Kişisel Verileri Koruma Kurumu’nun Çerez Uygulamaları Hakkında Rehberi Yayınlandı
Amaç ve Kapsam
Geçtiğimiz günlerde Kişisel Verileri Koruma Kurumu, çerezleri kullanarak kişisel veri işleyen internet sitesi operatörleri için birtakım öneriler içeren bir rehber yayınlamıştır. Bu rehber ile Kurum, veri işlemelerinin kişisel verilerin korunması hukuku kuralları doğrultusunda gerçekleştirilmesi ve bazı iyi ve kötü çerez uygulamaları örnekleri göstererek hukuka uygun açık rıza kavramının yaygınlaştırılmasını amaçlamaktadır.
Rehber, kişisel verileri çerezleri kullanarak işleyen tüm teknolojileri kapsamaktadır. Dolayısıyla kişisel verileri çerezler dışında başka bir yöntemle işleyen teknolojiler bu rehberin kapsamında bulunmamaktadır. Buna ek olarak “piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojiler” de rehberde belirtildiği üzere kapsam dışı bırakılmıştır.
Çerez ve Çerez Türleri
Çerez, temel olarak, kullanıcı bir internet sitesini ziyaret ettiğinde kişisel verilerinin kullanıcının terminal cihazlarında depolanmasını sağlayan text formatı olarak tanımlanmaktadır. Çerezler, “internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olup HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır”.
Rehbere göre çerezler bazı kategorilere ayrılmıştır:
Saklanma Sürelerine Göre Çerezler
Oturum Çerezleri | Tarayıcı kapatıldığında sona eren çerezler olarak tanımlanmaktadır. Dolayısıyla kullanıcının internet sitesini kullandığı süre boyunca verilerinin işlenmesini sağlayan çerezler, oturum çerezleridir. |
Kalıcı Çerezler | Uzun bir süre cihazda kalan çerezler, kalıcı çerezlerdir. Bu çerezlerin kullanılma amacı, kullanıcının internet sitesinde yapmış olduğu seçimleri hatırlatmaktır. Bu çerezler, uzun bir süre cihazın sabit diskinde kalabilir ya da ancak kullanıcının silmesiyle ortadan kalkabilir. Çerezin cihazda kalacağı süreyi ise internet sitesi sahibi tayin etmektedir. |
Kullanım Amaçlarına Göre Çerezler
Zorunlu Çerezler | İnternet sitesinin çalışabilmesi ve gerektiği şekilde işlevselliğini sürdürebilmesi için zaruri çerezlerdir. Bu tür çerezlerin kullanıcı tarafından engellenmesi, internet sitesinde sunulan bazı hizmetlerin yararlanılamayacağı anlamına gelmektedir. “Güvenliği iyileştirme, aramaları kaydetme, oturum açma” gibi fonksiyonların yerine getirilmesi amacıyla kullanılmaktadır. |
İşlevsel Çerezler | Bu tür çerezler, kullanıcıların kullandıkları internet sitesini kişiselleştirmesine hizmet etmektedir. İnternet sitesi üzerinden yapılan tercihlerin hatırlanmasını sağlamaktadır. Bu çerezlerin engellenmesi mümkündür. |
Performans Çerezleri | Performans ya da analitik çerezler, kullanıcıların hareketlerini analiz ederek internet sitesinin geliştirilmesi ve kullanıcı deneyiminin iyileştirilmesi için kullanılan çerezlerdir. Özellikle internet sitesi üzerinden verilen reklamların kullanıcı üzerinde etkilerinin tespit edilmesinde büyük bir rol oynamaktadır. |
Reklam/Pazarlama Çerezleri | Reklam veya pazarlama çerezleri ise kullanıcılara özel reklam ve içerik sunulabilmesi için kullanılan çerezlerdir. Bu çerezler yoluyla elde edilen veriler diğer kişisel verilerle birleştirilerek gerekli içerikler oluşturulur ve kişiye özel reklam ve ürünler kullanıcıya gösterilir. Bu çerezlerin de engellenmesi mümkündür. |
Taraflarına Göre Çerezler
Birinci Taraf Çerezler | Doğrudan ziyaret edilen internet sitesi tarafından oluşturulmaktadır. |
Üçüncü Taraf Çerezler | Ziyaret edilen internet sitesinden farklı bir üçüncü kişi tarafından oluşturulmaktadır. |
Çerezlerin Kullanımına İlişkin Tavsiyeler
Rehberde 6698 sayılı Kanun hükümlerine de paralel olacak şekilde internet sitelerinde çerez kullanımına yönelik bazı tavsiyelerde bulunulmaktadır. Buna göre, “çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması” ve “çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması” vurgulanmaktadır.
Aynı şekilde kişisel verilerin işlenmesi açısından kullanıcının açık rızasının bulunması veya açık rızanın bulunmadığı hallerde Kişisel Verilerin Korunması Kanunu’nun kişisel verilerin işlenme şartları başlıklı 5. maddesi ve özel nitelikli kişisel verilerin işlenme şartları başlıklı 6. maddesinde düzenlenen durumların var olması gerektiği belirtilmektedir. Örneğin, bir e-ticaret sitesinde sepete ürün ekleyen kullanıcının kişisel verileri işlendiği takdirde bir satış sözleşmesinin kurulmasında Kanun’un 5. maddesinin 2. fıkrasının (c) bendi devreye girebilecektir.
Veri Sorumluları İçin Kontrol Listesi
Rehber’de açık rıza dışındaki veya dahilindeki çeşitli çerez kullanım senaryoları veya hukuka uygun şekilde alınması gereken açık rızanın unsurları detaylı bir şekilde açıklanmıştır. Bu açıklamaların sonunda ise veri sorumluları için çerez kullanıma ilişkin bir kontrol listesi oluşturulmuştur:
Çerezleri Anlamak
- Çerezlerin ne olduğunu ve ne için kullanılabileceğini anlamak.
- Oturum çerezleri ve kalıcı çerezler arasındaki farkı bilmek.
- Birinci taraf ve üçüncü taraf çerezleri arasındaki farkı bilmek.
Çerez Kullanımını Denetlemek
- Çevrim içi hizmetimizin hangi çerezleri kullandığını veya kullanmayı amaçladığını hâlihazırda bilmek.
- İhtiyacımız olmayan tüm çerezleri kaldırmak.
- Her bir çerezin amaçlarını tespit etmek.
- Her bir çerezin hangi verileri işlediğini, kullanıcılarımız hakkında tuttuğumuz diğer bilgilerle bağlantılı olsun olmasın ya da kişisel veri işlemeyi içersin içermesin, tespit etmek.
- Kişisel verilerin yer aldığı durumlarda, bu verilerin Kanunla uyumlu şekilde işlenmesini sağlamak.
- Çerezlerimizin oturum çerezleri mi yoksa kalıcı çerezler mi olduklarını tespit etmek.
- Çerezlerimizin birinci taraf mı yoksa üçüncü taraf çerezler mi olduğunu tespit etmek.
- Çerezlerimizin sona erme sürelerini ve bu sürelerin Kanun’a uygun olduğunu tespit etmek.
- Kesinlikle gerekli olan ve olmayan çerezleri tespit etmek.
Çerezler Hakkında Aydınlatma
- Kullandığımız çerezlerle ilgili olarak net ve kolay bir şekilde anlaşılacak aydınlatmayı sağlamak.
- Aydınlatmanın kapsamlı olmasını ve kullandığımız kişisel veri işleyen tüm çerezleri kapsamasını sağlamak.
Çerezler Hakkında Aydınlatma
- Kullandığımız çerezlerle ilgili olarak net ve kolay bir şekilde anlaşılacak aydınlatmayı sağlamak.
- Aydınlatmanın kapsamlı olmasını ve kullandığımız kişisel veri işleyen tüm çerezleri kapsamasını sağlamak.
Çerezler İçin Açık Rıza
- Çevrim içi hizmetlerimizin kullanıcılarının, kesinlikle gerekli olmayan tüm çerezlerin ayarlarını kontrol etmelerine izin veren bir açık rıza mekanizmasını uygulamaya koymak.
- Açık rıza mekanizmalarımızın Kanun’a uygun olmasını sağlamak.
- Herhangi bir çerez açık rıza kaydını uygun bir süre için saklamak.
Çerez Kullanımımızı Belgelemek ve Gözden Geçirmek
- Yukarıdakilerin hepsini belgeledik.
- Uygun bir gözden geçirme periyodu belirledik.
Rehberde son olarak, internet sitesi sahiplerine yine tavsiye niteliğinde çerezlere ilişkin iyi olarak değerlendiren aydınlatma metni, rıza yönetim platformu gibi bazı örneklere yer verilmiştir. Bu örnekler incelendiğinde dikkat çeken en önemli husus ise, çerez kullanımına ilişkin kullanıcıya reddetme seçeneğinin sunulmasıdır. Kanaatimizce internet sitelerince de bu durumun gözetilerek Kişisel Verilerin Korunması Kanunu’nda sıkça yer alan açık rıza hükmünün uygulanması ve çerez kullanımlarının reddedilmesi gibi bir seçeneğe yer verilmesi son derece önem arz etmektedir.
Rehberin tamamına ulaşmak için bakınız: https://www.kvkk.gov.tr/Icerik/2030/Rehberler
Diğer Gündem Yazılarımızı okumak için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin Son Sayı’ını bağlantıdan okuyabilirsiniz.
Kaynakça
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf