Bu bültenimizi podcast olarak da dinleyebilirsiniz!
Kişisel Verileri Koruma Kurumu ("Kurum"), 11 Ocak 2022 tarihinde Çerez Uygulamaları Hakkında Rehber Taslağı'nı yayımlamıştı. Kurum, 20 Haziran 2022 tarihinde, Çerez Uygulamaları Hakkında Rehber'i yayımladı. Rehber, çerez teknolojilerini kullanan veri sorumlularının ilgili uygulamalarının Kişisel Verilerin Korunması Kanunu'na ("Kanun") uyumuna yönelik öneriler getirmektedir.
Yeni gelişme
Kurum, Rehber taslagini 11 Ocak 2022 tarihinde yayimlamis ve 10 Subat 2022 tarihine kadar kamuoyu görüsüne açmisti. Rehber'de, taslak versiyonda yer alan çerez türlerine iliskin detayli açiklamalar, 5809 sayili Elektronik Haberlesme Kanunu ("EHK") ile Kanun arasindaki iliski, çerez kullanim senaryolari ve hukuka uygun açik riza alimi, aydinlatma yapilmasina iliskin açiklamalara ve Kurum'un 27 Subat 2020 tarihli ve 2020/173 sayili kararinin çerezler açisindan degerlendirilmesine ek olarak kisisel verilerin çerezler vasitasiyla yurtdisina aktarimina da yer verilmistir. Rehber'de ayrica, çerez kullanimina iliskin kontrol listesi düzenlenmis ve çerez kullanimlari örneklendirilmistir. Ilgili karara buradan ve Rehber'e buradan ulasabilirsiniz. Rehber taslagina iliskin bilgi notumuza ise buradan ulasabilirsiniz.
Rehber Neler Getiriyor?
Çerez kullanan internet sitesi1 operatörlerinin Kanun'a uyumunu sağlamayı amaçlayan Rehber, yalnızca kişisel verilerin işlenmesinde kullanılan çerezleri kapsamaktadır. Rehber'de yer alan düzenlemeler piksel, kullanıcı parmak izleri, local storage, beacon gibi teknolojiler ilişkin herhangi bir yönlendirme içermemektedir. Rehber, masaüstü ve mobil internet siteleri ile uygulamalara ilişkin düzenlemeler getirmektedir.
Çerez tanımı ve türleri
Rehber, çerezleri; "internet sitesi
operatörleri tarafından kullanıcı cihazına
yerleştirilen bir tür
metin dosyasıdır HTTP(S) (Hiper Metin Transferi
Protokolü) talebinin bir parçası olarak
aktarılır" şeklinde
tanımlamıştır. Rehber'deki bir diğer
çerez tanımı ise "bir internet
sayfası ziyaret edildiğinde kullanıcılara
ilişkin birtakım bilgilerin kullanıcıların
terminal cihazlarında depolanmasına izin veren
düşük boyutlu zengin metin biçimli text
formatları"dır.
Rehber, çerez türlerini (i) sürelerine göre, (ii) kullanım amaçlarına göre ve (iii) taraflarına göre çerezler olmak üzere 3 ana başlıkta toplamıştır. Sürelerine göre çerezler, oturum çerezleri ve kalıcı çerezlerdir. Kullanım amaçlarına göre çerezler; kesinlikle gerekli (zorunlu), işlevsel, performans-analitik ve reklam/pazarlama çerezleridir. Taraflarına göre çerezler ise, çerezin, kullanıcının ziyaret ettiği internet sitesi veya etki alanı tarafından yerleştirilip yerleştirilmemesine bağlı olarak birinci ve üçüncü taraf çerez olarak ikiye ayrılmaktadır.
EHK-Kanun ilişkisi
Rehber, EHK ile Kanun arasındaki ilişki bakımından; EHK'da 2002/58/EC sayılı E-Gizlilik Direktifi'nin bilgi toplumu hizmetlerine yönelik düzenlemeleri yer almadığından bu konuda Kanun'un uygulama alanı bulacağını belirterek, Kurum'un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararına dikkat çekmiştir. İlaveten, EHK'nın yalnızca veri sorumlusu işletmeciler ile sınırlı olarak uygulanabileceği ifade edilmiştir.
Çerez kullanımında açık rıza alınmasına ilişkin kurallar
Rehber'de çerez kullanımında açık rızanın alınıp alınmayacağı hususunda belirleyici olan ve Avrupa Birliği'nde yer verilen iki kriter vurgulanmıştır. Bu doğrultuda, çerez kullanımının (i) sadece elektronik haberleşme şebekesi üzerinden iletişim sağlanması kapsamında veya (ii) abonenin veya kullanıcının açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olup olmadığı değerlendirilmelidir. Bu kriterlerden birine girmeyen ve Kanun'daki açık rıza dışındaki veri işleme şartlarından herhangi birinin bulunmadığı hallerde, ilgili kişinin açık rızası alınmalıdır. Belirtildiği üzere, çerez kullanımı için Kanun'da gösterilen veri işleme şartlarından herhangi birinin mevcudiyeti halinde ilgili kişinin açık rızasının alınması gerekmeyecektir.
Kurum, veri sorumlularının açık rıza alınmasını gerektiren çerez kullanımlarında, açık rızanın hukuka uygun olması için ilgili kişinin açık ve spesifik olarak bilgilendirilmesi ve rızanın ilgili kişinin aktif eylemi ve özgür iradesiyle alınması gerektiğini vurgulamıştır. Kurum, çok sık aralıklarla rıza alınmasının "rıza yorgunluğuna" sebebiyet verebileceğini ve ilgili kişinin özgür iradesini sakatlayabileceğini belirtmiştir. Rehber uyarınca, internet sitesine her girişte rıza alınması yerine açık rıza tercihinin çerezin ömrüyle orantılı şekilde hatırlatılması yeterlidir. Son olarak, çerez onayının ilgili kişinin internet sitesi içeriğini görüntülemesini engelleyici çerez duvarları kullanılarak alınmasının, açık rızanın hizmetin ön koşulu olarak sunulması sebebiyle özgür iradeyi sakatladığı vurgulanmıştır.
Üçüncü taraf çerezlerin kullanıldığı hallerde, hem internet sitesi sahibi hem de üçüncü taraf ilgili kişilerin açık bir şekilde bilgilendirilmesinden ve hukuka uygun açık rıza alınmasından sorumludur. Rehber, üçüncü kişilerin internet sitesi sahibine göre ilgili kişilerle bağlantı kurmasının daha zor olması sebebiyle, internet sitesi sahibi ile yapılacak sözleşmede, aydınlatma yükümlülüğü ve rıza alımına ilişkin kuralların düzenlenmesini önermektedir.
Yurt dışına aktarım
Türkiye'de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla çerez kullanmak suretiyle yurt dışına veri aktarmaları halinde bu faaliyetin Kanun'un kişisel verilerin yurtdışına aktarımına ilişkin düzenlemelerine uygun olması gerekmektedir. Bu kapsamda, ilgili kişiden açık rıza alınması veya aktarım yapılacak ülkede yeterli koruma bulunması veya Kurul'a taahhütname sunulması gerekmektedir.
Sonuç
Kurum, çerez kullanımına ilişkin uygulamaların hukuka uygun hale getirilmesi amacıyla yayımladığı Rehber'de, başta internet sitesi operatörleri olmak üzere çerezler aracılığıyla kişisel veri işleme faaliyetinde bulunanlara yol göstermektedir. İlgililer, uygulama bakımından oldukça önemli olan Rehber'i inceleyerek faaliyetlerini Kurum yönlendirmeleri doğrultusunda hukuka uygun olarak yürütmelidir.
Footnote
1. Rehber'de anılan "internet sitesi" terimi, internet sitesi veya ortamları (mobil veya tablet gibi) içerir şekilde kullanılmıştır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
