Turkey: Çerez Uygulamalarının Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi

1. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun" veya "KVKK"), çerezler vasıtasıyla kişisel verilerin işlenmesine yönelik özel bir düzenleme öngörmemektedir. Ancak Kişisel Verileri Koruma Kurumu ("Kurum") tarafından öncelikle 11.01.2022 tarihinde taslak olarak yayınlanan Çerez Uygulamaları Hakkında Rehber ("Rehber") 22.06.2022 tarihinde Kurum'un resmi internet sitesinde nihai haliyle yayımlanmış ve böylece, Türk veri koruma mevzuatı kapsamında çerez uygulamalarının değerlendirilmesi için önemli bir kaynak ortaya çıkmıştır.

2. Çerez Nedir? Çerez Benzeri Uygulamalar Nelerdir?

Rehber'de çereze yönelik iki adet tanıma yer verilmiştir. Bunlardan ilkine göre, çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyasıdır. İkinci tanım uyarınca, çerez, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin bir takım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren, düşük boyutlu, zengin biçimli text formatlarıdır. Rehber'de ayrıca (i) süre, (ii) kullanım amacı ve (iii) taraflarına göre çerez türlerine de yer verilmiştir.

Kullanım amacı kıstası, Kanun açısından özel bir önem teşkil etmektedir. Zira çerezin kullanım amacının ne olduğu, çerez yoluyla kişisel veri işlemenin, Kanun'un 5/2 maddesi uyarınca bir istisna kapsamında değerlendirilip değerlendirilmeyeceği, dolayısıyla çerez kullanımının veri sahibinin açık rızasını gerektirip gerektirmeyeceği yönünden oldukça önemlidir. Bu konudaki detaylı değerlendirmeler, aşağıda üç numaralı bölümde yer almaktadır.

Belirtmek gerekir ki, Rehber, internet sitelerinde kullanılan çerezlere ek olarak, mobil web siteleri ve mobil web uygulamalarında kullanılan çerezler açısından da geçerlidir. Diğer yandan, Rehber'de çerez benzeri uygulamalara yönelik herhangi bir düzenleme getirilmediği görülmektedir. Hatta, Rehber'in kapsam bölümünde, Rehber'in çerez benzeri uygulamalar olan local storage, beacon, piksel vb. uygulamalarla ilgili herhangi bir yönlendirmede bulunmadığı belirtilmektedir. Bu noktada, Rehber'in çerez benzeri uygulamalar vasıtasıyla kişisel veri işleme faaliyetlerini kapsamadığını ve bu tür uygulamalar vasıtasıyla kişisel veri işlenmesi bakımından, yalnızca Kanun ve Kanun'a dayanılarak çıkartılan ilgili ikincil mevzuat hükümlerinin uygulanacağını söylemek mümkündür.

Öte yandan, Rehber, kişisel verilerin korunması mevzuatına dayalı olarak çıkartılmış olduğundan, çerezler vasıtasıyla işlenen ancak "kişisel veri" niteliğinde olmayan veriler açısından, Rehber'de yer alan düzenlemeler geçerli olmayacaktır.

3. Çerez Uygulamaları Bakımından Dikkate Alınacak Temel Kriterler

Rehber'de çerez uygulamaları bakımından, "Kriter A" ve "Kriter B" olarak tanımlanan iki adet kritere dikkat edilmesi gerektiği belirtilmektedir. Bu kriterlerin içeriği, Avrupa Birliği mevzuatında yer alan E-Gizlilik Direktifi'nin¹ 5/3 maddesinde yer verilen kriterlerle aynıdır. Bu kriterler, aşağıdaki gibidir:

• Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
• Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplumu hizmetleri için kesinlikle gerekli olması.

Rehber uyarınca, çerez kullanımının Kriter A veya Kriter B kapsamında olmaması halinde, veri sahibinin açık rızası alınmalıdır. Kriter A ve Kriter B kapsamındaki kullanımların ise, KVKK madde 5/2'de yer alan, veri sahibinin açık rızası olmaksızın veri işlenebilecek istisnalar kapsamında kalacağı anlaşılmaktadır. Kanaatimizce, Kriter B'nin özünde, talep edilen bir hizmetin ifası mevcut olduğundan, Kriter B'nin uygulanabildiği durumlarda, KVKK madde 5/2 uyarınca kullanıcının taraf olduğu sözleşmenin ifası için veri işlemenin gerekli olması istisnası uygulanmalıdır. Kriter A açısından ise, veri sorumlusunun meşru menfaati için veya bir hakkın tesisi için veri işlemenin gerekli olması istisnaları uygulanabilecektir.

4. Çerez Türlerinin Kriter A ve Kriter B Kapsamında Değerlendirilmesi

Rehber'de, farklı amaçlar içeren çerez türleri, Kriter A veya Kriter B kapsamında olup olmadıkları yönünden değerlendirilmiştir.

Örneğin; bir e-ticaret sitesi üzerinde alışveriş sepetini doldururken kullanıcıyı izleyen, kullanıcının butonu tıklayarak seçtiği ürünlerin kaydını tutan kullanıcı girdili çerezler açısından, kullanıcının butonu tıklayarak, açıkça bir bilgi toplumu hizmeti talep ettiği, bu nedenle Kriter B kapsamında değerlendirildiği ve bu çerezlerin kullanımı için açık rıza gerekmediği belirtilmiştir. Yük dengelemesi amacına yönelik oturum çerezlerinin ise temel amacının haberleşme uç noktalarını tespit etmek olması nedeniyle, bu çerezler Kriter A kapsamında değerlendirilmiştir.

Öte yandan, internet sitesinin kullanıcı özelinde kişiselleştirilmesi için kullanılan çerezler bakımından bu değerlendirme, yukarıda belirtilen çerezler için olduğu kadar net değildir. Şöyle ki; Rehber'de kullanıcı ara yüzünü kişiselleştirme amacına yönelik çerezlerin, Kriter B kapsamında olduğu değerlendirilmiştir.² Diğer yandan, Rehber'in Ek 4'ünde yer alan çerezlere ilişkin örnek aydınlatma metninde, internet sitesini daha işlevsel kılmak ve kişiselleştirmek amacıyla kullanılan işlevsel çerezlerin Kanun'un 5/1 maddesi uyarınca açık rızaya istinaden kullanıldığı belirtilmektedir.³ Bu bakımdan, işlevsel çerezlerin hangi durumda açık rıza gerektirdiği, hangi durumda gerektirmediği Rehber'den net bir şekilde anlaşılamamakta ve bir yorum meselesi haline gelmektedir. Kanaatimizce, çerezin türünden ziyade çerezin kullanılma amacının Kanun'un 5/2 maddesi kapsamında değerlendirilerek hareket edilmesi bu noktada en uygun yöntem olacaktır.

Örneğin; internet sitesi kullanıcıya Türkçe ve İngilizce olmak üzere iki dilde sunulmaktadır. Kullanıcının internet sitesine Türkiye'den bağlandığı tespit edildiğinde, işlevsel çerez vasıtasıyla internet sitesi, kullanıcıya otomatik olarak Türkçe dilde gösterilebilir. Bu durumda, işlevsel çerezin, Kriter B kapsamında değerlendirilmesi mümkün olmalıdır, zira internet sitesine Türkiye'den bağlanan bir kullanıcının, internet sitesini Türkçe kullanmayı talep etmesi, kullanıcının açıkça talep ettiği varsayılan bir bilgi toplumu hizmeti olarak değerlendirilebilir. Rehber'de de çok dilli internet sitelerine ilişkin benzer bir örneğe yer verilmektedir.⁴

Diğer yandan, kullanıcının oturum açması gereken bir internet sitesinde, kullanıcı adı ve şifresinin hatırlanmasını ve bu şekilde internet sitesinin kişiselleştirilmesini sağlayan çerezlerin kullanımını Kriter B kapsamında değerlendirmek mümkün görünmemektedir. Böyle bir durumda, kullanıcının bir bilgi toplumu hizmetini açıkça talep ettiğini varsaymak, bu kriterin veri sahibi aleyhine geniş yorumlanması olarak değerlendirilebilecektir. Zira örneğin, kullanıcının oturum açtığı cihaz kendisine ait olmayabilir ve bu sebeple, kullanıcı, internet sitesi tekrar ziyaret edildiğinde hesap bilgilerinin hatırlanmasını istemiyor olabilir. Bu kapsamda, işlevsel çerezin bu amaçla kullanımı, kanaatimizce kullanıcının rızasına tabi olmalıdır. Ancak kullanıcının "Beni Hatırla" vb. bir seçeneği seçmesi halinde ise, bu rızayı vermiş olduğu kabul edilmeli ve KVKK madde 5/1 uyarınca ayrıca açık rıza aranmamalıdır. Bu noktada, Kriter B'yi, aslında yine kişinin rızasının mevcut olduğu ancak bunun aktif bir irade beyanından ziyade, bir eylem ile ortaya koyulduğu bir durum olarak değerlendirmek söz konusu olabilir.

5. Birinci Taraf Çerezler ve Üçüncü Taraf Çerezler

Rehber'de çerezlere ilişkin bilgilendirme yükümlülüğü yerine getirilirken, veri sahibinin bilgilendirilmesi gereken diğer bir hususun da çerezin birinci taraf çerez mi yoksa üçüncü taraf çerez mi olduğu hususudur. Birinci taraf çerezler, internet sitesine, internet sitesini işleten tarafından yerleştirilen çerezlerdir. Üçüncü taraflar çerezler ise, internet sitesine, internet sitesini işleten dışındaki üçüncü taraflarca yerleştirilen çerezlerdir.

Rehber'in üçüncü taraf çerez kullanımı konusunda, sosyal eklenti içerik paylaşımı çerezlerine ve sosyal eklenti takip çerezlerine dikkat çektiği görülmektedir. Bunlar, sosyal medya ağları tarafından internet sitelerine yerleştirilen çerez türleridir.

Rehber'de sosyal eklenti içerik paylaşımı çerezleri, sosyal ağ kullanıcılarının beğendikleri içerikleri veya yaptıkları yorumları "arkadaşlarıyla" paylaşmalarına izin verebilecek sosyal eklenti modülleri olarak tanımlanmıştır. Bu tanımı bir örnekle somutlaştırmak gerekirse; Spotify isimli dijital müzik uygulaması üzerinden bir çalma listesi oluşturan kullanıcı, uygulama üzerindeki "paylaş" seçeneğine tıklayarak, bu çalma listesini Instagram hesabı üzerinden paylaşabilir. Rehber, bu tür durumlarda, ilgili sosyal medya ağının kullanıcıları ile sınırlı olmak üzere, Kriter B'nin uygulanacağını ve bu sebeple çerez kullanımı için açık rıza gerekmediğini ifade etmektedir. Belirtilen örnekte, gerçekten kişinin kendi iradesi ile yaptığı bir paylaşım söz konusu olduğundan, burada Kriter B uyarınca kullanıcının açıkça talep ettiği bir bilgi toplumu hizmetinden bahsedilebilecektir. Yukarıda da belirttiğimiz üzere, Kriter B bakımından çoğunlukla kişinin kendi iradesini ortaya koyması söz konusu olduğundan, Kriter B'nin uygulandığı durumlarda, aslında bir anlamda pasif irade ile verilerin paylaşılması konusunda rıza verildiğinden de bahsedilebilir.

Diğer yandan, sosyal eklenti takip çerezlerinin hem sosyal medya ağlarına üye olan hem de olmayan kişileri davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla izlemek için kullanıldığı belirtilmektedir. Bu tür çerezler, Kriter A veya Kriter B kapsamında değerlendirilemeyeceğinden, bu tür çerezlerin kullanımının açık rızaya tabi olduğu belirtilmektedir. Her ne kadar Rehber'de açıkça belirtilmese de, davranışsal reklamcılık çerezleri internet sitesini işleten tarafça da yerleştirilebilir ve bu durumda da bu tür çerezlerin kullanımı, açık rızaya tabi olacaktır.

6. Sonuç

Uzun bir süredir yasal açıdan düzenlenmesine ihtiyaç duyulan çerezler, Rehber kapsamında ilk defa ele alınmış ve çerez kullanımına dair, kullanıcıları korumayı amaçlayan önemli sınırlamalar getirilmiştir. Özellikle, açık rıza gerektiren çerezlerin kullanımı için kullanıcılara, Avrupa Birliği mevzuatında öngörülen koşullara uygun bir açık rıza yönetim platformu sunulması gerekliliği, oldukça önemli bir adımdır. Bununla birlikte, çerez kullanımı açısında hali hazırda tek kaynağın Rehber olması ve Rehber'in yoruma açık noktalarının bulunması nedeniyle, bu hususta ek yasal düzenlemelere ihtiyaç duyulabilir veya bu hususların, Kurul kararlarıyla şekillenmesi söz konusu olabilir.

Footnotes

1. Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32002L0058

2. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber (2022), s.10.

3. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber (2022), s. 51.

4. Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber (2022), s.22.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.