Kurul, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir doküman oluşturulması amacıyla bir Çerez Uygulamaları Rehberi (“Rehber”) hazırlamıştır. Rehber, Haziran 2022’de Kurul’un internet sitesinde yayınlanmıştır.
Rehberde genel olarak çerezler ve çerezlerin türleri düzenlenmektedir. Ayrıca sürelerine, kullanım amaçlarına ve taraflarına göre çerez türleri sınıflandırılmıştır.
Rehberde 5809 sayılı Elektronik Haberleşme Kanunu (“EHK”) ile Kanun’un arasındaki ilişki de incelenmiştir. Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması durumunda ve veri sorumlusunun da EHK kapsamında işletmeci sıfatını haiz olması halinde açık rıza alınmasına gerek kalmadan veri işlenmesi mümkün olmaktadır. Rehberde, çerez uygulamaları açısından yukarıda sayılan ve EHK’nun uygulama alanı bulacağı sınırlı haller dışında Kanun’un uygulama alanı bulacağı ve Kanun’da yer alan ilkeler ve veri işleme nedenlerinin çerezler yoluyla kişisel verilerin işlenmesi halinde de gözetilmesi gerekeceği belirtilmektedir. Buna göre Kanun’un 5 ve 6. maddelerinde sayılan hukuki sebeplerin bulunmaması halinde çerezlerin kullanımı için internet sitesi ziyaretçilerinden onay alınması gerekecektir. Taslak rehber kapsamında çerezin sadece iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması (Kriter A) ya da çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması halinde (Kriter B), Kanun’un 5. maddesinin (f) fıkrası kapsamında veri sorumlusunun meşru menfaati bulunduğundan bahisle açık rızaya dayanmaksızın çerez kullanımı mümkün olacaktır. Rehber, Kanun’un 5 ve 6. maddesinde yer alan sebepler bakımından herhangi bir sınırlamaya yer vermemiştir. Bu nedenle her olay özelinde titiz bir şekilde değerlendirilerek diğer sebeplerin de mevcut bulunması halinde kişisel veriler, çerezler aracılığıyla açık rıza olmaksızın işlenecektir.
Rehberde ayrıca açık rıza alınması gereken hallerde açık rıza ve aydınlatmaya ilişkin açıklayıcı detaylara yer verilmiştir. Buna göre Rehber kapsamında açık rıza alınırken siteye girildiği anda ziyaretçiye bir çerez yönetim paneli gösterilmeli ve burada eşit renk, büyüklük ve puntoda “kabul et”, “reddet”, ve “tercihler” butonları sunulmalıdır. Ziyaretçiye, tercihler butonu üzerinden açık rıza olmaksızın kullanılamayacak çerezler açısından onay verme / vermeme imkanı tanınmalı ve açık rızaya dayalı çerez uygulamaları ilk etapta kapalı/pasif şekilde gelmelidir. Rehber’de bu durum, veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında olması gerekenin opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine önceden onay vereceği bir sistem olduğu belirtilmektedir. Ayrıca, rıza yorgunluğunun önlenmesi bakımından ilgili kişinin siteye her girişinde açık rıza alınması yoluna gidilmemesi ve açık rızaya dayalı olarak kullanılacak çerezleri bir defa reddeden ziyaretçiye hatırlatmanın söz konusu çerezin ömrü ile orantılı olacak şekilde periyodik olarak yapılması gerektiği vurgulanmaktadır. Ayrıca internet sitesine erişimi engelleyen ve ziyaretçinin çerez uygulamalarına onay vermeden internet sitesinden yararlanmasını önleyen “çerez duvarı” adı verilen sistemler Kanun’a uygun kabul edilmemektedir.
Belirtmek gerekir ki, Kanun’un aydınlatma yükümlülüğü açısından ortaya koyduğu ilkeler çerezler açısından da aynı şekilde uygulama alanı bulacak olup, ziyaretçinin açık rızasına ya da başka bir veri işleme şartına dayalı olmasından bağımsız olarak her bir çerez aracılığıyla yapılan veri işleme faaliyeti için ziyaretçinin Kanun’a uygun biçimde aydınlatılması gerekecektir.
Yukarıda açıklanan iyi ve kötü çerez uygulamalarını somutlaştırmak adına, Rehber’de çerez uygulama örnekleri verilmiştir.
Kurul, çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmenmesine ilişkin olarak 2022 yılında vermiş olduğu bir kararda, e-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından kullanılan çerezlerin reklam, pazarlama ve performans amaçlı olması halinde ilgili kişinin açık rızasına tabi olduğu, çerez politikasına ilişkin aydınlatmanın kolay erişilebilir ve hangi kişisel verilerin hangi yöntem ile elde edildiğinin açıkça belirtilecek şekilde güncellenmesi gerektiği, internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketleriyle çerezlerin çalışmasına onay verilmesinin sağlanması gerektiğini belirtmiş olup, kişisel verilerin hukuka aykırı işlenmesinden bahisle söz konusu veri sorumlusu hakkında idari para cezası tesis etmiştir.