Av. Serdar Darama
Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından, 11 Ocak 2021 tarihinde Çerez Uygulamaları Hakkında Rehber Taslağı (“Rehber Taslağı veya Rehber”) yayınlandı.
Rehber Taslağı kamuoyu ile 30 gün boyunca paylaşılacak olup, Rehber Taslağı’na ilişkin görüş ve değerlendirmeler 10/02/2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile cerez@kvkk.gov.tr elektronik posta adresine gönderilebilecektir. (Rehber Taslağı için: https://www.kvkk.gov.tr/Icerik/7159/Cerez-Uygulamalari-Hakkinda-Rehber-Taslagi)
Rehber Taslağı’nı 5 ana bölümde incelemek gerekirse, ilk olarak çerezlerin türlerine ilişkin ayrıntılı açıklamalar yapıldığı görülecektir.
A. Çerez Tanımı ve Türleri
Rehber Taslağı’nda çerezler, “internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyasıdır HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır” şeklinde tanımlamıştır. Rehberde çerez türleri;
1. Sürelerine Göre Çerezler
a. Oturum Çerezleri
b. Kalıcı Çerezler
2. Kullanım Amaçlarına Göre Çerezler
a. Kesinlikle Gerekli Çerezler (Zorunlu Çerezler)
b. İşlevsel Çerezler
c. Performans-Analitik Çerezler
d. Reklam/Pazarlama Çerezleri
3. Taraflarına Göre Çerezler
şeklinde 3 ana başlıkta sınıflandırılmış ve tüm çerezlerin tanımları ayrıntılı bir şekilde yapılmıştır.
B. KVKK – Elektronik Haberleşme Kanunu İlişkisi
5809 sayılı Elektronik Haberleşme Kanunu’nun (“EHK) m. 51/3 fıkrasının, AB’nin 2002/58/EC sayılı Direktifi’nin m. 5/3 fıkrası ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda, yalnızca veri sorumlusu işletmeciler bakımından 5809 sayılı Kanun’un sınırlı bir uygulama alanı bulabileceği belirtilmiştir.
5809 sayılı EHK’nin “Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması” başlıklı 51’inci maddesinin, 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik hükümlerini içermediğine dikkate çekilerek; 5809 sayılı Kanun’un özel olarak düzenlemediği bilgi toplumu hizmetleri bakımından, 6698 sayılı Kanun’un çerezler vasıtasıyla kişisel verilerin işlenmesine uygulanabileceği belirtilmiştir. Bu hususta ayrıca, Kurul’un 27.02.2020 tarihli ve 2020/173 sayılı kararına dikkat çekilmiştir.
C. Çerezlere Kullanımına Yönelik Kurallar ve Dikkate Alınacak Yeni Kriterler
Çerez kullanımında açık rızanın alınıp alınmayacağının değerlendirilmesi için, Avrupa Birliği’nde uygulanan iki kritere yer verilmiş ve veri sorumlularının Kanun kapsamında kişisel verileri işlerken bu kriterleri de göz önünde bulundurmaları tavsiye edilmiştir.
Bu kapsamda, (A) çerezin sadece elektronik haberleşme şebekesi üzerinden iletişim sağlanması amacıyla kullanılması veya (B) çerez kullanımının, abonenin veya kullanıcının açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olup olmadığı değerlendirilmelidir. Bu iki kriterin söz konusu olmadığı durumlarda açık rıza alınması gerekecektir.
Ayrıca Kanun’un m. 5/2-f bendinde düzenlenen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına dayanılacak durumlarda da, her iki kriterin kapsamı da göz önünde bulundurularak, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılması suretiyle bir denge testi yapılarak meşru menfaatin varlığının değerlendirilmesi tavsiye edilmiş ve Kurul’un bu dengeyi değerlendirdiği kararına atıf yapılmıştır. (Karar için bkz: https://www.kvkk.gov.tr/Icerik/5434/2019-78)
D. Hukuka Uygun Açık Rıza Alımı ve Yeni Kavramlar Olarak Çerez Duvarı – Rıza Yorgunluğu
Rehber Taslağı’nda açık rıza gerektirmeyen çerez kullanım senaryoları tek tek ele alınmıştır. Bu kapsamda; kullanıcı girdili çerezlerin, kimlik doğrulama çerezlerinin, kullanıcı merkezli güvenlik çerezlerinin, multimedya oynatıcısı oturum çerezlerinin, yük dengelemesi oturum çerezlerinin, kullanıcı ara yüzü kişiselleştirme çerezlerinin, sosyal eklenti içerik paylaşımı çerezlerinin, açık rıza yönetim platformu için kullanılan çerezlerin, birinci taraf analitik çerezlerin ve internet sitesinin güvenliği için kullanılan çerezlerin kullanımı sebebiyle açık rıza alınmasının Kanun’un ilgili maddeleri ve dikkate alınacak yeni iki kriter kapsamında gerekmeyebileceği belirtilmiştir.
Rehber Taslağı’nda yine açık rıza alınması gerektirebilecek, iki kriter kapsamına da girmeyen çerez kullanım senaryolarına da tek tek yer verilmiştir. Rehberde ayrıntılı olarak açıklanan olası senaryolar kapsamında sosyal eklenti takip çerezlerinin ve çevrimiçi davranışsal reklamcılık çerezlerinin kullanımında açık rıza alınması gerekeceği belirtilmiştir.
Hukuka uygun açık rızanın nasıl alınacağı konusunda ise, tabi ki Kanun’da düzenlenen koşullara Rehber Taslağı’nda da yer verilmiştir. Ancak burada, Rehberde belirtilen ve yeni bir kavram olan çerez duvarlarının üzerinde durulması gerekmektedir. Rehber Taslağı’nda çerez duvarları; “bir ziyaretçinin internet sitesinde yer alan tüm çerezlerin kullanılmasına onay vermedikçe internet sitesinin içeriğini görüntülemesini engelleyen uygulamalardır” şeklinde tanımlanmış olup, kişinin açık rızasını ortaya koyarken gerçek bir seçim yapmasını engelleyebileceğine dikkat çekilmiştir.
Ayrıca, çerez duvarı konularak, siteye giriş yapılabilmesi için bu çerezlere rıza verilmesinin zorunlu tutulmasının, hizmetin ön koşulu olarak rızanın kişiye dayatıldığı ve kişinin özgür iradesini sakatlayacağı ve bu durumda alınan açık rızanın geçerli olmayacağı açık bir şekilde belirtilmiştir.
Diğer bir yeni bir kavram olarak ise “rıza yorgunluğu” da literatüre kazandırılmış olup, çok sık aralıklarla rıza alınmasının “rıza yorgunluğuna” sebebiyet verebileceği ve ilgili kişinin özgür iradesini sakatlayabileceği belirtmiştir.
E. Kurul’un 27/02/2020 Tarih ve 2020/173 Sayılı Kararı
Kurul’un 27/02/2020 tarih ve 2020/173 sayılı Amazon Türkiye kararı, Kurul tarafından çerez kullanımına ilişkin değerlendirmenin yapıldığı ilk karardır. Rehber taslağında bu karara yer verilerek, bu kararın çerezler açısından değerlendirmesi yapılmış ve önemli noktaların üzerinde tek tek durulmuştur.
Verilen kararda yer verildiği gibi; aydınlatmanın tüm unsurları içerecek şekilde açık, sade ve anlaşılır bir şekilde yapılması gerektiği, kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olarak veren bir mekanizma kurulması gerektiği, çerez yoluyla kişisel veri işlenmesine ilişkin açık rızanın ilgili kişiye sözleşmenin önkoşulu olarak dayatılamayacağı, aydınlatmanın en geç internet sitesine girildiği (yani kişisel verilerinin işlenmeye başlandığı) anda yapılması gerektiği, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmeyeceği vurgulanmıştır.
Av. Serdar Darama