ÇEREZ UYGULAMALARI HAKKINDA REHBER YAYINLANDI

Hazırlayanlar: Mustafa KESKİN & Ece GÖKÇE

Kişisel Verileri Koruma Kurumu (“Kurum”) 11.01.2022 tarihinde Çerez Uygulamaları Hakkında Rehber taslağını kamuoyu görüşüne sunmuştu. Biz de KOİOS olarak ilgili taslağa ilişkin görüş ve önerilerimizi hem Kurum’a iletmiş hem de kamuoyuyla paylaşmıştık.

Bu defa Kurum, 20.06.2022 tarihinde Çerez Uygulamaları Hakkında Rehberi (“Rehber”) internet sitesinde yayınladı. Çerezler yoluyla kişisel verilerin işlenmesini kapsayan Rehber, masaüstü ve mobil web siteleri veya web uygulamaları açısından da geçerli olacak. Buna karşılık Rehber’de; piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojiler kapsamında herhangi bir yönlendirme bulunmuyor.

Kurum, söz konusu Rehber’i veri sorumlularına yol göstermek amacıyla hazırladı ve Rehber’de çerez türlerini açıklandıktan sonra dikkat edilmesi gereken kurallara değiniliyor ve çerez kullanımlarına yönelik iyi ve kötü örnekleri paylaşılıyor.

Bu yazıda kısaca Rehber’de nelere yer verildiğine dair bilgi veriyoruz.

Çerez Tanımları

Rehber’de çerezlere ilişkin iki tanıma yer veriliyor. İlk tanıma göre çerezler; internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olup HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılmaktadır. Bir diğer tanıma göre ise çerezler; internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır.

Çerez Türleri

Rehberde çerezler;

• Sürelerine göre çerezler: Oturum çerezleri ve kalıcı çerezler,
• Taraflarına göre çerezler: (Çerezin, kullanıcının ziyaret ettiği internet sitesi veya etki alanı tarafından yerleştirilip yerleştirilmemesine bağlı olarak) Birinci ve üçüncü taraf çerezler
• Kullanım amaçlarına göre çerezler: Zorunlu (kesinlikle gerekli), işlevsel, performans-analitik ve reklam-pazarlama çerezleri,

Şeklinde üç ana başlık altında sınıflandırılmıştır.

Elektronik Haberleşme Kanunu ve KVKK Arasındaki İlişki

Rehber, 5809 sayılı Elektronik Haberleşme Kanunu (“EHK“) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) arasındaki ilişki açısından, EHK’da 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik düzenlemelerinin yer almadığına dikkat çekerek, bu konuda KVKK’nın uygulama alanı bulacağını ifade etmiş ve Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararına atıfta bulunuyor. Rehber’de 5809 sayılı Elektronik Haberleşme Kanunu (“EHK”) 51. maddesinin üçüncü fıkrasının Avrupa Birliği’nin 2002/58/EC sayılı Direktifi’nin 5. maddesinin üçüncü fıkrası ile kısmi olarak uyum gösterdiğinden bahisle çerezler hususunda veri sorumlusu işletmeciler bakımından sadece işletmeci sıfatına sahip veri sorumlularına uygulanabileceğinden sınırlı bir uygulama alanı olduğuna dikkat çekiliyor.

Çerez Kullanırken Dikkat Edilecek Kurallar

Rehber’de, veri sorumlularının çerezlere ilişkin olarak iki kriteri göz önünde bulundurmaları gerektiği tavsiye ediliyor. Bunlar:

• Kriter A: Çerezin, sadece iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması;
• Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.

KVKK Kapsamında Çerezler Yoluyla Veri İşlenmesi

Rehber’de de ifade edildiği üzere, KVKK kapsamında kişisel veri içeren çerezlerin hukuka uygun olarak işlendiğinin kabul edilebilmesi için kullanıcıların açık rızasının alınması ya da Kanun’un 5. ve/veya 6. maddelerinde sayılan veri işleme şartlarının olup olmadığının değerlendirilmesi gerekiyor. Bu kapsamda:

• Veri sorumlusunun kişisel veri işleme amacının açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığını değerlendirmesi, bunlardan hiçbirini karşılamıyorsa kişinin açık rızasına dayanması gerekiyor.
• İlgili kişinin hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması şartına dayanması durumunda, Kriter A ve B’nin kapsamının da göz önünde. bulundurulması ve ilgili kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatinin karşılaştırılması suretiyle denge testi yapılması gerekiyor[1].

Çerezlere İlişkin Senaryolar

Rehber’de farklı durumlara ilişkin birçok senaryo örnek olarak paylaşılmış ve bu yolla tavsiyelerde bulunulmuş. Çerezler aracılığıyla kişisel verilerin işleneceği durumlarda bu senaryoların incelenmesi kolaylaştırıcı ve yararlı olacaktır.

Rehberdeki Senaryolardan Birkaç Örnek:

• Kullanıcı Girdili Çerezler

Kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran birinci taraf oturum çerezleri olan kullanıcı girdili çerezler, bir bilgi toplumu hizmetinin sağlanmasının kullanıcı tarafından açıkça talep edilmiş olması nedeniyle Kriter B kapsamında değerlendirileceğinden açık rıza gerektirmiyor. Tipik olarak Oturum ID değerine bağlı çalışan ve online bir formu ya da alışveriş sepetini doldururken, sepetteki ürünlerin veya formdaki bilgilerin kaydını tutan çerezler bu tür çerezlerin örneği olarak ele alınabilir. Bu tip çerezlerde, en geç oturumun sonlanmasıyla, çerezin kullanım süresinin de bitmesi beklenir.

• Kimlik Doğrulama Çerezleri

Kullanıcı kendisine izin verilen içerik veya fonksiyonelliğe erişimi açıkça talep etmiş olduğundan kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılan kimlik doğrulama çerezleri Kriter B kapsamında değerlendiriliyor ve bu çerezler için açık rıza gerekmiyor. Ancak tarayıcı kapatıldığında temizlenmeyen kalıcı çerezler için açık rıza alınması gerekiyor. Çevrimiçi bankacılık sitelerinde olduğu gibi kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılıyorlar. Bu tip çerezler için internet sayfasında “beni hatırla” gibi bir kutucuk eklenmesi yaygın bir yöntem.

Bu tür çerezler genellikle oturum çerezleri olup bazı durumlarda kalıcı çerez niteliği de gösterebiliyorlar. Rehber’e göre, veri sorumluları tarafından Kriter B’nin kapsamı değerlendirilirken, kullanıcının sadece söz konusu siteye erişimi ve gereksinim duyduğu spesifik işlevselliğin yerine getirilmesi için talepte bulunduğu göz önünde bulundurulmalı, bu tür çerezlerle açık alınmaksızın toplanan kişisel veriler, kullanıcıların davranışlarının takibi ve reklamcılık gibi ikincil amaçlarla kullanılmamalıdır.   

• Sosyal Eklenti İçerik Paylaşımı Çerezleri

Sosyal eklenti modüllerinin çalıştırılması için kullanılan sosyal eklenti takip çerezleri, internet sayfalarına entegre edilen ve sosyal ağ kullanıcılarının beğendikleri içerikleri veya yaptıkları yorumları arkadaşlarıyla paylaşmalarına imkân veren çerezlerdir.

Sosyal eklenti modülleri, kullanıcıların terminal ekipmanlarında, sosyal ağlardaki üyeler söz konusu eklentilerle etkileşime geçtiği anda sosyal ağın üyeleri tespit etmesini sağlamak üzere çerez depolar ve bu çerezlere erişim sağlarlar.

Bu çerezler kullanılırken, tarayıcı ile sosyal ağ hesabına giriş (log-in) yapmış kullanıcılar, sosyal ağa hiç üye olmayanlar ve üye olmuş ancak çıkış (log-out) yapmış olanlar arasında bir ayrıma gidilmeli. Nitekim hesabına giriş yapmış kullanıcıların üçüncü taraf internet sayfalarındaki sosyal eklentilere erişmeyi ve bunları kullanmayı beklemeleri durumunda, kullanıcılar tarafından açıkça talep edilen bir işlevsellik için gerekli olan bir çerez niteliğinde olacak ve Kriter B uygulama alanı bulacak olup, sosyal ağa üye olmayan ve hesabından çıkmış olan kullanıcılar için açık rıza alınması gerekecek.

Hatırlatmak gerekir ki sosyal eklenti modüllerinin davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla kullanılmasını sağlayan çerezler için de açık rızanın alınması gerekiyor.

• Multimedya Oynatıcısı Oturum Çerezleri

Videoları yeniden oynatmak veya ses içeriğine ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılıyorlar. “Flash çerezler” olarak da bilinirler. Oturum sonlandığında bu çerezlerin süreleri de biter. Kullanıcı, hizmeti açıkça talep ettiğinden video gösterim işlevi, Kriter B kapsamında değerlendirilir.

• Yük Dengeleme Oturum Çerezleri

Oturum çerezleri olup bu çerezde tutulan bilginin bu çerezlerin amacı haberleşme uç noktalarını (havuzlardaki sunuculardan birini) tespit etmektir. Çerez, ağ üzerinden haberleşmenin gerçekleştirilmesi için gerekli olup açık rıza gerektirmez.

• Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri

Kullanıcının hizmete ilişkin tercihlerini depolamak için kullanılırlar. Kullanıcı adı gibi kalıcı tanımlayıcılarla bağlantı kurulmaz. Kullanıcının açık isteği ile belli bir bilgi parçasını hatırlamak üzere yerleştirilebilirler (bir butonu tıklamak, kutuyu işaretlemek gibi).

• Açık Rıza Yönetim Platformu için Kullanılan Çerezler

Açık rızaya tabi olan çerezler için alınması gereken açık rızalara dair tercihlerin hatırlanması için kullanılırlar. Bu çerezin süresinin, genel veri işleme ilkeleri göz önünde bulundurularak belirlenmesi tavsiye ediliyor.

• Birinci Taraf Analitik Çerezler

İnternet sitesi ve uygulama yönetmek amacıyla trafik ve/veya performans istatistiklerinin kullanılması, bu istatistiklerin üretilmesi sitenin veya uygulamanın çalışması için gereklidirler. Kişilerin internet gezinmelerinin farklı internet siteleri veya uygulamalar arasında çapraz takibi amacıyla kullanılmaması, süresinin makul olması ve verilerin üçüncü kişilere aktarılmaması gerekir.

• İnternet Sitesinin Güvenliği için Kullanılan Çerezler

İnternet sitesinin güvenliği için kullanılan çerezler, kullanıcının talep ettiği hizmet için kesinlikle gerekli olan çerezlerdir. Veri sorumlusu bu amaç için kullandığı çerezleri, açık rıza dışındaki diğer işleme şartları dahilinde kullanabilir.

Yurtdışına Kişisel Veri Aktarılması:

Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla çerez kullandığı durumlarda, bu veri aktarım faaliyeti KVKK’nın 9. maddesindeki şartlara da uygun olmalıdır.

Çerezlere İlişkin Aydınlatma Yükümlülüğü:

Çerezlere ilişkin aydınlatma yükümlülüğünün yerine getirilmesinde KVKK’nın 10. maddesine ve bu maddeye dayanılarak çıkartılan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun hareket edilmelidir. Buna ilave olarak, Rehber’de, kullanılan çerezin adı, kullanım amaçları ve süresi ile birinci veya üçüncü taraf çerezler olup olmadığına ilişkin hususların çerez aydınlatma metninde yer almasına ilişkin tavsiyede bulunuluyor. Aynı zamanda bir de aydınlatma metni örneğine yer veriliyor.

Ürün ve hizmetin hitap edeceği kitle çocuklar ise Rehber’de, aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanması, gerekirse resim ve görsel efektlerle desteklenen daha anlaşılır, sade ve açık bir dil kullanılması gerektiği vurgulanıyor. 

Açık Rızanın Unsurları:

Rehber’de, sıklıkla açık rıza alınmasının “rıza yorgunluğuna” yol açabileceği, bu sebeple her siteye girişlerinde kullanıcılardan açık rıza alınmaması gerektiği belirtiliyor. Bu kapsamda açık rıza tercihinin periyodik olarak hatırlatılmasının uygun olacağı ifade ediliyor.

Rehber’de, hizmetin ön koşulu olarak dayatılan çerez duvarlarının özgür iradeyi sakatlayacağı, kullanıcılara hizmetten yararlanabilmeleri için alternatifler sunulması gerektiğinin altı çiziliyor. Ayrıca site içerisinde karmaşık ve çok fazla konuda bilgi içeren gizlilik bildirimleri sunmanın aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmediğine dikkat çekiliyor.

Üçüncü taraf çerezlerin kullanılması halinde ise internet sitesi sahibinin de üçüncü tarafın da kullanıcıları bilgilendirmesi gerektiği ve rızalarını alması gerektiği vurgulanan hususlar arasında yerini alıyor.

[1] (Kişisel Verileri Koruma Kurulu’nun bu konuda verdiği daha önceki kararlar dikkate alındığında, denge testinin yapıldığının “yazılı” olarak ispat edilmesi, veri sorumlusunun yararına olacaktır.