Kişisel Verileri Koruma Kurumu, 11.01.2022 tarihinde Çerez Uygulamaları Hakkında Rehberini taslak olarak yayımladı.
Rehber, çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik tavsiye ve yol gösterici niteliktedir. Rehber 30 gün süre ile kamuoyu ile görüş bildirimi için paylaşılmıştır. İlgili tarafların görüşlerini 10.02.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile cerez@kvkk.gov.tr adresine göndermeleri gerekmektedir.
Rehber, yalnızca çerezler yoluyla kişisel veriler işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler ile piksel, kullanıcı parmak izleri, local storage, beacon gibi diğer çevrimiçi izleme yöntemleri bu rehberin kapsamının dışında bırakılmıştır. Rehber sadece internet sitelerinde kullanılan çerezler için değil, internete bağlanabilen akıllı telefon, tablet vb. ortamlarda kullanılan uygulamalar açısından da geçerli olacaktır.
Rehber’de çerez tanımına ve türlerine yer verilmiştir. Çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olarak tanımlanmıştır.
5809 sayılı Elektronik Haberleşme Kanunu ile 6698 sayılı Kişisel Verilerin Korunması Kanunu arasındaki ilişkiye değinilmiştir. Çerezler konusunun 6698 sayılı Kişisel Verilerin Koruması Kanunu kapsamında açıkça düzenlenmediği belirtilmiştir. Ancak, 5809 sayılı Elektronik Haberleşme Kanunu’nun 51’inci maddesinin üçüncü fıkrasının, AB’nin 2002/58/EC sayılı Direktifi’nin 5’inci maddesinin üçüncü fıkrası ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda, veri sorumlusu işletmeciler bakımından 5809 sayılı Kanun’un sınırlı bir uygulama alanı bulabileceği değerlendirilmiştir.
Rehber’de çerezlere dair dikkate alınması gereken kurallar çerçevesinde Avrupa Birliğinde, aşağıdaki iki kriterin herhangi birinin karşılanması halinde çerezler için aydınlatılmış rızaya gerek olmayacağı düzenlenmiştir.
- Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
- Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması.
6698 sayılı Kanun kapsamında ise çerezler yoluyla kişisel veri işlenmesinde aşağıdaki şartların göz önünde bulundurulması gerektiği belirtilmiştir.
- Açık rızanın bulunması ya da
- Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirmesi neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartları
Rehber’de açık rıza gerektiren ve gerektirmeyen çerez kullanım senaryoları da detaylı bir şekilde açıklanmıştır.
Hukuka uygun şekilde açık rıza alınması ve açık rızanın nasıl olması gerektiği belirtilmiştir. KVKK’daki tanımıyla açık rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması, özgür iradeyle açıklanması gerekmektedir. Açık rıza, ilgili kişilerin neye rıza vermelerinin istendiği hususunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemle elde edilmelidir. Ayrıca kullanıcının herhangi bir aktif eylemine dayanmayan rızalarının, açık rıza olarak kabul edilemeyeceği de belirtilmiştir.
Rehber’de uygun bir aydınlatma metni hazırlanması gerektiği düzenlenmiştir. Buna göre, hangi hukuka uygunluk sebebine dayanıldığından bağımsız olarak, kişisel verilerin elde edildiği her durumda, en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna ait olacağı düzenlenmiştir. Ayrıca aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmaması gerektiği belirtilmiştir.