6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında çerezler aracılığıyla işlenen kişisel verilere ilişkin özel bir düzenleme olmaması bu işleme faaliyetinin nasıl gerçekleştirileceği sorusunu akla getirmekteydi. Yakın zamanda Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayınlanan Çerez Uygulamaları Hakkında Rehber ile çerezler yoluyla kişisel veri işleyen internet sitesi operatörleri için Kanun kapsamında kişisel verilerin işlenmesine yönelik öneriler getirilmektedir. Ayrıca, Kurul tarafından verilen kararlar nezdinde çerezlerin işleme politikalarına ilişkin bazı prensipler belirlenmektedir. Bu yazımızda Kurul’un çerezler yoluyla yapılan işleme faaliyetleri hakkında verdiği en son tarihli kararını incelemeyi amaçlamaktayız.
Kurul’un e-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi hakkındaki 10.03.2022 tarihli ve 2022/229 sayılı kararına konu olan şikayet dilekçesinde özetle;
- Veri sorumlusu tarafından uygulanan çerez politikasının, kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğu;
- Çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine getirilmediği;
- Veri sorumlusu tarafından çerez kullanımına ilişkin ilgili kişinin açık rızasına dayanılarak işleme faaliyetinin gerçekleştirilmediği;
- İnternet sitesinin faaliyetleri ya da kullanılan çerezler kapsamında işlenen kişisel verilerin yurtdışına aktarıldığı ancak bu kapsamda ilgili kişinin açık rızasının alınmadığı;
- İlgili kişinin hangi veri konusu kişi grubuna dahil olduğunun belirtilmediği, veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak açıklanmadığı ve kapsamlarının anlaşılamadığı;
- Pazarlama bilgisi veri kategorisi altında yer alan açıklamalardan hangi veri tipinin işlendiğinin anlaşılamadığı, ilgili kişinin ticari elektronik ileti onayı vermemiş olmasına rağmen hedefleme ve analiz çerezlerinin tarayıcıda ve uygulamada aktif olduğu,
hususlarından bahsedilmiştir. Bu sebepler doğrultusunda Kurum tarafından gereğinin yapılması talep edilmiştir.
İlgili kişinin şikayeti üzerine veri sorumlusunun Kurum’a ilettiği cevap yazısında ise;
- İlgili kişinin internet sitesi üzerindeki çerezler kapsamında işlenen kişisel verileri açısından, ilgili kişinin tanınabilmesi amacıyla tarayıcısına yerleştirilen çerezler ve internet sitesinde kullanılan çerezler vasıtasıyla işlenen kişisel verilerinin oturum belirteci (session token), alıcı numarası (Buyer ID), e-posta özet değeri (hashed e-mail), cinsiyeti, üyelik tarihi, sisteme son giriş tarihi, e-posta izni, alıcı VIP statüsü ve web/mobil web sitelerinde yer alan Çerez Politikası’nda belirtilen ve kesinlikle gerekli çerez statüsünde olmayan çerezler şeklinde olduğu ve bunların Kanun uyarınca meşru menfaatler için veri işlenmesinin zorunlu olması şartı kapsamında işlenmekte olduğu;
- Kesinlikle gerekli çerez statüsünde olmayan çerezler dışında kalan diğer çerezlerin ise bilgi toplumu hizmet sağlayıcısı sıfatıyla çevrim içi bedelli
olarak kullanıcılara sunulan elektronik ticaret hizmetinin sunulabilmesi için kesinlikle gerekli çerezler olduğu ve bunlar bakımından web sitesi veya mobil uygulama kullanıcılarından açık rıza alınmasının gerekli olmadığı;
- Kesinlikle gerekli çerez kategorisi dışında kalan analitik, kullanıcı davranışları takibi ve diğer online reklamcılık çerezlerinin kullanıldığı ve bu çerçevede kullanıcıların internet sitesini ilk ziyaretleri akabinde pop-up şeklinde bir aydınlatma metni çıktığı ve kullanıcıların internet sitesindeki Gizlilik ve Çerez Politikalarına yönlendirildiği, Çerez Politikasında da detaylı olarak çerez yönetiminin nasıl yapılacağına ilişkin olarak kullanıcıya bilgi verildiği;
- Kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği, çerez uygulamalarının Avrupa Birliği’nde çerez duvarları (cookie walls) veya takip duvarları (tracking walls) olarak adlandırılan uygulamalardan farklı olarak, elektronik ticaret hizmetinin sunumunun bu çerezlerin kabulü şartına bağlanmadığı,
hususlarına değinilmiştir.
Konuya ilişkin yürütülen inceleme sonucunda Kurul, kararında; bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğunu ve internet sitesinin düzgün çalışması için gerekli olan çerezlerin kesinlikle gerekli çerezler olduğu ve ilgili kişinin açık rızası olmadan Kanun’daki veri işleme şartlarından birine dayanılarak kişisel veri işleme faaliyetinin gerçekleştirilebileceğini; ancak kesinlikle gerekli çerezler statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi durumunda ilgili kişinin açık rızasına başvurulması gerektiğini vurgulamıştır. Dolayısıyla Kurul, veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiğinin anlaşıldığını ve bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığını, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerektiğini belirtmiştir. Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile ilgili kişinin Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasına bir kutucuk ile yönlendirildiği, ancak kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı işaret edilmiştir. Bu yönüyle, veri sorumlusu tarafından kesinlikle gerekli olmayan çerezlerin kullanılması suretiyle Kanun’daki veri işleme şartlarından birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı Kurul tarafından tespit edilmiştir.
Bu doğrultuda Kurul; kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza alınmaması, Kanun’a uygun şekilde veri aktarımı yapılmaması ve gerekli teknik ve idari tedbirlerin alınmaması nedeniyle veri sorumlusuna 800.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca, Kurul, veri sorumlusuna “opt-in” mekanizmasına göre açık rıza alması adına gerekli sistemi oluşturması ve internet sitesinde yer alan Çerez Politikası metninin güncellenmesi için veri sorumlusuna 30 günlük süre vermiştir.
Karara bu linkten ulaşabilirsiniz.