Giriş
Günümüz internet kullanıcıları ziyaret
ettikleri her internet sitesinde çerez politikasına dair bildirim ve onay
butonu ile karşılaşmaktadır. Kişisel verilerin korunmasının bu kadar önem
kazanmasının belki de en büyük nedenlerinden olan çerezler, detaylı bir şekilde
tahlil edilmesi gereken bir konudur. Zira sağladığı faydalar yanında mahremiyet
açısından da ciddi riskler taşımaktadırlar. Özellikle pazarlama sektöründe
internette yapılan aramaların, ziyaretlerin, beğenilerin ve benzerleri
eylemlerin çerezler aracılığıyla takibi sağlanarak sistematik verilere
dönüştürüldüğünü sonrasında ise hedef kitlelere kişiselleştirilmiş reklam
olarak sunulduğu gözlemlenmektedir. Pek çok kişiye gözetlendiği hissini yaşatan
bu durum dijital gözetim olarak kavramlaştırılmış bir kişisel irade blokasyonu
olarak bile değerlendirilmektedir. [1]
Bu makale ile çerez tanımı ve çerezin
önemi üzerinde durulacak, akabinde çerezlerin ülkemiz mevduatındaki yeri ve
çerez kullanımında hukuka aykırılık doğmasında uygulanacak hukuk
incelenecektir.
1. Çerez Tanımı ve Çerezin Önemi
Çerezin tanımı 20.06.2022 tarihinde
Kişisel Verileri Koruma Kurumu tarafından ve aynı zamanda Resmi Gazetede
yayımlanan Çerez Uygulamaları Hakkında Rehber ile yapılmıştır. İlgili rehbere
göre çerez; internet sitesi operatörleri tarafından kullanıcı cihazlarına
yerleştirilen bir tür metin dosyasıdır.
Bir diğer tanım uyarınca çerezler,
kişiler bir internet sitesini ziyaret ettiklerinde onların o internet sitesinde
gezindikleri sıradaki tercihlerinin terminal cihazlarına rakam-harf
kombinasyonu olarak yüklenen küçük metin dosyalarıdır. Bu terminal cihazlara
kaydedilen küçük metin dosyaları, o internet sitesi tekrar ziyaret edildiğinde
internet sitesinin sunucusu tarafından okunabilir. [2]
Bugün çerezler kişisel verilerin
korunması hukukunda oldukça önemli bir yere sahip olsa da esasen çerezlerin
ortaya çıkmasındaki temel amaç, kullanıcılara daha iyi bir internet kullanım
deneyimi yaşatmaktır. Örneğin e-ticaret sitelerinde kullanılan alışveriş sepeti
özelliği ile kullanıcıların sepetine eklediği ürünleri bir sonraki sekmeye
geçmeleri halinde dahi görebilmektedir. Yine kullanıcıların internet sitesi dil
tercihleri de çerezler vasıtasıyla kaydedilip, kullanıcının internet sitesini
her kullanımında daha önce yaptığı dil tercihi varsayılan tercih olarak
karşısına çıkacaktır. Son olarak çerezler davranışsal reklamcılık sektörü
bakımından da önemli kullanım alanına sahiptir. Kullanıcıların tüketim
alışkanlıklarına paralel reklamlar tüketicilere çerezler aracılığıyla
sunulmaktadır.
2. Çerezler ve Açık Rıza İlişkisi
2.1. Genel Olarak
AB hukukunda çerez kullanımı, 2018’de
yürürlüğe giren General Data Protection Regulation (GDPR) ve 2002’den beri
yürürlükte bulunan ePrivacy Direktifi olmak üzere iki farklı enstrüman ile
düzenlenmektedir. AB hukukundan farklı olarak, Türk hukukunda çerez
uygulamaları bakımından doğrudan doğruya uygulanabilir bir düzenleme
bulunmamaktadır.
6698 sayılı Kişisel Verilerin Korunması
Kanunu, kişisel verileri işlenen gerçek kişiler ile
bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve
tüzel kişiler hakkında uygulanır. Çerezler yoluyla elde edilen bilgiler tek
başına veya birtakım başka bilgilerle birleştirilmek suretiyle bir gerçek kişi
ile ilişkilendirilebildiği ölçüde 6698 sayılı Kanun kapsamına
girecektir.
Kişisel Verileri Koruma Kurulu da çerez
uygulamalarının KVKK kapsamına girdiği görüşündedir. Nitekim Kurulun, Amazon
Turkey Perakende Hizmetleri Limited Şirketi hakkında verdiği 27.02.1010 tarihli
2020/173 sayılı kararında, web sitesine girişle birlikte, çerezler vasıtasıyla
kişisel verilerin işlenmeye başlamasına karşın aydınlatmanın yapılmaması ve
rızanın alınmaması nedeniyle 6098 sayılı Kanun kapsamında yaptırım
uygulamıştır. Kurul Amazon kararında, genel bir
özetle, internet sitesi ziyaretçilerinin kişisel verilerinin Amazon’un internet
sitesine giriş anından itibaren çerezler vasıtasıyla işlendiği halde, internet
sitesinde çerezlerin kullanıldığına dair site ziyaretçilerine herhangi bir
aydınlatma yapılmadığını ve hatta belirli çerez türleri yönünden açık rıza
alınmadığını tespit etmiş ve Amazon’a yaptırım uygulamıştır. Bu bağlamda söz
konusu karar ile Kurul, çerezlerin KVKK anlamında bir kişisel veri işleme
faaliyeti olduğunu, ilgili kişilere aydınlatma yapılması ve açık rıza dışında
bir işleme nedeni bulunmayan çerezler için ilgili kişilerden açık rıza alınması
gerektiğini duyurmuştur.
Kişisel Verileri Koruma
Kurumunun yetkilileri tarafından yapılan değerlendirmelere göre de Kurum’un
beklentisi çerez kullanan bütün veri sorumlularının öncelikle aydınlatma
yükümlülüğünü yerine getirmeleridir. Bunun yanı sıra, kişisel veri işleme
şartının açık rıza olması gerektiği tespit edilen reklam/pazarlama çerezleri
gibi çerezler vasıtasıyla veri işlenmeye başlamadan önce, ispatlanabilir bir
şekilde ilgili kişinin açık rızası da alınmalıdır.
2.2.Açık Rızanın Şartları
6698 sayılı Kişisel Verileri Koruma
Kanunu kişisel verilerin işlenme şartlarını düzenleyen 5. maddesi “Kişisel
veriler ilgili kişinin açık rızası olmaksızın işlenemez.” hükmüne yer
vermiştir. Belirtmek gerekir ki, her rıza açık rıza niteliğinde değildir. Açık
rıza, belirli bir konuya ilişkin olmalıdır ve bu konuya özgü bilgilendirmenin
önceden yapılmış olması gerekmektedir.
Açık rıza aktif bir davranışa dayanarak özgürce verilmelidir, örtülü
rıza verilmiş olması geçerlilik koşulunu sağlamaz. Son olarak açık rıza bir
hizmet sunma ön şartı olarak konumlandırılmamış olmalıdır. Rızanın geçerli
olabilmesi için, internet sitesi kullanıcısının, gerçek bir seçim yapma
kabiliyetine sahip olması gerekir. İlgili kişi aldatılmamalıdır veya tehdit
edilmemelidir. Kullanıcılar, çerezlerin tümünü veya bazılarını kabul etme,
tümünü veya bazılarını reddetme ve gelecekte değiştirmeye ilişkin hususlarda
özgür olmalıdır. Tüm bu şartları taşıyan rıza “açık rıza” niteliğindedir. [3]
Kişisel Verileri Koruma Kurumunun açık rızaya ilişkin 2020/173 T.
sayılı 27.2.2020 tarihli kararı uyarınca;
Veri sorumlusundan alınan yazıda hali hazırda mevzuata uygun
olarak yurtdışına veri aktarım faaliyeti yapıldığı belirtilmiş olsa da “F1
Hesabınızı Oluşturun” sekmesine tıklayarak “Gizlilik Bildirimi”nin de kabul
edildiği (“Hesap oluşturarak işbu Gizlilik Bildirimi’nde belirtilen
uygulamaları kabul etmektesiniz.”); aynı şekilde kayıtlı bir müşteri, site
üzerinden sipariş verdiğinde kendisine “Gizlilik Bildirimi”nin kabul edildiğine
dair tekrar hatırlatma yapıldığı (“Sipariş verdiğinizde F1.com.tr’nin Gizlilik
Bildirimini, Kullanım ve Satış Koşullarını ve Çerez Bildirimini kabul etmiş
olursunuz”) belirtilerek ilgili kişilerin rızasının alındığı veri sorumlusunca
iddia edilmekle birlikte, zımni irade beyanı ile onay alınmasının mevzuata
uygun kabul edilemeyeceği değerlendirilmektedir. … Bu kapsamda “Gizlilik
Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme”
kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama
vb.) tek bir rıza beyanı ile onaylanmasının hukuka uygun olmadığı mütalaa
edilmektedir. [4]
2.3. Açık Rızanın
Aranmadığı Haller
Açık rızanın aranmadığı
durumlar KVKK m.5/2 hükmü ile düzenlenmiştir. Hükme göre, “Aşağıdaki şartlardan
birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça
öngörülmesi.
b) Fiili imkânsızlık
nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi
tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak
ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması.”
Kişisel Verileri Koruma
Kurumu’nun, K. 2022/1358 T. Sayılı ve 23.12.2022 tarihli kararı gerçek kişi ile
ilişkilendirilebilir nitelikteki çerezlerin kullanıcının açık rızası olmaksızın
kullanılmasını ihlal olarak değerlendirmiştir;
İlgili kişinin Kuruma intikal eden
şikayetinde özetle; bir oyun platformunun internet sayfasına giriş yapıldığında
çerez işleme süreçleriyle ilgili kullanıcılara aydınlatma yapılmadığı ve zorunlu
olmayan çerezler için açık rıza alınmadığı, siteye üye olan kullanıcılardan
kimlik ve iletişim bilgilerinin talep edildiği ancak aydınlatma ve açık rıza
metinlerinin sunulmadığı, ilgili şirkete başvuru yapılmakla birlikte yeterli
bir cevap alınamadığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması
Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
…Reklam, pazarlama ve performans
amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi
olduğu, … internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan
internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif
hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla
varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına
göre açık rıza alması gerektiği…
Değerlendirmelerinden hareketle Veri
sorumlusu tarafından internet sayfasında herhangi bir işleme şartına dayanmadan
reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla kişisel
veri işlendiği, bu durumun ise Kanun’un 12’nci maddesinin (1) numaralı
fıkrasında yer alan yükümlülüklere aykırılık teşkil ettiği dikkate alındığında
veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b)
bendi uyarınca 300.000 TL idari para cezası uygulanmasına, karar verilmiştir. [5]
Sonuç
6698 sayılı Kişisel Verileri Koruma Kanunu uyarınca, bir kimsenin cihazına herhangi bir yoldan çerez yerleştirilebilmesi veya hali hazırda mevcut olan bir çerezin içeriğindeki verilerin kullanılıp işlenmesi için kural olarak ilgili kişinin açık rızası gerekmektedir. Veri sorumluları için KVK Kurumu yayınlamış olduğu rehberde açık rıza alınması gerekli çerezlerin kapsamını ise çok sınırlı tutmuştur. Yetersiz mevzuatlar, ülkemizde yaptırımların ve denetim mekanizmalarını da yetersiz hale getirmiştir. Dolayısıyla pratikte çerez kullanımı altında kişisel verilerin işlenmesi hukuka aykırı olarak gerçekleştirilmektedir.
Stj. Av. Berfin Dicle Onar
Kaynakça:
1. Taşkaya, M. ve Talay, Ö. (2019).
Dijital Gözetimin Pazarlama Amaçlı Aracıları: “Çerezler” ve Çerez Kullanımında
“Açık Rıza”. Akdeniz Üniversitesi İletişim Fakültesi Dergisi, Haziran (31), s.
356-376
2.
Dülger, Kişisel Veri, s. 839; Küzeci, s. 38; Kuner, s. 94.
3.
KESER, Yıldırım, “Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza”,
SÜHFD., C. 28, S. 3, 2020, s. 1181-1215
4.
Kişisel Verileri Koruma Kurumu 2020/173 T. sayılı 27.2.2020
tarihli karar
5. Kişisel
Verileri Koruma Kurumu 2022/1358 T. Sayılı ve 23.12.2022 tarihli karar
