KVKK’ın ‘Çerez Uygulamaları Hakkında Rehber’i veri sorumluları için pratik tavsiyeler içeriyor

KVKK (Kişisel Verileri Koruma Kurumu), Haziran’2022 tarihli ‘Çerez Uygulamaları Hakkında Rehber’i yayınladı. ‘Çerez Uygulamaları Hakkında Rehber’; çerezler yoluyla kişisel veri işleyen internet sitesi operatörleri için 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında kişisel verilerin işlenmesi amacına yönelik önerileri içermekte.

‘Çerez Uygulamaları Hakkında Rehber’in ‘Amaç ve Dayanak’ı şöyle açıklanmakta: “Rehber ile internet sayfası işleten tüm veri sorumluları için pratik tavsiyeler niteliğinde, yol gösterici mahiyette bir doküman oluşturulması amaçlandı. Rehber ile ortaya konulan iyi uygulamalar çerçevesinde sunulan açıklamalar; veri sorumlularının doğru hukuki sebeplere dayalı olarak veri işlemeleri ve Kanun’a uygun şekilde aydınlatma yapabilmeleri ile hukuka uygun açık rıza almaları noktasında yönlendirici nitelikte.”

Rehber, mobil web siteleri veya web uygulamalar için de geçerli

Rehberin kapsamı şöyle çizilmekte: “Bu rehber çerezler yoluyla kişisel verilerin işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamı dışında kalmakta. Piksel, kullanıcı parmak izleri, ‘local storage’, ‘beacon’ gibi benzer teknolojiler kapsamında herhangi bir yönlendirmede bulunmamakta. Bu rehber masaüstü ve mobil web siteleri veya web uygulamalar açısından da geçerli.” Genel olarak çerezler ise şöyle tanımlanıyor: “Çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olup HTTP(S)3 (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır. Diğer bir tanıma göre ise çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli tekst formatlarıdır.” Rehberde çerez türleri şu şekilde sıralanmakta: Sürelerine Göre Çerezler; Oturum Çerezleri ve Kalıcı Çerezler. Kullanım Amaçlarına Göre Çerezler ise şöyle ayrılıyor: Kesinlikle Gerekli Çerezler (Zorunlu Çerezler), İşlevsel Çerezler, Performans-Analitik Çerezler ve Reklam/Pazarlama Çerezleri. Taraflarına Göre Çerezler’in açıklaması ise şu şekilde: Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sayfasının ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmekte. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sayfası yani tarayıcının adres çubuğunda gösterilen URL (ornek.com.tr) tarafından yerleştiriliyor. Üçüncü taraf çerezler ise kullanıcının ziyaret ettiği internet sitesinden (ya da etki alanından) farklı bir üçüncü kişi tarafından yerleştiriliyor.

Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmekte

6698 sayılı Kanun kapsamında, veri sorumlularının çerezler aracılığıyla kişisel veri işlenmesinde şu kriterleri göz önünde bulundurmaları tavsiye edilmekte: Kriter A; çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması. Kriter B; çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması. Diğer yandan Rehberde yer alan ‘Çevrim İçi Davranışsal Reklamcılık Çerezleri’ ise şöyle açıklanmakta: “Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmekte. Bu durumda açık rıza gerekliliği; doğal olarak gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dâhil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsar.”

İnternet sitesine girilmiş olması, çerezlere açık rıza verildiği anlamını taşımaz

‘Hukuka Uygun Şekilde Alınması Gereken Açık Rızanın Unsurları” da şöyle aktarılmakta: “Açık rızanın, ilgili kişilerin neye onay vermelerinin istendiği hususunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemle elde edilmesi gerekmekte. Kullanıcının herhangi bir aktif eylemine dayanmayan rızaların, açık rıza olarak kabul edilemeyeceği de belirtilmeli. Bu yüzden de sadece internet sitesine girilmiş olması söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmemekte. Açık rızanın alınması hususunda ‘belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür irade’ unsurlarının varlığı önem teşkil etmekte. Bu kapsamda Kanun’da yer alan açık rızanın unsurlarının yanı sıra çerezlerin yerleştirilmesinden önce uygun hukuki sebeplerden biri olan açık rıza alınması gerektiğine dikkat edilmelidir.”

İyi uygulama örnekleri…

Çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) ‘kabul et’, ‘reddet’ ve ‘tercihler’ butonlarının sunulması iyi uygulama örneği olabilmekte. Kanun’un 10’uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu çerez yönetim paneline, çerezler yoluyla kişisel veri işlenmesine dair bir açıklama veya gerekirse bir link konulması doğru bir uygulama örneği teşkil ediyor. Bu kapsamda, açık rıza ile işlenmesi gereken çerezlerin yönetim panelinde ilk elde pasif biçimde gelmesi önem arz etmekte. Çevrim içi reklamcılık çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisine iliştirme (bundled) yöntemiyle açık rıza alınmasının mümkün olmayacağına da dikkat etmek gerekmekte. Zira sözleşme kapsamında verilen temel hizmetin yerine getirilebilmesiyle doğrudan ilgisi olmayan kişisel verilerin işlenmesinde sözleşmeye dayanılması ilgili kişilerin yanıltılması anlamına gelmekte. Dolayısıyla çevrim içi reklamcılık çerezlerinde açık rıza hususu ‘Kullanım Koşulları ve Sözleşmesi’ ya da ‘Gizlilik Bildirimi’ gibi dokümanlara iliştirilmemesi ve veri sorumlularının ilgili kişiye karşı dürüst olması gerekmekte. Ayrıca çerez yoluyla kişisel veri işlemesinde açık rıza istenmesi durumu, ilgili kişiye sözleşmenin kurulması veya ifasının ön koşulu olarak dayatılamayacak. Web tarayıcılarında çıkan pop-up, bant ya da banner gibi uygulamalar dışında, internete bağlanan terminal ekipmanlar (örneğin akıllı televizyonlar, buzdolapları, giyilebilir cihazlar vb.) bakımından da çerez kullanımı mümkün olabilmekte. Bu durumlarda kullanıcılara aydınlatma yapılması ve açık rıza alınması için alternatif metotlar göz önünde bulundurulması gerekmekte.

https://www.kvkk.gov.tr/Icerik/7353/Cerez-Uygulamalari-Hakkinda-Rehber linkinden Rehberin tamamına ulaşılabilir.