KVKK BAĞLAMINDA ÇEREZLER VE AÇIK RIZA İLİŞKİSİNE
DAİR BİR DEĞERLENDİRME
Günümüzde internet kullanımı hızla artmış ve dijital ortamlarda kişisel verilerin toplanması, işlenmesi ve saklanması olağan hale gelmiştir. İnternet üzerinde dolaşırken veya çevrimiçi hizmetler kullanırken, çoğu kullanıcı tarafından belki de fark edilmeyen birçok veri toplama yöntemi mevcuttur. Bu yöntemlerden biri de çerezlerdir. Ancak, çerezlerin kişisel verilerin korunması açısından önemli bir rol oynadığı ve çerezlere ilişkin kişisel veri işleme şartı bakımından kullanıcıların (kanunun deyimiyle ilgili kişilerin) açık rızasının bulunması gereken haller olabilir.
1. Çerez (Cookies) Nedir?
Çerezler, internet tarayıcıları tarafından kullanıcı cihazlarına yerleştirilen küçük metin dosyalarıdır. Çerezler, ziyaret edilen web siteleri tarafından tarayıcıya gönderilir ve cihazda saklanır. Bu dosyalar, bir sonraki ziyarette web sitesinin tanınmasına ve daha iyi kullanıcı deneyimi sunulmasına olanak tanır. Çerezler sürelerine göre, kullanım amaçlarına göre ve taraflarına göre farklı çeşitlere ayrılır ki, çerezler ve açık rıza ilişkisi de internet sitelerinde ve/veya mobil uygulamalarda kullanılan çerezin niteliğine göre ortaya çıkar.
2. Çerezler ve Kişisel Veriler
Çerezlerin kişisel verilerle ilişkilendirilmesi, çoğu zaman kullanıcının tarayıcı geçmişi, IP adresi, cihaz kimlik bilgileri gibi verilerin toplanması ve saklanması ile ilgilidir. Bu tür veriler, kullanıcının çevrimiçi davranışlarını izlemek, kullanıcıları tanımak ve hedefli reklamcılık gibi amaçlar için kullanılabilir. Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) gibi düzenlemeler, (şayet mevzuatta belirtilen somut olaya özgü kişisel veri işleme şartı veya şartları bulunmuyorsa) bu kişisel verilerin toplanması ve işlenmesi için açık rıza uygulamasının gerekliliğini vurgular. Açık rıza ise aydınlatmaya dayalı olarak kullanıcının bilgilendirilmiş bir şekilde onay vermesini gerektirir.
3. Çerezler ve Açık Rıza Arasındaki İlişki
3.1 Genel Olarak
Yukarıda ifade ettiğimiz üzere, çerezlerin kişisel verilerle ilişkilendirilmesi nedeniyle, kullanıcıların bu çerezlerin kullanımına ilişkin (KVKK 5 veya 6. madde bağlamında kişisel veri işleme şartı bulunmuyorsa) açık rıza vermesi gerekmektedir. Bu, kullanıcının bilgilendirilmiş bir şekilde çerezlerin ne amaçla kullanılacağını, hangi verilerin toplanacağını ve bu verilerin ne kadar süreyle saklanacağını anlamasını sağlar. İnternet siteleri, kullanıcılardan çerez kullanımına ilişkin açık rıza almak için çeşitli yöntemler kullanabilir. Bunlar arasında çerez politikalarıyla bilgilendirme, çerez onay penceresi (pop-up, banner, vb.) veya izin vermeyi reddetme seçeneği gibi yöntemler bulunabilir. Kullanıcılar, çerezlerin kullanımına ilişkin açık rızalarını verme veya reddetme hakkına sahiptirler.
3.2 Açık Rıza Gerektirmeyen Çerezler
Yukarıda çerezlerin sürelerine göre, kullanım amaçlarına göre ve taraflarına göre farklı kategorilere ayrıldığını ve bu kategorilerin kişisel verilerin işlenmesi bağlamında çerezler ve açık rıza arasındaki ilişkiyi belirlediğine değinmiştik. Bu bağlamda açık rıza gerektirmeyen çerezler genellikle “zorunlu çerezler” veya “temel çerezler” olarak adlandırılır. Bu çerezler, web sitesinin temel işlevselliğini sağlamak için gereklidir ve kullanıcıların rızası olmadan kullanılabilir.
Şöyle ki; zorunlu çerezler, ilgili kişi tarafından talep edilen bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatırlanması, internet sitesindeki ziyaretçilerin sayılması ve trafiğin ölçülmesi) yerine getirilebilmesi amacıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel veriler, KVKK’nın 5’inci maddesinin (2) numaralı fıkrasının (c) bendi “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” kapsamında işlenebilir. Keza internet sitesinin güvenliği için kullanılan çerezleri de bu kapsamda sayabiliriz. Bu amaca hizmet eden çerez kullanımı için veri sorumlusu, açık rıza dışındaki diğer işleme şartları dâhilinde örneğin “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına gidilebilecektir.
Açık rıza gerektirmeyen çerezler genellikle kullanıcının internet sitesini etkili bir şekilde kullanabilmesi için gerekli olan çerezlerdir. Ancak, diğer tür çerezler, özellikle pazarlama veya reklam amaçları için kullanılacaksa, kullanıcının açık rızasını almak yasal bir gerekliliktir.
3.3 Açık Rıza Gerektiren Çerezler
3.3.1 Reklam/ Pazarlama Çerezleri: Bu tür çerezler, kullanıcının çevrimiçi davranışlarını izleyerek kişiselleştirilmiş reklamlar sunmak için kullanılır. Örneğin, kullanıcının ilgi alanlarına veya geçmiş gezinme alışkanlıklarına dayalı reklamlar hedeflenir.
3.3.2 Üçüncü Taraf Çerezleri: Üçüncü taraf çerezleri, web sitesi tarafından değil, üçüncü taraf reklam ağları veya analitik sağlayıcılar tarafından yerleştirilen çerezlerdir. Bu çerezler, kullanıcıların çevrimiçi davranışlarını takip edebilir ve kullanıcı profilleri oluşturabilir.
3.3.3 Sosyal Medya Paylaşım Çerezleri: Web sitesi üzerinden içeriklerin sosyal medya platformlarında paylaşılmasını sağlayan çerezlerdir.
3.3.4 Analitik Çerezler: Analitik çerezler, web sitesinin performansını ve kullanıcı etkileşimini ölçmek için kullanılır. Bu tür çerezler, ziyaretçilerin tarama davranışlarının analiz edilmesi suretiyle istatistiki ölçüm amacıyla kullanılır.
3.3.5 İşlevsel Çerezler (Functional Cookies): İşlevsel çerezler, web sitesinin kullanıcı tercihlerini hatırlamasını ve belirli işlevleri etkinleştirmesini sağlar. Örneğin, oturum açma bilgilerini veya dil tercihlerini saklayabilirler. Bu tür çerezlerin genellikle açık rızayı gerektirmeyeceği gibi bir yanılgı olsa da, ilgili kişinin bir bilgi toplum hizmetini açıkça talep ettiğinin aşikâr olmadığı durumlarda açık rızaya dayanılması gerekecektir. Diğer bir ifade ile kullanıcıların bu çerezleri devre dışı bırakma seçeneği sunulmalı ve bu çerezler varsayılan (default) ayar şeklinde “kabul edilmiş” olarak ayarlanmamalıdır.
4. Çerezlere İlişkin Açık Rızanın Alınış Şekli ve Legal Design
4.1 Genel Olarak
Kişisel Verileri Koruma Kurulu’nun gerek kararlarında gerekse de yayınladığı tebliğlerde açık rızanın alınması hususunda “belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür irade” unsurlarının varlığı üzerinde durulmaktadır. Bununla birlikte aydınlatma ve açık rızanın ayrı ayrı yapılması gerekliliği “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” düzenlemesinde belirtilmiştir.
Bu doğrultuda; bir internet sitesini ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağı belirli değildir. Dolayısıyla aydınlatmanın internet sitesine giriş aşamasında yapılması gerekir, bu bağlamda internet sitesine girişte kişisel verilerin işlendiğine dair bir bilgilendirmenin sunulması (pop- up mesajlar, banner, vb.) gerekir. Aydınlatma metninde hangi tür çerezlerin kullanıldığı, bu çerezlerin hangi amaçla ve hangi hukuki sebebe bağlı olarak işleneceği ile çerezlerin birinci ve üçüncü taraf olmadığı ile saklama süreleri belirtilmelidir. Bununla birlikte söz konusu aydınlatmanın Gizlilik Bildirimi, Gizlilik Politikası, İnternet Sitesi Aydınlatma Metni, Üyelik Sözleşmesi, Kişisel Veri İşleme ve Saklama Politikası, vb. metinler içerisinde yapılması yürürlükteki mevzuata aykırılık teşkil edecektir.
4.2 Çerezlere İlişkin Açık Rızanın Alınmasında Legal Design
Açık rızanın alınmasında yukarıda bahsettiğimiz genel kurallara dikkat edilmesi gerekmekle birlikte, çerezlere ilişkin rızanın alınış şekli açısından “legal design” kapsamında kullanıcı dostu olacak şekilde anlaşılır ve yalın ifadelerle açık rızanın alınması, ilgili kişi tarafından verilen bu açık rızanın tekrar geri alınması imkânı verilmelidir. Bu doğrultuda;
4.2.1 Çerez Onay Penceresi: Kullanıcılar internet sitesini ziyaret ettiklerinde, çerez kullanımına ilişkin bir onay penceresi veya bildirim görmelidir. Bu pencere, kullanıcılara çerezlerin kullanımını kabul etme veya reddetme seçeneği sunmalıdır. Zorunlu çerezler haricinde yukarıda belirttiğimiz diğer çerezleri devre dışı bırakma seçeneği sunulmalı ve bu çerezler varsayılan (default) ayar şeklinde “kabul edilmiş” olarak ayarlanmamalıdır. Bunun yanında özellikle kabul ve ret seçeneklerindeki renklendirmeler ilgili kişiyi yanıltıcı şekilde tasarlanmamalıdır. (Örneğin “kabul” seçeneğinin büyük puntolarla ve yeşil olarak kullanıcıyı özellikle onay vermesine yönlendiren yönelik tasarımlar gibi.) Ayrıca kullanıcıların daha fazla ayrıntıya ulaşmak için çerez politikasına yönlendirilmeleri gerekmektedir.
4.2.2 Çerez Politikası: İnternet sitesi, ayrıntılı bir çerez politikası sunmalıdır. Bu politika, çerezlerin kullanım amaçlarını, çerez türlerini ve sürelerini, veri işleme amaçlarını ve diğer önemli bilgileri içermelidir. Kullanıcılar bu politikaya kolayca erişebilmelidir
4.2.3 Ayarlanabilirlik: Legal design kapsamında kullanıcılara (zorunlu çerezler dışında) çerez tercihlerini özelleştirme olanağı sunmalıdır. Kullanıcılar, hangi çerez türlerini kabul edeceklerini veya reddedeceklerini ayrı ayrı seçebilmelidirler.
4.2.4 Açık Rıza: Yukarıda da ifade ettiğimiz üzere, kullanıcılar, çerez kullanımına ilişkin açık rızalarını vermeden önce bilgilendirilmelidirler. Açık rıza almak, kullanıcıların çerezlerin kullanımına özgür iradeleriyle onay vermesini gerektirir.