HUKUK & DANIŞMANLIK
KVKK Kapsamında Çerezler
MGC Legal ekibinin hazırladığı işbu “KVKK Kapsamında Çerezler” başlıklı makalemizi okumanıza sunarız.
Çerezler genel olarak internet tarayıcılarına depolanan küçük boyutlu bilgi dosyaları olarak tanımlanmaktadır. Yabancı ya da yerli sitelerde “Cookies” olarak da görülebilecek olan çerezler, bazı web siteleri için zorunlu nitelikte olur. Ziyaret edilen bir web sitesinde zorunlu olarak yerleştirilen çerezler, o sitenin işleyişi için mutlaka gerekli olan ve olmadığı zaman web sitesinin işleyişinin sekteye uğrayabileceği çerezlerdir.
Bazı çerez türleri ise ziyaret edilen web sitesinin ziyaretçilerinin lokasyonu, dil tercihi gibi daha kişisel bilgileri saklaması ile bilinir. Bu çerez türleri de kendi içerisinde işlevsel, performans ve reklam/pazarlama çerezleri olarak ayrılır.
Çerezleri kullanım amaçlarına göre çerezleri; zorunlu, işlevsel, performans ve reklam/pazarlama şeklinde ayırmak mümkündür.
Kullanım Amaçlarına Göre Çerezler
- Zorunlu Çerezler: Bu tür çerezlerde pazarlama amacı bulunmamaktadır. Ziyaretçilerden zorunlu olarak alınan bu çerez türleri olmadan, web sitesi tam olarak işlev göremez. Zorunlu çerezler genel olarak güvenliği ve gizliliği iyileştirme, yapılan aramaları (site içerisinde aranan terim ve konuları) kaydetme gibi işlevlere sahiptir. Bu çerezler pazarlama amacı ile kullanılamaz.
- İşlevsel Çerezler: İşlevsel çerezler, bir web sitesi için zorunlu olan çerezler arasında değildir. Web sitesini ziyaret eden kullanıcılar ya da ziyaretçiler için bireysellik sağlamaktadır. Bu çerezlerin kullanımını ve toplanmasını engellemek kişisel bir tercihtir ve engellenebilir.
- Performans Çerezleri: Performans çerezleri adından da anlaşılabileceği üzere bir web sitesinin teknik özelliklerini geliştirmek için kullanılır. Ziyaretçinin web sitesinde ne kadar kaldığı gibi teknik detayları kullanır. Tek amaç kullanıcının web sitesi deneyimini artırmaktır.
- Reklam/Pazarlama Çerezleri: Reklam çerezleri web sitesi ziyaretçilerinin ve kullanıcılarının ilgi alanlarına göre reklamlar sunarak onlara daha zevkli bir deneyim oluşturmayı hedefler. Bu reklamlar sayesinde kullanıcıların elde edilen verileri ile onlara daha sağlıklı önerilerde bulunulmuş olur. Bu çerezler tamamen kişisel çerezlerdir ve kullanıcılar tarafından engellenebilir.
Saklanma Sürelerine Göre Çerezler
- Oturum Çerezleri: Oturum çerezleri, web sitesinde kullanıcı oturumu bittiği anda sona erer. Bu çerez türü kullanıcı web sitesinde kaldığı süre içerisinde kullanıcılardan verileri toplar. Bu veriler uyarınca da kullanıcıların ve ziyaretçilerin site içerisindeki hareketleri tanınmış olur. Oturum çerezleri sadece kişiler web sitesinde aktif oturumdayken çalışır. Oturum sona erdirildiği zaman ise cihazda saklanmaz. Örneğin web sitesinde gezerken kullanıcının sepete eklediği bir ürünü hatırlatmak amacıyla kullanılabilir.
- Kalıcı Çerezler: Kalıcı çerez türleri ise uzun süre boyunca tarayıcıda saklanır. Kullanıcıların site içerisindeki tercihlerini onlara hatırlatmak amacıyla kullanılırlar. Bu tür çerezler süreli ya da süresiz olarak saklanırlar. Kişiler (ziyaretçiler ve kullanıcılar) kendi lokal disklerinde bu çerezleri detaylı bir şekilde görebilirler. Kendi istekleri ile de bu çerezleri silebilirler.
Türk Hukukunda Çerezlerin Yeri Nedir?
Türk hukukunda çerezler ve kullanımlarına dair herhangi bir özel düzenleme bulunmamaktadır. Bu düzenlemenin olmaması ile beraber 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), zımni olarak da olsa bu konuya değinebilecek birkaç düzenlemeye sahiptir.
Çerez kullanımı ve çerezlerin kabulü, kullanıcıların kişisel veri işlenme süreci ile oldukça yakından ilgili olduğu için KVKK, veri işleyen veri sorumluları bakımından uygulama alanı bulur. Çerezler, rakam-harf kombinasyonu içermeleri sebebiyle ve kişisel olarak özelleştirilebildiklerinden dolayı kişisel veri olarak kabul edilebilirler.
Çerezlere İlişkin Aydınlatma Yükümlülüğü
Çerezlerin kullanımı bir kişisel veri kullanımı ve toplanması teşkil edeceğinden dolayı, hangi amaçlarla toplanacağı ve ne hususlarda saklanacağı kullanıcıya önceden bildirilmelidir. Ayrıca kullanıcılar, bu çerezlerin kendi cihazlarında toplanacağını ve orada saklanacağı konusunda da bilgilendirme yapılmalıdır. Ayrıca bilgilendirme yani aydınlatma yükümlülüğünde bulunulurken kullanıcılara hangi çerezleri reddedebilecekleri de açıkça belirtilmelidir.
Ayrıca web sitesi sahipleri çerezleri açıkça belirtmelidir. Hangi çerezlerin ne amaçla kullanılacağı, eğer gerekirse, detaylı tablolar halinde açıklanmalıdır. Her sitenin kullandığı çerez türü ve sayısı değişiklik gösterebilmektedir. Bu çerezlerin türleri konusunda da kişilerin oldukça fazla bilgi sahibi olması çok önemlidir. Bu sayede aydınlatma yükümlülüğü detaylı bir şekilde yerine getirilmiş olur.
Çerezlerin Kullanımı Kapsamında Açık Rıza Alınması
Açık rıza bahsi geçtiği zamanda KVKK ve Genel Veri Koruma Tüzüğü’nden bahsetmek gerekir. GDPR olarak bilinen Genel Veri Koruma Tüzüğü, bu esaslardan ve açık rızanın alınmasına dair genel hükümler içerir. GDPR Madde 7:
- İşleme faaliyetinin rızaya dayandığı hallerde, kontrolör veri sahibinin kişisel verilerinin işlenmesine rıza göstermiş olduğunu gösterebilir.
- Veri sahibinin rızasının diğer hususlarla da ilgili olan yazılı bir beyan bağlamında verilmesi durumunda, rıza talebi diğer hususlardan açık bir şekilde ayırt edilebilecek bir şekilde, anlaşılır ve kolayca erişilebilir bir biçimde, açık ve sade bir dil kullanılarak sunulur. Söz konusu beyanın bu Tüzük açısından ihlal teşkil eden hiçbir kısmı bağlayıcı değildir.
- Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce, bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.
- Rızanın özgür bir şekilde verilip verilmediği değerlendirilirken, her şeyden önce, bir hizmetin sağlanması da dahil olmak üzere bir sözleşmenin ifasının söz konusu sözleşmenin ifası için gerekmeyen kişisel verilerin işlenmesine yönelik bir rızaya bağlı olup olmadığına azami özen gösterilir.
İnternet sitesi sahibi açık rızayı geçerli bir şekilde alabileceğini ispat edebilir durumda olmalıdır. Ayrıca bu açık rızanın talebi de diğer tüm taleplerden farklı olarak ayrıştırılabilir olmalıdır. Rıza talebi aynı zamanda anlaşılabilir ve kolay ulaşılabilir bir şekilde alınmalıdır.
Kullanıcılar hangi çerezler için onay veriyorsa, onlar özelinde spesifik olarak bir işaretleme yapılmalıdır. Hangi çereze onay verileceği açıkça alınmalıdır. Eğer zorunlu çerezler varsa bu çerezlerin neden zorunlu olduğu açıklandığı takdirde daha objektif bir açık rıza alınması söz konusu olacaktır. Bunun yanı sıra, kullanıcılar ve web sitesi ziyaretçileri, açık rıza kapsamında “zorunlu olmayan” çerezleri kabul edip etmeme konusunda özgür olmalıdırlar.