Bilindiği gibi, Avrupa Birliği'nin (AB) aksine, hukukumuzda uzun süredir çerezler konusunda özel bir düzenleme yapılmamıştı.

Bunu dikkate alan Kişisel Verileri Korumu Kurumu ("Kurum"), 11 Ocak 2022 tarihinde kamuoyu görüşüne açtığı Çerez Uygulamaları hakkında Rehber ("Rehber") nihai hala getirerek 20 Haziran 2022 tarihinde yayınladı. Öncelikle Rehber'in Taslak Rehber'den genel olarak farklı olmadığını ancak bazı konularda farklar içerdiğini belirtelim.

Buna ek olarak, Kişisel Verileri Koruma Kurulu'nun ("Kurul") da yakın zamanda, 10 Mart 2022 tarih ve 2022/229 sayılı kararıyla ("Karar"), internet sitesinde kullandığı çerezler yoluyla kişisel verileri hukuka aykırı olarak işlemesi nedeniyle bir veri sorumlusuna 800.000 TL ceza verdiğini de hatırlatalım.

Bu notumuzda, Rehber'de yer verilen başlıca düzenlemeler ışığında, Kurul'un çerezlerle ilgili yakın zamanda vermiş olduğu Karar'ı da dikkate alarak çerezler konusunda neler yapılması gerektiğini değerlendirdik.

1. Genel açıklamalar

  • Gerek Rehber Gerek Karara'a göre, Kurul'un yaklaşımının çerezler konusunda genel olarak AB uygulamasını takip etmek olduğu anlaşılmaktadır.
  • Ancak Rehber ve Karar uyarınca, Kurul'un çerezlere ilişkin belirlediği bazı esasların tamamen bizim kanun uygulamamıza özgü oluşu dikkat çekiyor.
  • Bu kapsamda Rehber ve Karar çerçevesinde çerez uygulamaları ve çerez politikalarındaki gerekli düzenlemelerin bir an önce yapılması faydalı olacak gibi görünüyor.

2. Karar ve Rehber uyarınca neler yapılmalı?

a) Kural olarak "kesinlikle gerekli" çerezler haricindeki çerezler için açık rıza alınmalı

  • Kesinlikle gerekli çerezler: Internet sitesinin düzgün çalışması için gerekli çerezler olarak tanımlanmıştır. Bu çerezler açık rızaya gerek olmaksızın kullanılabilecektir.
  • Rehber'de de belirtildiği üzere, kesinlikle gerekli çerezler dışında kalan çerezler, temel olarak aşağıdakilerdir:
    • İşlevsel Çerezler,
    • Performans-Analitik Çerezler ve
    • Reklam/Pazarlama Çerezleri

b) İstisna (1): Hizmetin (bilgi toplumu hizmetlerinin) kullanıcı tarafından açıkça talep edilmesi halinde bunların sunumu için kullanılan işlevsel çerezler

  • "Kesinlikle gerekli" olmayan, fakat siteye "ek işlevsel" sağlamak amacıyla kullanılan çerezler, bu hizmetlerin kullanıcı tarafından "açıkça" talep edilmesi halinde açık rızaya tabi olmayacaktır.

    Örnekler:
    • İlgili kişi tarafından dil tercihlerinin hatırlanması amacıyla bir bayrak ikonuna tıklanması,
    • Bir bilginin bir formu doldurmak veya bir butonu tıklamak gibi aktif eylem gerektiren hizmetler.
  • Bununla birlikte, Kurul, işlevselliğin kişiselleştirilmesine ilişkin bu çerezlerin kullanımında, kullanıcı tarafından gerçekleştirilen seçimin oturum süresinden daha uzun süre hatırlanması olarak yorumlanamayacağının da altını çizmektedir. Yani bu çerezler ancak oturum süresince çalışabilir, sonra kendiliğinden silinmelidir.
  • Son olarak, söz konusu bu hizmetin ilgili kişi tarafından talep edildiğinin "açıkça" belirlenememesi durumunda, ilgili kişilerin açık rızasının alınması gerekecektir.

c) İstisna (2): "Birinci taraf" analitik çerezleri

AB uygulamasından farklı olarak, Rehber'de, "birinci taraf", yani site işletmecisinin kendisi tarafından işletilen performans-analitik çerezlerin belirli şartlarda açık rızaya tabi olmayabileceği belirtilmektedir. Bu şartlar şunlardır:

  • Kullanılan performans-analitik çerezlerin, kullanım amacının ilgili sitenin veya uygulamanın hedef kitlesini ölçmekle sınırlandırılması,
  • çerezler vasıtasıyla elde edilen ve zaruri olmayan kişisel verilerin anonimleştirilmesi,
  • çerezler vasıtasıyla elde edilen kişisel verilerin anonim istatistikler üretmek için kullanılması,
  • çerez süresinin makul olması ve toplanan kişisel verilerin üçüncü taraflara iletilmemesi ve
  • çerezler vasıtasıyla elde edilen kişisel verilerin, kullanıcıların farklı internet siteleri veya uygulamalar arasındaki gezinmelerinin çapraz takibi amacıyla kullanılmaması.

d) Rıza alma yöntemi

  • Kurul, çerez rızalarında da bir açık rızada beklediği bütün şartları aramaktadır.
  • Rızalar aktif bir eylemle (örneğin bir butonu tıklayarak) verilecektir. Bu doğrultuda örneğin sadece bir internet sitesine girilmiş olması, söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmeyecektir.
  • Rehber'de, çerezler için iyi bir açık rıza alma örneği olarak, siteye girildiği anda bir çerez yönetim panelinin (pop-up vb.) çıkması ve bu panelde renk, büyüklük, punto açısından eşit derecede yer alacak şekilde "kabul et", "reddet" ve "tercihler" butonlarının sunulması gösterilmiştir.

    Bunun için piyasada Rıza yönetim platformları (CMP-Consent Management Platform) olarak bilinen uygulamaların kullanılması uygun olacaktır.

e) Çerezler vasıtasıyla yurt dışına aktarım

  • Kişisel Verilerin Korunması Kanunu ("Kanun") uygulamasında en problemli konu olan yurt dışı aktarım burada da karşımıza çıkmaktadır. Zira Karar'da cezanın gerekçesi "kesinlikle gerekli" olan çerezler dışındaki çerezlerin rıza alınmaksızın kullanılması ve çerezler yoluyla yurt dışına veri aktarımı yapılmış olmasıdır.
  • Karar'dan, rıza alınacak çerezler için ayrıca bir yurt dışı aktarım rızası alma yönteminin kullanılabileceği anlaşılmaktadır.
  • Bununla birlikte rıza alınmasına gereken olmayan çerezler yoluyla yurt dışına aktarım açısından ise verileri alan kişi ile aktaran arasında bir taahhütname imzalanarak Kurul'dan izin alınmasından başka bir yöntem mümkün görünmemektedir.
  • Özetle yurt dışı aktarım konusu çerezler açısından da sorunlu bir konu olmaya devam etmektedir.

f) Çerez uygulamaları sırasında aydınlatma yükümlülüğünün yerine getirilmesi

  • Hukukumuzda çerezler konusunda bir boşluk olduğu için veri sorumluları çerezler konusunda AB uygulamasını takip ediyor ve AB'deki çerez politikalarına benzer çerez politikaları kullanıyordu.
  • Fakat gerek Rehber gerek Karar açısından Kurul'un çerezler konusunda Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğe ("Tebliğ") uygun hazırlanacak "aydınlatma metinleri" kullanılmasını beklediği netleşmiş oldu.
  • Bununla birlikte, Rehber'de, çerez aydınlatma metinlerinde ayrıca çerezlerin adı, kullanım amaçları ve süresi ile çerezlerin birinci veya üçüncü taraf çerez olup olmadığı bilgilerine yer verilmesinin de tavsiye edildiğini belirtelim.
  • Rehber'de ayrıca aydınlatmanın ilgili kişi tarafından kolayca erişilebilir ve fark edilebilir olmasının önemine dikkat çekilmiştir. Benzer şekilde, Kurul da vermiş olduğu Karar'da, veri sorumlusunun çerezler aracılığıyla kişisel veriler işlerken aydınlatmanın kolay erişilebilir olmasına dikkat etmesi gerektiğini ve ilgili veri sorumlusu tarafından hazırlanan gizlilik ve kişisel verilerin korunması politikası içerisinde kullanıcıyı çerez politikasına direkt yönlendirecek bir bağlantının bulunması gerektiğini vurgulamıştır.
  • Bu çerçevede, aydınlatmanın kişisel veriler toplanmadan önce ve her halükârda en geç verinin elde edildiği sırada yerine getirilmesinin gerekliliği uyarınca Kurul, aydınlatmanın internet sitesine veya mobil uygulamaya giriş aşamasında, örneğin pop-up mesajlar vasıtasıyla, yerine getirilmesi gerektiğinin de altını çizmektedir.

3. Değerlendirmelerimiz

Hem Karar hem Rehber çerçevesinde atılması gereken adımları temel olarak şöyle özetleyebiliriz.

  • Sitede hangi çerezlerin ve hangi amaçlarla kullanıldıklarının,
  • Bunlardan hangilerinin "kesinlikle gerekli" çerezlerden olduğunun,
  • "İşlevsel çerezlerden" hangilerinin kişinin açıkça talep ettiği hizmetler için kullanıldığının, hangilerinin açıkça talep edilmeyen fonksiyonlar için kullanıldığının ve
  • "Birinci taraf" analitik çerezlerinin, rızaya tabi olmama koşullarını sağlayıp sağlamadıklarının tespit edilmesi.

Bu tespitlerden sonra:

  • Rıza yönetim platformları (CMP-Consent Management Platform) kullanılarak çerezlere ilişkin rıza yönetiminin sağlanması, "açık rıza metni" hazırlanması,
  • Kullanılacak sistemin, opt-in yani ilgili kişinin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği şekilde kullanılması,
  • Çerezler için kullanılan çerez politikaları yerine Kanun'a ve Tebliğ'e uygun "aydınlatma metni" hazırlanması,
  • Yurt dışı aktarım konusunda atılacak adımlara karar verilmesi.

Her zaman olduğu gibi bu konuda da müvekkillerimize gerekli hizmeti sağlamaktan memnuniyet duyarız.

Konuyla ilgili herhangi bir sorunuz olması halinde bizimle iletişime geçebilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.