Çerez nedir?
Ziyaret edilen internet siteleri tarafından internet tarayıcısına (Chrome, Internet Explorer, Firefox ya da Opera gibi)gönderilen küçük boyutlu metin dosyalarına çerez demekteyiz. Çerezler, ziyaret ettiğiniz internet sitesinin kullanıcılar ile ilgili bilgi toplamasını sağlarlar. Kullanım amaçlarına göre çerezleri aşağıdaki şekilde gruplandırabiliriz:
- İnternet sitesinin işleyişi için mutlaka gerekli çerezler (örneğin Google Docs hizmetinin aynı internet tarayıcısında birden çok doküman açabilmesi için çerez kullanmaya ihtiyacı vardır[i])
- İnternet sitesinin güvenliğini ya da işlevselliğini arttıran çerezler (örneğin ek güvenlik özellikleri getirilmesi, dil tercihlerinin ya da kullanıcı hesap bilgilerinin hatırlanması, kimlik doğrulaması yapılması, site performansının artırılması vb.)
- İnternet sitesinin nasıl kullanıldığına ilişkin istatistikler sağlayan çerezler (örneğin internet sitesinde hangi menünün kaç kez tıklandığına ilişkin istatistik oluşturulması)
- Kullanıcıları tekil olarak hedefleme ve bu hedefleme üzerinden kişiselleştirilmiş reklam ve pazarlama yapma amacıyla bilgi toplayan çerezler (örneğin kişilerin internet sitesinde hangi ürüne baktığını tespit edip aynı veya benzer ürünün kullanıcının girdiği diğer sitelerde de gösterilmesi)
Avrupa Birliğinde çerez (cookie) kullanımına ilişkin hukuki kurallar nelerdir?
AB hukukunda çerez kullanımı, 2018’de yürürlüğe giren General Data Protection Regulation[ii] (GDPR) ve 2002’den beri yürürlükte bulunan ePrivacy Direktifi[iii] olmak üzere iki farklı enstrüman ile düzenleniyor.
GDPR ve ePrivacy Direktifi, birbirlerini tamamlayacak şekilde uygulanıyor ve GDPR, ePrivacy Direktifine göre genel kanun niteliği taşıyor. Yani çerezler vasıtasıyla işlenen kişisel veriler için öncelikli olarak ePrivacy Direktifine bakılmalı; burada hüküm olmayan hallerde ise GDPR uygulanmalı. Her iki düzenlemenin içeriğine baktığımızda rıza gereksinimi haricinde GDPR’da yer alan tüm yükümlülüklerin (örneğin bilgilendirme yapılması), çerez kullanımı kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri için de geçerli olduğunu görmekteyiz. ePrivacy Direktifi, GDPR’dan farklı olarak ayrıca kişisel veri niteliği taşımayan veriler için de uygulama alanı buluyor.
ePrivacy Direktifine göre internete erişimde kullanılan cihazlarda depolanan verilerin işlenmesi, GDPR’da tanımlandığı şekilde rıza alınmasına bağlı. Bu kuralın istisnası ise; iletişimin ya da internet sitesi üzerinden sunulan hizmetlerin sağlanabilmesi için cihazdaki verilerin işlenmesi için mutlaka gerekli olması.
ePrivacy Direktifinin GDPR’dan önemli bir farkı da direktifin üye ülkelerde yürürlüğe girebilmesi için her üye ülkede direktife dayanılarak kanun çıkarılması mecburiyeti. Söz konusu kanunlaştırma işlemleri kapsamında her üye ülke mevzuatında çeşitli farklılıklar doğabiliyor. Örnek vermek gerekirse, İtalya’da çerezler için rıza alınması gerekliliği son derece sıkı uygulanırken Almanya ve Fransa’da kullanım yoluyla rızanın verilmiş sayılması yaklaşımı benimsenmiş durumda.
Avrupa Birliği hukukuna göre çerez kullanımı için nasıl rıza alınmalı ve Avrupa Adalet Divanı’nın 1 Ekim 2019 tarihli Planet49 Kararı kararının ne ifade etmeli?
Çerez kullanımı için rızanın nasıl alınması gerektiği hakkında tartışma bulunmakta. Çünkü, ePrivacy Direktifi üzerinde değişiklik yapan 2009/136/EC numaralı direktifin[iv] gerekçe kısmında; internet tarayıcısı ayarlarının çerez kullanımına izin vermesinin, rıza verildiğini gösterdiğini belirten bir ifade yer alıyor. Ancak AB kişisel verilerin korunması hukukunun gelişiminde önemli bir rol oynayan resmi Madde 29 Çalışma Grubu yayınladığı görüşte[v]sadece internet tarayıcısı ayarlarının rızayı göstermeye yeterli olmayacağı ve kullanıcının aktif bir davranışı olması gerektiği belirtiyor.
Her ne kadar GDPR öncesi dönemdeki bir olayı konu olsa da Avrupa Adalet Divanı’nın 1 Ekim 2019 tarihli Planet49 Kararı,[vi] çerez kullanımı için rızanın nasıl alınması gerektiği konusundaki aşağıdaki bulgulara vararak bu konudaki tartışmaları ortadan kaldırıyor:
- Çerez kullanımı için rıza ancak kullanıcının aktif bir davranışı ile alınabilir.
- Rıza gereksinimi, sadece kişisel veriler için değil; kişisel veri niteliğinde olmayan veriler için de geçerlidir.
- Gerek kişisel veriler için gerekse kişisel veri olmayan veriler için, kullanıcıların önceden çerez kullanımı ile ilgili olarak (ePrivacy Direktifi ile GDPR’a uygun şekilde) bilgilendirilmesi gerekmektedir.
Avrupa Birliğinde geçerli olan çerez (cookie) kurallarının Türkiye’de uygulanması mümkün müdür?
GDPR, AB sınırları içerisinde bulunan bireylerin davranışlarının takip edildiği kişisel veri işleme faaliyetlerinin, faaliyeti gerçekleştiren veri sorumluları ya da veri işleyenler AB sınırlarında olmasalar dahi, GDPR’a tabi olacağı kuralını getirmiş durumda. Ancak benzeri bir kural ePrivacy Direktifi içerisinde yer almıyor (burada ePrivacy Direktifinin yenilenmesi çalışmaları kapsamında GDPR ile benzer uygulama alanı kuralları öngörüldüğünü belirtmek gerek).
Yukarıdaki açıklama neticesinde Türkiye’de bulunan veri sorumluları ya da veri işleyenlerin çerez kullanımları, GDPR’a tabi olabilecekken ePrivacy Direktifine tabi olmayacak sonucuna ulaşılabiliyor. Önemli nokta ise sadece AB’de bulunan bireyler için GDPR’ın uygulama alanı bulabileceği. Türkiye’de bulunan kişiler için GDPR’ın uygulanması mümkün değil.
Çerez kullanımları neticesinde işlenen kişisel veri niteliğinde olmayan veriler ise GDPR’a tabi olmayacak.
Türkiye’de çerez kullanımının hukuki koşulları nelerdir?
Ülkemizde çerez kullanımını düzenleyen ePrivacy Direktifi gibi tüm çerez kullananlara uygulanabilen özel bir düzenleme bulunmuyor. Bununla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu[vii] (KVKK), çerez kullanımı neticesinde kişisel veri işleme faaliyeti yürüten tüm veri sorumlularına uygulanabilir durumda.
İnternet sitesinin işleyişi için mutlaka gerekli çerezler ile internet sitesinin güvenliğini ya da işlevselliğini arttıran çerezlerin KVKK kapsamında açık rıza alınmasını gerektirmeyeceği sonucuna varmak mümkün olabilir. Ancak internet sitesi kullanımını analiz eden ya da reklamcılık amaçlı bilgi toplayan çerezlerin kullanımının açık rıza gerektirmesi olasılığı çok daha yüksek görünüyor. Kesin ve isabetli tespitler yapmak için her olayın özel olarak incelenmesi gerekli.
Açık rızanın nasıl alınması gerektiği konusunda ise KVKK’nın gerektirdiklerine uygun davranılmalı. Yani açık rıza öncesinde aydınlatma yapılmalı, açık rıza aktif bir davranışa dayanarak özgürce verilmeli ve açık rıza bir hizmet sunma ön şartı olarak konumlandırılmamalı.
Kişisel veri niteliğinde olmayan veriler için çerez kullanımı hakkında ise herhangi bir hukuki düzenleme bulunmuyor.
Son olarak belirtmek gerekir ki; yukarıda açıklanan durumlarda GDPR’ın da uygulama alanı bulabilmesi ihtimali olduğundan, AB ülkelerine de hizmet sunulabilen durumlarda hem KVKK’nın hem GDPR’ın çerez kullanımına ilişkin kuralları göz önünde bulundurulmalı.
[i] https://policies.google.com/technologies/types?hl=tr
[ii] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679
[iii] https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058
[iv] https://eur-lex.europa.eu/legal-content/GA/TXT/?uri=CELEX:32009L0136
[v] https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_en.pdf
[vi]http://curia.europa.eu/juris/document/document.jsf;jsessionid=D064FC9AE5825F3BBCEE9089B8ED0E56?text=&docid=218462&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=912249
[vii] https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf