Bu yazımızda, internet sitlerinin çerez yolu ile kişisel verileri işlemesinin kişisel verileri koruma kanunu bakımından değerlendirilmesi ele alınmaktadır.
Çerez Nedir?
Çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyasıdır. Bir başka tanıma göre ise çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text (metin dosya uzantısı) formatlarıdır.
Çerez Türleri Nelerdir?
Çerezler; (i) sürelerine göre, (ii) kullanım amaçlarına göre, (iii) taraflarına göre sınıflandırılmaktadır.
Sürelerine göre çerezler; oturum çerezleri ve kalıcı çerezlerdir. Kullanım amaçlarına göre çerezler; zorunlu çerezler, işlevsel çerez, performans-analitik çerezler ve reklam/pazarlama çerezleridir. Taraflarına göre çerezler ise birinci taraf ve üçüncü taraf çerezler olmak üzere ikili gruplandırılmaktadır.
KVKK Uyarınca Çerezler Bakımından Kişisel Veri İşleme Şartları
İnternet siteleri çerez yolu ile kişisel verileri; kişisel verisi işlenen kişinin açık rızasının bulunması ya da KVKK madde 5 ve 6 da düzenlenen veri işleme şartlarının bulunması durumunda açık rıza aranmaksızın işleyebileceklerdir. Açık rıza aranmaksızın kişisel veri işlenmesine yönelik örnek vermek gerekirse; bir kimsenin bir e-ticaret sitesinde sepetine ürün eklemesi kapsamında çerezler vasıtasıyla kişisel verilerinin işlenmesi hâlinde, bir satış sözleşmesinin kurulması veya ifası ile Kanun’un 5’inci maddesinin ikinci fıkrasının (c) bendine dayanılması gündeme gelebilecektir[1] ve böylece açık rızanın alınması gerekmeyecektir.
Çerez yolu ile kişisel verilerin işlenmesi için açık rıza alınması durumunda dikkat edilmesi gereken unsurlar bulunmaktadır .Çerezler için alınacak açık rızada çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının belirtilmesi gerekmektedir. Açık rızanın aynı zamanda geri alınabilir olması gerekmektedir.
Özetle internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür. Bu yükümlülük ise Kanun ve Kurum tarafından yayımlanan rehberlere uygun olarak yerine getirilmelidir.
Kişisel verileri koruma kurulunun 27.02.2020 tarih ve 2020/173 sayılı kararında çerez yolu ile kişisel verilerin işlenmesine ilişkin şu hususlar dikkat çekmektedir:
- Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmemektedir.
- İlgili kişiyi aydınlatma henüz veri işlenmediği ya da en geç veri işlendiği esnada yapılmalıdır.
- Çerez yolu ile kişisel veri işlenmesi için açık rızanın alınması durumlarında aydınlatma yükümlülüğü ile açık rıza ayrı ayrı alınmalıdır.
Sonuç olarak, internet sitesi sayfalarının kendileri ya da 3. kişiler için çerez yolu ile kişisel veri işleme durumlarında uyulması ve dikkat edilmesi gereken birtakım hususlar bulunmaktadır. Kurum tarafından verilen kararlar ve rehberler her ne kadar izlenmesi gereken yol haritasını belirtse de ilgili kişiye aydınlatmanın ve açık rıza alınması durumunda bilgilendirmenin doğru bir şekilde yapılması oldukça önem arz etmektedir.
[1] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf
