Ocak 2024 Newsletter
Dark Patterns ve Kişisel Verilerin Korunması Hukuku
Dark pattern terimi Türkçe’ye “karanlık desen” olarak çevrilmekte olup; kullanıcıların aldatılması, manipüle edilmesi suretiyle şirketlerin/kuruluşların çıkarlarını koruduğu ve kazanç elde ettiği kullanıcı arayüzü tasarımları olarak tanımlanmaktadır.
Günlük hayatımızda sıklıkla karşılaştığımız karanlık desenlerin pek çok türü bulunmakta; hatta bu türlerin tespiti ve kullanıcıların farkındalık kazanması için çeşitli internet siteleri kullanıcılardan karşılaştıkları karanlık desenlerin görüntülerini yüklemesini istemekte ve bu karanlık desenleri sınıflandırarak kullanıcının bu desenler karşısında yaşadığı deneyimle birlikte paylaşmaktadır.
Karanlık desenlerin kullanımı sebebiyle kişisel verilerin korunması hukuku, tüketici hukuku, borçlar hukuku gibi birden fazla hukuk dalında düzenlenen kuralların doğrudan uygulanabilir olduğu çeşitli durumlarla karşılaşılmaktadır.
Bu ayki blog yazımızda karanlık desenler kişisel verilerin korunması hukuku bakımından değerlendirilecektir.
Kişisel Verilerin Korunması Bakımından Karanlık Desenlere İlişkin Yasal Düzenlemeler, Rehberler
Türkiye’de kişisel verilerin korunmasına ilişkin mevzuatta, Kişisel Verileri Kurulu kararlarında ve Kişisel Verileri Koruma Kurumu’nun yayınladığı rehberlerde açıkça karanlık desen ifadesine yer verilmemiş ve bu ifade tanımlanmamıştır.
AB’nin kişisel verilerin korunması ilişkin düzenlemesi olan General Data Protection Regulation (“GDPR”) (Genel Veri Koruma Tüzüğü) da karanlık desenler açıkça düzenlenmemiştir. Ancak Avrupa Birliği Veri Koruma Kurulu tarafından “Sosyal Medya Platformu Arayüzlerindeki Karanlık Desenler: Bunları nasıl tanıyabiliriz ve önleyebiliriz” başlıklı rehber yayınlanmıştır. Ayrıca AB’deki veri koruma otoritelerinin karanlık desenlerin kullanımına ilişkin verdiği çeşitli kararlar da bulunmaktadır.
AB’de yakın zamanda yürürlüğe giren ve çevrimiçi ortamda yasadışı ve zararlı faaliyetleri önlemeyi amaçlayan Digital Service Act (“DSA”) (Dijital Hizmet Yasası) da karanlık desenlerin kullanımı açıkça yasaklanmaktadır.
Kaliforniya eyaletinin kişisel verilerin korunmasına ilişkin düzenlemeleri olan California Consumer Privacy Act (“CCPA”) (Kaliforniya Tüketici Mahremiyeti Yasası) ve California Privacy Rights Act (“CPRA”) (Kaliforniya Mahremiyet Hakları Yasası) kapsamında da karanlık desenler tanımlanmış ve açıkça düzenlenmiştir.
Karanlık Desenler ve Kişisel Verilerin Korunması
Karanlık desenler kişisel verilerin korunması açısından çoğunlukla kişisel verilerin korunmasına ilişkin genel ilkeler, aydınlatma yükümlülüğü, hukuki sebeplerden açık rıza ve tasarım gereği mahremiyet ile varsayılan mahremiyet ilkeleri bağlamında değerlendirilmektedir. Konunun somut örneklerle anlatılmasının daha anlaşılır olacağı göz önünde bulundurularak ilgili olduğu ölçüde çeşitli karanlık desen türlerine örnek verilerek Kişisel Verilerin Korunması Kanunu’na (“KVKK”) kapsamında kısaca açıklanmıştır.
1. Örnek: Bir sosyal medya platformunun kayıt aşamasında e-posta adresi veya telefon numarası ile kayıt olunması için seçenekler sunulmaktadır. Kullanıcı tarafından e-posta seçeneği seçilmesine rağmen kullanıcının telefon numarasını kaydetmesi için "Hesap güvenliği için [telefon] numaranızı kullanacağız" gibi pencereler sık aralıklarla kullanıcının ekrana çıkarılmakta ve bu sebeple platformu kullanmasını zorlaştırarak kullanıcıyı daha fazla kişisel veri vermeye itmektedir.
Örnekteki olay “sürekli yönlendirme” olarak adlandırılmakta olup karanlık desen türlerinden “aşırı yükleme” kapsamına girmektedir. Bu türde işleme amaçları için gerekenden daha fazla kişisel veri sağlanması istenmekte bu işlem sürekli tekrarlanmaktadır. Kullanıcılar, platformu her kullandıklarında bir seçim yapmak zorunda kalmaktan yoruldukları için daha fazla veri sağlamayı kabul edebilmekte veya platformu kullanmaktan vazgeçmektedir.
Bu karanlık desen örneği KVKK’daki genel ilkelerden “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine ilişkin olup bu ilke veri minimizasyonu olarak da adlandırılmaktadır. Bu ilkeye göre ilgili kişilerden sadece gerekli veriler alınmalı, ileride lazım olacak olması vb. sebeplerle kişisel veriler toplanmamalıdır.
2. Örnek: Bir internet sitesine girildiğinde sayfada çıkan çerez kullanımına izin verilmesine ilişkin pop-up’ta “Kabul Et” butonunun tıklanması amaçlandığı için bu buton renkli ve dikkat çekicidir ancak “Reddet” butonu soluk renktedir ve “Kabul Et” butonu kadar dikkat çekici değildir.
Örnekteki olay karanlık desen türlerinden “karanlıkta bırakılma” içerisine girmektedir. Bu türde bilgiler veya gizlilik ayarları seçenekleri gizlenmekte veya belirsiz, çelişkili bir şekilde sunulmaktadır. Bu tür durumlarla karşı karşıya kalan kullanıcılar, onay verip vermedikleri konusunda emin olamamaktadır.
Karanlık desenlerin en çok kullanıldığı alanlardan birisi kullanıcının rıza verdiği alanlardır. Çünkü kullanıcıların bir seçeneği seçmeme ihtimali vardır ve şirketler için bu büyük bir risktir. Bu riski bertaraf etmek amacıyla kullanıcıyı rıza vermeye ve bazı durumlarda ise rızasını geri çekmeyi engellemeye yönelik desenler kullanılmaktadır. Bu karanlık desen örneği KVKK’daki hukuki sebeplerden açık rıza bakımından incelenebilir. Açık rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür irade ile verilmiş olması gerekmektedir. Ancak örnekte ilgili kişinin özgür iradesinin olduğundan bahsedilemeyecektir çünkü ilgili kişi manipülatif bir şekilde tasarlanan görsel nedeniyle rıza vermeye yönlendirilmektedir.
3. Örnek: Bir kullanıcı internet sitesinde pop-up olarak çıkan bir e-bültene e-posta adresi ile kolay bir şekilde abone olmuştur. Daha sonra bu bülten aboneliğini sonlandırmak istemesine rağmen önce abonelikten nasıl çıkacağına ilişkin bilgileri kolayca ulaşamamış, bu bilgilere ulaştığında ise abonelikten çıkmak için karmaşık prosedürlerle tabi tutulmuştur.
Örnekteki olay karanlık desen türlerinden “çıkmaz sokak” olarak adlandırılmakta olup karanlık desen türlerinden “engelleme” içerisine girmektedir. Bu türde kullanıcının belirli eylemleri kolayca gerçekleştirememesi için engeller oluşturulmaktadır. Bu engeller içerisinde gizlilik ayarlarının erişilemeyen alanlara yerleştirilmesi veya erişimin çok zor hale getirilmesi de bulunmaktadır.
KVKK kapsamında verilen açık rızayı, ilgili kişinin dilediği zaman geri alınabilmektedir. Bu karanlık desen örneğinde ise ilgili kişiye hem rızasını nasıl geri alacağına ilişkin yeterli bilgi sağlanmamış hem de rızanın verildiği gibi kolay bir şekilde geri alınma imkanı da sunulmamıştır.
Sonuç
Yukarıda verdiğimiz örneklerde de görüleceği üzere kişisel verileri elde etmek amacıyla pek çok karanlık desene yer verilmekte ve yapay zeka gibi teknolojilerin gelişmesi ile birlikte bu desenlerin artacağı öngörülmektedir. Bu nedenle karanlık desenler hakkında bilgi sahibi olunarak manipülasyondan korunmaya dikkat edilmesi önerilmektedir.
Mevcut durumda ülkemizde kişisel verilerin korunması alanında karanlık desenlere ilişkin ayrı bir düzenleme bulunmamaktadır. Ancak bu durum karanlık desenlerin serbestçe kullanılacağı anlamına gelmekte olmayıp yürürlükteki düzenlemelere göre bunların değerlendirilmesi gerekmektedir. Zira yukarıda karanlık desenlerin KVKK’ya uygun olmadığı bazı durumlara ilişkin açıklamalar bu değerlendirmeye ilişkindir. Ayrıca çerezler, profilleme gibi konular da mevzuatta açıkça düzenlenmese de KVKK’daki hükümlere göre yorumlanarak değerlendirme yapılmakta ve bu veri işleme faaliyetleri hakkında yayınlanan kararlar ve rehberler ile bazı durumlar netleştirilmektedir. Elbette teknolojinin hızlı gelişimi karşısında her veri işleme faaliyeti için kapsamlı yasal düzenlemeler yapılması doğru olmayacaktır ancak bu teknolojilerin kullanılarak veri işlenmesi belli bir aşamaya geldiğinde çerçeve bir düzenlemenin bulunması gerek ilgili kişilerin korunması gerekse veri sorumlularının doğru uygulamaları benimsemeleri açısından önem arz etmektedir.
