Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Ocak 2022 Sevgi Ünsal Özden
% 0

Giriş

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının dengesini çarpıcı şekilde değiştirmiş ve başta şirketler arası rekabet olmak üzere küresel ekonomi üzerinde kritik etkileri olmuştur.

Birçok veri toplama metodu olsa da internet çerezleri veriyi elde etmede dikkat çeken metotlardan biridir ve temel olarak kullanıcıların internet deneyimini daha kolay hale getirmeyi amaçlar. Amaç ve faydaları göz önüne alındığında, çerezler hem web sunucuları/web siteleri hem de kullanıcılar için faydalı, pratik ve gereklidir. Çerezler doğası gereği kişisel veri niteliği taşımasa da bunların kullanımı sonucu elde edilen veri kişisel veri olarak nitelendirilebilir. Veri odaklı şirketlerin yükselişi ile birlikte elde edilen verinin ve içerdiği kişisel verinin hacmi dikkate alındığında, çerez kullanımı veri güvenliği ve gizliliği hakkında ciddi endişeler doğurmaktadır. Özellikle son dönemde Türkiye dahil dünyanın dört bir yanından veri koruma otoritelerinin internet çerezlerinin kullanımına ilişkin kural ve ilkeleri belirlediği, düzenlemeler yaptığı, kılavuzlar yayınladığı ve hatta bazı şirketlere cezalar yüklediği görülmektedir.

Bu makalede internet çerezleri, bunların kullanımı ve amaçları, veri koruma ve yasama otoritelerinin uygulaması ve bu kapsamdaki güncel gelişmeler kısaca incelenecektir.

Çerez Nedir?

Çerez (HTTP[1] çerezleri, web çerezleri, internet çerezleri veya tarayıcı çerezleri) kullanıcı internet sitesinde gezinirken bir web sunucusu tarafından yaratılan küçük veri blokları olarak tanımlanabilir. Çerezler kullanıcıların bilgisayarlarına veya akıllı telefon ve tablet gibi diğer herhangi bir cihazına yerleştirilebilir. Kullanıcı bir web sitesini ziyaret ederken bu kullanıcının web tarayıcısı (örneğin Google Chrome, Mozilla Firefox veya Microsoft Edge) kullanıcının erişim talebini sunucuya iletir. Sunucu ise kullanıcının erişim talebi üzerine talep edilen veriyi ve kullanıcı bilgisini web tarayıcısına aktarır. HTTP iletişiminde çerezler vasıtasıyla kullanıcının geçmiş ziyaretler sırasındaki eylemleri, bilgileri ve tercihleri ​​sunucu tarafından tanınabilir; kullanıcının bazı bilgileri, aynı web tarayıcısı ile ziyaret edilen diğer web sitelerindeki eylemleri ve bilgileri ile birleştirilerek güncel olarak saklanabilir.[2]

Çerezler, web sunucularının giriş ve/veya ödeme detaylarını otomatik olarak göstermesine, form alanlarının otomatik doldurulmasına, çevrimiçi alışveriş sepetinde bulunan ögelerin tutulmasına, daha önceden görüntülenmiş içeriğin tekrar yüklenmesine vs. olanak tanıyarak özel kullanıcıları tanımlamak ve bu kullanıcıların web’te gezinme deneyimini iyileştirmek için yaygın olarak kullanılır. Aynı zamanda internet sitesinin kullanıcıların geçmiş tercihlerine özgü reklamlar göstermesine sağlar.

Çerezlerin özellikleri dikkate alındığında, internet çerezleri temel olarak sayı ve harf kombinasyonları içeren metin dosyaları olduğundan kendi başlarına kişisel veri olarak değerlendirilemezler. Yine de çerezler diğer bilgiler ile birleştiğinde kişiyi tanımlanabilir hale getirebilirler.[3] Örneğin, kullanıcıların IP adreslerini toplayan ve işleyen ve bir internet sayfasındaki kayıt veya satış formuna girilen isim ve e-posta adresi gibi bilgileri toplayan çerezler kişisel veri olarak kabul edilmelidir.[4]

Çerez Türleri

Çerez türleri (i) kaynakları, (ii) saklama süreleri, (iii) kullanımları ve kullanım amaçları doğrultusunda değişiklik gösterir. Bu kapsamda, çerezler “birinci taraf çerezleri – üçüncü taraf çerezleri”, “geçici çerezler (oturum çerezleri) – kalıcı çerezler”, “zorunlu çerezler – işlevsellik çerezleri – performans çerezleri (analiz çerezleri) – reklam/pazarlama çerezleri” olarak sınıflandırılabilir.

Zorunlu çerezler, internet sitesinin işlemesi için kesinlikle gerekli olan çerezlerdir ve amaçlandıkları üzere kullanılırlar. Zorunlu çerezler engellenirse internet sitesinin bazı kısımları çalışmaz. Diğer taraftan işlevsel çerezler kullanıcı tercihleri dikkate alınarak sitenin özelleştirilmesini sağlarlar. Bu çerezler ile internet sitesi operatörü kullanıcının bulunduğu bölge veya kullanıcı adı ve şifre gibi bilgileri depolayabilir. Bu tarz çerezlerin engellenmesi mümkündür.

Son zamanlarda en popüler konularda olan üçüncü taraf çerezleri (örn. İnternet sitesi resim, reklam, diğer sitelerin sosyal medya eklentilerini içeriyorsa) internet sitesi sahibi tarafından değil, iş ortakları veya hizmet sağlayıcılar gibi üçüncü taraflarca yaratılmışlardır. Google gibi kurumlar tarafından üçüncü taraf çerezleri ile elde edilen kişisel veriler eşleştirilebilir, analiz edilebilir ve diğer sitelerden alınan bilgiler ile birleştirilerek profil oluşturulabilir. Bu olasılık doğal olarak tüm dünyada gizlilik endişeleri doğurmaktadır.

Açık rızanın gerekeceği durumlar çerezin türüne göre değişeceğinden internet çerezlerinin türünü belirlemek kişisel veri mevzuatı kapsamında önem teşkil eder.

Çerezler Türk Hukuku’nda Nasıl Düzenlenmiştir?

5809 sayılı Elektronik Haberleşme Kanunu Madde 51/3’e göre, elektronik haberleşme şebekeleri abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla operatörler[5] tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. Haberleşmenin sağlanması bu kurala istisna olarak düzenlenmiştir.

Yukarıda belirtilen madde dışında Türkiye’de çerez kullanımını düzenleyen ve tüm çerez kullanıcılarına uygulanabilecek özel bir düzenleme bulunmaz. Buna karşın, çerezler tanımlanabilir bir kişiyle eşleştirilebildiği ölçüde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“6698 Sayılı Kanun”) kapsamındadır. Nitekim, Kişisel Verilerin Koruması Kurumu (“Kurum”) tarafından Amazon Türkiye hakkında 2020 yılında, internet sitesine giriş yapıldığı andan itibaren çerezler vasıtasıyla kişisel verileri işlenmeye başlamış olmasına rağmen veri işlediğine yönelik hiçbir aşamada bilgilendirme yükümlülüğünün yerine getirilmediği gerekçesiyle idari para cezası uygulanmıştır.[6]

Bunun yanı sıra Kurum yakın zamanda çerezler ve türlerini, çerez kullanım senaryolarına göre göz önünde bulundurulması gereken kuralları, açık rıza alınması ve bilgilendirme yükümlülüğünün detaylarını açıklayan bir taslak kılavuz (“Kılavuz”) yayınlamıştır.[7] Kılavuz ekinde tüm çerez kullanıcıları için faydalı olarak değerlendirilebilecek çerez kullanımı kontrol listesi, başvuru örnekleri, uygun/uygun olmayan aydınlatma metinleri ve örnekleri yer alır. Kılavuz incelendiğinde kılavuzda yer alan uygulama ve kuralların Avrupa Birliği düzenlemelerine benzediği dikkat çeker.

Kılavuz aynı zamanda 6698 Sayılı Kanun ile 5809 Sayılı Kanun arasındaki ilişkiye ışık tutar, bu kanunların hukuki kapsamını tanımlar. Kurum 5809 Sayılı Kanun’un veri sorumlusu operatörlere özgü olduğuna, bu kanunun uygulanmadığı hallerde çerez kullanımına 6698 Sayılı Kanun’un uygulanacağına dikkat çeker. Kılavuz taslak olarak yayınlanmıştır, görüşe açıktır bu sebeple son hali değişiklik gösterebilir.

Avrupa Birliği’nde Neler Oluyor?

Avrupa Birliği veri gizlilik rejimi ise Genel Veri Koruma Tüzüğü (“GVKT”) ve 2002 tarihli eGizlilik Direktifi’nden (“eGD”) oluşmaktadır. Dijital çağda eGD veri koruma ve gizlilik hakkında çıkarılan bir AB direktifidir.[8] 2009’da eGD çerezlere ilişkin düzenlemelerin eklenmesiyle değiştirilmiş ve böylece bu tarihten sonra “AB Çerez Kanunu” olarak anılmaya başlanmıştır.

Madde 29 Veri Koruma Çalışma Grubu çalışmaları ve Avrupa Adalet Divanı'nın Planet49 Kararı[9] da çerezlerin kullanımı için nasıl onay alınması gerektiği, kullanıcıların çerezler hakkında nasıl bilgilendirilmesi gerektiği konusunda yol gösterir ve izin kuralına tabi olmayan zorunlu çerezleri kapsamlı bir şekilde açıklar.[10] Son dönemde, teknolojik gelişmelere paralel olarak çerez düzenlemelerinin değiştirilmesi gerektiğinden, yeni E-Gizlilik Yönetmeliği'nin ilk taslağı AB Konseyi tarafından 10 Ocak 2017 tarihinde yayınlanmış ve 10 Şubat 2021 tarihinde son halini almıştır. Bu taslak, önceki direktiften farklı bir çerçeve ve çerez uygulamalarına yönelik daha kapsamlı bir istisna listesi sunar. Ancak taslağın ne zaman yürürlüğe gireceği henüz belli değildir.

Tüm bunlara ek olarak, farklı veri koruma kurumlarının çerez kullanımına ilişkin son kararları dikkat çekicidir.

6 Ocak 2022'de Fransız Veri Koruma Kurumu ("FVKK"), çerez mevzuatına uyulmaması nedeniyle Google ve Facebook'a karşı para cezaları vermiştir.[11] FVKK tarafından yürütülen bir araştırma sonucunda, internet sitelerinin (google.fr, youtube.com, facebook.com) çerezleri hemen kabul etmek için bir buton sunarken, kullanıcının reddetmesine aynı şekilde kolaylıkla olanak tanıyan eşdeğer bir çözüm sunmadıkları tespit edilmiştir. Buna göre, kullanıcılara sunulan rıza alma yöntemlerinin ve kendilerine sağlanan bilgilerin net olmamasının yürürlükteki veri koruma mevzuatının ihlali oluşturduğuna karar verilmiştir.

Ayrıca, Avusturya Veri Koruma Kurumu'nun (“AVKK”)[12] yakın tarihli bir kararında, Avusturyalı bir internet sitesi tarafından Google Analytics'in (çerez) kullanımının, kullanıcı kimlik numaraları, IP adresleri ve tarayıcı parametreleri dahil olmak üzere kişisel verilerin toplanmasını ve ABD'deki Google'a aktarılmasını içerdiği tespit edilmiştir. Daha da önemlisi, AVKK, Standart Sözleşme Maddeleri’nin (“SSM”) GVKT kapsamında yeterli düzeyde koruma sağlayamayacağı, çünkü SSM'lerin ABD istihbarat teşkilatları tarafından kişisel verilerin gözetlenmesi ve bunlara erişim olasılığını ortadan kaldırmadığı sonucuna varmıştır. Sonuç olarak, veri aktarımının GVKT'yi ihlal ettiği kabul edilmiştir. Bu kararın hemen ardından, Hollanda veri koruma otoritesi, Google Analytics kullanımına ilişkin 2022'nin başlarında tamamlanması planlanan soruşturmaların, Google Analytics’in Hollanda'da kullanımına izin verilip verilmeyeceğini belirlemeye yardımcı olacağını açıklamıştır.

Sonuç

Türkiye’de, Avrupa Birliği’nde ve hatta dünyada çerez kullanımına ilişkin güncel gelişmeler hem internet kullanıcıları hem de veri sorumluları açısından dikkate değerdir. Özellikle veri koruma kurumlarının kararları ve bakış açısı üçüncü taraf hizmet sağlayıcıları dahil tüm internet sitesi sahipleri için uyandırma çağrısıdır. Çerezler hakkında güncel gelişmelerin takip edilmesi gerektiği ortadadır, mevzuattaki kural ve ilkeler, kararlar veya yayımlanan rehberler sıkı bir şekilde takip edilmelidir ve çerez uygulamaları vakit kaybetmeksizin gözden geçirilmelidir.


Kaynakça

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Hukuk Postası
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
Hukuk Postası
İlaç Sektöründen Gelen KVK Kılavuzu
Kişisel Verilerin Korunması Eylül 2019
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.