Bilindiği üzere Kişisel Verileri Koruma Kurumu (Kurum) tarafından Ocak 2022’de Çerez Uygulamalarına ilişkin Rehber Taslağı yayımlanmıştır. Konuya ilişkin tarafımızca daha önce bülten metni paylaşılmış olup Çerez Uygulamaları Hakkında Rehber’in (Rehber) nihai hali Kurum tarafından Haziran 2022 itibari ile yayımlanmıştır. Bu kapsamda Rehber Haziran 2022 itibari ile bağlayıcı hale gelmiş olup Rehber ile değinilen hususlara ilişkin bilgilendirmeye aşağıda yer verilmiştir.
Rehber ile internet sayfası işleten veri sorumlularının çerezler aracılığı ile verilerin işlenmesinde hangi konulara dikkat edilmesi gerektiğine ilişkin yol göstermek amaçlanmıştır.
I. Çerez Tanımı ve Çerez Türleri
Rehber kapsamında çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olarak tanımlamıştır. Yani çerezler, kullanıcı tarafından internet sitesinin ziyaret edilmesi ile birlikte, kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren metinlerdir.
Rehber kapsamında çerezler temel olarak üç grupta incelenmektedir.
a. Süresine Göre Çerezler
b. Kullanım Amaçlarına Göre Çerezler
c. Taraflarına Göre Çerezler
a. Süresine Göre Çerezler
Süresine göre çerezler kendi içerisinde oturum çerezleri ve Kalıcı çerezler olmak üzere ikiye ayrılmaktadır. Oturum Çerezleri (aynı zamanda geçici çerezler olarak da adlandırılmaktadır.) oturumun devamlılığı için kullanılan çerezlerdir ve internet tarayıcısının kapatılması ile birlikte bu çerezler silinir. Kalıcı Çerezler (aynı zamanda izleme çerezleri olarak da adlandırılmaktadır.) ise internet tarayıcısı kapatıldığında silinmeyen, belirli bir tarihte ya da belirli bir süre sonunda kendiliğinden silinen çerezlerdir. Bu tarz çerezler aracılığı ile kullanıcının işlenen verileri internet sitesini her ziyaret ettiğinde sunucuya iletilmektedir.
b. Kullanım Amaçlarına Göre Çerezler
Kullanım amaçlarına göre çerezler 4 kategoride incelenmektedir. Bunlar (i) zorunlu çerezler, (ii) işlevsel çerezler, (iii) performans – analitik çerezler ve (iv) reklam/pazarlama çerezleridir.
Zorunlu Çerezler: Bu tür çerezler, web sitesinde gezinebilmek ve sitenin güvenli alanlarına erişim gibi özelliklerini kullanmak için gereklidir. Çevrimiçi alışveriş yaparken web mağazalarının ürünleri sepetinizde tutmasına izin veren çerezler, bu tür çerezlere bir örnektir. Bu çerezler genellikle birinci taraf oturum çerez bilgileri olarak görülmektedir. Bu çerezler için izin alınması gerekmemekle birlikte, ne işe yaradıkları ve neden gerekli oldukları hakkında kullanıcı bilgilendirilmelidir.
İşlevsel Çerezler (Tercih Çerezleri): Bu tür çerezler tercihlerin hatırlanması için kullanılan çerezlerdir. Örneğin bir web sitesinde tercih edilen dil, hangi bölge için hava durumu araştırması yapıldığı, kullanıcı adı ve şifre gibi geçmişte yapılan seçimleri hatırlamasını sağlar.
Performans/Analitik Çerezler: Bu Çerezler, hangi sayfaların ziyaret edildiği, hangi bağlantılara erişim sağlandığı gibi bir web sitesinin kullanımı hakkında bilgi toplar. Web sitesinin işlevlerini geliştirmek için kullanılan çerezler olup bu çerezler kullanıcıları tanımlamak için kullanılmamaktadır. Hepsi bir araya getirilerek oluşturulmuş çerezler olduğundan anonimleştirilmişlerdir.
Reklam/Pazarlama Çerezleri: Bu çerezler, reklam verenlerin kullanıcının tercihlerine göre reklamlar sunmasına yardımcı olmak veya bir reklamı kaç kez göreceğinizi sınırlamak için çevrimiçi etkinliği izleyen çerezlerdir. Çerezler izledikleri bu bilgileri diğer kuruluşlar ve reklamcılarla paylaşabilir. Bu tarz çerezler, kalıcı ve üçüncü taraf çerezlerdir.
c. Taraflarına Göre Çerezler
Taraflarına göre çerezler ise birinci taraf çerezleri ve üçüncü taraf çerezleri olmak üzere ikiye ayrılmaktadır.
Birinci Taraf Çerezler: Birinci taraf çerezler, doğrudan ziyaret edilen web sitesi tarafından yerleştirilen çerezlerdir.
Üçüncü Taraf Çerezler: Ziyaret edilen web sitesi tarafından değil, reklamcı veya analitik sistemler gibi üçüncü bir kişi tarafından yerleştirilen çerezlerdir.
II. Çerezlerin İşlenmesinde Dikkat Edilmesi Gereken Hususlar
Kurum tarafından yayımlanan Rehber ile açık rıza olmaksızın çerezlerin işlenmesinde dikkat edilmesi gereken kriterler belirlenmiştir. Rehber uyarınca iki kriter bulunmakta olup bu kriterler şöyledir.
Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması
Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması
Rehber ile birlikte, Kişisel Verilerin Korunması Hakkında Kanun’un (Kanun) açık rıza alınmasına gerek bulunmayan hallerden birine uyması halinde işlemenin gerçekleşmesi halinde açık rıza aranmayacaktır. Bu kapsamda yukarıda belirtilen Kriter A ve Kriter B’nin varlığı halinde Kanun’da yer alan açık rıza olmaksızın veri işleme şartlarının oluştuğu kabul edilmektedir. Bu kapsamda aşağıdaki çerezlerin yanlarında belirtilmiş olan kriterleri sağlaması halinde işlenebilmesi için açık rıza aranmayacaktır.
Kullanıcı Girdili Çerezler: Kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran bu tip çerezlerin bir bilgi toplumu hizmetinin sağlanmasının kullanıcı tarafından açıkça talep edilmesi halinde Kriter B kapsamında değerlendirilecek ve açık rıza alınmaksızın işlenebilecektir. Aksi halde açık rıza aranmalıdır.
Kimlik Doğrulama Çerezleri: Kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılan bu çerezler, kullanıcının kendi isteği ile sisteme giriş yapması ve bu çerezler sayesinde her yeni sayfa talebinde tekrar isim ve şifre girilmesine gerek olmaması halinde bu durum Kriter B kapsamında değerlendirileceğinden açık rıza aranmamaktadır. Bununla birlikte, kullanıcının sadece söz konusu siteye erişimi ve gereksinim duyduğu spesifik işlevselliğin yerine getirilmesi için talepte bulunduğu göz önünde bulundurulmalı ve bu çerezler davranış takibi ve reklamcılık gibi amaçlarla kullanılmamalıdır. Böyle bir durum söz konusu olması halinde bu çerezler için de açık rıza aranacaktır.
Kullanıcı Merkezli Güvenlik Çerezleri: Güvenliği artırmak amacıyla kullanılan bu çerezler kullanıcının hizmet talebi çerçevesinde Kriter B olarak değerlendirilmekte olup açık rıza aranmamaktadır.
Multimedya Oynatıcısı Oturum Çerezleri: Videoyu yeniden oynatmaya veya ses içeriğine ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılan bu oturum çerezleri Kriter B kapsamında değerlendirilmekte olup açık rıza aranmamaktadır.
Yük Dengelemesi Oturum Çerezleri: Bu çerez türü ağ üzerinden haberleşmenin gerçekleştirilebilmesi için gerekli olduğundan Kriter A kapsamında değerlendirilmektedir. İşlenmesi için açık rıza aranmaz.
Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri: Kullanıcının internet sayfasındaki bir hizmete yönelik tercihlerini depolamak için kullanılmakta olan bu çerezler Kriter B kapsamında değerlendirilmektedir. İşlenmesi için açık rıza aranmaz.
Sosyal Eklenti İçerik Paylaşımı: İnternet sayfasındaki içeriklerin diğer mecralarda paylaşılmasına izin veren bu çerezler sosyal medya üyeleri tarafından Kriter B kapsamında değerlendirilmekte olup işlenmesi için açık rıza aranmamaktadır.
Açık Rıza Yönetim Platformu için Kullanılan Çerezler: İnternet sayfalarında kullanılan çerezlerden açık rızaya tabi olanlar için alınması gereken açık rızalara dair tercihlerin belli bir süreyle hatırlanması için kullanılan bu çerezler de Kriter B kapsamında değerlendirilmektedir.
Birinci Taraf Analitik Çerezler: Amacı internet sitesinin hedef kitlesini ölçmekle sınırlı olan çerezlerin performans ölçümü, navigasyon problemlerinin tespiti, teknik performansın optimizasyonu gibi internet sitesi veya uygulamanın işleyişinin ve yönetiminin sağlanabilmesi için kullanılan bu çerezler Kriter B kapsamında değerlendirilmektedir.
İnternet Sitesinin Güvenliği için Kullanılan Çerezler: İnternet sitesinin güvenliği için kullanılan bu çerezler de güvenlik zafiyeti nedeniyle hizmet verilememesi, hizmet dışı kalınması gibi sonuçlara yol açacağından Kriter B kapsamında değerlendirilmekte olup işlenmesi için açık rıza aranmamaktadır.
Yukarıda sayılan çerezlerin işlenmesi için Kriterlerin sağlanması halinde ayrıca açık rıza aranmayacak olmakla birlikte aşağıda sıralanan çerezler için açık rıza alınması zorunludur.
Sosyal Eklenti Takip Çerezleri: Sosyal eklenti modüllerinin davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılmaktadır.
Çevrim İçi Davranışsal Reklamcılık Çerezleri: Davranışsal reklamcılık için kullanılan gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dâhil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsar.
Ayrıca belirtmek gerekir ki, aşağıda açık rızanın alınmasına ilişkin yer alan açıklamalara ek olarak Rehber ile, sadece zorunlu çerezlerin kullanıcı önüne zorunlu olarak getirilebileceği, açık rıza aranmayan çerezlerin (işlevsel ve analitik çerezler) kapatılmasına izin verilmesi koşulu ile başlangıçta seçili şekilde kullanıcıya sunulabileceği; işlenebilmesi için açık rızanın muhakkak arandığı reklam ve pazarlama çerezlerinin ise işlenebilmesi için kullanıcının aktif hareketi ile bu çerezlerin işlenmesine rıza göstermesi gerektiğinden kullanıcı önüne seçili şekilde getirilmemesi gerektiği doğru uygulama olarak gösterilmiş ve vurgulanmıştır.
III. Açık Rızanın Unsurları
Açık rızanın hukuka uygun şekilde alınmış olabilmesi için aşağıdaki şartların sağlanması gerekmektedir.
- Açık rızanın belirli bir konuya ilişkin olması,
- Bilgilendirmeye dayanması,
- Özgür iradeyle açıklanması
Bu kapsamda Rehber uyarınca, çerezler kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulmasının iyi uygulama örneği olabileceği belirtilmektedir. Bununla birlikte çerezlerin kullanılmasına izin verilmedikçe internet sitesinin içeriğinin görülmesini engelleyen çerez duvarları gibi uygulamaların ise, kullanıcı iradesini sakat nitelikte olduğundan, bunların hukuka aykırı olduğu belirtilmiştir.
IV. Yurt Dışına Aktarım
Rehber, çerezler ile işlenen kişisel verilerin yurt dışına aktarımı konusunda Kanun’a atıf yapmış ve yurt dışına aktarım için öncelikle açık rıza şartının bulunması gerektiğini belirtmiştir. Bununla birlikte, Kanun’un 5. maddesinin ikinci fıkrasında veya 6. maddesinin üçüncü fıkrasında yer alan koşullar doğrultusunda yeterli korumanın bulunması veya veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması halinde yurt dışına aktarım gerçekleştirilebileceğini belirtmektedir.
V. Hukuka Uygun Aydınlatma Yapılması
Rehber, aydınlatma yükümlülüğünün yerine getirilebilmesi için Kanun’un 10. maddesine ve “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” hükümlerine atıfta bulunmuştur. Yine Rehber uyarınca, site ziyareti ile birlikte kişisel veri işlenmeye başlanması için aydınlatmanın, kişisel veri işleme şartından bağımsız olarak internet sitesine giriş aşamasında yapılması gerekmekte olup internet sitesine girişte kişisel verilerin işlendiğine dair bir bilgilendirmenin sunulmadığı (ör. pop- up mesajlar) durumlarda aydınlatma yükümlülüğüne aykırılık gündeme gelecektir.
Rehberin tamamına aşağıdaki linkten ulaşabilirsiniz.
Commentaires