Tomorrow

Veri Koruma Yaklaşımında Yeni Çerez Uygulamaları

Veri Koruma Yaklaşımında Yeni Çerez Uygulamaları

Kişisel Verileri Koruma Kurumu tarafından 11 Ocak 2022 tarihinde resmi internet sitesinde çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette Çerez Uygulamaları Hakkında Rehber Taslağı yayınlandı.

Yayınlanan rehber çerezler yoluyla kişisel verilerin işlenmesi konusu özelinde hazırlanmış ve kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamının dışında bırakılmıştır. Bununla birlikte kullanıcı parmak izleri, local veri depolama alanları, beacon gibi benzer teknolojiler kapsamında herhangi bir yönlendirmede bulunulmamaktadır. Rehber sadece internet sitelerinde kullanılan çerezler için değil, internete bağlanabilen akıllı telefon, tablet vb. dijital ortamlarda kullanılan uygulamalar açısından da geçerli olacaktır.

Çerezler, kullanılan tarayıcılar tarafından bilgisayarların sabit diskinde kayıt altına alınan bilgilerdir. Ziyaret edilen web sitelerinde her aktivite bilgisayarda denetim iz bırakır. Kayıt altına alınan aktivitelerde amaç, aynı web sitesine bir daha erişileceği zaman vakit kaybetmeksizin hızlı bir şekilde hareket etmeyi sağlamasıdır.

Çerezler, ziyaretçinin tercihleri hakkında bilgiler içerebilir çünkü her geçen gün gelişen teknolojiyle birlikte ziyaretçiler, özellikle alışverişlerini yoğun olarak web siteleri üzerinden gerçekleştirmektedir. Girilen web sitelerinde ziyaretçilerin davranışları takip edilir ve ziyaretçiye özel reklam yapılmaya başlanır.

Çerez ve benzeri teknolojiler, Kişisel Verilerin Korunması Kanunu kapsamında değerlendirildiğinden, Kanun ve ikincil mevzuattan doğan tüm yükümlülüklere uyulması gerekmektedir. Çerez kullanımında açık rızanın alınıp alınmayacağının değerlendirilmesi için, Avrupa Birliği’nde uygulanan iki kritere yer verilmiş ve veri sorumlularının Kanun kapsamında kişisel verileri işlerken bu kriterleri de göz önünde bulundurmaları tavsiye edilmiştir. Rehber’de Avrupa Birliği düzenlemelerine atıf yapılarak;

  • Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
  • Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması,

şartlarından herhangi birinin karşılanması hâlinde, çerezlerin aydınlatılmış rıza gerektirmediği vurgulanmıştır.

Ayrıca Kanun’un m. 5/2-f bendinde düzenlenen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına dayanılacak durumlarda da, her iki kriterin kapsamı da göz önünde bulundurularak, kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılması suretiyle bir denge testi yapılarak meşru menfaatin varlığının değerlendirilmesi tavsiye edilmiş ve Kurul’un bu dengeyi değerlendirdiği kararına atıf yapılmıştır.

(Karar için bkz: https://www.kvkk.gov.tr/Icerik/5434/2019-78)

Rehber uyarınca açık rıza gerektirmeyen çerez kullanım halleri şöyle belirlenmiştir: Kullanıcı girdili çerezler, Kimlik doğrulama çerezleri, Kullanıcı merkezli güvenlik çerezleri, Multimedya oynatıcısı oturum çerezleri, Yük dengelemesi oturum çerezleri, Kullanıcı ara yüzünü kişiselleştirme çerezleri, Sosyal eklenti içerik paylaşımı (beğen, paylaş, yorum) çerezleri, Açık rıza yönetim platformu için kullanılan çerezler, Birinci taraf analitik çerezler, İnternet sitesinin güvenliği için kullanılan çerezler.

Rehber uyarınca açık rıza gerektiren çerez kullanım halleri ise şöyle belirlenmiştir: Sosyal eklenti takip çerezleri, Çevrimiçi davranışsal reklamcılık çerezleri.

Rehber’de kullanıcının herhangi bir aktif eylemine dayanmayan rızaların, açık rıza olarak kabul edilemeyeceği vurgulanmıştır. Bu nedenle, sadece internet sitesine girilmiş olması söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmemektedir.

Kurul’un 27/02/2020 tarih ve 2020/173 sayılı Amazon Türkiye kararı, Kurul tarafından çerez kullanımına ilişkin değerlendirmenin yapıldığı ilk karardır. Rehber taslağında bu karara yer verilerek, bu kararın çerezler açısından değerlendirmesi yapılmış ve önemli noktaların üzerinde tek tek durulmuştur.

Çerezler aracılığıyla elde edilen ve işlenen kişisel verilerin güvenliğinin sağlanması. Veri sorumlusu, uygun bir güvenlik seviyesi sağlamak için gerekli teknik ve idari önlemleri almalıdır.

Kanun kapsamında öngörülen genel ilkeler şöyledir:  Genel Veri Koruma Yönetmeliği (GDPR) kapsamında bulunanlara benzer: yasallık ve adalet; doğru ve gerektiğinde güncel tutulması; belirli, açık ve meşru amaçlarla işlenmek; işlendikleri amaçla ilgili, sınırlı ve orantılı olmak; ve ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amacının gerektirdiği süre kadar saklanması.

Kişisel verisi işlenen tarafa aydınlatmanın tüm unsurları içerecek şekilde açık, sade ve anlaşılır bir şekilde yapılması gerektiği, kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olarak veren bir mekanizma kurulması gerektiği, çerez yoluyla kişisel veri işlenmesine ilişkin açık rızanın ilgili kişiye sözleşmenin önkoşulu olarak dayatılamayacağı, aydınlatmanın en geç internet sitesine girildiği (yani kişisel verilerinin işlenmeye başlandığı) anda yapılması gerektiği vurgulanmıştır.

Çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulması iyi bir uygulama örneği olarak sunulmuştur.

Siteye erişim için çerez onayı zorunluluğunun konulması suretiyle çerezlere rıza verilmesi hususu hizmetin ön koşulu olarak ilgili kişiye dayatıldığı durumlarda ise çerez duvarının ilgili kişinin özgür iradesini sakatlaması söz konusu olabilecek ve bu durumda alınan açık rıza, geçerli bir açık rıza olmayacaktır. Rehberde aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine şefaflıkilkesine uygun olarak açıkça yer verilmesi tavsiye edilmiştir.

Rehber, farklı çerez türleri için hangi yasal dayanakların uygulanacağını belirtmemektedir. Sonuç olarak, her bir veri işleme amacı (hedefli reklam, profil oluşturma vb.) açısından yasal bir değerlendirme yapılmalıdır. Veri sorumlusu, açık rıza aranması gerektiğine karar verirse, açık rızanın bilgilendirilmiş ve spesifik olmak kaydıyla serbestçe verilmesi gerekir. Kanun’un soft opt-in veya kapsamlı rızaları kabul etmediğini ve rızanın ana ürün ve hizmetlerin sağlanması için ön koşul olmaması gerektiğini belirtmek gerekir.

Taslak Yönergeler, sosyal eklenti izleme çerezleri ve çevrimiçi davranışsal işlemler için açık rızanın gerekli olduğunu açıkça belirtir. Çerezler aracılığıyla kişisel verilerin işlenmesine ilişkin açık rıza alınırken, açık rıza unsurlarının (‘spesifik’, ‘bilgiye dayalı’ ve ‘özgür irade ile ifade edilen’) bir arada bulunması gerektiğinin altı çizilmektedir. Öyleyse: veri denetleyicisi, veri sahibini platforma erişmek için tüm çerezleri kabul etmeye zorlayamaz (yani çerez duvarları); gizlilik bildirimleri sunulmalıdır ve genel rızalar yeterli olmayacaktır.

Teşekkürler,
Onur Korucu

Bu yazıyı paylaş: