerge’nin Yürürlükten Kaldırılması İle İlgili Olarak Gerçek Kişilerin Korunması ile İlgili 27 Nisan 2016 Tarihli Avrupa Par- lamentosu ve Konseyinin (AB) 2016/679 sayılı Tüzüğü”10 nün (GDPR) 7 Türkiye Büyük Millet Meclisi Kişisel Verilerin Korunması Kanunu Tasarısı (1/541) ve Adalet Komisyonu Raporu “https://www.tbmm.gov.tr/sirasayi/donem26/ yil01/ss117.pdf” (ET: 26/01/2020). 8 ANI, Nevzat Ali, Kişisel Verilerin İşlenmesi ve Açık Rıza, İÜSBE, Yayınlanmamış Yüksek Lisans Tezi, İstanbul 2018, s.19; AVCI, Yasemin, Kişisel Verilerin Korunma- sı, SÜSBE, Yayınlanmamış Yüksek Lisans Tezi, Konya 2019, s.12; BAYINDIR, Ham- za, Özel Sağlık Kurumları Kapsamında Kişisel Verilerinin İşlenmesi ve Korunması, İÜSBE, Yayımlanmamış Yüksek Lisans Tezi, İstanbul 2020, s.21. 9 ÖZDEMİR, s. 124. 10 “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1187 4/1 maddesinde kimliği belirlenebilir kavramı; “Tanımlanabilir bir ger- çek kişi, doğrudan veya dolaylı olarak, özellikle bir ad, bir kimlik numa- rası, konum verileri, çevrimiçi bir tanımlayıcı veya fiziksel, fizyolojik, o gerçek kişinin genetik, zihinsel, ekonomik, kültürel veya sosyal kimliği” şeklinde tanımlanmıştır. GDPR’de yer verilen tanım incelendiğinde, kişisel veri ile gerçek kişi arasında doğrudan veya dolaylı olarak ilişki kurulabiliyorsa gerçek kişi belirlenebilir olarak kabul edilmektedir. GDPR açıklama bölümü- nün11 26 numaralı12 kısmında, gerçek bir kişinin tanımlanabilir olup ol- madığını belirlemek için, makul olarak kullanılması muhtemel tüm araç- ların dikkate alınması gerektiği belirtilmiştir. Kişisel veriyi işleyen tara- fından eğer belirlenebilir değilse son kullanıcının rızası alınmış sayıl- maktadır (GDPR 8/1/b). Çalışma Grubu (“Working Party”) belirli veya belirlenebilir kav- ramlarının tanımına ilişkin geniş bir yorumu benimsemektedir. Belirli, bilinen bir kişiyi ya da bir grupta ayırt edilebilir bir kişiyi, belirlenebilir ise henüz belirlenmemiş ancak belirlenmesi mümkün olan bir kişiyi ifa- de etmektedir13. Avrupa Birliği Adalet Divanı (ABAD), Breyer v. Federal Republic of Germany14 kararında, belirlenebilir gerçek kişi kavramına ilişkin de- ğerlendirmeler yapmıştır. Alman Federal Kurumları, kendilerine ait Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation)”, “http://eur-lex.europa.eu/eli/reg/ 2016/679”. (ET:02.01.2020). 11 GDPR’de maddelere ilişkin olarak 174 maddeden oluşan bir açıklama kısmına yer verilmiştir. https://gdpr-info.eu/recitals/ (ET:08.02.2020). 12 GDPR Recital No. 26, https://gdpr-info.eu/recitals/no-26/. (ET:15.12.2019). 13 PURTOVA, Nadezhda, “The law of everything, Broad concept of personal data and future of EU data protection law, Law”, Innovation and Technology, 2018, 10:1, s. 46. 14 Judgment of 19 October 2016, Breyer, C-582/14, EU: C: 2016: 779 http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageInde x=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=2725971 (ET: 08.01.2020); YÜCEDAĞ, Nafiye, Medeni Hukuk Açısında Kişisel Verilerin Korunması Kanu- nu’nun Uygulama Alanı ve Genel Hukuka Uygunluk Sebepleri, İÜHFM C. LXXV, 2017, s. 767. 1188 | Dr. Öğr. Üyesi Yıldırım KESER internet sitelerini ziyaret edenlere ait IP (Internet Protokol)15 adreslerini depolamıştır. IP adreslerinin depolanmasının nedenleri muhtemel siber saldırıların önüne geçmek ve korsanla mücadele etmektir. ABAD’ın önüne ön sorun olarak gelen olayda cevaplanması gereken soru şudur: IP adreslerinin kime ait olduğu internet erişim sağlayıcılarından elde edilecek ek bilgi ile mümkün olmasına rağmen IP adresinin depolanma- sı durumunda, IP’si depolanan kişi, kimliği belirlenebilir kişi olarak ka- bul edilebilir mi? ABAD, bu soruya olumlu cevap vermiştir. Şöyle ki; ek bilgi sonucu ilgili kişi belirlenebilir ise ek bilginin veri sorumlusunun elinde bulunması zorunlu değildir. ABAD’a göre ek bilgiye ulaşılması eğer yasaklanmışsa veya zaman, emek ve masraf yönünden güçlük ge- rektiriyorsa mevcut veriye dayalı olarak gerçek kişinin kimliği belirle- nebilir kabul edilmemelidir. Breyer Kararı, belirlenebilir gerçek kişiyi geniş yorumladığı ve bu nedenle de kişisel veri kavramını çok genişlettiği için eleştirilmektedir16. ABAD, 2017 tarihli Nowak v Data Protection Commissioner (C- 434/16) davasında17, muhasebe öğrencisi Peter Nowak, sınav merkezi tarafından tutulan kendisine ait verileri talep etmiştir. Bu talep üzerine sınav merkezi on yedi sayfalık veri bilgisi göndermiştir ancak bilgiler arasında Nowak’ın girmiş olduğu sınav kâğıdı yoktur. Sınav merkezine göre sınav kâğıdı kişisel veri değildir çünkü aday sınava özel bir numa- ra ile katılmıştır ve sınav kâğıdında adayın ismi de yer almamaktadır. Sınavı değerlendiren görevlinin de mevcut bilgilere göre adayın kim olduğunu bilmesi mümkün değildir. Yerel mahkeme konuyu ABAD’a göndererek, ön sorun olarak sı- navda aday tarafından verilen cevaplar ile sınavı değerlendiren kişi tara- 15 İnternete bağlanan her bilgisayarın IP adresi vardır. IP adresi rakamlardan oluşur. IP numarası bilindiğinde IP’si bilinen bilgisayara internet üzerinden ulaşım müm- kündür. IP, kullanıcın internet kullanımını takibe de yarar. IP adresi yazılarak doğ- rudan web tarayıcısına bağlanılabilir. 16 PURTOVA, s. 42. 17 Judgment of 20 December 2017, Nowak, C-434/16, EU:C:2017:994 http://curia.europa.eu/juris/document/document.jsf?text=&docid=198059&pageInde x=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=2695698. (ET:09.02.2020). Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1189 fından bu cevaplara yapılan yorumların kişisel veri oluşturup oluştur- madığını sormuştur. ABAD, somut uyuşmazlıkta, “sınav kâğıdında adayın adının ve soyadının bulunmaması, adayın sınava kendisine verilen özel bir numa- ra ile girmiş olması ve sınav kâğıdını değerlendiren kişinin adayı tespit edemiyor olması durumunda sınava giren öğrencinin kimliği belirlene- bilir kabul edilebilir mi?” sorusuna cevap aranmıştır. ABAD, sınav adayının belirlenebilen gerçek bir kişi olduğunu, zira kişinin doğrudan isminden veya kimlik numarasıyla dolaylı olarak ta- nımlanabileceğini belirtmiştir. Mahkeme’ye göre sınavı düzenleyen ku- rumun adayı, kâğıt üzerinden tanımlayamaması önemli değildir çünkü sınavı düzenleyen kurum elindeki ek bilgilerle adayı tanımlayabilecek durumdadır. Breyer davasında olduğu gibi, bir bilginin kişisel veri olarak nite- lendirilmesi için ilgili kişiyi tanımlayacak bilgilerin tek kişide olması gerekmez. Buna göre, sınavı değerlendiren görevlinin sınavı değerlendi- rirken adayı tanımlayamasa bile sınavı düzenleyen kurum, kişiyi tanım- lamaya yarayan bilgileri elinde bulundurmaktadır. Avrupa Birliği resmi sitesinde18 yaptığı açıklama da belirlenebilir gerçek kişi ifadesinden anlaşılması gerekenin ne olduğunu şu şekilde ifade etmiştir. “Bir kişinin, başka bir kişinin elinde bulunan bilgi ile doğ- rudan tanımlanması mümkündür. Ancak bir kişi dolaylı olarak da ta- nımlanabilir. Bu durumda göz önünde bulundurulması gereken başka etkenler de vardır. Bu husus şu anlama gelmektedir; elinizde bulunan bilgiler ile bir kişiyi tanımlamanız mümkün olmasa da, elinizdeki başka bir bilgi veya başka bir kaynaktan ulaşabileceğiniz bilgiler ile bu kişiyi tanımlayabilirsiniz. Üçüncü bir kişinin veriyi kullanarak ve veriyi ulaşa- bilecekleri başka bilgilerle birleştirerek bir kişiyi tanımlaması da dolaylı yoldan tanımlamanın başka bir şeklidir”. III. Açık Rızanın Tanımı 6698 sayılı Kanun, kişisel verileri özel nitelikli kişisel veri (md 6) ve diğer kişisel veriler ayrımına tabi tutmuş olmasına rağmen her türlü 18 What is considered personal data underthe EU GDPR? https://gdpr.eu/eu-gdpr- personal-data (ET: 02/01/2020). 1190 | Dr. Öğr. Üyesi Yıldırım KESER kişisel verinin işlenmesinde açık rızasının varlığını aramaktadır(md 5). Kişisel verilerin işlenmesi, verinin ilk defa elde edilmesinden itibaren başlamakta olup, kişisel verilerin üzerinde gerçekleştirilen bütün işlem- leri ifade etmektedir. GDPR’daki düzenlemeye göre, kişisel verilerin işlenmesini huku- ka uygun hâle getiren sebeplerden biri de veri öznesinin rızasıdır (md 6/1/a). GDPR’da genel nitelikli kişisel verilerin işlenmesinde “rıza” ye- terli kabul edilmiştir fakat özel nitelikli kişisel verilerin işlenmesi için “açık rıza” aranmıştır (md 9). GDPR’de rıza şu şekilde tanımlanmıştır (md 4/11): Veri sahibinin, kişisel verilerinin işlenmesi için özgür, belirli bir konuya ilişkin, somut bilgilendirmeye dayalı ve tereddüde yer bırakmayacak beyan ya da olumlu eylemle rızasını vermesi gerekir. KVVK’da, açık rızanın tanımı yapılmıştır. Şöyle ki; açık rıza, “be- lirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açık- lanan rızayı” ifade etmektedir (md 3/a). KVKK ile GDPR karşılaştırıldığında, açık rıza tanımında “tered- düde yer bırakmayacak açıklıkta” (unambiguously)19 ifadesine yer ve- rilmediği görülmektedir. 95/46/EC’de “tereddüde yer bırakmayacak açıklıkta” ifadesine yer verilmemişti. GDPR tarafından bu kavramın kullanılması da veri sorumlularının bireyleri aşırı rıza talepleri ile karşı karşıya bırakmak zorunda olacağı gerekçesiyle eleştirilmiştir20. KVKK’nın gerekçesine bakıldığında “tereddüde yer bırakmayacak açık- lıkta” ifadesi kullanılmıştır. KVVK’daki mevcut düzenleme öğretide 19 Bu kavram Türk Öğretisinde, “kesin” (ÇEKİN, Mesut Serdar, Avrupa Birliği Huku- kuyla Mukayeseli Olarak 6698 sayılı Kanun Çerçevesinde Kişisel Verilerin Korun- ması Hukuku, On İki Levha Yayıncılık, 2. Bası, İstanbul 2019, s. 74); “muğlak olma- yan” (HAN, Işık Aslı, Kişisel Verilerin İşlenmesi Bağlamında Hukuka Uygunluk Sebebi Olarak Veri Sahibinin Rızası, Galatasaray Üniversitesi Hukuk Fakültesi Der- gisi, 2019/1, s. 434); “terredüde yer bırakmayacak açıklıkta” (AVCI-BRAUN, Cihan, Kişisel Verilerin İşlenmesinde Rıza, Yeditepe Üniversitesi, Hukuk Fakültesi Dergisi, C:XV, S. 1, Y. 2018, s. 19) olarak ifade edilmektedir. KVKK’nın gerekçesinin 5. mad- desinin 2. fıkrasında “tereddüde yer bırakmayacak açıklıkta” ifadesine yer verilmiş- tir. (https://www.tbmm.gov.tr/sirasayi/donem26/yil01/ss117.pdf (ET: 26/01/2020). 20 TAYLOR, Chantelle, “UK regulator's guidance on GDPR consent - is the definition any clearer?”, P. & D.P. 2017, 17(5), s. 1. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1191 eleştirilmekte ve kanunda örtülü bir boşluğun meydana geldiği belirtil- mektedir21. Kanaatimizce de, KVKK’da tanımlar kısmına bakıldığında, “açık rıza” kavramının tanımının “rıza” kavramı ile açıklanmış olması kanun yapma tekniği açısından doğru değildir. KVKK’nın getiriliş ama- cı ve gerekçesi dikkate alınarak yorum yapılmalı ve “açık rıza” kavra- mından kanunda belirtilen unsurların dışında “tereddüde yer bırakma- yacak açıklıkta” ifadesini de içerdiği sonucuna varılmalıdır. Yasal düzenlemedeki açık rıza tanımı incelendiğinde, öznenin özelliklerinin dikkate alınmadığı görülmektedir. Açık rızanın özellikleri her somut olaya ilişkin değerlendirilmesi gerektiğinden kanun koyucu- nun yasa yapma tekniği açısından tercih ettiği bu yöntem son derece yerinde bir yöntemdir. GDPR’da küçüklerin rızası ayrıca düzenlenmiştir (md 8/1). Düzenleme gereğince, küçüklerin kişisel verilerin işlenebilmesi için en az 16 yaşında olmaları gerekir. 16 yaşın altındaki küçüklerin kişi- sel verilerinin işlenebilmesi için ebeveynlerinin izni gerekmektedir. GDPR’da, üye devletlere yaş sınırını, 13 yaşın altında olmaması şartıyla, dilediği gibi belirleme yetkisi verilmiştir (md 8). KVKK’da kişisel veri öznesinin yaşına ilişkin herhangi bir düzenleme getirilmemiştir. Bu ne- denle de Türk Medeni Kanunu’nun ehliyete ilişkin hükümleri doğrudan uygulama alanı bulur. Verilecek rızanın bağımsız olması gerekir22. Birden fazla rıza veri- lecekse her bir rızanın ayrı olması gerekir. IV. Açık Rızanın Unsurları A) Belirli Bir Konuya İlişkin Olma Veri öznesi tarafından verilen rızanın geçerli olabilmesi için ara- nan ilk şart, rızanın belirli bir konuya ilişkin verilmiş olmasıdır (KVKK m.3/1,a). Bu unsurdan anlaşılması gereken, konunun somut olması ve çerçevesinin çizilmiş olmasıdır. Sınırları belirsiz olan hususlarda açık rıza alınması mümkün değildir. Daha sonra ihtiyaç olabilir gerekçesiyle kişisel verinin alınamaz23. Veri işleyen, açık rızayı hangi konuya ilişkin 21 AVCI-BRAUN, s. 19. 22 WATTS, Mark, “Consent vs legitimate interest: Part 1”, P. & D.P. 2018, 19(2), 7-9, s. 3. 23 AVCI, s. 52; KÜZECİ, Elif, Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara, 2010, s. 203; ZOR, s. 71. 1192 | Dr. Öğr. Üyesi Yıldırım KESER olarak almak istediğini açıklamalıdır. Açık rızanın belirli konuya ilişkin alınmış olması aynı zamanda rızanın sınırını da belirler24. Belirli konuya ilişkin olma unsuru beraberinde belli amaç unsurunu da getirmektedir. Amacın açık ve meşru olması gerekir (KVKK md 4/c). İlgili kişinin sınırsız ve belirsiz konulara ilişkin açıkladığı irade beyanı geçersizdir. Örneğin, “kişisel verilerimin işlenmesini kabul edi- yorum”25 şeklinde yaptığı irade açıklaması açık rıza olarak kabul edile- mez. Çalışma Grubu, tek bir işlemle birden fazla konuda açık rıza alına- bilmesinin ancak amaç için gerekli olması ve bu konuda ilgilinin bilgi- lendirilmesi ile mümkün olduğunu belirtmiştir26. Elektronik ticarete ilişkin usul ve esasları düzenlemek için 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun (ETDHK) çıkarılmıştır. Bu kanunda, gerçek ve tüzel kişi ayrımı yapılmamıştır. Bu ayrımın yerine kanun koyucu, tüketici, esnaf ve tacir ayrımını yapmayı tercih etmiştir. Ticari elektronik ileti gönderilmesi için alıcılardan önceden onay almak zorunludur (ETDHK md 6/1). Kanunda “önceden onay” ifadesi ile kastedilen “işlem öncesi alınması gereken izindir”. Kuralın istisnası da kanunda düzenlenmiştir. Şöyle ki, “kendisiyle iletişime geçilmesi amacıyla alıcının iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz” (ETDHK md 6/1). Elektronik iletilerin gönderilmesine ilişkin bir diğer istisna da esnaf ve tacirlere ilişkindir. Onlara, önceden onay alınmaksızın, ticari elektronik ileti gön- derilebilir (ETDHK md 6/2). Bu istisnanın gerçek kişiye uygulanabilmesi için kişisel verinin KVKK’ya uygun olarak elde edilmesi ve istisna konu- sunda gerçek kişinin aydınlatılması gerekir. 24 BAYINDIR, s. 55. 25 Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, 2018, s. 48. https://www.kvkk.gov.tr/SharedFolderServer/ CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf (02.04.2020). 26 Article 29 Working Party Guidelines on consent under Regulation 2016/679 s. 10. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51 030. (02.04.2020). Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1193 Tacir, bir ticari işletmeyi kısmen ya da tamamen kendi adına işle- ten kişidir (TTK md 12/1). Gerçek kişi tacirin, ticari faaliyetlerinin dışın- da yaptığı işlemler yönünden tacir olarak nitelendirilebilmesi mümkün değildir. Örneğin, kişinin evinde kullanmak üzere bulaşık makinesi al- ması durumunda kişiyi tüketici olarak nitelendirmemiz gerekir. Esnaf ise bedeni çalışması, sermayesinden fazla olan kişidir (TTK md 15). Alıcı gerçek kişi tacir olsa da tüzel kişi tacir olsa da önceden onay alınmaksızın ticari elektronik ileti gönderilmesi mümkündür. Yalnız, gerçek kişi tacirin kişisel verisinin elde edilmesi KVKK’ya uygun olma- lıdır. Örneğin, Bay (T), gerçek kişi tacirdir. Gerçek kişi tacirin telefon numarası, kişisel verisidir ve bu numarayı herkese açık internet sitesin- de paylaştığını kabul edelim. Ticari elektronik ileti göndermek için ETDHK gereğince, Bay (T)’nin izni gerekmez. Yalnız, Bay (T)’nin kişisel verisi olan cep telefonu numarasının kullanılabilmesi için KVKK’ya uy- gun olarak açık rızasının alınması gerekir. B) Bilgilendirmeye Dayanması Açık rızanın bir diğer unsuru da bilgilendirmedir. Bu kavramdan anlaşılması gereken, açık rızanın neden alındığı, hangi konuya ilişkin alındığı ve sonuçlarının ne olduğu konusunda veri işleyenin ilgili gerçek kişiyi bilgilendirmesidir27. Veri öznesi kural olarak vasat dikkat ve özen gösteren bir kişi olarak kabul edilip28, yapılan bilgilendirmenin de basit, mümkün olduğunca kısa olması ve açıklayıcı olması gerekir. Bilgilen- dirmenin içeriği, verinin niteliğine göre şekillendirilmelidir. Verinin niteliği, bilgilendirmenin düzeyini de belirleyicidir29. Bilgilendirme unsuru yönünden üzerinde durulması gereken bir diğer nokta da KVKK ile ETDHK arasındaki ilişkidir. Gerçek kişiye yö- nelik gönderilecek ticari iletilerde KVKK ilkeleri doğrudan uygulama 27 ANI, s. 132; TÜRKMEN, Sevgi, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, İÜSBE, Yayınlanmamış Yüksek Lisans Tezi, İstanbul 2019, s. 110. 28 Article 29 Working Party, Opinion 15/2011 on the definition of consent, s.19. https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/ fi- les/2011/wp187_en.pdf. (ET: 05.02.2020). 29 Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, 2018, s. 49. 1194 | Dr. Öğr. Üyesi Yıldırım KESER alanı bulur. KVKK ilkelerinin uygulanması, hizmet sağlayıcısı ve aracı hizmet sağlayıcıların sorumluluklarına ilişkin ETDHK ile getirilmiş yü- kümlülüklere ilişkin hükümlerin uygulanmasına engel değildir. Bu ne- denle de ticari elektronik iletilere ilişkin bilgi verme yükümlülüğü kap- samında olan sözleşmenin kurulabilmesi için izlenecek teknik adımlara ilişkin bilgilerin alıcıya ayrıca verilmesi gerekir. KVKK’nın üçüncü bölümünde veri sorumlusunun yükümlülükleri düzenlenmiştir. Yasal düzenleme gereğince, veri sorumlusunun iki yü- kümlülüğü bulunmaktadır. Birincisi aydınlatma yükümlülüğü, ikincisi ise veri güvenliğine ilişkin yükümlülüklerdir. Aydınlatma yükümlülüğü gereğince, adil ve şeffaflık ilkeleri dik- kate alınarak veri öznesi, veri işleme sürecinin varlığına ve amacına iliş- kin bilgilendirilmiş olmalıdır30. Aydınlatma yükümlüğü yerine getirilirken veri sorumlusunun yükümlülükleri kanunda sayılmıştır (KVKK md 10). Bu yükümlülükler gereğince, veri sorumlusu veya temsilcisi kimliğini açıklamalıdır. Örne- ğin, tüketici bir spor merkezine üyelik için gittiğinde havuzu kullanmak için gerekli olan kan ve idrar testi istendiğinde veri sorumlusunun kim olduğunun kan ve idrar testinin hangi amaçla alındığının tüketiciye açıklanması gerekir. Veri sorumlusuna, kişisel verinin toplanma yöntemi hakkında da bilgi verilmelidir. Eğer, spor merkezi tarafından işlenen veri, başkaları ile paylaşılacaksa, hangi amaçla kimlere aktarılabileceği bilgisi de veri sorumlusunun aydınlatma yükümlülüklerindendir. Ayrıca veri sorum- lusu, verisini işlediği kişiye, kanunun veri sorumlusuna verdiği hakların neler olduğu konusunda bilgi vermek zorundadır. 10.03.2018 tarih ve 30356 sayılı Resmi Gazete’de yayımlanan Ay- dınlatma Yükümlülüğünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Hakkında Tebliğ’de (AKYGUUEH) belirtildiği üzere aydınlatma yükümlülüğü sözlü veya yazılı olarak yapılabilir (md 5). Bilgilendirmeye ilişkin olarak yapılan sözlü ya da yazılı açıklama- larda belli kaynaklara yönlendirme yapılması ya da atıf yapılması bilgi- 30 IT Governance Privacy Team, EU general data protection regulation (GDPR): an implementation and compliance guide. IT Governance Ltd, 2017, s. 208. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1195 lendirme için yeterli değildir31. Örneğin, aydınlatma metni içerisinde KVKK’da düzenlenmiş olan ve tarafınızca kullanabilecek haklar ifadesi- ne yer verilmesi yeterli değildir. Belirsiz cümleler ve muğlak ifadeler kullanılmamalıdır32. Aydınlatma yükümlülüğü yerine getirilirken açık ve kesin bilgilere yer verilmelidir. Muhtemel başka neden ve amaçlarla verinin işleneceği kanaatini uyandıran ifadeler kullanılmamalıdır (AKYGUUEH md 5/g). Bilgilendirmeye ilişkin yükümlülüklerin ihlâli, verilen rızayı geçersiz kılar33. Hangi hakların hangi yasal düzenleme tarafından verildiğinin be- lirtilmesi gerekir. Kişisel veri, veri sorumlusunun farklı birimleri tara- fından farklı amaçlarla işlenecekse, kişisel veri işlenmeden önce aydın- latma yükümlülüğü her bir birim tarafından ayrı ayrı yerine getirilmeli- dir. (AKYGUUEH md 5/c). Kanun koyucu, KVKK md 11’de verisi işlenen gerçek kişinin sahip olduğu hakların neler olduğunu açıkça düzenlemiştir. Bu yasal düzen- leme gereğince, ilgili kişi, kişisel verisinin işlenip işlenmediğini eğer işlenmiş ise nasıl ve ne şekilde işlendiğini yurt içinde ve yurt dışına 3. kişilere kişisel verilerinin aktarılıp aktarılmadığını, eğer aktartılmışsa üçüncü kişilerin kimlik bilgilerini, kişisel verisinin silinmesini veya yok edilmesini talep etme hakkına sahiptir. Hayatın olağan akışı gereğince, veri öznesinin bilmesi gereken hu- suslarda ayrıca bilgilendirme yükümlülüğü söz konusu değildir. Örne- ğin, müşterisinin adres bilgisini talep eden satıcı, adresin mal teslim edilmesi için kullanılacağını belirtmek zorunda değildir. KVKK’da, açık rızanın gerekli olmadığı haller istisnaî olarak sayılmıştır. Bu istisnalar- dan herbiri kendine has özelliği dikkate alınarak değerlendirilmelidir. Örneğin, trafik kazasında ağır yararlanan ve bilincini kaybeden Bay (A)’ya yapılacak sağlık müdahalesi kapsamında Bay (A)’nın kişisel veri- 31 Article 29 Working Party Guidelines on consent under Regulation 2016/679 s.13. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51 030. (02.04.2020). 32 KESER-BERBER, Leyla/Atabey, AYÇA/MERT, Melis, “E-Gizlilik Tüzük Taslağının Son Versiyonu Üzerine Düşünceler”, Kişisel Verileri Koruma Dergisi, Yıl 2019, Cilt 1, Sayı 2, s. 71. 33 AVCI, s. 61. 1196 | Dr. Öğr. Üyesi Yıldırım KESER sinin işlenmesi için Bay (A)’nın rızası aranmaz. KVKK’da düzenlenen bir başka istisna ise, sözleşmenin kurulması veya sözleşmeden doğan borçların ifasıyla doğrudan ilgili olan kişisel verilerin işlenmesi için kişi- sel verisi işlenen kişinin açık rızasının aranmamasıdır. Örneğin, Bay (A), internet üzerinden bir ürün satın alır. Ürünü satan şirket malın teslimini bir kargo şirketi aracılığıyla yaptırmaktadır. Bu durumunda Bay (A)’nın adresini teslimat için kargo şirketi ile paylaşması için Bay (A)’nın rızası- nı alması gerekmez. Fakat şirket, teslimatı bir başkası aracılığıyla yapa- caksa aydınlatma yükümlülüğü gereğince, Bay (A)’yı konuya ilişkin bilgilendirmelidir. Bilgilendirme yapılırken birden fazla dağıtım işi ya- pan gerçek ve tüzel kişinin unvanına yer verilebilir ama unvan belirtil- meksizin, Marmara Bölgesi’nde dağıtım işi yapan kişiler gibi, ucu açık bir ifadeye yer verilemez. Aksi hâlde alınan rıza geçersiz olacaktır. İnternet üzerinden yapılan tüketici işlemlerinde karşımıza sıkça çıkan “çerezler (cookies)” üzerinde de durmamız gerekmektedir. Çerez- ler, rakam ve harflerden oluşan işaretlerdir. İnternet üzerinden yapılan gezintilerde kişi ziyaret ettiği sitelerde izler bırakmaktadır. Bu izler takip edilerek kişinin profili çıkarılmaktadır. Kişinin ihtiyaçları doğrultusun- da ilgili kişiye mal ve hizmet sağlayıcıları tarafından bilgilendirme ya- pılmaktadır. Çerezler, mal ve hizmet sağlayıcıları tarafından ilgili kişiye ihtiyaçlarına uygun teklifleri sunabilme açısından fırsat sağlamanın yanı sıra ilgili kişilere yönelik reklâm sunabilme imkânı da sağlar. Çerez kullanımı konusunda ziyaret edilen her siteye girişte çerez kullanımı için rıza istenmekte ve bu konuya ilişkin bilgilendirme metin- lerine yer verilmektedir. Uygulamada, çerez kullanımına ilişkin yapılan bilgilendirmenin metinlerini okudum veya anladım şeklinde kutucuklar aracılığıyla onay alınması alınan rızanın geçerli olduğu anlamına gel- mez34. Genellikle internet üzerinden verilen rızalarda bilgilendirme me- tinlerinin okunmadığı görülmektedir35. Çerezlerin kullanımının kabul 34 ÇEKİN, s. 189. 35 UTZ, Christine, et al. “(Un) informed Consent: Studying GDPR Consent Notices in theField”. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security, 2019, s. 983. Yapılan ankette, en öne çıkan beklenti, çe- rezleri reddetmenin web sitesine erişimi engelleyeceği yönündedir. Onay verenle- rin belli bir kısmı, onay vermemesi halinde sitenin çalışmayacağını düşünmektedir. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1197 edilmesi rıza verildiği algısını yaratmaktadır. Bu durum kişisel veri gü- venliğini tehdit etmektedir36. İnternet sağlayıcıları, çerezler aracılığıyla sahip olunan bilgileri kendi amaçları doğrultusunda kullanabilmekte- dirler37. Çerezlerden yola çıkarak kişinin doğrudan belirlenebilmesi müm- kün değildir. Bu nedenle de Avrupa Doğrudan ve Enteraktif Pazarlama Federasyonu, çerez kullanımı için GDPR anlamında rızaya odaklanıl- maması gerektiğini aksi halde gereksiz rıza yorgunluğuna sebep oluna- cağını belirtmektedir38. Kanaatimizce bu anlayış yerinde değildir. Gü- nümüzde internet kullanımında birçok siteye girişte çerezlerle karşılaş- maktayız. Onay verdiğimiz çerezlerinin kim ya da kimlerin hâkimiye- tinde olduğu bilgilendirme metinlerinde yazmasına rağmen birçok kişi bu bilgileri okumamaktadır. İlgili bilgiler okunsa bile gerekli zamanın ayrılmamasından dolayı anlaşılamamaktadır. Üzerinde durulması gere- ken en önemli husus şudur: Çerez kullanımı ile onay alan veri işleyenin onayını aldığı kişiye ilişkin başkaca ek bilgilere sahip olup olmadığıdır. Kişisel veri koruma hukukunda, bazı ek bilgilere sahip olunması halinde kimliği belirlenebilir gerçek kişiden bahsedilebilir. Bu nedenle de tüketi- ci hukuku açısından kural olarak çerezleri kişisel veri olarak kabul et- mek gerekir. Yasal düzenlemede değişikliğe giderek çerezi yükleyen taraf için özel bir ispat kuralı öngörülmelidir. Şöyle ki; ihtilaf hâlinde çerez için onay alan onay aldığı kişiyi tanımlayacak ek bilgiye sahip ol- madığını ispat etme külfeti altında olmalıdır. 1 Ocak 2020’de yürürlüğe giren Kalifornia Tüketici Gizlilik Kanu- nu’nun 8. Bölüm 1798.140. maddesi çerezleri doğrudan kişisel veri ola- rak kabul etmiştir (CCPA, Section 8, 1798.140/x). Katılımcılardan bir kısmı onay vermesi hâlinde verisinin toplanmayacağını dü- şünmektedir. 36 TAŞKAYA, Merih/Talay, Ömür, “Dijital Gözetimin Pazarlama Amaçlı Aracıları: “Çerezler” ve Çerez Kullanımında “Açık Rıza””, Akdeniz Üniversitesi İletişim Fa- kültesi Dergisi, Y. 2019, S. 31, s. 380. 37 ÖZDEMİR, s. 154. 38 KESER/ATABEY/MERT, s. 72. 1198 | Dr. Öğr. Üyesi Yıldırım KESER C) Özgür İrade Açık rızanın unsurlarından olan özgür irade kavramına yasal dü- zenlemede doğrudan yer verilmiştir (KVKK md 3/a). Kişisel verisi işle- nenin dış dünyaya yansıttığı iradesini özgürce vermesi gerekir. Özgür iradeden bahsedilebilmesi için öncelikle “veri öznesinin sı- fatı” değerlendirilmelidir. Veri öznesi, hukuki işlemlerde tüketici, esnaf veya tacir sıfatına sahip olabilir. Ayrıca “hukuki işlemin özellikleri” de incelenmelidir. Örneğin, kişisel verilerin işlenmesi için verilen rıza, ge- nel işlem koşullarını içeren bir sözleşme kapsamında verilmişse, verilen rızanın geçerli olması için genel işlem koşulları yürürlük, içerik ve yo- rum denetimine tabi olmalıdır (TBK md 20-25). V. Tüketicinin Kişisel Verisinde Rızanın Özellikleri Hayatın olağan akışı gereğince, sözleşmenin tarafları her zaman aynı imkânlara sahip olamaz. Örneğin, bir tacir işletmesi için hammadde alırken içinde bulunduğu koşullar ile bir tüketicinin ürün satın alırken içinde bulunduğu koşullar birbirinden farklıdır. Sözleşmesel ilişkilerin bu özelliklerinden dolayı kanun koyucu özel yasal düzenlemeler ile ko- rucuyu hükümler getirmiştir. İşçi işveren ilişkilerinde veya tüketici hu- kukunda bu özel düzenlemeler karşımıza sıkça çıkmaktadır. Tüketicinin taraf olduğu sözleşmelerde ise, bir hükmün haksız şart olması ilgili hükmün geçersiz sayılması için yeterlidir. Şöyle ki, genel işlem koşullarından farklı olarak bir hükmün haksız şart sayılabilmesi için çok sayıda benzer sözleşmede kullanmak amacıyla hazırlanması gerekmez. “Haksız şart, tüketiciyle müzakere edilmeden sözleşmeye dâhil edilen ve tarafların sözleşmeden doğan hak ve yükümlülüklerinde dürüstlük kuralına aykırı düşecek biçimde tüketici aleyhine dengesizli- ğe neden olan sözleşme şartlarıdır” (TKHK md 5/1). GDPR, tüketici sözleşmelerinde haksız şartlara ilişkin düzenleme- ler getiren 5 Nisan 1993 tarih ve 93/13/EEC numaralı Yönerge’ye39 (UCT) benzer olarak, açıklama bölümünün 42. kısmında da belirtildiği üzere, 39 COUNCIL DIRECTIVE 93/13/EEC of 5 April 1993 on Unfairterms in Consumer Contracts. https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31993L 0013:en:HTML(ET: 10.02.2020). Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1199 rıza bildirimlerinin açık ve düz bir dille, kolay ulaşılabilir ve haksız şart- lar içermeyecek şekilde yazılması gerektiğini öngörmektedir. GDPR ve KVKK, otonom(özerk) yetki modelini benimsemiştir40. Bu yetki modelinde, veri öznesi, mevcut bilgiye dayanarak bilinçli ve özgür bir seçim yaptığı kabul edilmektedir41. Özellikle internet üzerin- den kişisel verilerin işlenmesine ilişkin verilen rızalara ilişkin yapılan araştırmalarda yasal düzenlemelerin yeteri kadar amacına ulaşamadığı- nı göstermektedir42. Yapılan araştırmalarda öne çıkan temel husus, tüke- ticilerin çok sık gördükleri mesajları görmezden geldikleri ve nadiren gizlilik bildirimlerini okudukları yönündedir. Gizlilik bildirimlerinin okunmasının ciddi bir zaman alması kanunun amacına ulaşmasının en büyük engellerinden biridir43. California Tüketici Gizlilik Kanunu (CCPA) şeffaflığa ilişkin olarak aşamalı bir sistem benimsemiştir44. Bi- rinci aşamada, veri alınmadan önce ya da alındığı sırada tüketici bilgi- 40 Lon Fuller, The Morality of Law isimli kitabında ülkesindeki hukuku değiştirme yetkisi olan genç bir hükümdarı konu alır. Halkın olumsuz tepkisiyle karşılaşan birkaç tepkiden sonra halka bir ders vermek için hapşırmak, öksürmek, kralın hu- zurunda bayılmak ya da düşmeyi suç kabul eden bir düzenlemeyi hayata geçirir. Şaşırtıcı olmayacak şekilde halk bu yeni yasayı olumsuz karşılar ve “yapılamayacak şeyi emretmek yasa çıkarmak değildir, uygulanamayan bir yasa yalnızca kafa karı- şıklığı, korku ve kaosa neden olur.” der. Bu, AB veri koruma hukuku için de söyle- nebilir. Bu araştırmada GDPR’nin hızlı büyümesi ve bu nedenle de mükemmel ko- ruma amacıyla yapılan düzenlemenin yakın gelecekte geri tepeceği ve sistemin aşırı yüklenmesine neden olacağı gerçeği tartışılmaktadır. AB veri koruma hukuku, “her şeyin hukuku” haline gelme tehlikesiyle karşı karşıya kalmaktadır. Bu da, teoride her koşulda mümkün olan en yüksek hukuki korumayı sağlamakta ancak pratikte bunları uygulamanın imkânsız olmasına neden olmaktadır (bkz: Purtova, s 41). 41 SCHERMER, Bart W./CUSTERS, Bartand/VAN DER HOF, Simone. "The crisis of consent: How stronger legal protection may lead to weaker consent in data protec- tion." Ethics and Information Technology 16.2 (2014), s. 176. 42 SCHERMER/CUSTERS/VAN DER HOF, s. 176. 43 Bir kişinin yıl içerisinde vermesi muhtemel rıza bildirimlerine ilişkin olarak, McDo- nald ve Cranor tarafından yapılan araştırmalarda; veri özneleri, rıza vermek için eğer tüm gizlilik bildirimlerini okursa bunun yıllık 244 saat alacağı; yalnızca, göz gezdirseler bile bunun 154 saat süreceğini tespit edilmiştir. Schermer, s. 177. 44 CLARK, James vd. “California's Consumer PrivacyAct and the GDPR - where do theyoverlap?”, P. & D.P. 2018, 18(7), s. 2. http://icproxy.khas.edu.tr/ lo- gin?url=http://icproxy.khas.edu.tr:2092/login.aspx?direct=true&db=edswst&AN=ed swst.2438061&lang=tr&site=eds-live (ET: 10.02.2020). 1200 | Dr. Öğr. Üyesi Yıldırım KESER lendirilmelidir. İnternet ortamında bilgilendirmenin önemi büyüktür45. Bu bilgilendirme sayesinde tüketici, verisinin hangi amaçla alındığı ve hangi amaçla kullanılacağı konusunda bilgi sahibi olmalıdır. İkinci aşa- ma, tüketicinin kişisel bilgisinin paylaşılması veya satılmasına ilişkin olarak ek bilgi talep edebileceği aşamadır. CCPA, GDPR’dan bir adım daha öteye giderek, tüketicilerin internet sitelerinde “kişisel bilgilerimi satma” şeklinde yer alan ayrı bir linke yer vererek tüketiciden onay is- temeleri gerektiğini düzenlemiştir (CCPA, Section 8, 1798.135. (a) -1). GDPR’da, UCT Tüzüğünde sağlayıcı ve tüketici arasında güç den- gesizliği olduğu anlayışı benimsenmiştir46. Tüketicinin özgür iradesi ile açık rıza verdiğinden bahsedebilmek için aranan koşulların neler olduğunun tespit edilmesi gerekir. A) Tüketicinin hiçbir baskı altında kalmaması gerekir Özgür iradenin varlığından bahsedebilmek için iradesini açıklayan gerçek kişinin hiçbir dış faktörün etkisinde kalmaması gerekir. Veri öz- nesi, kendisinden kişisel verisi istendiğinde kendisine yöneltilen talebi reddetme hakkı sahip olmalıdır ve bu talebin reddedilmesi durumunda herhangi bir yaptırım olmayacağından emin olmalıdır47. Çalışma Grubu raporunda, özgür iradeden bahsedebilmek için iradesini açıklayan kişi- nin hiçbir sosyal, ekonomik, psikolojik veya başka bir baskı altında kal- maması gerektiği ifade edilmiştir48. Öğretide rıza gösterilmemesi durumunda karşılanacak yaptırımın çok hafif düzeyde olması halinde, rızasını açıklayan kişinin özgür olup olmadığı hususunda görüş birliği yoktur. Bir görüşe göre, hafif bir külfet etkisiyle verilen rıza geçerlidir49. Bir diğer görüş, veri öznesi herhangi bir zarara uğramasa veya zarar tehlikesi ile karşılaşmasa bile hafif bir yaptı- 45 ANI, s.133; KÜZECİ, s. 129; ZOR, Abdülhamid, Veri Sorumlusunun Yükümlülükle- ri ve Bu Yükümlülükleri İhlâlden Doğan Özel Hukuk Sorumluluğu, İÜSBE, Yayım- lanmamış Yüksek Lisans Tezi, İstanbul 2020, s. 90. 46 Charter Of Fundamental Rights Of The European Union 2012/C 326/02. https://eur- lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN (ET: 10.02.2020). 47 IT GovernancePrivacy Team, s. 207. 48 Article 29 Working Party Guidelines on Consent under Regulation 2016/679, s. 5. 49 KÜZECİ, s. 241. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1201 rım varlığında dahi verilen rızanın özgür olmadığını savunmaktadır50. Kanaatimizce, özgür iradenin varlığından bahsedebilmemiz için zorlayı- cı hiçbir dış faktörün etkisinin olmaması gerekir51. Yaptırımın hafif dü- zeyde olması hâlinde verilen rıza, özgür rıza olarak kabul edilemez. Tüketicinin hiçbir baskı altında kalmaması ile kastedilen “baskı” TBK anlamında irade bozukluğu hallerinden daha geniş bir anlam ifade eder. TBK anlamında irade bozukluğu hallerinin varlığı durumunda ortaya çıkan irade, sakat irade olacaktır. Sakat bir iradenin varlığı halin- de verilen iradenin özgür irade olduğundan bahsedilebilir mi? sorusu- nun cevaplandırılması gerekir. Sakat iradenin söz konusu olduğu hal- lerde, özgür iradenin varlığından bahsedemeyiz. Sözleşmenin kurulması için gerekli irade ile sözleşme gereğince kişisel verinin işlenmesi için aranan açık rıza farklı kavramlardır. Kişisel verinin işlenmesine ilişkin açık rıza genellikle sözleşmenin kuruluşu aşamasında alınmaktadır ama sözleşme kurulduktan sonra ifadan önceki aşamada da açık rızanın alı- nabilmesi mümkündür. Bu nedenle de teorik olarak sözleşmenin ku- rulması için gerekli rıza irade bozukluğu hallerinden birinin varlığı ha- linde sakat olacaktır ama kişisel verinin işlenmesine ilişkin olarak alınan açık rıza geçerli olabilir. Sözleşme kuruluşunda irade bozukluğu hallerinden birinin varlığı halinde, düzelebilir hükümsüzlük haliyle karşılaşırız52. İradesi sakatla- nan kişinin sözleşmeyi onaması halinde sakat iradeye ilişkin sözleşme geçerli hâle gelir. Oysa ki, kişisel verinin işlenmesi için alınması gereken açık rızanın baskı altında alınması halinde kesin hükümsüzlükle sakat bir hukuki işlemin varlığı söz konusudur. Bu nedenle de kişisel veri sa- 50 SELEK, Ozan, “Genel Veri Koruma Tüzüğü Işığında Kişisel Verilerin İşlenmesinde Rıza Açıklaması”, Dokuz Eylül Üniversitesi, Hukuk Fakültesi, C. 21, S. 2, Y. 2019, s. 925. 51 Kişisel Verilerin Korunması Kurumu’nun 25.03.2019 tarih ve 2019/82 sayılı kararı. (ET:01.07.2020, https://www.kvkk.gov.tr/Icerik/5463/-Bir-market-zincirinin-sadakat- kart-uygulamasina-iliskin-ihbar-ve-sikayetler-hakkinda) “…kart üyeliği bulunma- yan müşterilerin fırsatlardan yararlanamasa da şirketin sunduğu alışveriş ortamın- dan faydalanmaya devam edebildiğini, hizmet sunumu için sadakat kart üyeliğinin zorunlu tutulmadığını belirtmiş, bu nedenle bu durumda ürün veya hizmet sunu- munun açık rıza şartına bağlandığı iddiasının yerine olmadığına karar verilmiştir”. 52 OĞUZMAN, M.Kemal/ÖZ, Turgut, Borçlar Hukuku Genel Hükümler, C.I, 14. Bası, Vedat Kitapçılık, İstanbul 2016, s. 178-179. 1202 | Dr. Öğr. Üyesi Yıldırım KESER hibinin onama yönündeki irade beyanı ile sonuç değişmeyecektir. Bu durumda ancak baştan kişisel verinin işlenmesi için açık rıza alınması gerekir. Örneğin, Bay (A)’nın, Bay (B)’nin korkutması sonucu ABC Spor Merkezi A.Ş’ye üye olduğunu ve üye olurken de kişisel verilerinden parmak izi ve kan grubunun işlenmesine açık rıza verdiğini kabul ede- lim. Bay (A)’nın ABC Spor Merkezi A.Ş ile yaptığı sözleşmeyi onaması halinde düzelebilir hükümsüz sözleşme ilk yapıldığı andan itibaren ge- çerlilik kazanır. Bu sözleşmeye dayalı olarak taraflar hak ve borç altına girerler. Bay (A), bu sözleşmeye dayalı olarak ABC Spor Merkezi A.Ş’ye her ay kullanım için belli bir para borcu altına girer. Burada üzerinde durulması gereken husus, Bay (A)’nın parmak izi ve kan grubunun iş- lenmesi için verdiği korkutmaya dayalı rızanın geçerli hâle gelip gelme- diğidir. Açık rıza verilirken kişinin özgür iradesine dayanmadığından kişisel verisini veren kişi tarafından daha sonra verilen “onama” da sa- kat iradeyi geçerli iradeye dönüştürmeyecektir. TBK anlamında irade bozukluklarından “korkutma” halinden bahsedebilmemiz için korkutulan kişinin kendisine veya yakınlarına karşı ağır ve yakın bir zarar tehlikesinin söz konusu olması gerekir (TBK md 38/f.1). Oysa ki, TBK’da düzenlenen “korkutmanın koşulları” ger- çekleşmese bile tüketici herhangi bir baskıdan dolayı kişisel verisinin işlenmesine açık rıza veriyorsa, verilen açık rıza, KVKK gereğince geçer- siz olacaktır. Geçersizliğin türü de kesin hükümsüzlüktür. Tüketicinin hiçbir baskı altında kalmamasından anlaşılması gere- ken husus, tüketicinin açık rızasını vermemesi hâlinde herhangi bir olumsuz durum veya tutumla karşılaşma endişesini taşımamasıdır. Ör- neğin, tüketici kişisel verisini vermediğinde taraf olduğu sözleşmeye konu ürünü satın alabileceğini biliyor ama yapılan kampanya çekilişin- den yararlanmama endişesini taşıyorsa, tüketicinin özgür iradesiyle açık rıza vermediği sonucuna varılmalıdır. Bu nedenle tüketicinin taşıyacağı endişe ile verilen açık rıza arasında uygun nedensellik bağı varsa verilen rıza geçersiz olacaktır. Geçersizliğin türü de kesin hükümsüzlüktür. İrade bozukluklarından “yanılma” halinde yanılmaya düşen tara- fın sözleşme ile bağlı olmaması için yanılmanın “esaslı” olması aran- maktadır (TBK md 30). Yanılmanın esaslı olmaması durumunda yanıl- maya düşen taraf kural olarak sözleşme ile bağlıdır. Saikte yanılma da Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1203 kural olarak esaslı yanılma sayılmaz ancak saikin sözleşmenin temelini teşkil etmesi durumunda ve saikte yanılmanın dürüstlük kuralı gereğin- ce kabul edilebilir olması halinde esaslı yanılma olarak kabul edilebil- mesi mümkündür (TBK md 32). Kişi, kişisel verilerinin işlenmesi için vermiş olduğu açık rızasını açıklarken herhangi bir hususta yanılması halinde verilen açık rıza geçersiz olacaktır. Bir diğer ifade ile yanılması- nın esaslı olması aranmayacaktır. Burada üzerinde durulması gereken kriter, yanılma ile verilen açık rıza arasında nedensellik bağının kurula- bilmesidir. GDPR’da verilen rızanın geri alınması da düzenlenmiştir. Şöyle ki; veri sahibi, rızasını istediği zaman geri çekme hakkına sahiptir. Rızanın geri çekilmesi, geri çekilmeden önce rızaya dayalı işlemin yasallığını etkilemez. Rıza vermek kadar geri çekmek de kolay olmalıdır (GDPR md 7/3). KVKK’da rızanın geri alınması hususu düzenlenmemiştir. 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Ve- rilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin (RG-28/4/2019-30758) 12. maddesinde, kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri düzenlen- miştir. Düzenleme gereğince, KVKK md 1153 ve 1354 kapsamında, ilgili 53 KVKK md 11’in getirdiği düzenleme şu şekildedir: “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde ve- ya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edil- mesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin ak- tarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran oto- matik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir so- nucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlen- mesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir”. 54 KVKK md 13’ün getirdiği düzenleme şu şekildedir:“(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yön- temlerle veri sorumlusuna iletir. (2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak so- nuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belir- lenen tarifedeki ücret alınabilir. (3) Veri sorumlusu talebi kabul eder veya gerekçe- sini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik or- 1204 | Dr. Öğr. Üyesi Yıldırım KESER kişi, veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinme- sini veya yok edilmesini talep edebilir. Bu talep hâlinde, KVSYEAH- GHY’de üç farklı ihtimâl düzenlenmiştir. Birinci ihtimâl, kişisel veri işleme şartlarının tamamen ortadan kalkmasına ilişkindir. Bu durumda veri sorumlusu talebe konu kişisel verileri en geç otuz gün içinde siler, yok eder veya anonim hale getirir ve mevcut duruma ilişkin ilgili kişiye bilgi vermelidir (KVSYEAHGHY md 12/a). İkinci ihtimâl, kişisel verinin üçüncü kişiye aktarılmış olmasına ilişkindir. İşlenme şartları tamamen ortadan kalkan kişisel veri üçüncü kişilere aktarılmışsa veri sorumlusu kendisine yöneltilen talebi üçüncü kişiye bildirir ve talebin yerine getirilmesi için gerekli işlemlerin yapıl- masını temin eder. (KVSYEAHGHY md 12/b). Üçüncü ihtimâl, kişisel verinin işlenme şartlarının tamamen orta- dan kalkmamasına ilişkindir. Veri sorumlusu, en geç otuz gün içinde yazılı veya elektronik ortamda kişisel verileri işleme şartlarının tama- men ortadan kalkmadığını gerekçe göstererek talebi reddedebilir. (KVSYEAHGHY md 12/c). B) Tüketiciye seçim imkânı tanınmalıdır Tüketicinin, bir mal veya hizmetten yararlanmak için taraf olduğu sözleşme kapsamında özgür iradesinden bahsedilmesi için, seçim imkânına sahip olması gerekir. Örneğin, tüketici Bay (A)’nın üye olduğu ABC Spor Merkezi A.Ş’nin güvenlik nedeniyle “parmak izi sistemini” kullandığını kabul edelim. Kullanılan sistem sayesinde güvenlik önem- leri üst seviyede tutulmakta ve spor merkezine üye olmayan kişilerin girmesine engel olunmaktadır55. Bu sistem sayesinde giriş ve çıkışlarda tamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusun- ca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanma- sı hâlinde alınan ücret ilgiliye iade edilir”. 55 Kişisel Verilerin Korunması Kurumu 27.02.2020 tarih ve 2020/167 sayılı kararı. (ET:01.07.2020, https://www.kvkk.gov.tr/Icerik/6738/2020-167). “Bu kapsamda, spor salonuna giriş için el ve parmak izi taraması sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde öl- çülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiştir”. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1205 ayrıca güvenlik personeli çalıştırılmamakta ve dolayısıyla maliyet konu- sunda tasarrufta bulunulmaktadır. Spor merkezi yönetimi tarafından getirilen sistemin yararlı birçok yönünü saymak mümkündür. İnceleme konumuz nedeni ile cevaplanması gereken soru, tüketicinin kendisinden parmak izi istendiğinde, nedenleri makul ve meşru olmasına rağmen, kendisine başkaca bir alternatif sunulmaması nedeniyle tüketicinin açık rızasını dış dünyaya yansıttığının kabul edilip edilemeyeceğidir. Kanaa- timizce, bu durumda tüketicinin özgür iradesi ile açık rıza verdiğini kabul etmemiz gerekir. Tüketiciden kişisel verisi talep edilirken, makul ve yararı sebeplerin bulunması yeterli değildir. Makul ve yararlı sebep- lerin bulunmadığı durumlarda zaten açık rızanın talep edilebilmesi mümkün değildir. Bu nedenle de tüketiciye mümkün alternatifler su- nulmalıdır. Örneğin, tüketiciye, kartla giriş imkânı sunulmalı ve bu imkânı kullanabilmesine herhangi bir sınırlama getirilmemelidir. Seçim imkânına sahip tüketicinin, kart taşıma külfetinden kurtulma veya daha güvenliği olduğunu düşündüğü için parmak izini vermesi, tüketicinin özgür iradesinin varlığını gösterebilir. Vermiş olduğumuz örneği gelişti- rebiliriz. Aynı spor merkezinin retina tanıma sistemine dayalı olarak merkeze giriş yapabilmesi ihtimâlini getirebilmesi de mümkündür. Bu ihtimâli değerlendirecek olan kişi de tüketicidir. Tüketici dilerse kendi- sine ait bir kişisel veri olan retinasına ilişkin verinin de işlenmesine izin verebilir. Tüketicinin taraf olduğu sözleşme ilişkisinde, kişisel verisini ver- mesi sözleşmenin bir unsuru hâline getirilmişse, bu durumda nasıl bir değerlendirme yapılması gerektiği hususunun da aydınlatılması gerekir. Vermiş olduğumuz örnekte bir değişikliğe giderek durumu netleştirebi- liriz. ABC Spor Merkezi A.Ş, son bir yıldır güvenlik nedeniyle parmak izi sistemi ile giriş ve çıkış yapılan bir spor merkezi olduğu varsayımın- dan hareket edelim. Bay (A) da bu spor merkezine üye olmak istiyor. Bay (A)’nın incelediği sözleşmenin kuruluş şartları arasında “parmak izini verilmesi”nin gösterilmiş olduğunu kabul edelim56. Sözleşmeye 56 Kişisel Verilerin Korunması Kurumu’nun 25.03.2019 tarih ve 2019/81 sayılı kararı. (ET:01.07.2020). https://www.kvkk.gov.tr/Icerik/5496/2019-81-165). “…kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı, somut olayda da özel nitelikli kişisel 1206 | Dr. Öğr. Üyesi Yıldırım KESER konulan bu şartla ilgili şirketin başta güvenlik, maliyet ve satış politika- ları açısından son derece önemli sebeplerinin olduğunu kabul edelim. Mevcut durumda tüketicinin o spor merkezine üye olması zorunlu de- ğildir. Aynı hizmeti veren başka şirketlerde vardır. Başka bir spor mer- kezin gitmeyi tercih edebilir düşüncesi de akıllara gelebilir. Bütün bu değerlendirmeler de asıl çözüm bekleyen sorun kişisel verinin bir sözleşmenin kuruluş şartı hâline getirilebilmesinin mümkün olup olmadığı noktasında toplanmaktadır. Kişisel veri işlemenin önce- likli olarak sözleşmenin amacına hizmet etmesi gerekir57. Sözleşmenin kuruluşu için zorunlu olmayan kişisel veri, sözleşmenin kuruluş şartı hâline getirilmesi veya sözleşmenin ifası şartı haline getirilmesi duru- munda verilen rıza geçersiz olacaktır58. Bu durumlarda kişisel verinin işlenmesine ilişkin irade, bir zorlama ile alınmaktadır59. Bir başka ifadey- le, rıza diğer “şart ve koşullardan” ayrı tutulmalı ve hizmet için gerekli olmadığı sürece ön şart olarak ileri sürülmemelidir60. Kanaatimizce, tü- ketici hukukunda kişisel verilerin verilmesi kural olarak sözleşmenin kuruluş şartı hâline getirilemez. Bu kuralın istisnasından bahsedebilmek için kişisel verinin alınmasının sözleşmenin kuruluşu için zorunlu olma- sı gerekir. Seçim imkânını ortadan kaldıran tek tip düzenlemelerin ne- denleri ve faydalarının varlığı, vardığımız sonucu değiştirmeyecektir. Bay (A), böyle bir sözleşmeye taraf olsa ve kişisel verisini sözleşmenin tarafı olan şirket ile paylaşsa bile tüketicinin özgür iradesinden bahse- demeyiz. Çerez kullanımının kabulü koşula bağlanırsa verilen açık rızanın geçerliliğinden bahsedilemez. Çerez kullanımının koşula bağlanması ile veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve dolayısıyla üyeler tarafından verilen açık rı- zanın özgür iradeye dayalı olduğunun söylenemeyeceği belirtilmiş ve veri sorum- luları hakkında cezai işlem uygulanmıştır”. 57 ANI, s. 109. 58 YÜCEDAĞ, s. 774. 59 Kişisel Verileri Koruma Kurulu, 100 Soruda Kişisel Verilerin Korunması Kanunu, s. 27. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0- bf0b-bc9e43dfb57a.pdf.(ET: 11.03.2020). 60 TAYLOR, s. 2. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1207 birlikte elde edilen verinin kullanılacağı alanda belirsiz hâle gelmekte- dir61. GDPR md 7/4’de sözleşme kapsamında alınan rızanın sözleşme açısından gerekli olup olmadığı hususuna ilişkin olarak açık bir düzen- leme getirilmiştir. Bu düzenleme gereğince, özgürce rıza verilip veril- mediği değerlendirilirken, diğer unsurların yanı sıra, bir hizmetin sağ- lanması da dâhil olmak üzere bir sözleşmenin ifasının gerçekleştirilmesi için gerekli olmayan kişisel verilerin işlenmesine ilişkin rıza olup olma- dığına azami ölçüde dikkat edilmelidir. VI. Açık Rızanın Şekli KVKK ve GDPR’da açık rızanın şekli konusunda herhangi bir dü- zenleme getirilmemiştir. Rızanın nasıl alınacağına ilişkin düzenli bir uygulama da yoktur62. Medeni hukukta rıza, işlem öncesi verildiği zaman “izin” kavramı ile ifade edilir, işlem sonrası rıza ise “onama” (icazet) kavramı ile ifade edilir. KVVK’da kullanılan “rıza” kavramından kastedilen Medeni Hu- kuk anlamında “izindir”. Açık rızanın şekline ilişkin olarak değerlendi- rilmesi gereken temel sorun, örtülü irade beyanı ile açık rızanın verilip verilemeyeceğidir. Türk Borçlar Kanunu (TBK) md 1/1 gereğince, irade açıklaması, açık veya örtülü olabilir. Açık irade, irade beyanında bulu- nanın hiçbir yoruma gerek olmaksızın dış dünyaya yansıttığı iradenin anlaşılabilir olması anlamına gelir. Örtülü irade beyanı iki anlamda kul- lanılabilir63. Birincisi,“dar anlamda örtülü irade beyanı” ikincisi ise “ge- niş anlamda örtülü irade beyanıdır. Dar anlamda örtülü irade beyanın- dan anlaşılması gereken “susmadır”. Geniş anlamda örtülü irade beyanı ise iradenin dış dünyaya yansıdığını gösteren her türlü davranıştır. İra- denin yazılı ve sözlü olarak ortaya konulmasıdır. Aktif veya pasif bir davranış şeklinde de ortaya çıkar. Dar anlamda örtülü irade beyanı olan susmaya, kural olarak sonuç bağlanamaz, meğer ki, kanun, işin özelliği ve durumun gereğinden aksi 61 TAŞKAYA/TALAY, s. 375. 62 TAYLOR, s. 2. 63 EREN, Fikret, Borçlar Hukuku Genel Hükümler, Yetkin Yayınevi, 19. Bası, Ankara 2015, s. 135. 1208 | Dr. Öğr. Üyesi Yıldırım KESER anlaşılmış olmasın. Hiç kimse sebep olmadığı bir öneriyi reddetmek zorunda değildir64 ancak cevap vermek zorunda olan muhatabın susma- sı, kabul sayılır65. Taraflar yaptıkları sözleşmede susmanın kabul anla- mına geleceğini kararlaştırmışlarsa bu durumda susma örtülü kabul değil, açık kabul anlamına gelir66. Kişisel verilerin işlenmesine ilişkin veri sahibinin susma ile açık rı- zasını verebilmesi mümkün değildir. Geniş anlamda örtülü rızanın kişi- sel verilerin işlenmesinde geçerli bir rıza türü olup olmadığı tartışmalı- dır67. GDPR kapsamında açık rızadan anlaşılması gereken, veri sahibinin beyanı veya aktif bir davranıştır. Bir diğer ifade ile açık rıza verilmesi, veri sahibinin herhangi bir şey yapmadan elde ettiği bir şeyden ziyade yaptığı bir şeydir68. İma edici davranışlar ile de rıza verilebilir69. Örne- ğin, “bu odaya girdiğinizde kameralarla görüntünüzün alınmasına rıza veriyorsunuz” uyarısını görmesine rağmen o odaya giren kişi sergilediği davranış ile rızasını vermiştir70. Dış dünyaya yansıyan herhangi bir ey- lem, veri öznesinin isteğini belirtecek kadar açık ve veri işleyen tarafın- dan anlaşılabilecek herhangi bir işaret olabilir71. GDPR’nin açıklama bölümünün 32. Kısmında72, rızanın veriliş şek- line ilişkin önemli kriterler belirtilmiştir. Şöyle ki, 64 “Qui ne dit mot ne consent pas” ilkesi, hiç kimse sebep olmadığı bir soruya cevap vermek zorunda değildir, anlamına gelir. (EREN, s. 257). Aynı ilke Mecelle’de de mevcuttur. Mecelle’nin 67. maddesi gereğince, “Sâkit’e bir söz isnad olunmaz. Lâkin ma’rız hâcette sükût beyandır”. Bu düzenleme ile kastedilen şudur: “Susan (sükut eden) kimseye “şu sözü söylemiş oldu” denilmez, lâkin söyleyecek yerde susması (sükut etmesi) ikrar ve beyan addolunur. KOCAYUSUFPAŞAOĞLU, Ne- cip/HATEMİ, Hüseyin/SEROZAN, Rona/ARPACI, Abdülkadir, Borçlar Hukukuna Giriş Hukuki İşlem Sözleşme, 7. Bası, Filiz Kitabevi, İstanbul 2017, s. 147. 65 EREN, s. 256. 66 EREN, s.257. 67 SCHERMER/CUSTERS/VAN DER HOF,.s. 175, Taylor, s. 3. 68 IT Governance Privacy Team, s. 209. 69 WATTS, s. 3. 70 SCHERMER/CUSTERS/VAN DER HOF, s. 175. 71 SCHERMER/CUSTERS/VAN DER HOF, s. 175; TÜRKMEN, s. 115. 72 General Data Proection Regulation Recital No. 32. https://gdpr-info.eu/recitals/no- 32. (ET:14.03.2020). Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1209 i) Rıza, beyan veya aktif bir davranışla verilebilir. Sözlü veya elektronik yolla veri sahibi rıza verebilir. ii) Susma veya önceden işaretlenmiş kutulardaki işareti kaldırma- ma halinde veri sahibinin rıza verdiğinden bahsedilemez. iii) Veri sahibi, rızasını elektronik yollarla verecekse veri sahibin- den rızası talep edilirken talebin açık, özlü ve gerekli olması gerekir. ABAD’ın Planet49 kararı konuya ilişkin emsal karar niteliğinde- dir73. Planet49, 24 Eylül 2013’te www.dein-macbook.de isimli web site- sinde bir çekiliş düzenlemiştir. Çekilişe katılmak isteyen kullanıcılardan posta kodlarını girmeleri istenmiş ve kullanıcılar daha sonra isim ve adreslerini girmelerinin istendiği başka bir web sayfasına yönlendiril- mişlerdir. İsim ve adres kutucuklarının altında biri önceden işaretlenmiş iki adet kutucuk gösterilmiştir. Bu kutucularla, katılanların, kutucuklar- daki işaretleri kaldırmadıkları takdirde belli konulara ilişkin rıza vermiş sayılacakları belirtilmektedir. Dava öncesi gönderilen ancak cevaplanmayan bir mektupta Al- man Tüketici Organizasyonları Federasyonu, Planet49 tarafından kutu- cuklar aracılığıyla talep edilen rızaların ulusal hukukun gerekliliklerini karşılamadığını iddia etmiştir. Daha sonra Federasyon yerel mahkeme- de, dava açarak Planet49’un bu tarz bildirimler kullanmasının durdu- rulmasını talep etmiştir. Yerel mahkeme taleplerin bir kısmını kabul etmiştir. Planet49 tarafından itiraz edilen karar neticesinde Bölgesel Yüksek Mahkeme, Federasyon’un, Planet49’un uygulamasını durdurma talebi- nin dayanaksız olduğunu zira, kullanıcının önceden işaretlenmiş kutu- cuktaki işareti kaldırabileceğini ve metnin yeterince açık olduğunu be- lirtmiştir. Ayrıca, çerez kullanımına bilgi verilmeksizin ulaşılabildiği hâlde kullanıcıların ayrıca çerezler için onay verdiği belirtilmiştir. Federal Mahkeme’ye yapılan başvuru üzerine, Planet49’un inter- net kullanıcılarından önceden işaretlenmiş kutucuk ile almış olduğu rızanın, geçerli olup olmadığına ilişkin olarak Federal mahkeme, yargı- 73 Judgment of 1 October 2019, Planet49, C-673/17, EU:C:2019/:801 http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageInde x=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=2645649. (ET:16.01.2020). 1210 | Dr. Öğr. Üyesi Yıldırım KESER lama esnasında şu soruları ABAD’a yöneltmiştir: “(a) Önceden işaret- lenmiş ve rıza vermemek için kullanıcının işareti kaldırmak durumunda olduğu kutular ile bilgi depolama veya kullanıcının cihazında depolan- mış bilgiye ulaşım, geçerli bir rıza oluşturur mu? (c) Soru 1(a)’da bahsi geçen durumlarda, GDPR kapsamında geçerli bir rıza oluşur mu?” ABAD, internet kullanıcısının önceden seçilmiş bir kutucuktaki işareti kaldırarak rıza vermesi durumunda verilen rızanın geçerli olma- dığına hükmetmiştir. Ayrıca, çerezlerin de kişisel veri olduğunu çünkü çerezleri veren kullanıcıları belirlemeye yarar bilgilerin çerezleri topla- yan Planet49 olduğunu belirtmiştir. SONUÇ Özel hayatın gizliliğin korunması başta olmak üzere temel hak ve özgürlüklerin korunması için kişisel verilere anayasal düzeyde bir ko- ruma getirilmiştir. KVKK’da, veri öznesinin kişisel özellikleri dikkate alınarak düzenlemeler getirilmemiştir. Kanun koyucu, çerçeve hüküm- lere yer vermeyi tercih etmiştir. Kişisel veri koruma hukukunun asıl amacı, kişisel verileri koru- maktır. Kişisel verileri işlemek kural olarak yasaktır. Bu kuralın en önemli istisnalarından biri, veri öznesinin rızasıdır. KVKK’da genel nite- likli ve özel nitelikli kişisel veri ayrımı yapılmışsa da her iki tip verinin işlenmesinde “açık rıza” aranmıştır. Açık rızanın verilmesi herhangi bir şekle tabi değildir. Dar anlamda örtülü rıza ile yani susma ile açık rıza- nın verilebilmesi mümkün değildir. Dış dünyaya yansıyan iradenin aktif bir davranışla ortaya konulması hâlinde geniş anlamda örtülü davranış- la açık rızanın verilebilmesi mümkündür. Kişisel verilerin korunması, birden fazla hukuk dalının kesişme noktasında yer almaktadır. Kişisel veri koruma hukuk dalının amacına ulaşabilmesi için diğer yasal düzenlemeler ile ilişkisi de incelenmelidir. KVKK, gerçek kişinin kişisel verilerini korumak amacıyla yürürlüğe konulmuştur. Gerçek kişi tacir de olsa tüketici de olsa KVKK tarafından getirilen korumadan yararlanacaktır. Örneğin, elektronik iletilere ilişkin ETDHK tarafından özel düzenlemeler getirilmiştir. ETDHK gereğince, tacir ve esnaflardan onay alınmadan elektronik ticarî ileti gönderilebil- mesi mümkündür. Burada göz ardı edilmemesi gereken husus şudur: Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1211 Kişisel verinin elde edilmesi ve işlenmesi birbirinden farklı hususlardır. Bu nedenle de ETDHK kapsamında gerçek kişi tacir veya esnafın cep telefonuna gönderilecek elektronik ticari ileti için öncelikli olarak kişisel bir veri olan cep telefonunun elektronik ileti gönderecek kişi tarafından KVKK’ya uygun olarak elde edilmesi gerekir. Kişisel veri öznesinin tüketici olması durumunda THKK’nın tüke- tici için getirmiş olduğu koruyucu hükümlerin, KVKK’nın uygulanma- sında doğrudan uygulama alanı bulması gerekir. Özellikle, kişisel veri- lerin işlenmesi için aranan “açık rızanın” uygulamasında bu iki hukuk dalının ilişkisi büyük önem kazanmaktadır. Açık rızanın unsurlarının ne olduğu KVKK’da düzenlenmiştir. “Bu unsurlar niteliği gereği çerçeve- dir”. O nedenle de her bir unsur somut olaya ilişkin olarak değerlendi- rilmelidir. Veri öznesinin tüketici olması durumunda öncelikli olarak tüketici ile veri işleyen arasındaki “güç dengesizliği” dikkate alarak de- ğerlendirme yapılmalıdır. Veri öznesinin tüketici olması hâlinde tüketi- cinin özgür iradesiyle hareket etmediği karine olarak kabul edilmelidir. Tüketicinin birçok kişisel verisi aynı zamanda ekonomik bir değeri ifade etmektedir. Mal ve hizmet sağlayıcıları mümkün olan her fırsatta tüketi- cinin kişisel verisini işlemek isterler. Tüketicinin verdiği açık rızanın geçerliliği değerlendirilirken bu hususların dikkat alınması gerekir. Yaygınlaşan e-ticaret uygulamaları nedeniyle tüketici işlemi de yaygın olarak internet üzerinden yapılmaktadır. Birçok internet sitesine girişte çerez uygulamaları ile karşılamaktayız. Çerez uygulamaları, kişi- sel veri koruma hukukunu tehdit eder boyutlara ulaşmaktadır. Çerezleri elde edenler, çerezler aracılığıyla gerçek kişiyi belirleyemedikleri gerek- çesiyle alınacak rızanın KVKK kapsamında olmaması gerektiğini sa- vunmaktadırlar. Oysa ki, gelişen teknoloji beraberinde her türlü bilgiye erişimi de kolaylaştırmaktadır. Bu nedenle de kanunda değişikliğe gidi- lerek, çerezleri kişisel veri olarak kabul etmek, menfaatler dengesine en uygun olan çözümdür. Getirilecek düzenlemede çerezin kişisel veri ol- madığını ispat külfetini çerezi talep edenin yüklenmesi durumunda so- run büyük oranda çözülecektir. 1212 | Dr. Öğr. Üyesi Yıldırım KESER KAYNAKLAR AKSOY, Hüseyin Can, Medeni Hukuk ve Özellikle Kişilik Hakkı Yö- nünden Kişisel Verilerin Korunması, Çakmak Yayınevi, Ankara 2010. ANI, Nevzat Ali, Kişisel Verilerin İşlenmesi ve Açık Rıza, İÜSBE, Yayın- lanmamış Yüksek Lisans Tezi, İstanbul 2018. AVCI-BRAUN, Cihan, Kişisel Verilerin İşlenmesinde Rıza, Yeditepe Üniversitesi, Hukuk Fakültesi Dergisi, C:XV, S.1, Y.2018, s. 13- 34. AVCI, Yasemin, Kişisel Verilerin Korunması, SÜSBE, Yayınlanmamış Yüksek Lisans Tezi, Konya 2019. BAYINDIR, Hamza, “Özel Sağlık Kurumları Kapsamında Kişisel Verile- rinin İşlenmesi ve Korunması”, İÜSBE, Yayımlanmamış Yüksek Lisans Tezi, İstanbul 2020. CLARK, James vd. California's Consumer Privacy Act and the GDPR - where do they overlap?, P. & D.P. 2018, 18(7),7-9. http://icproxy.khas.edu.tr/login?url=http://icproxy.khas.edu.tr:2 092/login.aspx?direct=true&db=edswst&AN=edswst.2438061&l ang=tr&site=eds-live. ÇEKİN, Mesut Serdar, Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, 2. Bası, İstanbul 2019. EREN, Fikret, Borçlar Hukuku Genel Hükümler, Yetkin Yayınevi, 19. Bası, Ankara 2015. HAN, Işık Aslı, Kişisel Verilerin İşlenmesi Bağlamında Hukuka Uygun- luk Sebebi Olarak Veri Sahibinin Rızası, Galatasaray Üniversi- tesi Hukuk Fakültesi Dergisi, 2019/1, s. 417-461. HELVACI, Serap, Türk ve İsviçre Hukuklarında Kişilik Hakkını Koru- yucu Davalar, Beta Yayınevi, İstanbul 2001. IT GOVERNANCE PRIVACY TEAM, EU General Data Protection Regu- lation (GDPR): an implementation and compliance guide. IT Governance Ltd, 2017. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1213 KESER BERBER, Leyla/ATABEY, Ayça/MERT, Melis, E-Gizlilik Tüzük Taslağının Son Versiyonu Üzerine Düşünceler, Kişisel Verileri Koruma Dergisi, Yıl 2019, Cilt 1, Sayı 2, s. 66-74. KOCAYUSUFPAŞAOĞLU, Necip/HATEMİ, Hüseyin/SEROZAN, Rona/ ARPACI, Abdülkadir, Borçlar Hukukuna Giriş, Hukuki İşlem, Sözleşme, 7.Bası, Filiz Kitabevi, İstanbul 2017. KÜZECİ, Elif: Kişisel Verilerin Korunması, Turhan Kitabevi, Ankara, 2010. OĞUZMAN, M. Kemal/ÖZ, Turgut, Borçlar Hukuku Genel Hükümler, C.I, 14. Bası, Vedat Kitapçılık, İstanbul 2016. ÖZDEMİR, Hayrunnisa, Elektronik Haberleşme Alanında Kişisel Verile- rin Özel Hukuk Hükümlerine Göre Korunması, Seçkin Yayıne- vi, Ankara 2009. PURTOVA, Nadezhda. The law of everything. Broad concept of perso- nal data and future of EU data protection law, Law, Innovation and Technology, 2018. 10:1, s. 40-81, DOI: 10.1080/17*** *** ****.1452176 https://www.tandfonline.com/ doi/full/10.1080/17*** *** ****.1452176. SCHERMER, Bart W., CUSTERS, Bart, VAN DER HOF, Simone. "The crisis of consent: How stronger legal protection may lead to weaker consent in data protection." Ethics and Information Technology (ET.: 16.2.2014). SELEK, Ozan, Genel Veri Koruma Tüzüğü Işığında Kişisel Verilerin İş- lenmesinde Rıza Açıklaması, Dokuz Eylülü Üniversitesi, Hu- kuk Fakültesi, C. 21, S.2, Y.2019, s. 911-951. SİRMEN, Lale, Tüketici Hukukunun Amacı ve Özellikleri, Aydın ZEVKLİLER’e Armağan, C. III, Yaşar Üniversitesi E-Dergisi Vol 8 Özel Sayı, s.2465-2475. TAŞKAYA, Merih/TALAY, Ömür, Dijital Gözetimin Pazarlama Amaçlı Aracıları: “Çerezler” ve Çerez Kullanımında “Açık Rıza”, Ak- deniz Üniversitesi İletişim Fakültesi Dergisi, Y.2019, S. 31, s. 356-376. (https://dergipark.org.tr/tr/pub/akil/issue/47030/ 534603, ET: 05/02/2020). 1214 | Dr. Öğr. Üyesi Yıldırım KESER TAYLOR, Chantelle, UK regulator's guidance on GDPR consent - is the definition any clearer?, P. & D.P. 2017, 17(5), s. 13-15. TÜRKMEN, Sevgi, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, İÜSBE, Yayınlanmamış Yüksek Li- sans Tezi, İstanbul 2019. UTZ, Christine, et al. (Un) informed Consent: Studying GDPR Consent Notices in theField. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security, 2019. p. 973-990. https://dl.acm.org/doi/10.1145/3319*** *** ****. WATTS, Mark. Consent vs legitimate interest: Part 1, P. & D.P. 2018, 19(2), s. 7-9. https://www.pdpjournals.com/overview-privacy- and-data-protection. YÜCEDAĞ, Nafiye, Medeni Hukuk Açısında Kişisel Verilerin Korun- ması Kanunu’nun Uygulama Alanı ve Genel Hukuka Uygun- luk Sebepleri, İÜHFM C. LXXV, S. 2017, s. 765-790. ZEVKLİLER, Aydın/ÖZEL, Çağlar, Tüketicinin Korunması Hukuku, Seçkin Yayınevi, Ankara 2016. ZOR, Abdülhamid, Veri Sorumlusunun Yükümlülükleri ve Bu Yüküm- lülükleri İhlâlden Doğan Özel Hukuk Sorumluluğu, İÜSBE, Yayımlanmamış Yüksek Lisans Tezi, İstanbul 2020. ABAD KARARLARI Judgment of 1 October 2019, Planet49, C-673/17, EU:C:2019/:801 http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462 &pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=26 45649. Judgment of 20 December 2017, Nowak, C-434/16, EU:C:2017:994 http://curia.europa.eu/juris/document/document.jsf?text=&docid=198059 &pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=26 95698. Judgment of 19 October 2016, Breyer, C-582/14, EU:C:2016:779 http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668 &pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=27 25971. Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza | 1215 YASAL METİNLER Charter Of Fundamental Rights Of The European Union 2012/C 326/02 https://eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX: 12012P/TXT&from=EN. Council Directive 93/13/EEC of 5 April 1993 on Unfair Terms in Consu- mer Contracts. https://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=CELEX:31993L0013:en:HTML. “Regulation (EU) 2016/679 of the European Parliament and of the Coun- cil of 27 April 2016 on the Protection of Natural Persons with regard to the Processing of Personal data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regula- tion)”, http://eur-lex.europa.eu/eli/reg/2016/679 (ET:02.01.2020). General Data Protection Regulation Recitals https://gdpr- info.eu/recitals/. İNTERNET KAYNAKLARI Article 29 Working Party Guidelines on Consent under Regulation 2016/679 https://ec.europa.eu/newsroom/article29/document.cfm?action =display&doc_id=51030. Article 29 Working Party, Opinion 15/2011 on the definition of consent https://ec.europa.eu/justice/article-29/documentation/opinion- recommendation/files/2011/wp187_en.pdf. Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, 2018 https://www.kvkk.gov.tr/ SharedFol- derServer/CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf. Kişisel Verileri Koruma Kurulu, 100 Soruda Kişisel Verilerin Korunması Kanunu, s. 27 https://www.kvkk.gov.tr/ SharedFolderSer- ver/CMSFiles/7d5b0a2f-e0ea-41e0-bf0b-bc9e43dfb57a.pdf. Türkiye Büyük Millet Meclisi Kişisel Verilerin Korunması Kanunu Tasa- rısı (1/541) ve Adalet Komisyonu Raporu https://www.tbmm.gov.tr/ sirasayi/donem26/yil01/ss117.pdf (ET: 26/01/2020). What is considered personal data under the EU GDPR? https://gdpr.eu/eu-gdpr-personal-data (ET: 02/01/2020).