KVK Kurumu 11 Ocak 2022 tarihinde resmi internet sitesinde çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette Çerez Uygulamaları Hakkında Rehber Taslağı yayınlamıştır.[1]

Bu kapsamda, veri sorumluları başta olmak üzere taslak Rehber’in kamuoyu ile 30 gün süre ile paylaşılması suretiyle, ilgili olabilecek tarafların görüşlerinin toplanması amacıyla Çerez Uygulamaları Hakkında Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin[2] 10/02/2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile [email protected] elektronik posta adresine gönderilebileceğini belirtmiştir.

1. REHBERİN KAPSAMI

Rehber çerezler yoluyla kişisel veriler işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamının dışında kalmaktadır. Piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojiler kapsamında herhangi bir yönlendirmede bulunulmamaktadır.

Bununla birlikte, Rehber sadece internet sitelerinde kullanılan çerezler için değil, internete bağlanabilen akıllı telefon, tablet vb. ortamlarda kullanılan uygulamalar açısından da geçerli olacaktır.

2. 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU İLE 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ARASINDAKİ İLİŞKİ

5809 sayılı EHK’nin “Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması” başlıklı 51’inci maddesi[3], 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik hükümlerini içermemektedir. 5809 sayılı Kanun’un özel olarak düzenlemediği bilgi toplumu hizmetleri bakımından, 6698 sayılı Kanun’un çerezler vasıtasıyla kişisel verilerin işlenmesine uygulanabileceği görülmüş olup bu kapsamda Kişisel Verileri Koruma Kurulunun 27.02.2020 tarihli ve 2020/173 sayılı Amazon kararının[4] dikkate alınabileceği değerlendirilmektedir.

27.02.2020 tarihli ve 2020/173 sayılı Amazon kararının özeti:

i. Amazon.com.tr internet sitesi ve bağlı uygulamalar aracılığıyla sunulan hizmetlere ilişkin olarak ne üyelik hesabı oluşturulurken ne de alışveriş yapılırken, reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için açık rıza alınmadığı, açık rıza dışında bir işleme nedeninin varlığına ilişkin açıklama yapılmadığı,

ii. Veri sorumlusunun “Gizlilik Bildirimi”nde ‘Amazon Kişisel Bilgilerinizi Paylaşıyor mu?’ başlığı altında “Yukarıda belirtilenler haricinde, hakkınızdaki kişisel bilgiler üçüncü taraflarla paylaşıldığında, bir bildirim alacaksınız ve bu bilgileri paylaşmamayı seçme şansınız olacaktır.” ifadesine yer verildiği, metinde yer aldığı şekilde ilgili kişinin kişisel verilerini paylaşmamayı tercih etme şansının mümkün olmasının, ancak ilgili kişinin açık rızasına istinaden verilerinin işlenmesi halinde geçerli olabileceği, ancak usulüne uygun bir açık rıza alınmadığı dikkate alındığında, kişisel verilerin aktarılmasına ilişkin Kanun hükümlerine aykırı hareket edildiği,

iii. Kişisel verilerin yurt dışına aktarılması konusunda Kanunun 9’uncu maddesinde yer alan yeterli korumanın bulunduğu ülkelerin Kurulca henüz belirlenmediği, veri sorumlusunun yazılı taahhüdünün Kurum tarafından onaylanmadığı da dikkate alındığında, veri sorumlusunun kişisel verilerin yurtdışına aktarılması konusunda Kanunun 9(1) numaralı fıkrasında yer aldığı üzere ilgili kişilerin açık rızasını alması gerektiği, ancak veri sorumlusunun yurt dışına aktarıma ilişkin usulüne uygun bir açık rıza alma yoluna gitmediği, yalnızca amazon hizmetlerinin kullanılması suretiyle gizlilik bildiriminde yer alan hususların kabul edilmiş olduğu varsayımının Kanuna uygun bir açık rıza olarak nitelendirilemeyeceği,

iv. Veri sorumlusu tarafından Kanunun 12(1) numaralı fıkrasındaki yükümlülüklerin yerine getirilmemesinden dolayı Kanunun 18(1)(b) bendi kapsamında 1.100.000 TL idari para cezası uygulanmasına,

v. “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle, ilgili kişilere aydınlatma yapıldığı anlamına gelmediği, ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün, usul ve esaslara uygun olarak yerine getirilmediğinden veri sorumlusu hakkında Kanunun 18(1)(a) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,

vi. Veri sorumlusunun yukarıda tespit edilen ihlaller göz önünde bulundurularak kişisel veri işleme süreçlerini ve bununla uyumlu şekilde “Gizlilik Bildirimi”, “Kullanım ve Satış Şartları” ve “Çerez Bildirimi” metinlerini güncelleyerek web sitesini ve uygulamalarını Kanuna uygun hale getirerek sonucundan Kurula bilgi vermesi yönünde talimatlandırılmasına karar verilmiştir.

5809 sayılı EHK’nin 51’inci maddesinin üçüncü fıkrası kapsamında, sadece elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve altyapısını işleten şirketler (işletmeciler ve alt-işletmeciler) kapsanmakta olup diğer veri sorumluları (örneğin kvkk.gov.tr dâhil pek çok internet sayfası operatörü) bu kapsamda yer almamaktadır.

Bu durumda 5809 sayılı EHK’nin 51’inci maddesinin üçüncü fıkrası kapsamında, “haberleşmenin sağlanması” ibaresi ile sadece “işletmeci” niteliğini haiz veri sorumlularının, yine sadece aşağıda açıklanan “Kriter A” kapsamında çerezler vasıtasıyla açık rıza almadan veri işleyebileceği değerlendirilmektedir. Bununla birlikte, 51’inci maddede yer alan abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacı, yalnızca çerez kullanımına özgü değildir.

EHK m. 51/3:“Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir”

Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması

Değerlendirme: İlgili bölümün yalnızca elektronik haberleşme hizmeti sağlayıcısı olan operatörlere özgü düzenlendiği görülmektedir. Çerezlere özgü Rehberin ise internet sitesi sahibi tüm veri sorumluları özelinde hazırlandığı düşünülürse bu kısım pek çok sektör için anlamsız kalacaktır. Bu bağlamda, ilgili bölümün Rehberden çıkarılarak operatörlere özgü düzenlemenin ayrıca tesis edilmesi önerilebilir.

3. ÇEREZLERE DAİR DİKKATE ALINMASI GEREKEN KURALLAR

Avrupa Birliğinde, aşağıda açıklandığı üzere iki kriterden herhangi birinin karşılanması hâlinde, çerezler aydınlatılmış rıza gerektirmemekte olup 6698 sayılı Kanun kapsamında, veri sorumlularının çerezler aracılığıyla kişisel veri işlenmesinde aşağıdaki kriterleri göz önünde bulundurmaları tavsiye edilmektedir:

Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,

Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.

6698 sayılı Kanun Kapsamında Çerezler Bakımından Kişisel Veri İşleme Şartları

i. Açık rızanın bulunması ya da

ii. Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirmesi neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurması gerekmektedir.

Örneğin bir internet sitesinde yük dengeleme çerezi kullanılması yoluyla, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması mümkün olup kullanıcılardan gelen web talepleri bir yük dengeleme ağ geçidine yönlendirilerek bu talep havuzdaki müsait durumda bulunan iç sunuculara iletilir. Bu kapsamda kullanıcı taleplerinin uygun şekilde yeniden yönlendirilmesi amacının Kriter A kapsamında değerlendirilmesi mümkün olup veri sorumluları tarafından bu amaçla çerez kullanılması suretiyle kişisel veri işlenmesinde, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına gidilebileceği düşünülmektedir. Bu işleme şartına dayanılarak kişisel veri işlenmesi hâlinde, ilgili kişilerin temel hak ve özgürlükleri bakımından da herhangi bir tehlikenin söz konusu olmaması gerekmektedir.

4. AÇIK RIZA GEREKTİRMEYEN ÇEREZ KULLANIM SENARYOLARI

a. Kullanıcı Girdili Çerezler

Bu tür çerezler, kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran oturum çerezleridir. Bu çerezler, tipik olarak benzersiz bir numara olan Oturum-ID değerine bağlı birinci taraf çerezler olup en geç oturumun sonlanmasıyla birlikte çerezin kullanım süresinin de bitmesi beklenmektedir.

Örnek, Birinci taraf kullanıcı girdili oturum çerezleri, tipik olarak internet sayfalarında bulunan çevrim içi bir formu ya da alışveriş sepetini doldururken kullanıcıyı izleyen, kullanıcının butonu tıklayarak seçtiği ürünlerin veya forma girdiği bilgilerin kaydını tutan çerezlerdir.

Bu tip çerezlerde bir bilgi toplumu hizmetinin sağlanmasının kullanıcı tarafından açıkça talep edilmesi gerekmekte olup (örneğin bir formu doldurmak ya da bir butonu tıklamak gibi) bu çerez türü Kriter B kapsamında değerlendirilebileceğinden açık rıza gerektirmemektedir.

Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması

b. Kimlik Doğrulama Çerezleri

Kimlik doğrulama çerezleri, kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılmaktadırlar.

Örnek, bir çevrim içi bankacılık sitesinde banka hesaplarına bakma, havale yapma

Bu çerezler, internet sitesinin ziyaret edilmesi veya içeriğe ulaşılabilmesi için ihtiyaç duyulan çerezlerdir. Bu çerezler genellikle oturum çerezleri olup bazı durumlarda kalıcı çerez niteliği de gösterebilirler.

Bir kullanıcı hesabına giriş yaptığında, kendisine izin verilen bir içerik ya da fonksiyonelliğe erişimi açıkça talep etmiş olmaktadır. Eğer bu çerez kullanılmamış olsaydı, her sayfa talebinde kullanıcının isim ve şifresini girmesi gerekecekti. Dolayısıyla bu doğrulama fonksiyonelliği, ilgili kişinin açıkça talep etmiş olduğu bilgi toplumu hizmetinin temel bir parçasıdır ve bu tip çerezler de Kriter B kapsamında açık rıza gerektirmemektedir.

Veri sorumluları tarafından Kriter B’nin kapsamı değerlendirilirken, kullanıcının sadece söz konusu siteye erişimi ve gereksinim duyduğu spesifik işlevselliğin yerine getirilmesi için talepte bulunduğu göz önünde bulundurulmalı, kimlik doğrulama çerezinin kullanımının çerezin ikincil amaçlarla (örneğin davranışların takibi ve reklamcılık amaçlarıyla) kullanımında bir dayanak noktası olarak değerlendirilmemesi gerekmektedir.

Tarayıcı oturumları arasında kimlik doğrulama tanımlayıcılarını depolayan sürekli çerezler, Kriter B kapsamında değerlendirilmemektedir. Bu önemli bir ayrımdır, zira kullanıcı tarayıcıyı kapattığı anda kimlik doğrulama ayarlarının temizlenmediğinin farkında olmayabilir ve anonim olduğu varsayımıyla söz konusu internet sayfasına geri döndüğünde hala hesaba giriş yapmış durumda bulunurlar. Bu durumda uygulanan yaygın bir yöntem, internet sayfasında kullanıcı hesabını açarken ayrıca “beni hatırla (çerez kullanır)” gibi bir kutucuk eklenmesidir. Bu sayede kullanıcı tarafından bu hizmetin açıkça talep edilip edilmediği hususuna açıklık getirilebilecektir.

Değerlendirme: Rıza Sorunu: İlgili kişi web sitesinde bulunan hesabına bir kez giriş yaptığında kendi özgür iradesiyle bilinçli bir eylem gerçekleştirildiğinden burada ayrıca açık rıza aranmadığı görülmektedir. Ancak hesabından çıkış yapmaksızın web sitesini kapattığında tekrar siteye giriş yapma koşulunun dayatılması uygulamada kullanımı zorlaştırmaktadır. Kaldı ki, ilgili kişi hesabına nasıl ki giriş yaptıysa aynı şekilde çıkış da yapabilmektedir. Bu kapsamda; hem kullanıcı yorgunluğu olmaması hem de veri sorumluları tarafındaki geliştirme yükü göz önünde bulundurularak kullanıcı hesabından çıkış yapmadığı sürece çerezlerin işlevselliğinin devam ettirilebilir olması önerilmektedir.

c. Kullanıcı Merkezli Güvenlik Çerezler

Kriter B, kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında güvenliği artırmak amaçlı çerezlere de uygulanabilmektedir. Bu durum, internet sitesinde tekrarlanan başarısız oturum açma girişimlerini tespit etmek için kullanılan çerezler veya oturum açma sistemini kötüye kullanımlardan korumak için tasarlanmış diğer çerezler için de geçerlidir. Tipik olarak, hesaba giriş çerezleri bir oturum bitiminde sona ermekteyken, kullanıcı güvenliği çerezlerinin güvenlik amacını yerine getirmek üzere daha uzun bir ömrü olması beklenir.

d. Multimedya Oynatıcısı Oturum Çerezleri

Bu çerezler, videoyu yeniden oynatmaya veya ses içeriğine (örneğin görüntü kalitesi, ağ bağlantı hızı, arabellek parametreleri) ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılmaktadır. Multimedya oynatıcısı oturum çerezleri “flash çerezler” olarak da bilinmektedirler. Bu çerezlerin oturum sonlandığında süreleri de bitmektedir. Kullanıcı, video veya yazı içeriğine ulaşmak istediğinde, hizmeti açıkça talep ettiği için bu video gösterim işlevi Kriter B kapsamında değerlendirilmektedir.

e. Yük Dengelemesi Oturum Çerezleri

Yük dengelemesi, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması işlemlerine izin veren bir tekniktir. Buna göre kullanıcılardan gelen web talepleri bir yük dengeleme ağ geçidine yönlendirilerek talep, havuzdaki müsait durumda bulunan iç sunuculara iletilmektedir. Bu durumda, söz konusu yeniden yönlendirme oturum boyunca kalıcı olmaya ihtiyaç duyar, spesifik bir kullanıcıdan gelen tüm talepler, işlemin tutarlılığını sağlamak üzere her zaman havuzdaki aynı sunucuya yönlendirilir. Bunlar oturum çerezleri olup bu çerezde tutulan bilginin tek amacı haberleşme uç noktalarını (havuzlardaki sunuculardan birini) tespit etmektir. Çerez, ağ üzerinden haberleşmenin gerçekleştirilmesi için gerekli olup Kriter A kapsamında açık rıza gerektirmemektedir.

f. Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri

Bu çerezler, kullanıcının internet sayfalarındaki bir hizmete ilişkin tercihlerini depolamak için kullanılmakta olup kullanıcı adı gibi kalıcı tanımlayıcılarla bağlantı kurulmamaktadır. Yalnızca kullanıcının açık isteği ile belli bir bilgi parçasını hatırlamak üzere yerleştirilebilmektedirler (örneğin bir butonu tıklamak veya kutuyu işaretlemek gibi). Bunlar, oturum çerezleri gibi oturum süresince geçerli olabileceği gibi amaçlarına göre geçerlilik süreleri haftaları ya da ayları bulabilmektedir.

Kişiselleştirme amaçlı olan bu çerezlerin tipik örnekleri;

i. Çok dilli bir internet sayfasında (bir bayrağa tıklamak suretiyle) kullanıcı tarafından seçilen bir dil seçeneğini hatırlamak üzere kullanılan dil tercih çerezi,

ii. Kullanıcının çevrim içi arama sorgularına dair tercihlerini hatırlamak üzere kullanılan sonuç gösterici tercih çerezleri (örneğin sayfa başına kaç sonuç çıkacağının seçilmesi).

İşlevselliklerin kişiselleştirilmesinin kullanıcı tarafından açıkça talep edilmiş olması (örneğin bir buton ya da kutucuğun tıklanması suretiyle) durumu, ek bir bilgi verilmese de kullanıcının niyetinin, söz konusu seçimin bir oturum süresinden daha uzun süre hatırlanması olarak yorumlanamayacaktır. Bu tür oturum çerezleri, Kriter B kapsamına giren ve açık rıza gerektirmeyen çerezler olarak değerlendirilmektedir.

g. Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri

Birçok sosyal ağ, internet sayfası operatörlerine kendi platformlarına entegre edebilecekleri, sosyal ağ kullanıcılarının beğendikleri içerikler veya yaptıkları yorumları “arkadaşlarıyla” paylaşmalarına izin verebilecek “sosyal eklenti modülleri” sunmaktadır. Bu sosyal eklenti modülleri, kullanıcıların terminal ekipmanlarında, sosyal ağlardaki üyeler söz konusu eklentilerle etkileşime geçtiği anda söz konusu sosyal ağın üyeleri tespit etmesini sağlamak üzere çerezler depolamakta ve bu çerezlere erişim sağlamaktadır.

Ancak bu durumda, tarayıcı üzerinden bir sosyal ağ hesabına giriş yapmış (log-in yapmış) olan kullanıcılar ile “giriş yapmamış” kullanıcılar yani söz konusu sosyal ağa hiç üye olmayanlar ve sosyal ağ ile irtibatını koparmış ancak üye olanlar arasında bir ayrıma gidilmelidir. Tanım olarak sosyal eklentiler sosyal ağ kullanıcılarına hitap etmekte olup üye olmayanlara dair bir kullanım alanı sunmamakta, dolayısıyla da Kriter B sosyal ağa üye olmayanlara veya hesabından çıkış yapmış sosyal ağ üyeleri için geçerli olmamaktadır. Sosyal eklentiler üçüncü taraf çerezleri kullanmadan önce üye olmayanların ve sosyal ağ hesabından çıkmış olan üyelerin açık rızasını almalıdır.

Ancak, hesabına giriş yapmış pek çok kullanıcı üçüncü taraf internet sayfalarındaki sosyal eklentilere erişmeyi ve bunları kullanmayı bekler. Bu özel durumda, kullanıcı tarafından açıkça talep edilen bir işlevsellik için kesinlikle gerekli olan bir çerez söz konusu olup Kriter B uygulama alanı bulacaktır. Bu çerezler oturum çerezi olmak zorundadır (zira kalıcı kimlik doğrulama çerezleri yukarıda bahsi geçen kriterler kapsamına girmemektedirler) ve belli bir amaca hizmet ettikleri için kullanıcının sosyal ağ platformundan “log-out” olduğu veya (beni hatırla özelliğinin kullanılmadığı durum için) tarayıcıyı kapattığı durumlarda ömrü sonlanmalıdır.

Değerlendirme: Rıza Sorunu: Mevcut sosyal ağdan çıkmış/hesabını kapatmış kullanıcıların kişisel verilerini çerezlerle işlemeye devam edebilmek için hesabın kapanması itibariyle kullanıcıdan yeni bir izin alınması gerektiği belirtilmektedir. Hesabını kapatmış olan kullanıcıya kolaylıkla ulaşılamayacağı değerlendirilmekle birlikte halihazırda kullanıcının vermiş olduğu izni göz önünde bulundurursak, olan iznin geçerliliğine dair yeni bir izin alınması uygulanabilir görünmemektedir. Var olan iznin devam ettirilmesi gerektiği değerlendirilmektedir. Rehberin genel olarak açık rıza alımına dair ağır şartlar ortaya koyduğu görülmekte olup benzer veya yakın uygulamalara olanak sağlayacak ifadelerin kullanılması önerilebilir. Ayrıca periyodik olarak çerezlere verilen açık rızanın hatırlatılmasının son kullanıcıyı rahatsız edecek bir uygulama olacağı değerlendirilmektedir.

h. Açık Rıza Yönetim Platformu için Kullanılan Çerezler

İlgili kişilerin girdikleri internet sayfalarında kullanılan çerezlerden, açık rızaya tabi olanlar için alınması gereken açık rızalara dair tercihlerin belli bir süreyle hatırlanması için kullanılan çerezin de Kriter B kapsamında olduğu değerlendirilmekte olup ayrıca bir açık rıza gerektirmediği düşünülmektedir. Bu çerezin ömrünün, Kanun’un 4’üncü maddesinde yer alan genel ilkeler göz önünde bulundurularak belirlenmesi tavsiye edilmektedir.

Değerlendirme: İlgili kişilerin girdikleri internet sayfalarında kullanılan çerezlerden, açık rızaya tabi olanlar için alınması gereken açık rızalara dair tercihlerin belli bir süreyle hatırlanması ve ayrıca açık rıza gerektirmediği ifade edilmiştir. Kullanıcıda yorgunluk oluşmaması adına bu tercihlerin kullanıcı rızasını geri alana dek geçerli kalması gerektiği önerilmektedir.

i. Birinci Taraf Analitik Çerezler

Bir internet sitesini veya uygulamayı yönetmek için trafik ve/veya performans istatistiklerinin kullanılması, bu istatistiklerin üretilmesi sitenin veya uygulamanın düzgün çalışması ve dolayısıyla hizmetin sağlanması için gereklidir. Amacı sitenin veya uygulamanın hedef kitlesini ölçmekle sınırlı olan çerezler; performans ölçümü, navigasyon problemlerinin tespiti, teknik performansın optimizasyonu veya ergonomi, gerekli sunucuların gücünün tahmini gibi ihtiyaçları karşılaması, yani bir internet sitesinin veya uygulamanın işleyişi ve günlük yönetimi için kullanılmasının talep edilen hizmetle ilişkili olduğu göz önünde bulundurulduğunda birinci taraf analitiklerin Kriter B kapsamında değerlendirilebileceği düşünülmektedir.

Örneğin sık kullanılan bir teknik olarak IP bilgisinin maskelenmesi suretiyle kimlik belirleme riski azaltılmaktadır. Aynı şekilde bu çerezlerin yalnızca anonim istatistikler üretmek için kullanılması, kişilerin internet gezinmelerini farklı internet siteleri veya uygulamalar arasında çapraz takibi amacıyla kullanılmaması gerekmektedir. Kişilerin internet gezinmelerinin farklı internet siteleri veya uygulamalar arasında çapraz takibi amacıyla kullanılmasının, Kanun’un 4’üncü maddesinin birinci fıkrasında yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmayacağı değerlendirilmektedir.

Çerezin ömrünün makul olması ve toplanan verilerin üçüncü taraflara iletilmemesi veri sorumluları tarafından alınacak tedbirler arasında sayılabilir.

j. İnternet Sitesinin Güvenliği için Kullanılan Çerezler

İnternet sitesinin güvenlik zafiyeti nedeniyle hizmet verememesi, hizmet dışı bırakılması, kullanıcının talep ettiği hizmete erişememesine neden olacağından, internet sitesinin güvenliği için kullanılan çerezlerin de kullanıcının talep ettiği hizmet için kesinlikle gerekli olduğu değerlendirilmektedir.

Örneğin bir web uygulaması güvenlik duvarı tarafından kullanıcının tanımlanarak oturum başına kullanıcı talep sayısının sınırlanması amacıyla kullanılan bir çerezin, sitenin güvenliği ve kullanıcının hizmete erişilebilirliğinin sağlanması ve dolayısıyla da Kriter B kapsamında kullanıcı tarafından talep edilen bir hizmet için kesinlikle gerekli olduğu değerlendirilebilecektir. Bu amaca hizmet eden çerez kullanımı için veri sorumlusu, açık rıza dışındaki diğer işleme şartları dâhilinde örneğin “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına gidilebilecektir.

5. AÇIK RIZA GEREKTİREN ÇEREZ KULLANIM SENARYOLAR

a. Sosyal Eklenti Takip Çerezleri

Birçok sosyal ağ, üyeleri tarafından “açıkça talep edildiği” kabul edilebilecek bazı hizmetleri sağlamak için, internet sitesi sahiplerinin internet sitelerine entegre edebilecekleri sosyal eklenti modülleri sunmaktadır. Ancak bu modüller davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılabilmektedir.

Bu tür amaçlar doğrultusunda, bu çerezlerin kullanıcı tarafından açıkça talep edilen bir işlevselliği sağlamak için “kesinlikle gerekli” olduğu kabul edilemeyeceğinden, bu tür takip çerezleri Kriter B kapsamına girmemektedirler. Açık rıza olmaksızın sosyal ağların, kendi ağlarına üye olmayanlar hakkında sosyal eklentiler aracılığıyla veri toplaması için herhangi bir yasal dayanağın bulunması olası değildir. Varsayılan olarak sosyal eklentiler, üye olmayanlara gösterilen sayfalara üçüncü taraf çerez yerleştirmemelidir.

b. Çevrimiçi Davranışsal Reklamcılık Çerezleri

Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmektedir. Bu durumda açık rıza gerekliliği; doğal olarak gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dâhil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsar; zira bu amaçlardan hiçbirinin, Kriter B’nin gerektirdiği şekilde, kullanıcı tarafından açıkça talep edilen bilgi toplumu hizmetleri kapsamında bir hizmet ya da işlevsellikle ilgili olmadığı açıktır.

6. HUKUKA UYGUN ŞEKİLDE AÇIK RIZA ALINMASI

Açık rızanın, ilgili kişilerin neye onay vermelerinin istendiği hususunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemle elde edilmesi gerekmektedir. Kullanıcının herhangi bir aktif eylemine dayanmayan rızaların, açık rıza olarak kabul edilemeyeceği de belirtilmelidir. Bu yüzden de, sadece internet sitesine girilmiş olması söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmemektedir.

Açık rızanın alınması hususunda “belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür irade” unsurlarının varlığı önem teşkil etmektedir. Bu kapsamda Kanun’da yer alan açık rızanın unsurlarının yanı sıra çerezlerin yerleştirilmesinden önce uygun hukuki sebeplerden biri olan açık rıza alınması gerektiğine dikkat edilmelidir.

a. Belirli Konuya İlişkin Olması

Çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının belirtilmesinin gerekli olduğu düşünülmektedir. İlgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez.

b. Bilgilendirmeye Dayanması

“Uygun Aydınlatmanın Yapılması” başlığı altında ayrıntılı olarak ele alınmıştır.

c. Özgür İradeyle Açıklanması

İlgili kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği göz önünde bulundurulduğunda, çerezler bakımından da verilen açık rızanın geri alınabilir olması gerekmektedir. Bu açıdan, çerez yönetim panel veya açık rıza alınan araca erişebilirliğin sağlanması gerekmekte olup açık rızanın rahatça geri alınabilmesi için rıza yönetim platformunun bir ikona ya da içeriği engellemeyecek kadar küçük bir banda dönüştürülerek internet sayfasının küçük bir köşesinde bulunması iyi bir örnek olarak değerlendirilebilir. Bununla birlikte, rızanın çok sık aralıklarla alınmasının “rıza yorgunluğu”na yol açabileceği ve bu sebeple ilgili kişinin özgür iradesini sakatlayabileceği göz önünde bulundurularak ilgili kişinin her siteye girişinde açık rıza alınması yoluna gidilmemesi, ancak açık rıza tercihinin periyodik olarak hatırlatılmasının (söz konusu çerezin ömrü ile orantılı olacak şekilde) uygun olduğu değerlendirilmektedir. Söz konusu çerezlerin ömürlerinin belirlenmesinde Kanun’un genel ilkeler başlıklı 4’üncü maddesinde belirtilen temel ilkelerin göz önünde bulundurulması gerekmektedir.

Öte yandan, çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulması iyi uygulama örneği olabilecektir.

Kanun’un 10’uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu çerez yönetim paneline, çerezler yoluyla kişisel veri işlenmesine dair bir açıklama veya gerekirse bir link konulması doğru bir uygulama örneği teşkil edecektir.

Bu kapsamda, açık rıza ile işlenmesi gereken çerezlerin yönetim panelinde ilk elde pasif biçimde gelmesi önem arz etmektedir. Çevrim içi reklamcılık çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisine iliştirme (bundled) yöntemiyle açık rıza alınmasının mümkün olmayacağına da dikkat etmek gerekmektedir. Zira sözleşme kapsamında verilen temel hizmetin yerine getirilebilmesiyle doğrudan ilgisi olmayan kişisel verilerin işlenmesinde sözleşmeye dayanılması ilgili kişilerin yanıltılması anlamına gelecektir. Dolayısıyla çevrim içi reklamcılık çerezlerinde açık rıza hususu “Kullanım Koşulları ve Sözleşmesi” ya da “Gizlilik Bildirimi” gibi dokümanlara iliştirilemeyecek olup veri sorumlularının ilgili kişiye karşı dürüst olması gerekmektedir. Ayrıca çerez yoluyla kişisel veri işlemesinde açık rıza istenmesi durumu, ilgili kişiye sözleşmenin kurulması veya ifasının ön koşulu olarak dayatılamayacaktır.

Değerlendirme: Rızanın çok sık alınmasının rıza yorgunluğuna yol açabileceği ifade edilmiş bunun yerine alınan rızanın periyodik olarak alınması gerektiği ve bu periyodun 6698 s. Kanun’un “İlkeler” başlıklı 4 üncü maddesindeki ilkeler kapsamında belirlenmesi gerektiği ifade edilmiştir. Bu periyodik hatırlatmanın da rıza yorgunluğuna dönüşmesi oldukça mümkündür. Bu nedenle rızanın bir kez verilmesi halinde geri alınana dek geçerli kabul edilmesi önerilmektedir.

d. Çerez Duvarları

Çerez duvarları bir ziyaretçinin internet sitesinde yer alan tüm çerezlerin kullanılmasına onay vermedikçe internet sitesinin içeriğini görüntülemesini engelleyen uygulamalardır. Açık rızanın özgür bir biçimde verilebilmesi kapsamında çerez duvarlarının ilgili kişinin rızasını ortaya koyarken gerçek bir seçim yapmasını engellemesi söz konusu olabilir.

Zira siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesi hususu hizmetin ön koşulu olarak ilgili kişiye dayatıldığı durumlarda çerez duvarının ilgili kişinin özgür iradesini sakatlaması söz konusu olabilecek ve bu durumda alınan açık rıza, geçerli bir açık rıza olmayacaktır. Bununla birlikte, her olay özelinde değerlendirme yapılması kaydıyla, ilgili kişilerin bir hizmeti elde edebilmeleri için çerez duvarı dışında belirli adil birtakım alternatifler sunulması söz konusu olabilecektir.

e. Tarafların Sorumluluğu

Ayrıca, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda, hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür.

Uygulamada, kullanıcıyla bağlantı kurulması noktasında daha az doğrudan kontrol sahibi olan bir üçüncü tarafın bunu başarmasının daha zor olduğu açıktır. Kullanıcıların endişe veya şikâyetleri için tespit edebildikleri veya ilişkide bulundukları kişi olan internet sitesini işleten şirkete başvurmalarının daha muhtemel olduğunu göz önünde bulundurmak gerekmektedir. Bu nedenle birlikte çalışmanın her iki tarafın da menfaatine olacağı değerlendirilmektedir. Çerez yerleştirmek isteyen üçüncü taraflar veya çerezlerin kullanılmasını gerektiren bir ürün sağlamak isteyenler, internet sitesi yayımcıları ile aralarındaki sözleşmeye bu konuda hüküm ekleyebilirler. Bu durum, üçüncü taraf çerezler hakkında aydınlatma yapmak ve rıza almak için uygun tedbirlerin alınacağına dair bir güvence sağlayabilir.

7. UYGUN AYDINLATMANIN YAPILMASI

Aydınlatma yükümlülüğünün yerine getirilmesinde Kanun’un 10’uncu maddesi ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in (Tebliğ) hükümlerine uygun hareket edilmesi gerekmektedir. Buna göre; hangi hukuka uygunluk sebebine dayanıldığından bağımsız olarak, kişisel verilerin elde edildiği her durumda, en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna aittir.

Ayrıca aynı Tebliğ’in 5(f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır. Yine aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi bulunan Gizlilik Bildirimlerinin sunulması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır.

Ayrıca bir internet sitesini ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmadığı düşünüldüğünde, yalnızca siteye girmiş olması ile kişisel verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Bu durumda site ziyareti ile birlikte kişisel veri işlenmeye başlanması için aydınlatmanın, kişisel veri işleme şartından bağımsız olarak internet sitesine giriş aşamasında yapılması gerekmekte olup internet sitesine girişte kişisel verilerin işlendiğine dair bir bilgilendirmenin sunulmadığı (ör. pop- up mesajlar) durumlarda aydınlatma yükümlülüğüne aykırılık gündeme gelecektir. Ayrıca aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesi tavsiye olunur.

Değerlendirme: Rehbere göre; çerezler ile veri işleme faaliyetine ilişkin olarak ilgili kişiye yapılacak olan bilgilendirme, ilgili kişinin web sitesini ziyaret ettiği anda yapılmalıdır. Böylece aydınlatma yükümlülüğü, en geç kişisel verilerin işlenmesi sırasında yerine getirilmiş olur. Bu noktada ilgili kişi web sitesine her girişinde ilgili bilgilendirmeye (pop up) maruz kalacağından bir süre sonra kullanıcıda körlük oluşabilecektir. Kullanıcı deneyimi açısından pek çok zorluğu beraberinde getirecek bu uygulamanın yalnızca web sitesine ilk girişte kullanıcının önüne çıkarılması önerilmekte olup ilgili web sitesi sahiplerinin birçoğunun hali hazırda Çerez Politikalarının web sitelerinde konumlandırıldığı bilinmektedir.

8. BİR ŞİRKET HAKKINDAKİ BAŞVURU İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/02/2020 TARİH VE 2020/173 SAYILI KARARININ ÇEREZLER AÇISINDAN DEĞERLENDİRİLMESİ

- Aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi veren Gizlilik Bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır.

- Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir.

- Çerez yoluyla kişisel veri işlenmesine ilişkin olarak; bir sözleşmenin kurulması veya ifası kapsamında açık rıza alınması, ilgili kişiye sözleşmenin ön koşulu olarak dayatılamayacaktır.

- İlgili kişilerden açık rıza alınması yoluyla elde edilen kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olarak veren bir mekanizma kurulmalıdır.

- Kişisel verilerin -en geç- elde edilmesi sırasında yani internet sitesine girildiği anda aydınlatmanın yapılmış olması gerekmektedir. Aydınlatma henüz veri işlenmediği ya da en geç veri işlendiği esnada yapılmalıdır.

- Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmemektedir.

- Kararda, çerezler yoluyla kişisel verilerin işlenmesi için açık rıza dışında bir hukuki sebebe de dayanılabileceği değerlendirilmektedir.

ÇEREZ KULLANIMINA İLİŞKİN KONTROL LİSTESİ (Veri sorumluları için)[5]

1. Çerezleri Anlamak

Çerezlerin ne olduğunu ve ne için kullanılabileceğini anlıyoruz.

Oturum çerezleri ve kalıcı çerezler arasındaki farkı biliyoruz.

Birinci taraf ve üçüncü taraf çerezleri arasındaki farkı biliyoruz.

2. Çerez Kullanımını Denetlemek

Çevrimiçi hizmetimizin hangi çerezleri kullandığını veya kullanmayı amaçladığını hâlihazırda biliyoruz.

İhtiyacımız olmayan tüm çerezleri kaldırdık.

Her bir çerezin amaçlarını tespit ettik.

Her bir çerezin hangi verileri işlediğini, kullanıcılarımız hakkında tuttuğumuz diğer bilgilerle bağlantılı olsun olmasın ya da kişisel veri işlemeyi içersin içermesin, tespit ettik

Kişisel verilerin yer aldığı durumlarda, bu verilerin Kanunla uyumlu şekilde işlenmesini sağladık.

Çerezlerimizin oturum çerezleri mi yoksa kalıcı çerezler mi olduklarını tespit ettik.

Çerezlerimizin birinci taraf mı yoksa üçüncü taraf çerezler mi olduğunu tespit ettik.

Çerezlerimizin sona erme sürelerini ve bu sürelerin Kanun’a uygun olduğunu tespit ettik.

Kesinlikle gerekli olan ve olmayan çerezleri tespit ettik.

3. Çerezler Hakkında Aydınlatma

Kullandığımız çerezlerle ilgili olarak net ve kolay bir şekilde anlaşılacak aydınlatmayı sağladık.

Aydınlatmanın kapsamlı olmasını ve kullandığımız ve kişisel veri işleyen tüm çerezleri kapsamasını sağladık.

4. Çerezler için Açık Rıza

Çevrimiçi hizmetlerimizin kullanıcılarının, kesinlikle gerekli olmayan tüm çerezlerin ayarlarını kontrol etmelerine izin veren bir açık rıza mekanizmasını uygulamaya koyduk.

Açık rıza mekanizmalarımızın Kanun’a uygun olmasını sağladık.

Herhangi bir çerez açık rıza kaydını uygun bir süre için saklamaktayız.

5. Çerez Kullanımımızı Belgelemek ve Gözden Geçirmek

Yukarıdakilerin hepsini belgeledik.

Uygun bir gözden geçirme periyodu belirledik.

ÇEREZLERE İLİŞKİN ÖRNEK AYDINLATMA METNİ

Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla AAA Şirketi tarafından hazırlanmıştır.

Bu Çerez Aydınlatma Metni’nin amacı, internet sitemizde kullanılan çerezlerin cihazınıza yerleştirilmesi aracılığıyla otomatik yolla elde edilen kişisel verilerin işlenmesine ilişkin olarak, hangi amaçlarla hangi tür çerezleri kullandığımızı ve bu çerezleri nasıl yönetebileceğiniz hakkında sizlere bilgi vermektir.

İnternet sitemizde kullandığımız, zorunlu çerezler haricindeki çerezler için, kullanıcıların açık rızaları alınmakta ve istedikleri zaman rızalarını değiştirebilme olanağı sağlanmaktadır. Kullanıcılar çerez yönetim paneli üzerinden, internet sitemizde kullanılan çerez çeşitlerini görebilmekte ve Zorunlu Çerezler dışında kalan tüm çerezler için “açık” veya “kapalı” seçenekleri ile tercihlerini belirleyebilmektedirler. Yine bu panel üzerinden kullanıcılar tercihlerini her zaman değiştirebilmektedirler.

Çerez Çeşitleri

Kullanım süresine göre çerez çeşitleri: İnternet sitemizde kullanım sürelerine göre oturum çerezleri ve kalıcı çerezler kullanmaktadır. Oturum çerezi, oturumun sürekliliğinin sağlanması amacıyla kullanılmakta olup kullanıcı tarayıcısını kapattığında bu çerezler de silinmektedir. Kalıcı çerez ise internet tarayıcısı kapatıldığı zaman silinmemekte ve belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir.

Birinci Taraf ve Üçüncü Taraf Çerezler: Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sitesinin ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sitesi yani tarayıcının adres çubuğunda gösterilen URL (ornek.com.tr) tarafından yerleştirilmektedir. Üçüncü taraf çerezlerse kullanıcının ziyaret ettiği etki alanından farklı bir etki alanı tarafından yerleştirilmektedir.

Kullanım amaçlarına göre çerez çeşitleri: İnternet sitemizde kullanım amacına göre aşağıdaki çerezler kullanılmaktadır:

1) Zorunlu Çerezler:

Bu çerezler internet sitemizin çalışması amacıyla gerekli olan çerezlerdir. Söz konusu çerezler birinci taraf çerezler olup oturum süresince (gizlilik tercihlerinize dair çerezler hariç olmak üzere, zira bu çerezler oturum süresinden daha uzun ömürlüdür) kişisel veri işlemekte, oturum sonlandığında otomatikman silinmektedirler. Söz konusu çerezler talep etmiş olduğunuz bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatırlanması) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Ayrıca performans ve analitik amaçlı çerez internet sitemizdeki ziyaretçilerin sayılması ve trafiğin ölçülmesine olanak sağlamaktadır ve birinci taraftır. Bu sayede sitemizin performansını ölçmekte ve iyileştirebilmekteyiz. Bu çerezler internet sitemizdeki hangi sayfaların en popüler olduğu, hangilerinin de en az popüler olduğunu anlamamıza yardımcı olmaktadır.

2) Reklam/Pazarlama Çerezleri:

Bu çerezler internet sitemiz aracılığıyla reklam ortaklarımızın yerleştirdikleri çerezler olup üçüncü taraf çerezlerdir. Bu çerezler iş ortaklarımız tarafından ilgi alanlarınıza göre profilinizin çıkarılması ve size ilgili reklamlar göstermek üzere kullanılmaktadır.

3) İşlevsel Çerezler:

Bu tür çerezler, internet sitemizi daha işlevsel kılmak ve kişiselleştirmek (gizlilik tercihleriniz hariç olmak üzere diğer tercihlerinizin siteye tekrar girdiğinizde hatırlanmasını sağlamak) üzere kullanılmaktadır.

Değerlendirme: Rehberde düzenlenen örnek çerez aydınlatma metni dokümanına, performans/istatistik çerezleri ile sosyal medya çerezlerine ilişkinde açıklama getirilmesini öneririz.

Kişisel Verilerin Hangi Amaçlarla İşleneceği ve Hukuki Sebepler

Zorunlu çerezler, talep etmiş olduğunuz bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatırlanması, internet sitemizdeki ziyaretçilerin sayılması ve trafiğin ölçülmesi) yerine getirilebilmesi amacıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel verileriniz, Kanunun 5(2)(c) bendi “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veya (f) bendi “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında işlenmektedir.

Reklam ve Pazarlama çerezleri, iş ortaklarımız tarafından ilgi alanlarınıza göre profilinizin çıkarılması ve size ilgili reklamlar göstermek amacıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel verileriniz, Kanun’un 5(1) numaralı fıkrası kapsamında açık rızanızın alınması suretiyle işlenmektedir.

İşlevsel çerezler, internet sayfamızı daha işlevsel kılmak ve kişiselleştirmek (gizlilik tercihleriniz hariç olmak üzere diğer tercihlerinizin siteye tekrar girdiğinizde hatırlanmasını sağlamak) amaçlarıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel verileriniz, Kanun’un 5(1) numaralı fıkrası kapsamında açık rızanızın alınması suretiyle işlenmektedir. İnternet sitemizde yer alan çerezlere ilişkin bilgiler aşağıdaki tabloda yer almaktadır:

İlgili Kişilerin Talepleri

İnternet sitemizde kullanılan çerezler yoluyla kişisel verileri işlenen ilgili kişiler, Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesi kapsamındaki taleplerini, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği”ne göre Avcılar Mahallesi Yasemin Sokak No:47/2 Pendik/İSTANBUL adresine yazılı olarak veya e-postasının sistemimizde kayıtlı bulunması halinde söz konusu e-posta üzerinden İ[email protected] e-posta adresine iletebilmektedir.

Tarayıcı Ayarlarından Çerez Ayarları

İnternet sitemizde yer alan ikona tıklayarak istediğiniz anda çerezlere ilişkin tercihlerinizi değiştirebilirsiniz. Çerez yönetim panelindeki butonları tercihinize göre açık veya kapalı konuma getirerek “Ayarları kaydet” butonuna tıklayınız. Ayarlarınızı etkin hâle getirmek için sayfayı yenileyiniz.

Bunun yanı sıra, tarayıcı ayarları aracılığıyla da kısmen kontrol sağlanabilmektedir. Sık kullanılan tarayıcılarda çerezlerin yönetimine ilişkin bilgilere aşağıdaki bağlantılar aracılığıyla erişebilirsiniz:

-Google Chrome

(https://support.google.com/accounts/answer/61416?co=GENIE.Platform%3DDesktop&hl=en )

- Mozilla Firefox

(https://support.mozilla.org/en-US/kb/enhanced-trackingprotection-firefox-desktop?redirectslug=enable-and-disable-cookies-websitepreferences&redirectlocale=en-US)

- Microsoft Internet Explorer (https://support.microsoft.com/en-gb/windows/deleteand-manage-cookies-168dab11-0753-043d-7c16-ede5947fc64d)

- Safari (https://help.apple.com/safari/mac/9.0/#/sfri40732)

- Opera (https://help.opera.com/en/latest/web-preferences/)

İYİ UYGULAMA ÖRNEĞİ OLARAK İNTERNET SİTESİNDE BANT KULLANIMI

İYİ UYGULAMA ÖRNEĞİ OLARAK İNTERNET SİTESİNDE RIZA YÖNETİM PLATFORMU

ÇEREZLERE DAİR KÖTÜ ÖRNEKLER

İlgili kişilere ilk aşamada tercih imkânı sunulurken “Kabul ediyorum”, “Reddediyorum” butonlarının her ikisi de yer almalı, ayrıca eşit büyüklük, aynı renk gibi kişinin özgür iradesini etkilemeyecek şekilde sunulması tavsiye edilir. Birbirinden farklı amaçlarla açık rıza talep edildiğinden, ilgili kişilere ayrı rıza verebilecekleri “Tercihleri Yapılandır” butonunun da yer alması önerilir.


--------------

[1] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/1336263f-22bb-4da3-a1b9-aabc0e0e8bff.pdf

[2] Taslak Rehber Hakkında Görüş Bildirim Formu: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/1336263f-22bb-4da3-a1b9-aabc0e0e8bff.pdf

[3] https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5809.pdf

[4] https://kvkk.gov.tr/Icerik/6739/2020-173

[5] Kontrol listesi için ICO’nun veri sorumluları için hazırlamış olduğu Checklist’inden yararlanılmıştır.