Türkiye’de çerezlerin hukuki boyutu – gizliliğin korunması

Bir web sitesini ziyaret ettiğimizde sıklıkla çerezlerin toplanmasına ilişkin bilgiler ve buna izin verip vermediğimiz sorusuyla karşı karşıya kalırız. Her ne kadar birçok kişi çerezlerin ne olduğunu bilmese de web sitelerinin çerez politikalarını okumaları tavsiye edilmektedir. Bazen çerezlerin kabulü belirli hizmetlere erişim için bir ön koşul olarak sağlanır. Peki çerezler hakkında ne kadar bilgi sahibiyiz? Çerezleri toplamanın yasallığı nedir ve çerezleri reddetmek web sitesinin kullanımını engeller mi? Bu yazımızda çerezleri tanımlayacak, ardından türlerini, işlevlerini ve kontrollerini ele alacak ve son olarak çerezleri hukuki açıdan inceleyeceğiz.

Çerezler nedir?

AB kurumları için hazırlanan yönergede çerezler “kullanıcının ziyaret ettiği web hizmeti tarafından oluşturulan metin dosyaları” olarak tanımlanıyor.¹ Aynı şekilde Avrupa Komisyonu Çerez Politikası da çerezlerin ne olduğu sorusuna, çerezlerin “bir web sitesini ziyaret ettiğinizde bilgisayarınızda veya mobil cihazınızda saklanan küçük metin dosyaları” olduğunu belirterek cevap vermektedir.² Başka bir deyişle çerezler, kullanıcılar web sitelerini ziyaret ederken tarayıcılar tarafından oluşturulur ve web sitelerine erişmek için kullandıkları cihazlarda depolanır. Çerezler genellikle şifrelenmiş dosyalar olduğundan yalnızca onları oluşturan web sitesi bunları okuyabilir. Bu nedenle kendi başlarına bir anlam taşımazlar ve başka siteler tarafından kullanılamazlar.

Bazıları bu terimin eve dönerken ekmek kırıntıları bırakan Hansel ve Gretel’den geldiğini iddia ederken, diğerleri bunun metinle dolu küçük kurabiyelerden geldiğine inanıyor. Ancak en yaygın kabul gören teori, Unix işletim sisteminde kullanılan “sihirli çerez” veri paketinden kaynaklandığı yönündedir. Sonuç olarak “çerezlerin” orijinal bağlamında ne anlama geldiği sorusuna kesin bir cevap veremiyoruz. Bu belirsizliği sürdürmek için terim Türkçe’ye “çerez” (kurabiye) olarak çevrilmiştir.

Çerez türleri nelerdir?

Çerezler temel olarak iki kategoriye ayrılır: oturum çerezleri ve kalıcı çerezler. Geçici çerezler olarak da bilinen oturum çerezleri, herhangi bir işlem yapmanıza gerek kalmadan oturumu kapattığınızda otomatik olarak silinir. Bu nedenle oturum çerezleri sayfaya bir sonraki ziyaretinizde geri yüklenemez. Öte yandan kalıcı çerezler, web sitesini veya tarayıcıyı kapattığınızda otomatik olarak silinmez. Bu dosyalar, siz manuel olarak silene veya tarayıcınız tarafından belirlenen son kullanma tarihine kadar bilgisayarınızda kalır. Dil ve tema tercihleri ​​gibi kalıcı çerezler, bir web sitesinin bir sonraki ziyaretinizde seçimlerinizi hatırlamasına olanak tanır, böylece bu seçimleri tekrar yapmak zorunda kalmazsınız.

Çerezlere ilişkin bir diğer ayrım da gerekli ve zorunlu olmayan çerezler arasındadır. Gerekli çerezler web sitesinin işleyişi için gereklidir ve web sitesinin düzgün çalışmasının bir koşulu olarak toplanır. Örneğin alışveriş sepetinizde yer alan ürünleri tutan çerezler, e-ticaret siteleri için vazgeçilmez çerezlerdir. Öte yandan, gerekli olmayan çerezler web sitesinin çalışması için gerekli değildir. Bu kategori, kullanıcı adlarını ve şifreleri hatırlayan çerezleri, reklam çerezlerini veya istatistiksel bilgi toplayan çerezleri içerir.

Çerezlerle ilgili bir diğer husus ise bunların web sitesinin kendisi tarafından mı yoksa üçüncü kişiler tarafından mı yerleştirildiğidir. Web sitesinin kendisi tarafından yerleştirilen çerezler, dil ve tema tercihleri ​​gibi web sitesinin kullanımını kolaylaştıran çerezler içerebilir. Üçüncü taraf çerezleri ise Google Adsense gibi reklam şirketlerinin yerleştirdiği reklam çerezleridir. Bu gibi durumlarda site kendi içeriğini sağlarken, sitede yer alan reklamlar da çerez kullanan üçüncü kişiler tarafından sağlanmaktadır. Bu çerezlerin yerleştirilmesi sonucunda Google, hangi web sitelerini ziyaret ettiğinizi takip eder, kişiselleştirilmiş reklamlar sunar ve aynı reklamı tekrar tekrar görmenizi engeller. Bu konu hakkında detaylı bilgiye adresinden ulaşabilirsiniz. https://policies.google.com/technologies/adsKişiselleştirilmiş reklam ayarlarınızı şu adreste düzenleyin: https://adssettings.google.com/authenticated.

Çerezlerin işlevi nedir?

Çerezlerin temel amacı, kullanıcı tercihlerini hatırlayarak ve kişiselleştirilmiş deneyimler sunarak web sitesinin kullanılabilirliğini arttırmak, böylece ziyaretçilere sunulan hizmetleri iyileştirmektir. Örneğin bir ziyaretçi, çerezlerin toplanmasına izin verirse, siteyi tekrar ziyaret ettiğinde dil ve tema tercihlerini geri dönmek zorunda kalmayacaktır. Aynı şekilde bir oturumu açık tutan çerezler, kullanıcıların tekrar oturum açmaya gerek kalmadan oturumlarının açık kalmasını sağlar.

Öte yandan çerezler internet sitesinin düzgün çalışması için de gerekli olabilir. Bunun en önemli örneklerinden biri çerezlerin alışveriş sepetine eklenen ürünlerin ödeme sayfasında kaybolmasını engellemesidir. Çerezlerin devre dışı bırakılması veya reddedilmesi kullanıcının siteden faydalanmasını engelleyebilir.

Tüm çerezlerin zararsız olduğu söylenemez. Bazı çerezler İnternet tarama etkinliğinizi izleyebilir. Ancak tarayıcınızın ayarlarını kullanarak çerezlerin belirli eylemlerini kontrol edebilir veya belirli web sitelerinin çerez toplamasını engelleyebilirsiniz.

Çerezler nasıl kontrol edilir ve silinir?

Gizlilik herkesin hakkıdır. Bu hak Türkiye Cumhuriyeti Anayasası ve Avrupa İnsan Hakları Sözleşmesi’nde koruma altına alınmıştır. Bu nedenle bilginin ne zaman paylaşılacağına siz karar vermelisiniz. Çerezlerle ilgili olarak iki husus vardır: çerezlerin etkinleştirilmesi ve çerezlerin temizlenmesi.

Varsayılan tarayıcı ayarlarınızda çerezleri etkinleştirmenize gerek yoktur. Bir web sitesini ziyaret ettiğinizde, web sitesi tarayıcınıza belirli bilgiler gönderir ve tarayıcınız bir metin dosyası oluşturarak bu bilgileri tarayıcı klasörünüzde saklar. Bu nedenle çerezleri ilgili klasörden veya tarayıcı ayarlarından kontrol edebilirsiniz.

Ayrıca çerez yerleştiren web siteleri bu çerezleri belirli periyotlarla yerleştirecektir. Oturum çerezleri, bir oturumun sonunda veya belirli bir sürenin ardından otomatik olarak silinebilir. Bu durumda belirtilen süreden önce temizlemek istemiyorsanız manuel olarak yapmanıza gerek yoktur.

Türk kanunlarına göre çerezler

Türk hukukunda çerezleri düzenleyen özel bir mevzuat bulunmamaktadır. Ancak Kişisel Verileri Koruma Kurumu’nun (“Kurum”) Amazon Turkey Retail Services Limited’e ilişkin 27.02.2020 tarih ve 2020/173 sayılı kararında “veri işleme kapsamındaki tüm işlemler (örn. çerezlerle takip, aktarma, paylaşma, saklama vb.)…” kişisel veri kapsamında değerlendirilecektir. Ancak toplanan tüm çerezler için izin alınmasına gerek yoktur. Bu ayrım, çerez setinin gerekli olup olmamasına bağlıdır. Sitenin çalışması için gerekli olan çerezler için izin gerekmemektedir, gerekli olmayan çerezler için ise izin gerekecektir.

Kişisel Verileri Koruma Kurumu tarafından hazırlanan “Çerez Uygulamaları Rehberi”nin son hali 20.06.2022 tarihinde yayımlandı. Kılavuzda çerezlerle ilgili iyi ve kötü uygulamalar incelenmektedir.

Alınacak rıza, Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 3. maddesinde “belirli bir konuya ilişkin bilgiye dayalı ve özgür iradeyle açıklanmış rıza” olarak tanımlanan açık rızadır. Özgür irade şartı, bir ürün veya hizmetin sağlanması veya bir ürün veya hizmetin kullanılması için rızanın ön koşul haline getirilemeyeceği anlamına gelir. Başka bir deyişle, burada “sev ya da bırak” yaklaşımı uygulanamaz, çerezlerin reddedilmesi Hizmete erişimi engelleyemez ve olumsuz davranışlar rızayı zayıflatır. Böyle bir durumda Kişisel Verilerin Korunması Kanununa aykırılık nedeniyle Kuruma itirazda bulunulabilecektir.

Avrupa Birliği’nde çerezler, Genel Veri Koruma Yönetmeliği’nde (“GDPR”) ve eGizlilik Direktifi’nde düzenlenmektedir. Bu düzenlemelere göre, kullanıcının verinin kullanım amacı konusunda yeterince bilgilendirilmesinden sonra ve veri toplanmadan önce çerezlere ilişkin onayın alınması gerekmektedir. Aynı şekilde kullanıcının aktif bir eylem yoluyla onay vermesi ve onayını geri çekebilmesi gerekir. Ancak sitenin iyileştirilmesi amacıyla büyük miktarlarda verilerin anonim hale getirilerek toplanması durumunda izinsiz olarak da veri toplanabilmektedir. AB üyesi ülkelerden trafik çeken web sitelerinin bu konulara dikkat etmesi ve ziyaretçilerine çerezleri kabul etme veya reddetme seçeneği sunması gerekmektedir. Her ne kadar kişisel verilerin korunması hukuku açısından çerez politikasına sahip olmak yasal bir zorunluluk olmasa da AB merkezli şirketlerin ve AB’den ziyaretçi çeken web sitelerinin çerez politikasına sahip olması zorunludur. Bu nedenle dünya çapındaki yasal düzenlemelere uygun bir çerez politikası oluşturmalı ve bir uzmandan yardım almalısınız. Türkiye’de Gizlilik Avukatı Olası sorunları erken aşamalarda aşmanıza yardımcı olacaktır.

Dipnotlar

1. Avrupa Veri Koruma Denetçisi, “Avrupa Birliği kurumları tarafından sağlanan web hizmetleri aracılığıyla işlenen kişisel verilerin korunmasına ilişkin kılavuzlar,” Qasim 2016.

2. Avrupa Komisyonu, “Çerezler Politikası”, https://ec.europa.eu/info/cookies_en.

İlk olarak 20 Mayıs 2023’te yayınlandı

Bu makalenin içeriği konuya ilişkin genel bir rehber sunmak amacıyla hazırlanmıştır. Durumunuza göre uzmanlardan tavsiye almanız önerilir.