Çerez Uygulamaları Rehberi Taslağı

Kurum, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir doküman oluşturulması amacıyla bir rehber taslağı hazırlamıştır. Rehber taslağı, buna ilişkin görüşlerin toplanması amacıyla 11 Ocak 2022 tarihinde K-VKK internet sitesinde yayınlanmıştır.

Henüz taslak aşamasındaki bu rehber kapsamında; genel olarak çerezler ve çerezlerin türleri düzenlenmektedir. Ayrıca sürelerine, kullanım amaçlarına ve taraflarına göre çerez türleri sınıflandırılmıştır.

Rehberde 5809 sayılı Elektronik Haberleşme Kanunu (“EHK”) ile Kanun’un arasındaki ilişki de incelenmiştir. Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması durumunda ve veri sorumlusunun da EHK kapsamında işletmeci sıfatını haiz olması halinde açık rıza alınmasına gerek kalmadan veri işlenmesi mümkün olmaktadır. Taslak rehber kapsamında, çerez uygulamaları açısından yukarıda sayılan ve EHK’nun uygulama alanı bulacağı sınırlı haller dışında Kanun’un uygulama alanı bulacağı ve Kanun’da yer alan ilkeler ve veri işleme nedenlerinin çerezler yoluyla kişisel verilerin işlenmesi halinde de gözetilmesi gerekeceği belirtilmektedir. Buna göre Kanun’un 5 ve 6. maddelerinde sayılan hukuki sebeplerin bulunmaması halinde çerezlerin kullanımı için internet sitesi ziyaretçilerinden onay alınması gerekecektir. Taslak rehber kapsamında çerezin sadece iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması (Kriter A) ya da çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması halinde (Kriter B), Kanun’un 5. madde (f) fıkrası kapsamında veri sorumlusunun meşru menfaati bulunduğundan bahisle açık rızaya dayanmaksızın çerez kullanımı mümkün olacaktır. Rehber, Kanun’un 5 ve 6. maddesinde yer alan sebepler bakımından herhangi bir sınırlamaya yer vermemiştir. Bu nedenle her olay özelinde titiz bir şekilde değerlendirilerek diğer sebeplerin de mevcut bulunması halinde kişisel veriler, çerezler aracılığıyla açık rıza olmaksızın işlenecektir.

Rehberde ayrıca açık rıza alınması gereken hallerde açık rıza ve aydınlatmaya ilişkin açıklayıcı detaylara yer verilmiştir. Buna göre taslak rehber kapsamında açık rıza alınırken siteye girildiği anda ziyaretçiye bir çerez yönetim paneli gösterilmeli ve burada eşit renk, büyüklük ve puntoda “kabul et”, “reddet”, ve “tercihler” butonları sunulmalıdır. Ziyaretçiye, tercihler butonu üzerinden açık rıza olmaksızın kullanılamayacak çerezler açısından onay verme / vermeme imkanı tanınmalı ve açık rızaya dayalı çerez uygulamaları ilk etapta kapalı/pasif şekilde gelmelidir. Rehber taslağında bu durum, veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında olması gerekenin opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine önceden onay vereceği bir sistem olduğu belirtilmektedir. Ayrıca, rıza yorgunluğunun önlenmesi bakımından ilgili kişinin siteye her girişinde açık rıza alınması yoluna gidilmemesi ve açık rızaya dayalı olarak kullanılacak çerezleri bir defa reddeden ziyaretçiye hatırlatmanın söz konusu çerezin ömrü ile orantılı olarak şekilde periyodik olarak yapılması gerektiği vurgulanmaktadır. Ayrıca internet sitesine erişimi engelleyen ve ziyaretçinin çerez uygulamalarına onay vermeden internet sitesinden yararlanmasını önleyen “çerez duvarı” adı verilen sistemler Kanun’a uygun kabul edilmemektedir.

Belirtmek gerekir ki Kanun’un aydınlatma yükümlülüğü açısından ortaya koyduğu ilkeler çerezler açısından da aynı şekilde uygulama alanı bulacak olup ziyaretçinin açık rızasına ya da başka bir veri işleme şartına dayalı olmasından bağımsız olarak her bir çerez aracılığıyla yapılan veri işleme faaliyeti için ziyaretçinin Kanun’a uygun biçimde aydınlatılması gerekecektir.

Yukarıda açıklanan iyi ve kötü çerez uygulamalarını somutlaştırmak adına rehber taslağının sonuna çerez uygulama örnekleri eklenmiştir. Veri sorumlularının internet sitelerinde yer alan çerez uygulamalarına ilişkin olarak rehber taslağında yer alan iyi ve kötü uygulama örneklerini dikkatle incelemesi çerezleri Kanun’a uygun şekilde kullanmaları adına yararlı olabilir.

Rehber kapsamında ayrıca Kurul’un 27/02/2020 tarih ve 2020/173 sayılı kararının çerezler açısından değerlendirilmesi yapılmıştır. Bu açıdan kararda en önemli noktalar şu şekilde özetlenebilir:

  1. Aydınlatma tüm unsurları içermeli ve açık sade anlaşılır şekilde yapılmalıdır ve çerez gizlilik bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiğini ifade etmez.
  2. Açık rızaya dayalı veri işleme faaliyeti söz konusu ise aydınlatma yükümlülüğü ve açık rıza işlemleri ayrı ayrı gerçekleştirilmelidir.
  3. Sözleşmenin ön koşulu olarak açık rıza alınması yolu ile veri işlenmemelidir.
  4. Kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olanak veren bir mekanizma gerekmektedir.
  5. En geç siteye girildiğinde aydınlatma yapılmış olmalıdır.
  6. Aktif bir eylem gereklidir sadece siteye giriş açık rıza verme olarak değerlendirilemez.
  7. Açık rıza dışındaki hukuki sebeplere de dayanılabilecektir.

Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.