Kişisel Verileri Koruma Kurumu ("Kurum") tarafından çerez uygulamaları hakkında veri sorumluları için pratik tavsiyeler içeren, yol gösterici bir doküman oluşturulması amacıyla hazırlanan ve 11 Ocak 2022 tarihinde yayımlanan Çerez Uygulamaları Hakkında Rehber Taslağı, 20 Haziran 2022 tarihinde nihai hale getirilerek Çerez Uygulamaları Hakkında Rehber ("Rehber") olarak yayımlanmıştır.

A. Çerez Kavramı

Rehber'de "internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olan HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası" ve "bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları" olmak üzere iki farklı çerez tanımı yapılmıştır.

Rehber kapsamında çerezler; sürelerine, kullanım amaçlarına ve taraflarına göre üç başlık altında incelenmiştir. Sürelerine göre çerezler; oturum sürekliliğinin sağlanması amacıyla kullanılan oturum çerezleri ve internet tarayıcısı kapatıldığında silinmeyen kalıcı çerezler olarak iki alt başlığa ayrılmaktadır. Kullanım amaçlarına göre çerezler; internet sitesinin çalışması amacıyla gerekli olan zorunlu çerezler, kişiselleştirme ve tercihlerin hatırlanması amaçlarıyla kullanılan işlevsel çerezler, kullanıcıların davranışlarını analiz etmek amacıyla istatistiki ölçüme imkân veren performans-analitik çerezler ve reklam/pazarlama çerezleri olarak dört alt başlığa bölünmüştür. Taraflarına göre çerezler ise birinci taraf ve üçüncü taraf çerezler olmak üzere iki alt başlığa sahiptir.

Rehber yalnızca kişisel veri işlenmesini sağlayan çerezleri kapsamaktadır. Piksel, kullanıcı parmak izleri, local storage, beacon gibi teknolojiler kapsamında bir değerlendirmede bulunmamaktadır.

B. Elektronik Haberleşme Kanunu ile Kişisel Verilerin Korunması Kanunu Arasındaki İlişki

5809 sayılı Elektronik Haberleşme Kanunu'nun ("EHK") 51/3'üncü maddesi "Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir" hükmünü içermektedir. Rehber'de yalnızca BTK tarafından verilen yetki çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketler için uygulanabileceği öngörülen bu hüküm kapsamında kalan veri sorumlularının Rehber'de yer verilen 'Kriter A' kapsamındaki çerezler vasıtasıyla açık rıza almadan da çerez kullanabilecekleri, EHK'nın 51/3'üncü maddesindeki 'haberleşmenin sağlanması dışında' ifadesi ile sınırlı olmadıkları belirtilmiştir.

C. Çerezler Yoluyla Kişisel Veri İşlenmesinin Şartları

Rehber'de çerez kullanılarak kişisel verilerin işlenebilmesi için ya 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 5 ve 6'ncı ("Kanun") maddelerinde bulunan veri işleme şartlarının bulunması ya da veri sahibinin açık rızasının alınması gerektiği belirtilmiştir. Kişisel veri işlenmesinin açık rıza hukuka uygunluk sebebine dayanılarak gerçekleştirilmesi için Kanun'da yer alan açık rıza dışındaki şartlardan hiçbirinin bulunmaması gerekmektedir.

Rehber'de Kanun'un 5/2-f maddesinde yer alan 'ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması' işleme şartına dayalı olarak çerez kullanılması halinde veri sorumlularının;

  1. Kriter A: Çerezin sadece iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
  2. Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması

kriterlerini göz önünde bulundurmaları tavsiye edilmiştir.

Kurum; Rehber'de örnekleriyle birlikte açıklamalarına yer verdiği kullanıcı girdili çerezler, kimlik doğrulama çerezleri, kullanıcı merkezli güvenlik çerezleri, multimedya oynatıcısı oturum çerezleri, yük dengelemesi oturum çerezleri, kullanıcı ara yüzünü kişiselleştirme çerezleri, sosyal eklenti içerik paylaşımı çerezleri, açık rıza yönetim platformu için kullanılan çerezleri, birinci taraf analitik çerezleri ve internet sitesinin güvenliği için kullanılan çerezleri 'açık rıza dışındaki diğer kişisel veri işleme şartlarına dayanılabilecek çerezler' başlığı altında ele almıştır. Sosyal eklenti takip çerezleri ile çevrim içi davranışsal reklamcılık çerezleri ise Kriter A veya B kapsamına girmeyen, açık rıza işleme şartı dahilindeki çerez kullanım senaryoları arasında sayılmıştır.

Türkiye'de faaliyet gösteren internet sitelerinin yurt dışında yerleşik kişiler vasıtasıyla çerez kullanması ve bu çerezler vasıtasıyla yurt dışına veri aktarımı faaliyeti gerçekleştirmesi halinde, veri sorumlusunun bu veri aktarım faaliyetini Kanun'un 9'uncu maddesinde öngörülen şartlara uygun bir şekilde yürütmesi gerekecektir.

D. Çerezler Özelinde Hukuka Uygun Açık Rıza Alınmasının Şartları

Hukuka uygun bir açık rızadan söz edilebilmesi için açık rızanın belirli bir konuya ilişkin olarak verilmesi, rızanın verilmesinden önce veri sahibinin ayrı bir şekilde bilgilendirilmiş olması ve rızanın aktif olumlayıcı bir eylemle verilmiş olması gerekmektedir. Çerez yönetim panelinde çerezlerin tümünün aktif olarak belirlenmesi, veri sahibinin dilediği çerezlerden rızasını geri alabilmesi şeklindeki çerez yönetim paneli uygulamaları aktif olumlayıcı eyleme dayanmadığından açık rızanın hukuka uygun alınmış olması şartını karşılamamaktadır. Benzer şekilde tüm çerezlerin kullanılmasına onay verilmediği sürece internet sitesinin içeriğinin görüntülenmesini engelleyen uygulamalar olarak tanımlanan 'çerez duvarları' da ilgili kişinin özgür iradesini sakatlayabileceğinden geçerli olmayacaktır.

Çerezler hakkında verilen açık rızanın veri sahibi tarafından geri alınabilir olması şarttır. Bu kapsamda veri sahiplerinin çerez yöneyim paneline veya açık rıza alınan araca erişebilir kılınması sağlanmalıdır.

Rehber'de veri sahipleri nezdinde 'rıza yorgunluğuna yol açılmaması amacıyla' ilgili internet sitesine her girişte açık rıza alınması yoluna gidilmemesi, açık rıza tercihlerinin periyodik olarak hatırlatılması tavsiye edilmektedir.

E. Sonuç

Kişisel verilerin işlenmesinin özel bir görünümünü oluşturan çerezler yoluyla kişisel veri işlenmesi faaliyeti diğer veri koruma otoritelerince de ayrı düzenleme ve rehberlere konu edilmektedir. Kurum, yayımlamış olduğu Rehber ile Kanun'un kabulünden beri tartışmalara yol açan çerez uygulamaları hakkında yönlendirme yapmaktadır. Özellikle Rehber'de yer alan çerez kullanımına ilişkin kontrol listesi, iyi ve kötü uygulama örneklerinin veri sorumluları için yol gösterici olacağını değerlendirmekteyiz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.