Hilekar Tasarımlar ve KVKK Kapsamında Açık Rıza

İle Av. Alper Atmaca Mayıs 23, 2019

Hilekar tasarımlar (“Dark Patterns”) arayüz tasarımcısı Harry Brignull tarafından isimlendirilmiş, İnternet hizmetlerinin kullanıcıların iradelerini etkilemek ve kullanıcı aleyhine bir sonucu elde etmek üzere tasarlanan arayüzlere verilen terimdir. Türkçe karşılığını Uğur Arıcı’nın verdiği ve kullanıcının iradesini etkilemeye, engellemeye veya değiştirmeye yönelik doğrudan veya dolaylı tasarım tercihleri bu kapsamda değerlendirilmektedir. Brignull web sayfası Dark Patterns’da sınıflara ayırdığı çeşitli hilekar tasarımları tanımlamakta ve listelemektedir.

Hem General Data Protection Regulation (“GDPR”) hem de paralelinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), kişisel verilerinin işlenmesini kişilerin iradelerine ve bu irade kapsamında bilgilendirmeye dayalı açıkça alınmış rızalarına bağlamaktadır. Bu bakımdan rızanın verilebilmesi hukuk kapsamında iradeye atfedilen niteliklerin yanında bilgilendirmeye ve rıza verilen şartın açık olmasına bağlanmıştır. hilekar tasarımlar ile kullanıcıların iradelerini yönlendirerek, veri sorumlusu tarafından arzu edilen mahremiyetin ikincil olduğu seçeneklerin seçilmesi amaçlandığından kişisel veri koruması bakımından şüpheli bir durum ortaya çıkmaktadır.

Hilekar Tasarımlar

27.06.2018 Tarihli “The Norwegian Consumer Council” araştırması olan “Deceived by Design” çalışması bilişim hizmetlerindeki 3 büyük şirketin kullanıcılarına GDPR kapsamında sundukları seçenekler ve bu seçeneklerin sunuluş biçiminin incelemesini içermekle konu üzerine en kapsamlı çalışmalardan birini oluşturmaktadır. Çalışma hilekar tasarımları, nitelikleri itibari ile 5 sınıfa ayırmaktadır;

  1. Kolaylık

Kullanıcıları belirli bir doğrultuda yönlendirmek amacı ile mahremiyet açısından olumlu işlemleri uzun ve zahmetli süreçlere çevirmek ve dolayısı ile en kolay seçeneğin veri sorumlusunun temel arzusu olan daha fazla kişisel verinin paylaşılacağı seçenek olarak kullanıcıya sunmak olarak tanımlanmaktadır. Bu kapsamda veri sorumlusunun arzusuna yönelik arayüz tasarımları daha göze çarpıcı şekilde tasarlanabileceği gibi alternatif seçeneklerin gizlenmesi, ulaşılmasının zorlaştırılması da bu kapsamda değerlendirilmektedir. Keza kullanıcılar bir hizmeti kullanmaya niyetli olduklarından zor ve zaman alıcı mahremiyet ayarları ile uğraşmak istemeyip doğrudan veri sorumlusu tarafından kolaylaştırılmış yolu seçmeleri olası kabul edilmektedir.

Araştırmanın incelediği bir hizmetin kolay yolu 4 tıklama ile aşılabiliyorken paylaşılacak kişisel veriyi sınırlamak için alternatif yol 13 tıklama gerektirmekte1. Benzer amaçla tasarımsal olarak kullanılan görsellerin olumlu ve olumsuz görünümleri kullanılmakta. Araştırmanın örneği ile veri paylaşmak olumlama amacıyla parlak ampul ile simgelendirilebilirken, paylaşmamak sönük olarak tasvir edilmekte.

  1. İfade Kurgusu

Aydınlatma yükümlülüğü yerine getirilmesi esnasında kişisel veri işlenmesinin iyi yönlerini baskın şekilde belirtip, olası mahremiyet sorunlarını sümenaltı etmek veya hiç bahsetmemek ile kullanıcının hayır diyemeyeceği bir kurgu yaratmak hilekar bir tasarım olarak anılmaktadır. Bu bakımdan güvenlik ve erişim kolaylıkları gibi kullanıcıların üzerine düşünme ihtiyacı hissetmedikleri ama kendileri için iyi sonuçlar getireceğini bildiği özelliklere erişilmesi için veri talep edilmesi buna örnek verilebilir.

  1. Ödül ve Ceza

Kullanıcıları, kişisel verilerini paylaşmaları karşılığında işlenecek veri ile bağlantısı olmayan bir işlev ile ödüllendirmek, veri paylaşımına rıza göstermemeyi hizmete erişmemek veya kısıtlı erişmek ile cezalandırmak olarak tanımlanmaktadır. İnternet hizmetleri bakımından tekelleşmenin ilerlediği günümüzde, hizmetin bir başka alternatifinin olmaması veya diğer alternatiflerin işlevselliklerinin yeterli olmaması sebebi ile “istersen al istersen alma” tavrı olarak ifade edilebilecek bir zorlamaya imkan doğmaktadır. Veri işlemeyi bu anlamda neredeyse şart kılan hizmetler kullanıcılarını istedikleri yöne sürükleyebilmektedir.

  1. Zamanlama ve Emrivaki

Kullanıcılara yönelik aydınlatma ile rıza işlemlerini, hizmetlere ulaşmak istedikleri ve muhtemelen zaman sınırı olan işlemler gerçekleştirilmek istendiği sırada sunmak olarak tanımlanabilir. Kişilerin dar zamanını kullanmak olarak tanımlanabilecek bu yöntemde, kullanıcıyı hizmete erişmesinde rıza almadan engel olmak ve işlemi kişilerin daha zamanlıca karar verebilecekleri ileri bir tarihe erteleme imkanından alıkoymakla kişileri en kolay seçenek olan kabule zorlamak amaçlanmaktadır. Bu kapsamda bir hizmetin kullanıcılarına olmayan bildirim ve mesajları, aydınlatma ve rıza işlemleri gerçekleştirildiği sırada varmış gibi gösterildiği bile tespit edilmiştiri2.

  1. Hakimiyet Tiyatrosu

Kullanıcıları paylaştıkları verileri konusunda hakimiyet sahibi göstermek etkili şekilde kişilerin verilerini paylaşmak konusunda teşvik etmenin bir yöntemi olarak kullanılmakta. Bu amaç altında kişilerin verilerinin hakimiyetinde olduklarına yönelik yanıltıcı veya eksik imkanlar tanınması veya aşırı özelleştirilmiş, karmaşık bir kontrol sistemi tasarlanarak kullanıcıların kaybolması ve caydırılması hedeflenmektedir.

Araştırmanın örneği ile karmaşık bir kontrol sistemi tasarlayan bir veri sorumlusunun sunduğu hizmette kullanıcının tüm verilerin silinmesi için gereken bağlantıyı bulmasının 30 ile 40 tıklama arasında emek gerektirdiğini tespit etmiştir3.

Hukukta Rıza Kavramı ve Koşulları

Rıza Türk Dil Kurumu tarafından; “Razı olma, isteme, istek ve onam” olarak tanımlanmıştır. Her hukuk ilişkisi gibi bir ilişkiye veya sözleşmeye rıza verebilmek, irade beyanı ile gerçekleştirilir ve beyanın geçerliliği iradenin geçerliliği ile bağlantılıdır. KVKK madde 3/a; rızayı açıklarken; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı” tanımını kullanmaktadır.

İrade yine Türk Dil Kurumu tarafından; “Bir şeyi yapıp yapmamaya karar verme gücü, istenç” olarak tanımlanmıştır. İrade, borçlar hukukunun kapsamında bir kavram olarak Prof. Dr. Ahmet M. Kılıçoğlu tarafından şu şekilde tanımlanmıştır;

Hukuksal işlem öncelikle bir iradenin varlığını gerektirir İrade, insanlara özgü bir zihinsel faaliyettir. Böyle bir faaliyetin borç doğurabilmesi için, sağlıklı bir şekilde oluşması zorunludur. İradenin sağlıklı bir şekilde oluşması öncelikle hukuksal işlem ehliyetini gerektirir. Öte yandan, iradenin oluşma aşamasında kişinin serbest ve özgür bir zihinsel faaliyetinin ürünü olması zorunludur. Aksi halde, birinci halde hukuksal işlem ehliyetsizlik nedeniyle, ikinci halde ise irade bozukluğu (temel hatası, hile gibi) nedeniyle geçersiz hale gelecektir.

Tanımda bahsedilen irade bozukluklukları arasında Borçlar Kanunu madde 36 ve 37’de tanımlanan aldatma ve korkutma bulunmaktadır ve hilekar tasarımların etkisi tam olarak bu kapsamda bulunmaktadır;

MADDE 36- Taraflardan biri, diğerinin aldatması sonucu bir sözleşme yapmışsa, yanılması esaslı olmasa bile, sözleşmeyle bağlı değildir.

MADDE 37- Taraflardan biri, diğerinin veya üçüncü bir kişinin korkutması sonucu bir sözleşme yapmışsa, sözleşmeyle bağlı değildir.

Tüm tanımlar gereği rıza verilebilmesi, tarafın özgürlüğünü ve rızasının hukuki sonuçları hakkında makul şekilde bilgili olarak farkındalık gerektirmektedir. İnternet üzerinden verilerin tüm hizmetler ve bu hizmetlere bağlı olan hukuki ilişkilerde rıza talep edilecek araç ve ortam kullanıcıların sistem ile temas kurdukları arayüzdür. Arayüzün tasarımı bu noktada teknik bir koşul olma durumunu aşarak hukuki bir nitelik kazanmaktadır.

Belirtilen kapsam dahilinde, rıza kavramı ve rıza gösterilmesinin koşulları ilgili metinlerde şu şekilde tanımlanmıştır;

KVKK Madde 3/a: GDPR Recital 32:
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement.

İki metinden de rıza ve rıza verilmesinin şartları şu şekilde özetlenebilir;

  1. Belirli bir konuya ilişkin olması
  2. Rızanın bilgilendirmeye dayanması
  3. Özgür iradeyle açıklanması
  1. Özgürce
  2. Belirli
  3. Bilgilendirilmiş
  4. Açıkça ve olumlu bir hareketle verilmesi

GDPR’ın açık ve olumlu bir hareket ile rıza iradesinin gösterilmesi gerekliliği, veri sahibi kişileri koruma amaçlıdır. Bu anlamda rızanın olumlu bir hareketle verilmesi gerekliliği aynı zamanda kişilerin dikkatsizliklerinden veya ilgisizliklerinden faydalanılarak hileli şekilde irade alınmasının önüne geçmektir.

Veri Koruma Kurumlarının Yaklaşımı

Kullanıcıların, verilerinin veri sorumlusu tarafından işlenebilmesi için hukuki uyumu sağlayacak aydınlatma ve gerektiği durumlarda açık rıza alınması gibi işlemlerin pratik olarak nasıl uygulamaya alınacağı, uygulamadaki veri koruma sorumluları tarafından yapılan inceleme ve alınan kararlarla şekillenmektedir. Kullanıcı arayüzü tasarımları ve bu tasarımların kullanıcının iradesi üzerindeki etkilerine yönelik çeşitli mihenk taşı kararlar bulunmaktadır.

  1. Hollanda Veri Koruma Kurumunun Çerez Kararı

    Kullanıcıların web gezintilerinin takibi için tasarlanan ve elde edilen veri ile kişiselleştirilmiş reklamların hedeflenmesi sağlanan takip çerezleri, kullanıcıların mahremiyetine yönelik ilk dikkat çeken ve düzenleme altına alınan teknolojilerden biridir. Avrupa Birliği’nin 2002 tarihli “Privacy and Electronic Communications” yönergesi çerez teknolojilerinin mutlak gerekli olanlarının dışındaki her kullanımı için olumlu eylem ile kullanıcılarının rızasının alınması gerektiğini düzenlemiştir.

Hollanda Veri Koruma Kurumu 7 Mart 2019 tarihli kararı ile takip sistemlerini onaylamamanın bir web sayfasına erişimin engellenmesi ile karşılanması durumunda kullanıcıların gerçekten özgür bir tercihi olmadığını ve bu kapsamda alınan rızanın geçerli sayılamayacağı için veri koruma mevzuatına aykırı olduğuna karar vermiştir.

  1. Fransız Veri Koruma Kurumunca Google’a Kesilen Ceza Kararı

21 Ocak 2019 tarihinde Fransız Veri Koruma kurumunca Google limited şirketine kesilen 50 milyon Avro’luk ceza ile aydınlatma ve rıza talebinin usulüne ilişkindir. İlgili kararda Google’ın Android işletim sistemi ile çalışan donanımlarda kendi hizmetlerini ve bu hizmetlere bağlı olarak kişisel veri toplanmasını dayatması tartışılmıştır. Tartışma sonucunda Google’ın aleyhine verilen kararla, şirketin veri toplamak için yaptığı aydınlatma ve rıza talebi işlemlerine ilişkin de ilerici bir karar verilmiştir.

Karar ile kullanıcıların hesap oluştur seçeneğine alternatif olarak “diğer seçenekler” altında imkanlar sunulduğu, bu imkanlar ile kullanıcılara gerekli ayarları yapma sorumluluğu yüklendiği, kullanıcılara standart ayarlar dahilinde mahremiyet karşıtı seçenekler sunulduğu ve kullanıcının olumlu hareketi (“opt-out”) ile bu ayarları değiştirmesinin zorunlu olduğu, diğer seçeneklere tıklamayan kullanıcıların ise tüm koşulları kabul ederek hesap oluşturmak zorunda oldukları tespit edilmiştir. Bu kapsamda kullanıcıların varsayılanlara gizlenmiş ve erişilmesi kullanıcı tarafından eylem gerektirecek şekilde seçenek ve bilgilendirmenin sunulması ihlal olarak değerlendirilmiştir.

  1. Avusturya Veri Koruma Kurumunca Facebook Aleyhine Verilen Karar

Söz konusu karar; Facebook’un bir veri sorumlusu olarak kişilerine sunduğu hizmetler aracılığı ile paylaşmadıkları sonuçların da dolaylı olarak üretilebileceği önemli derecede veri işleyen bir veri sorumlusu olduğu tespiti ile başlayıp, şirketin kullanıcılarına sunduğu GDPR kapsamındaki rıza talebinin kullanıcıyı rıza vermeye zorladığı yöntemleri tespit etmektedir. Karara göre Facebook; GDPR kapsamında yasal işleme şartlarını belirli olarak belirtmeden kullanmakta, rıza gerektiren veri tiplerini de kapsamak üzere topluca rızaya zorlamakta, kullanıcı sözleşmesine “rıza onayı” gizlemekte, kullanıcıyı onay vermekle hizmeti terk etmek arasında tercihe zorlamakta, onay sırasında olmayan mesaj ve bildirimler varmış izlenimi yaratmak için arayüz tasarımını değiştirmektedir.

Kararın hukuki incelemesi esnasında Kurum Facebook’a yöneltilen şikayeti 4 temele dayandırmakla, dayandırdığı temeller sırasıyla;

  1. Açık Güç Dengesizliği

    1. Baskın sektör hakimiyeti
    2. Ağ etkisi (“network effect”)
    3. Veriye hakimiyet (“lock-in”)

  2. Koşullu Hizmet (“take it or leave it”)

  3. Toptancılık (“all or nothing”)

  4. Zararsız Ret imkanı (“cezalandırma”)

    Kararca sayılan tüm gerekçeler ve Facebook’un veri işleme uyumluluğuna ilişkin verilen karar, kanuna aykırı, hilekar tasarımlarla desteklenmiş aldatıcı ve zorba bir işlem olduğunu ifade etmektedir.

Arayüz Tasarımının Rıza Aracı Gerekliliklerinin Tespiti

Tüm sistemlerin kullanıcı arayüzü, veri sorumlularının kullanıcıları olan ilgili kişiler ile temas ettiği noktadır. Bu bakımdan veri koruma hukuku bakımından gerekli işlemlerin ve geçerliliklerinin de dayanacağı temel noktalardan birini de oluşturmaktadır. Arayüz tasarımını bir hizmetin hukuki temelinden ayrı bir unsur olarak görmek ve iki işi ayrı süreçlerle sürdürmenin sakıncalı olduğu kabul edilmelidir. Bu bakımdan bir hizmetin arayüz tasarımı ile KVKK ve GDPR gibi veri koruması hükümleri getiren hukuk sistemlerine uyumluluk göstermesi için gereken koşulların irdelenmesi gereklidir.

  1. Mahremiyet Temelli Tasarım (“Privacy by Design”): Avrupa veri koruma kültürünün bir kavramı olarak mahremiyeti temel alan ve bu koşula aykırı olacak her uygulamanın istisna kabul edileceği bir tasarım algısını ifade etmektedir mahremiyet temelli tasarım. Veri paylaşımı esas değil istisna olandır. Söz konusu kavramı arayüz ve bağlı tüm sistemlerin tasarımı için temel almak, sunulan hizmetin uyumluluk koşullarını sağlamasını ve uygulamasını olabildiğince kolaylaştıracaktır. Kullanıcılara olası en yüksek mahremiyeti sağlayıp, olumlu girdileriyle kişisel verilerinin işlenmesinin sağlayacağı imkanları gösterip işlemeye ilişkin gerekli aydınlatmayı yaparak ilerlemek akış açısından en verimli yöntem olduğu kadar uyumluluğun da şartıdır.

  2. Arayüzlerin Mümkün Olan En Kolay Şekilde Tasarlanması: Kullanıcıların İnternet hizmetlerine ilişkin alışkanlıkları hep kolaylık üzerine kurulmuştur. Bu bakımdan İnternet’in yaygınlaşmaya başladığı günlerden beri söylem her zaman sunulan hizmetlerin hayatımızı kolaylaştıracağı olduğundan günümüz kullanıcısı ortalama zahmet beklentisinin üzerindeki durumlarda sabırsızlanma ve kısa yollara başvurma eğilimi göstermektedir. Hilekar tasarımların kötüye kullandığı bu hususu iyi şekilde kullanmak da mümkündür. Arayüzlerin kişilerin geçmeleri gereken süreci en kolay atlatmalarını sağlayacak, en doğrusal yönde tasarlanması kişilerin sabırla süreci tamamlamalarına katkı sağlayacaktır.

  3. Kişisel Veri Taleplerinin ve Aydınlatmanın Gerekli Olduğu Zamanlarda Yapılması: Kişisel veri işleme talebi, verilen hizmet bakımından işlem yapılmasının gerekli olduğu anda yapılmalıdır. Bu hem kanuni olarak gerekli hem de pratik olarak faydalı bir uygulamadır. Öncelikle çerçeve aydınlatma ve rıza metinlerinin ne GDPR ne de KVKK kapsamında geçerli olmadığı gerçeği ile hareket edilmelidir. Kapsamlı bir hizmetin tüm işleme ve talep şartlarını bir metin altına toplamanın zorluğu ve bu metinin olası bir durumda aydınlatmanın “açıklık” şartını sağlayamayacak kadar karmaşık bir noktaya gelmesi mümkündür. Bu sebeplerle, sunulan hizmet kapsamında gerekli olan kişisel verilerin gerekli oldukları anda özgün bir arayüz ile sadece işlenecek belirli veriye ilişkin aydınlatmayı da içerir şekilde talep edilmesi her anlamda uyumluluk açısından iyi sonuçlar verecektir.

  4. Kişilerin Rızalarının Hilekar Tasarımlarla Zorlanmaması: Tüm makalenin konusu olarak hilekar tasarımların hukuken geçerli bir kişisel veri politikasında yeri olmamalıdır. Bilinçli veya bilinçsiz olarak tasarlanan arayüzün ve sistemin herhangi bir unsuru kişilerin kişisel verilerine ilişkin alacakları kararda veri sorumlusu lehine bir sonuç ortaya çıkarma riski taşıyor ise uyumsuzluk riskinin yüksek olduğunun öngörülmesi gereklidir. Bu sebeple tasarımda kişilerin mahremiyet ve anayasal özgürlüklerinin uzantısı olan özel hayatlarının gizliliğinin temel alınması, varsayılan ayarların her durumda en az veriyi talep etmesi ve veri işlenmesi gereken her yerde opt-in şekilde işlem yapılması gereklidir.

  5. Dürüstlük: Her veri sorumlusunun, çalışma alanları ve amaçları doğrultusunda kişisel veri işleme şartları da farklılık göstermektedir. Bu bakımdan her uygulamanın kendine has ihtiyaçları bulunmakta. Bu farklılıkların belirgin bir şekilde onaylanması mümkün değildir. Tasarımın geçerli hukuki güvenceleri sağlayacağı bir hukuk konusu olduğu kadar kullanıcıya karşı dürüstlüğün de konusudur. Bu bakımdan yapılacak tasarımların ilk önceliğinin dürüstlük olması gerekmektedir.

İnternet ve bize sunduğu imkanlar 10 sene içinde aklımızın almadığı uzak gelişmeler olmaktan hayatımızın değişmez bir parçası haline geldi. Maddi hayatlarımız gibi sanal hayatlarımız da düzensiz ve alabildiğine özgür bir halden giderek kuralların hakim olduğu hale evrilmekte. Kuralların ve İnternet’in vatandaşlarının güveninin korunması hizmet sağlayıcıların yararına olduğu kadar toplumun da yararınadır. Bu bakımdan dürüstlük ve güvenin temel alındığı her yaklaşımın hukuka uyumlu güvenli bir geleceğe önemli bir adım olacağı hep hatırlanmalıdır.

  1. https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf sf. 20 ↩︎

  2. https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf sf. 28 ↩︎

  3. https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf sf. 38 ↩︎

Ara

Etiketler