Giriş
Bu bilgi notu, Kişisel Verileri Koruma Kurumu (KVKK) tarafından yayımlanan ve 61 sayfadan oluşan “Çerez Uygulamaları Hakkında Rehber”(“Rehber”) belgesini, veri sorumluların pratik ve eyleme geçirilebilir bir uyum planına dönüştürmeleri amacıyla hazırlanmıştır.
1. Altın Kural: Hangi Çerezler İçin Açık Rıza Gerekmez?
KVKK, bir çerezin kullanıcıdan açık rıza alınmadan kullanılabilmesi için çok net iki istisna belirlemiştir. Bir çerez, bu iki kriterden en az birini karşılamıyorsa, kullanımı için mutlaka kullanıcının önceden alınmış açık rızası gerekir.
- Kriter A: Çerezin tek amacı, bir elektronik haberleşme ağı üzerinden iletişimin teknik olarak sağlanmasıdır.
- Kriter B: Çerezin, kullanıcının açıkça talep ettiği bir hizmetin (örneğin, alışveriş sepetini görüntüleme, siteye giriş yapma) sunulabilmesi için “kesinlikle gerekli” olmasıdır.
Önemli Not: Bir çerezin işletmeniz için “faydalı” veya “önemli” olması, onu hukuken “kesinlikle gerekli” kılmaz. Değerlendirme, tamamen kullanıcının talep ettiği hizmetin perspektifinden yapılmalıdır.
2. Açık Rıza GEREKTİRMEYEN Çerezler
Aşağıdaki tablo, Kriter A ve B kapsamında rızadan muaf tutulan yaygın çerez türlerini özetlemektedir. Bu çerezler için rıza gerekmese de, kullanıcıyı aydınlatma metni (çerez politikası) aracılığıyla bilgilendirme yükümlülüğü devam etmektedir.
Tablo 1: Rızadan Muaf Olan “Kesinlikle Gerekli” Çerezler
| Çerez Türü | Amaç | Kritik Notlar |
|---|---|---|
| Alışveriş Sepeti Çerezleri | Kullanıcının sepete eklediği ürünleri oturum boyunca hatırlamak. | Sadece oturum süresince geçerlidir. Kullanıcının “sepete ekle” eylemi, hizmeti “açıkça talep etmesi” sayılır. |
| Kimlik Doğrulama Çerezleri | Kullanıcının giriş yaptıktan sonra oturumunun açık kalmasını sağlamak. | “Beni Hatırla” gibi kalıcı çerezler bu kapsama girmez ve rıza gerektirir. Sadece oturum süresince muafiyet vardır. |
| Güvenlik Çerezleri | Hatalı giriş denemelerini tespit etmek gibi, hizmetin güvenliğini artırmak. | Doğrudan kullanıcının talep ettiği hizmetin güvenliğine odaklanmalıdır. |
| Yük Dengeleme Çerezleri | Sunucu trafiğini dağıtarak sitenin istikrarını sağlamak (teknik amaçlı). | Kriter A kapsamında değerlendirilir ve oturum çerezi olmalıdır. |
| Arayüz Kişiselleştirme Çerezleri | Kullanıcının dil seçimi gibi aktif bir eylemle belirttiği tercihleri hatırlamak. | Kullanıcının davranışlarından pasif olarak öğrenilen kişiselleştirmeler bu kapsama girmez. |
Analitik Çerezler Standart Google Analytics ve benzeri üçüncü taraf analiz araçları, KVKK Rehberi'ne göre “kesinlikle gerekli” sayılmaz ve bu muafiyetlerden yararlanamaz.
Çünkü bu araçlar;
1. Verileri üçüncü bir tarafa (Google vb.) aktarır.
2. Verileri kendi ticari amaçları (reklam profilleme vb.) için de kullanır.
3. Siteler arası takibe olanak tanır. Bu nedenle, analitik çerezlerin kullanımı için mutlaka kullanıcının açık rızası alınmalıdır.
3. Açık Rıza GEREKTİREN Çerezler
Aşağıdaki faaliyetler için kullanılan tüm çerezler, istisnasız olarak kullanıcının aktif ve bilgilendirilmiş açık rızasını gerektirir:
- Reklam ve Pazarlama Çerezleri: Kullanıcıların çevrim içi davranışlarını izleyerek onlara kişiselleştirilmiş reklamlar göstermeyi amaçlayan tüm çerezler (yeniden hedefleme/remarketing dahil).
- Sosyal Medya Eklenti Çerezleri: Facebook “Beğen”, Twitter “Paylaş” gibi butonlar, eğer kullanıcıları takip ediyor, profil oluşturuyor veya reklam amacıyla veri topluyorsa açık rıza gerektirir. Teknik karmaşıklık nedeniyle, en güvenli yaklaşım, tüm sosyal medya eklentilerini varsayılan olarak rızaya tabi kabul etmektir.
4. Hukuka Uygun Açık Rıza Nasıl Alınır?
Geçerli bir rıza, sadece bir “kabul et” butonundan ibaret değildir. Rıza mekanizmanız şu özelliklere sahip olmalıdır:
- “Opt-in” Prensibi: Reklam, pazarlama gibi rıza gerektiren tüm çerez kategorileri, rıza panelinde varsayılan olarak “kapalı” veya “seçilmemiş” gelmelidir. Kullanıcı, bunları aktif bir eylemle (kutucuğu işaretleyerek) açmalıdır. Önceden işaretlenmiş kutular hukuka aykırıdır.
- Eşit ve Net Seçenekler: Çerez banner'ı, kullanıcıya eşit derecede belirgin “Hepsini Kabul Et”, “Hepsini Reddet” ve “Tercihleri Yönet” butonları sunmalıdır. “Kabul Et” butonunu daha çekici kılan tasarımlar (“dark patterns”) rızanın özgür iradeyle verilmediği şeklinde yorumlanabilir.
- “Çerez Duvarı” Yasağı: Kullanıcının site içeriğine erişimini, tüm çerezleri kabul etme şartına bağlayan “çerez duvarları” hukuka aykırıdır. Rıza, bir hizmetin ön koşulu olarak dayatılamaz.
- Kolay Geri Alma: Kullanıcı, verdiği rızayı, en az verdiği kadar kolay bir şekilde geri alabilmelidir. Bunun için sitenin her sayfasından erişilebilen kalıcı bir “çerez ayarları” linki veya ikonu bulunmalıdır.
5. Aydınlatma Yükümlülüğü: Ayrı ve Zorunlu Bir Görev
Aydınlatma, rıza almaktan tamamen ayrı bir yükümlülüktür ve sitenizdeki tüm çerezleri (zorunlu olanlar dahil) kapsar.
- Ayrı Bir Belge: Aydınlatma, “Çerez Politikası” gibi ayrı ve kolayca erişilebilir bir belgede yapılmalıdır. Karmaşık “Gizlilik Politikaları” içine gömülmemelidir.
- Minimum İçerik: Çerez politikanız, her bir çerez için en az şu bilgileri içermelidir:
- Çerezin Adı: (Örn: _ga)
- Kullanım Amacı: (Örn: “Site trafiğini analiz etmek”)
- Çerezin Tarafı: (Birinci taraf mı, üçüncü taraf mı? Üçüncü taraf ise kim?)
- Saklama Süresi: (Oturum, 90 gün, 2 yıl vb.)
6. Özel Hususlar ve Riskler
Web sitenizde, sunucuları Türkiye dışında bulunan bir şirkete ait üçüncü taraf bir çerez (örneğin, Google, Facebook, Microsoft, Amazon vb. tarafından sağlanan analitik veya reklam çerezleri) kullandığınızda, bu durum hukuken “kişisel verilerin yurt dışına aktarılması” faaliyeti anlamına gelir. Bu faaliyet, Kanun'un en karmaşık ve uyumu en zor maddelerinden biri olan 9. maddeye tabidir.
Bu, bir pazarlama veya analiz aracı seçiminin sadece ticari veya teknik bir karar olmadığı, aynı zamanda ciddi uluslararası hukuk sonuçları olan bir hukuki karar olduğu anlamına gelir. Google Analytics veya bir Facebook Pixel'i sitenize eklemek, otomatik olarak Türk veri koruma hukukunun en zorlu alanlarından birini tetikler. Kanun'un 9. maddesine uyum, Kurul tarafından verilmiş bir yeterlilik kararı (ki bu çok nadirdir), taraflar arasında imzalanmış standart sözleşme maddeleri gibi karmaşık ve ek hukuki mekanizmalar gerektirir. Bu nedenle, yurt dışı merkezli üçüncü taraf çerez sağlayıcılarını seçerken bu riskin mutlaka değerlendirilmesi ve gerekli hukuki önlemlerin alınması şarttır.
7. Uyum İçin Pratik Kontrol Listesi
1. Çerez Denetimi Yapın: Sitenizdeki tüm çerezleri tespit edin. İhtiyaç duymadıklarınızı temizleyin.
2. Sınıflandırın ve Belgeleyin: Her bir çerezi “zorunlu” veya “rıza gerektiren” olarak sınıflandırın. Amaçlarını, sürelerini ve taraflarını listeleyen bir envanter oluşturun.
3. Rıza Mekanizmanızı Kurun: Yukarıdaki 4. bölümde anlatılan “opt-in” ve “eşit seçenekler” ilkelerine uygun bir çerez banner'ı uygulayın.
4. Aydınlatma Metninizi Hazırlayın: Sitenizdeki tüm çerezleri listeleyen, açık ve anlaşılır bir “Çerez Politikası” yayımlayın.
5. Üçüncü Taraf Risklerini Değerlendirin: Google, Facebook gibi yurt dışı merkezli üçüncü taraf çerezler kullanıyorsanız, bunun KVKK Madde 9 kapsamında bir “yurt dışına veri aktarımı” olduğunu ve ek hukuki yükümlülükler getirdiğini unutmayın.
6. Düzenli Gözden Geçirin: Çerez kullanımınızı periyodik olarak (örneğin 6 ayda bir) denetleyin ve belgelerinizi güncel tutun.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
