Kişisel Verileri Koruma Kurumu [KVKK] tarafından Çerez Uygulamaları Hakkında Rehber [Rehber] yayımlandı. Esas olarak rehberin çerezler yoluyla kişisel veri işleyen internet sitesi operatörleri için 6698 sayılı Kişisel Verilerin Korunması Kanunu [Kanun] kapsamında kişisel verilerin işlenmesi amacına yönelik önerileri içerdiği söylenebilir. Rehber ile ortaya konulan iyi uygulamalar çerçevesinde sunulan açıklamaların; veri sorumlularının doğru hukuki sebeplere dayalı olarak veri işlemeleri ve Kanun’a uygun şekilde aydınlatma yapabilmeleri ile hukuka uygun açık rıza alınması hususunda yönlendirici olması amaçlanmaktadır.
Rehber kapsamında çerez kavramının iki adet tanımına yer verilmiştir:
- İnternet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olup HTTP[S] [Hiper Metin Transferi Protokolü] talebinin bir parçası olarak aktarılır.
- Bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır.
Rehberde çerez kavramı belirli sınıflandırmalara tabi tutulmuş olup bunlar şu şekilde ifade edilebilir:
Sürelerine Göre Çerezler |
Kullanım Amaçlarına Göre Çerezler |
Taraflarına Göre Çerezler |
| Oturum Çerezleri | Zorunlu Çerezler | Birinci Taraf Çerezler |
| Kalıcı Çerezler | İşlevsel Çerezler | Üçüncü Taraf Çerezler |
| Performans/Analitik Çerezler | ||
| Reklam/Pazarlama Çerezleri |
Rehberde, Kanun kapsamında çerezler bakımından kişisel veri işleme şartları şu şekilde ifade edilmiştir:
- Açık rızanın bulunması gerekmektedir
ya da
- Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurması gerekmektedir.
Rehber çerçevesinde hukuka uygun şekilde alınması gereken açık rızanın unsurları belirtilmiş bulunmaktadır ve bu unsurlar şu şekilde sıralanabilir:
- Belirli bir konuya ilişkin olması
Çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının belirtilmesi gerekmektedir.
- Bilgilendirmeye dayanması
Hangi hukuka uygunluk sebebine dayanıldığından bağımsız olarak, kişisel verilerin elde edildiği her durumda, en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna aittir.
- Özgür iradeyle açıklanması
İlgili kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği göz önünde bulundurulduğunda, çerezler bakımından da verilen açık rızanın geri alınabilir olması gerekmektedir.
- Tarafların Sorumluluğu
İnternet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür.
Aynı zamanda Rehberde Kurulun 27.02.2020 tarihli ve 2020/173 sayılı kararı çerezler açısından değerlendirilmeye tabi tutulmuştur. Bu değerlendirme kapsamında şu hususlar önem ihtiva etmektedir:
- Aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi veren Gizlilik Bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır.
- Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir.
- Çerez yoluyla kişisel veri işlenmesine ilişkin olarak; bir sözleşmenin kurulması veya ifası kapsamında açık rıza alınması, ilgili kişiye sözleşmenin ön koşulu olarak dayatılamayacaktır.
- İlgili kişilerden açık rıza alınması yoluyla elde edilen kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olanak veren bir mekanizma kurulmalıdır.
- Kişisel verilerin -en geç- elde edilmesi sırasında yani internet sitesine girildiği anda aydınlatmanın yapılmış olması gerekmektedir. Aydınlatma henüz veri işlenmediği ya da en geç veri işlendiği esnada yapılmalıdır.
- Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmemektedir. Zira, siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızasının olup olmayacağının belirli olmadığı gerekçeleriyle yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemez.
- Kararda, çerezler yoluyla kişisel verilerin işlenmesi için açık rıza dışında bir hukuki sebebe de dayanılabileceği değerlendirilmektedir.
