İçindekiler
Çerez politikası internet sitesi kullanıcılarına kişisel verilerin korunması mevzuatına uyum adına sunulmaktadır.
Çerez Politikası KVKK
Çerezler, bir internet sitesi operatörü tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyasıdır. Kullanıcılar internet sitesini ziyaret ettiğinde kullanıcılara ait birtakım bilgiler internet sitesi operatörlerine ait cihazlarda depolanmaktadır. Bunlar düşük boyutlu zengin metin biçimli text formatları olarak adlandırılmaktadır.
Kullanıcılardan çerezler yoluyla kişisel verilerin toplanması halinde kişisel verilerin korunması mevzuatı uyarınca kullanıcıların hangi çerezlerin ne kadar süre tutulduğu hakkında veri sorumlusu internet sitesi operatörü tarafından bilgilendirilmesi gerekmektedir. Bu bilgilendirme çerez politikası yoluyla sağlanmaktadır. Çerez politikaları ile kullanıcılara gereken aydınlatma yapılarak veri sorumlusu tarafından kanunen belirtilen aydınlatma yükümlülüğü yerine getirilmiş olmaktadır.
Çerez Politikası Neleri İçermelidir?
Çerez politikasında yer alması gereken ilk ve en önemli unsur hangi çerezlerin kullanıldığıdır. Her internet sitesinde toplanan çerezler aynı olmadığından çerez politikaları da veri sorumlusunun internet sitesini kurguladığı şekli dikkate alınarak değişecektir. Veri sorumlusu toplanan çerezleri belirledikten sonra bu çerezlerin hangi sınıfa dahil edileceğini de belirlemiş olmalıdır. Çerez politikası bu sınıflandırmaya göre değerlendirilerek çerez türlerine göre açık rıza alınıp alınmayacağı belirlenecektir.
Çerezler sürelerine, kullanım alanlarına ve taraflarına göre üç sınıf halinde sınıflandırılmıştır. Kullanım alanlarına göre çerezler; kesinlikle gerekli çerezler (zorunlu çerezler), işlevsel çerezler, pazarlama-analitik çerezler ve reklam/pazarlama çerezleri olarak dörde ayrılmaktadır. Kesinlikle gerekli çerezler (zorunlu çerezler) internet sitesinin çalışması için gerekli olan çerezlerdir. Bu çerezlerin engellenmesi halinde internet sitesinin bazı kısımları çalışmayacaktır. İşlevsel çerezler daha çok kullanılan kişiselleştirme ve tercihlerin hatırlanması amacıyla kullanılmaktadır. Bu çerezler için bilgi toplum hizmeti açıkça talep etmediği takdirde açık rızaya dayanılması gerekecektir. Performans-analitik çerezler internet sitesinde kullanıcıların davranışını analiz etmek amacıyla kullanılan istatistik ölçüme imkân veren çerezlerdir. Buna örnek olarak ziyaretçilerin sayısını tahmin etmek, en önemli arama motoru anahtar kelimeleri tespit etmek örnek gösterilebilir. Reklam/pazarlama çerezleri ise kullanıcıların çevrim içi hareketleri tespit edilerek kişisel ilgi alanlarını saptayıp bu ilgi alanlarına yönelik olarak kullanıcılara reklam gösterilmesi hedeflenmektedir.
Çerez politikasında yer alması gereken ikinci en önemli unsur kullanılan çerezlerin hangi amaçlarla kullanıldığı ve hangi amaçla kişisel verileri topladığı bilgisidir. Kullanıcıya sunulacak çerezlerin tek tek sürelerine ve kullanım amaçlarına yer verilerek kullanıcının eksiksiz bir biçimde bilgilendirilmesi sağlanmalıdır. Kullanılan çerezlerin amaçları kullanıcıya açık ve sade bir dille açıklanmalıdır. Amaçlar muğlak bulunduğu takdirde kişisel verilerin korunması mevzuatına uyum sağlanamayacaktır.
Çerez politikasında yer verilmesi gereken üçüncü unsur çerezlerin üçüncü bir tarafla paylaşılıp paylaşılmadığı bilgisidir. Kullanılan çerezlerin üçüncü bir tarafa kişisel veri aktardığı durumlarda aktarma amacına ve hukuki sebebine de yer verilmesi gerekmektedir. Aktarma amacı ve hukuk sebebe ek olarak kişisel verilerin kimlere aktarıldığı bilgisine de yer verilmesi gerekir.
Çerez politikasında yer alması gereken dördüncü unsur ise çerez tercihlerinin değiştirilebileceğinin bilgisinin verilmesidir. Kullanıcı çerezlerin kullanımına ilişkin olarak çerezlerdeki onayını geri çekebilecek, toplanmasına/kaydedilmesine rıza göstermeyecek veya toplanmış olması halinde silinmesini talep edebilecektir.
Kesinlikle gerekli çerezler (zorunlu çerezler) dışındaki tüm çerezler için bilgi toplumu hizmeti açıkça talep etmediği takdirde açık rıza alınması kaçınılmaz bir gerekliliktir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hüküm altına alınmıştır. Örneğin ilgili kişinin bir internet sitesinden alışveriş yaptığı senaryosunda kişisel verileri bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması işleme şartına bağlı olarak açık rıza alınmaksızın işlenebilecektir. Yukarıda yer alan bilgilere ek olarak çerez politikası her bir çerez türüne ayrı ayrı rıza verilecek şekilde oluşturulmalı, kesinlikle gerekli çerezler (zorunlu çerezler) dışındaki çerezler hakkında onay kutucuklarına yer verilmelidir. Buna örnek olarak “Çerezleri Özelleştir” butonu örnek gösterilebilecektir.
Çerezler hakkında usulüne uygun aydınlatmanın yapılması gereklidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. Maddesinde veri sorumlusunun aydınlatma yükümlülüğünden bahsedilmiştir. İlgili hüküm uyarınca veri sorumlusu veya yetkilendirdiği kişi kişisel verilerin en geç elde edilmesi sırasında veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar hakkında kullanıcıları aydınlatmalıdır. Çerezlere ilişkin aydınlatma kullanıcıya internet sitesine giriş yaptığı anda pop-up ya da banner gibi araçlarla ilk aşamada sunulmalıdır. Kişisel Verileri Koruma Kurulu’nun Amazon hakkında vermiş olduğu kararda pop-up gibi mesaj yöntemleriyle aydınlatmanın kullanıcı internet sitesine girdiği anda sunulması gerektiği belirtilmiştir.
Politika ve ardından alınacak olan rıza kapsamında ziyaretçiye her zaman çerezleri reddetme imkânı verilmelidir. Çerezler için açık rıza vermiş bir kullanıcı aynı zamanda bunları istediği zaman reddedebilme hakkına sahip olmalıdır. Kişiye açık rıza verilmesi ya da geri alınması aşamasında sunulacak butonlar eşit boyutta ve aynı renkte yapılmalı, kullanıcının özgür iradesi etkilenmeye çalışmamalıdır.
Çerez Politikasını Hangi Mevzuat Düzenliyor?
Çerez politikasını açıkça düzenleyen bir mevzuat henüz bulunmasa da kullanıcıların internet ve mobil uygulamalarda yer alan çerezler aracılığıyla kişisel verilerinin toplanacağı kaçınılmaz bir gerçektir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ilgili maddelerinde kişisel verileri işlenen ilgili kişilere karşı aydınlatma ve açık rıza yükümlülüğünün yerine getirilmesi gerektiği açıklanmıştır. Kanun’un 12. Maddesi uyarınca veri sorumlusu kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almakla yükümlü kılınmıştır.
Kişisel verilerin korunması mevzuatı uyarınca yukarıda bahsedilen maddelerden de hareketle internet sitesi operatörü veri sorumluları internet sitelerini ziyaret eden kullanıcılarının verilerini çerezler aracılığıyla işlediği müddetçe bu kişilerin kişisel verilerinin işlendiğine dair çerez politikası sunmalı, uygun aydınlatma yaparak ve açık rıza alarak olası kişisel veri ihlallerinin önüne geçmelidir. Olası bir kişisel veri ihlali halinde Kurul, veri sorumlusu tarafından hazırlanan bu dokümanlar ve metinleri incelemek adına talepte bulunabilecektir. Bu husus veri sorumluları açısında büyük bir önem taşımaktadır.
Çerez Politikası KVKK ve GDPR Farkları
6698 sayılı Kişisel Verilerin Korunması Kanunu ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) arasında çerez politikası konusunda büyük benzerlikler yer almaktadır. GDPR çerez politikalarında, KVKK’ya benzer bir biçimde hangi kişisel verilerin toplandığı, bu kişisel verilerle hangi amaçla işlendiği, kişisel verilerin ne şekilde korunduğu, üçüncü taraflara açıklanıyorsa bu kişilerin bilgisi, kişisel verilerin nasıl saklandığı ile kullanıcıların bu kişisel verilere nasıl erişebileceği, veri taşınabilirliği kapsamında bu kişisel verileri nasıl taşıyabileceği ile ilgili kişinin hakları kapsamında sayılan kişisel verilerin düzeltilmesi, kısıtlanması veya kişisel verilerin nasıl silineceğine ilişkin de bilgiler çerez politikasında yer almaktadır. Çerez politikasının yanısıra veri sorumluları KVKK’da olduğu gibi, GDPR kapsamında da kullanıcılardan açık rıza almalıdır. Bu rıza özgürce verilmeli, spesifik olmalı, bilgilendirmeye dayanmalı, açık ve sade bir dille kaleme alınmalıdır.
Yukarıda hukuki açıdan önem ihtiva eden çerez politikası konusu genel bir çerçeveyle açıklanmıştır. Çerez politikası konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.
