İşbu derlemede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında çerezler, çerez kullanımında açık rıza ve bu kapsamda uygulamadaki örneklerine ilişkin güncel gelişmeleri değerlendirmeye çalışacağız.
Öncelikle belirtmek gerekir ki, günümüzde internet sitelerini her ziyaret ettiğimizde önümüze çıkan çerez(cookies); internet siteleri tarafından internet tarayıcılarına depolanan küçük bilgi dosyaları olarak adlandırılmaktadır. HTTP iletişiminde çerezler sayesinde, sunucu, kullanıcının geçmişteki ziyaretleri sırasında gerçekleştirdiği eylemlerini ve bilgilerini hatırlayabilmekte, kullanıcının, aynı web tarayıcısı ile ziyaret ettiği diğer web sitelerindeki eylemlerini ve bilgilerini bunlarla birleştirerek, kullanıcının tüm bilgilerini güncel tutabilmektedir. Ayrıca, çerezler, kullanıcıların kişisel tercihlerinin kaydedilebilmesi amacıyla da kullanılmaktadır. Çerezler aracılığıyla elde edilen veriler ile bazı tür çerezler internet sitesi ziyaretçilerinin dil tercihi veya konum gibi bilgilerinin saklanması amacıyla kullanılabilmekle, IP adresi, kullanıcı adı, benzersiz tanımlayıcı veya e-posta adresi gibi kişisel veriler de olabilir.
Yukarı açıklanan hususlar aklımıza Kanun kapsamında çerezler yoluyla kişisel veri işlenmesi bakımından geçerli olabilecek veri şartlarının neler olabileceği sorusunu getirebilmektedir.
Bu konuda Kanun’un, kişisel verilerin işlenme şartlarını düzenlediği 5. maddesinde kişisel verilerin veri sahibinin açık rızasıyla işlenebileceği kuralını koyduktan sonra, bu kurala istisna teşkil eden veri işleme şartları sayılmıştır. Hemen belirtmek gerekir ki, özel nitelikli kişisel veriler bakımından Kanun’un 6. maddesinde yer alan “Özel nitelikli kişisel verilerin işlenme şartları” gündeme gelecektir. İlgili madde kapsamında, bu tür verilerin veri sahibinin açık rızası olmaksızın çerezler yoluyla işlenmesi son derece sınırlı hallerde mümkün olabilir.
Kanun’da açık rıza; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bir diğer önemi de veri işleyene gerçekleştireceği fiil konusunda yol göstermesidir.
Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmektedir.
Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
Kanun uyarınca kullanıcıların açık rızasının alınabilmesi için uygulamada yaygın olan yöntem ise, çerez kullanımı kapsamında veri sorumlularının bildirimlerine ilişkin olarak, veri sorumlularının internet sayfalarında “internet sitesinde çerezlerin kullanıldığını” belirterek, katmanlı aydınlatma yapması ve çoğunlukla ilgili kişilere çerez politikalarının tamamına ulaşabilecekleri bağlantıları sunması yönündedir. Daha az sayıda olmakla birlikte bazı veri sorumlularının, “Kabul Et” ve “Ayarlara Git” yönlendirmeleri ile ziyaretçilere çerez kullanımı konusunda onay verme imkânı tanıdığı görülmektedir. Yapmış olduğumuz araştırmalar neticesinde internet sitelerinde en çok karşılaştığımız çerez metinleri aşağıdaki şekildedir.
Sitemiz içerisindeki deneyiminizi iyileştirmek için çerez (ve benzeri teknikleri) kullanılmaktadır. Çerezler, belirli özellikleri daha iyi deneyimlemenizi, iletilerin size göre uyarlanmasını ve ilgi alanlarınıza hitap eden reklamların gösterilmesini sağlarlar. Lütfen Çerez Politikamızı okuyun veya çerez tercihlerinizi buradan ayarlayın. “Kabul et”e tıklayarak, çerez kullanımımıza onay vermiş olursunuz. Tercihleri Düzenle Reddet Kabul Et |
Genellikle, internet sitesi adresinin girişlerinde “bu sitede çerez kullanılıyor” veya benzeri ifadelerle uyarı ve katmanlı aydınlatma yapıldığı ve ziyaretçilerin çoğunlukla aynı metinde yer alan bağlantıyı tıklayarak çerez politikalarına ulaşabildikleri görülmektedir.
Peki veri sorumluları internet sitelerine giriş yapan kullanıcıları nasıl açık rıza vermeye yönlendirebilir?
Uygulamada, veri sorumlusu ve veri işleyen ilişkileri özellikle Bilgi İşlem birimi olmayan yahut kendi serverlerı bulunmayan ve özellikle bilgi işlem web sitesi hizmetini dışarıdan alan kişiler tarafından o hizmet veren şirketlerin de sorumluluğu gündeme gelebilecektir. Nitekim Kurul tarafından açık rıza şeklini verme yükümlülüğü kimde olduğu incelenmesi söz konusu olacaktır. Yine bu bağlamda web sitesi veri sorumlularının veri işleme sözleşmelerini gözden geçirmeleri ileride karşılaşılabilecek sorunları önlemeye yarayacaktır. Dizayn hizmeti ve veri analizi hizmeti veren şirketlerin de KVKK kapsamında çerez politikasını ciddiye almaları ve özellikle Avrupa pazarı dikkate alındığında geliştirilmesi gerektiği açıktır.
Yukarıda anlatılanlar ışığında Kişisel Verileri Koruma Kurulu’nun önemli kararlarından olan “Amazon Kararı” Üzerinden Konunun Değerlendirmesi[1]:
Kişisel Verileri Koruma Kurulu (“Kurul”), Amazon Turkey Perakende Hizmetleri Limited Şirketi (“Amazon”) hakkında verdiği 27/02/2020 Tarihli ve 2020/173 Sayılı Karar sayılı Kararında, çerezlere ilişkin değerlendirmelerde bulunmuş ve ilgili Karar bu kapsamda ayrı bir önem arz etmektedir.
Kurul Amazon kararında, genel bir özetle, internet sitesi ziyaretçilerinin kişisel verilerinin Amazon’un internet sitesine giriş anından itibaren çerezler vasıtasıyla işlendiği halde, internet sitesinde çerezlerin kullanıldığına dair site ziyaretçilerine hiçbir şekilde bir aydınlatma yapılmadığını ve hatta belirli çerez türleri yönünden açık rıza alınmadığını tespit etmiş ve Amazon’a yaptırım uygulamıştır. Bu bağlamda söz konusu karar ile Kurul, çerezlerin KVKK anlamında bir kişisel veri işleme faaliyeti olduğunu, ilgili kişilere aydınlatma yapılması ve açık rıza dışında bir işleme nedeni bulunmayan çerezler için ilgili kişilerden açık rıza alınması gerektiğini duyurmuştur.
Kişisel Verileri Koruma Kurumunun yetkilileri tarafından yapılan değerlendirmelere göre Kurum’un beklentisi çerez kullanan bütün veri sorumlularının öncelikle aydınlatma yükümlülüğünü yerine getirmeleridir. Bunun yanı sıra, kişisel veri işleme şartının açık rıza olması gerektiği tespit edilen reklam/pazarlama çerezleri gibi çerezler vasıtasıyla veri işlenmeye başlamadan önce, ispatlanabilir bir şekilde ilgili kişinin açık rızası da alınmalıdır.
Kurul tarafından verilen reklam/pazarlama çerezleri ile istatistik ve analiz amacı ile kullanılan çerezlerin işlenmesi, açık rıza temini şartına bağlı olmalıdır. Hatta site içeriğini kullanıcılar için bireyselleştiren işlevsel çerezlerin kullanımının da ilgili kişilerin açık rızasına tabi olması söz konusu olabilecektir.
SONUÇ:
Veri sorumluları tarafından web sitelerinde çerezler hakkında açık rızanın nasıl alınması gerektiği konusunda Kanun’un gerektirdiklerine uygun davranılmalı diğer bir deyişle, açık rıza öncesinde veri sorumluları tarafından aydınlatma metni yayınlanmalı, açık rıza aktif bir davranışa dayanarak özgürce verilmeli ve açık rıza bir hizmet sunma ön şartı olarak konumlandırılmalıdır.
[1] Amazon Turkey Perakende Hizmetleri Limited Şirketi Hakkındaki Başvuru İle İlgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/173 Sayılı Karar Özeti, 2020