Çerez Uygulamalarına İlişkin İncelenmesi Gereken Temel Mevzuat Nedir?

Çerezlerin tanımı, türleri ve özellikleri doğrudan Türk mevzuatında düzenlenmemiştir. 5809 sayılı Elektronik Haberleşme Kanunu’nun (“EHK”) çerezler kapsamında sınırlı uygulama alanı bulabileceği söz konusu olsa da, ne EHK’de ne de 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) çerezlere ilişkin doğrudan bir düzenleme bulunmamaktadır. Çerezlere ilişkin detaylar Kişisel Verileri Koruma Kurumu(“Kurum”) tarafından 20.06.2022 tarihinde yayımlanan Çerez Uygulamaları Hakkında Rehber (“Rehber”) ile hayatımıza girmiştir.

Rehber, çerezler yoluyla kişisel verilerin işlenmesi süreçlerini kapsamaktadır. Çerezler tek başlarına kişisel veri özelliğine sahip olmasalar dahi, başka bilgilerle bir araya getirildikleri zaman ilgili kişileri belirlenebilir kılmaları nedeniyle kişisel veri olarak kabul edilmektedirler. Rehber’de, kişisel veri işlenmesinde kullanılmayan çerezler kapsam dışında tutulmuştur. Ek olarak, piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojilere ilişkin de herhangi bir düzenlemeye yer verilmemiştir.

Çerez Tanımı Nedir?

Kurum tarafından yayımlanan Rehber’de çereze ilişkin birden çok tanım yapılmıştır. Bu tanımlara göre; “(i) çerezlerin, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olduğu ve http (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarıldığı” ile “(ii)çerezlerin, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları olduğu” belirtilmiştir.

Çerez Türleri ve Uygulamada Örnekleri Nelerdir?

Sürelerine göre çerezlerden olan

v  oturum çerezleri; geçici çerezler olarak da adlandırılmaktadır. Bu çerez türünün temel amacı; kullanıcının oturumunun sürekliliğinin sağlanmasıdır. Oturum çerezleri uygulamada kullanıcıların karşısına; internet sitesi üzerinden alışveriş sepetine eklenen ürünlerin hatırlanması amacıyla çıkabilmektedir.

v  kalıcı çerezler ise, kullanıcının internet tarayıcısını kapattığı zaman da silinmeyen çerez türüdür. Kalıcı çerezler uygulamada; üye olunan internet sitelerindeki hesapların hatırlanması ve hesaba tekrar giriş yapılmasını gerektirmeyen çerez türü olarak kullanıcıların karşısına çıkabilmektedir.

Kullanım amaçlarına göre çerezlerden olan

ü zorunlu çerezler; internet sitesinin çalışması amacıyla gerekli olan çerez türü olup, bu çerez türünün engellenmesi halinde internet sitesinin temel fonksiyonlarını yerine getiremeyeceği kabul edilmektedir.

ü işlevsel çerezler; internet sitesini ziyaret eden kullanıcıların tercihlerine bağlı olarak site içeriğini kullanıcılar için bireyselleştirmeyi amaçlamaktadır. İşlevsel çerezlere; internet sitesinin kullanıcılarına birden çok dil seçeneği sunması durumunda, kullanıcının tercih ettiği dilin makul bir süre boyunca kendisine sunulması örnek gösterilebilir.

 ü performans- analitik çerezler; internet sitesi kullanıcılarının davranışlarını analiz etmek amacıyla istatistiki ölçüme imkân veren çerez türüdür. Bu çerez türü ile kullanıcı deneyimini iyileştirmek amacıyla, internet sitesinin ne şekilde, ne kadar süre kullanıldığı gibi istatistiki bilgileri toplanabilmektedir.

 ü reklam/pazarlama çerezleri ise; kullanıcıların ilgi alanlarına uygun içerikler sunulması (“çevrim içi davranışsal reklamcılık uygulamaları”) amacıyla kullanılmaktadır. Reklam çerezlerine; reklam çerezleri ile elde edilen bilgilerin kullanıcıya ait diğer veriler ile eşleştirilerek, kullanıcıya uygun kampanya, ürün ve uygun içerik sunulması örnek gösterilebilir.

 Taraflarına göre çerezlerden olan

§ birinci taraf çerezleri; ziyaret edilen internet sitesi sahipleri tarafından oluşturulan ve kullanıcıya sunulan çerezler olarak değerlendirilmektedir.

§ üçüncü taraf çerezleri ise; internet sitesi sahipleri dışındaki üçüncü taraflarca (Google Analytics, Facebook ve Twitter vb. gibi) oluşturulan ve kullanıcılara sunulan çerezlerdir.

EHK’nın Çerezler Üzerindeki Uygulama Alanı Nedir?

Çerezlerin, kullanıcılara sunulmasında veri sorumluları tarafından EHK, Rehber ve Avrupa Birliği’nin 2002/58/EC sayılı Direktifi’nin (“Direktif’”) dikkatle incelenmesi gerekmektedir.

EHK’nin çerezler bakımından sınırlı uygulama alanı bulabileceği Rehber’de belirtilmiştir. Sınırlı uygulama alanı tespit edilirken EHK’nin 51. maddesinin incelenmesi gerekmektedir. İlgili maddede, veri sorumlusu işletmecilerin, elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve altyapısını işleten şirketlerin, yalnızca haberleşmenin sağlanması amacıyla aşağıda detayları ile açıklanan Kriter A kapsamında ilgili kişilerden açık rıza almadan çerezler aracılığı ile veri işleyebileceği belirtilmiştir.

EHK’nin uygulama alanı tam olarak Rehber’de belirtilen Kriterler kapsamında ortaya çıkmaktadır. Rehber’de Direktif’e uygun olarak iki kriter belirlenmiştir. Bu kriterler Kriter A ve Kriter B olarak ikiye ayrılmaktadır.

Kriter A; çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılmasını,

Kriter B ise; çerez kullanımının abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olmasını ifade etmektedir.

EHK’nin çerezler konusunda sınırlı uygulama alanı bulabileceğinden bahsetmiştik; zira Kriter B’de belirtilen bilgi toplum hizmetleri EHK’da düzenlenmemiştir. Bilgi toplum hizmetleri kavramı Direktif’ten esinlenerek alınmış bir kavram olarak karşımıza çıkmaktadır. Bilgi toplum hizmetleri Direktif’te; “genellikle bir ücret karşılığında uzaktan, elektronik yolla ve hizmet alıcısının bireysel bir hizmetalma talebi üzerine yerine getirilen hizmetler” olarak tanımlanmaktadır. Bilgi toplum hizmetlerinin çok geniş kapsamda değerlendirildiğini lütfen unutmayınız.

Kriter A veKriter B kavramlarının Veri Sorumluları Açısından Önemi Nedir?

Kanun kapsamında çerezler bakımından kişisel veri işleme şartları Kanun’un 5 ve 6. maddesinde belirtilmiştir. Buna göre, açık rıza dışındaki işleme şartlarından biri mevcut ise ilgili kişiden açık rıza alınması dürüst kuralına aykırı olarak değerlendirilmiştir.

Kriter A ve KriterB kapsamında değerlendirilen çerezler için ilgili kişilerden açık rıza alınmasına gerek bulunmamaktadır.

Uygulamada görülenen büyük hatalardan biri veri sorumluları tarafından çerez türleri ve uygulama alanlarının doğru bir şekilde tespit edilmeden, her çerez türü için ilgili kişiden açık rıza alınması uygulamasına gidilmesidir.

Veri Sorumlularının İlgili Kişilere Karşı Aydınlatma Yükümlülüğü Yerine Getirirken ve İlgili Kişilerden Açık Rıza Alırken Dikkat Etmesi Gereken Hususlar Nelerdir?

§  Veri sorumluları tarafından ilgili kişilere karşı aydınlatma yükümlülüğü yerine getirilirken Kanun’un 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun hareket edilmesi gerekmektedir.

Rehber’de, aydınlatma yükümlülüğünün ilgili kişinin internet sitesine giriş aşamasında yapılması gerektiği, internet sitesinin girişinde bir pop-up mesajı çıkartılarak kişisel verilerin işlendiğine ilişkin bir bilgilendirmenin yapılabileceği ve aydınlatma metinlerinde; çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesi önerilmiştir.

Kurul’un çerezler açısından değerlendirdiği 27.02.2020 tarihli ve 2020/173 sayılı kararında ("Karar") da;  veri sorumluları tarafından ilgili kişilere karşı aydınlatma yükümlülüğü yerine getirilirken; ilgili kişilere karşı aydınlatmanın internet sitesine girildiği anda yapılması gerektiği belirtilmiştir. Ayrıca, aydınlatma metinlerinin açık, sade ve anlaşılır şekilde hazırlanması ve birçok konu başlığını içerisinde bulunduran Gizlilik Bildirimi şeklinde ilgili kişilere sunulmaması gerektiği ve aydınlatma metinleri ile açık rıza metinlerinin ilgili kişilere ayrı ayrı sunulması gerektiği de tekrar ifade edilmiştir.

·      Veri sorumluları tarafından ilgili kişilerden açık rıza alırken; açık rızanın belirli bir konuya ilişkin olması,özgür iradeyle açıklanması ve bilgilendirmeye dayanması gerektiği unutulmamalıdır.

Rehber’de veri sorumlularının ilgili kişilerden açık rıza alırken dikkat etmesi gerekenhususlara ilişkin birçok iyi uygulama örneği verilmiştir. Buna göre; “çerez kapsamında açık rıza alınırken çerez yönetim paneli pop-up şeklinde çıkması ve söz konusu panelde eşit derecede renk, büyüklük, punto vb. şekilde kabul et, reddet ve tercihler seçeneklerinin sunulması” iyi uygulama örneklerindendir.

Ek olarak, açık rızanın özgür irade ile açıklanması ilkesi kapsamında; veri sorumluları tarafından ilgili kişinin çerezler için verdiği açık rızasını dilediği zaman geri alabilmesine olanak sağlanmalıdır. Bu kapsamda, internet sitesinin bir bölümünde ilgili kişiye bir çerez yönetim paneli sunularak açık rızasını rahatça geri alabilmesine olanak sağlanması Rehber’de iyi bir uygulama örneği olarak ifade edilmiştir.

Karar’da açık rızaya ilişkin olarak; açık rızanın bir sözleşmenin kurulması veya ifası kapsamında hizmetin ön koşulu olarak dayatılmaması, kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olanak veren bir sistemin kurulması ve açık rıza dışında bir hukuki sebep bulunması durumunda açık rıza alınmaması gerektiği belirtilmiştir.

Karar’a rağmen; uygulamada ilgili kişilerden açık rıza alınmasına ilişkin süreçlerde açık rızanın özgür irade ile alınması için gerekli sistemlerin kurulmadığını, açık rızanın kullanım koşulları/sözleşmesi veya gizlilik bildiriminin onaylanması suretiyle alındığını ve açık rızanın sözleşmenin kurulması veya ifasının ön koşulu olarak dayatıldığını görmekteyiz.