Bilindiği üzere, 11.01.2022 tarihinde Kişisel Verileri Koruma Kurum’u (“Kurum”) tarafından “Çerez Uygulamaları Hakkında Rehber Taslağı” kamuoyu görüşüne açılmak üzere Kurum’un sitesinde yayımlanmış akabinde siteden kaldırılmıştı. Dolayısıyla, çerezler aracılığıyla yürütülen veri işleme faaliyetleri bir süredir yalnızca Kişisel Verileri Koruma Kurul’u (“Kurul”) kararları çerçevesinde şekillendirilmekteydi. Nihayet, 20.06.2022 tarihi itibariyle, çerezler yoluyla kişisel veri işleyen internet sitesi operatörleri için 6698 sayılı Kişisel Verilen Korunması Kanunu (“Kanun”) kapsamında kişisel verilerin işlenmesine yönelik olarak Çerez Uygulamaları Hakkında Rehber (“Rehber”) Kurul’un internet sitesinde yayımlanmıştır. Söz konusu Rehberin, Kurul’un çerez uygulamaları hakkında yayımlamış olduğu son kararları ile paralel olarak hazırlandığı görülmektedir.
Rehber’deki önemli kısımlardan kısaca bahsetmek gerekirse:
Rehber ile çerezler, türlerine ayrılarak incelenmiş ve iyi uygulamalar çerçevesinde açıklamalar sunulmuş olup, çerezler yoluyla kişisel verileri işleyen veri sorumluları için yol gösterici mahiyette bir doküman oluşturulmuştur.
Rehber’de, çerez, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları olarak tanımlanmıştır.
·Sürelerine göre çerezler, kullanım amaçlarına göre çerezler ve taraflarına göre çerezler olmak üzere üç adet çerez türü tanımlanmıştır. Bu tanımlamalara göre de sürelerine göre çerezler oturum çerezleri ve kalıcı çerezler olmak üzere ikiye ayrılmaktadır. Kullanım amaçlarına göre çerezler ise, zorunlu, işlevsel, performans-analitik, reklam-pazarlama olmak üzere dört alt türe ayrılmıştır. Son olarak, taraflarına göre çerezler ise birinci taraf ve üçüncü taraf çerezler olmak üzere ikiye ayrılmıştır.
Kriter A ve Kriter B olmak üzere iki şekilde belirtilen veri işleme kriterleri, Rehber’in 5. bölümünde belirtilen senaryolar özelinde açıkça işaret edilmiştir. Eklemek gerekirse, Kriter A, çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması; Kriter B ise çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması olarak tanımlanmıştır. Rehber’in 5. bölümüne göre, yalnızca “Yük Dengelemesi Oturum Çerezleri” Kriter A olarak ifade edilirken; “Kullanıcı Girdili Çerezler”, “Kimlik Doğrulama Çerezleri”, “Kullanıcı Merkezli Güvenlik Çerezleri”, “Multimedya Oynatıcısı Oturum Çerezleri”, “Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri”, “Sosyal Eklenti İçerik Paylaşımı Çerezleri”, “Birinci Taraf Analitik Çerezleri” ve “İnternet Sitesinin Güvenliği İçin Kullanılan Çerezler” Kriter B olarak ifade edilmiştir.
Kurul kararlarında da belirtildiği şekilde, Rehber’in “Açık Rıza İşleme Şartı Dahilindeki Çerez Kullanım Senaryoları” başlıklı 6. bölümüne göre, davranışsal reklamcılık için kullanılan çerezler ve sosyal eklenti takip çerezleri açık rıza gerekmektedir. Bu durumda açık rıza gerekliliği, doğal olarak gösterim sıklığı,
finansal kayıt tutma, reklam ortaklığı, tıklama sahtekarlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dahil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsar.
Rehber’in 7. bölümünde ise, hukuka uygun şekilde alınması gereken açık rızanın unsurlarına değinilmiştir. Buna göre, belirli bir konuya ilişkin olma unsurunun karşılanması bakımından, çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının belirtilmesi gerekmektedir. Ayrıca açık rıza, bilgilendirmeye dayanmalıdır. Bunun yanı sıra, çerezler bakımından da verilen açık rızanın geri alınabilir olması gerekmektedir. Bu açıdan çerez yönetim sekmesine veya açık rıza alınan araca, açık rızanın geri alınabilmesi için rıza yönetim platformunun banda dönüştürülerek internet sayfasının bir kısmında yer verilebilir. Öte yandan, açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli çıkması ve panelde eşit derecede kabul, ret, tercihler butonlarının sunulması iyi uygulama örneği olarak kabul edilmektedir. Son olarak, çevrim içi reklamcılık çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisinde iliştirme yöntemiyle açık rıza alınması mümkün olmamaktadır.
İlk yayınlanan rehber taslağından farklı olarak, Kurul’un son dönemlerde çerezler ile ilgili verdiği kararlar doğrultusunda, “Yurt Dışına Aktarım” başlıklı 8. bölüm eklenmiştir. Bu bakımdan, Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler aracılığıyla çerez kullandığı ve veri aktardığı durumlarda, bu işlemlerin Kanun’un 9.maddesindeki şartlara uygun şekilde yapılması gerekliliği vurgulanmıştır.
“Uygun Aydınlatmanın Yapılması” başlıklı 9.bölüme göre, ürün ve hizmetin çocuklara hitap etmesi durumunda, aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun metinler hazırlanmalı, gerekirse görsel araçlar ile desteklenen anlaşılır, sade ve açık bir dil kullanılmalıdır.
Son olarak belirtmek gerekir ki, Rehber’in 1 numaralı “Çerez Kullanımına İlişkin Kontrol Listesi” başlıklı ekinde, veri sorumluları için kontrol listesi hazırlanarak, rehberde hedeflenen amaçların veri sorumlularınca anlaşılır olup olmadığı hususu kolaylaştırılmıştır.
Özetle, Rehber’in yayımlanması ile birlikte, çerezler yoluyla işlenen kişisel verilerin Kurum tarafından öncelikle izleneceği anlaşılmaktadır. Yakın zamanda çerezler hakkında verilen kararlar da göz önünde bulundurulduğunda, çerezler yoluyla kişisel veri işleme faaliyeti gerçekleştiren veri sorumlularının, bu Rehber’de belirtilen hususları göz önünde bulundurarak gerekli önlemleri alması önerilmektedir.
Rehber metnine bu linkten ulaşabilirsiniz.