Skip to Content

No: 2

Tarih: 21/06/2022

Konu:

Çerez uygulamaları rehberi hakkında


Çerezler konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında açıkça düzenlenmemektedir. Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde ve Resmi Gazete’de, 20 Haziran 2022 tarihinde Çerez Uygulamaları Hakkında Rehber (“Rehber”) yayımlandı. Rehber, çerezler yoluyla kişisel veri işleyen internet sayfası işleten tüm veri sorumluları için öneriler içermektedir. Rehber pratik tavsiyeler niteliğinde olup, iyi uygulamalar çerçevesinde sunulan açıklamalar; Kanun’a uygun şekilde kişisel veri işlenmesi noktasında yönlendirici niteliktedir.

Açıklamalar

1. Kapsam:

Rehber, çerezler yoluyla kişisel verilerin işlenmesini kapsamaktadır. İşbu rehber masaüstü ve mobil web siteleri veya web uygulamalar açısından da geçerlidir. Kişisel veri işlenmesinde kullanılmayan çerezler rehberin kapsamı dışındadır.

2. Çerezlerin tanımı

Rehber uyarınca, çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olarak tanımlanmıştır. Bunun yanı sıra, çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları olarak da tanımlanmaktadır.

3. Çerez türleri

Çerezler sürelerine, kullanım amaçlarına ve taraflarına göre çerezler olarak üç ayrı başlıkta değerlendirilmektedir.

4. Çerezlere dair dikkate alınması gereken kurallar

Rehber uyarınca, veri sorumlularının çerezler aracılığıyla kişisel veri işlenmesinde çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması (Kriter A) veya çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması (Kriter B) halinde kullanılması tavsiye edilmektedir.

Çerezler aracılığıyla kişisel veri işlenmesinde Kanun’a uygun şekilde elde edilmiş bir açık rızanın bulunması ya da veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurması gerekmektedir.

5. Açık rıza dışındaki diğer işleme şartları dahilinde çerez kullanım senaryoları

Rehberde, açık rıza alınmasına gerek bulunmayan Kriter A ve Kriter B kapsamına girebilecek kullanım amaçlarının değerlendirildiği görülmektedir.

5.1. Kriter A kapsamındaki kullanım amaçları

Yük dengelemesi oturum çerezleri: Bu çerezler, ağ üzerinden haberleşmenin gerçekleştirilmesi için gereklidir. Kullanıcılardan gelen web talepleri bir yük dengeleme ağ geçidine yönlendirilerek talep, havuzdaki müsait durumda bulunan iç sunuculara iletilmektedir.

5.2. Kriter B kapsamındaki kullanım amaçları

Kullanıcı girdili çerezler: Kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran oturum çerezleridir. İnternet sayfalarında bulunan çevrim içi bir formu ya da alışveriş sepetini doldururken kullanıcıyı izleyen, kullanıcının butonu tıklayarak seçtiği ürünlerin veya forma girdiği bilgilerin kaydını tutan çerezlerdir.

Kimlik doğrulama çerezleri: Kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılmaktadırlar. Örnek olarak, bir çevrim içi bankacılık sitesinde, banka hesaplarına bakma, havale yapma gibi internet sitesinin ziyaret edilmesi veya bir içeriğe ulaşılabilmesi için ihtiyaç duyulan çerezlerdir. Bu çerezler genellikle oturum çerezleri olup bazı durumlarda kalıcı çerez niteliği de gösterebilmektedirler.

Kullanıcı merkezli güvenlik çerezleri: Kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında güvenliği artırmak amaçlı çerezlere de uygulanabilmektedir. Bu durum, bir internet sitesinde tekrarlanan başarısız oturum açma girişimlerini tespit etmek için kullanılan çerezler veya oturum açma sistemini kötüye kullanımlardan korumak için tasarlanmış diğer çerezler için de geçerlidir.

Multimedya oynatıcısı oturum çerezleri: Videoyu yeniden oynatmaya veya ses içeriğine (örneğin görüntü kalitesi, ağ bağlantı hızı, arabellek parametreleri) ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılmaktadır.

Kullanıcı ara yüzünü kişiselleştirme çerezleri: Kullanıcının internet sayfalarındaki bir hizmete ilişkin tercihlerini depolamak için kullanılmakta olup kullanıcı adı gibi kalıcı tanımlayıcılarla bağlantı kurulmamaktadır. Bir butonu tıklamak veya kutuyu işaretlemek gibi yalnızca kullanıcının açık isteği ile belli bir bilgi parçalarıdır. Bayrağa tıklamak üzere kullanıcı tarafından seçilen dil tercihi çerezi örnek olarak verilebilir.

Sosyal eklenti içerik paylaşımı (beğen, paylaş, yorum) çerezleri: Birçok sosyal ağ, internet sayfası operatörlerine kendi platformlarına entegre edebilecekleri “sosyal eklenti modülleri” sunmaktadır. Bu sosyal eklenti modülleri, kullanıcıların terminal ekipmanlarında, sosyal ağlardaki üyeler söz konusu eklentilerle etkileşime geçtiği anda söz konusu sosyal ağın üyeleri tespit etmesini sağlamak üzere çerezler depolamakta ve bu çerezlere erişim sağlamaktadır.

Açık rıza yönetim platformu için kullanılan çerezler: Açık rızaya tabi çerezler için alınması gereken açık rıza tercih çerezleri için açık rıza gerekmemektedir. Bu çerezin ömrünün, Kanun’un 4’üncü maddesinde yer alan genel ilkeler göz önünde bulundurularak belirlenmelidir.

Birinci taraf analitik çerezler: Bu çerezlerin amacı sitenin veya uygulamanın hedef kitlesini ölçmekle sınırlıdır. Bir internet sitesini veya uygulamayı yönetmek için trafik ve/veya performans istatistiklerinin kullanılması, bu istatistiklerin üretilmesi sitenin veya uygulamanın düzgün çalışması ve dolayısıyla hizmetin sağlanması için gereklidir.

İnternet sitesinin güvenliği için kullanılan çerezler: İnternet sitesinin güvenlik açığı nedeniyle hizmet verememesi, hizmet dışı bırakılması, kullanıcının talep ettiği hizmete erişememesine neden olacağından, internet sitesinin güvenliği için kullanılan çerezlerin de kullanıcının talep ettiği hizmet için kesinlikle gerekli olduğu değerlendirilmektedir.

6. Açık rıza işleme şartı dahilindeki çerez kullanım senaryoları

Kriter A veya B kapsamına girmeyen, diğer bir ifadeyle açık rıza gerektiren çerezlerin kullanım senaryoları aşağıdaki gibi değerlendirilmiştir:

6.1. Sosyal eklenti takip çerezleri: Birçok sosyal ağ, davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için de kullanılabilmektedir. Bu tür amaçlar doğrultusunda, bu çerezlerin “kesinlikle gerekli” değildir. Zira açık rıza olmaksızın sosyal ağların, kendi ağlarına üye olmayanlar hakkında sosyal eklentiler aracılığıyla veri toplaması için herhangi bir yasal dayanağın bulunması olası değildir.

6.2. Çevrim içi davranışsal reklamcılık çerezleri: Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmektedir. Bu durumda açık rıza gerekliliği; doğal olarak gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dâhil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsamaktadır.

7. Çerez duvarları

Rehber uyarınca, açık rızanın özgür bir biçimde verilebilmesi kapsamında çerez duvarlarının ilgili kişinin rızasını ortaya koyarken gerçek bir seçim yapmasını engellemesi söz konusu olabileceği belirtilmektedir. Olay özelinde değerlendirme yapılması kaydıyla, ilgili kişilerin bir hizmeti elde edebilmeleri için çerez duvarı dışında belirli birtakım adil alternatifler sunulması söz konusu olabilecektir.

8. Tarafların sorumluluğu

Rehberde, üçüncü taraf çerezlerin internet sitesine yerleştirildiği durumlarda, hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıları çerezler hakkında açık bir şekilde bilgilendirmek ve rızalarını almakla yükümlü olduğu belirtilmektedir. Zira kullanıcıların talepleri için ilişkide bulundukları kişi olan internet sitesini işleten şirkete başvurmalarının daha muhtemeldir. Bu nedenle birlikte çalışmanın her iki tarafın da menfaatine olacağı değerlendirilmektedir. Çerez yerleştirmek isteyen üçüncü taraflar veya çerezlerin kullanılmasını gerektiren bir ürün sağlamak isteyenler, internet sitesi yayımcıları ile aralarındaki sözleşmeye bu konuda hüküm ekleyebilirler. Bu durum, üçüncü taraf çerezler hakkında aydınlatma yapmak ve rıza almak için uygun tedbirlerin alınacağına dair bir güvence sağlayabilir.

9. Yurt dışına aktarım

Kişisel veriler, ilgili kişinin açık rızasının olması halinde yurt dışına aktarılabilir. Açık rıza şartı dışında, işleme şartlarının olması kaydıyla yeterli korumanın bulunması veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile ilgili kişinin kişisel verileri yurt dışına aktarılabilecektir. Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik birtakım şirketler vasıtasıyla çerez kullandığı ve yurt dışına veri aktarımı faaliyeti gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’a uygun şekilde yapılması gerekmektedir.

10. Rehberde paylaşılan ekler:

Rehber içerisinde, veri sorumlularının kullanması üzerine hazırlanan bazı yararlı ekler bulunmaktadır.

Ek-1 veri sorumluları için çerez kullanımına ilişkin kontrol listesi: Veri sorumluları için, çerezler kullanımına yönelik farkındalığı sağlamak, çerez kullanımını denetlemek için kullanılması önerilen bir kontrol listesidir.

Ek-2: İyi uygulama örneği olarak internet sitesinde bant kullanımı: Her olay ve olgu özelinde duruma uygun değerlendirmenin yapılmak suretiyle hazırlanan bant metin örneğidir.

Ek-3: İyi uygulama örneği olarak internet sitesinde rıza yönetim platformu: Her olay ve olgu özelinde duruma uygun değerlendirmenin yapılmak süratiyle hazırlanan rıza yönetim platformudur.

Ek-4: Çerezlere ilişkin örnek aydınlatma metni: Veri sorumlusunun kimliği, aydınlatma metninin amacı, açık rıza yönetimi, çerez çeşitleri, çerezin amaçları, çerez tipi ve çerezlerin saklama sürelerine ilişkin bir tablo, ilgili kişi başvuru yöntemi ve tanımlar ve Çerez Ayarlarının nasıl yönetileceğine dair bilgiler içeren örnek aydınlatma metnidir.

Ek-5: Çerezlere dair kötü örnekler: Rehber uyarınca, bazı çerez kullanımına ilişkin somut örnekler değerlendirilmektedir.

Şirketinizin internet sayfasında çerezlerin kullanımına yönelik detaylı hukuki değerlendirme, Kanun’a uyum ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.

 

Saygılarımızla,
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erkan Baykuş


Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.
 Baskıya yolla

Başa Dön

İletişim:

Av. Ahmet Sağlı
ahmet.sagli@tr.ey.com
(212) 315 30 00


Av. Seda İlik
seda.ilik@tr.ey.com
(212) 315 30 00