Kişisel Verilerin Korunması Çerçevesinde Çerezler

Çerezler: Tanım, Türleri ve Kullanım Alanları

Kişisel Verilerin Korunması Çerçevesinde Çerezler, internette gezinirken bilgisayarınıza veya mobil cihazınıza kaydedilen küçük metin dosyalarıdır. Bu dosyalar, web siteleri tarafından tarayıcınızda depolanır ve sonraki ziyaretlerinizde sizi tanıyabilir, tercihlerinizi hatırlayabilir ve web sitelerinin işlevselliğini geliştirmek için kullanılabilir.

Kullanım Amaçlarına Göre Çerez Türleri

Çerezler, internet siteleri tarafından tarayıcılarınıza kaydedilen küçük metin dosyalarıdır. Bu dosyalar, web siteleri tarafından tarayıcınızda depolanır ve sonraki ziyaretlerinizde sizi tanıyabilir, tercihlerinizi hatırlayabilir ve web sitelerinin işlevselliğini geliştirmek için kullanılabilir.

Çerezler, kullanım amaçlarına göre dört ana kategoriye ayrılabilir:

1. Zorunlu Çerezler:

Bu çerezler, web sitesinin temel işlevlerini yerine getirmesi için gereklidir. Örneğin, oturum açma işlemlerini gerçekleştirmeyi, alışveriş sepetini yönetmeyi ve güvenli alanlara erişimi sağlamayı mümkün kılarlar. Zorunlu çerezler olmadan, web sitesi düzgün çalışmayabilir.

2. İşlevsel Çerezler:

Bu çerezler, web sitesinin işlevselliğini geliştirmek ve kullanıcı deneyimini kişiselleştirmek için kullanılır. Örneğin, dil tercihlerinizi, font boyutunuzu ve diğer görüntüleme ayarlarınızı hatırlayabilirler. Ayrıca, site içi arama gibi belirli işlevleri de etkinleştirebilirler.

3. Performans Çerezleri:

Bu çerezler, web sitesinin nasıl kullanıldığını analiz etmek ve performansını optimize etmek için kullanılır. Örneğin, hangi sayfaların en sık ziyaret edildiğini, ziyaretçilerin sitede ne kadar zaman geçirdiğini ve hangi hatalarla karşılaştıklarını takip edebilirler. Bu bilgiler, web sitesinin kullanıcı dostu hale getirilmesine ve hataların düzeltilmesine yardımcı olabilir.

4. Reklam/Pazarlama Çerezleri:

Bu çerezler, ilgi alanlarınıza ve geçmiş davranışlarınıza göre size özel reklamlar sunmak için kullanılır. Web sitelerinde gezinti geçmişinizi takip ederek ve topladıkları verileri reklamverenlerle paylaşarak size daha alakalı reklamlar göstermeyi amaçlarlar.

Saklama Sürelerine Göre Çerez Türleri:

• Oturum Çerezleri: Bu çerezler, tarayıcınızı kapattığınızda silinen geçici çerezlerdir. Web sitesinin işlevselliği için gereklidirler ve oturumunuz sırasında yaptığınız seçimleri (örneğin: giriş, dil tercihi) hatırlarlar.
• Kalıcı Çerezler: Bu çerezler, tarayıcınızı kapattıktan sonra bile cihazınızda saklanır ve belirli bir süre boyunca (örneğin: bir ay, bir yıl) geçerliliğini korur. Web sitelerini tekrar ziyaret ettiğinizde sizi tanırlar ve size daha kişiselleştirilmiş bir deneyim sunabilirler.
• Üçüncü Taraf Çerezleri: Bu çerezler, ziyaret ettiğiniz web sitesi tarafından değil, sitede yer alan üçüncü taraf hizmetler tarafından (örneğin: reklam ağları, analitik araçlar) yerleştirilir. Bu çerezler, farklı web sitelerindeki gezinti geçmişinizi takip etmek ve size ilgi alanlarınıza uygun reklamlar sunmak veya web sitelerinin kullanım istatistiklerini toplamak için kullanılabilir.

Kaynaklarına Göre Çerez Türleri

Çerezler, kaynaklarına göre iki ana kategoriye ayrılabilir:

1. Birinci Taraf Çerezler:

Bu çerezler, ziyaret ettiğiniz web sitesi tarafından tarayıcınıza yerleştirilir. Web sitesinin işlevselliği için gerekli olan zorunlu ve işlevsel çerezler genellikle birinci taraf çerezlerdir. Bu çerezler, web sitesinin sizi tanımasını, oturum açma bilgilerinizi hatırlamasını ve tercihlerinizi saklamasını sağlar.

2. Üçüncü Taraf Çerezleri:

Bu çerezler, ziyaret ettiğiniz web sitesi tarafından değil, sitede yer alan üçüncü taraf hizmetler tarafından (örneğin: reklam ağları, analitik araçlar) yerleştirilir. Üçüncü taraf çerezler genellikle reklamcılık ve pazarlama amaçlı olarak kullanılır. Bu çerezler, farklı web sitelerindeki gezinti geçmişinizi takip ederek ilgi alanlarınıza uygun reklamlar sunmak veya web sitelerinin kullanım istatistiklerini toplamak için kullanılabilir.

Üçüncü Taraf Çerezlerle İlgili Dikkat Edilmesi Gerekenler:

• Üçüncü taraf çerezleri, gizliliğinizi etkileyebilecek şekilde kişisel bilgilerinizi toplayabilir. Bu nedenle, hangi çerezlerin depolandığını ve nasıl kullanıldığını kontrol etmek önemlidir.
• Birçok web sitesi, üçüncü taraf çerezleri kullanır. Bu çerezleri kontrol etmek için her web sitesinin çerez ayarlarını ayrı ayrı incelemeniz gerekir.
• Tarayıcı ayarlarınızdan tüm üçüncü taraf çerezlerini engelleyebilirsiniz. Bu, bazı web sitelerinin işlevselliğini etkileyebilir.

Türk Hukukunda Çerezler

Türk hukukunda, çerezleri doğrudan düzenleyen özel bir yasa bulunmamaktadır.

Ancak, Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında çerez kullanımı, kişisel veri işleme faaliyeti olarak değerlendirilmektedir. Bu nedenle, çerez kullanan tüm veri sorumluları, KVKK’ya uymak zorundadır.

KVKK’ya göre, veri sorumluları:

• Kişisel verileri hukuka uygun, dürüstçe ve şeffaf bir şekilde işlemek zorundadır.
• Kişisel verileri ancak belirli, açık ve meşru amaçlarla işlemek zorundadır.
• İşlenen kişisel veriler, amaçla sınırlı ve ölçülü olmalıdır.
• Kişisel veriler, gerekli olan süreden fazla saklanmamalıdır.
• Kişisel veriler, uygun güvenlik tedbirleri altında işlenmelidir.
• Veri sahiplerine, kişisel verileri hakkında bilgi edinme, düzeltme, silme, işlenmesini sınırlama, itiraz etme ve taşınabilirlik hakları gibi haklar tanınmalıdır.

Çerezlerle ilgili olarak KVKK’ya uymak için veri sorumlularının:

• Çerez politikası hazırlanmalı ve bu politikada hangi çerezlerin hangi amaçlarla kullanıldığı açıkça belirtilmelidir.
• Çerez politikası web sitesinde kolayca erişilebilir şekilde yayınlanmalıdır.
• Veri sahiplerine çerezleri kabul edip etmeme seçeneği sunulmalıdır.
• Çerezlerden elde edilen kişisel veriler, KVKK’ya uygun şekilde korunmalıdır.

Kişisel Verileri Koruma Kurumu (“KVKK Kurumu”), KVKK’nın uygulanmasından ve denetlenmesinden sorumludur. KVKK Kurumu, çerezlerle ilgili olarak çeşitli rehberler ve kararlar yayınlamıştır.

Çerezlerle ilgili Türk hukukundaki bazı önemli gelişmeler:

• 2018 yılında KVKK Kurumu, “Çerezler ve Kişisel Verilerin Korunması” başlıklı bir rehber yayınlamıştır. Bu rehberde, çerezlerin KVKK kapsamındaki yeri ve çerezlerle ilgili KVKK’ya uyum yükümlülükleri açıklanmıştır.
• 2020 yılında KVKK Kurumu, Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkında bir karar vermiştir. Bu kararda, KVKK Kurumu, Amazon’un çerez kullanımıyla ilgili uygulamalarının KVKK’ya aykırı olduğu ve Amazon’a çeşitli yaptırımlar uygulanmıştır.

Sonuç olarak, Türk hukukunda çerezler, KVKK kapsamında kişisel veri olarak değerlendirilmektedir. Çerez kullanan tüm veri sorumlularının KVKK’ya uymak zorundadır.

Çerezlerle ilgili daha fazla bilgi için:

• Kişisel Verileri Koruma Kurumu: https://www.kvkk.gov.tr/

Çerezlerin Kullanım Alanları:

• Oturum Yönetimi: Çerezler, giriş bilgilerinizi ve oturum sırasında yaptığınız seçimleri hatırlayarak web sitelerinde oturum açmanızı kolaylaştırır.
• Kişiselleştirme: Çerezler, dil tercihinizi, konumunuzu ve geçmişte görüntülediğiniz sayfaları gibi bilgileri hatırlayarak size daha kişiselleştirilmiş bir web deneyimi sunabilir.
• Reklamcılık: Çerezler, web sitelerinde gezinti geçmişinizi takip ederek ilgi alanlarınıza uygun reklamlar sunmak için kullanılabilir.
• Analitik: Çerezler, web sitelerinin ne kadar sıklıkla ziyaret edildiğini, hangi sayfaların görüntülendiğini ve ziyaretçilerin siteyle nasıl etkileşime girdiğini analiz etmek için kullanılabilir. Bu bilgiler, web sitelerinin işlevselliğini ve kullanıcı deneyimini geliştirmek için kullanılabilir.

Avrupa Adalet Divanı’nın Planet49 Kararı (C-300/21)

Genel Bakış:

Planet49 GmbH isimli bir Alman şirketi, web sitesinde kullanıcıların onayını almadan çerezler kullanıyordu. Bir Alman tüketici örgütü olan Verbraucherzentrale Bundesverband e.V. (“VZBV”), Planet49’a karşı dava açarak bu uygulamanın AB Genel Veri Koruma Tüzüğü (“GDPR”)’ne aykırı olduğunu savundu.

Dava Almanya Federal Mahkemesi’ne (Bundesgerichtshof) ulaştı. Mahkeme, GDPR’nin yorumlanması konusunda tereddütler yaşadığı için soruyu Avrupa Adalet Divanı’na (“CJEU”) ön incelemeye gönderdi.

CJEU’nun Kararı:

CJEU, 28 Ekim 2022 tarihinde verdiği kararda, Planet49’un uygulamasının GDPR’ye aykırı olduğuna karar verdi. Mahkeme, şu gerekçelere dayandı:

• GDPR’nin 4. Maddesi, kişisel verilerin işlenmesi için rızanın “açıkça verilmiş” olması gerektiğini öngörmektedir.
• Önceden işaretlenmiş kutular, kullanıcılardan rıza toplamak için geçerli bir yöntem değildir. Kullanıcıların, rızalarını açık ve aktif bir şekilde vermeleri gerekir.
• Bir web sitesinde, çerezlerin kullanımına ilişkin bilgilerin ve rıza seçeneklerinin kolayca erişilebilir ve anlaşılır olması gerekir.

Kararın Önemi:

CJEU’nun Planet49 kararı, web siteleri ve mobil uygulamalar tarafından çerezlerin kullanımıyla ilgili önemli bir emsal teşkil etmektedir. Karar, rızanın nasıl toplanması gerektiğine dair net bir çerçeve sağlayarak, veri koruması standartlarının AB genelinde uyumlu hale getirilmesine yardımcı olmaktadır.

Kararın Sonuçları:

• Web siteleri ve mobil uygulamalar, kullanıcıların rızasını almadan çerez kullanamazlar.
• Rıza, önceden işaretlenmiş kutular yerine, açık ve aktif bir şekilde verilmelidir.
• Çerezlerin kullanımıyla ilgili bilgiler ve rıza seçenekleri, kolayca erişilebilir ve anlaşılır olmalıdır.
• Veri sorumluları, GDPR’ye uyumlarını kanıtlayabilmek için gerekli belgeleri saklamalıdır.

İngiltere Veri Koruma Otoritesi’nin (“ICO”) Çerezlere İlişkin Rehberi

Genel Bakış:

İngiltere Veri Koruma Otoritesi (ICO), Birleşik Krallık’ta veri korumasından sorumlu bağımsız bir kamu kurumudur. ICO, çerezlerin kullanımıyla ilgili olarak çeşitli rehberler ve tavsiyeler yayınlamıştır. Bu rehberler, web siteleri ve mobil uygulamalar tarafından çerezlerin yasal ve etik bir şekilde nasıl kullanılacağına dair pratik bilgiler sunmaktadır.

ICO’nun Çerezlere İlişkin Rehberinin Önemli Noktaları:

• Rıza: Çerezlerin kullanımı için kullanıcıların açık ve aktif rızası gereklidir. Önceden işaretlenmiş kutular, rıza toplamak için geçerli bir yöntem değildir.
• Bilgilendirme: Çerezlerin nasıl ve hangi amaçlarla kullanılacağına dair açık ve şeffaf bilgiler sunulmalıdır. Bu bilgiler, web sitesinin veya mobil uygulamanın gizlilik politikasında yer alabilir.
• Seçenekler: Kullanıcılara, çerezleri kabul edip etmeme seçeneği sunulmalıdır. Bu seçenekler, kolayca erişilebilir ve kullanımı kolay olmalıdır.
• Güvenlik: Çerezler, yetkisiz erişime ve veri sızıntılarına karşı korunmalıdır.
• Sürekli Uyumluluk: Veri sorumluları, çerez kullanım uygulamalarının yasalara ve ICO’nun rehberlerine sürekli uyumlu olduğundan emin olmalıdır.

ICO’nun Çerezlere İlişkin Rehberine Uymak İçin Yapmanız Gerekenler:

• Çerez politikası hazırlayın ve web sitenizde veya mobil uygulamanızda kolayca erişilebilir şekilde yayınlayın.
• Kullanıcılardan, çerezleri kabul etmeden önce açık ve aktif rıza almayı sağlayın.
• Çerezlerin nasıl ve hangi amaçlarla kullanılacağına dair açık ve şeffaf bilgiler sunun.
• Kullanıcılara, çerezleri kabul edip etmeme seçeneği sunun.
• Çerezleri yetkisiz erişime ve veri sızıntılarına karşı koruyun.
• Çerez kullanım uygulamalarınızın yasalara ve ICO’nun rehberlerine sürekli uyumlu olduğundan emin olun.

Türkiye’de Çerez Bildirimine İlişkin Uygulama Örnekleri

Türkiye’de çerez bildirimi ile ilgili yasal düzenlemeler, Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verileri Koruma Kurumu (“KVKK Kurumu”) tarafından yayınlanan rehberler ile sağlanmaktadır.

KVKK ve ilgili rehberlere göre, çerez kullanan web siteleri ve mobil uygulamaların aşağıdakileri yapması gerekmektedir:

• Çerez politikası hazırlamak ve bu politikada:
  • Hangi çerezlerin hangi amaçlarla kullanıldığının açıkça belirtilmesi,
  • Kullanıcılara çerezleri kabul edip etmeme seçeneği sunulması,
  • Çerezlerle ilgili detaylı bilgilere erişim imkanı sağlanması,
• Kullanıcılardan, çerezleri kabul etmeden önce açık ve aktif rıza alınması,
• Çerezlerin güvenli bir şekilde saklanması ve yetkisiz erişime karşı korunması,
• Veri sahiplerinin, kişisel verileri hakkında bilgi edinme, düzeltme, silme, işlenmesini sınırlama, itiraz etme ve taşınabilirlik haklarının korunması.

Türkiye’de çerez bildirimi ile ilgili bazı uygulama örnekleri:

• Zorunlu çerezler için önceden onay alma: Birçok web sitesi, web sitesinin işlevselliği için gerekli olan zorunlu çerezler için önceden onay almamaktadır. Bu uygulama, KVKK’ya aykırı olarak değerlendirilebilir. Zorunlu çerezler için bile kullanıcıların bilgilendirilmesi ve onaylarının alınması gerekmektedir.
• Çerez politikalarına kolay erişim: Bazı web siteleri, çerez politikalarına ana sayfadan veya köşeden kolayca erişilebilecek şekilde yerleştirmektedir. Bu uygulama, kullanıcıların çerezler hakkında bilgi edinmesini kolaylaştırmaktadır.
• Çerezleri yönetme araçları sunma: Birçok web sitesi, kullanıcılara hangi çerezleri kabul etmek istediklerini seçmelerine imkan tanıyan çerezleri yönetme araçları sunmaktadır. Bu araçlar, kullanıcıların çerezler üzerinde daha fazla kontrol sahibi olmalarını sağlamaktadır.
• Üçüncü taraf çerezleri için ayrı onay alma: Bazı web siteleri, üçüncü taraf çerezleri için ayrı onay almamaktadır. Bu uygulama da KVKK’ya aykırı olarak değerlendirilebilir. Üçüncü taraf çerezleri için de kullanıcıların bilgilendirilmesi ve onaylarının alınması gerekmektedir.

Sonuç Olarak

Çerezlerin Kullanımıyla İlgili Dikkat Edilmesi Gerekenler:

• Bazı çerezler, web sitelerinin işlevselliği için gereklidir ve devre dışı bırakılırsa siteler düzgün çalışmayabilir.
• Üçüncü taraf çerezleri, gizliliğinizi etkileyebilecek şekilde kişisel bilgilerinizi toplayabilir. Bu nedenle, hangi çerezlerin depolandığını ve nasıl kullanıldığını kontrol etmek önemlidir.
• Çerez ayarlarınızı değiştirirseniz, bu değişikliklerin tüm web sitelerine uygulanmayabileceğini unutmayın.

KVKK, kişisel verilerin korunması ve mahremiyetin korunması için önemli bir yasal çerçevedir. Veri sorumlularının KVKK’ya uyması ve veri sahiplerinin KVKK’dan doğan haklarını bilmesi ve kullanması önemlidir.