KVKK 800.000 TL’lik Çerez Metni Ceza Kararı
Giriş ve İnternet Sitesi Çerezleri
Kişisel Verileri Koruma Kurumu (KVKK) geçtiğimiz aylarda 10/03/2022 tarihli 2022/229 sayılı Kararında , bir e-ticaret şirketine, internet sitesinde ki çerezler (cookies) ile hukuka aykırı şekilde kişisel veri işlediği sebebi ile 800.000 TL idari para cezası verdi. (kvkk çerez metni ceza karar)
Bildiğimiz gibi Kişisel Verileri Koruma Kanunu (KVKK) m.10’a göre, bir kişisel veri işleyen kişi/kurum, Kanundaki şartlara göre verileri alınan kişileri “aydınlatması” gerekmektedir. Bu aydınlatmanın şartları ve içeriği ise yine Kanun m.10’da belirtilmiştir. Ayrıca yine bazı durumlarda ise kişilerden “açık rıza” alınması gerekmektedir. Açık rızanın şartları hakkındaki yazımızı bağlantıdan da okuyabilirsiniz.
İşte internet sitelerindeki geçici veriler olan çerezler de, kişileri doğrudan veya dolaylı olarak belirlenebilir kılabildiği için bazı durumlarda kişisel veri yerine geçebilmektedir ve çoğunlukla da kişisel veri hükmündedir.
Bu anlamda da internet siteleri, site ziyaretçilerinden çerez verileri toplarken, KVKK’ya uygun olarak toplamalıdır. Bu uygun toplama ise ilk olarak “çerez metinleri” ile gerçekleşecek, açık rızanın gerektiği durumlarda ise ayrıca açık rıza metni gerekecektir. Yine internet sitelerinin aydınlatma metinlerinde de çerez verileri hukuka uygun şekilde yer alacaktır.
İşte bu kanuni zorunluluklara uymayan bir e-ticaret şirketine KVKK, büyük bir idari para cezası vermiştir. Karar incelememizde e-ticaret şirketinin hangi yükümlülüklere uymadığı ve Kurul’un neden ceza verdiği üzerine durulacaktır.
İlgili Kişinin KVKK Şikayeti
İlgili kişi, KVKK’a yaptığı şikayette, e-ticaret şirketinin site çerezlerinin temel hak ve özgürlüklere aykırı olduğunu, aynı zamanda gerekli aydınlatmayı yapmadığı ve açık rızaları almadığını, tüm bunların yanında çerezlerin yurtdışına dahi aktarıldığını belirtmiştir.
Ayrıca ilgili kişi, şirkete bilgi talebinde bulunduğunu fakat verilerden sadece çerez verileri hakkında bilgi verildiği, bu bilgilerin ise eksik olduğu, “pazarlama çerezleri” hakkında açıkça bilgi verilmediğini belirtmiştir.
Sitedeki çerez metninin ise yeterli düzeyde bulunmadığını, çerezlerin gerekenden fazla sayıda ve türde alındığını da belirterek, gerekenin Kurum tarafından yapılmasını istemiştir.
Görüldüğü gibi şikayetçi, e-ticaret sitesi sahibi şirketin KVKK’a aykırı birçok hususunu ayrıntılı olarak tespit etmiş ve şikayette bulunmuştur.
E-Ticaret Şirketinin Savunması
E-ticaret şirketi ise savunmasında aldığı çerezlerin e-ticaret siteleri için zorunlu olduğu ve Kanun’da sayılan meşru menfaatler için işlendiği, temel hak ve özgürlükler ile orantılı verilerin işlendiği, meşru menfaat denge testini sağladığı görüşünde olduğu ve neden verileri aktardığı gibi savunmalarda bulunmuştur.
KVKK Çerez Metni Kararı ve E-Ticaret Şirketinin KVKK İhlalleri
Kişisel Verileri Koruma Kurulu ise, şirketin birçok ihlal gerçekleştirdiği konusunda karar vermiştir. Kurulun ihlal gördüğü durumlar şu şekildedir:
- İnternet sitesinde zorunlu çerezler için açık rıza gerekmez iken, reklam ve pazarlama çerezleri için açık rıza alınmalıdır. “Kesinlikle gerekli olmayan çerezler” için Kanun m.5/2 ve m.6/3 şartları taşımıyorsa açık rıza olması gerektiği ve veri sorumlusu şirketin zorunlu olmayan amaçlarla çerez işlendiği,
- Çerez kabul kutucuğunun doğru şekilde eklenmediği ve açık rıza alınmadığı,
- Reklam ve pazarlama çerezlerinde “opt-in” şeklinde göre açık rıza alınmadığı
- Aynı zamanda çerez verilerini yurtdışına açık rıza olmaksızın aktardığı ve taahhütname sunmadığı,
- Mobil uygulamadaki çerezlerin se güncel tutulması gerektiği
Sebepleri ile Kanun’un 5., 6., 9. Ve 12. Maddelerine uygun olmadığı değerlendirilerek 18. Maddenin 1. Fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası kesilmiştir.
Değerlendirmeler
Yukarıda Kurul kararındaki sebepler özetle açıklandı. Gerçekten çerezler de büyük oranda kişisel veridir ve çerezlerin kapsamı, alınma şekli, veri minimizasyonu ve ilgili kişilerin “çerez metni ve aydınlatma metinleri” ile aydınlatılması ile bunların yanında pazarlama/reklam çerezi işleyenlerin hukuka uygun olarak kesinlikle açık rıza alması da gerekmektedir.
Özellikle sektörde çerezlerin kişisel veri olup olmadığı, ne şekilde KVKK hükümlerine göre çerezlerin işleneceği tartışılır iken, bu cezanın çerezler hakkında sektördeki özeni artıracağı umulmaktadır. Zira çerez metni yer alıp bu metni onaylatan sitelerin dahi bir çoğu yanlış/eksik onay almakta olup, bu ayrıntılı karar, yol gösterici nitelikte olacaktır.
Mevcut Karar: https://kvkk.gov.tr/Icerik/7275/2022-229
Yazarın Profilini görmek için tıklayınız.
Yazar: Av. Ali ERŞİN / Hukuk ve Bilişim Dergisi Genel Koordinatörü
Ankara Barosu’na kayıtlı avukattır. Selçuk Üniversitesi Hukuk Fakültesi’nden 2019 yılında mezun olmuştur. Hukuk ve teknoloji alanlarında çalışmalar yürütmekte olup, Hukuk ve Bilişim Dergisi ile Blog’un genel koordinatörlük ve editörlük görevlerini yürütmektedir. Anadolu Üniversitesi S.B.E. Özel Hukuk Anabilim Dalından “Metaverse Dünyasında Fikri Hakların Korunması” konulu yüksek lisans tezi ile mezun olmuştur.