Çerez, web sitesinin daha sonra alabileceği bir web tarayıcısında saklanan bir web sitesinden alınan bir veri parçasıdır.
I. Çerez Tanımı ve Türleri
Ziyaret edilen siteler; pc ya da mobil minik bilgiler kaydedip daha sonra aynı siteyi ziyaret ettiğinizde bu bilgileri okuyabilirler. Bu küçük bilgilerin kaydedildiği dosyalara çerez veya tanımlama bilgisi cookie denir.
Çerezler, kullanım amaçları, saklanma süreleri ve kaynaklarına göre sınıflandırılıp, tanımlanabilirler.
1. Kullanım Amaçlarına Göre Çerez Türleri:
Kullanım amaçlarına göre çerezler, zorunlu, işlevsel, performans ve reklam çerezleridir:
| Zorunlu Çerezler | Zorunlu Çerezler, internet sitelerinin çalışması ve amaçlandığı gibi kullanılabilmesi için kesinlikle gerekli olan çerezlerdir. Zorunlu çerezlerin engellenmesi halinde, internet sitesinin bazı bölümleri çalışmayacaktır. Bu çerezler, güvenliği iyileştirme, aramaları kaydetme, oturum açma veya benzer işlevlerin kullanılmasına imkân tanır ve pazarlama faaliyetleri amacıyla mümkün değildir. |
| İşlevsel Çerezler | İşlevsel Çerezler, internet sitelerini ziyaret eden kullanıcıların tercihlerine göre seçilen site içeriğini onlar için bireyselleştirmeyi sağlar. Bu çerezlerin kullanımının engellenmesi olasılıkların içindedir. |
| Performans Çerezleri | Performans Çerezleri, web sitesini geliştirilmesinde yardımcı olur. Kullanıcı deneyimini iyileştirmek amacıyla, sitenin ne şekilde ne kadar süre kullanıldığı gibi bilgileri bir araya toplar. |
| Reklam Çerezleri | Reklam Çerezleri kullanıcıların ilgi alanlarına göre ve onlara uygun içerikler ile reklamları sunmak amacıyla kullanılır. Çerezler yoluyla elde edilen bilgileri, aynı kişiye ait diğer verilerle eşleştirerek, ilgililere daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istenmediği belirtilen içerik ve fırsatları bir daha sunmaz. Bu çerezlerin kullanımının engellenmesi mümkün olabilir. |
2. Saklanma Sürelerine Göre Çerezler:
Çerezler saklanma sürelerine göre aşağıdaki şekilde sınıflandırılabilirler.
| Oturum Çerezleri | Oturum Çerezi, tarayıcı kapatıldığında son bulur. Bu çerezler, internet sitesinin kullanıcının tarayıcı kullandığı sürece hareketlerinin tanınmasını sağlar. Örneğin, sitede dolaşırken kullanıcını alışveriş sepetine eklediği ürünlerin hatırlanması amacıyla kullanılabilirler. Kullanıcının internet bankacılığına veya web e-postaya giriş yaptığı durumlarda da güvenlik amacıyla kullanılabilir. Bu çerezler oturum sonuna kadar kullanılır, sonrasında cihazda saklamazlar. |
| Kalıcı Çerezler | Kalıcı Çerezler, uzun süre boyunca cihazda saklanır. Kullanıcının sitedeki tercihlerini hatırlatmak amacıyla kullanılır. Bu çerezler, kullanıcının cihazının sabit diskinde uzun bir süre için veya süresiz olarak kullanıcı tarafından silinceye kadar mevcudiyetini korur. Bu çerezlerin, cihaza yerleştirildiği süre ve çerezin sona erme süresi arasındaki uzunluğu internet sitesi sahibi belirler. Kullanıcılar, bu çerezleri silebilir. |
3. Kaynaklarına Göre Çerezler
Kaynaklarına göre çerezler, birinci taraf ve üçüncü taraf çerezleri olarak ayrılırlar.
| Birinci Taraf Çerezler | Birinci Taraf Çerezler, ziyaret edilen internet siteleri tarafından oluşturulur. |
| Üçüncü Taraf Çerezler | Üçüncü Taraf Çerezler, diğer siteler, iş ortakları ve servis sağlayıcıları gibi üçüncü taraflar oluşturulur. Bu çerezler genellikle, ziyaret edilen internet sitesinin diğer sitelere ait resim, reklamcılık, sosyal medya eklentilerini içermesi halinde dahil olur. |
II. Türk Hukukunda Çerezler:
Hukukumuzda çerezler ve çerez kullanımına dair henüz yazılı bir düzenleme bulunmamaktadır. Bununla birlikte Kişisel Verileri Koruma Kanunu; çerez kullanımı neticesinde kişisel veri işleme faaliyeti yürüten tüm veri sorumlularına kullanılır durumda. Zira çerezler, sayı-harf kombinasyonundan oluşmaları sebebiyle tek başlarına kişisel veri niteliğine sahip olmasalar da; diğer bilgilerle birleştiklerinde ilgili kişileri belirlenebilir kılmaları sebebiyle kişisel veri olarak kabul edilmektedirler.
1. Kişisel Verileri Koruma Kurulu’nun “Amazon Kararı” Üzerinden Çerezler Hakkında Değerlendirmeler
Kurul Amazon kararında genel bir özetle; internet sitesi ziyaretçilerinin kişisel verilerinin Amazon’un internet sitesine giriş anından itibaren çerezler vasıtasıyla işlendiği halde, internet sitesinde çerezlerin kullanıldığına dair site ziyaretçilerine herhangi bir aydınlatma yapılmadığını ve hatta belirli çerez türleri yönünden açık rıza alınmadığını tespit etmiş ve Amazon’a yaptırım uygulamıştır. Bu bağlamda söz konusu karar ile Kurul, çerezlerin bir kişisel veri işleme faaliyeti olduğunu, ilgili kişilere aydınlatma yapılması ve açık rıza dışında bir işleme nedeni bulunmayan çerezler için ilgili kişilerden açık rıza alınması gerektiğini duyurmuştur.
Av. Bora Yazıcıoğlu’na göre; her halükârda bu Karar ile beraber artık çerez politikalarının (mümkün olduğunca Kişisel Verileri Koruma Kanunu aydınlatma prensiplerine uydurarak) ve “pazarlama çerezleri” için alınacak açık rıza metinlerinin sitelere eklenmesi uygun olacaktır.
Doç. Dr. Murat Volkan Dülger ise çerezlere ilişkin aydınlatma ve açık rıza hususlarını şu şekilde değerlendiriyor:
“Çerez kullanımı açısından ilgili kişiye yapılacak olan bilgilendirme, ilgili kişinin web sayfası ziyareti ile aynı anda yapılmalıdır. Böylece aydınlatma yükümlülüğü, en geç kişisel verilerin işlenmesi sırasında yerine getirilmiş olacaktır. Ayrıca bu açıdan dikkat edilmesi gereken bir diğer nokta, konuyla ilgili sisteminde ilgili kişinin tüm çerezleri kabul etmesi şeklinde değil, farklı türdeki çerezleri kaydetmek şeklinde katmanlı olarak kabul etmesi şeklinde tasarlanmasıdır. Web sayfasının çalışması için zorunlu olan çerezler kendiliğinden seçilmiştir; analiz ve performans, istatistik veya reklam amacıyla toplanan çerezlerin işlenmesi ise ilgili kişinin onayına bırakılmış bir şekilde boş bırakılmalıdır. Böylece Kanun’a ve özellikle çerezlerin işlenmesi ile ilgili Avrupa ilkelerine uyum sağlanmış olacaktır.”
Açık rızanın ne şekilde temin edilmesi gerektiği hususunda Doç. Dr. Mesut Çekin de uygulamada yaygın olmakla birlikte internet sitesi ana sayfanın altında “Sitemizi kullanarak, çerezleri kullanmamızı arz ederiz” gibi yer alan ifadelerin kişisel verilerin korunması hukuku kapsamında sorunlu olduğunu ve özgür irade açısından kabul edilebilir olmadığını, açık rızanın aktif bir davranış ile verilmesi gerektiğini belirtmektedir.
Av. Fatih Burak Uzun’a göre, “İnternet sitesinin işleyişi için mutlaka gerekli çerezler ile internet sitesinin güvenliğini ya da işlevselliğini arttıran çerezlerin KVKK kapsamında açık rıza alınmasını gerektirmeyeceği sonucuna varmak mümkün. Ancak internet sitesi kullanımını analiz eden ya da reklamcılık amaçlı bilgi toplayan çerezlerin kullanımının açık rıza gerektirmesi olasılığı çok daha yüksek görünmektedir.”
Kişisel Verileri Koruma Kurumumuzun yetkilileri tarafından yapılan değerlendirmelere göre de Kurum’un beklentisi çerez kullanan bütün veri sorumlularının öncelikle aydınlatma yükümlülüğünü yerine getirmeleridir. Bunun yanı sıra, kişisel veri işleme şartının açık rıza olması gerektiği tespit edilen reklam ve pazarlama çerezleri gibi çerezler vasıtasıyla veri işlenmeye başlamadan önce, ispatlanabilir bir şekilde ilgili kişinin açık rızası da alınmalıdır.
Hangi tür çerezlerin sayılan istisnalara girmeyip, işleme şartı olarak ilgili kişiden açık rıza alınmasını gerektireceği üzerinde ise henüz bir fikir birliği sağlanmamıştır. Kanaatimizce reklam çerezleri ile istatistik ve analiz amacı ile kullanılan çerezlerin işlenmesi, açık rıza temini şartına bağlı olmalıdır. Hatta site içeriğini kullanıcılar için bireyselleştiren işlevsel çerezlerin kullanımının da ilgili kişilerin açık rızasına tabi olması söz konusu olabilecektir. Konu hakkında Kurul’un bir ilke kararı alması uygulamayı büyük ölçüde rahatlatacaktır.
Açık rızanın ne şekilde elde edeceği konusun da henüz belirsizdir. Aşağıda V. Bölümde bazı örneklerine yer verdiğimiz uygulamada birbirinden farklı yöntemler kullanılsa da Kurum yetkilileri, veri koruma alanında çalışan uzman kişiler ve hukukçuların, alınacak açık rızanın, kişisel veri işlemeye başlamadan önce, özgür iradeyle ve aktif bir davranışa bağlı olarak alınması gerektiği görüşünde oldukları anlaşılmaktadır.
III. Avrupa Adalet Divanı’nın Planet49 Kararı:
Avrupa Adalet Divanı’nın Planet49 Kararı çerez kullanımı konusunda rızanın nasıl alınması gerektiğini nesnelleşmiştir. Buna göre;
- Çerez kullanımı için rıza ancak kullanıcının aktif bir davranışı ile alınabilir.
- Rıza gereksinimi, sadece kişisel veriler için değil, kişisel veri niteliğinde olmayan veriler için de geçerlidir.
- Gerek kişisel veriler için gerekse kişisel veri olmayan veriler için, kullanıcıların önceden çerez kullanımı ile ilgili olarak bilgilendirilmesi gerekmektedir.
Ayrıca, Avrupa Birliği Adalet Divanı’nın Planet49 davasına Adalet Divanı Hukuk Sözcüsü Maciej Szpunar tarafından sunulan mütalaada özellikle açık rıza hususunda şu ifadelere yer verilmektedir: “rıza, ancak aktif bir şekilde değil, ayrıca bağımsız/münferiden verildiği takdirde özgür iradeye ve bilgilendirmeye dayalı olarak kabul edilecektir. Bir kullanıcının internetteki faaliyetleri (bir web sitesinin okunması, bir çekilişe katılım, bir videonun izlenmesi) ve rızanın verilmesi, aynı davranışın farklı kısımları olarak değerlendirilemez. Özellikle kullanıcı perspektifinden açık rızanın verilmesi, bir çekilişe katılımın yan etkisi olarak değerlendirilemez. Her iki davranış da görsel olarak aynı şekilde sunulmalıdır. Dolayısıyla açık rızanın da içinde bulunduğu birçok irade beyanının 95/46 direktifi bağlamında rıza olarak değerlendirilebileceği hususunda şüpheliyim.”
Maciej Szpunar tarafından yapılan bu açıklamada şu an yürürlükte olmayan 95/46 sayılı Direktif’e atıf yapılsa da aynı ifadelerin GDPR kapsamında da geçerli olduğu belirtilmiştir. Bahsi geçen açıklamadan anlaşıldığı üzere, önceden işaretlenmiş olarak gelen kutucuklar açık rıza olarak kabul edilemeyecektir.
IV. İngiltere Veri Koruma Otoritesi’nin (“ICO”) Çerezlere İlişkin Rehberi
ICO’nun çerezler ve benzer teknolojiler başlıklı rehberinde, eğer web sitesinde çerez kullanılıyorsa hangi çerezlerin neden kullanıldığının açıkça kullanıcılara açıklanması gerektiği belirtilmiştir. Aynı zamanda kullanıcının rızası alınmalı ve bu rıza, aktif olarak ve açıkça verilmelidir. Çerezlere ilişkin istisna ise, internet sitesi kullanıcısının talebine karşılık verebilmek amacıyla kullanılması zorunlu olan çerezlerdir. Sepette ne olduğunu hatırlatmak, internet bankacılığında güvenliği sağlamak gibi fonksiyonların sağlanması bu zorunlu çerezlerin kullanımına örnek olarak gösterilebilir.
Çerezlere İlişkin Aydınlatma Yükümlülüğü
Kullanıcı bilgilendirilirken; hangi çerezlerin ne amaçla kullanılacağı hususları açıklanmalıdır. Kullanıcılar, çerezlerin kendi cihazlarında saklanacağına dair bilgilendirilmelidir. Bilgilendirme yapılırken, çerezlerin kullanılma yöntemi ve kullanıcının reddetme imkânı olabildiğince kullanıcı dostu olmalıdır.
Ayrıca, çerez faaliyetlerinin herkesin anlayacağı bir anlatımla açıklanması konusunda özel çaba harcanmalıdır. Sitede kullanılan bütün çerezleri gösteren uzun tablolarda veya detaylı listelerde kullanıcıların dikkate almak isteyeceği türden bilgiler bulunabilir. Bazı siteler onlarca ve hatta yüzlerce çerez kullanıyor olabilir. Dolayısıyla, çerez yönetimi ve kullanılan çerez kategorilerine ilişkin kapsamlı bilgi sunulması daha faydalı olacaktır.
Çerez Kullanımı Kapsamında Açık Rıza Temini
Rehberde, rızanın içermesi gereken hususlar açıklanırken GDPR’ın 7. maddesine ve 32. resitaline atıf yapılmıştır. Buna göre GDPR madde 7 uyarınca;
- Internet sitesi sahibi geçerli bir rıza aldığını ispat edebilmelidir.
- Rıza talebi diğer hususlardan açıkça ayrıştırılabilir olmalıdır.
- Ayrıca anlaşılabilir ve kolay ulaşılabilir bir formda, açık ve yalın bir dilde olmalıdır.
- Rıza mekanizması, bireylerin istedikleri zaman rızalarını geri alabilmelerine imkân tanımalıdır.
GDPR’ın 32. Resitali ise, açıkça önceden işaretlenmiş kutuların, aktif şekilde verilmeyen rızaların geçerli olmayacağını düzenlemektedir. Buna göre;
- Kullanıcı zorunlu olmayan çerezlere mutlaka açık ve aktif bir hareketle rızasını vermelidir. Kullanıcının web sitesini kullanmaya devam etmesi geçerli bir rıza oluşturmayacaktır.
- Kullanıcılar mutlaka çerezlerin ne olduğu ne işe yaradığı gibi hususlarda, rıza vermeden önce açıkça bilgilendirilmelidir.
- Eğer üçüncü taraf çerezi kullanılıyorsa; mutlaka bu çerezlerin ne olduğu, bu çerezlerin veriyi nasıl kullanacağı hususları açıkça belirtilmelidir.
- Zorunlu olmayan çerezler için önceden işaretlenmiş kutular kullanılamaz.
- Kullanıcılar, zorunlu olmayan çerezler üzerinde kontrol sahibi olmalı. Eğer bu çerezlere izin vermezlerse yine de web sitesini kullanmaya devam edebilmelidirler.
- Karşılama sayfasına, zorunlu olmayan çerezler yerleştirilmemelidir.
V. Bir Örnek Olarak Belçika Veri Koruma Otoritesi’nin Çerez Bildirimi
Belçika Veri Koruma Otoritesi’nin web sayfasını ziyaret edildiğinde aşağıdaki ekran açılmaktadır. Bu ekranda, “sitede zorunlu ve işlevsel çerezlerin sitenin düzgün çalışması amacıyla gerekli olduğu ve eğer site ziyaret edilmek isteniyorsa bunların reddedilemeyeceği” belirtildikten sonra “diğer çerezlerin istatiksel amaçlarla (analitik çerezler) işlendiği ve ancak kişinin tercihine bağlı olarak kullanılacakları” belirtilmektedir.
“Çerezleri yapılandır” butonuna tıklandığında, çerez politikasına yönlendiren bir linke yer verilmekte ve devamında “Tüm opsiyonel çerezleri kabul et” ile “Tüm opsiyonel çerezleri reddet” butonları kullanıcıya seçenek olarak sunulmaktadır.
VI. Türkiye’de Çerez Bildirimine İlişkin Uygulama Örnekleri
Bu başlık altında Türkiye’den bazı uygulama örnekleri gösterilmektedir.
Genel olarak çoğunda, internet sitesine ilk girişte “bu sitede çerez kullanılıyor” veya benzeri ifadelerle uyarı ve katmanlı aydınlatma yapıldığı ve ziyaretçilerin çoğunlukla aynı metinde yer alan bağlantıyı tıklayarak çerez politikalarına ulaşabildikleri görülmektedir.
Bazı örneklerde ise -henüz sayıca azdır- web sitesine girildiğinde beliren uyarı metninde “tercihleri düzenle” opsiyonunun açık olduğu ve buton tıklandığında açılan sekmede, zorunlu çerezler dışındaki çerez türlerinin kapatılmasına veya açılmasına imkân vererek, ziyaretçilerden çerez kullanımı konusunda onay alma yönteminin benimsendiği görülmektedir.
ÖRNEK;
1.Sitemiz içerisindeki deneyiminizi iyileştirmek için çerez (ve benzeri teknikleri) kullanıyoruz. Çerezler; belirli özellikleri daha iyi deneyimlemenizi, iletilerin size göre uyarlanmasını ve ilgi alanlarınıza hitap eden reklamların gösterilmesini sağlarlar. Lütfen Çerez Politikamızı okuyun veya çerez tercihlerinizi buradan ayarlayın. “Kabul et”e tıklayarak, çerez kullanımımıza onay vermiş olursunuz.
Tercihleri Düzenle Reddet Kabul Et
2.İnternet sitemizde çerezler kullanılmaktadır. Çerezleri nasıl kullandığımız hakkında daha fazla bilgi için Çerez Politikamızı ziyaret edebilirsiniz. Çerezler, internet sitemizin kullanımını ve işlevselliğini geliştirmenin yanı sıra analitik ve reklam amaçlı olarak da kullanılmaktadır.
3.Sitemizdeki deneyiminizi kişiselleştirmek ve geliştirmek ve reklamların size iletilmesini iyileştirmek için çerezler kullanırız. Daha fazla bilgi edinmek için Çerez Politikamızı ziyaret edin. “Kabul Et” butonuna tıklayarak çerez kullanımımızı kabul edersiniz.
Çerezleri Kabul Et Çerezleri Özelleştir
4.(…) Internet Sitesi kullanım deneyiminizi kişiselleştirmek ve iyileştirmek için çerezler kullanıyoruz. Ziyaretinizi varsayılan ayarlarla gerçekleştirerek (…) belirtilen şekilde çerezlerin kullanımını kabul etmiş oluyorsunuz.
Ayarları Değiştir Kabul ediyorum
5.…kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Çerez Bildirimi, Gizlilik Bildiriminin bir parçasıdır. Daha detaylı bilgi için Çerez Politikamıza bakınız.
6.(…)’i kullanarak Çerez Politikamızı kabul etmiş sayılırsınız.
Çerezleri Kabul Et Çerezleri Özelleştir
7.Sitemizden en iyi şekilde faydalanabilmeniz için, amaçlarla sınırlı ve gizliliğe uygun şekilde çerez konumlandırmaktayız. Çerezleri nasıl kullandığımızı incelemek ve çerezleri nasıl kontrol edebileceğinizi öğrenmek için Çerez Politikamızı inceleyebilirsiniz.
VII. Sonuç
Uygulamada, hangi tür çerezlerin sayılan istisnalar kapsamında kabul edilmeyerek, işleme şartı olarak ilgili kişiden açık rıza alınmasını gerektirdiği hususunun netlik kazanmadığı anlaşılmaktadır. Reklam/pazarlama çerezleri ile istatistik ve analiz amacı ile kullanılan çerezlerin işlenmesinin açık rıza temini şartına bağlı olması gerektiğini düşünmekle birlikte, site içeriğini kullanıcılar için bireyselleştiren işlevsel çerezlerin kullanımının ilgili kişilerin açık rızasına tabi olup olmadığı hususunun tartışmalı olduğu düşüncesindeyiz.
Çerez kullanımı kapsamında veri sorumlularının bildirimlerine ilişkin olarak, yukarıdaki örneklerden anlaşılacağı üzere uygulamada yaygın olan yöntem, veri sorumlularının internet sayfalarında “internet sitesinde çerezlerin kullanıldığını” belirterek, katmanlı aydınlatma yapması ve çoğunlukla ilgili kişilere çerez politikalarının tamamına ulaşabilecekleri bağlantıları sunması yönündedir. Daha az sayıda olmakla birlikte bazı veri sorumlularının, “Kabul Et” ve “Ayarlara Git” yönlendirmeleri ile ziyaretçilere çerez kullanımı konusunda onay verme imkânı tanıdığı görülmektedir. Bununla birlikte, onay alma yönteminin teoride açıklanan aktif açık rıza temini yöntemine uygunluğu tartışmaya açık kalmaktadır. Zira çoğunda ziyaretçiler, baştan herhangi bir seçim yapmadan ya da ayarları değiştirmeden internet sitesinde ilerlemeye devam edecek olurlarsa, çerezleri varsayılan ayarlarla kabul etmiş sayılmaktadırlar. Bu da rızayı açık ve aktif olmaktan ziyade zımni bir yöntemle almak olarak yorumlanabilecektir.
Hukukumuzda çerezler hakkında bir düzenlemenin mevcut olmadığını da düşünürsek, Kişisel Verileri Koruma Kurulu’nun bir ilke kararı almasının ve tüm bu hususları açıklığa kavuşturmak suretiyle uygulamada yeknesaklığı sağlamasının önemli olduğu kanaati
