Çerezler
Çerezler, dijital dünyada kullanıcı deneyimini kişiselleştirmek ve iyileştirmek için kritik bir rol oynamaktadır. Çerezlerin kullanımı, internet deneyimini kişiselleştirmeye ve kullanıcıların çevrimiçi tercihlerini hatırlamaya büyük katkı sağlasa da, bu süreç aynı zamanda çeşitli gizlilik ve veri koruma endişelerini de beraberinde getirmiştir. Kişisel verilerin çerezler yoluyla işlenmesiyle ilgili en büyük endişelerden biri, kullanıcıların çoğu zaman bu işlemden haberdar olmamaları veya çerezlerin kullanımı konusunda yeterli şeffaflığın sağlanmamasıdır. Çerez politikaları ve gizlilik beyanları genellikle kullanıcıların kolayca erişebileceği ve anlayabileceği bir biçimde sunulmadığından, bu durum, kullanıcıların çevrimiçi gizliliklerini nasıl koruyacaklarını bilememelerine ve dolayısıyla verileri üzerinde yeterli kontrole sahip olamadıkları için onları yönetememe ve çevrimiçi izlenmelerini sınırlayamamalarına neden olmaktadır.
Çerezler ile ilgili uygulayıcılar arasında sıklıkla tartışma konusu olan gizlilik ve veri koruma endişeleri sonucunda, son yıllarda aralarında Türkiye’nin de olduğu birçok ülkede veri koruma otoriteleri kişisel verilerin çerezler yoluyla işlenmesi ile ilgili kural ve ilkeleri belirlemekte, kılavuzlar yayınlamakta ve veri sorumlularına cezalar uyguladığı kararlar yayınlamaktadır.
Kurul, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye niteliğinde ve yol gösterici mahiyette bir doküman oluşturulması amacıyla Çerez Uygulamaları Rehberi (“Rehber”) hazırlayarak Haziran 2022’de Kurul’un internet sitesinde yayınlamıştır. Rehberde genel olarak çerezler ve çerezlerin türleri düzenlenmekte, ayrıca sürelerine, kullanım amaçlarına ve taraflarına göre çerez türleri sınıflandırılmaktadır. Rehberde 5809 sayılı Elektronik Haberleşme Kanunu (“EHK”) ile Kanun’un arasındaki ilişki de incelenmiştir. Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması durumunda ve veri sorumlusunun da EHK kapsamında işletmeci sıfatını haiz olması halinde açık rıza alınmasına gerek kalmadan veri işlenmesi mümkün olmaktadır. Rehberde, çerez uygulamaları açısından yukarıda sayılan ve EHK’nın uygulama alanı bulacağı sınırlı haller dışında Kanun’un uygulama alanı bulacağı ve Kanun’da yer alan ilkeler ve veri işleme nedenlerinin çerezler yoluyla kişisel verilerin işlenmesi halinde de gözetilmesi gerekeceği belirtilmektedir.
Rehberde ayrıca açık rıza alınması gereken hallerde açık rıza ve aydınlatmaya ilişkin açıklayıcı detaylara yer verilmiştir. Buna göre Rehber kapsamında açık rıza alınırken siteye girildiği anda ziyaretçiye bir çerez yönetim paneli gösterilmeli ve burada eşit renk, büyüklük ve puntoda “kabul et”, “reddet”, ve “tercihler” butonları sunulmalıdır. Ziyaretçiye, tercihler butonu üzerinden açık rıza olmaksızın kullanılamayacak çerezler açısından onay verme / vermeme imkanı tanınmalı ve açık rızaya dayalı çerez uygulamaları ilk etapta kapalı/pasif şekilde gelmelidir. Rehber’de bu durum, veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında olması gerekenin opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine önceden onay vereceği bir sistem olduğu belirtilmektedir. Ayrıca, rıza yorgunluğunun önlenmesi bakımından ilgili kişinin siteye her girişinde açık rıza alınması yoluna gidilmemesi ve açık rızaya dayalı olarak kullanılacak çerezleri bir defa reddeden ziyaretçiye hatırlatmanın söz konusu çerezin ömrü ile orantılı olacak şekilde periyodik olarak yapılması gerektiği vurgulanmaktadır. Ayrıca internet sitesine erişimi engelleyen ve ziyaretçinin çerez uygulamalarına onay vermeden internet sitesinden yararlanmasını önleyen “çerez duvarı” adı verilen sistemler Kanun’a uygun kabul edilmemektedir.
Belirtmek gerekir ki, Kanun’un aydınlatma yükümlülüğü açısından ortaya koyduğu ilkeler çerezler açısından da aynı şekilde uygulama alanı bulmaktadır, ziyaretçinin açık rızasına ya da başka bir veri işleme şartına dayalı olmasından bağımsız olarak her bir çerez aracılığıyla yapılan veri işleme faaliyeti için ziyaretçinin Kanun’a uygun biçimde aydınlatılması gerekmektedir.
Çerezlerin kullanımı, yasal dayanakları, rıza gerektiren durumlar, rızanın yasal şartları ve bilgilendirme süreçleri dahil olmak üzere çerez kullanımının tüm yönlerine ışık tutan Rehber’de veri sorumluları tarafından dikkat edilmesi gereken önemli noktalar da vurgulanmış, açık ve anlaşılır örneklerle konu daha somut bir hale getirilmiştir.
Veri sorumlularının çerezler ile ilgili olarak mevcut uygulamalarının Kurul tarafından yayınlanan Rehber ile uyumluluğunu gözden geçirmeleri ve çerezler yoluyla kişisel veri işleme faaliyetlerini hukuka uygun hale getirmeleri oldukça önemlidir. Nitekim çerezler ile ilgili uygulamalar incelendiğinde, bazılarında kullanıcılara “reddet” seçeneğinin sunulmadığı, bazılarında reddetme olanağının kabul etme olanağı kadar kolay sunulmadığı, bazılarında halen opt-out sisteminin kullanıldığı görülmektedir. Yanlış uygulamalar dışında Rehber’e uygun şekilde tasarlanan çerez uygulamaları bakımından da çerez kullanım şartlarında yeterli şeffaflığın sağlandığı, aydınlatma metinleri ile ilgili olarak da köprü bağlantılar ile kullanıcının doğru şekilde bilgilendirilmesini sağlayacak metinlere ulaşımının zorlaştırılması gibi uygulamaların açık rızanın geçerliliğini sakatlayabileceği unutulmamalıdır.