Çerezler yoluyla kişisel veri işleyen internet sitesi operatörlerini yakından ilgilendiren Çerez Uygulamaları Hakkında Rehber yayınlandı. Kişisel Verileri Koruma Kurumu’nun (“Kurum”) 2022 yılı Haziran ayında yayınladığı rehber, Kurum’un kişisel verilerin işlenmesi amacına yönelik önerilerini içeriyor.

Rehber Neleri Düzenliyor?

Rehber, kişisel veri işleyen internet operatörlerinin kullandıkları çerezlere dair dikkate almaları gereken kuralları içeriyor; açık rıza alınması gereken veya gerekmeyen durumları kapsayan çerezler aracılığı ile veri toplanması senaryolarını düzenliyor. İnternet sitelerinde kişisel veri işlerken açık rıza alınması gereken durumlarda açık rızanın unsurlarının ne olacağı ve uygun aydınlatmanın nasıl yapılacağı ile yurt dışına aktarım konusu da bu rehberde yer alan önemli konuların başında geliyor.

Çerez Tanımı ve Türleri

Çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları olarak tanımlanıyor. Sürelerine, kullanım amaçlarına ve taraflarına göre sınıflandırılan çerezler; kullanım amaçları doğrultusunda kesinlikle gerekli çerezler (zorunlu çerezler), işlevsel çerezler, performans-analitik çerezleri ve reklam-pazarlama çerezleri olarak kategorilere ayrılıyor.

Kesinlikle gerekli çerezler bir internet sitesinin çalışması amacıyla kullanılan zorunlu çerezlerdir. Bu çerezlerin engellenmesi halinde internet sitesinin bazı bölümlerinin çalışmasında sorunlar ortaya çıkabilir.

İşlevsel çerezler daha çok internet sitesi veya uygulamalarda kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçlarıyla kullanılıyor.

Performans-analitik çerezler ise kullanıcının ziyaretine konu internet sitesindeki davranışlarını (tekil ziyaretçilerin sayısının tahmini, internet sitesinde gezinme durumunun izlenmesi vb.) analiz etmek amacıyla kullanılarak ilgili internet sitesinin iyileştirilmesi adına sıkça kullanılıyor.

Reklam ve pazarlama amaçlı çerezlerle ise internet ortamında kullanıcıların çevrimiçi hareketleri takip edilerek kişisel ilgi alanlarının saptanıp bu ilgi alanlarına yönelik internet ortamında kullanıcılara reklam gösterilmesi hedefleniyor.

KVKK Kapsamında Çerezler Bakımından Kişisel Veri İşleme Şartları

KVKK kapsamında çerezler aracılığıyla kişisel verilerin işlenmesinde, internet sitesi kullanıcısının açık rızasının bulunması veya KVKK’da sayılan kişisel veri işleme şartlarının bulunup bulunmadığı dikkate alınıyor. KVKK’da yer alan kişisel veri işleme şartlarından biri veya birkaçının bulunması hallerinde artık kullanıcıdan açık rıza alınması gerekmiyor. KVKK’nın ilgili maddelerinde yer alan kişisel veri işleme şartlarından hiçbirinin karşılanmadığı durumlarda ise veri sorumlusu veri işleme faaliyeti kapsamında ilgili kişiden açık rıza almakla yükümlü tutuluyor. Örneğin ilgili kişinin e-ticaret sitesinde sepetine ürün eklemesi kapsamında kişisel verilerin işleniyor olması halinde, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılarak açık rıza aranmaksızın kişisel veriler işlenebiliyor.

Rehberde, ayrıca çerezlerin iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması durumunda açık rıza almadan veri işlenebileceği değerlendiriliyor. Bu istisna, rehber kapsamında yalnızca 5809 sayılı Elektronik Haberleşme Kanunu’nu kapsamında, “haberleşmenin sağlanması” ibaresi ile sadece “işletmeci” niteliği taşıyan veri sorumlularına tanınıyor.

Açık Rızanın Hukuka Uygun Şekilde Alınması

Açık rıza alınması gereken senaryolarda hukuka uygun bir biçimde rızanın alınması için ilk olarak açık rızanın belirli bir konuya ilişkin olması gerekiyor. Bu sebeple, açık rıza alırken her bir işleme amacı için ayrı rıza alınması öneriliyor. Bununla birlikte, kullanılan çerezlerin amaçlarının (örneğin kişiselleştirme, analitik veya reklam), taraflarının (birinci ve/veya üçüncü) ve süresinin kısaca bantta belirtilmesi tavsiye ediliyor. Birbirinden farklı amaçlarla açık rıza talep edildiğinden, ilgili kişilere ayrı rıza verebilecekleri “Tercihleri Yapılandır” butonunun da yer alması öneriliyor.

Kişinin genel bir iradeyi ifade eden “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde beyanı açık uçlu ve belirsiz olduğundan açık rıza olarak kabul edilemiyor.

İkinci olarak açık rızanın bilgilendirmeye dayanması, yani aydınlatma yükümlülüğünün eksiksiz bir biçimde yerine getirilmesi gerekiyor. Aydınlatma metni ile çerez yönetim panelinin ayrıştırılmış olması ve ilgili kişilerden alınan açık rızanın unsurlarının tam olması aranıyor. Bu aydınlatma yükümlülüğünün kişisel verilerin elde edildiği her durumda, en geç veri elde edildiği sırada, veri sorumlusu tarafından yerine getirilmesi gerekiyor.

Üçüncü ve son olarak açık rıza özgür iradeyle açıklanmalıdır; ifadesi ile çerezler bakımından verilen açık rızanın geri alınabilecek bir biçimde düzenlenmesi gerektiği belirtiliyor. Ayrıca ilgili kişinin özgür iradesini etkilememek adına açık rıza her siteye girişte alınmaması, çerezin ömrü ile orantılı olacak şekilde periyodik olarak alınması gerektiğine yer veriliyor. Rehberde veri sorumlularına pop-up ya da bant gibi uygulamalar aracılığıyla ve eşit derecede “kabul et”-“reddet” ve “tercihler” butonlarıyla açık rıza alınması tavsiye ediliyor. Ayrıca eşit büyüklük, aynı renk gibi kişinin özgür iradesini etkilemeyecek şekilde sunulması öneriliyor.

Veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerini kabul eden bir sistemin (opt-out) kullanılmaması gerekiyor. Bunun yerine bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin (opt-in) kullanılması gerekiyor.

Yurt Dışına Aktarım

Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik birtakım şirketler vasıtasıyla çerez kullandığı ve bu çerezler aracılığıyla yurt dışına veri aktarımı faaliyeti gerçekleştirdiği durumlarda, KVKK’da yer alan hükümlerin dikkate alınması gerekiyor. Açık rıza şartı dışında, KVKK’da yer alan kişisel veri işleme şartlarının olması kaydıyla yeterli korumanın bulunması veya yeterli korumanın bulunmaması halinde nasıl bir yol izleneceği belirtiliyor. Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının, yeterli bir korumayı yazılı olarak taahhüt ettikleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunduğu durumlarda, ilgili kişinin kişisel verileri yurt dışına aktarılabiliyor.

Kimleri Nasıl Etkiliyor?

Rehber internet sayfası işleten ve bu internet sayfaları üzerinde çerezler aracılığıyla kişisel veri işleyen veri sorumlularını ve bu veri sorumlularının yanı sıra kişisel verisi işlenen ilgili kişi site kullanıcılarını yakından ilgilendiriyor. Kişisel veri işlenmesinde kullanılmayan çerezler bu rehber kapsamının dışında kalıyor.

Özetle

Rehber ile, internet sayfası işleten tüm veri sorumlularına yol gösterici mahiyette pratik tavsiyeler sunuluyor. Bu tavsiyeler ile, veri sorumlularının doğru hukuki sebeplere dayalı olarak veri işlemeleri ve KVKK’ya uygun şekilde aydınlatma yapabilmeleri ile hukuka uygun açık rıza almaları noktasında yönlendirmeler yapılıyor.