Çerez politikasından önce çerezlerin ne olduğunu söyleyecek olursak çerezler, web tarayıcınız aracılığıyla bir web sayfasına girdiğinizde bilgisayarınıza veya mobil cihazınıza kaydedilen boyutu küçük tanımlama dosyalarıdır. Çerez politikası ise internet sitesinde kullanılan çerezlerle ilgili, internet sitesi kullanıcıları için aydınlatıcı bir metindir. Çerezler hem vakitten kazanmak hem de daha iyi bir internet deneyimi sunmak için internet siteleri tarafından kullanılmaktadır. Çerezler, kullanıcıların tercihlerini anımsamakla, kullanıcı verilerini incelemekte ve kullanıcılara seçimlerine göre kişiselleştirme yapmaya yardımı dokunmaktadır. Bu sebeple, çerezler vasıtasıyla internet siteleri aracılığıyla kullanıcıların kişisel verileri işlenmekte ve internet sitelerinin sahipleri KVKK gereğince veri sorumlusu olmaktadır.
KVKK veya ilgili yönetmelik çerçevesinde çerez politikası ile alakalı bir yargı yoktur. Bunun beraberinde, veri sorumluları aracılığıyla ilgili kişilerin kişisel verilerinin işlenebilmesi amacıyla aydınlatma yükümlülüğünün sağlanması ve ilgili kişi tarafından açık rızanın sağlanması gerekmektedir. Bu sebeple, internet siteleri çerez politikası vasıtasıyla çerez kullanımı ile alakalı aydınlatma yükümlülüğünü gerçekleştirebilecek ve çerezlerin kullanımını onaylayarak ilgiliden açık rıza sağlanabilecektir.
KVKK’da bulunduğu gibi, Avrupa Birliği Genel Veri Koruma Tüzüğü çerçevesinde de çerez politikası ile alakalı düzenleme bulunmamaktadır. Bunun beraberinde, e-Gizlilik Direktifi olarak geçen 2002/52/EC sayılı Avrupa Birliği Gizlilik ve Elektronik Haberleşme Direktifi gereğince internet siteleri çerez kullanımı hususunda, kullanıcıyı çerez kullanımı konusunda bilgilendirmekle sorumludur. 2002/52/EC sayılı Avrupa Birliği Gizlilik ve Elektronik Haberleşme Direktifi kişisel verilerin korunması ile alakalı yönetmeliğimize dahil olmasının yanı sıra, Avrupa Birliği’nden erişim sağlanabilen internet sitelerinin e-Gizlilik Direktifine uyumluluğunun sağlanması gerekecektir. Yani, Avrupa Birliği çerçevesinde kullanılan resmî dillerde düzenlenen internet sitelerinin e-Gizlilik Direktifine uyum sağlaması ve çerez kullanımı ile alakalı kullanıcılarını bilgilendirmesi gerekmektedir. Bu bilgilendirme yapılırken de en doğru seçenek ise çerez politikası olacaktır.
Web sitelerinin, ilk olarak KVKK, GDPR ve e-Gizlilik Direktifi olacak şekilde kişisel verileri koruma yönetmeliği gereğince düzgün bir çerez politikası elde edebilmek amacıyla çerez politikaları çerçevesinde belli başlı konuların bahsini geçirmeleri gerekecektir.
- Çerez politikası çerçevesinde, web sitesinde kullanılan çerezlerin açıkça aktarılması ve bu çerezlerin kullanım maksatlarının belirtilmesi gerekmektedir. Çerezler; işlevsellik, istatistik, pazarlama ve reklam maksadıyla kullanımı sağlanabilmektedir. Mesela, web siteleri kullanım istatistiklerini elde edebilmek amacıyla Google Analytics veya Yandex Metrica gibi analiz çerezlerinden faydalanabilmektedir. Bu durumda, kullanılan çerez, kullanım maksadıyla beraber çerez politikasında açık bir şekilde ifade edilmelidir.
- Çerez politikasında, çerezler vasıtasıyla ne gibi kişisel verilere erişildiği ve kişisel verilerin ne kadar süre zarfında saklandığı belirtilmelidir. Mesela, uluslararası bir şirketin kullanıcının yaşına ve konumuna göre birbirinden farklı sitelere yönlendirme yapan bir web sitesinde, çerezler vasıtasıyla kullanıcıların yaşları ve konumlarına erişim sağlanabilmekte ve saklanabilmektedir. Bahsi geçen verilerin anonim olarak işlenmediği böyle bir durumda, kullanıcıların yaş ve konum gibi şahsi verilerine erişim sağlandığı ve bu kişisel verilerin ne kadar süre boyunca saklanacağı çerez politikasında belirgin bir şekilde açıklanmalıdır.
- Çerez politikası çerçevesinde, zorunlu çerezler ile serbestçe çerezler arasında seçim yapılmalıdır. Zorunlu çerezler, bir web sitesinin doğru bir şekilde çalışması için lazım olan çerezlerdir ve bu çerezlerin kullanılmaması sonucunda web sitesi çalışmamakta ve kullanıcıya hizmet sağlayamamaktadır. Bunun yanı sıra, tercihe dayalı çerezler genel olarak analiz, istatistik ve kişiselleştirme amacıyla kullanılmaktadır. Tercihe dayalı çerezler vasıtasıyla, web sitesinin kullanıcı profili oluşturulabilmekte, web sitesinin performansı yükseltilebilmekte veya kişiye özel reklam ve pazarlama yolları kullanılabilmektedir.
- Çerez politikası ile web sitesi kullanıcısına tercih hakkı tanınmalıdır. Web sitesinin kullanımı hususunda, çerez kullanımının kullanıcı aracılığıyla dolaylıca onay verildiği gibi bir yaklaşım hem GDPR hem de KVKK çerçevesindeki açık rıza ilkesine karşıtlık oluşturacaktır. Aynı zamanda, çerez kullanımının ne durumda reddedileceği ve onaylanan çerez kullanımının nasıl onayın geri çekileceğini çerez politikasında hazırlanmalıdır. KVK ile ilgili yönetmelik gereğince, kullanıcılar çerez kullanımıyla alakalı seçtikleri açık rızayı arzuladıkları zaman kaldırabilmeli ve açık rızanın kaldırılma işlemi onaylanması kadar basit bir şekilde gerçekleştirilmelidir. Mesela, web sitesinde çerez kullanımı ile alakalı çıkan bir seçeneğe “Kabul Et” seçilerek çerez kullanımına rıza veriliyorsa (opt-in), çerez kullanımının reddedilmesi veya çerez kullanımı ile alakalı onayın iptal edilmesi işlemi (opt-out) onaylanması kadar basit ve erişilebilir olmalıdır.
- GDPR ve KVKK gereğince, kullanıcının çerezlere izin vereceği açılır penceredeki seçimler varsayılan olarak seçilmiş şekilde gelmemeli; ilgili kişi seçenekleri kendisi seçmelidir (opt-in). Seçeneklerin varsayılan olarak seçili geldiği ve kullanıcının paylaşılmasını ve işlenmesini istemediği çerezleri kendi isteğine göre kaldırması (opt-out) işlemi KVKK ve GDPR çerçevesinde hukuka aykırılık oluşturacaktır.
- Çerezler vasıtasıyla erişim sağlanan kişisel verilerin, üçüncü kişilerle paylaşılacak olması sonucunda, ne gibi çerezler kullanılarak ne gibi kişisel verilerin üçüncü kişilerle paylaşılacağı ve paylaşım maksatları çerez politikası çerçevesinde açıklanmalıdır. Mesela, bir internet sitesinde Google reklamları bulundurulması hususunda, Google reklamlarının şahsileştirilebilmesi için Google Ads adlı çerezin uygulanması gerekecek ve Google Ads adlı çerez vasıtasıyla ulaşılan kişisel bilgiler üçüncü bir taraf olan Google LLC adlı şirketle paylaşılacaktır. Bu hususta, Google Ads adlı çerez ile reklamların şahsileştirilmesi maksadıyla kişisel verilerin Google LLC adlı şirketle paylaşacağı çerez politikasında ifade edilmeli ve kullanıcılardan kişisel verilerin paylaşımına dair açık rızanın alınması şarttır.
Düzenleyen: Zehra Betül Taşkın