Avusturya Veri Koruma Otoritesi, bir gazetenin internet sitesindeki çerez kullanım seçeneklerine ilişkin şikâyeti reddetti. Söz konusu gazete, internet sitesinin içeriğine ulaşmak isteyen kişilere 3 seçenek sunmaktaydı:
1. Analiz ve reklamcılık amacıyla çerezlerin kullanımına izin verilmesi ve hiçbir kısıntıya maruz kalmadan ücretsiz bir şekilde siteye tam ulaşım sağlanması,
2. Çerez kullanımına rıza verilmemesi ve siteye sınırlı ulaşım hakkına sahip olunması
3. Aylık 6 avro ödeyerek ücretli üye olunarak çerez ve izleme (tracking) teknolojilerinin kullanımını kabul etmeden siteye tam ulaşım sağlanması.
İnternet sitesi tarafından sunulan seçeneklerin kolayca takip edilebilmesi adına seçenekler aşağıdaki tabloda da gösterilmiştir.
Şikâyette bulunan kişi, haber sitesi tarafından ortaya konan bu yaklaşımın Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında geçerli bir rıza için gerekli şartlara uygun olmadığını ileri sürerek Otorite’ye başvuruda bulunmuştur. Şikâyette bulunan, site içeriğine erişimin kişisel verilerinin işlenmesine rıza gösterilmesi şartına bağlamasının hukuka aykırılık oluşturduğunu ifade etmiştir. Haber sitesinin hizmet sunabilmesi için söz konusu kişisel verileri talep etmesinin gerekli olmadığının da özellikle altı çizilmiştir.
Ancak Avusturya Veri Koruma Otoritesi, gazetenin sunduğu rıza seçeneklerinin GDPR kapsamında özgür bir iradeyle verilen geçerli bir rızanın şartlarını yerine getirdiğini belirtti. Otorite karar verirken; kişinin aldatılması, korkutulması, zorlanması veya önemli ölçüde olumsuz sonuçların ortaya çıkması riskinin bulunduğu hallerde rızanın özgürce verilmediği sonucuna ulaşılması gerektiğini belirten Madde 29 Çalışma Grubu’nun Rızaya İlişkin Kılavuzuna atıfta bulundu. Bu durumda ilgili kişinin kişisel verilerinin edinilmesine rıza vermeden siteye küçük bir ücret karşılığında abone olmayı seçebilmesi veya bilgi kaynağı olarak başka bir çevrimiçi gazeteyi seçebilmesi olanağının bulunması nedeniyle okurların önemli ölçüde olumsuz bir sonuçla karşılaşmadıklarını ifade etti.
Öte yandan Birleşik Krallık Veri Koruma Otoritesi (ICO) tarafından da benzer bir çevrimiçi üyelik modeline sahip Washington Post gazetesi için farklı yönde bir karar verilmişti. Washington Post, internet sitesine üye olmak için 3 seçenek sunduğu ve ancak ayda 9 dolar ile üye olunan seçenekte okurlara çerezleri ve izlemeyi kapatma seçeneği sunduğu gerekçesiyle şikâyet edilmişti. Otorite, çerezleri ve izlemeyi kapatma imkânı veren abonelik seçeneğinin para karşılığında sunulmasının rızanın özgür irade ile verilmesi koşulunu ihlal ettiğine karar vermişti.
Böylece ICO, Avusturya Rekabet Otoritesinden farklı olarak okurlara çerezleri kabul etme hususunda ücretsiz bir alternatif sunulması gerektiğini ve tüm abonelik seviyelerinde rıza vermeme seçeneğinin bulunması gerektiğini ifade etmişti. Avusturya Veri Koruma Otoritesi ile ICO tarafından kabul edilen farklı yaklaşımlar, çerez politikaları kapsamında geçerli bir rızanın alınması noktasında yeknesak bir uygulamanın henüz oluşmadığını göstermektedir. Özellikle Avrupa’daki diğer veri koruma otoritelerinin yaklaşımlarını da takip ederek bu konuya ilişkin gelişmeleri paylaşmaya devam edeceğiz.