Özet

"Kisisel verilerin korunmasi" özellikle 7 Nisan 2016 tarihinde 6698 sayili Kanun'un yürürlügü girmesi ile birlikte çokça karsilastigimiz bir kavram olmustur. Kisisel verilerin korunmasi kapsaminda degerlendirilen basliklardan baslica bir tanesi çerez uygulamalaridir. Çerezler, web siteleri tarafindan farkli amaçlar dogrultusunda ziyaretçilerin bilgilerini toplayan metin kutularidir. Web siteleri çerezlerin kullanim amaçlarini hizmet verdikleri alanla paralel sekilde belirler. Çerezlerin türlerine bagli olarak isledikleri veriler de farkliliklar arz etmektedir.

Web sitelerinin kaçinilmaz bir sekilde kisisel veri isledikleri göz önüne alindiginda çerez uygulamalarini belirli bir hukuki zemine oturtma geregi dogmustur. Bu süreçte çerez uygulamalari Kisisel Verilerin Korunmasi Kanunu ile 5809 Sayili Elektronik Haberlesme Kanunu kapsaminda degerlendirilmisse de Türk hukukunda çerez uygulamalari bakimindan dogrudan dogruya uygulanabilir bir düzenleme bulunmadigi, çerezlerin tabi oldugu kurallara iliskin bir belirsizlik söz konusuydu. Bu durum sonucunda Kisisel Verileri Koruma Kurumu 11 Ocak 2022 tarihinde resmi internet sitesinde çerezler yoluyla kisisel veri isleyen veri sorumlularina yönelik tavsiye niteliginde ve yol gösterici mahiyette Çerez Uygulamalari Hakkinda Rehber yayinlamistir.

Halihazirda yazilan makalemizde çerezler ile ilgili genel bir bilgilendirme yapmakla birlikte Kurul tarafindan yayimlanan Çerez Uygulamalari Hakkinda Rehber Taslagi'nin içerigi degerlendirilmistir.

Abstract

Protection of personal data" has become a concept that we encounter a lot, especially with the enactment of Law No. 6698 on April 7, 2016. One of the main topics considered within the scope of protection of personal data is cookie practices. Cookies are text boxes that collect visitors' information  by websites for different purposes. Websites determine the purposes of use of cookies in parallel with the area they serve. Depending on the types of cookies, the data they process also differs.

Considering that the websites process personal data, it has become a necessity to place cookie practices on a certain legal ground. In this process, although the cookie practices were evaluated within the scope of the Personal Data Protection Law and the Electronic Communications Law No. 5809, there was no directly applicable regulation in terms of cookie practices in Turkish law. As a result of this situation, the Personal Data Protection Authority published the Guide Draft on Cookie Practices on the official website on January 11, 2022, as an advisory and guide for data controllers who process personal data via cookies.

In this current article, we will examine Guide to Cookies Applications published by the Committee after giving general information about cookies.

Giris

Çerezler, web sitelerince toplanan küçük bilgiler içerir metin dosyalaridir. Bir baska tanim yapmak gerekirse, çerezler web sitelerinin bilgisayar veya telefonlarimizda sakladiklari bilgilerdir. Her web sitesi çerezlerin kullanim amacini kendisi belirler. Böylelikle farkli türlerde çerezler ortaya çikar ve her biri farkli bir amaca hizmet eder. Bu veri dosyalari telefon ve bilgisayar hafizasinda uzun süre saklanir. Istisnasiz internet kullanicisi her birey çerezlerle karsilasmaktadir. Kullanici web tarayicisina giris yaptiginda tarayici sunucuya erisim talebi gönderir, sunucu bu talebe olumlu dönüs yaptiginda bir takim veriler bu erisimle aktarilmis olur.  Bu veriler kisiyi tanimlamayan rastgele verilerden olusabilecegi gibi tamamen kisisel verilerden de olusabilir. Bu noktada hizmet saglayicisi bakimindan kisilerin verilerin korunmasi yükümlülügü dogmaktadir. Kisisel verilerin koruma kapsamini belirleyebilmek adina öncelikle çerezlerin türlerini belirlemek gerekmektedir.

Çerezler kaynaklarina göre "birinci taraf çerezler ve üçüncü taraf çerezler" olarak ayrilir. Birinci taraf çerezler sadece kisinin ziyaret ettigi internet sitesi tarafindan tanimlanip kullanilirken üçüncü taraf çerezler kullandigimiz site disinda üçüncü bir site tarafindan da kullanilir. Kullanim amaçlarina göre "zorunlu çerezler, performans çerezleri, islevsel çerezler ve reklam çerezleri" olarak ayrilirlar. Zorunlu çerezler kullandiginiz sitenin dogru bir sekilde çalismasini saglar. Performans çerezleri internet sitesinin kullanim sekli, ziyaret sikligi ve sayisi hakkinda bilgi toplayan ve ziyaretçilerin siteye nasil geçis yaptigini gösterir. Performans çerezleri sitenin kullanim amacini, isleyis biçimini iyilestirerek performansi arttirir ve genel egilim yönünü belirler. Islevsel çerezler ziyaretçilerin site içerisinde kullanicinin yaptigi seçimleri kaydederek kullanim kolayligi saglar. Reklam çerezleri ise ziyaretçilerin özel ilgi alanlarini bulmayi hedefler. Kullanim ömrüne göre ise çerezler "oturum çerezleri ve kalici çerezler" olarak siniflandirilir. Oturum çerezleri oturum kapatilana kadar geçerli olurken kalici çerezler oturum kapatildiktan sonra da sunucuda korunur.

Türk Hukukunda Çerezler

Türk Hukukunda çerezler Elektronik Haberlesme Kanunu ve 6698 Sayili Kisisel Verilerin Korunmasi Kanununa tabidir. Çerezler tek basina veya bir araya gelerek gerçek kisiye ait ayirt edici bilgiler içerir hale geldiginde 6698 Sayili kanun çerçevesinde degerlendirilecektir. Kisisel Verileri Korunma Kurulu da çerezlerin bu kapsamda degerlendirilmesi gerektigi görüsünü emsal Amazon karariyla ortaya koymustur. 6698 sayili Kanun yani sira Elektronik Haberlesme Kanunu da çerezler hakkinda özel bir düzenleme içerir. EHK mad. 51/3 içeriginde "Elektronik haberlesme sebekeleri, haberlesmenin saglanmasi disinda abonelerin/kullanicilarin terminal cihazlarinda bilgi saklamak veya saklanan bilgilere erisim saglamak amaciyla isletmeciler tarafindan ancak ilgili abonelerin/kullanicilarin verilerin islenmesi hakkinda açik ve kapsamli olarak bilgilendirilmeleri ve açik rizalarinin alinmasi kaydiyla kullanilabilir." ifadelerine yer verilir. EHK ilgili maddesi KVKK kapsamina göre çok daha dar ve özeldir. Kurul Türkiye'deki mevzuatin çerezler noktasinda eksik kaldigini da belirterek durumu su sekilde özetlemistir; "Türk hukukunda çerezlerin tabi oldugu kurallar bakimindan bir belirsizlik söz konusudur. Nitekim, çerez uygulamalarina, 6698 sayili Kisisel Verilerin Korunmasi Kanunu, 5809 sayili Elektronik Haberlesme Kanunu ve ilgili yönetmelik hükümlerinin ne ölçüde uygulanabilecegi tartismaya açiktir. Bununla birlikte, hukukumuzda, çerezler bakimindan açik ve ayrintili hükümler bulunmamasi, önemli hukuki sorunlari ve sorulari beraberinde getirmektedir."  [1]

Gördügü bu eksikligi tamamlamak adina Kisisel Verileri Koruma Kurumu tarafindan  11.01.2022 tarihinde Çerez Uygulamalari Hakkinda Rehber yayimlamistir.          

Çerez Uygulamalari Hakkinda Rehber

Taslak genel itibari ile dokuz ana basliktan olusmaktadir. Öncelikli olarak rehber taslagin hangi amaçlarla ve hangi halleri kapsar nitelikte oldugundan bahsedilmistir. Temel amaç veri sorumlularinin çerez politikasi hazirlarken dikkat etmesi gereken unsurlari içermekteyken taslak kapsaminda sadece kisisel veri içeren çerezler mevcuttur. Bunun yani sira Kurum tarafindan sunulan rehber taslagi ("Taslak") uygulama çerezlerini kapsami içine dâhil etmistir.

Çerez Uygulamalari Hakkinda Rehber Taslagi çerezleri, "Çerez, internet sitesi operatörleri tarafindan kullanici cihazina yerlestirilen bir tür metin dosyasidir." seklinde tanimlayarak ayri basliklar halinde çerez türlerini açiklamistir. Çerezleri sürelerine göre, kullanim amaçlarina göre ve kullanan taraflarina göre üç ana grupta kategorize etmistir. Devaminda kategorileri de gruplandirarak sürelerine göre çerezleri oturum çerezleri ve kalici çerezler olarak, kullanim amaçlarina göre çerezleri zorunlu çerezler, islevsel çerezler, performans çerezleri ve reklam çerezleri olarak, taraflarina göre çerezleri ise birinci taraf çerezleri ve üçüncü taraf çerezleri olarak ayirmaktadir.

5809 Sayili Elektronik Haberlesme Kanunu ile 6698 Sayili Kisisel Verilerin Korunmasi Kanunu arasindaki iliskiyi inceleyerek 6698 S. Kanun'un kapsaminda çerezlerin açikça düzenlenmedigi lakin EHK mad. 51'in özel bir düzenleme kapsami olusturdugu sonucuna varmistir. "Elektronik Haberlesme Kanunu'nun 51'inci maddesinin üçüncü fikrasinin, AB'nin 2002/58/EC sayili Direktifi'nin 5'inci maddesinin üçüncü fikrasi ile kismi bir uyum göstermesi sebebiyle çerezler konusunda, veri sorumlusu isletmeciler bakimindan 5809 sayili Kanun'un sinirli bir uygulama alani bulabilecegi degerlendirilmektedir." Ifadelerine yer vererek bilgi toplumu hizmetleri bakimindan EHK'nin kapsamina girmediginden sebeple söz konusu hizmetler bakimindan 6698 Sayili Kanun maddeleri uygulama alani bulacagini söylemek mümkündür. Kanun maddesinde bilhassa isletmeciler ifadesine yer verilmesi ile sorumluluk kapsami iyice daraltilmistir.

Çerezin sadece, iletisimin elektronik haberlesme sebekesi üzerinden saglanmasi amaciyla kullanilmasi (Kriter A); Çerez kullaniminin, abonenin veya kullanicinin hizmet almak için açikça talep ettigi bilgi toplum hizmetleri için kesinlikle gerekli olmasi (Kriter B) hallerinde Avrupa Birligi kisinin rizasina ihtiyaç duyulmadigini kabul eder. Yayimlanan taslakta ise 6698 Sayili Kanun'un veri sorumlularina çerezleri kullanmadan önce kisinin açik rizasinin alinmasini veya Kanun'un Mad. 5 ve 6 sayilan isleme hallerine dâhil edilmesi gerektigini belirtmektedir. Sorumlularin öncelikli olarak veri isleme sartlarina bakmalari eger veri isleme sebebi hiçbirinin kapsamina girmiyor ise açik riza yoluna gitmeleri gerektiginin alti çizilmistir. Veri sorumlusunun mesru menfaati ile veri islemesi halinde öncelikli olarak kisinin temel hak ve hürriyetleri temel alinmasi ve bu iki hak/menfaat arasinda denge testi yapilmasi önerilmistir. 6698 S. Kanun'un temel amacinin kisisel verileri her durumda gözetmek oldugu göz önüne alindiginda taslak metinde bulunan bu öneri yerindedir. Zira kisisel verilerle ilgili hazirlanan tüm dokümanlarda dikkat edilen yegâne koruma alani da budur. Rehber taslakta veri sorumlusunun mesru menfaati için zorunlu olmasi hali için örnekler verilmis olup konu somutlastirilmaya çalisilmistir.

Açik rizaya en son basvurulmasi gerektigi detayli bir sekilde ele aldiktan sonra 6698 Sa. Kanun'un Mad. 5 kapsaminda islenebilecek çerez türleri aktarilmistir. Bunlar kullanici girdili çerezler, kimlik dogrulama çerezleri, kullanici merkezli güvenlik çerezleri multimedya oynaticisi oturum çerezleri, yük dengeleyicisi oturum çerezleri, kullanici arayüzün kisisellestirme çerezleri, sosyal eklenti içerik paylasimi (begen, paylas, yorum) çerezleri, açik riza yönetim platformu için kullanilan çerezler, birinci taraf analitik çerezler, internet sitesinin güvenligi için kullanilan çerezlerdir. Yük dengelemesi oturum çerezleri haricinde sayilan tüm çerez türleri Kriter B kapsaminda degerlendirilmistir. Kriter B kapsaminda degerlendirilen çerezlere bakildiginda hepsinde kisinin kendi onaylamasi ile çerez kullaniminin basladigi görülmekte oldugunda tekrar bir açik riza beyanina ihtiyaç duyulmamaktadir. Kaldi ki adi anilan tüm çerezlerin kisiye hizmet sunmak için gerekli oldugunun altini çizmekte fayda vardir.

Kriter B altinda degerlendirilemeyen çerez kullanimlari için açik rizanin kaçinilmaz oldugundan bahsedilmisti. Taslak'ta bu hal altina degerlendirilen çerez türlerine de yer verilmistir. Bunlar; sosyal eklenti takip çerezleri ve çevrimiçi davranissal reklamcilik çerezleridir. Bu çerez türlerinin "kesinlikle gerekli" oldugu kabul edilmediginden Kriter B kapsamina alinamamistir. Ilgili çerezlerin kullanimi için site üyelerinin açik bir talebi aranir aksi halde kullanilamaz. Yukarida da bahsedilen denge testi bu çerezler için uygulandiginda kisinin temel hak ve hürriyetlerinin agir bastigi düsüncesinin Kurul tarafindan da kabul gördügü Taslak metnin yayimlanmasi ile neticelendirilmistir.

Açik riza alinmasi gereken çerez türlerinin belirlenmesinden sonra açik rizanin nasil hukuka uygun hale getirilecegi hususu da Taslak'ta yer almaktadir. Öncelikle rizanin hangi konuya iliskin istendigi açik ve net olmalidir. Kurul kararlarindan da görüldügü üzere "tüm bilgilerimin islenmesine riza gösteriyorum" minvalindeki açik riza beyanlari "battaniye riza" niteliginde kabul edilerek hukuki anlamda bir kabul görmemektedir. Açik rizanin hangi hususta istendigi netlestirildikten sonra kisiye ait hangi verilerin kullanilacagi, hangi amaçlarla islenecegi gibi hususlarinda detaylandirilmasi yerine olacaktir. Bununla birlikte ilgili kisiye rizasini diledigi zaman geri alma hakki taninmali ve bu hakkini kullanabilecegi konusunda bilgilendirme yapilmalidir. Akabinde ilgili kisiye, açik riza gösterdigine dair eylem gerçeklestirecek alan saglanmalidir. Taslak'ta kabul ve ret butonlari ayni büyüklükte olacak sekilde seçenek sunulmasi örnek olarak verilmistir. Ayni büyüklük olarak altinin çizilmesi sebebi kisinin iradesinin tahrip edilmesinin önüne geçmektedir. Bunun yani sira açik rizanin her oturum açildiginda istenmesinin riza yorgunluguna sebep olabileceginden aralikli olarak hatirlatilmasi önerilmistir.

Kisiye uygun aydinlatma yükümlülügünün yerine getirilmesi noktasinda Kanun'un 10. maddesi söyledir: "Aydinlatma Yükümlülügünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Teblig"in (Teblig) hükümlerine uygun hareket edilmesi gerekmektedir." Veri sorumlusu, en geç veri islemeye basladigi anda kisiyi aydinlatmakla yükümlüdür. En önemli hususlardan biri aydinlatma yaparken anlatimin sözlü veya yazili bir biçimde yalin ve basit olmasidir. Açik ve yalin bir anlatimla ilgili kisi riza gösterirken tam olarak neye, hangi kosullarda izin verdigini açikça anlayacak ve aydinlanacaktir. Taslak'ta aydinlatmanin siteye ilk giris aninda yapilmasi gerektigi belirtilerek buna uygun olmayan aydinlatmalarin ihtilafli olacagi ön görülmüstür. Ek olarak Aydinlatma Metninde kullanilan çerezin adi, kullanim amaci ve kullanim süresi ile birinci veya üçüncü taraf olup olmadigi bilgilerine de açikça yer verilmesi önerilmistir.

Taslak'in son bölümünde bir sirket hakkindaki basvuru ile ilgili Kisisel Verileri Koruma Kurulunun 27/02/2020 tarih ve 2020/173 Sayili Kararinin çerezler bakimindan  degerlendirilmesi yer almaktadir. Karar Amazon Türkiye'nin açik riza almaksizin veri islemesi, kisisel verileri yurtdisina aktarmasi ve aydinlatma yükümlülügünü usulüne uygun yerine getirmemesi hakkindadir. Söz konusu kararda Amazon Türkiye'nin opt-out sistemini kullanarak kisinin verilerinin islendigi haber verildikten sonra bunu kaldirabilecekleri bilgisi verme usulü uygulandigi tespit edilmis uygulanmasi gereken usulün opt-in yani öncelikli onay sistemi olmasi gerektigi bildirilmistir. Emsal nitelikte olan bu kararin önemli noktalari su sekilde kararda yer almistir;

  • Aydinlatmanin tüm unsurlarini içerecek sekilde açik, sade ve anlasilir sekilde yapilmasi gerekmekte olup internet sitesinde karmasik ve içinde pek çok baska konuda bilgi veren Gizlilik Bildirimlerinin yer almasi aydinlatma yükümlülügünün yerine getirildigi seklinde yorumlanamayacaktir.
  • Kisisel veri isleme faaliyetinin açik riza sartina dayali olarak gerçeklestirilmesi hâlinde, aydinlatma yükümlülügü ve açik rizanin alinmasi islemleri ayri ayri yerine getirilmelidir.
  • Çerez yoluyla kisisel veri islenmesine iliskin olarak; bir sözlesmenin kurulmasi veya ifasi kapsaminda açik riza alinmasi, ilgili kisiye sözlesmenin ön kosulu olarak dayatilamayacaktir.
  • Ilgili kisilerden açik riza alinmasi yoluyla elde edilen kisisel verilerin islenmesinde her bir farkli amaç için ayri açik riza alinmasina olarak veren bir mekanizma kurulmalidir.
  • Kisisel verilerin -en geç- elde edilmesi sirasinda yani internet sitesine girildigi anda aydinlatmanin yapilmis olmasi gerekmektedir. Aydinlatma henüz veri islenmedigi ya da en geç veri islendigi esnada yapilmalidir.
  • Açik rizanin alinabilmesi için aktif bir eylemin gerçeklesmis olmasi gerekmektedir, sadece internet sitesine girilmis olmasi ile söz konusu site tarafindan kullanilan çerezlere açik riza verildigi anlamina gelmemektedir.
  • Kararda, çerezler yoluyla kisisel verilerin islenmesi için açik riza disinda bir hukuki sebebe de dayanilabilecegi degerlendirilmektedir.

 

Sonuç

Kurum, çerez kullanimina iliskin uygulamalarin hukuka uygun hale getirilmesi amaciyla yayimladigi Taslak, veri sorumlularinin çerezler araciligiyla kisisel veri islerken hangi unsurlara dikkat etmeleri gerektigine iliskin bir pusula görevi görmektedir. Taslak, çerez kullanan veri sorumlulari için çerez tanimlamalari da dâhil olmak üzere çerezlerin bagli olduklari kanunlar, açik riza gereken ve gerekmeyen islemeler, açik rizanin hukuka uygun olmasi gerekliligi ve aydinlatma süreçleri hakkinda bilgiler içermektedir. Öyle ki Rehber Taslak'in son bölümünde iyi ve kötü metin örneklerini de ekleyerek bahsedilen detaylari somutlasmistir.

Kaynakça

Dijital Kaynaklar

https://kisiselveri.com/cerez

https://www.kaspersky.com.tr/resource-center/definitions/cookies

https://dergipark.org.tr/tr/pub/kvkd/issue/62960/942910

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/1336263f-22bb-4da3-a1b9-aabc0e0e8bff.pdf

1. Kisisel Verileri Koruma Dergisi, AB ve Türk Hukuklarinda Çerezler: Kisisel Verilerin Korunmasi Açisindan Karsilastirmali Bir Degerlendirme, Cilt:3, S. 1, s. 62

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.