Kişisel Verileri Koruma Kurulu ("Kurul") tarafından, 10/03/2022 tarihinde verilen 2022/229 sayılı Kurul Kararı kapsamında, çerezler aracılığıyla kişisel veri işleme faaliyetinin gerçekleşiyor olması durumunda, veri sorumlularının genel olarak uyması gereken hususların belirlenmiş olduğu tespit edilebilmektedir. İşbu bilgi notu da anılan karar kapsamında öne çıkan şartların neler olduğu konusunda bir tespit yapılması amacıyla hazırlanmıştır. Ayrıca bu konuda Kişisel Verileri Koruma Kurumu'nun internet sitesinde 11 Ocak 2022 tarihinde yayımlamış olduğu Taslak Çerez Rehberi de yol gösterici olup, Çerez Rehberi'nin tamamlandıktan sonra yayımlanmasından ardından da ilgili süreçlerin bu rehbere göre yeniden gözden geçirilmesi gerekecektir. Bu kapsamda 2022/229 sayılı Kurul Kararı üzerinden tespit edilebilen hususlar beş farklı başlık altında aşağıda belirtilmiştir.

1. Kesinlikle Gerekli Olan/Olmayan Çerez Ayrımı

"Kesinlikle gerekli çerezler", internet sitesinin düzgün çalışması için gerekli çerezlerdir. Bir internet sitesinin düzgün çalışması için zorunlu olarak nitelendirilen bu çerezler ile kişisel veri işlenmesi durumunda, ilgili kişinin açık rızasına gerek duyulmaksızın Kişisel Verilerin Korunması Kanunu'nun ("Kanun") md. 5/2 veya md. 6/3 hükümlerinde yer alan işleme şartlarına dayanılarak veri işleme faaliyetinin gerçekleştirilmesi mümkündür. Ancak bunun aksine; reklam, pazarlama ve performans amacıyla çalışan çerezlerin yani "Kesinlikle gerekli çerezler" statüsünde olmayan çerezlerin platformda kullanılması ve bunlar aracılığıyla kişisel veri işleme faaliyetinin gerçekleştirilmesi durumunda, veri sorumlusunca ilgili kişilerin açık rızalarının alınmış olması gerekir. Meğerki Kanun'un md. 5/2 veya md. 6/3 hükümlerinde yer alan işleme şartlarından biri bulunsun. Bu kapsamda, kesinlikle gerekli çerezler statüsünde olmayan çerezler ile kişisel veri işlenmesi durumunda, Kanun'un md. 5/2(f) hükmünde yer alan veri sorumlusunun meşru menfaatine dayalı olarak kişisel veri işlenmesi hükmüne de dayanılması mümkün olmayacaktır. Zira ilgili kişilerin kullanıcı tercihlerini işleyen bu türden çerezlerin, işlevselliği sağlama amacı ile kullanıldığı dikkate alındığında kesinlikle gerekli çerezler kapsamında değerlendirilmesi mümkün değildir. Bu nedenle; veri sorumlularının, ilgili kişilerin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda bu ilgili kişilerden açık rıza alarak söz konusu faaliyeti gerçekleştirmesi gerekmektedir.

2. Çerezler Hakkında Pop-Up Bilgilendirmeleri

Veri sorumlularının internet sitesine veya platformlarına girildiği anda, ekranda kullanıcının karşısında çıkan bir pop-up ile çerezler hakkında açıklamalar barındıran kutucuk ile kullanıcılara bilgi vermesi ve bu bilgilendirmenin içerisinde de kesinlikle gerekli olmayan çerezler bakımından veri sorumlusunun ilgili kişilerin açık rızasına başvurduğuna ilişkin bilginin yer alması gerekmektedir. Ayrıca platformda kullanılan çerezlere ilişkin süreçte, ilgili kişilerin çerezler hakkında bilgi edinmesine olanak sağlayacak ve çerezlerin kullanılmasına izin verme veya reddetme hakkının kullanılabilmesini temin edecek seçeneklerin oluşturulması ve yönlendirmelerin yapılması gerekmektedir. Veri sorumlusunca ayrıca bir Çerez Politikası oluşturulmuşsa, Platform üzerinde pop-up şeklindeki kutucuk ile bilgi verilirken, kullanıcının doğrudan bu çerez politikasına yönlendirilmesinin sağlanması da gerekmektedir. Burada veri sorumlusunun ilgili politikalarının yer aldığı sayfaya yönlendirme yapılması yeterli olmayacaktır. Sonuçta pop-up üzerinden kullanıcıları doğrudan Çerez Politikasına ulaştıracak linkin bu kutucuğa eklenmesi, bu linkin üzerine tıklandığında kullanıcıyı doğru yere götürdüğünden emin olunması ve linkin aktif olması gerekmektedir. Zira ekranda beliren popup üzerinden ilgili kişilerin doğrudan Çerez Politikasına yönlendirilmesi; çerezler konusunda veri sorumlusunca yapılacak aydınlatmanın daha kolay erişilebilir olmasının sağlanması adına önem arz etmektedir.

3. Kesinlikle Gerekli Olmayan Çerezler Bakımından Açık Rıza Alınmasının Zorunlu Olması

Kanun kapsamında açık rızanın, "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanmış olması dikkate alındığında, ilgili kişilerin verecekleri açık rızaları gerçekleştirecekleri "aktif bir hareket" vasıtasıyla yapması bir prensip olarak kabul edilmiştir. Bu kapsamda, internet ortamında çerezler vasıtasıyla kişisel veri işleyen veri sorumluları tarafından, kesinlikle gerekli olmayan çerezler hakkında açık rızanın alınmasında, ilgili kişinin bilgilendirilmesini, iradesini özgür olmaktan çıkaracak etkenlerden uzaklaşmasını ve aktif hareketi ile rızayı vermesini sağlayacak sistemleri kullanmaları gerekmektedir. Aksi halde ilgili kişiden alınmış olan rızanın Kanun kapsamında açık rıza olarak değerlendirilmesi mümkün olmayacaktır. Bu durumda da kesinlikle gerekli olmayan çerezlerin kullanılmasında Kanun'un 5'inci ve 6'ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılamayacağından, veri sorumlusunca hukuka aykırı olarak kişisel veri işleme faaliyeti gerçekleştirildiği sonucuna ulaşılacaktır.

Veri sorumlularının, internet sitesinde ve mobil uygulamalarında yer alan ve bu platformun düzgün çalışması için zorunlu olan kesinlikle gerekli çerezler dışında kalan; işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak; ilgili kişilerin açık rızaları dışında kanuni bir veri işleme şartının bulunmadığı durumlarda, veri sorumlularınca platformu ziyaret eden kullanıcıların aktif hareketleri ile açık rıza alınması gerekmektedir. Bunun sağlanması adına, platformun açıldığı ilk anda ana sayfada, ilgili kişilerin iradi olarak ve aktif hareketiyle söz konusu zorunlu olmayan çerezlerin çalışmasına onay vermesini sağlayacak, yani platformda varsayılan ayar olarak zorunlu olmayan çerezlerin pasif olmasını öngören "opt-in" mekanizmasının kullanılması gerekmekte ve buna göre ilgili kişilerden açık rıza alınması gerekmektedir.

4. Çerezler ile Yurt Dışına Veri Aktarımı

Çerez hizmeti sunan yerli bir hizmet sağlayıcının bulunmadığı durumlarda, platformda veri sorumlusunun gerçekleştirdiği faaliyetlerden biri de Kanun'un md. 9 hükmü kapsamında yurt dışına veri aktarımı olacaktır. Çerezler vasıtasıyla platform üzerinden gerçekleşecek yurt dışına veri aktarımına ilişkin olarak, Kurum'un yeterli korumanın bulunduğu ülkelerin listesini de henüz belirlememiş olduğu göz önünde tutulursa; veri sorumlularınca Kurum'a taahhütname sunulması veya ilgili kişilerden kişisel verilerinin yurt dışına aktarılacağına ilişkin açık rızalarının alınması gerekecektir. Bu halde anılan zorunlu olmayan çerezlerin kullanımında, ancak ilgili kişilerin yurt dışına veri aktarılacağına ilişkin olarak açık rızasının alınması şartına dayalı olarak yurt dışına veri aktarma faaliyeti gerçekleştirilebilecektir. Aksi halde veri sorumlusunda hukuka aykırı olarak gerçekleşen veri işleme faaliyetinin yanında, hukuka aykırı olarak yurt dışına veri aktarımı gerçekleştiği sonucuna da ulaşılacaktır.

5. Çerez Politikalarının Düzenlenmesi ve İçeriği

Son olarak internet sitelerinde veya diğer platformları üzerinde, çerezler vasıtasıyla veri işleyen veri sorumlularınca, Çerezlere özgülenmiş bir Çerez Politikası oluşturulmuşsa ve ilgili kişiler de çerezler vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından bu Çerez Politikasına yönlendiriliyorsa, veri sorumlusunun hazırlamış olduğu diğer politikalarında çerezlerle ilgili olarak vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerekmektedir. Bunun yanında Çerez Politikası adı verilen metnin bu durumda ayrıca Kanun'un md. 10 hükmüne ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e (Tebliğ) uygun olması veri sorumlusunun aydınlatma yükümlülüğünü yerine getirilebilmesi açısından gereklidir.

Bu kapsamda Çerez Politikasında; veri sorumlusunun kimliğine ilişkin açıklamalara, kişisel verilerin hangi amaçla işleneceği konusundaki açıklamalara, kişisel verilerin kimlere aktarılabileceği ve aktarımın hangi amaçla gerçekleşebileceği konusundaki açıklamalara, kişisel veri toplamanın yöntemi ve hukuki sebebi hakkındaki açıklamalara ve ilgili kişinin Kanun'un md. 11 hükmünde sayılan hakları konusunda açıklamalara yer verilmesi gerekecektir. Bu konularda Çerez Politikasında yer verilen bilgilerin de doğru bir şekilde verilmesi ve bu kapsamda bilgilendirme yapılması gerekmektedir.

Çerez Politikası'nın içeriğinde de veri sorumlusunun kullandığı çerez çeşitlerinin her birine ilişkin olarak bilgilere yer verilmesi; her bir çerez bakımından kişisel veri işleme amacının tablo üzerinde ilgili kişiler tarafından anlaşılabilecek bir açıklıkta gösterilmesi gerekeceği ve çerezlerin niteliği itibariyle teknik bir konu olması nedeniyle veri sorumlularının Çerez Politikalarında daha anlaşılır, açık ve sade bir dil kullanmasının gerektiği belirtilmelidir. Bu kapsamda son olarak, veri sorumlularının Çerez Politikasında yeterli sadelikte ve açıklıkta, anlaşılır bir şekilde hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkili olduğunu açıkça belirtmesi gerektiği, ayrıca hangi kişisel verilerin hangi yöntem ile elde edildiğinin de Çerez Politikasında aynı açıklıkta belirtilmesi gerektiği söylenebilir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.