ÇEREZLER (COOKIES) NEDİR?
Bir internet sitesi ziyaret edildiğinde internet tarayıcısı aracılığıyla bilgisayarda ya da mobil cihazda depolanan küçük boyutlu metin dosyaları çerez (cookie) olarak adlandırılmaktadır. Çerezler aracılığıyla IP adresi, ziyaret edilen sayfalar, oturum bilgileri gibi çok çeşitli veriler saklanabilmektedir. Bu verilerin arasında kişisel nitelikli birçok veri de bulunmaktadır. Dolayısıyla, çerez kullanımı kişisel verilerin korunması hukuku açısından önem arz etmektedir. İnternet kullanıcılarının, tarayıcılarının ayarlarını değiştirmek suretiyle çerez ayarlarını kişiselleştirmeleri ya da çerezlerin kullanımını tamamen engellemeleri mümkündür. Ancak, çerez ayarlarında yapılacak kişiselleştirme ya da engellemeler, internet kullanımının işlevselliği üzerinde bazı olumsuz etkiler meydana getirebilecektir.
ÇEREZLERİN GRUPLANDIRILMASI
Çerezlerin çeşitli şekillerde gruplandırılması mümkündür. Ancak, çerezler genellikle kullanım amaçlarına, depolanma sürelerine ve kaynaklarına göre 3 grup altında sınıflandırılmaktadır.
Kullanım Amacına Göre
Zorunlu Çerezler: Bu çerezler ziyaret edilen internet sitesinin doğru bir şekilde çalışması ve özelliklerinin kullanılması için gereklidir. Bir e-ticaret sitesinden alışveriş yapılırken ürünlerin sepette tutulmasına imkan veren çerezler zorunlu çerezlere örnek olarak verilebilir. Her ne kadar zorunlu çerezlerin kullanılması için kişilerin onayı gerekmemekte ise de internet sitesi kullanıcılarına bu çerezler hakkında da bilgilendirme yapılması gerekmektedir.
İşlevsellik Çerezleri: Ziyaret edilen bir internet sitesinde yapılan tercihlerin hatırlanması ve internet sitesi kullanımının kişiselleştirilmesi amacıyla kullanılan çerezlerdir. Dil tercihleriniz ya da otomatik giriş için kullanıcı adı ve şifreniz gibi verilerin hatırlanmasını sağlayan çerezlerdir.
Analitik Çerezler: Bu çerezlerin asıl amacı bir internet sitesinin nasıl kullanıldığına ilişkin istatistik sağlamaktır. Böylelikle; internet sitesinin ziyaretçi sayısı, görüntülenen sayfaların belirlenmesi, sayfaların kaydırılması hareketi, hangi linklere tıklanıldığı, internet sitesinin ziyaret edildiği zaman bilgisi gibi analitik sonuçlar elde edilebilmektedir. Ancak, bu çerezler internet sitesinin ziyaretçilerinin kimliğinin tespit edilmesine olanak sağlamamaktadır. Zira, analitik çerezler anonim olarak ve kümelenmiş bir şekilde tutulmaktadır.
Pazarlama Çerezleri: İnternet sitesi ziyaretçilerini bireysel olarak hedefleyen ve böylelikle kişiselleştirilmiş reklam ve pazarlama faaliyetlerine olanak sağlayan çerezlere pazarlama çerezleri denmektedir. Bu çerezler; arama motorlarının, internet sitelerinin veya internet sitesinin reklam verdiği diğer internet sitelerinin ziyaret edilmesi durumunda kişinin ilgisini çekebilecek reklamların gösterilmesine olanak tanımaktadır. Pazarlama çerezleri kalıcı çerezler olup çoğunlukla üçüncü taraf çerezi olarak sınıflandırılmaktadır.
Depolanma Süresine Göre
Kalıcı Çerezler: İnternet sitelerinin işlevselliğini artırmak, ziyaretçilerin tercihlerini hatırlamak gibi amaçlarla kullanılan kalıcı çerezler internet tarayıcısı vasıtasıyla ziyaretçilerin sabit disklerinde depolanmaktadır. Bu çerezler ziyaretçi tarafından silininceye ya da kullanım süreleri doluncaya kadar sabit disklerde kalmaya devam ederler. Tüm kalıcı çerezlerin son kullanım tarihi bulunmaktadır. Bu süre AB e-Gizlilik Direktifi uyarınca 12 ayı geçemeyecek olsa da uygulamada internet sitesinin kullanıcıları tarafından silinmediği müddetçe çoğunlukla çok daha uzun süreler boyunca işlevselliğini korumaktadır.
Oturum Çerezleri: Yalnızca internet tarayıcısı kapatılıncaya kadar geçerli olan geçici çerezlere denmektedir. Ziyaret süresince internet sitesinin doğru bir şekilde çalışması amacıyla kullanılırlar.
Kaynağına Göre
Birinci Taraf Çerezleri: Doğrudan ziyaret edilen internet sitesi tarafında ziyaretçinin cihazına yerleştirilen çerezlerdir.
Üçüncü Taraf Çerezleri: Ziyaret edilen internet sitesi tarafından değil de reklam veren ya da analiz sistemleri gibi üçüncü bir tarafça ziyaretçinin cihazına yerleştirilen çerezlerdir.
AB HUKUKUNDA ÇEREZ KULLANIMI VE KİŞİSEL VERİLERİN KORUNMASI
AB’de çerez kullanımına ilişkin olarak 2 mevzuat göze çarpmaktadır. Bunlar;
GDPR ve e-Gizlilik Direktifi’dir. GDPR’da yalnızca bir yerde açıkça çerezlerden bahsedilmektedir. 2002 yılında yürürlüğe giren ve 2009’da değiştirilen e-Gizlilik Direktifi ise GDPR’a göre özel düzenleme niteliğindedir. Dolayısıyla, çerezler aracılığıyla işlenen kişisel veriler için e-Gizlilik Direktifi’nde hüküm bulunmayan hallerde genel düzenleme olan GDPR uygulanmalıdır. Ayrıca, Direktif çerezler aracılığıyla işlenen ve kişisel veri niteliğinde olmayan bilgilere de uygulanabilecektir.
E-Gizlilik Direktifi özellikle yürürlüğe girdikten sonra çerez onayı pop-uplarının yaygınlaşmasına yol açtığı için ‘çerez mevzuatı’ olarak da anılmaktadır. Ayrıca, yakın dönemde Direktif’in e-Gizlilik Regülasyonu ile değiştirilmesi amaçlanmaktadır. Bu durum, AB içerisinde çerezlere ilişkin düzenlemenin yeknesaklaşmasına da yardımcı olacaktır. Zira, üye ülkelerde bir direktifin yürürlüğe girebilmesi için her üye ülkenin direktif ışığında ayrı bir kanun çıkarması gerekirken, regülasyonlar doğrudan üye ülkelerde uygulama alanı bulmaktadır.
AB hukukunda GDPR ve e-Gizlilik Direktifi’ne uygun bir kişisel veri işleme faaliyeti yapılabilmesi için şu hususlara dikkat edilmesi gerekmektedir:
Zorunlu çerezler haricindeki çerezleri kullanmadan önce ziyaretçilerden açık rıza alınmalıdır
Kullanılan çerezler ve kullanım amaçları hakkında açık rıza alınmadan önce ziyaretçilerin anlayabileceği sadelikte bir bilgilendirme yapılmalıdır
Çerezlere ilişkin açık rıza verilmesi hizmet şartına bağlanmamalıdır
Ziyaretçilerin verdikleri rızaları istedikleri zaman kolaylıkla geri alabilmeleri sağlanmalıdır
Bu bağlamda özellikle çerezler için açık rızanın ne şekilde alınması gerektiği hususunda AB hukukunda süregelen bir tartışma bulunmaktaydı. Ancak, Avrupa Adalet Divanı 2019 yılında vermiş olduğu Planet 49 kararı ile bu tartışmaya son vermiştir. Divan bu kararında, çerezler için açık rızanın ancak ziyaretçinin aktif bir davranışı ile (opt-in yöntemi) alınabileceğini belirtmiştir.
KVKK’DA ÇEREZ KULLANIMI
Ülkemizde kişisel veri işleme faaliyeti içeren çerez kullanımları için 6698 sayılı KVKK uygulama alanı bulmaktadır. Ancak, kişisel veri işleme faaliyeti içermeyen çerez kullanımlarına uygulanabilecek herhangi bir hukuki düzenleme bulunmamaktadır. Bu noktada, çerezlere ilişkin olarak KVKK’da herhangi bir atıf bulunmasa da açık rıza alma ve aydınlatma yükümlülüğüne ilişkin hususların çerez kullanımına da uygulanabileceği sonucuna ulaşmak mümkündür. Ayrıca, Kurul’un 7 Mayıs 2020 tarihinde vermiş olduğu ve kamuoyunda Amazon kararı olarak da bilinen kararında, çerez kullanımında açık rıza şartı ve aydınlatma yükümlülüğünün ihlal edildiğine karar vermiştir. Ancak, Kurul bu değerlendirmesini yaparken kullanılan çerez türleri ile alakalı herhangi bir değerlendirmede bulunmamıştır. Dolayısıyla, çerez kullanımına ilişkin uygulamada yaşanan soru işaretleri tamamen giderilememiş olup, bu konuda somut olayın özelliklerine göre ayrıntılı bir değerlendirmeye gidilmesi yerinde olacaktır.
KAYNAKÇA
YAZAR
Murat Gülgün
Nur Sena Sevindi
İlayda Yüncü
Alperen İzberk Şentürk
Comments