Bultenler

Çerez Uygulamaları Hakkında Rehbere Dair Notlar

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından hazırlanan Çerez Uygulamaları Hakkında Rehber (“Rehber”) 20.06.2022 tarihinde Kurum’un internet sitesinde yayımlanmıştır.

Rehber çerezler yoluyla kişisel veri işleyen internet sitesi operatörleri için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında kişisel verilerin işlenmesi amacına yönelik önerileri içermektedir.

Rehber’de çerez türleri açıklandıktan sonra çerezlere dair dikkate alınması gereken kurallara değinilmiş ve açık rıza dışındaki diğer işleme şartları dahilinde çerez kullanım senaryoları açıklanmıştır.

  1. Genel Olarak Çerezler ve Çerez Türleri

Rehberde çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olarak tanımlanmıştır. Çerez türleri sürelerine, kullanım amaçlarına ve taraflarına göre ayrılmıştır.

Sürelerine göre çerezler: Oturum çerezleri, kalıcı çerezler

Kullanım amaçlarına göre çerezler: Kesinlikle gerekli çerezler (zorunlu çerezler), işlevsel çerezler, performans- analitik çerezler, reklam/pazarlama çerezleri

Taraflarına göre çerezler: Birinci taraf çerezler, üçüncü taraf çerezler

  1. Çerezlere Dair Dikkat Edilmesi Gereken Kurallar

Rehberde; 6698 sayılı Kanun kapsamında, veri sorumlularının çerezler aracılığıyla kişisel veri işlenmesinde aşağıdaki kriterleri göz önünde bulundurmaları tavsiye edilmektedir:

  • Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
  • Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.

6698 sayılı Kanun Kapsamında Çerezler Bakımından Kişisel Veri İşleme Şartları

  • Açık rızanın bulunması ya da
  • Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurması gerekmektedir.

 

  1. Açık Rıza Dışındaki Diğer İşleme Şartları Dahilinde Çerez Kullanım Senaryoları

Rehber’de kullanım senaryoları kapsamında açık rıza dışındaki diğer kişisel veri işleme şartlarına dayanabilecek çerezlerin kullanım amaçları üzerinde durulmuştur.

  1.  Kullanıcı Girdili Çerezler

Bu tür çerezler, kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran oturum çerezleridir. Bu çerezler, tipik olarak benzersiz bir numara olan Oturum-ID değerine bağlı birinci taraf çerezler olup en geç oturumun sonlanmasıyla birlikte çerezin kullanım süresinin de bitmesi beklenmektedir.

  1.   Kimlik Doğrulama Çerezleri

Kimlik doğrulama çerezleri, kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılmaktadırlar (örneğin bir çevrim içi bankacılık sitesinde). Bu çerezler, internet sitesinin ziyaret edilmesi veya bir içeriğe ulaşılabilmesi için (örneğin banka hesaplarına bakma, havale yapma gibi) ihtiyaç duyulan çerezlerdir.

Bu çerezler genellikle oturum çerezleri olup bazı durumlarda kalıcı çerez niteliği de gösterebilmektedirler.

  1. Kullanıcı Merkezli Güvenlik Çerezleri

Kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında güvenliği artırmak amaçlıdır. Bu duruma bir internet sitesinde tekrarlanan başarısız oturum açma girişimlerini tespit etmek için kullanılan çerezler veya oturum açma sistemini kötüye kullanımlardan korumak için tasarlanmış diğer çerezler örnek verilebilecektir.

Kullanıcı güvenliği çerezlerinin güvenlik amacını yerine getirmek üzere hesaba giriş çerezlerinden daha uzun ömürlü olması beklenmektedir.

  1. Multimedya Oynatıcısı Oturum Çerezleri

Bu çerezler, videoyu yeniden oynatmaya veya ses içeriğine (örneğin görüntü kalitesi, ağ bağlantı hızı, arabellek parametreleri) ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılmaktadır.

  1. Yük Dengelemesi Oturum Çerezleri

Yük dengelemesi, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması işlemlerine izin veren bir tekniktir. Buna göre kullanıcılardan gelen web talepleri bir yük dengeleme ağ geçidine yönlendirilerek talep, havuzdaki müsait durumda bulunan iç sunuculara iletilmektedir.

Bu durumda, söz konusu yeniden yönlendirme oturum boyunca kalıcı olmaya ihtiyaç duyar, spesifik bir kullanıcıdan gelen tüm talepler, işlemin tutarlılığını sağlamak üzere her zaman havuzdaki aynı sunucuya yönlendirilir. Bunlar oturum çerezleri olup bu çerezde tutulan bilginin tek amacı haberleşme uç noktalarını (havuzlardaki sunuculardan birini) tespit etmektir.

Çerez, ağ üzerinden haberleşmenin gerçekleştirilmesi için gerekli olup açık rıza gerektirmemektedir.

  1. Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri

Bu çerezler, kullanıcının internet sayfalarındaki bir hizmete ilişkin tercihlerini depolamak için kullanılmakta olup kullanıcı adı gibi kalıcı tanımlayıcılarla bağlantı kurulmamaktadır. Yalnızca kullanıcının açık isteği ile belli bir bilgi parçasını hatırlamak üzere yerleştirilebilmektedirler (örneğin bir butonu tıklamak veya kutuyu işaretlemek gibi). Bu tür oturum çerezleri açık rıza gerektirmeyen çerezler olarak değerlendirilmektedir.

  1. Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri

Birçok sosyal ağ, internet sayfası operatörlerine kendi platformlarına entegre edebilecekleri, sosyal ağ kullanıcılarının beğendikleri içerikler veya yaptıkları yorumları “arkadaşlarıyla” paylaşmalarına izin verebilecek “sosyal eklenti modülleri” sunmaktadır.

Bu sosyal eklenti modülleri, kullanıcıların terminal ekipmanlarında, sosyal ağlardaki üyeler söz konusu eklentilerle etkileşime geçtiği anda söz konusu sosyal ağın üyeleri tespit etmesini sağlamak üzere çerezler depolamakta ve bu çerezlere erişim sağlamaktadır.

  1. Açık Rıza Yönetim Platformu için Kullanılan Çerezler

İlgili kişilerin girdikleri internet sayfalarında kullanılan çerezlerden, açık rızaya tabi olanlar için alınması gereken açık rızalara dair tercihlerin belli bir süreyle hatırlanması için kullanılan çerezlerdir. Açık rıza gerektirmemektedir.

  1. Birinci Taraf Analitik Çerezler

Bir internet sitesini veya uygulamayı yönetmek için trafik ve/veya performans istatistiklerinin kullanılması, bu istatistiklerin üretilmesi sitenin veya uygulamanın düzgün çalışması ve dolayısıyla hizmetin sağlanması için gereklidir. İşbu çerezlerin amacı sitenin veya uygulamanın hedef kitlesini ölçmekle sınırlıdır.

  1.  İnternet Sitesinin Güvenliği için Kullanılan Çerezler

İnternet sitesinin güvenlik zafiyeti nedeniyle hizmet verememesi, hizmet dışı bırakılması, kullanıcının talep ettiği hizmete erişememesine neden olacağından, internet sitesinin güvenliği için kullanılan çerezlerin de kullanıcının talep ettiği hizmet için kesinlikle gerekli olduğu değerlendirilmektedir.

  1. Açık Rıza İşleme Şartı Dahilindeki Çerez Kullanım Senaryoları

Yukarıda açıklanan senaryoların kapsamına girmeyen çerez kullanım senaryolarıdır. Sosyal eklenti takip çerezleri ve çevrim içi davranışsal reklamcılık çerezleri bu senaryolardandır.

  1. Rehberde Vurgulanan Başlıca Hususlar

Rehberde rızanın çok sık aralıklarla alınmasının “rıza yorgunluğu”na yol açabileceği ve bu sebeple ilgili kişinin özgür iradesini sakatlayabileceği göz önünde bulundurularak ilgili kişinin her siteye girişinde açık rıza alınması yoluna gidilmemesi, ancak açık rıza tercihinin periyodik olarak hatırlatılmasının (söz konusu çerezin ömrü ile orantılı olacak şekilde) uygun olacağı vurgulanmıştır.

Bunun yanı sıra Rehberde Açık rızanın özgür bir biçimde verilebilmesi kapsamında çerez duvarlarının ilgili kişinin rızasını ortaya koyarken gerçek bir seçim yapmasını engelleyebileceği ifade edilmiştir. Zira siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesi hususu hizmetin ön koşulu olarak ilgili kişiye dayatıldığı durumlarda çerez duvarının ilgili kişinin özgür iradesini sakatlaması söz konusu olabilecek ve bu durumda alınan açık rıza, geçerli bir açık rıza olmayacaktır.

Ek olarak, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda, hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür.

Aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi veren Gizlilik Bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır.

Ayrıca, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir.

  1. Yurt Dışına Veri Aktarımı

Açık rıza şartı dışında, 6698 sayılı Kanun’un 5’inci maddesinin ikinci fıkrası veya 6’ncı maddesinin üçüncü fıkrasında yer alan işleme şartlarının olması kaydıyla yeterli korumanın bulunması veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kişisel Verileri Koruma Kurulunun izninin bulunması durumlarında ilgili kişinin kişisel verileri yurt dışına aktarılabilecektir.

Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik birtakım şirketler vasıtasıyla çerez kullandığı ve bu çerezler aracılığıyla yurt dışına veri aktarımı faaliyeti gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin 6698 sayılı Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği söylenebilecektir.

Bahsi geçen Rehber’in tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr