Web Sitesi Gizlilik-KVKK-Çerez Sözleşmesi Oluşturucu Form-Dikkat Edilecekler

Yorum bırakın / Yazan /

En son şu tarihte güncellendi: 29 Mayıs 2023

Eğer bir start-up ya da websitesi işletecek ve belki de gelecekte milyonlarca dolar ciro yapacak bir start-up kuracaksanız , hukuki temelinizin sağlamdan da öte çok güçlü olması lazım. Çünkü internet ortamında attığınız her adımın bir kaydı var. Bu ne demek biliyor musunuz? Eğer ki bir hata yaparsanız bunu rakipleriniz bulur ve kaydetmesine bile gerek kalmadan “Wayback Machine” gibi araçlar ile sizi savcılığa, KVKK kurumuna, rekabet kurumuna şikayet edebilir ya da hakkınızda maddi-manevi tazminat davaları açabilir. Bunun önüne geçmek için sözleşmelerin profesyonelce hazırlanması gerekiyor. Çok basit bir örnek vermem gerekirse mesela son zamanda KVKK kapsamında kişisel verilerin yurt dışına aktarılmasının ancak ve ancak “kişinin açık rızası” ve “yeterli korumanın bulunması veya koruma yoksa kurul izni ile birlikte gereken önlemlerin alınması” şartlarına bağlanmıştır. Bu durum  ticari hayatta ve pratikte inanılmaz büyük zorluklara yol açıyordu. Çünkü düşünsenize bir posta sunucusuna mail göndereceksiniz ve sunucu yurt dışında ve mailde kişisel veri var diyelim. Bu durumda ayaküstü kuruldan izin alacak veya açık rıza için veri sahibine yazıp “merhaba …. bey/hanım mail göndereceğim de bana lütfen mailden yazılı onay verebilir misiniz?

İşte tüm bunlarla uğraşamamak ve deyim yerinde ise “kimseye açık vermemek için” yaptığınız ya da yapacağınız her ticari hamlenin veri aktarımının önceden öngörülmesi ve buna uygun olarak baştan yazılı onay alınması büyük önem teşkil edecektir.

Ayrıca her şey bir yana bu metinlerin “kopyala-yapıştır” olmaması ve olabildiğince özgün olması da gerekmektedir. Çünkü her şeyden önce yeni Google güncellemesi nedeniyle bu metinlerin özgün, farklı ve gelişkin olması SEO açısından önemli bir kriter haline geldi. Özellikle EAT güncellemesiyle Google artık özellikle para-sağlık-hukuk gibi uzmanlık gerektiren ve kişilerin “alışveriş tercihlerini etileyecek konularda çalışan start-up’larda” uzmanlık ve yetkinlik sinyali arar haline gelen Google, bu sinyali tahmin edin bakalım hangi sayfalardan alacak? Hakkımızda, iletişim, Gizlilik ve Çerez politikası ile mesafeli satış sözleşmesi gibi sayfalara o botlar titizlikte bakacak. Nedir ne değildir inceleyecek. Ayrıca her şey bir yana müşteriler de bu sayfaları inceleyecek. 100 müşteriden sadece 1’i okuyor nasıl olsa diye düşünmemek gerek. Çünkü emin olun sizin markanız hakkında konuşacak, yayacak ve sağda solda yorumlayacak olan kişi de o 1 kişidir. Siz ona göre hareket etmeli ve hazırlıklar yapmalısınız. Yoksa biz de biliyoruz çoğu okumuyor bile bu sayfaları.

Arkadaşlar formlar yazı içerisindedir. Bilginiz olsun.

KVKK Kapsamında Gizlilik sözleşmesi formu ve dikkat edilecekler

Arkadaşlar KVKK kapsamında Gizlilik sözleşmesi hazırlarken aşağıdaki hususların bir avukat tarafından irdelenmesi ve dikkat edilmesi gerekir:

  1. Özel nitelikle kişisel veri kaydedilecek veya aktarılacak mı?
  2. Halihazırda kaydedilmiş bulunan kişisel verinin yurtdışına aktarılması söz konusu mu?
  3. Aydınlatma yükümlülüğü kısmında kanunen bulunması zorunlu olan hususlar yer alıyor mu? (veri sorumlusunun kim olduğu belli olacak, neden veri işlendiği güzelce izah edilecek, halihazırda kaydedilmiş bulunan kişisel verilerin kimlere neden aktarılabileceği, sitenizin ve start up firmanızın kişisel verileri hangi yolla toplandığının bildirilmesi, veri sahibinin kanunen hangi haklarının olduğu hususu). Aydınlatma yükümlülüğü tam ve eksiksiz olmalıdır. Bu kısım çok da gözünüzü korkutmasın. Kanunda açıkça neleri aydınlatmanız gerektiğinin “alt başlıkları” yazıyor.
  4. Kişisel verilerden hangilerinin işleneceğinin tek tek yazılması lazım. Ancak dananın kuyruğu işte burada kopuyor. Güvenlik yazılımı kullanıyorsanız, 3. parti izleme programı kullanıyorsanız, Mailchimp gibi mail toplayan 3. parti uygulama var ise, Google Analytics gibi izleme araçları var ise bunların gizlilik politika linkleri ile birlikte tek tek belirtilmesi şarttır.
  5. Yorumlar genelde büyük önem arz ediyor. Çünkü her bir yorum kullanıcı kişisel verisi barındırıyor. Bu yorumların, sahipleri aksini isteyene kadar site yayımda kaldığı sürece görünür olması için KVKK-Gizlilik sayfalarında buna ilişkin bilgilendirmenin yer alması gerekmektedir.

Özetlemek gerekirse; KVKK Sayfasında Muhakkak Bulunması Gereken 4 Şey:

  1. Aydınlatma Metni
  2. Hangi verilerin işleneceği
  3. 3. parti uygulama kullanılıyorsa bunların gizlilik sözleşmesi metinleri
  4. Veri sorumlusu kimlik bilgileri

Kişisel Veri İşlemede İstisna Olanlar, Açık Rıza Kavramı ve Temel İlkeler

Kişisel verilerin kaydedilmesi-aktarılması-yayılması konularında Kişisel Verileri Koruma Kanunu denilen kanunun uygulanmayacağı hususlar Kanunun bizzat kendisinde izah edilmiştir. Nedir bunlar:

  • Aynı konuttaki aile fertleri tarafından yine bu aile fertleri ile ilgili olarak işlenmesi
  • Araştırma-planlama-istatistik amaçları için anonim hale getirilerek işlenmesi
  • Kamu güvenliği, sağlığı, düzeni, ekonomik güvenliği amaçları ile işlenmesi. Burada devlete resmen sınırsız yetki verilmiş. Özellikle istihbarat servisleri resmen sınırsız özgürlük sahibi bu konuda.
  • Bilim, eğitim, tarih, edebiyat, ifade özgürlüğü amacıyla bu verileri kullanmak.
  • Kişisel verilerin yargı mercileri ve kolluk kuvvetleri ve infaz mercileri tarafından işlenmesi

Açık rıza meselesine gelirsek.

Kanunda 4 yerde sadece “açık rıza” söz konusu olursa veri işleneceği ifade edilmiştir. Bunlar ‘genel hal‘, ‘özel nitelikte olması hali‘, ‘yurtdışına aktarma’ halidir.

Açık rıza için ise şu iki hususa dikkat edilmesi yeterlidir. Rızanın açık ve net olarak belli konuya ilişkin olması (öyle genel bir rıza alayım hepsine kullanayım diyemezsiniz, hangi veri işlenecekse tek tek detaylıca masaya yatırılacak), bilgilendirmeye dayanması (aydınlatma metninde yer alan hususlara uygun olarak her şeyin izah edilmesi sonrasında bu rızanın verilmesi lazım) ve özgür irade ile açıklanmasıdır (tehdit, hile ya da başkaca türden bir aldatma olursa bu rıza elbette geçersizdir).

Bir kişisel verinin işlenmesi için temel ilkelere uygun olması şarttır:

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. Kaynak: https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

Bu temel ilkelere uygun olmayan bir veri işlenmesi “açık rıza olsa” bile hukuka aykırı sayılabilecektir. Bu temel ilkelerin çok genel ve soyut olması nedeniyle doğrudan bunlardan kaynaklı bir hukuki ihtilaf olacağını sanmıyorum. Bu kısım kanunda resmen laf olsun diye yazılmış.

KVKK kapsamında Veri Sorumlusunun Yükümlülükleri

Veri sorumlusu denilen kişi kanundan doğan bazı yükümlüklerini yerine getirmek zoruında. Bunlar sırasıyla şunlardır:

  • Bu verilerin hukuka aykırı olarak başka yerlere yayılmasını, kaydedilmesini önlemek görevi vardır (bu durumun önüne geçmek için siber güvenlik yazılımlarınıza özel önem vermelisiniz) .
  • Bu kişisel verilerin hukuka aykırı olarak erişilmesine engel olmak (yine siber güvenliğin ekstra önemi ortaya çıkıyor).
  • Bu verilerin korunmasını sağlamak
  • Veri güvenliğinin sağlanmasında KVKK kurulu ile birlikte müşterek sorumluluk (yani başkası namına hareket ediliyorsa bile o namına hareket ettiği kişi ile birlikte ortaklaşa sorumlu).
  • Veri işleme prosedürü kanuna uygun mu değil mi diye denetimleri yaptırmak zorunda (kişisel veri meselesinden anlayan bir avukata göstermekte fayda var)
  • Verilerin içeriği hakkında sır saklama yükümlülüğü (bir zahmet sır saklasın değil mi?)
  • Bir veri ihlali olursa derhal ve kendiliğinden ihbar yükümlülüğü (bu duruma; ünlü dev firmalarda son zamanlarda çok şahit olmuşsunuzdur, hem müşteri hem itibar kaybı aynı anda yaşanıyor, resmen bir şirket için facia)
  • Veri sahibinin başvurularını güzelce, zamanında cevaplama ve gereğini yapma yükümlülüğü
  • Verbise (o meşhur veri sorumlular siciline) kaydolma şartı. (eğer avukat gibi özel meslek mensubu ya da kanunun aradığı başkaca özel durumlar söz konusu ise bu da şart değil).

Gizlilik Politikası Oluşturucu Form

Aşağıdaki KVKK uyumlu Gizlilik Politikası oluşturucu formu ve çerez politikası oluşturucu formu; sitemizdeki “Gizlilik(KVKK) bildirimi ile site kullanım koşullarını (özellikle form kısmını)” okuduktan ve bu şartlara açık rıza göstermeniz halinde formu doldurunuz. Eğer ki bu sayfaları okumadan doğrudan formu doldurmanız halinde sitemizin “KVKK (gizlilik) ve Kullanım koşulları şartlarımızı” okumaksızın peşinen kabul etmiş ve açık rıza vermiş sayılırsınız. Bu formdaki veriler Google Mail sunucularında ve yurtiçi ya da yurtdışı hosting firmasındaki sunucuda (Almanya’daki sunucularda) depolanacaktır. Bu verileri sildirme ve hangi verilerin kayıt altında alındığını öğrenme hakkınız vardır. Bunun için iletişim sayfamızdaki mail adresine yazmanız yeterli olacaktır. Dilekçe evrakının şifresi için benimle Whatsapp’tan iletişim kurunuz.

    Çerez Politikası Sözleşmesinde Dikkat Edilecekler ve Form

    Öncelikle çerez denilen şeyin ne olduğunu irdeleyelim. Çerez sitenize ziyaret eden kişinin bilgisayarına, tabletine, telefonuna gönderilen bir tür izleme-analiz-değerlendirme yazılımıdır. Bu yazılım tarayıcıda önbellekte tutulur. Bir süre sonra sizin cihazınızın ayarına göre kendiliğinden silinir. Eğer isterseniz bu çereze hiç izin vermez veya tarayıcınıza indirildiği gibi silebilirsiniz. Bu çerez yazılımları genelde “sitede hangi hareketlerin yapıldığının tespiti”, “siteye girdikten sonra hangi sitelere girildiğinin tespiti”, “daha sonra aynı siteye gelinip gelinmediğinin ve eğer gelinirse ne kadar zaman sonra gelindiğinin tespiti”, “cihazınızın özelliklerinin tespiti”, “sitede yapmış olduğunuz birtakım işlemlerin kaydı” gibi amaçlar için kullanılmaktadır. Ancak bu çerezler bazen haddini aşarak kötü niyetli amaçlara hizmet eder hale de gelebiliyor. Ayrıca size söylenen amaçların dışında amaçlara da hizmet edebiliyorlar (mesela çerez yazılımı ile mining yapılması gibi). İşte bu gibi risklere karşı korunacağı garantisini vermek ve kullanıcıya iyi bir deneyim sunacağınızı, onun mahremiyetine haddinden fazla müdahale etmeyeceğinizi taahhüt eden bir çerez politikası sözleşmesi yazıp sitenizde ilk girişte bunu yayımlatmak ve kullanıcıdan çerezlere izin verip vermediği hususunda açık onay almak önem arz etmektedir.

    Nitekim şu an Avrupa Birliği, çerez politikası sözleşmesi için onay alınmasını zorunlu kılmış ve bu zorunluluğa uymayan web sitesi işletelerine çeşitli idari yaptırım uygulanmasını ön görmüştür. Eğer yabancı siteleri sık sık ziyaret ediyorsanız siz de sitelere ilk girişte dev bir pop up ile beliren bu çerez onay sürecine şahit olmuşsunuzdur.

    Hangi tür çerezler kullanılır?

    1. Sayaç Çerezleri-Bu tür çerezler sitenin içerisinde bulunan izleme yazılımları tarafından otomatik oluşturulup tarayıcıya gönderilir. Süreleri uzundur. Siz silmediğiniz sürece 2 seneye kadar izleme ve analiz yapıp bilgi toplayabilir ve yayabilirler.
    2.  Güvenlik Çerezleri-Güvenlik çerezleri oturum süresi boyunca tarayıcıda dururlar. Tarayıcınızdan topladıkları bilgiler ile spam, virüs olup olmadığınızı tetkik ederler ve eğer riskli bir durum var ise ana web sitesindeki yazılıma bilgi verip web sitesine girişi engeller. Bunun haricinde başkaca fonksiyonları da elbette vardır.
    3. Konum algılama tercihleri- Bu çerez türü sizin tarayıcınızdan dil ve konum bilgisi edinmeye çalışır. Ona göre siteye girişinizde bulunduğunuz yere özel içerik sunulur.
    4. Sitedeki son aktivitenin kaydı için çerez- Bu tür çerezleri genelde e ticaret siteleri sepete eklenilen son ürünlerin kaybolmaması için yaparlar.
    5. Reklam Çerezleri-Google Adense gibi servislerin kullandığı çerezler
    6. Performans Çerezleri-Site açılış hızı arttırmak için olan çerezler.
    7. İşlevsellik çerezleri-Sitenin işleyebilmesi için zorunlu olan çerezler.

    Çerez Politikası Neden Önemli?

    Çerezler çoğu zaman zararsızdır. Ancak ne için kullanıldıkları da önem arz etmektedir. Kullanıcı girdilerini takip etmek için olanlar, sitenin işlemesi için şart olanlar ve performans çerezleri genelde zararsızdır. Ancak profilleme amaçlı kullanılan kalıcı çerezler maalesef özel hayatın gizliliği yönünden risklidir. Yine aynı şekilde reklam çerezleri de bu yönde değerlendirilebilir. 4 milyardan fazla internet kullanıcısının olduğu ve 2 milyardan fazla sitenin yayımda olduğu bir yerde milyarlarca çerezin olduğu yerde dev şirketlerin sahip oldukları bilgiyi tahmin bile edemezsiniz.

    E gizlilik direktifi, GDPR (Genel Veri Koruma Tüzüğü), E gizlilik direktifi (Çerez Kanunu), E gizlilik tüzük taslağı şu an Avrupa pazarında yürürlülükte olan çerez politikası onayına ilişkin direktiflerin yer aldığı mevzuatlardır.

    E Gizlilik Direktifinde çerezlere ilişkin şu ifade önem arz etmektedir:

    Direktif m 5/3

    “Bir abonenin veya kullanıcının terminal cihazında bilginin depolanması veya halihazırda depolanmış bulunan bilgilere erişim elde edilmesi, yalnızca ilgili abonenin veya kullanıcının, işlemenin amaçları hakkında açık ve kapsamlı şekilde bilgilendirilmesi neticesinde rızasını vermiş olması koşuluyla mümkündür”

    Yukarıdan anlaşılacağı üzere;

    • bilgilendirme siteye ilk girişte olmalıdır.
    • açık-net-detaylı-görünür olmalıdır.
    • Çerezlerin kullanım amacı,  ne kadar süreyle, hangi süreyle saklanacağı, mevcut ise 3. taraf uygulama çerezleri, kullanıcının bu çerezlerin işlevselliği hakkında sahip olduğu tercihlerin neler olduğu (tümünü veya bir kısmını kabul edip edemeyeceği), kullanıcının gelecekte bu tercihi nasıl değiştirebileceği hususlarının yer alması şarttır.
    • Eğer 3. taraf uygulama var ise onlarla müştereken sorumluluk söz konusu olacağından birbirleri hakkında aydınlatma yapılması şarttır.

     

    Bu çerez rızası; veri işleme başlamadan “ÖNCESİNDE” alınmalıdır. Yine yukarıda KVKK açık rıza kısmında değindiğimiz gibi belli konuyla ilişkin ve aydınlatmaya dayalı olarak, net ve aktif katılımla, belirli konuya ilişkin alınmış olmalıdır.

    Avrupa Birliği yasalarına göre şu hallerde açık rıza alınmaksızın çerez yerleştirilebilir: Kriter A dediğimiz elektronik ağ haberleşmesi sırasında iletişim için şart olan çerezler (gmail, WhatsApp, Skype gibi uygulamalar), kriter B dediğimiz abonenin bizzat kendisinin ya da tüketici tarafıdan talep edilen bilgi toplumu hizmetinin ifası amacıyla yerleştirilmesi zorunlu olan çerezler. Bizim hukukumuzda da sözleşmenin kurulması (satış sözleşmesi) amacıyla sepete eklenen ürünlere, kullanıcı bilgilerine ilişkin kişisel verilerin kaydı için kullanılan çerezlerde açık rıza şart olmayacaktır.

    Ayrıca çerez duvarı dediğimiz kullanıcının içeriği okuyabilmesi için illa ki çerezleri onaylaması gerektiği bir pozisyonun yaratıldığı durumlara, “kullanıcılara adil alternatifler sunma” koşulu ile izin verilmiştir. Bunun dışında bu tip uygulamalar yasaktır. Avrupa Birliği veri yasalarını düzenleyenler, kullanıcılarda rıza yorgunluğu olmaması için basit, net ve kolayca anlaşılabilir tasarımları önermektedir.

    Çerez Politikası Oluşturucu Form

      İlgili İçerikler

      Yorum bırakın

      E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

      Scroll to Top