Kişisel Verileri Koruma Kurumu, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir taslak Rehber hazırlamış ve 11.01.2022 tarihinde yayınlamıştır. Söz konusu Rehber ile internet sitesi operatörlerinin çerez kullanımının Kişisel Verilerin Korunması Kanunu’ na uyumuna yönelik öneriler getirilmesi amaçlanmıştır. Rehber, yayınlandığı tarihten itibaren 30 gün süre ile veri sorumluları başta olmak üzere kamuoyu ile paylaşılacak ve ilgililer görüş ve değerlendirmelerini Kuruma bildirebilecekler.
Rehber ile yapılan açıklamalar; veri sorumlularının, doğru hukuki sebeplere dayalı olarak veri işlemeleri, Kanun’ a uygun şekilde aydınlatma yapabilmeleri ve hukuka uygun açık rıza almaları noktalarında yönlendirici olmaktadır.
Söz konusu bu Rehber, çerezler yoluyla kişisel veriler işlenmesini kapsamaktadır. Rehber, sadece internet sitelerinde kullanılan çerezler için değil, internete bağlanabilen akıllı telefon, tablet vb. ortamlarda kullanılan uygulamalar açısından da geçerli olacaktır.
Çerez Tanımı ve Türleri
Rehber çerezleri; “internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyasıdır HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır.” şeklinde tanımlamıştır. Rehberdeki bir tanıma göre de çerezler, “bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır.”
Rehberde çerez türleri 3 ana gruba ayrılmıştır: sürelerine göre çerezler, kullanım amaçlarına göre çerezler ve taraflarına göre çerezler.
5809 Sayılı Elektronik Haberleşme Kanunu ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu Arasındaki İlişki
Çerezler konusu 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında açıkça düzenlenmektedir. Ancak 5809 Sayılı Elektronik Haberleşme Kanunu’ nun 51. maddesinin 3. fıkrasının, AB’ nin 2002/58/EC sayılı Direktifi’ nin 5. maddesinin 3. fıkrası ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda, veri sorumlusu işletmeciler bakımından 5809 Sayılı Kanun’un sınırlı bir uygulama alanı bulabileceği değerlendirilmektedir.
Rehber, 5809 Sayılı Kanun’da 2002/58/EC sayılı E-Gizlilik Direktifi’ nin bilgi toplumu hizmetlerine yönelik düzenlemeleri yer almadığından bu konuda Kanun’un uygulama alanı bulacağını belirterek, Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararına dikkat çekmiştir. İlaveten, 5809 Sayılı Kanun’un yalnızca veri sorumlusu işletmeciler ile sınırlı olarak uygulanabileceği ifade edilmiştir.
Rehber’de 6698 Sayılı Kanun kapsamında, veri sorumlularının çerezler aracılığıyla kişisel veri işlemesinde aydınlatılmış rızanın gerekip gerekmediği noktasında göz önünde bulundurulması tavsiye edilen ve Avrupa Birliği’nde yer verilen iki kriter:
Çerez kullanımının; sadece iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması ve abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.
Bu kriterlerden birine girmeyen ve Kanun’daki açık rıza dışındaki veri işleme şartlarından herhangi birinin bulunmadığı hallerde, ilgili kişinin açık rızası alınmalıdır. Belirtildiği üzere, çerez kullanımı için Kanun’da gösterilen veri işleme şartlarından herhangi birinin mevcudiyeti halinde ilgili kişinin açık rızasının alınması gerekmeyecektir.
Rehber’ de açık razının hukuka uygun şekilde alınmış olması gerektiği ve bunun için de rızanın ilgili kişilerin neye onay vermelerinin istendiği hususunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemle ve özgür iradeleriyle alınması gerektiği vurgulanmıştır.
Bununla birlikte rızanın çok sık aralıklarla alınması da “rıza yorgunluğuna” yol açabileceği ve bu sebeple de ilgili kişinin özgür iradesini sakatlayabileceği için ilgili kişiden internet sitesine her girişte rıza alınması yerine açık rıza tercihinin çerezin ömrüyle orantılı şekilde hatırlatılmasının daha uygun olacağı belirtilmiştir. Yine çerez onayının ilgili kişinin internet sitesi içeriğini görüntülemesini engelleyici çerez duvarları kullanılarak alınmasının da açık rızanın hizmetin ön koşulu olarak sunulması sebebiyle özgür iradeyi sakatladığı vurgulanmıştır.
Kurum, çerez kullanımına ilişkin uygulamaların hukuka uygun hale getirilmesi amacıyla yayımladığı Rehber’de, başta internet sitesi operatörleri olmak üzere çerezler aracılığıyla kişisel veri işleme faaliyetinde bulunanlara yol göstermeyi hedeflemektedir. İlgililer, uygulama bakımından oldukça önemli olan Rehber’i inceleyerek 10.02.2022 tarihine kadar görüş ve önerilerini Kurum’a iletebilir.