İnternet kullanan herkesin artık bildiği çerezler, internet siteleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olup; HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır. Çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli metin formatlarıdır.E- Ticaret Siteleri tarafından kullanılan çerezler; sürelerine, kullanım amaçlarına ve taraflarına olmak üzere 3 ana başlıkta toplanmaktadır.

E-Ticaret Kategorimizde ilgili daha fazla içeriğe göz atabilirsiniz.

Sürelerine Göre Çerezler

Bu çerez türleri; "Geçici (Oturum) Çerezleri" ve "Kalıcı Çerezler" olmak üzere iki gruba ayrılır. Geçici çerezler, oturum sürecinde olarak aktif olarak bulunan, sürekliliği sağlamaya yardımcı ve tarayıcının kapatılması ile silinen çerezlerdir. Kalıcı çerezler ise kullanıcının internet sitesini her ziyaret ettiğinde kullanıcının işlenen verilerin sunucuya iletildiği ve bu şekilde sürekliliği sağlayan, tarayıcının kapatılması ile silinmeyen veya belirli bir süre sonra kendiliğinden silinebilen çerezlerdir.

Kullanım Amaçlarına Göre Çerezler

Bu çerez türleri; "Zorunlu Çerezler", "İşlevsel Çerezler", "Performans Çerezleri" ve "Reklam/Pazarlama Çerezleri" olarak dört gruba ayrılır.

  • Zorunlu Çerezler; E-Ticaret sitesinin çalışması açısından zorunlu olan ve engellenmesi halinde internet sitesinin çalışmasında problem yaşatabilecek, pazarlama ve ticari amaçlı olarak kullanılmaması gereken çerezlerdir. Regülasyona uyum yönünden ise Kişisel Verilerin Korunması Kanunun ("KVKK") açısından açık rıza şartı gerekmeyen çerezler kapsamındadır.
  • İşlevsel Çerezler; E- ticaret sitesi için zorunlu olan çerezler arasında değildir. Siteyi ziyaret eden, üyeler ya da ziyaretçiler için bireysellik sağlamaktadır.
  • Performans ve Analiz Yapmaya Yarayan Çerezler; E-Ticaret sitesinin özelliklerini geliştirmek için kullanılır. Ziyaretçinin sitede ne kadar kaldığı gibi teknik detayları kullanır. Kullanıcının web sitesi deneyimini artırmaya yarar. E-Ticaret sitesinin kullanıcı/ziyaret eden trafik verisi ve siteye götüren arama motoru anahtar kelimelerini tespit etmek veya internet sitesinde gezinme durumunu izlemek gibi amaçlar yönünden kullanılmaktadır.
  • Reklam/Pazarlama Çerezleri; Web sitesi ziyaretçilerinin ve kullanıcılarının ilgi alanlarına göre reklamlar sunarak onlara daha zevkli bir deneyim oluşturmayı hedefler. Bu reklamlar sayesinde kullanıcıların elde edilen verileri ile onlara daha sağlıklı önerilerde bulunulmuş olur. Bu çerezlerde tamamen kişisel çerezlerdir.

Zorunlu çerezler haricindeki diğer çerezlerin kullanması ve toplanması yönünden e-ticaret siteleri kullanıcı/ziyaretçinin tercihlerini almalı ve bu çerezler yönünden rıza alınmalıdır. Toplanacak çerezler yönünden ister rızaya tabi olsun ister olmasın verisi işlenen ilgili kişiler mutlaka aydınlatılmalıdır.

Detaylı Çerez Anlatımı:KVKK Kapsamında Çerezler.

Taraflarına Göre Çerezler

Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sayfasının ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sayfası, yani tarayıcının adres çubuğunda gösterilen URL (www.ornek.com.tr) tarafından yerleştirilmektedir. Üçüncü taraf çerezlerse; kullanıcının ziyaret ettiği internet sitesinden (ya da etki alanından) farklı bir üçüncü kişi tarafından yerleştirilmektedir.

E-Ticaret Sitelerinin Çerez Uygulamalarını Yasalara Uygun Nasıl Yerine Getirilmelidir?

Türk hukukunda çerezler ve kullanımlarına dair herhangi münhasıran bir düzenleme bulunmamaktadır. Ancak, çerez yolu ile toplanan veriler aynı zamanda kişisel veri niteliğinde olduğundan dolayı KVKK açsından değerlendirilmeli ve bu veriler KVKK'ya uygun işlenmelidir.

Çerez kullanımı ve çerezlerin kabulü, kullanıcıların kişisel veri işlenme süreci ile oldukça yakından ilgili olduğu için, KVKK, veri işleyen veri sorumluları bakımından uygulama alanı bulur. Çerezler, rakam-harf kombinasyonu içermeleri sebebiyle ve kişisel olarak özelleştirilebildiklerinden dolayı "kişisel veri" olarak kabul edilmektedir.

Çerezler hakkında Kişisel Verileri Koruma Kurulunun 27.02.2020 tarihli ve 2020/173 sayılı "Amazon" kararı ile Çerezler ile ilgili olarak;

"'Çerezlerimizi engellerseniz veya reddederseniz alışveriş sepetinize ürün ekleyemez, satın alma aşamasına geçemez veya oturum açmanızı gerektiren herhangi bir Amazon hizmetini kullanamazsınız.' diyerek kişisel verilerin işlenmesini hizmet şartına bağlı kılındığı... Hizmetin açık rıza şartına bağlanmış olmasının açık rızayı sakatlayacağı dikkate alındığında, bu durumun KVKK'nın 4'üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ve işlenme amacı ile bağlı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiğine karar verilmiş, Amazon tarafından siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmaması düşünüldüğünde, yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyeceği yani olumlu onayının alınması gerekeceği, farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle web sitesine giriş aşamasında yapılması gerektiği ve çerez verilerinin işlenmesi için izin verilmesine dair bir istem de mevcut olmadığı (örn: sitemizde gezinmeye devam etmek için çerez bildirimimize onay vermelisiniz). Bu durum, hem işleme faaliyetindeki açık rıza şartına hem aydınlatma yükümlülüğüne aykırılık teşkil ettiği belirtilerek; Kanun'un 10'uncu maddesinde ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'de düzenlendiği şekilde yerine getirmediği tespit edilmiştir."

Karar ile de görüleceği üzere; çerezler bir hizmetin ön şartı olarak dayatılamayacağı gibi kişilerin çerezler yönünden aydınlatılıp zorunlu çerezler haricinden olumlu rızalarının alınmasını gerektirir bir mekanizmanın kurulması gerekmektedir.

E-Ticaret Sitelerinin Çerezlere İlişkin Aydınlatma Yükümlülüğü Nasıl Olmalıdır?

Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanun'un 10'uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in hükümlerine uygun hareket edilmesi gerekmektedir.

Çerezlerin kullanımı bir kişisel veri kullanımı ve toplanması teşkil edeceğinden dolayı, hangi amaçlarla toplanacağı ve ne hususlarda saklanacağı kullanıcıya önceden bildirilmelidir. Ayrıca, kullanıcılar, bu çerezlerin kendi cihazlarında toplanacağını ve orada saklanacağı konusunda da bilgilendirme yapılmalıdır. Ayrıca, bilgilendirme yani aydınlatma yükümlülüğünde bulunulurken kullanıcılara hangi çerezleri reddedebilecekleri de açıkça belirtilmelidir.

Ayrıca, web sitesi sahipleri çerezleri açıkça belirtmelidir. Hangi çerezlerin ne amaçla kullanılacağı, eğer gerekirse, detaylı tablolar halinde açıklanmalıdır. Her sitenin kullandığı çerez türü ve sayısı değişiklik gösterebilmektedir. Bu çerezlerin türleri konusunda da kişilerin oldukça fazla bilgi sahibi olması çok önemlidir. Bu sayede aydınlatma yükümlülüğü detaylı bir şekilde yerine getirilmiş olur.

Açık Rıza Gerektiren Çerezler Yönünden E-Ticaret Siteleri Nasıl Hareket Etmeli?

Gerek KVKK ve gerekse GDPR olarak bilinen "Genel Veri Koruma Tüzüğü" ele alınarak değerlendirildiğinde;

  • İşleme faaliyetinin rızaya dayandığı hallerde veri sorumlusu e-ticaret sitesi, ilgili kişinin kişisel verilerinin işlenmesine rıza göstermiş olduğunu gösterebilmelidir.
  • İlgili kişinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade olmalıdır.
  • İlgili kişinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. İlgli kişi, rıza vermeden önce, bu hususta bilgilendirilir.Rızanın geri çekilmesi rıza vermek kadar kolay olmalıdır.
  • Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilmelidir.

E-ticaret sitesi açık rızayı geçerli bir şekilde aldığını ispat edebilir durumda olmalıdır. Ayrıca, bu açık rızanın talebi de diğer tüm taleplerden farklı olarak ayrıştırılabilir olmalıdır. Rıza talebi aynı zamanda anlaşılabilir ve kolay ulaşılabilir bir şekilde alınmalı ve verilen bu rızanın geri alınması aynı şekilde olmalıdır.

Kullanıcılar hangi çerezler için onay veriyorsa, onlar özelinde spesifik olarak bir işaretleme yapılmalıdır. Hangi çereze onay verileceği açıkça alınmalıdır. Eğer zorunlu çerezler varsa bu çerezlerin neden zorunlu olduğu açıklandığı takdirde daha objektif bir açık rıza alınması söz konusu olacaktır. Bunun yanı sıra, kullanıcılar ve web sitesi ziyaretçileri, açık rıza kapsamında "zorunlu olmayan" çerezleri kabul edip etmeme konusunda özgür olmalıdır.

Fransız veri koruma otoritesi The CNIL (Commission Nationale de l'informatique Et Des Libertés) sosyal ağ sağlayıcısı TikTok'un çerez uygulaması hakkında yaptığı inceleme sonucu 12 Ocak 2023 tarihinde açıkladığı 29 Aralık 2022 tarihli kararında kullanıcıların çerezleri kabul ettikleri kadar kolay reddedemedikleri ve yine kullanıcıların yeterince aydınlatılmadığı gerekçesiyle ve bu iki nedenden dolayı toplam 5 milyon avroluk yaptırım uygulamıştır.

Tüm bu açıklamalar ışığındae-ticaret siteleri çerez uygulamalarını özellikle kişisel verilerin korunmasına ilişkin uyum yükümlülükleri çerçevesinde ela almalı ve uygulamalıdır.

E-Ticaret ile Alakalı Diğer İçeriklerimiz:

Kaynakça

  • Çerez Uygulamaları Hakkında Rehber, Haziran 2022, KVKK, (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf)
  • KVKK- Amazon Kararı: (https://www.kvkk.gov.tr/Icerik/6739/2020-173)
  • The CNIL – Tiktok Kararı: (https://www.cnil.fr/en/cookies-cnil-fines-tiktok-5-million-euros)

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.