Kişisel Verileri Koruma Kurumu Tarafından “Çerez Uygulamaları Hakkında Rehber” Yayımlandı
Kişisel Verileri Koruma Kurumu (“Kurum“) tarafından, 11 Ocak 2022 tarihinde Çerez Uygulamaları Hakkında Rehber Taslağı yayımlanmıştı. Kurum 20 Haziran 2022 tarihinde ise Çerez Uygulamaları Hakkında Rehber’i (“Rehber”) yayımladı. Rehber, çerez teknolojilerini kullanan veri sorumlularının ilgili uygulamalarının Kişisel Verilerin Korunması Kanunu’na (“Kanun“) uyumuna yönelik öneriler getirmektedir.
Rehber’de, taslak versiyonunda bulunan çerez türlerine ilişkin detaylı açıklamalar, 5809 sayılı Elektronik Haberleşme Kanunu (“EHK“) ile Kanun arasındaki ilişki, çerez kullanım senaryoları ve hukuka uygun açık rıza alımı, aydınlatma yapılmasına ilişkin açıklamalara ve Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararının çerezler açısından değerlendirilmesine ek olarak kişisel verilerin çerezler vasıtasıyla yurtdışına aktarımına da yer verilmiştir. Rehber’de bunların yanında, çerez kullanımına ilişkin kontrol listesi düzenlenmiş ve çerez kullanımları örneklendirilmiştir.
Rehber, çerezleri; “internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür
metin dosyasıdır HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır” ve “bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları” şeklinde tanımlamıştır.
Rehber, EHK ile Kanun arasındaki ilişki bakımından; EHK’da 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik düzenlemeleri bulunmadığından bu konuda Kanun’un uygulama alanı bulacağını belirtmiştir. Ek olarak, EHK’nın yalnızca veri sorumlusu işletmeciler ile sınırlı olarak uygulanabileceği ifade edilmiştir.
Rehber’de çerezler aracılığıyla kişisel veri işlenmesinde göz önünde bulundurulması tavsiye edilen kriterler kısaca; çerezlerin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması ve çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olmasıdır. Bu kriterlerden birine girmeyen ve Kanun’daki açık rıza dışındaki veri işleme şartlarından herhangi birinin bulunmadığı hallerde, ilgili kişinin açık rızası alınmalıdır. Kurum, veri sorumlularının açık rıza alınmasını gerektiren çerez kullanımlarında, açık rızanın hukuka uygun olması için ilgili kişinin açık ve spesifik olarak bilgilendirilmesi ve rızanın ilgili kişinin aktif eylemi ve özgür iradesiyle alınması gerektiğini vurgulamıştır. Rehber uyarınca, internet sitesine her girişte rıza alınması yerine açık rıza tercihinin çerezin ömrüyle orantılı şekilde hatırlatılması yeterlidir.
Son olarak, çerez onayının ilgili kişinin internet sitesi içeriğini görüntülemesini engelleyici çerez duvarları kullanılarak alınmasının, açık rızanın hizmetin ön koşulu olarak sunulması sebebiyle özgür iradeyi sakatladığı ve çerezler için yapılacak aydınlatma yükümlülüğünde KVKK’nın 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in uygulanması gerektiği hususu vurgulanmıştır.
