I. Giriş

Çevrimiçi davranışsal reklamcılık; ziyaret ettiğiniz web siteleri üzerinden sunulan reklamları, size ve ilgi alanlarınıza uygun hale getirmek olarak tanımlayabiliriz. İnternette gezinirken arama motorlarından araştırdığınız bir ürünün veya hizmetin daha sonrasında size reklam olarak gösterildiğini fark ettiniz mi? Hatta arama yapmaya gerek kalmaksızın telefonunuzun yanında bir ürün veya hizmet hakkında arkadaşınızla sohbet ettikten sonra telefonunuzla internette gezinmeye başladığınız andan itibaren üzerine sohbet ettiğiniz şeyin size reklam olarak gösterildiği durumlarla karşılaştınız mı?

İnternete ulaşım sağlayan her birey bahsedilen durumlarla hayatında en az 1 kere karşılaşmıştır. Karşılaşılan bu durumlar nasıl gerçekleşiyor? Nasıl bizim arama yaptığımız şeyi öğrenip bize sonrasında reklam olarak sunabiliyorlar? Kişisel verileri koruma kanunu kapsamında çevrimiçi davranışsal reklamcılık kapsamında işlenen verilerimiz nasıl korunmalıdır? Tüm bu soruların cevaplarını sizler için derledik.

II. Yöntemler

Günümüz dünyasında küreselleşen ekonomide reklamcılık sektörü de bir dönüşüm içerisindedir. Bu dönüşüm klasik gazete, televizyon gibi medya araçlarında bireylerin ilgileri, hareketleri, karakterleri gibi öznel niteliklerine bakılmaksızın genel olarak verilen reklamların yerine her bireyin hakkında oluşturulan profile göre özel olarak hazırlanan spesifik reklamların gösterilmesi şekline dönüşmüştür.

Dönüşüme uygun olarak kullanılan yöntemler; bireylerin hareketlerini içeriksel, davranışsal, tekrar, gerçek zamanlı ve demografik gibi hedefleme uygulamaları ile internette gezinme sırasında oluşturulan çerezlerdir.

İçeriksel Hedefleme

Kişisel olarak arama yaptığımız bir web sitesinde öncesinde reklam şirketi tarafından arama yapılan web sitesinin içeriğinin analiz edilmesi sonucunda; tercih ettiğiniz anahtar kelimeler, konu, dil, konumunuz gibi çeşitli faktörlerin arama yaptığımız web sitesiyle eşlenerek karşımıza araştırmama konumuza uygun reklamların gösterilmesidir.

Davranışsal Hedefleme

Bir ürün veya hizmet hakkında araştırma yaparken girdiğimiz web sitesinde; hangi kısımlara baktığımız, nerelere tıkladığımız, farklı günlerde aynı konuda arama yapıp yapmadığımız gibi bulgularla arama yaptığımız konudaki ilgimize uygun reklamların gösterilmesidir.

Tekrar Hedefleme

Bireyin önceki aramalarına veya site ziyaret geçmişine göre sonrasında arama yaptığı konuyla ilgili reklamların karşısına çıkarılmasıdır.

Gerçek Zamanlı Hedefleme

Kullanıcı bilgisayarında/mobil cihazında bulunan çerezler yola çıkılarak elde edilen verilerin anlık olarak reklam verene ulaştırılması sonucunda reklam verenin reklamın ilgili kişiye gösterilip gösterilmemesi hususunda seçim yapabildiği hedefleme yöntemidir.

Demografik Hedefleme

Reklamın konusuna göre, spesifik hale getirilebilmesi amacıyla belirli bir yaş grubu, cinsiyet, ebeveynlik durumu veya hane geliri gibi faktörlere uygun olarak seçilerek sadece ilgili/ilgilenebilecek kişilere reklamın gösterilmesidir.

Çerezler

Reklamcılık/pazarlama çerezleri gibi birçok türü olan çerezler bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları olarak tanımlanabilir. Reklam verenler çerezler vasıtasıyla elde ettikleri bulgular sonucunda bireylere kişiselleştirilmiş reklamlar sunmaktadırlar.

Yukarıda sayılan hedefleme uygulamaları ile çerezlerle sınırlı olmamak şartıyla reklam verenler bireylere kişiselleştirilmiş reklam sunabilmek adına bireylerin; alışveriş alışkanlıklarını, alışveriş sıklıklarını, mesleklerini, yaşlarını, eğitim seviyelerini, cinsiyetlerini, medeni durumlarını, konumlarını gibi verilerini çeşitli yöntemler ve algoritmaların kullanılması suretiyle elde etmektedirler. 

Kullanılan yöntem fark etmeksizin davranışsal reklamcılık faaliyetleri; elde edilen verilerin analiz edilmesi sonucunda bireyin profilinin çıkarılması akabinde çıkarılan profile uygun olan reklamlarla eşleştirilerek, reklamların gösterilmesi aşamalarından geçmektedir.

III. Veri Koruma Hukuku Bakımından İncelenmesi

Avrupa Genel Veri Koruma Tüzüğü

Davranışsal reklamcılık faaliyetleri Avrupa Veri Koruma Tüzüğü’nün (“GVKT”) 4. maddesinde tanımı yapılan profilleme başlığına ve Madde 29 Çalışma Grubu’nun 2/2010 sayılı görüşüne dayandırılmaktadır. 

GVKT m. 4/4’te “Profilleme gerçek bir kişinin işyerindeki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirlik, davranış, konum ve hareketleri ile ilgili hususları analiz etmek veya tahmin etmek başta olmak üzere özellikleri değerlendirmek için kişisel verilerin kullanımından oluşan her türlü otomatik kişisel veri işlenmesidir.” şeklinde tanımlanmıştır. 

Profilleme tanımına ek olarak Madde 29 Çalışma Grubu’nun 2/2010 sayılı görüşünde davranışsal reklamcılığın uygulanabilmesi için belirlenen kriterler;

• Aydınlatma ve açık rıza,
• Çıkış hakkı,
• Anonimleştirme ve anonim hale getirilen verilerin tekrar kullanılabilir hale getirilememesi,
• Amaçla sınırlılık,
• Privacy by design (Tasarımda mahremiyetin sağlanması)
• Özel nitelikli kişisel verilerin ve çocukların kişisel verilerinin korunması” şeklindedir.

Türk Veri Koruma Hukuku Bakımından Davranışsal Reklamcılık

Hukukumuzda kişisel verilerin korunması hususunda temel kaynak 6698 sayılı Kişisel Verilerin Korunması Kanunudur (“Kanun’). Kanun’da GVKT’de olduğu gibi doğrudan bir profilleme tanımı bulunmadığından ötürü davranışsal reklamcılık faaliyetleri için işlenen kişisel verilerin hukuki durumu Kanunun, kişisel verilerin işlenme şartları başlıklı 5. maddesine göre değerlendirilmelidir. 

Kanunun 5/1. maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği belirtilmiş olup adı geçen kanun maddesinin 2. fıkrasında ise açık rızaya gerek kalmaksızın kişisel verinin işlenebileceği durumlar düzenlenmiştir. Açık rızanın tanımı ise Kanunun 3/1-a maddesinde “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. 

Bir veri sorumlusu, davranışsal reklamcılık faaliyeti güdebilmek adına ilk olarak ilgili kişiden Kanuna uygun şekilde belirli bir konuya ilişkin, bilgilendirme yaparak ve ilgili kişinin özgür iradesine dayanan bir açık rıza almalıdır.

Veri sorumlusu veya veri sorumlusunun yetkilendirdiği kişinin, ilgili kişiden açık rıza alma sürecindeki bilgilendirme eylemi Kanunun, veri sorumlusunun aydınlatma yükümlülüğü başlıklı 10. maddesine düzenlenen;

• “Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin, kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• 11. maddede sayılan diğer hakları” hususlarında bilgiler içermesi zaruriyeti vardır.

Ancak bu şekilde ilgili kişiye karşı hukuka uygun detaylı bir bilgilendirme yapılabilir ve ilgili kişi de tam olarak hangi faaliyete karşı açık rıza verdiğini şüpheye yer bırakmayacak şekilde anlayarak açık rıza vermesi durumunda mevzuata uygun şekilde rıza alındığı kabul edilebilir.

Kanunun 5. maddesinin 2. fıkrasında sınırlı olarak sayılan hukuki sebeplerin varlığı durumlarında kişisel verilerin açık rıza gerekmeksizin hukuka uygun şekilde işlenebileceğinin mümkün olacağı düzenlenmiştir.

Kanunun 5/2-c maddesinde “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” durumunda kişisel veri işlemek için açık rıza gereksinimi yoktur. Bu durum özelinde davranışsal reklamcılık faaliyetleri değerlendirildiğinde; veri sorumluları ile kişisel verisi işlenen ilgili kişilerin arasında ihdas edilen sözleşmelerin ana konusunu davranışsal reklamcılık faaliyetlerinin oluşturmaması, davranışsal reklamcılık faaliyetleri hususunun sözleşme maddelerinin içerisine fark ettirilmeden dercedilmesi hali göz önünde bulundurularak davranışsal reklamcılık faaliyeti gerçekleştirmek isteyen veri sorumlusunun adı geçen kanun maddesine dayanamayacağı sabittir.

Kanunun 5/2-f “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde düzenlenen açık rıza gerektirmeyen bir hukuki sebep daha düzenlenmiştir. Bu hukuki sebep davranışsal reklamcılık faaliyeti özelinde incelendiğinde; mezkûr hukuki sebebin somut olaya uygulanabilmesi için ilk olarak veri sorumlusunun meşru menfaati ile ilgili kişinin temel hak ve özgürlükleri arasında bir denge testi yapılmalıdır. Denge testi halinde; davranışsal reklamcılık faaliyetleri kapsamında yapılacak olan takibin niteliği ve yoğunluğunun, ilgililerin temel hak ve özgürlüklerine zarar verebilecek nitelikte olması veri sorumlusunun adı geçen kanun maddesine dayanamayacağı açıktır.

Yukarıda detaylıca açıklandığı şekilde Türk Hukukunda davranışsal reklamcılık faaliyeti gerçekleştirebilmek adına veri sorumlularının, ilgili kişilerden hukuka uygun formda alınmış bir açık rızaya ihtiyacı vardır.

Avrupa ve Türk Hukuku Karşılaştırılması

Yukarıda detaylıca açıklandığı üzere davranışsal reklamcılık faaliyeti GVKT’de profilleme kavramı ve Madde 29 Çalışma Grubu’nun 2/2010 sayılı görüşünde belirlediği kriterler kapsamında ele alınırken Türk hukukunda davranışsal reklamcılık faaliyeti hukuka uygun formda alınmış açık rızaya dayandırılabilmektedir.

Kanun’da doğrudan profilleme tanımı olmasa da aydınlatmanın yapılarak açık rızanın alınması, aydınlatma yapılırken ilgili kişiye haklarının neler olduğunun söylenmesi, Kanunun genel ilkelerinden olan amaçla sınırlılık ilkesine uygun olarak işleme faaliyetinin gerçekleştirilmesi durumları ve diğer durumalar aynı isimle olmasa da farklı isimlerle fakat aynı eylemler Madde 29 Çalışma Grubu’nun belirlediği kriterlerin Türk hukukunda da uygulama alanı bulduğunu göstermektedir.

IV. Davranışsal Reklamcılık Hususunda Verilmiş Önemli Mahkeme/Otorite Kararları

Davranışsal reklamcılık hususunda Avrupa Adalet Divanı 29.07.2019 tarihli ve C-40/17 sayılı kararını vermiştir. Kararın konusu bir Alman çevrimiçi giyim perakende işletmecisi olan Fashion ID’nin web sitesine “Facebook Like” butonu yerleştirdiği akabinde yerleştirilen bu buton neticesinde Fashion ID’nin web sitesini ziyaret eden her kullanıcının Facebook üyesi olup olmadığına bakılmaksızın hatta ‘Beğen’ butonuna tıklayıp tıklamadığından bağımsız olarak, kişisel verilerinin hiçbir aydınlatmaya veya açık rızaya dayandırılmadan Facebook’a iletilmesidir.

Web sitesini ziyaret eden kullanıcıların hepsinin kişisel verisinin Facebook’a iletilmesinin sonucunda web sitesi operatörü olan Fashion ID şirketi tarafından kullanıcıların cihazlarına yerleştirilen küçük çerezler vasıtasıyla Fashion ID’nin ürünlerinin Facebook üzerinde daha görünür şekilde reklam ve tanıtımı yapılmasını sağlamaktadır.

Avrupa Adalet Divanı önüne gelen somut olayda Fashion ID şirketinin Facebook’a aktardığı kişisel verilerin ilk aktarımı husunda ortak veri sorumlusu olduğu, Facebook’un elde ettiği kişisel verileri farklı alıcı gruplarına aktardığında ise Fashion ID’nin veri sorumlusu olarak değerlendirilemeyeceğine karar vermiştir. 

Divan ayrıca Fashion ID’nin ortak veri sorumlusu ve web sitesi operatörü olarak veri sorumlusunun kimlikleri ile veri işleme amaçları gibi belirli bilgileri verinin toplanması sırasında kullanıcılara bildirmesi ile verilerin toplanması ve iletilmesi ile ilgili olarak önceden bir rıza almak zorunda olduğuna dair karar vermiştir.

Divan yukarıda detaylıca açıklanan kararında davranışsal reklamcılık hususunda GVKT’ne ve Madde 29 Çalışma Grubu’nun belirlediği kriterlere uygun şekilde karar vermiştir.

Kişisel Verileri Koruma Kurulu (“Kurul”) 27.02.2020 tarihli 2020/173 sayılı Amazon hakkında karar vermiştir. Kararın konusu kısaca Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı şeklindedir. 

Kurul kararında kısaca; Veri sorumlusunun, ilgili kişilerin iletişim bilgilerini işlemek suretiyle ticari elektronik ileti göndermek hususunda ilgili kişilerin açık rızasını usulüne uygun olarak almadığı, açık rıza dışında da bir işleme nedenine dayanmadığı, diğer yandan üyenin temas kişilerine ait e-posta adreslerinin de bu kişilerin açık rızalarına dayanmaksızın işlendiği, ayrıca veri sorumlusu tarafından Kanunun 4’üncü maddesinde yer alan genel ilkelere aykırı hareket ettiğine ve web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, Kanunun 10’uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğde düzenlenen usul ve esaslara uygun olarak yerine getirilmediği kanaati oluştuğundan ötürü idari para cezası uygulanmasına karar vermiştir.

Karar konu olaydaki veri sorumlusunun, çerezler aracılığıyla davranışsal reklamcılık faaliyeti yürütebilmesi için ilgili kişilerden alınmış hukuka uygun formda bilgilendirilmeye dayanan açık rızalara ihtiyacı vardır

V. Sonuç

Günümüz dünyasında internetin her birey için ulaşılabilir olmasından ötürü her sektörde klasik yöntemler yerine daha fazla bireye ulaşabilmek adına internetle ilişik yöntemlere geçilmeğe başlanmıştır. Reklamcılık sektörü de klasik yöntemler yerine internet üzerinden çeşitli hedefleme araçları ve çerezlerin kullanılması vasıtasıyla kişilere özel reklamcılık faaliyeti sunarak şirketler açısından kaynakların daha etkili kullanılabilmesini sağlamaktadır.

Çevrimiçi davranışsal reklamcılık faaliyetleri her ne kadar şirketler açısından etkili ve karlı bir yöntem olsa da kullanılan hedefleme uygulamaları ve çerezlerin bireylerin mahremiyetleri ile temel hak ve özgürlüklerinin ihlal etmemesine dikkat edilmelidir. Bu çerçevede bireylere hukuka uygun formda bilgilendirmeye dayanan açık rıza metinlerin sunularak onay alınmalı, sunulan bu metinlerde Madde 29 Çalışma Grubu’nun belirlediği kriterlerin bulunması bireylerin mahremiyetlerinin ihlal edilmemesi kapsamında büyük önem taşımaktadır.

---

---