Önerilen Aramalar

Çerez Uygulamaları Hakkında Rehber Taslağı Yayımlandı

13.01.2022

Tüm Haberler
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 11 Ocak 2022 tarihinde “Çerez Uygulamaları Hakkında Rehber Taslağı” (“Taslak Rehber” veya “Rehber”) kamuoyu görüşüne açılmak üzere yayınlanmıştır.
Rehber’e ilişkin görüş ve değerlendirmelerin 10.02.2022 tarihine kadar yazı ile Kurum’a ve/veya e-posta ile [email protected] elektronik posta adresine gönderilebileceği ilan edilmiştir.

Taslak Rehber, çerezler yoluyla kişisel veri işleyen internet sitesi işletmecileri için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında kişisel verilerin korunması amacına yönelik önerileri içermektedir.

Kurul tarafından çerezlere ilişkin hazırlanan önemli kararlardan ilki 27.02.2020 tarih ve 2020/173 sayılı Amazon Türkiye kararıdır. İlgili kararda çerezlere ilişkin kullanıcılar tarafından internet sitesine ilk giriş yapıldığında ilgili kişinin aydınlatılması ve veri işleme faaliyetine başlamadan kişiye seçenek sunulması gerektiği belirtilmiştir. Ocak 2022 tarihli Taslak Rehber’de ise Amazon Türkiye kararında çerezlere ilişkin bölümlere yer verildiği görülmektedir.

İlk bölümünde genel olarak çerezlerin tanımı, türleri, sürelerine göre çerezler, kullanım amaçlarına göre çerezler ve taraflarına göre çerezler belirtilmiştir. İkinci bölümünde ise 5809 sayılı Elektronik Haberleşme Kanunu (“5809 sayılı Kanun”) ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) arasındaki ilişkiye yer verilmiştir. Son bölümde ise çerezlere dair dikkate alınması gereken kurallar ve açık rıza gerektirmeyen çerez kullanımları senaryoları belirtilmiştir.

- 5809 sayılı Elektronik Haberleşme Kanunu ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu Arasındaki İlişki
Çerezler konusu 6698 sayılı Kanun’da ayrıca düzenlenmemiştir. 5809 sayılı Kanun m. 51, Elektronik İletişim Sektöründe Kişisel Bilgilerin İşlenmesi ve Gizliliğinin Korunması Hakkında 12 Temmuz 2002 tarih ve 2002/58/EC sayılı Avrupa Parlamentosu E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik hükümlerini barındırmamaktadır. 5809 sayılı Kanun m.53/3 ise yalnızca elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve altyapısını işleten şirketler yani 5809 sayılı Kanun kapsamında “işletmeci” niteliğini haiz veri sorumlularını kapsamaktadır.

- Çerezlere Dair Dikkate Alınması Gereken Kurallar ve Hukuki Değerlendirme
Taslak Rehber’de çerezler aracılığıyla kişisel veri işlenmesinde şu kriterlerin göz önünde bulundurulması tavsiye edilmiştir:
Kriter A: Çerezlerin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması.
Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.

6698 sayılı Kanun kapsamında çerezler bakımından kişisel veri işlenebilmesi için açık rızanın bulunması ya da veri sorumlusunun çerezler yoluyla veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, 6698 sayılı Kanun m. 5 ve/veya m.6’da sayılan diğer veri işleme şartlarına riayet etmesi gerekmektedir. Ayrıca, Rehber’de, meşru menfaat veri işleme şartına dayanılması durumunda, AB Hukukunda geçerli istisnaları ortaya koyan Kriter A ve Kriter B’nin kapsamı da değerlendirilerek temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin kıyaslanması yoluna gidilerek denge testi yapılması gerektiği belirtilmiştir. 1

Rehber’de, kullanıcı girdili çerezlerin, kimlik doğrulama çerezlerinin, kullanıcı merkezli güvenlik çerezlerinin, multimedya oynatıcı oturum çerezlerinin, yük dengelemesi oturum çerezlerinin, kullanıcı ara yüzü kişiselleştirme çerezlerinin ve sosyal eklenti içerik paylaşımı çerezlerinin açık rızadan muaf tutulduğu; kriter A ve kriter B altında sağlanan muafiyetler kapsamına girmeyen çerez kullanımı senaryolarına bakıldığında ise sosyal eklenti takip çerezlerinin, üçüncü taraf reklamcılık çerezlerinin ve birinci taraf analitik çerezlerin açık rızadan muaf tutulmadığı belirtilmiştir.

- Hukuka Uygun Şekilde Açık Rıza Alınması
Rehber’de açık rıza alınması durumunda ise açık rızanın geçerlilik unsurları olan belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür iradeleri unsurlarının sağlanması gerektiği belirtilmiştir.

Taslak Rehber uyarınca çerez politikasının kullanımı konusunda izlenmesi gereken yöntem kullanıcı internet sitesine ilk giriş yaptığı anda karşısına pop-up yöntemiyle çıkarılmasıdır. Çerez politikasına onay vermeyen kişilerin ise çerezleri (zorunlu olanlar dışında) toplanmamalıdır. Kullanıcıların aydınlatılmasında ise “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in” hükümlerine uygun hareket edilmelidir.

Çerez duvarları hususunda; açık rızanın özgür bir biçimde verilebilmesi kapsamında çerez duvarlarının ilgili kişinin rızasını ortaya koyarken gerçek bir seçim yapmasının engellemesinin söz konusu olabildiği Taslak Rehber’de yer alan konular arasındadır. Taslak Rehber uyarınca siteye erişim için çerez duvarı konulması yöntemi ile çerezlere rıza verilmesinin hizmetin ön koşulu olarak ilgili kişiye dayatılması halinde çerez duvarının ilgili kişinin özgür iradesini sakatlaması söz konusu olabileceğinden, bu durumda alınan açık rızanın, geçerli bir açık rıza olmayacağı değerlendirilebilecektir.

Rehber’de tarafların sorumluluğu kapsamında çerez yerleştirmek isteyen üçüncü taraflar veya çerezlerin kullanılmasını gerektiren bir ürün sağlamak isteyenlerin, internet sitesi yayımcıları ile aralarındaki sözleşmeye bu konuda hüküm ekleyebileceği belirtilmiştir. Bu durumun, üçüncü taraf çerezler hakkında aydınlatma yapmak ve rıza almak için uygun tedbirlerin alınacağına dair bir güvence sağlayabileceğine dikkat çekilmiştir.

Rehber’in son bölümünde “Bir Şirket Hakkındaki Başvuru ile İlgili Kişisel Verileri Koruma Kurulu’nun 27.02.2020 tarih ve 2020/173 sayılı kararının çerezler açısından değerlendirilmesi” başlığıyla Amazon Türkiye kararının önemli noktaları üzerinde tekrar durularak; kararda da belirtildiği gibi aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır bir aydınlatma yapılması gerektiği, aydınlatma ve açık rıza alınması işlemlerinin ayrı ayrı gerçekleşmesinin önemi, açık rızanın hizmet şartına bağlanmaması gerektiği, her bir farklı amaç için ayrı açık rıza alınması ve kişisel verilerin en geç elde edilmesi sırasında yani internet sitesine girildiği anda aydınlatma yapılmasının gerekliliği ve açık rızanın alınabilmesi için aktif bir eylemin yani somut bir rıza alımının gerçekleşmesi gerektiği vurgulanmıştır.

Bahar Esentürk, Avukat
Selma Esen, Avukat

Diğer Haberler