KARANLIK TASARIM

Bilgi teknolojileri kaynaklarının gelişimi ile birlikte adından sıklıkla bahsettiren dark pattern (“karanlık tasarım”) kavramı, en basit ifade ile tasarım hileleridir. İnternet sitelerinde ve uygulamalarda kullanıcıların dikkatlerini farklı yere yoğunlaştırarak onları manipüle etmek amacıyla kullanılan bu hileli ara yüzler, şirketlerin kendi çıkarları ve menfaatleri lehine işlettikleri en yaygın uygulamalardan biri haline gelmiştir.

İnternet siteleri ve uygulamalarda karanlık tasarım faaliyetleri aracılığıyla toplanan kişisel veriler göz önünde bulundurulduğunda, ilgili faaliyetin tüketici mevzuatının yanı sıra kişisel veri koruma mevzuatı ile de sıkı sıkıya temas ettiği sonucuna varılmaktadır. Bu doğrultuda, AB ülkeleri genelinde kişisel verileri korumaya yönelik düzenlemeler getiren Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında düzenlenen açık rıza tanımının altını çizmek gerekecektir. GDPR uyarınca açık rıza, kişisel verilerinin işlenmesi için ilgili kişilerce beyan yoluyla veya aktif bir irade ile özgürce verilmiş, konuya özel, bilgilendirilmiş ve ilgili kişinin isteklerinin belirsizlik içermeyen bir ifadesi olarak tanımlanmıştır. Bu hükmün amacı, ilgili kişilerin veri işleme faaliyetlerini varsayılan olarak kabul etmelerini sağlayama yönelik girişimleri engellemektir. Bu nedenle, kullanıcıların özgür iradelerini sakatlayan karanlık tasarım faaliyetleri kişisel verilerin korunması mevzuatınca da hukuka aykırıdır.

Avrupa Komisyonu tarafından 30 Ocak 2023’te yayımlanan basın bülteninde Avrupa Komisyonu ve AB üyesi 23 devletin ulusal tüketici koruma otoriteleri tarafından gerçekleştirilen araştırma ile internet sitelerinde kullanıcıları kendi çıkarlarına en uygun olmayan seçimleri yapmaya ittiği bilinen karanlık desenlere ilişkin önemli sayısal bulgulara ulaşıldığı belirtilmiştir.[1]

Türk Hukuku mevzuatında ise Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği’nin Haksız Ticari Uygulama Olarak Kabul Edilen Örnek Uygulamalar Ekinde yer alan A – Aldatıcı Ticari Uygulamalar maddesinin 22.bendinde düzenlenen karanlık tasarım; internet ortamında bir mal veya hizmete ilişkin yönlendirici ara yüz tasarımları, seçenekler ya da ifadeler gibi araçlarla tüketicilerin karar verme veya seçim yapma iradesini olumsuz etkileyen ya da normal şartlar altında vereceği kararda satıcı veya sağlayıcı lehine değişikliklere yol açmayı hedefleyen yöntemler kullanmak olarak tanımlanmıştır.

08.08.2023 Tarihli Reklam Kurulu Kararları

08.08.2023 tarihine kadar Türk yargı ve/veya bağımsız idari otorite kararlarına konu olmayan karanlık tasarım faaliyetleri, Reklam Kurulu’nun 336 sayılı toplantısında birçok mecranın hükmedildiği anılan reklamları durdurma cezası yaptırımının dayanağı olmuştur.[2]

Dosya No: 2023/229:

…internet sitesinde satışa sunulan telefon hatlarına özel paketler tüketiciler tarafından satın alınmak istendiğinde, tüketicilere aynı paketin “Yıllık Abonelik” kısmında “Turkcell’li Ol” butonunun “Aylık Abonelik” kısmında ise “Detaylı Bilgi” butonunun sunulduğu, yıllık abonelik kısmında çıkan “Turkcell’li Ol” butonu seçildiğinde satın alma işlemlerinin gerçekleştirildiği sayfaya yönlendirildiği, aylık abonelik kısmında çıkan “Detaylı Bilgi” butonu seçildiğinde ise bilgilendirme kısmına yönlendirildiği tespit edilmiştir.

Dolayısıyla aynı hat için yıllık abonelik işlemi kolayca gerçekleştirilirken aylık abonelik için böyle bir durumun söz konusu olmadığı, bu durumun da tüketicilerin normal şartlar altında taraf olmayacakları bir sözleşmeye taraf olmaya zorlanmasına yol açtığı ve tüketicilerin karar verme veya seçim yapma iradesinin olumsuz etkilendiği,…

Dosya No: 2023/230:

…firmaya ait www.blutv.com.tr adresli internet sitesinde platformda yer alan içerikleri izlemek için platforma abone olmak üzere ödeme sayfasına geçildiğinde, halihazırda “Yıllık abonelik seçersen ayda 69.9 yerine 39.9 %43 indirim ifadeli yıllık abonelik kısmının seçili halde sunulduğu, abonelik süresinin önceden seçili olmasının tüketicileri, normal şartlar altında taraf olmayacakları bir sözleşmeye taraf olmaya ve platforma uzun süreli abone olmaya zorlanmasına yol açtığı, dolayısıyla online platformlarda abonelik sistemiyle yayın yapan firma tarafından tüketicilere önceden seçili üyelik süresi sunularak tüketicilerin karar verme veya seçim yapma iradesinin olumsuz etkilendiği,…

Dosya No: 2023/233:

…firmaya ait “Kilit Şimdi Açıldı: Windows 11’e Ücretsiz Yükseltmeden Yararlanabilirsiniz” başlıklı reklamlarda ekranda yan yana belirgin şekilde yer alan mavi kutucukta “Alın”, beyaz kutucukta “Planlayın” butonlarına yer verilirken ekranın alt kısmında “Alın” ve “Planlayın” butonlarına kıyasla ayırt edilmesi güç şekilde “Windows 10’u Tutun” ifadesine yer verildiği, tüketicilerin bilgisayarlarının işletim sistemini yükseltmeden var olanı kullanmaya devam etmelerinin güçleştirilmesiyle normal şartlar altında taraf olmayacakları bir sözleşmeye taraf olmaya ve işletim sistemini güncelleştirmeye zorlanmasına yol açtığı,…

Dosya No: 2023/5986:

…firmaya ait www.444dergi.com.tr adresli internet sitesinde satışa sunulan dergi paketlerine abone olmak üzere ödeme sayfasına geçildiğinde “1 Ay”, “3 Ay”, “6 Ay” ve “12 Ay” seçeneklerinin yer aldığı abonelik süresi kısmında halihazırda “6 Ay” süreli abonelik kısmının seçili halde sunulduğu, abonelik süresinin önceden seçili olmasının tüketicilerin normal şartlar altında taraf olmayacakları bir sözleşmeye taraf olmaya ve dergi paketlerine uzun süreli abone olmaya zorlanmasına yol açtığı,

Dosya No: 2023/5991:

…firmaya ait www.vivense.com.tr adresli internet sitesinde satışa sunulan ürünler tüketiciler tarafından satın alınmak istendiğinde, ödeme sayfasında halihazırda “İndirimli Kurulum” ücretinin seçili halde sunulduğu, ücretli olan kurulum hizmetinin önceden seçili olmasının tüketicilerin normal şartlar altında taraf olmayacakları bir sözleşmeye taraf olmaya zorlanmasına yol açtığı,…

Kişisel Verilerin Korunması Kanunu (“KVKK”) Kapsamında Karanlık Tasarım

Yukarıda da bahsetmiş olduğumuz üzere karanlık tasarım faaliyetleri, kişisel veri işleme faaliyeti ile de doğrudan ilişkili olduğu için kişisel verilerin korunması mevzuatının da konusudur. Karanlık tasarım faaliyetlerinin, Reklam Kurulu ardından Kişisel Verileri Koruma Kurulu (“Kurul”) radarına da girmiş olması yüksek ihtimal dahilinde değerlendirilmektedir. Bu kapsamda, başta e-ticaret siteleri olmak üzere tüm internet sitelerinin süreçlerini mevzuata uygun işletmeleri önem arz etmektedir.

Karanlık tasarımın KVKK ile temasını örnekler ile detaylandırmak gerekirse;

  • İnternet siteleri, çerezler aracılığıyla internet sitesi ziyaretçilerinin performans, analitik ve işlevsel vb. kişisel verilerini işlemektedir. Ancak bilindiği üzere, Kurul yayımladığı muhtelif kararlar ile internet sitesi faaliyetlerinin yürütülebilmesi için zorunlu olan çerezler dışındaki çerez tiplerini kullanıcıların açık rızasına tabi tutmaktadır.[3]

Dolayısıyla, ilgili sitelerde kullanıcıların site deneyimleri boyunca tabi olacakları çerezlere ilişkin tercih yapabilmeleri adına bir kontrol panelinin oluşturulması ve kullanıcılardan opt-in[4] sistemi yolu ile onay alınması gerekmektedir.

Bu kapsamda, internet sitesinin ilk açılımında kullanıcıları ilgili kontrol paneline yönlendirecek bir çerez pop-up’ı sunulmalıdır. Çoğu internet sitesinde, çerez pop-up’ında kabul et ve ayarla şeklinde iki seçeneğin var olduğu gözlemlenmektedir. Ancak ilgili uygulama, KVKK ile hükme bağlanan açık rıza unsurları kapsamında özgür iradeyi sakatlayacaktır.[5]

Bu doğrultuda, çerez pop-up’ında kabul et ve ayarla seçeneklerine ilaveten reddet butonun da yer alması ve kabul et butonun yeşil, diğer butonların ise silik bir şekilde sunulması gibi kullanıcıların karar verme ve seçim yapma iradesini etkileyen faaliyetlerin yürütülmemesi en doğru uygulama olacaktır.

  • Bir diğer KVKK temasına ilişkin örnek ise, Reklam Kurulu kararlarından yola çıkılarak verilebilecektir. İlgili kararların çoğunun konusunun, abonelik faaliyetlerine ilişkin olduğunu gözlemlemekteyiz. Abonelik sözleşmesi kapsamında, üyelerden birtakım kişisel veriler temin edilmektedir. Her ne kadar, ilgili kişisel verilerin temini açık rıza dışında işleme şartlarına dayanabilecek ise de kullanıcıları belli bir abonelik tipine yönlendiren ve dolayısıyla karar verme ve seçim yapma iradelerini etkileyen faaliyetler KVKK 4. maddesi ile belirtilen temel ilkelerden hukuka ve dürüstlük kuralına aykırılık teşkil edecektir. Zira; kişilerden açık rıza temin edilse dahi temel ilkelere aykırı bir veri işlenmesi halinde hukuka aykırı bir veri işleme faaliyeti gündeme gelecektir.

Sonuç

Tüm bu değerlendirmeler ışığında varılacak en temel ilke, hukukun bir kurallar bütünü olduğudur.  Kişisel veri teması bulunan her bir sürece multidisipliner bir şekilde yaklaşılması ve ilişkili diğer mevzuatların da göz önünde bulundurularak hareket edilmesi gerekmektedir.  Çatışan mevzuatları dolanmak amacıyla kullanıcılardan KVKK kapsamında açık rıza temin edilmesi veya KVKK ile öngörülen temel ilkelere aykırı davranılması, hukuka aykırı veri işlemi faaliyeti sonucunu doğuracaktır.

[1] https://ec.europa.eu/commission/presscorner/detail/en/ip_23_418

[2] https://ticaret.gov.tr/tuketici/ticari-reklamlar/reklam-kurulu-kararlari

[3] “Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması” hakkında Kişisel Verileri Koruma Kurulunun 23/12/2022 tarihli ve 2022/1358 sayılı Karar Özeti Son Erişim Tarihi: 12.09.2023

“E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti Son Erişim Tarihi: 12.09.2023

[4] Opt-in Sistemi: Bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay verdiği bir sistemdir.

[5] Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.