Çerez Uygulamaları Hakkında Rehber[1] (“Rehber”) Kişisel Verileri Koruma Kurumu sitesinde Haziran 2022 tarihli olarak yayınlanmıştır. Bu bilgi notunda, çerez türleri, çerez aydınlatma metni içeriği, kararlar ışığında çerez uygulamaları değerlendirilerek çerez aydınlatma metinlerinin konumlandırılmasına ilişkin iyi uygulama örnekleri aktarılacaktır.
1. Çerez Türleri
Çerez, bir kullanıcının bilgisayar, telefon gibi internete bağlandığı aracında depolanan ve internet sayfalarıyla ilişkilendirilen küçük dosyalardır. Bu dosya, aynı araçtan yeniden etkileşime geçildiğinde otomatik olarak yeniden kullanıma alınır.[2] Çerezlerin bir e-ticaret sitesinin müşteriyi tanımlaması, alışveriş sepetinin mevcut içeriğinin tutulması, tarama istatistiklerinin tutulması, reklam sunma amaçlı izleme yapılması gibi pek çok kullanım amacı bulunmaktadır. Bu kapsamda temel çerez türleri aşağıda sıralanmıştır.
|
Çerez Türü |
Açıklamalar |
|
Oturum Çerezleri |
Oturum çerezleri, Site’yi kullanımınız sırasında geçerli olan çerezler olup internet tarayıcısı kapatılıncaya kadar geçerliliklerini korurlar. İnternet sitemizde kullanım sürelerine göre oturum çerezleri ve kalıcı çerezler kullanmaktadır. Oturum çerezi, oturumun sürekliliğinin sağlanması amacıyla kullanılmakta olup kullanıcı tarayıcısını kapattığında bu çerezler de silinmektedir. |
|
Kalıcı Çerezler |
Bu çerezler tarayıcınızda saklanan ve tarafınızca silininceye dek veya son kullanım tarihine kadar geçerliliğini koruyan çerezlerdir. Kalıcı çerez internet tarayıcısı kapatıldığı zaman silinmemekte ve belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir. |
|
Birinci Taraf Çerezleri |
Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sitesinin ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sitesi yani tarayıcının adres çubuğunda gösterilen internet adresi tarafından yerleştirilmektedir. |
|
Üçüncü Taraf Çerezleri |
Üçüncü taraf çerezler kullanıcının ziyaret ettiği etki alanından farklı bir etki alanı tarafından yerleştirilmektedir. |
|
Zorunlu Çerezler |
Bu çerezler internet sitemizin çalışması amacıyla gerekli olan çerezlerdir. Söz konusu çerezler birinci taraf çerezler olup oturum süresince (gizlilik tercihlerinize dair çerezler hariç olmak üzere, zira bu çerezler oturum süresinden daha uzun ömürlüdür.) kişisel veri işlemekte, oturum sonlandığında otomatikman silinmektedirler. Söz konusu çerezler talep etmiş olduğunuz bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatırlanması) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Ayrıca performans ve analitik amaçlı çerez internet sitemizdeki ziyaretçilerin sayılması ve trafiğin ölçülmesine olanak sağlamaktadır ve birinci taraftır. Bu sayede sitemizin performansını ölçmekte ve iyileştirebilmekteyiz. |
|
Reklam / Pazarlama Çerezleri |
Bu çerezler internet sitemiz aracılığıyla reklam ortaklarımızın yerleştirdikleri çerezler olup üçüncü taraf çerezlerdir. Bu çerezler iş ortaklarımız tarafından ilgi alanlarınıza göre profilinizin çıkarılması ve size ilgili reklamlar göstermek üzere kullanılmaktadır. |
|
İşlevsel Çerezler |
Bu tür çerezler, internet sitemizi daha işlevsel kılmak ve kişiselleştirme amaçlarıyla (gizlilik tercihleriniz hariç olmak üzere diğer tercihlerinizin siteye tekrar girdiğinizde hatırlanmasını sağlamak) kullanılmaktadır. |
2. Çerez Aydınlatma Metni
Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca kişisel veri işleme süreçlerine ilişkin aydınlatma yükümlülüğü bulunmaktadır. Veri sorumlusu, kişisel veri işlerken ilgili kişinin açık rızasının ya da diğer kişisel veri işleme şartlarından birinin bulunması durumlarının her birinde aydınlatma yükümlülüğünü yerine getirmelidir. Çünkü aydınlatma yükümlülüğü, gerek açık rıza gerekse de Kanunda sayılan diğer kişisel veri işleme şartlarından bağımsız olarak her durumda yerine getirilmesi gereken bir yükümlülüktür.[3] Bu kapsamda, yalnızca zorunlu çerez ile veri işleme gerçekleştirilse dahi çerez aydınlatma metni aracılığıyla veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, ilgili kişinin hakları konusunda bilgi vermekle yükümlüdür. Aydınlatma metninin yalın ve sade bir dil içermesi politika formatında hazırlanmaması önem arz etmektedir.
3. Kurul Kararları ve Çerez Uygulamaları
Çerez kullanımına ilişkin Kişisel Verileri Koruma Kurulu’nun verdiği ilk karar Amazon Türkiye[4] aleyhine oluşturulmuş olup kararda çerez politikalarının ana sayfada pop-up olarak çıkması ve kapatma imkanı tanınması ile çerez aydınlatma metninin güncellenmesi gerektiği belirtilmiştir. Ancak uygulamada, pop-up çıkan çerez politikaları ile çerez duvarı oluşturarak pop-up metni kapatmadan siteye girişin engellenmesi gibi hatalar oluştuğu için 2022 yılının Haziran ayında yayımlanan Rehber ile aşağıda alıntılamış olduğumuz üzere daha ayrıntılı yönlendirmeler yapılmıştı:.
“Öte yandan, çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulması iyi uygulama örneği olabilecektir. Kanun’un 10’uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu çerez yönetim paneline, çerezler yoluyla kişisel veri işlenmesine dair bir açıklama veya gerekirse bir link konulması doğru bir uygulama örneği teşkil edecektir. Bu kapsamda, açık rıza ile işlenmesi gereken çerezlerin yönetim panelinde ilk elde pasif biçimde gelmesi önem arz etmektedir.”
Önemle altını çizmek isteriz ki kişilere reddetme imkânı tanınmaması rehberde kötü örnek olarak belirtilmiştir. Ayrıca aşağıda yer alan kararda görüleceği üzere veri sorumlusunun pazarlama çerezleri ile yurt dışına aktarıma ilişkin usulüne uygun bir rıza almaması veri güvenliği ihlali olarak değerlendirilerek idari para cezası kesilmesine sebep olmuştur.
“Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
Kanun’un 9’uncu maddesi anlamında aktarıma ilişkin olarak veri sorumlusunun Kuruma taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında kişisel verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği; ancak veri sorumlusunun bu yönde ilgili kişilerin açık rızasını almadığı, bu çerçevede veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetler Kanun’un 9’uncu maddesine uygun şekilde gerçekleştirilmediğinden, bu faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi gerektiği,
(…)Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,” (KVKK 10.03.2022 T. 2022/229 K.)
Bu bilgiler ışığında;
önerdiğimizi belirtiriz.
Av. Bilgesu Demirel
Özay Hukuk Bürosu
[2] Fransız Kişisel Verileri Koruma Otoritesi CNIL https://www.cnil.fr/fr/definition/cookie
[3] https://kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU
[4] KVKK 27.02.2020 T. 2020/173 K.