Madde 29 — Benzersiz tanımlayıcıların kişinin kimliğini
2/2010 sayılı “Çevrim İçi Davranışsal
Reklamcılık Hakkında Görüşü”nde;
davranışsal reklamcılık yöntemlerinin, IP
adreslerinin toplanmasını ve benzersiz
tanımlayıcıların, örneğin dijital parmak
izinin, işlenmesini gerektirdiği ifade
edilmiştir (Madde 29 Veri Koruma Çalışma
Grubu, 2010b). Ancak, IP adresleri dinamik
olarak zaman içinde değiştiği için kullanıcı
takibinde benzersiz tanımlayıcılardan
faydalanılarak yapılan çevrim içi takip daha
stabil hale getirilmektedir. Söz konusu
görüşte; ilgili kişilerin gerçek ismi bilinmese
dahi, benzersiz tanımlayıcılar aracılığıyla
bireylerin “tekil hale getirildiği” ifade
edilmiştir (Madde 29 Veri Koruma Çalışma
Grubu, 2010b).
95/46/AT sayılı Direktif’in kişisel veri tanımı
içerisinde doğrudan çevrim içi tanımlayıcılar
yer almasa da Madde 29 Çalışma Grubunun
cihaz parmak izine 2002/58/AT sayılı
Direktif’in uygulanmasına ilişkin görüşünde;
cihaz parmak izinin kişisel veri olabileceği,
örneğin birkaç bilgi öğesi, özellikle IP adresi
gibi benzersiz tanımlayıcılar birleştirildiğinde
ve işlemenin amacı kullanıcıları zaman
içinde ve siteler arası tanımlamak olduğunda
(örneğin; davranışsal reklamcılık) veri
koruma kurallarına uyum sağlanması
gerektiği açıkça ifade edilmiştir (Madde 29
Veri Koruma Çalışma Grubu, 2014c).
Ayrıca, davranışsal reklamcılık kapsamında
elde edilen bilgi, bir kişi hakkında
olduğundan kişiyle içerik kriteri bakımından
ilişkilendirilmektedir. Zira bu kapsamda
elde edilen bilgi belirli bir kişinin özellikleri
ve davranışlarıdır. Ayrıca elde edilen bu
bilgi belirli bir kişiyi etkilemek amacıyla
kullanılarak amaç kriteri bakımından ilgili
kişiyle ilişkilendirilmektedir (Madde 29 Veri
Koruma Çalışma Grubu 2010b).
Öte yandan, herhangi bir zamanda ilgili kişi
tarafından sağlanan doğrudan tanımlayıcı bilgi
ile kullanıcı profillerinin ilişkilendirilme olasılığı da
bulunmaktadır. Örneğin dijital parmak izi aracılığıyla
kullanıcıyı çevrim içi takip eden bir sosyal ağda kişi
bir üyelik hesabı oluşturduğunda veya mevcut üyelik
hesabına giriş yaptığı durumda kişinin kimliğinin
belirlenmesi söz konusu olacaktır. Kişinin kimliğinin
belirlenme olasılığı yalnızca bununla sınırlı değildir;
şirket birleşmeleri, veri ihlali sonucu oluşan veri
kayıpları, internete açık kişisel veriye ulaşılabilirliğin
artması gibi nedenler de sayılabilecektir (Madde 29
Veri Koruma Çalışma Grubu 2010b).
AB Genel Veri Koruma Tüzüğü (GVKT) kişisel veri
kavramını 4’üncü maddesinin birinci fıkrasında
tanımlanmış olup, Direktif ve GVKT’de yer alan
kişisel veri tanımına baktığımızda; Direktif’ten
farklı olarak GVKT’de konum verisi, çevrim
içi tanımlayıcı aracılığıyla ve genetik olarak
gerçek kişinin kimliğinin belirlenebileceği ifade
edilmektedir. GVKT’nin 26’ncı resitaline göre; gerçek
kişinin kimliğinin belirlenebilir olup olmadığını
belirlemek örneğin tekil hale getirme (single out)
(Bir kişiyi bir grup insan içinden seçip ayırmak,
tekilleştirmek GVKT’de “single out” terimi ile
karşımıza çıkarken aynı anlamda “individuation”
terimi de kullanılabilmektedir.), yani bir kişiyi bir
grup insan içinden kişiyi direkt veya dolaylı olarak
belirlemek, amacıyla veri sorumlusu veya başka bir
kişi tarafından kullanılabilecek makul muhtemel
tüm araçlar göz önünde bulundurulmalıdır. Söz
konusu araçların kişiyi tanımlaması amacıyla
kullanılmasının makul olarak muhtemel olup
olmadığını belirlemek için işlemenin gerçekleştiği
sıradaki ulaşılabilir teknoloji ve teknolojik gelişmeler
ile kimlik belirleme için ihtiyaç duyulan zaman
ve maliyet gibi tüm objektif etmenlerin birlikte
değerlendirilmesi gerekmektedir. GVKT’nin çevrim
içi tanımlayıcılar hakkındaki 30’uncu gerekçe
maddesinde ise; kişiler cihazları, uygulamaları,
araçları ve protokolleri tarafından sağlanan çevrim
içi tanımlayıcılar aracılığıyla kişilerle (IP adresleri,
çerez tanımlayıcıları gibi diğer tanımlayıcılar)
ilişkilendirilebildiği ifade edilmektedir. GVKT’nin
30’uncu gerekçe maddesinin devamında; bu
durumun özellikle sunuculara iletilen benzersiz
tanımlayıcılar ve diğer bilgilerle birleştirildiğinde,
gerçek kişilerin profillerini oluşturmak ve onların
kimliğini belirleme kullanılabilecek izler bırakabildiği
belirtilmektedir.
Dijital ekonominin gerçekleri, kimliği belirlenebilir
bireyin mahremiyetine zarar verileceği varsayımına
meydan okumaktadır. Bir kitle içinde belirlenenler,
kimliği bilinmese veya bilinebilir olmasa dâhi
birey düzeyinde çevrim içi olarak takip edilmekte,
profillenmekte, hedeflenmekte, iletişim kurulmakta
veya kişi üzerinde etkileri olan bir karara ya da
davranışa maruz bırakılmaktadır (Johnston, 2020).
GVKT’nin açıklayıcı maddelerinde (resitallerinde)
tekil hale getirme kavramına yer verilmesi veya
kişisel veri tanımı kapsamında çevrim içi tanımlayıcı
kavramına yer verilmesinin kişinin kimliğinin
belirlenebilir olmasının dar yorumlanmaması
gerektiğinin bir göstergesi olduğu anlaşılmaktadır.
2018 tarihli Birleşik Krallık Veri Koruma Kanunu’nun
(DPA) 3’üncü maddesinin ikinci fıkrasında kişisel
veri; kimliği belirli veya belirlenebilir yaşayan bir
bireye ilişkin bilgi olarak tanımlanmaktadır. Aynı
maddenin üçüncü fıkrası uyarınca, ilgili kişi; “(a) bir
isim, kimlik numarası, konum verisi veya çevrimiçi
tanımlayıcıyı veya (b) bireyin sosyal, kültürel,
ekonomik, ruhsal, genetik, psikolojik, fiziksel
kimliğine özgü bir veya birden fazla etmen”i referans
alarak direkt veya dolaylı olarak kimliği belirlenebilir
yaşayan bir birey olarak tanımlanmıştır. Bu tanım
GVKT’nin kişisel veri tanımıyla uyuşmakla beraber,
GVKT’de gerçek kişi kullanılırken DPA 2018’de
kişisel veri tanımında yaşayan birey kavramına yer
verilmiştir.
Birleşik Krallık Veri Koruma Ofisi ICO tarafından çerez
benzeri teknolojiler arasında sayılan dijital parmak
izi; belirli bir cihazı benzersiz şekilde tanımlamak
amacıyla bir dizi bilgi öğesini birleştirmeyi içeren
bir teknik olarak tanımlamaktadır (Information
Commissioner’s Office, t.y.b). Bir cihazın
konfigürasyonundan elde edilen veriler, belirli ağ
protokollerinin kullanımıyla açığa çıkan veriler, CSS
bilgisi, Javascript nesneleri, HTTP başlık bilgisi,
saat bilgisi, TCP yığın varyasyonu, yüklü yazı tipleri,
tarayıcıda yüklü eklentiler, herhangi bir API'nin
kullanımı gibi veri noktalarıyla sınırlı olmamak üzere
bu veri noktalarından veri türetilerek oluşturulan
dijital parmak izi; kişiyi, tarayıcı veya cihazı
tekilleştirmede, ilişkilendirmede, çıkarım yapmada
57 56
» KVKK Bülten
-- 29 of 40 --
kullanılabilmektedir (Madde 29 Veri Koruma
Çalışma Grubu, 2014c), (Information
Commissioner’s Office, t.y.b).
Dijital parmak izi çıkarımında toplanan bilgi
öğeleri daha önce de ele aldığımız gibi IP
adresleri veya çerezler vb. diğer bilgilerle
birleştirmek de mümkündür. ICO da GVKT’nin
30’uncu gerekçe maddesinde açıklanan
çevrim içi tanımlayıcıları göz önünde
bulundurarak DPA 2018’i uygulamaktadır.
Dijital parmak izi çevrim içi tanımlayıcılar
arasında yer almakta olup kişisel veri olduğu
belirli durumlarda veri koruma kuralları
uygulanmaktadır. Örneğin kullanıcının
hesabına giriş yaptığı bir durumda kimlik
doğrulanması amacıyla dijital parmak
izi kullanıldığı takdirde, dijital parmak izi
aracılığıyla kişisel veri işlenmesi gündeme
gelebilecektir. Çevrim içi tanımlayıcıların tek
başına veya mevcut olabilecek diğer verilerle
birlikte bir kullanıcıyı diğerinden ayırt
etmek için kullanılıp kullanılamayacağının
hususunda değerlendirme yapmak
suretiyle kişinin kimliğinin belirlenebilir
olup olmadığının kontrol edilmesi tavsiye
edilmektedir. (Information Commissioner’s
Office, t.y.a).
Dijital parmak izi için elde edilen veri
noktalarının sayısı ve entropi miktarının
kullanıcıyı benzersiz olarak tanımlamak
açısından önemli olduğunu dile getirmiştik.
Bir çevrim içi hizmetin alınması esnasında,
veri sorumlusuna açıklanan veri kümesi
sayesinde dijital parmak izi çıkarılabilecektir.
Dijital parmak izi aracılığıyla kişi, çevrim içi
olarak tekilleştirilerek kişiyle oluşturulan
tanımlayıcı değeri kişiyle ilişkilendirilebilecek
veya kişi hakkında çıkarım yapılması
söz konusu olabileceğinden, kişisel veri
işlenmesi gündeme gelecektir.
Veri Sorumlusu – Veri İşleyen
95/46/AT sayılı Direktif’te veri sorumlusu;
kişisel verilerin işlenmesinin amaçlarını
ve araçlarını tek başına veya başkalarıyla
birlikte belirleyen gerçek veya tüzel kişi,
kamu otoritesi, kurum veya diğer herhangi
bir organ olduğu ifade edilmektedir.
Kişisel verilerin işleme amacını ve vasıtasını
tek başına veya birlikte belirleyen tüzel veya
gerçek kişilerin veri sorumlusu olabilmesinin
belirtilmesi 95/46/AT sayılı Direktif
döneminde de ortak veri sorumluluğunun
kabul edildiği anlamına gelmektedir.
Direktif döneminde Madde 29 Çalışma
Grubunun veri sorumlusu ve veri işleyen
hakkında görüşünde; Direktif’te yer alan
veri sorumlusunun ortak olarak kişisel veri
işleme amaç ve yöntemlerini belirlenmesine
ilişkin olarak; sorumluluğun eşit olarak
paylaşılmasına gerek olmadığı, işlemenin
tüm amaç ve yöntemlerinin belirlenmesinde
çok yakın bir ilişki olabileceği gibi örneğin,
yalnızca amaçları veya araçları veya bunların
bir kısmını paylaşmak gibi daha sıkı olmayan
bir ilişki içerisinde olabileceği ifade edilmiştir
(Madde 29 Veri Koruma Çalışma Grubu,
2010a).
Bununla birlikte, kişisel verilerin
işlenmesinde farklı tarafların iş birliği
yapması, her durumda ortak veri sorumlusu
oldukları anlamına gelmemektedir. Ortak
bir amaç veya araç paylaşmadan iki taraf
arasındaki veri alışverişi vuku bulması,
yalnızca ayrı veri sorumluları arasında bir veri
aktarımı olarak düşünülmesi gerekmektedir.
Ortak veri sorumluluğu için içtihat oluşturan
önemli kararlardan birisi de Avrupa Adalet
Divanı tarafından verilen Fashion ID Kararıdır.
Fashion ID kararındaki taraflar arasında
yer alan Fashion ID GmbH & Co. KG, moda
ürünleri satan bir çevrim içi perakendeci
olup web sitesine Facebook beğen butonunu
yerleştirmiştir. Bir kullanıcı Fashion ID'nin
web sitesine girdiğinde, o kullanıcı hakkında
IP adresi ve tarayıcı dizisi bilgileri (Yüksek
Mahkeme IP ve tarayıcı dizesinin tek başına
veya birlikte mi kişisel veri olup olmadığını
tartışmamış, bu değerlendirmeyi ulusal
mahkemeye bırakmıştır.) Facebook'a
» MAKALE
aktarılır. Bu aktarım, kullanıcının “Beğen” düğmesini
tıklayıp tıklamadığına ve bir Facebook hesabına
sahip olup olmadığına bakılmaksızın Fashion
ID'nin web sitesi yüklendiğinde otomatik olarak
gerçekleşmektedir (Avrupa Birliği Adalet Divanı
(ABAD), 2018).
Fashion ID’nin web sitesine “beğen” butonu
yerleştirmesindeki amaç Facebook sosyal ağı
aracılığıyla ürünlerinin görünürlüğünü arttırmaktı.
Veri, sonraki kendi ticari amaçları için Facebook
İrlanda’ya aktarılmıştır (ABAD, 2018). Bu yüzden
Fashion ID, üçüncü taraf eklentiyi internet sitesine
yerleştirmek suretiyle kullanıcının kişisel verini
toplanmasına ve iletilmesine neden olmuş ve veri
sorumlusu olarak değerlendirilmiştir. Öte yandan
bu veri sorumlusunun (ortak) sorumluluğu kişisel
verilerin işlenme amacı ve yöntemini etkin bir
şekilde birlikte karar verildiği faaliyetler için sınırlıdır.
Rıza ve bilgilendirme yükümlülükleri, Fashion ID’nin
dahil olmadığı ve mantıksal olarak herhangi bir araç
veya amaç belirlemediği veri işlemenin sonraki
aşamalarını kapsamamaktadır (ABAD, 2018).
Aktif dijital parmak izi çıkarılması yöntemi
kapsamında bir internet sitesine veya uygulamaya
yerleştirilen bir javascript kodu aracılığıyla veya
HTTP paketi kapsamında kullanıcı cihazı veya
uygulama örneğinin belirli özelliklerini üçüncü bir
tarafa iletilmesi yoluyla benzersiz bir tanımlayıcı
oluşturulması ile bu tanımlayıcı sayesinde
kişinin belirlenmesi, bu yöntemlerle kişinin cihazı
hakkında bilgi toplanması kişisel veri işleme
faaliyeti olarak değerlendirilebilecektir. Burada
verilerin iletilmesi noktasında reklam geliri gibi
ekonomik fayda gören web sitesi yayımcısının
verilerin üçüncü tarafa iletilmesi konusunda veri
sorumlusu olabileceği değerlendirilebilecektir. Bu
noktada, bu kod parçacığı aracılığıyla reklam ağına
iletilen veri işlenmeye devam edecek olup reklam
ağı sahibi de veri sorumlusu olabilecektir. Söz
konusu işleme faaliyetleri “ortak bir amaç” olarak
davranışsal reklamcılık ve “ortak bir araç olarak”
ise dijital parmak kullandığı çıkarımı yapılabileceği
değerlendirilmektedir. İki tarafın da bu konuda
iş birliği gerektiğinden, ortak veri sorumluluğu
gündeme gelecektir. Bununla birlikte web sitesi
operatörünün hizmet satın alması ile işlemenin
temel amaç ve yöntemlerine tek başına karar
verdiği durumda, veri sorumlusu olarak web sitesi
operatörünün bir veri işleyenden hizmet satın
alımı yapıldığı değerlendirilebilecektir. Böyle bir
senaryo, bir web sitesi tarafından analitik ölçüm
hizmetlerinin kullanılması halinde söz konusu
olabilecektir.
İşleme Şartları ve Genel İlkeler
Çevrim içi takip teknolojilerinin kullanılması söz
konusu olduğunda, AB hukukunda öncelikle
elektronik haberleşme hizmetlerinde kişisel verilerin
korunmasına ilişkin düzenleme olan 2002/58/AT
sayılı Direktif, GVKT öncesinde 95/46/AT sayılı Veri
Koruma Direktifi, mevcutta ise Genel Veri Koruma
Tüzüğü’ne uyumluluk gözetilmelidir. AB üyeleri
ülkeler, 2002/58/AT sayılı Direktifi, iç hukuklarında
ilgili veri koruma kanunlarına kapsamında veya ayrı
özel bir kanun olarak uygulamaya koymaktadır.
2002/58/AT sayılı E-Gizlilik Direktifi’nin 24’üncü
giriş hükmünde;
» Ajan yazılımlar, web bugs, gizli tanımlayıcılar
veya diğer araçların; bilgiye erişmek, bilgi
depolanması veya kullanıcının hareketlerinin
izlenmesi amaçlarıyla kullanıcının terminal
cihazına kullanıcının bilgisi dışında giriş
yapabileceği ve kullanıcının mahremiyetine
ciddi bir şekilde zarar verebileceği,
» Bu tür araçların kullanımına ilgili kullanıcıların
bilgisi dahilinde, yalnızca meşru amaçlarla izin
verileceği,
belirtilmektedir.
2002/58 sayılı E-Gizlilik Direktifi’nin 25’inci giriş
hükmünde ise;
» Örneğin “çerezler” olarak adlandırılan bu tür
araçların, örneğin web sitesi tasarımının ve
reklamın etkinliğinin analiz edilmesinde ve
çevrim içi işlemlerde bulunan kullanıcıların
kimliğinin doğrulanmasında meşru ve faydalı bir
araç olabileceği,
» Bu tür araçların, bilgi toplumu hizmetlerinin
sağlanmasını kolaylaştırmak gibi meşru bir
59 58
» KVKK Bülten
-- 30 of 40 --
» MAKALE
amaç için tasarlandığı durumlarda,
95/46/AT sayılı Direktif uyarınca
kullanıcılara açık ve kesin bilgiler
sağlanması koşuluyla kullanımlarına izin
verilmesi gerektiği,
» Kullanıcılar, terminal ekipmanlarında
bir çerez veya benzeri bir aracın
saklanmasını reddetme fırsatına sahip
olması gerektiği,
» Kullanıcının terminal ekipmanına
kurulacak çeşitli cihazların aynı bağlantı
sırasında kullanımı için ve ayrıca bu
cihazların sonraki bağlantılarda daha
sonraki kullanımlarını da kapsayacak
şekilde bilgi ve reddetme hakkının bir kez
sunulabileceği,
» Bilgi verme, reddetme hakkı sunma
veya izin isteme yöntemleri mümkün
olduğunca kullanıcı dostu olması
gerektiği
belirtilmektedir.
Direktif’in işleme şartlarıyla ilgili olan
maddesi olan 5’inci maddesinin üçüncü
fıkrası uyarınca;
» Elektronik iletişim ağı üzerinden bir
iletişimin gerçekleştirilmesi ya da
kolaylaştırılması veya
» Abone veya kullanıcı tarafından açıkça
talep edilen bir bilgi toplumu hizmetini
sağlamak için kesinlikle gerekli
olan herhangi bir teknik depolama
veya erişim hariç olmak üzere, diğer
depolama ve erişim faaliyetleri için
veri sorumlusu tarafından işleme
amaçları ve söz konusu işlemeye itiraz
etme hakkı tanınarak 95/46/AT sayılı
Direktif ile uyumlu olarak yalnızca ilgili
abone veya kullanıcıya açık ve kapsamlı
bilgi sağlanması koşuluyla kullanıcı
veya abone tarafından izin verilmesi
durumunda gerçekleştirilebileceği
düzenlenmiştir. 2002/58/AT sayılı Direktif’in
5’inci maddesinin üçüncü maddesi ile
elektronik haberleşme şebekesinin
kullanımı, kullanıcının terminal cihazına
bilgi depolamak veya depolanan bilgiye
erişimi belirli şartlar altında kullanıcı rızası
olmaksızın gerçekleştirilebilmektedir. Bu
durumlar haricinde kullanıcının rızası
zorunlu kılınmıştır. Madde 29 Veri Koruma
Çalışma Grubu’nun dijital parmak izi
çıkarımı hakkındaki görüşü (2014c) ile
söz konusu maddenin dijital parmak izine
uygulanması benimsenmiştir. Ancak dijital
parmak izi çıkarımı, doğrudan kullanıcı
cihazına erişerek bilgi toplanması suretiyle
gerçekleşebildiği için aslında bir depolama
faaliyeti, buna bağlı olarak depolanan
bilgiye erişimi gerektirmemektedir. Dijital
parmak izi tekniğinin bu özelliği göz önünde
bulundurulduğunda, E-Gizlilik Direktifi’nin
5’inci maddesinin üçüncü fıkrasının bu
açıdan yeniden ele alınması gerektiği
değerlendirilmektedir. Madde 29 Veri
Koruma Çalışma Grubu tarafından dijital
parmak izi kullanımının öncelikle 2002/58/
AT sayılı Direktif’in uygulama alanına girdiği
hususuna açıklık getirilmiştir (Madde 29 Veri
Koruma Çalışma Grubu, 2014c). Örneğin
dijital parmak izi çıkarımı yapan web sitesi
yayımcısı bakımından da E-Gizlilik Direktifi
kişisel veri işlenmesine bakılmaksızın geçerli
olacaktır. Bu Direktif’in 5’inci maddesinin
üçüncü fıkrasında belirtilen istisnalar
dışında kalan dijital parmak izi kullanımları
için de kullanıcının açık rızası gerekli
olacaktır. Eğer dijital parmak izi aracılığıyla
kullanıcı cihazında bilgi depolama veya buna
erişim gerçekleşmesi sonucunda toplanan
bilgi kişisel veri olarak değerlendiriliyorsa,
Direktif’in 5’inci maddesinin üçüncü
fıkrasına ek olarak GVKT de uygulama alanı
bulacaktır.
E-Gizlilik Direktifi’nin 17’nci giriş hükmünde;
bu Direktif’in amaçları doğrultusunda,
kullanıcı veya abonenin rızasının, 95/46/
AT sayılı Direktif’te tanımlandığı ve ayrıca
belirtildiği şekilde ilgili kişinin rızası ile aynı
olduğu ifade edilmektedir. Kullanıcı bir
internet sitesine girdiği zaman dijital parmak
izi oluşturulması amacıyla bilgiye erişim
mevcutsa, E-Gizlilik Direktifi uyarınca, söz
konusu Direktif’in 5’inci maddesinin üçüncü
fıkrasında belirtilen istisna hallerdeki kullanımlar
dışında, kullanıcının veya abonenin rızasının
özgürce ve bilinçli bir şekilde alınması gereklidir.
Örneğin, benzersiz dijital parmak izi çıkarımına katkı
sağlayan bazı niteliklere web sitesi yayımcısı veya
alt şirketleri tarafından kimlik doğrulama amacıyla
erişim sağlandığı takdirde, bu kullanım E-Gizlilik
Direktifi kapsamında sayılan istisna haller içinde yer
alabileceğinden, kullanıcının rızası olmaksızın dijital
parmak izi çıkarımı yapılması uygun olabilecektir.
Diğer taraftan, davranışsal reklamcılık amacıyla
dijital parmak izi kullanımı söz konusu ise henüz
dijital parmak izine katkı sağlayan erişim işlemleri
gerçekleştirilmeden önce E-Gizlilik Direktifi
kapsamında kullanıcının rızasının alınmasının
gerekli olduğu değerlendirilmektedir.
Alınacak rızanın özgürce verilmesi, belirli bir konuda
olması ve kullanıcının neye rıza gösterdiği hakkında
bilgilendirilmiş olması gerekli olup verilen rızanın
geri alınabilir olması da sağlanmalıdır. Bu anlamda
tarayıcı ayarlarından verilen rıza ise geçerli bir rıza
olarak değerlendirilmemektedir. En sık kullanılan
tarayıcılarda dijital parmak izi kullanımı için bir
önlem sayılabilecek “beni takip etme” seçeneği
varsayılan olarak pasif gelmektedir. Tarayıcı
ayarlarından ortalama bir kullanıcının bu seçeneği
bulup işaretlemesi ve bunun farkında olmasını
beklemek makul değildir (Madde 29 Veri Koruma
Çalışma Grubu, 2010b). Ayrıca tarayıcılarda yer alan
“beni takip etme” seçeneğinin seçilmesi halinde bile
web sitesi operatörleri iş birliği içinde olmaksızın
parmak izi çıkarmaya devam edebilecektir.
Bununla birlikte, tarayıcı ayarlarıyla verilen rızanın
toplu bir rıza olduğu dikkate alındığında, web
sitesi bağlamında dijital parmak izi kullanımının
amaçları hakkında bilgi verilmeksizin rıza alınması
durumunun ortaya çıkmasına neden olacaktır
(Madde 29 Veri Koruma Çalışma Grubu, 2010b).
Taslak durumda olan Elektronik Haberleşmede Özel
Hayata Saygı ve Kişisel Verilerin Korunması ile İlgili
ve 2002/58/AT Sayılı Direktifi Yürürlükten Kaldıran
Taslak Tüzük’ün 8’inci maddesinin birinci fıkrası ile;
“Terminal cihazın işleme ve depolama yeteneklerinin
kullanımı, yazılım ve donanım da dahil olmak
üzere son kullanıcıların terminal cihazından ilgili
son kullanıcı dışında bilgi toplanması, aşağıdaki
durumlar hariç olmak üzere yasaklanmıştır:
(a) elektronik bir iletişimin bir elektronik iletişim ağı
üzerinden iletiminin gerçekleştirilmesi amacıyla
gerekli olması veya
(b) son kullanıcının rıza vermesi veya
(c) son kullanıcı tarafından talep edilen bir bilgi
toplumu hizmetinin sağlanması için gerekli olması
veya
(d) Son kullanıcı tarafından talep edilen bilgi
toplumu hizmetinin sağlayıcısı tarafından bu
ölçümün yapılması şartıyla, web izleyici ölçümü için
gerekli olması halinde.”
düzenlenmiştir. Taslak durumda bulunan Tüzük’te
yer alan madde hükmünün yukarıda yer verildiği
şekilde kabulü halinde, söz konusu hüküm dijital
parmak izi çıkarma tekniğine uygun hale getirilmiş
olacaktır.
E-Gizlilik Tüzüğü Taslağı’nın 20’nci gerekçe
maddesinde ise;
“- Son kullanıcının cihazıyla ilgili bilgiler, genellikle
son kullanıcının bilgisi olmadan, ‘cihaz parmak
izi çıkarma’ gibi teknikler kullanılarak, tanımlama
ve izleme amacıyla uzaktan da toplanabilir ve bu
bilgiler, genellikle son kullanıcının bilgisi olmadan,
kullanıcının mahremiyetine ciddi bir şekilde
zarar verici nitelikte kullanılabilirliği, kullanıcıların
hareketlerinin gözetimi gerçekleştirilebildiği,
- Çevrim içi davranışlarının izlenmesi veya cihazın
konumunun takibi veya terminal cihazın işleyişini
bozması son kullanıcılarına mahremiyetini tehdit
ettiği”
ifade edilmiştir. “E-Gizlilik Tüzüğü Taslağı”nın 20’nci
gerekçe maddesi ile doğrudan dijital parmak izine
atıf yapılarak bu tekniğin tanımlama ve gözetim
amacıyla kullanılmasının mahremiyet açısından risk
oluşturduğu vurgulanmıştır.
E-Gizlilik Direktifi’nin AB'de özel hayata saygının
ve haberleşme gizliliğinin korunmasının verimliliği
etki analizi ile değerlendirilmiştir. Etkinlik ve
verimlilik adına bu Direktif’in hedefleri tamamıyla
karşılamadığı sonucuna varılmıştır. Direktif’te
bazı hükümlerin net bir şekilde yazımı ve yasal
kavramlardaki belirsizlik, uyumlaştırmayı tehlikeye
atmış, bu yüzden şirketlerin sınır ötesi faaliyetinde
61 60
» KVKK Bülten
-- 31 of 40 --
» MAKALE
güçlükler ortaya çıkmıştır. Direktif’teki
rıza kuralı ile son kullanıcıların ne olduğu
hakkında bir fikir sahibi olmaksızın
izleme çerezlerini kabulünün talep
edildiği, hatta bazı hallerde kullanıcı rızası
olmaksızın çerezlerin terminal cihazından
oluşturulması gibi nedenlerle Direktif’in
amacına ulaşamadığı değerlendirilmiştir.
Rıza alınmasının gerektiği durumlarda,
mahremiyetle ilgisiz uygulamaların da
kapsama dahil edilmesi nedeniyle rıza
alma kapsamının geniş olduğu ve cihazda
erişim veya depolamaya gerek duyulmayan
takip tekniklerinin (örnek olarak; dijital
parmak izi çıkarma) Direktif’te açıkça
yer almaması bakımından eksik olduğu
değerlendirilmiştir (Ayrıca bkz. https://eur-lex.
europa.eu/legal-content/EN/TXT/HTML/?uri=
CELEX:52017PC0010&from=EN).
Öte yandan, E-Gizlilik Direktifi’nden farklı
olarak taslak durumda olan E-Gizlilik
Tüzüğü’nün 8’inci maddesinin birinci fıkrası
ile, son kullanıcı tarafından talep edilen bilgi
toplumu hizmetinin sağlayıcısı tarafından bu
ölçümün yapılması şartıyla, analitik ölçüm
amaçlı olarak dijital parmak izi kullanımını da
rıza gerektirmeyen istisna haller kapsamına
alınması öngörülmektedir. E-Gizlilik
Direktifi’nde ise böyle bir istisna duruma
cevaz verilmemektedir. Taslak Tüzük’e ise
web ölçümü ayrıca bir istisna hükmünün
eklemesi öngörülmektedir. Taslak Tüzük
çerçevesinde analitik amaçlı olarak bilgi
toplumu hizmeti sağlayıcı tarafından dijital
parmak izi kullanımı mevcut ise kullanıcı
rızasına gerek olmadığı savunabilecektir.
Halen uygulamada olan 2002/58/AT sayılı
Direktif’in yerine geçmesi beklenen E-Gizlilik
Tüzüğü hakkında ise henüz mutabık
kalınamamıştır.
Dijital parmak izi kullanımında toplanan
benzersiz dijital parmak izlerinin kişisel veri
niteliği göz önünde bulundurulduğunda,
GVKT de uygulama alanı bulacaktır. Bu
çerçevede, konum takibi tabanlı reklamcılık
veya davranışsal reklamcılık, profilleme
faaliyetleri için dijital parmak izi kullanımı
varsa hem 2002/58/AT sayılı Direktif hem
de GVKT açısından rıza alınmasının gerekli
olduğu anlaşılmaktadır.
6698 SAYILI KİŞİSEL
VERİLERİN KORUNMASI
KANUNU
Kişisel Veri
6698 sayılı Kişisel Verilerin Korunması
Kanunu’na göre kişisel veri; “kimliği belirli
veya belirlenebilir gerçek kişilere ilişkin her
türlü bilgi”dir. Kanun büyük ölçüde 95/46/
AT sayılı Direktif’e dayalı olarak hazırlanmış
olup kişisel veri kapsamı oldukça geniş
tutulmuştur. Kişisel veri kavramının
yorumlanması açısından kanun koyucunun
iradesini anlamak amacıyla incelenen
Adalet Komisyonu Raporunda; kişisel veri
kavramının kapsamı itibarıyla çok geniş
bir alanda tezahür ettiği belirtilmektedir.
Kanun’un ana unsuru olan kişisel verinin
kapsamını yorumlarken teknolojinin değişen
gerçeklerini göz önünde bulundurarak
Kanun koyucunun iradesinin zamana göre
yorumlanması doğru olacaktır. Bireyleri dijital
ortamda takip etmek amacıyla kullanılan
benzersiz bir tanımlayıcının eğer onlar
üzerinde bir etkisi varsa kişiselleştirilmiş
içerik sunuluyorsa, birey için ortaya çıkan
herhangi bir etkisi varsa ya da muhtemelse ya
da birey bakımından herhangi bir sonuca yol
açıyorsa bu tanımlayıcının ve bu tanımlayıcı
ile ilişkili toplanan bilgilerin kişisel veri olarak
ele alınması gerektiği değerlendirilmektedir.
Davranışsal reklamcılık, satış veya pazarlama
veya analitik amacıyla izleme, güvenlik, kimlik
doğrulama vb. amaçlarıyla dijital parmak izi
çıkarımında kullanıcının belirli bir kesinlik
derecesiyle benzersiz olarak tanımlanması
gereklidir. Kişinin dijital parmak izi
aracılığıyla kitle için tekil hale getirilmesi ile
kişi hakkında çıkarım yapılması ya da kişiye
belirli bir şekilde davranılması kişisel veri
işlenmesini de gerektirecektir. Dijital parmak
izi aracılığıyla toplanan bilgiler, kişi bakımından
sonuç doğurabilecek veya içerik bakımından bu
kişi hakkında olabilecektir. Hatta dijital parmak
izi aracılığıyla takip edilen kişi hakkında elde
edilen bilgiler kişinin kimliğinin belirlenmesine
yol açabilecektir. Benzersiz dijital parmak izleri
ile kişinin tekilleştirilmesi, kişi hakkında bilgi
toplanması ve hakkında çıkarım yapılmasının, Kanun
kapsamında kişisel veri işlenmesini gerektireceği
yönünde değerlendirilmesi yanlış olmayacaktır.
Veri sorumlusu – Veri İşleyen
Web hizmetlerinin verilmesi esnasında üçüncü
taraf içeriklerin bulunması nedeniyle kişinin profil
bilgilerine göre reklamların gösterimi amacıyla
çevrim içi takibe imkân veren web sitesi yayımcısı,
web hizmetini kullanan ilgili kişinin kişisel verilerini
üçüncü tarafa aktarmaktadır. Üçüncü taraf
diğer sitelerde kullanıcıyı takip ederek elde ettiği
verileri, çevrim dışı elde ettiği diğer veriler ile
birleştirebilmektedir. Bu sayede kişiye profiline göre
içerik gösterilebilmektedir. Bu türlü bir gözetimin
farklı amaçları olabilecektir. Web hizmetlerinin
sunumu esnasında tarafların birlikte yakınsak
kararlar verdiği sürece ortak veri sorumluluğu
meydana gelebilecektir.
“Kurulun 23.12.2021 tarihli ve 2021/1304 sayılı
Kararı”nda (2021); yazılım olarak bulut servisi
veren araç kiralama için yazılım sunan şirket ile
araç kiralama hizmeti veren şirketlerin ortak veri
sorumlusu olduğu değerlendirilmiştir. Karara konu
olayda araç kiralama yazılımı hizmeti sunan firma
teknik destek ve yazılımın bakımı konularında araç
kiralama şirketlerine destek vermektedir. Araç
kiralama şirketlerinin yalnızca içerik yani veri girişi
yapma ve kaydetme bakımından denetim yetkisine
sahip olduğu ve araç kiralama yazılımı sunan şirketin
bu elde ettiği verileri işleyerek diğer araç kiralama
firmalarına aktarabildiği ve “kara liste” mekanizması
aracılığıyla verinin işleme amacında araç kiralama
şirketlerinin ve yazılım firmasının sonucundan her
iki tarafın da fayda gördüğü veri işleme süreciyle
ilgili kararlar aldığı ve iş birliği içinde hareket ettiği
göz önünde bulundurulduğunda taraflar ortak
veri sorumlusu olarak yorumlanmıştır. Kararda,
araç kiralama şirketlerince kullanılan söz konusu
programa veri girişi yapıldığı ve yazılım şirketinin
“kara liste” oluşturulmasında araç kiralama
şirketlerinin girmiş olduğu bu verilerden faydalandığı,
“kara liste” uygulamasından programı satın alan tüm
şirketlerin faydalanabildiği hususu açıklanmıştır.
Davranışsal reklamcılıkta reklam gösterimi amacıyla
dijital parmak izi kullanımı söz konusu olduğunda,
web hizmetini sunan web sitesi yayımcısı tarafından
ilgili kişi verileri üçüncü tarafa iletilecektir. Böyle bir
durumda, web sitesi yayımcısının üçüncü tarafa
aktarılan kişisel veriler bakımından üçüncü tarafla
birlikte hareket etmesi söz konusu olacağı için
üçüncü tarafla birlikte ortak veri sorumlusu olması
gündeme gelebilecektir. Web sitesi yayımcısının
bu sorumluluğunun, kişisel verilerin işlenme amacı
ve yöntemini etkin bir şekilde birlikte karar verdiği
faaliyetler için sınırlı olduğu değerlendirilmektedir.
Teknik destek amacıyla bir hizmet sağlayıcıdan
dijital parmak izi çıkarımı yapan ürünler satın
alınabilmektedir. Örneğin bankacılık hizmeti
veren bir şirketin satın aldığı güvenlik çözümünde
dijital parmak izi doğrulama mekanizması
kullanılmaktadır. Bu güvenlik çözümünü sağlayan
şirket, sadece teknik destek verdiği ve hizmet
sağladığı işletmelerden aldığı verileri kendi amaçları
doğrultusunda kullanmadığı ve üçüncü taraflarla
paylaşmadığı sürece veri işleyen olması gündeme
gelebilecektir.
İşleme Şartları
Dijital parmak izi kullanımıyla ilişkili olarak 5809 sayılı
Elektronik Haberleşme Kanunu (EHK) yer almakta
olup 2002/58/AT sayılı Direktif’in 5’inci maddesinin
üçüncü fıkrası ile EHK’nin 5’inci maddesinin
üçüncü fıkrası arasında kısmi bir uyum gözetildiği
değerlendirilmektedir. Çerezde olduğu gibi dijital
parmak izi kullanımında da EHK kapsamında bazı
yükümlülükler doğabilecektir. Bu yüzden Kanun ile
EHK arasındaki ilişkinin ortaya konulması, kişisel
veri işleme şartı ve genel ilkelere ilişkin olarak
doğru tespit yapma imkânı sağlayacaktır. Bu
konudaki görüşlerden birisi EHK’nin öncelikli olarak
ele alınması gerektiği, ancak Kanun’un getirdiği
yükümlülüklerin de uygulanmaya devam edilmesi
gerektiğidir (Çekin, 2019).
EHK’nin 51’inci maddesine baktığımızda; “(3)
63 62
» KVKK Bülten
-- 32 of 40 --
» MAKALE
Elektronik haberleşme şebekeleri,
haberleşmenin sağlanması dışında
abonelerin/kullanıcıların terminal cihazlarında
bilgi saklamak veya saklanan bilgilere erişim
sağlamak amacıyla işletmeciler tarafından
ancak ilgili abonelerin/kullanıcıların
verilerin işlenmesi hakkında açık ve
kapsamlı olarak bilgilendirilmeleri ve açık
rızalarının alınması kaydıyla kullanılabilir.
(…)” şeklinde düzenlendiği görülmektedir.
Söz konusu madde E-Gizlilik Direktifi’nin
5’inci maddesinin üçüncü fıkrası ile kısmen
uyumlu olsa da maddenin uygulama alanının
işletmecilerle sınırlandığı ve web sitesi
yayımcılarının kapsam dışında bırakıldığı
anlaşılmaktadır.
Bununla birlikte, EHK’nin işletmeciler için
özel kanun niteliğinde olması nedeniyle
işletmeciler tarafından dijital parmak
izi kullanımı söz konusu olduğunda,
öncellikli olarak EHK’nin uygulanabileceği
düşünülmekle beraber, kişisel veri işlenmesi
noktasında ise Kanun’un uygulanarak kişisel
veri işleme şartları bakımından,
» Açık rıza veya
» Veri sorumlusunun dijital parmak izi
aracılığıyla kişisel veri işleme faaliyeti için
Kanun’un 5’inci ve 6’ncı maddelerinde
sayılan diğer veri işleme şartlarının
göz önünde bulundurulmasının uygun olacağı
değerlendirilmektedir. Haberleşmenin
sağlanması noktasında işletmeci
tarafından dijital parmak izi aracılığıyla
kişisel veri işlendiği durumda, Kanun’un
5’inci maddesinin ikinci fıkrasında yer alan
“Kanunlarda açıkça öngörülmesi” işleme şartı
dahilinde kişisel verilerin işlenmesi gündeme
gelebilecektir. Ancak, Kanun’un 4’üncü
maddesi dahilinde “amaçla bağlantılı, sınırlı
ve ölçülü” ve “hukuka ve dürüstlük kuralına
uygun” ve “ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre
kadar muhafaza edilme” ilkelerine uygunluk
gözetilmelidir. Örneğin; dijital parmak izi
aracılığıyla konum verilerinin toplanması
gibi bir durumda elektronik haberleşme
mevzuatındaki saklama sürelerine uygunluk
gözetilmelidir.
Web hizmetleri söz konusu olduğunda
hizmet sağlayıcı tarafından bir web
sitesinde/uygulamasında birçok hizmetin bir
arada verilmesi sık rastlanan bir durumdur.
Kişi tarafından açıkça talep edilen bir
çevrim içi hizmetin sunulması için kesinlikle
gerekli olarak dijital parmak izi çıkarımı
söz konusu olduğunda, kişisel verilerin
sözleşmenin (örneğin üyelik sözleşmesi veya
satış sözleşmesi) kurulması veya ifası için
taraflara ait kişisel verilerin işlenmesinin
zorunlu olması işleme şartı dahilinde
işlenmesi gündeme gelebilecektir.
KİŞİSEL VERİLERİN
KORUNMASI AÇISINDAN
RİSKLER VE ÖNLEMLER
Web’in kuruluş fikirlerinden birisi de herhangi
birinin, cihazdan bağımsız olarak büyük çaptaki
makineler ağına erişebilmesiydi. Makinelerin
birbirileri arasında iletişim kurmasının evrensel
bir yoluna ihtiyaç duyulmasından kaynaklı
olarak 1990’ların başında HTTP ve HTML
standartları ortaya çıkmış, bunun akabinde
bu standartları destekleyen tarayıcılar
geliştirilmiştir. Bu süreçte platformlar ve
tarayıcılar, yeni eklenen özelliklerin tümünü
desteklemediler. Ortaya çıkan uyumluluk
sorunlarını önlemek amacıyla ise HTTP
protokolüne kullanıcı-aracısı-başlığı (user-
agent-header) eklenmiştir. Kullanıcı aracısı
başlığı, geliştiricilerin tarayıcı sınırlamalarını
dikkate almasını sağlayan cihazlar arasındaki
farklılıkları belirten ilk bilgi parçası olarak
kabul edilebilir. 90’lı yılların ortalarında web
sayfalarını daha dinamik yapmak amacıyla
JavaScript olarak adlandırılan script
programlama dili kullanılmaya başlandı.
Böylelikle örneğin tarayıcı, doğrudan kullanıcı
cihazının işletim sisteminin zaman dilimi
bilgisine ulaşabildi. Tarayıcılar birçok modern
API’nin kullanılmasıyla beraber, multimedya
içerikleri de uyumlu bir şekilde görüntülemeye
başlamışlardır (Laperdrix ve diğerleri, 2020).
Tarayıcıların cihaz bağımsız olarak çalışabilmesi,
kullanıcı deneyiminin iyileştirilmesi, zengin içerik
görüntüleme fırsatlarını sunabilmesi kullanım
açısından olumlu olsa da eklenen özelliklerin
kullanıcı mahremiyetini etkilediği ve kullanıcının
Web’te anonim kalabilmesini zor bir hale getirdiği
söylenebilecektir. İşlevsellik ve mahremiyet arasındaki
dengenin kurulabilmesi kullanıcının mahremiyetinin
korunması açısından önemlidir. Dijital parmak izi
çıkarımının, kişi için görünmez ve anlaşılması zor
bir teknik olduğu açıktır. Bu yüzden, dijital parmak
izi aracılığıyla kişisel verilerin işlenmesi hususunda
farkındalığın oluşturulması ve kişisel veri güvenliğinin
sağlanması açısından önlemler konusunda kişilerin
bilgilendirilmesi gerekmektedir. Bu konudaki mevcut
risklerin somut bir şekilde ortaya koyularak bu
risklere karşı alınabilecek önlemlerin tartışılmasının
veri sorumluları, ilgili kişiler, teknoloji geliştiriciler
ve üreticileri, politika yapıcılar adına faydalı olacağı
değerlendirilmektedir.
Dijital Parmak İzi Teknolojisi Bakımından Kişisel Veri
Koruma Riskleri
Aktif veya pasif dijital parmak izi aracılığıyla
kullanıcının tekil hale getirilerek internet tarama
alışkanlarının izlenmesi yoluyla elde edilen bilgiler,
çevrim içi veya çevrim dışı olarak başka verilerle
birleştirilebilmektedir. Veri komisyoncuları, kişisel
verileri toplayarak ve verilerin ticaretini yaparak veri
setlerinin birleştirilmesinde rol oynamaktadır.
Tomasz Bujlow ve ark. tarafından kişinin çevrim içi
olarak takibinin değerli olduğu, bu oluşturulan dijital
kimliğin kişinin adı soy adı, sosyal güvenlik numarası
gibi bilgilerle eşleştirilmesi sonucunda takip edilen bir
kişinin kimliğinin belirlenmesinin ise daha kârlı olduğu
belirtilmiştir (Bujlow, Carela-Español, Solé-Pareta, ve
Barlet-Ro, 2017). Toplanan veriler birçok yolla başka
verilerle birleştirilerek satış ve pazarlama dahil olmak
üzere çeşitli amaçlarla kullanılabilmektedir. Bunlar
arasında üçüncü taraf servisler, üçüncü taraf sitelere
bilgi sızıntısı, veri ihlalleri, şirket birleşmeleri olarak
sıralanabilmektedir.
Google, Facebook, Youtube gibi dijital platformlara
üyelik bulunması halinde, dijital platformun tutmuş
olduğu veriler ile çevrim içi diğer tanımlayıcı ile
toplanan bilgiler birleştirilebilmektedir. Dijital
platforma henüz hesabına girişi olmayan bir kullanıcı
için dijital platform tanımlayıcısı dışında herhangi
bir tanımlayıcı ile kullanıcıyı takip ettiğini ve onun
hakkında bilgi topladığını düşünelim, kullanıcı daha
sonrasında dijital platformdaki hesabına giriş
yaptığında ise bu tanımlayıcı aralığıyla halihazırda
toplanan bilgiler ile dijital platform nezdinde var olan
bilgiler birleştirilebilecektir.
Öte yandan, bir internet sitesinde bulunan üçüncü
taraf reklamlar, analitik servisler gibi gömülü içerikler
aracılığıyla HTTP başlıkta (HTTP header) yer alan
referans alanı (referrer field) (Mevcut istek yapılan
siteye hangi siteden yönlendirildiği bilgisini içerir.)
için tanımlanan politika sebebiyle üçüncü taraflara
kişisel veri sızıntısı olabilmektedir. Bir kişi A internet
sitesinde bulunan bir bağlantı aracılığıyla B internet
sitesine ulaştığında, B internet sitesinde bulunan
analitik servis, referans alanı için tanımlanan politika
sebebiyle referans alanı bilgisine sahip olabilmektedir.
İnternet sayfasında gömülü olan üçüncü taraftan
alınan resim, iframe (Bir internet sayfasına doküman,
video ve interaktif medya yerleştirmenizi sağlar.
Örneğin Youtube’da bir videoyu internet sitesine
yerleştirmeniz halinde, Youtube bu videoyu size
iframe öğesi içinde sağlar ve bu öğeyi sitenizin
