Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan 20 Haziran 2022 tarihli Çerez Uygulamaları Hakkında Rehber (“Rehber”) ile internet sayfası işleten tüm veri sorumluları için pratik tavsiye dokümanı oluşturulmuş ve veri sorumlularının doğru hukuki sebeplere dayanarak veri işlemeleri, uygun şekilde aydınlatma yapabilmeleri ve hukuka uygun rıza almaları açısından yönlendirici nitelikte iyi uygulamalar Rehber’de yer almıştır.
Türkiye'de Çerez Uygulamaları
Çerezler ve Çerez Türleri
Çerezler bir internet sitesi ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin biçimli metinler olarak tanımlanır.
Çerez türleri sürelerine, kullanım amaçlarına ve taraflarına göre ayrılır:
i. Sürelerine göre çerezler, oturum çerezleri ve kalıcı çerezlerdir.
a. Oturum çerezleri geçici çerez olarak da adlandırılır. -. Oturum çerezleri, kullanıcının internet tarayıcısını kapatması ile beraber silinmektedir.
b. Kalıcı çerezler izleme çerezleri olarak da adlandırılır. Kullanıcı internet tarayıcısını kapattığında bu çerezler silinmez. Kalıcı çerezler, belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinir. Kullanıcının bir internet sitesini her ziyaretinde işlenen verileri kalıcı çerezler sayesinde sunucuya iletilir. Böylece bir kullanıcının internet tarama alışkanlıklarına dair veriler reklam verenler tarafından kaydedilip kullanılabilir.
ii. Kullanım amaçlarına göre çerezler, kesinlikle gerekli/zorunlu çerezler, işlevsel çerezler, performans-analitik çerezler ve reklam/pazarlama çerezleridir.
a. Zorunlu çerezler internet sitesinin çalışması için gerekli olan çerezlerdir. Bu çerezlerin engellenmesi durumunda internet sitesinin bazı bölümleri çalışmaz. Kullanıcının talep etmiş olduğu bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılacak çerezler zorunlu çerezlerdir.
b. İşlevsel çerezler kişiselleştirme ve tercihlerin hatırlanması amaçları ile kullanılır, web sitesinde kullanımın fonksiyonunu artırır.
c. Performans-Analitik çerezler kullanıcıların davranışlarını analiz eder. Analiz sonucu istatistiki ölçüm yapılır. Bu ölçümler ile reklamların ilgili kişiler üzerindeki etkisi ölçülür.
d. Reklam/Pazarlama çerezleri kullanıcıların internet ortamında çevrimiçi hareketlerini takip eder ve ilgi alanlarına göre kullanıcılara reklam gösterilmesini hedefler. Davranışsal reklamcılık reklam veren açısından en önemli reklam türüdür zira bu sayede hedef kişiler profillenir.
iii. Taraflarına göre çerezler çerezin, tarayıcı adres çubuğunda gösterilen URL tarafından yerleştirilip yerleştirilmemesine göre, birinci taraf ve üçüncü taraf çerezlerdir.
Çerezler 6698 sayılı Kişisel Verileri Koruma Kanunu’na (“KVKK”) tabidir
Çerezler KVKK kapsamında açıkça düzenlenmemekle birlikte, bilgi toplumu hizmetlerine yönelik olarak KVKK’nın uygulanabileceği açıktır ve 27.02.2020 tarih ve 2020/173 sayılı Kurul kararı ile (Amazon Türkiye kararı) çerezlere ilişkin değerlendirmeler yapılmıştır.
Çerezler Bakımından Hukuka Uygunluk Nedenleri
Veri sorumluları çerezler aracılığıyla KVKK kapsamında veri işlerken aşağıdaki kriterleri göz önünde bulundurmalıdır:
Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması.
Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.
Kişisel verilerin işlenmesi için genel olarak KVKK madde 5 ve 6 kapsamındaki hukuka uygunluk nedenleri geçerlidir.
KVKK m. 5/2/f kapsamında “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına dayanıldığında, Kriter A ve B’nin kapsamı da göz önünde bulundurulmalıdır. Bu açıdan, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaati karşılaştırılarak bir denge testi yapılmalı ve bu şekilde meşru menfaatin varlığı değerlendirilmelidir.
Açık Rıza Dışındaki Diğer İşleme Şartları Dahilinde Çerez Kullanımına Örnekler
Kural olarak açık rıza alınmasını gerektirmeyen çerez türleri bulunmaktadır, Rehber’de bunların bazılarına yer verilmiştir;
Kullanıcı Girdili Çerezler (Kriter B): Bu çerezler kullanıcıların girdilerini izler ve bunları hizmet sağlayıcıya aktarır. Bu çerezler, birinci taraf çerezlerdir ve oturum sonlanınca bu çerezlerin kullanım süresi de sona erer. Tipik olarak, bu çerezler alışveriş sepetini doldururken kullanıcıyı izler ve Kullanıcının butonu tıklayarak seçtiği ürünlerin kaydını tutar.
Kimlik Doğrulama Çerezleri (Kriter B): Bu çerezler, kullanıcıların hesaplarına giriş yaptıkları her sayfa talebinde isim ve şifrelerini tekrar girmemeleri için oluşturulmuş olan ve kullanıcıyı tanımlamak için kullanılan çerezlerdir.
Kullanıcı Merkezli Güvenlik Çerezleri (Kriter B): Kullanıcı tarafından açıkça talep edilen bir hizmetin güvenliğini arttırmak için kullanılan çerezlere Kriter B uygulanabilecektir. Kullanıcı güvenliği çerezlerinin güvenlik amacını yerine getirmek için oturum bitiminde sona eren hesaba giriş çerezlerinden daha uzun bir ömrü olması beklenir.
Multimedya Oynatıcısı Oturum Çerezleri (Kriter B): Flash çerezler olarak da bilinen bu çerezler, videoyu yeniden oynatmaya veya ses içeriğine ilişkin ihtiyaç duyulan teknik veriyi oturum sona erene kadar depolarlar.
Yük Dengelemesi Oturum Çerezleri (Kriter A): Yük dengelemesi tekniği, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılmasına olanak sağlar. Yönlendirme, oturum boyunca kalıcılığını korur. Belirli bir kullanıcıdan gelen tüm talepler tutarlılık adına her zaman havuzdaki aynı sunucuya iletilir.
Kullanıcı Ara yüzünü Kişiselleştirme Çerezleri (Kriter B): Kullanıcının açık isteği ile hizmete ilişkin tercihleri hatırlamak üzere yerleştirilebilmektedirler. Kişiselleştirme amacıyla kullanılır ve geçerlilikleri amaçlarına göre değişebilmektedir. Çok dilli bir internet sayfasında kullanıcı tarafından hangi dil seçeneğinin seçildiğini hatırlamak için kullanılan dil tercih çerezi buna bir örnektir.
Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri (Kriter B): Sosyal eklenti modülleri sosyal ağ kullanıcılarının beğendiği içerikleri ve yaptığı yorumları arkadaşları ile paylaşmalarına izin verir. Sosyal ağlardaki üyeler eklentilerle etkileşime geçtiğinde sosyal ağın üyelerin tespiti hususunda çerezler depolanmaktadır. Kriter B sosyal ağa üye olmayanlar veya hesabından çıkış yapmış sosyal ağ üyeleri için geçerli değildir. Bu yüzden, üçüncü taraf çerezleri kullanmadan önce bu kişilerin açık rızasının alınması tavsiye edilmektedir. Bu çerezlerin oturum çerezi olarak oturumla sona ermeleri tavsiye edilir.
Açık Rıza Yönetim Platformu İçin Kullanılan Çerezler (Kriter B): Açık rızaya tabi tercihler için alınması gereken açık rızanın, ilgili kişilerce girilen internet sayfalarında belli bir süre hatırlanması için kullanılan çerezin ayrıca bir açık rıza gerektirmediği düşünülmektedir.
Birinci Taraf Analitik Çerezler (Kriter B): Bu çerezler, hizmetin sağlanması için gerekli çerezlerdir. Bir internet sitesinin veya uygulamanın işleyişi ve günlük yönetimi için kullanılmasının talep edilen hizmetle ilişkili olduğu dikkate alındığında birinci taraf analitiklerin Kriter B kapsamında değerlendirilebileceği düşünülmektedir. Ancak bu çerezlerin, profilleme için farklı internet siteleri veya uygulamalar arasında çapraz takip yapılması amacıyla kullanılmaları verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmayacaktır.
İnternet Sitesinin Güvenliği için Kullanılan Çerezler (Kriter B): İnternet sitesinin güvenliği için kullanılan çerezler kullanıcının talep ettiği hizmet için kesinlikle gereklidir.Örneğin, güvenlik duvarları tarafından kullanıcının tanımlanarak oturum başına kullanıcı talep sayısının sınırlanması amaçlanıyorsa Kriter B kapsamında kullanıcı tarafından talep edilen hizmet için kesinlikle gerekli bir çerez olduğu değerlendirilebilir. Bu amaca hizmet eden çerezler için açık rıza dışındaki diğer veri işleme şartları da söz konusu olabilecektir.
Açık Rıza İşleme Şartı Dahilindeki Çerez Kullanımlarına Örnekler
Sosyal Eklenti Takip Çerezleri: Sosyal ağlar, üyeleri tarafından “açıkça talep edildiği” kabul edilebilecek bazı hizmetleri sağlamak amacıylainternet sitelerine entegre edilebilecek sosyal eklenti modülleri sunmaktadır. Ancak bu modüller üçüncü taraf çerezleri sayesinde davranışsal reklamcılık, analitik veya pazar araştırması gibi amaçlarla, üye olan/olmayan kişilerin izlenmesini sağlayabilmektedir. Bu çerezlerin kullanımları ilgili kişinin açık rızasını gerektirir.
Çevrim İçi Davranışsal Reklamcılık Çerezleri: Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmektedir. Reklamcılık amaçlarından hiçbiri, kullanıcı tarafından açıkça talep edilen bilgi toplumu hizmetleri kapsamına girmediğinden açık rıza gerekliliği, reklamcılık amacıyla kullanılan ilgili çerezleri kapsamaktadır.
Aydınlatma Yükümlülüğü
KVKK m. 10 uyarınca ve “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümlerine göre çerez kullanımı bakımından ilgili kişilere uygun aydınlatma yapılması gerekir. Kişisel verilerin elde edildiği her durumda, en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Bu sorumluluğun yerine getirildiğinin ispatı ise veri sorumlusundadır.
Web sitesine üçüncü kişi çerezler yerleştirildiğinde, hem site sahibi hem de üçüncü kişi, kullanıcıların açık rızasını almadan önce kullanıcıların çerezler hakkında açıkça bilgilendirildiğinden emin olmalıdır.
İnternet sitelerini ziyaret edecek kullanıcılar için ilgili web sitesine ya da platforma ilk girişte bilgilendirme yer almalıdır. Aksi durumda hukuka uygun bir aydınlatma yapılmadığından aydınlatma yükümlülüğüne aykırı davranılması söz konusu olur. Özellikle, içinde pek çok başka konuda bilgi veren gizlilik bildirimlerinin sunulması aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmez.
Çerezlere ilişkin aydınlatma metinlerinin kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemlerden kaçınılmalıdır.
Hukuka Uygun Açık Rıza Alınması
Açık rıza belirli bir konuya ilişkin olmalı, ucu açık ve belirsiz rıza açık rıza olarak kabul edilmemektedir. Ayrıca açık rızanın verildiğinin kabul edilmesi için ilgili kişi özel olarak aydınlatılmalı, açık rıza bilgilendirmeye dayanmalıdır. Ayrıca rıza aktif olumlayıcı bir eylem ile verilmelidir, bu sebeple sadece internet sitesine girilmesi ile ilgili kişinin çerezlere açık rıza verdiği kabul edilmez.
Rıza özgür iradeyle açıklanmalıdır. Ayrıca, çerezler bakımından da verilen açık rızanın geri alınabilir olması gerekmektedir ve rıza yönetim platformunun bir ikona ya da içeriği engellemeyecek kadar küçük bir banda dönüştürülerek internet sayfasının bir köşesine eklenmesi, Rehber kapsamında iyi uygulama örneği olarak belirtilmiştir. Bu şekilde rıza istenildiğinde geri de alınabilecektir.
Bir diğer önemli husus ise, rıza yorgunluğu yaratılmamasıdır. Bu kapsamda, ilgili kişiden sürekli rıza alınması yerine periyodik hatırlatmalar yerleştirilebileceği belirtilmiştir.
Ayrıca, çerezler aracılığıyla veri işlenmesi kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli çıkması ve panelde renk, büyüklük, punto açısından eşit derecede olan “kabul et”, “reddet” ve “tercihler” butonlarının sunulması iyi uygulama örneği olarak belirtilmektedir.
Kişisel verilerin işlenmesine konu olan temel hizmetin yerine getirilmesi ile doğrudan ilgisi olmayan veri işleme faaliyetlerinde kullanıcı ile yapılan sözleşmeye dayanılmamalıdır. Çevrim içi reklamcılık çerezlerinin kullanımında açık rıza, “Kullanım Koşulları ve Sözleşmesi” ya da “Gizlilik Bildirimi” gibi dokümanlara iliştirilmemelidir.
Çerezler Bakımından Dikkat Edilmesi Gereken Hususlar
Aydınlatma metninde çerezlerin adının, kullanım amacının, kullanım süresinin ve çerezin birinci veya üçüncü taraf olup olmadığına dair bilgilere açıkça yer verilmesi tavsiye edilmektedir.
Aydınlatma yükümlülüğünün çocuklara yönelik bir hizmete ilişkin olması durumunda aydınlatmanın, çocukların anlayacağı seviyede ve gerekli ise görsellerle desteklenerek, açık ve anlaşılır bir aydınlatma metni ile sağlanması gerekir.
Çerez yoluyla kişisel veriler işlenirken; bir sözleşmenin kurulması veya ifası kapsamında açık rıza alınması, ilgili kişiye sözleşmenin ön koşulu olarak dayatılamaz.
Bu kapsamda bireylerin önceden onayını almadan, kişisel verilerinin işlenmesine otomatik onay verdikleri kabul edilerek kişilerin verilen bu onayı sonradan kaldırmalarına imkân veren sistemler (opt-out) kullanılmamalıdır.
Çerez kullanımı ile yurt dışına veri aktarımı gerçekleştiriliyorsa yurt dışına veri aktarım kurallarına uyulmalıdır. Aktarım için açık rıza gereklidir. Ayrıca, ilgili ülkede yeterli koruma taahhüdünün bulunması ve kurumun açık rıza alınmaksızın verilerin yurt dışına aktarılabileceğine ilişkin yetki vermesi halinde veriler yurt dışına aktarılabilir.
-----
Kişisel Verilerin Korunması ve Gizlilik
Begüm Yavuzdoğan Okumuş ve Yalçın Umut Talay