Çerezler Hakkında Rehber Taslağı’na İlişkin Görüş, Değerlendirme ve Önerilerimiz

Kişisel Verileri Koruma Kurumu (“Kurum“), çerezler yoluyla kişisel veri işleyen veri sorumlularına yönelik Çerez Uygulamaları Hakkında Rehber Taslağı (“Rehber“) hazırlayıp kamuoyuyla 30 gün süre ile paylaşarak ilgili olabilecek tarafların görüşlerine açmıştır. Görüşler 10/02/2022 tarihine kadar yazılı olarak veya cerez@kvkk.gov.tr e-posta adresi üzerinden Kuruma iletilebilmektedir. Bu kapsamda VeriniKoru Ekibi olarak hazırladığımız aşağıdaki konuları içeren görüş, öneri ve değerlendirmelerimiz öngörülen formatta e-posta yoluyla Kurumla paylaşılmıştır.

Giriş

Gizlilik ve kişisel verilerin korunması alanında kişilerin temel hak ve özgürlüklerinin korunması ile mahremiyete dayalı veri işleme kültürünün yerleşmesi amacıyla çalışan bireyler olarak ülkemizde çerez uygulamaları hakkında oluşturulan taslak rehberi özellikle tavsiye niteliğindeki eklerle birlikte son derece başarılı bulduğumuzu belirtmek isteriz. Kişisel Verilerin Korunması Kanunu’nun (”KVKK”) 2016 yılında yürürlüğe girdiği ve uzun yıllardır uygulanmakta olduğu düşünüldüğünde çerezlerle ilgili bir rehber oluşturulmasında gecikilmiş olduğu söylenebilecekse de taslağın örneklerle desteklenerek ayrıntılı bir şekilde oluşturulmuş olması ve Kurum tarafından görüş önerilerine açılmış olması sevindiricidir.

KVKK’nın amacı ilk maddesinde; “Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek” olarak belirtilmiştir. Bireylerin kişisel verilerinin işlenme şekli, amacı ve yöntemi hakkında belki de en az bilgi sahibi olabildiği alanlardan biri olan çerez yoluyla kişisel veri işleme faaliyeti hakkında açık, anlaşılır ve kolay şekilde bilgi ve farkındalık sahibi olmaları büyük bir önem taşımaktadır. İlgili kişilerin şeffaf bir şekilde bilgilendirilmeleri ve özellikle üçüncü taraf çerezleri, analitik çerezler ve davranışsal reklamcılığa ilişkin analiz çerezleri için “açık rıza” (opt-in) yönteminin uygulanması gerekliliğinin açık bir şekilde ortaya konulmuş olması taslak Rehber hakkında olumlu görüşlerimizin devamı niteliğindedir. Ancak bu ve benzer sebeplerden hareketle olumsuz eleştirilerimizi de belirtmemiz gerekecektir.

Rehberde 5 no’lu bölüm altındaki alt başlıklarda Kriter A ve Kriter B atıfları yapılmış burada KVKK yerine Elektronik Haberleşme Kanunu’na dayandırılmıştır. Her iki kriter de “açık rıza aranmadan” çerez kullanımına ilişkindir. Rehberin 6 no’lu bölümü ise “açık rıza aranacak” çerez türleri ve kullanımlarına ayrılmıştır. Kanaatimizce 5 no’lu bölüm ve 6 no’lu bölüm altında her ne kadar Kriter A ve Kriter B atıfları yapılmışsa da bu bölümde atıfların KVKK kapsamında açık rıza gereken haller ile KVKK’nın 5/2’nci maddesindeki (ve 6/3’üncü maddesindeki) istisna halleri olarak yapılması uygun olacaktı. Yani Kriter A için “açık rıza” ve Kriter B için “istisnalar” şeklinde atıf yapılarak KVKK özelinde ilgili kişiler tarafından da daha anlaşılır ve kolay uygulanabilir bir rehber oluşturulabilecekti.

5.2. No’lu Bölüm Hakkında Görüşler

Taslak Rehberin 5.2. no’lu bölümünde:

“Tarayıcı oturumları arasında kimlik doğrulama tanımlayıcılarını depolayan sürekli çerezler, Kriter B kapsamında değerlendirilmemektedir. Bu önemli bir ayrımdır, zira kullanıcı tarayıcıyı kapattığı anda kimlik doğrulama ayarlarının temizlenmediğinin farkında olmayabilir ve anonim olduğu varsayımıyla söz konusu internet sayfasına geri döndüğünde hala hesaba giriş yapmış durumda bulunurlar. Bu durumda uygulanan yaygın bir yöntem, internet sayfasında kullanıcı hesabını açarken ayrıca “beni hatırla (çerez kullanır)” gibi bir kutucuk eklenmesidir. Bu sayede kullanıcı tarafından bu hizmetin açıkça talep edilip edilmediği hususuna açıklık getirilebilecektir.”

şeklinde bir ifade kullanılmıştır. Burada yer alan:

“…kullanıcı tarayıcıyı kapattığı anda kimlik doğrulama ayarlarının temizlenmediğinin farkında olmayabilir…”

ifadesinden anlaşılan “kullanıcı adı ve şifre girişi yapılarak ziyaret edilen bir web sayfada yer alan “oturum çerezi”, web sayfa kapatıldığında kendiliğinden sonlanmalıdır.”

Halbuki uygulamada bilindiği ve Rehber taslağında da vurgulandığı üzere üye girişi yapılırken “beni hatırla” vb. fonksiyonlarla bu tip çerezlerin kullanım süresi uzatılabilmektedir. Hal böyle olunca da sanki “beni hatırla” fonksiyonu, KVKK 5/1’inci madde kapsamında “açık rıza beyanı” şeklinde anlaşılmaktadır. Eğer Rehberde kasıtlı olarak bu kastedildiyse bunun çok daha açık bir şekilde vurgulanması gerekirdi. Bu durumda süreklilik arz eden oturum çerezi için açık rıza gerektiği düşünülecekse, giriş yapılan sayfadaki “beni hatırla şeklindeki sadece 2 kelimeden ibaret bir onay kutusu geçerli bir açık rızanın şartlarını kanaatimizce sağlamayacaktır.

5.7. No’lu Bölüm Hakkında Görüşler

Taslak Rehberin 5.7. no’u bölümünde:

“sosyal medya platformlarının beğen, paylaş, yorum yap gibi fonksiyonlarının kullanılabilmesini sağlayan çerezlerin kimi durumlarda açık rıza kimi durumlarda ise KVKK md. 5/2’deki istisnalardan birisine dayanılarak kullanılabileceği”

ifade edilmiştir. Buna göre, çerez kullanılan internet sitesine ziyaret yaptığı tarayıcıda aynı zamanda/ hali hazırda sosyal medya hesabına giriş yapmamış kullanıcılar için bu tür çerezlerin açık rızaya tabi olduğu ifade edilmiştir. Buna karşın çerez kullanılan internet sitesine ziyaret yaptığı tarayıcıda aynı zamanda hali hazırda sosyal medya hesabına giriş yapmış kullanıcılar için ise bu tür çerezlerin Kriter B kapsamında olduğu yani açık rızaya tabi olmadığı belirtilmiştir.

Burada birbirine bağlı 2 sorun olduğunu düşünmekteyiz. İlk olarak sosyal medya platformunun yurt dışı sunucular kullanması sebebiyle Kriter B uygulansa dahi bu çerezler kullanıldığı anda yurt dışına kişisel veri aktarımı olacaktır. Zira burada sosyal medya platformu ile internet sitesi arasında bir ortak (müşterek) veri sorumluluğu ilişkisi söz konusu olacaktır. (bkz. AB Adalet Divanı 29.07.2019 tarihli Fashion ID – Facebook kararı) Bir diğeri ise buna bağlı olarak Kriter B durumunun gerçekten söz konusu olup olmayacağı sorunudur.

Çerez kullanılan internet sitesine ziyaret yaptığı tarayıcıda aynı zamanda/ hali hazırda sosyal medya hesabına giriş yapmış kullanıcıların gerçekten sosyal medya platformunun beğen, yorum yap vb. araçlarını ziyaret edilen internet sitesinde “oturum açılmış” vaziyette görüp görmek istemeyeceğini de hesaba katmak gerekecektir. Kanaatimizce burada Kriter B’nin uygulanması yerine açık rıza alınması daha doğru bir yöntem olacaktır. En azından Kriter B’nin uygulanmasını gerektiren ve KVKK’nın 5/2’nci maddesinde düzenlenen hukuki sebeplerin hangilerinin söz konusu olabileceğinin daha detaylı olarak ele alınması ilgili kişilerin aydınlatılması açısından son derece daha faydalı olabilir.

6.2. No’lu Bölüm Hakkında Görüşler

Taslak Rehberin 6.2 no’lu bölümünde:

“Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmektedir. Bu durumda açık rıza gerekliliği; doğal olarak gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dâhil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsar;”

ifadesindeki altı çizili kısımlara ilişkin veri işlemenin açık rıza hukuki sebebinden ziyade “veri sorumlusunun meşru menfaati için kişisel veri işlemenin zorunlu olması” istisnasına dayandığını düşünmekteyiz.  Rehberde sayılan hallerin ”kullanıcı tarafından açıkça talep edilen bilgi toplumu hizmetleri kapsamında bir hizmet ya da işlevsellikle ilgili olmadığı” ifadesine yer verilmişse de veri sorumlusu tarafından çerezler vasıtasıyla kişisel veri işlenmesinin hukuki sebebi sadece “bilgi toplumu hizmetleri kapsamında kullanıcının açıkça talep etmesinden” ibaret değildir. KVKK md. 5/2 ve 6/3 perspektifinden “bilgi toplumu hizmetleri kapsamında kullanıcının açıkça talep etmesi” hakkın tesisi veya hukuki yükümlülüğün yerine getirilmesi istisnaları olarak karşımıza çıkabilir. Bunun dışında diğer veri işleme hukuki sebeplerinin de rehberde gözetilerek örneklerle yer verilmesi gerektiği kanaatindeyiz. Mevcut haliyle rehber sadece Elektronik Haberleşme Kanunu perspektifinden ele alınmış gibi bir izlenim uyandırmaktadır. İlgili bölümdeki örneklerin KVKK perspektifinden yeniden kaleme alınması ilgili kişilerin rehberi ve kişisel verileri üzerindeki haklarını daha bilinçli ve şeffaf bir şekilde kullanabilmelerini sağlayacaktır.