Daha fazla bilgi için,
lütfen iletişime geçin :

Ortak Avukat

Kıdemli Avukat

Hukuk Bültenleri

Çerez Uygulamaları Hakkında Rehber Yayımlandı

Hukuk Bültenleri
Bilgi Teknolojileri ve Telekomünikasyon
Genel

        Bu bültenimizi podcast olarak da dinleyebilirsiniz!

 

Kişisel Verileri Koruma Kurumu (“Kurum“), 11 Ocak 2022 tarihinde Çerez Uygulamaları Hakkında Rehber Taslağı’nı yayımlamıştı. Kurum, 20 Haziran 2022 tarihinde, Çerez Uygulamaları Hakkında Rehber’i yayımladı. Rehber, çerez teknolojilerini kullanan veri sorumlularının ilgili uygulamalarının Kişisel Verilerin Korunması Kanunu’na (“Kanun“) uyumuna yönelik öneriler getirmektedir.

Yeni gelişme

Kurum, Rehber taslağını 11 Ocak 2022 tarihinde yayımlamış ve 10 Şubat 2022 tarihine kadar kamuoyu görüşüne açmıştı. Rehber’de, taslak versiyonda yer alan çerez türlerine ilişkin detaylı açıklamalar, 5809 sayılı Elektronik Haberleşme Kanunu (“EHK“) ile Kanun arasındaki ilişki, çerez kullanım senaryoları ve hukuka uygun açık rıza alımı, aydınlatma yapılmasına ilişkin açıklamalara ve Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararının çerezler açısından değerlendirilmesine ek olarak kişisel verilerin çerezler vasıtasıyla yurtdışına aktarımına da yer verilmiştir. Rehber’de ayrıca, çerez kullanımına ilişkin kontrol listesi düzenlenmiş ve çerez kullanımları örneklendirilmiştir. İlgili karara buradan ve Rehber’e buradan ulaşabilirsiniz. Rehber taslağına ilişkin bilgi notumuza ise buradan ulaşabilirsiniz.

Rehber Neler Getiriyor?

Çerez kullanan internet sitesi[2] operatörlerinin Kanun’a uyumunu sağlamayı amaçlayan Rehber, yalnızca kişisel verilerin işlenmesinde kullanılan çerezleri kapsamaktadır. Rehber’de yer alan düzenlemeler piksel, kullanıcı parmak izleri, local storage, beacon gibi teknolojiler ilişkin herhangi bir yönlendirme içermemektedir. Rehber, masaüstü ve mobil internet siteleri ile uygulamalara ilişkin düzenlemeler getirmektedir.

Çerez tanımı ve türleri

Rehber, çerezleri; “internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür
metin dosyasıdır HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır” şeklinde tanımlamıştır. Rehber’deki bir diğer çerez tanımı ise “bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları“dır.

Rehber, çerez türlerini (i) sürelerine göre, (ii) kullanım amaçlarına göre ve (iii) taraflarına göre çerezler olmak üzere 3 ana başlıkta toplamıştır. Sürelerine göre çerezler, oturum çerezleri ve kalıcı çerezlerdir. Kullanım amaçlarına göre çerezler; kesinlikle gerekli (zorunlu), işlevsel, performans-analitik ve reklam/pazarlama çerezleridir. Taraflarına göre çerezler ise, çerezin, kullanıcının ziyaret ettiği internet sitesi veya etki alanı tarafından yerleştirilip yerleştirilmemesine bağlı olarak birinci ve üçüncü taraf çerez olarak ikiye ayrılmaktadır.

EHK-Kanun ilişkisi

Rehber, EHK ile Kanun arasındaki ilişki bakımından; EHK’da 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik düzenlemeleri yer almadığından bu konuda Kanun’un uygulama alanı bulacağını belirterek, Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararına dikkat çekmiştir. İlaveten, EHK’nın yalnızca veri sorumlusu işletmeciler ile sınırlı olarak uygulanabileceği ifade edilmiştir.

Çerez kullanımında açık rıza alınmasına ilişkin kurallar

Rehber’de çerez kullanımında açık rızanın alınıp alınmayacağı hususunda belirleyici olan ve Avrupa Birliği’nde yer verilen iki kriter vurgulanmıştır. Bu doğrultuda, çerez kullanımının (i) sadece elektronik haberleşme şebekesi üzerinden iletişim sağlanması kapsamında veya (ii) abonenin veya kullanıcının açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olup olmadığı değerlendirilmelidir. Bu kriterlerden birine girmeyen ve Kanun’daki açık rıza dışındaki veri işleme şartlarından herhangi birinin bulunmadığı hallerde, ilgili kişinin açık rızası alınmalıdır. Belirtildiği üzere, çerez kullanımı için Kanun’da gösterilen veri işleme şartlarından herhangi birinin mevcudiyeti halinde ilgili kişinin açık rızasının alınması gerekmeyecektir.

Kurum, veri sorumlularının açık rıza alınmasını gerektiren çerez kullanımlarında, açık rızanın hukuka uygun olması için ilgili kişinin açık ve spesifik olarak bilgilendirilmesi ve rızanın ilgili kişinin aktif eylemi ve özgür iradesiyle alınması gerektiğini vurgulamıştır. Kurum, çok sık aralıklarla rıza alınmasının “rıza yorgunluğuna” sebebiyet verebileceğini ve ilgili kişinin özgür iradesini sakatlayabileceğini belirtmiştir. Rehber uyarınca, internet sitesine her girişte rıza alınması yerine açık rıza tercihinin çerezin ömrüyle orantılı şekilde hatırlatılması yeterlidir. Son olarak, çerez onayının ilgili kişinin internet sitesi içeriğini görüntülemesini engelleyici çerez duvarları kullanılarak alınmasının, açık rızanın hizmetin ön koşulu olarak sunulması sebebiyle özgür iradeyi sakatladığı vurgulanmıştır.

Üçüncü taraf çerezlerin kullanıldığı hallerde, hem internet sitesi sahibi hem de üçüncü taraf ilgili kişilerin açık bir şekilde bilgilendirilmesinden ve hukuka uygun açık rıza alınmasından sorumludur. Rehber, üçüncü kişilerin internet sitesi sahibine göre ilgili kişilerle bağlantı kurmasının daha zor olması sebebiyle, internet sitesi sahibi ile yapılacak sözleşmede, aydınlatma yükümlülüğü ve rıza alımına ilişkin kuralların düzenlenmesini önermektedir.

Yurt dışına aktarım

Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla çerez kullanmak suretiyle yurt dışına veri aktarmaları halinde bu faaliyetin Kanun’un kişisel verilerin yurtdışına aktarımına ilişkin düzenlemelerine uygun olması gerekmektedir. Bu kapsamda, ilgili kişiden açık rıza alınması veya aktarım yapılacak ülkede yeterli koruma bulunması veya Kurul’a taahhütname sunulması gerekmektedir.

Sonuç

Kurum, çerez kullanımına ilişkin uygulamaların hukuka uygun hale getirilmesi amacıyla yayımladığı Rehber’de, başta internet sitesi operatörleri olmak üzere çerezler aracılığıyla kişisel veri işleme faaliyetinde bulunanlara yol göstermektedir. İlgililer, uygulama bakımından oldukça önemli olan Rehber’i inceleyerek faaliyetlerini Kurum yönlendirmeleri doğrultusunda hukuka uygun olarak yürütmelidir.
[2]Rehber’de anılan “internet sitesi” terimi, internet sitesi veya ortamları (mobil veya tablet gibi) içerir şekilde kullanılmıştır.