İletişim

Çerez Politikası

Çerez Politikası

Çerez Politikası

ÇEREZ UYGULAMALARI HAKKINDA REHBER KİŞİSEL VERİLERİ KORUMA KURUMU Nasuh Akar Mah. 1407. Sokak No:4 06520 Balgat-Çankaya/Ankara Tel: 0 (312) 216 50 00 // Faks: 0(312) 216 50 52 Web: www.kvkk.gov.tr Bu kitapçıkta yer alan yazı ve sair içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Kanun uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır. İÇİNDEKİLER ÖZET ABSTRACT 1- GİRİŞ 1.1. Amaç ve Dayanak 1.2. Kapsam 2- GENEL OLARAK ÇEREZ VE ÇEREZ TÜRLERİ 2.1. Çerez Tanımı 2.2. Çerez Türleri 2.2.1. Sürelerine Göre Çerezler 2.2.2. Kullanım Amaçlarına Göre Çerezler 2.2.3. Taraflarına Göre Çerezler 3- 5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU İLE 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ARASINDAKİ İLİŞKİ 4- ÇEREZLERE DAİR DİKKATE ALINMASI GEREKEN KURALLAR 5- AÇIK RIZA DIŞINDAKİ DİĞER İŞLEME ŞARTLARI DAHİLİNDE ÇEREZ KULLANIM SENARYOLARI 5.1. Kullanıcı Girdili Çerezler (Kriter B) 5.2. Kimlik Doğrulama Çerezleri (Kriter B) 5.3. Kullanıcı Merkezli Güvenlik Çerezleri (Kriter B) 5.4. Multimedya Oynatıcısı Oturum Çerezleri (Kriter B) 5.5. Yük Dengelemesi Oturum Çerezleri (Kriter A) 5.6. Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri (Kriter B) 5.7. Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri (Kriter B) 5.8. Açık Rıza Yönetim Platformu için Kullanılan Çerezler (Kriter B) 6 6 7 7 7 8 8 8 8 10 12 13 15 18 18 19 20 20 21 21 22 24 5.9. Birinci Taraf Analitik Çerezler (Kriter B) 5.10. İnternet Sitesinin Güvenliği için Kullanılan Çerezler (Kriter B) 6-AÇIK RIZA İŞLEME ŞARTI DAHİLİNDEKİ ÇEREZ KULLANIM SENARYOLARI 6.1. Sosyal Eklenti Takip Çerezleri 6.2. Çevrim içi Davranışsal Reklamcılık Çerezleri 7- HUKUKA UYGUN ŞEKİLDE ALINMASI GEREKEN AÇIK RIZANIN UNSURLARI 7.1. Belirli Bir Konuya İlişkin Olması 7.2. Bilgilendirmeye Dayanması 7.3. Özgür İradeyle Açıklanması 7.3.1 Çerez Duvarları 7.4. Tarafların Sorumluluğu 8- YURT DIŞINA AKTARIM 9- UYGUN AYDINLATMANIN YAPILMASI 10- BİR ŞİRKET HAKKINDAKİ BAŞVURU İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/02/2020 TARİH VE 2020/173 SAYILI KARARININ ÇEREZLER AÇISINDAN DEĞERLENDİRİLMESİ 10.1 Kararın İlgili Bölümü 10.2 Kararın Önemli Noktaları REHBERİN HAZIRLANMASINDA FAYDALANILAN KAYNAKLAR 24 25 27 27 28 29 29 30 30 32 32 34 35 37 37 39 41 6 ÖZET Bu doküman; çerezler yoluyla kişisel veri işleyen internet sitesi operatörleri için 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında kişisel verilerin işlenmesi amacına yönelik önerileri içermektedir. ABSTRACT “This guide includes recommendations for the protection of personal data within the scope of the Law No. 6698 on the Protection of Personal Data for web site operators processing personal data through cookies.” 7 GİRİŞ 1.1. Amaç ve Dayanak Rehber ile internet sayfası işleten tüm veri sorumluları için pratik tavsiyeler niteliğinde, yol gösterici mahiyette bir doküman oluşturulması amaçlanmıştır. Rehber ile ortaya konulan iyi uygulamalar çerçevesinde sunulan açıklamalar; veri sorumlularının doğru hukuki sebeplere dayalı olarak veri işlemeleri ve Kanun’a uygun şekilde aydınlatma yapabilmeleri ile hukuka uygun açık rıza almaları noktasında yönlendirici niteliktedir. 1.2. Kapsam Bu rehber çerezler yoluyla kişisel verilerin işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamı dışında kalmaktadır. Piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojiler kapsamında herhangi bir yönlendirmede bulunulmamaktadır. Bu rehber masaüstü ve mobil web siteleri veya web uygulamalar açısından da geçerli olacaktır. 8 2-GENEL OLARAK ÇEREZ1 VE ÇEREZ TÜRLERİ2 2.1. Çerez Tanımı Çerez, internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası olup HTTP(S)3 (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır. Diğer bir tanıma göre ise çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır. 2.2. Çerez Türleri 2.2.1. Sürelerine Göre Çerezler Oturum Çerezleri Geçici çerez olarak da adlandırılan oturum çerezi, oturumun sürekliliğinin sağlanması amacıyla kullanılır. Kullanıcı internet tarayıcısını kapattığında oturum çerezleri de silinmektedir. 1Bu rehber, çerezler yoluyla kişisel veriler işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamının dışında bırakılmıştır. 2Bu rehber genel olarak terminal ekipmanlarda (bilgisayar, akıllı telefonlar, tabletler, internete bağlanabilen diğer cihazlar) kullanılan çerez uygulamalarını içermekte olup pixel, kullanıcı parmak izleri, local storage, beacon gibi benzer uygulamalar kapsamında bir yönlendirmede bulunmamaktadır. Rehberde anılan “internet sitesi” terimi, masaüstü ve mobil web siteleri veya web uygulamalar içerir şekilde kullanılmaktadır. 3HTTP, internet sitelerine bağlanmayı sağlayan bir protokoldür. HTTPS’te ise, HTTP paketi güvenli bir kanal üzerinden iletilir. 9 Kalıcı Çerezler İnternet tarayıcısı kapatıldığı zaman silinmeyen kalıcı bir çerez, belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir. Bu çerez aracılığıyla kullanıcı bir internet sitesini her ziyaret ettiğinde kullanıcının işlenen verileri sunucuya iletilmektedir. Bu nedenle, kalıcı çerezler bazen izleme çerezleri olarak da adlandırılırlar. Örneğin reklam verenler bir kullanıcının internet tarama alışkanlıklarıyla (web browsing habits) ilgili bilgilerini uzun bir süre boyunca kaydederek kullanabilirler. Ayrıca, kullanıcıların internet sitelerindeki hesaplarına giriş yaparken her seferinde giriş bilgilerini tekrar girmemelerini sağlamak üzere de kullanılabilirler. 10 2.2.2. Kullanım Amaçlarına Göre Çerezler: Kesinlikle Gerekli Çerezler (Zorunlu Çerezler) Bu çerezler internet sitesinin çalışması amacıyla gerekli olan çerezlerdir. Söz konusu çerezler kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin (log-in olma, form doldurma, gizlilik tercihlerinin hatırlanması gibi) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Aşağıda ele alınan Kriter A ve B kapsamındaki amaçlarla kullanılan çerezler kesinlikle gerekli çerezlere örnek olarak sunulabilir. Genel olarak açık rıza dışındaki işleme şartlarına gidilen çerezler türleri olarak değerlendirilebilirler. Zorunlu çerezlerin engellenmesi halinde, internet sitesinin bazı bölümleri çalışmayacak olup bu çerezler pazarlama amacıyla kullanılmamalıdırlar. İşlevsel Çerezler: Web sitesi veya uygulamalarda (masaüstü, mobil veya IOT cihazlardaki uygulamalar da dâhil olmak üzere) kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçları ile kullanılan çerezlerdir. Bu çerezler zorunlu çerezler dışında kalan işlevsellikleri sağlama amacıyla kullanılmaktadır. İlgili kişinin bir bilgi toplum hizmetini açıkça talep ettiğinin aşikâr olmadığı durumlarda açık rızaya dayanılması gerekecektir. Performans- Analitik Çerezler: İnternet sitelerinde kullanıcıların davranışlarını analiz etmek amacıyla istatistiki ölçümüne imkân veren çerezlerdir. Bu 11 çerezler, sitenin iyileştirilmesi için sıklıkla kullanılmakta olup bu duruma reklamların ilgili kişiler üzerindeki etkisinin ölçümü de dâhildir. İnternet sitesi sahipleri tarafından, tekil ziyaretçilerin sayısını tahmin etmek, bir internet sayfasına götüren en önemli arama motoru anahtar kelimelerini tespit etmek veya internet sitesinde gezinme durumunu izlemek için kullanılmaktadırlar. Reklam/Pazarlama Çerezleri: Reklam ve pazarlama amaçlı çerezler ile internet ortamında kullanıcıların çevrim içi hareketleri takip edilerek kişisel ilgi alanlarının saptanıp bu ilgi alanlarına yönelik internet ortamında kullanıcılara reklam gösterilmesi hedeflenmektedirler. İnternet ortamında birçok reklam türü bulunmasına karşın en çok tercih edilen reklam türünün çevrim içi davranışsal reklamcılık olmasının temel nedeni kişilerin eğilimlerine, tercihlerine göre reklam yapılabilmesi ve reklam veren açısından zaman ve maddi kaynakların daha verimli kullanılabilmesidir. Çevrim içi davranışsal reklamcılık uygulamaları; kişilerin internetteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edilerek profillenmesi, profilleme yapılan kişinin uygun reklamlarla eşleştirilerek söz konusu reklamların ilgili kişiye gösterilmesi aşamalarından oluşmaktadır. 12 2.2.3. Taraflarına Göre Çerezler Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sayfasının ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sayfası yani tarayıcının adres çubuğunda gösterilen URL (ornek.com.tr) tarafından yerleştirilmektedir. Üçüncü taraf çerezlerse kullanıcının ziyaret ettiği internet sitesinden (ya da etki alanından) farklı bir üçüncü kişi tarafından yerleştirilmektedir. 13 3-5809 SAYILI ELEKTRONİK HABERLEŞME KANUNU İLE 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ARASINDAKİ İLİŞKİ Çerezler konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında açıkça düzenlenmemektedir. Ancak, 5809 sayılı Elektronik Haberleşme Kanunu’nun 51’inci maddesinin üçüncü fıkrasının, AB’nin 2002/58/EC sayılı Direktifi’nin 5’inci maddesinin üçüncü fıkrası ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda, veri sorumlusu işletmeciler4 bakımından 5809 sayılı Kanun’un sınırlı bir uygulama alanı bulabileceği değerlendirilmektedir. Zira, 5809 sayılı EHK’nin “Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması” başlıklı 51’inci maddesi, 2002/58/ EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine5 yönelik hükümlerini içermemektedir. 5809 sayılı Kanun’un özel olarak düzenlemediği bilgi toplumu hizmetleri bakımından, 6698 sayılı Kanun’un çerezler vasıtasıyla kişisel verilerin işlenmesine uygulanabileceği görülmüş olup bu kapsamda Kişisel Verileri Koruma Kurulunun 27.02.2020 tarihli ve 2020/173 sayılı kararının dikkate 4 EHK’nın 4’üncü maddesinde yer alan tanıma göre işletmeciler BTK tarafından yapılan yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketlerdir. 5AB uygulamasına göre bilgi toplumu hizmetleri (Information Society Services) kavramının tanımına bakıldığında; genellikle bir ücret karşılığında, uzaktan, elektronik yolla ve hizmet alıcısının bireysel bir hizmet alma talebi üzerine yerine getirilen hizmetler olarak tanımlandığı görülmektedir. Bilgi toplumu hizmetlerini çevrim içi ortamda gazete okumaktan alışveriş yapmaya kadar geniş bir yelpazede düşünmek mümkündür. 14 alınabileceği değerlendirilmektedir. 5809 sayılı EHK’nin 51’inci maddesinin üçüncü fıkrası6 kapsamında, sadece elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve altyapısını işleten şirketler (işletmeciler ve alt-işletmeciler) kapsanmakta olup diğer veri sorumluları (örneğin kvkk. gov. tr dâhil pek çok internet sayfası operatörü) bu kapsamda yer almamaktadır. Bu durumda 5809 sayılı EHK’nin 51’inci maddesinin üçüncü fıkrası kapsamında, “haberleşmenin sağlanması” ibaresi ile sadece “işletmeci” niteliğini haiz veri sorumlularının, yine sadece aşağıda açıklanan “Kriter A” kapsamında çerezler vasıtasıyla açık rıza almadan veri işleyebileceği değerlendirilmektedir. Bununla birlikte, 51’inci maddede yer alan abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacı, yalnızca çerez kullanımına özgü değildir. 6EHK m. 51/3’te “Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir” hükmü yer almaktadır. 15 4-ÇEREZLERE DAİR DİKKATE ALINMASI GEREKEN KURALLAR 6698 sayılı Kanun kapsamında, veri sorumlularının çerezler aracılığıyla kişisel veri işlenmesinde aşağıdaki kriterleri göz önünde bulundurmaları tavsiye edilmektedir: Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması, Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması. 6698 sayılı Kanun Kapsamında Çerezler Bakımından Kişisel Veri İşleme Şartları - Açık rızanın bulunması ya da - Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurması gerekmektedir. 5’inci ve/veya 6’ncı maddelerdeki işleme şartlarının uygulanması kapsamında, kişisel veri işlemenin Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanması hâlinde bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır. Veri sorumlusu öncelikli olarak kişisel veri işleme faaliyetinin amacının açık rıza dışındaki diğer işleme şartlarından birine dayanıp dayanmadığını 16 değerlendirmeli, eğer bu amaç Kanun’da yer alan açık rıza dışındaki diğer şartlardan hiçbirini karşılamıyorsa, bu durumda veri işleme faaliyeti ilgili kişinin açık rızasına dayanmalıdır. Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına dayanılması durumunda, Kriter A ve B’nin kapsamı da göz önünde bulundurularak kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılması suretiyle bir denge testi yapılmasıyla meşru menfaatin varlığının değerlendirilmesi tavsiye edilir. 7 1 Örneğin bir internet sitesinde yük dengeleme çerezi kullanılması yoluyla, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması mümkün olup kullanıcılardan gelen web talepleri bir yük dengeleme ağ geçidine yönlendirilerek bu talep havuzdaki müsait durumdaki bulunan iç sunuculara iletilir. Bu kapsamda kullanıcı taleplerinin uygun şekilde yeniden yönlendirilmesi amacının Kriter A kapsamında değerlendirilmesi mümkün olup veri sorumluları tarafından bu amaçla çerez kullanılması suretiyle kişisel veri işlenmesinde, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına gidilebileceği düşünülmektedir. Bu işleme şartına dayanılarak kişisel veri işlenmesi hâlinde, ilgili kişilerin temel hak ve özgürlükleri bakımından da herhangi bir 7https://www.kvkk.gov.tr/Icerik/5434/2019-78 17 tehlikenin söz konusu olmaması gerekmektedir. Yine, bir kimsenin bir e-ticaret sitesinde sepetine ürün eklemesi kapsamında çerezler vasıtasıyla kişisel verilerinin işlenmesi hâlinde, bir satış sözleşmesinin kurulması veya ifası ile Kanun’un 5’inci maddesinin ikinci fıkrasının (c) bendine dayanılması gündeme gelebilecektir. 18 5-AÇIK RIZA DIŞINDAKİ DİĞER İŞLEME ŞARTLARI DAHİLİNDE ÇEREZ KULLANIM SENARYOLARI81 Bu bölümde, kullanım senaryoları kapsamında açık rıza dışındaki diğer kişisel veri işleme şartlarına dayanabilecek çerezlerin kullanım amaçları üzerinde durulacaktır. 5.1. Kullanıcı Girdili Çerezler (Kriter B) Bu tür çerezler, kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran oturum çerezleridir. Bu çerezler, tipik olarak benzersiz bir numara olan Oturum-ID değerine bağlı birinci taraf çerezler olup en geç oturumun sonlanmasıyla birlikte çerezin kullanım süresinin de bitmesi beklenmektedir. Birinci taraf kullanıcı girdili oturum çerezleri, tipik olarak internet sayfalarında bulunan çevrim içi bir formu ya da alışveriş sepetini doldururken kullanıcıyı izleyen, kullanıcının butonu tıklayarak seçtiği ürünlerin veya forma girdiği bilgilerin kaydını tutan çerezlerdir. Bu tip çerezlerde bir bilgi toplumu hizmetinin sağlanmasının kullanıcı tarafından açıkça talep edilmesi gerekmekte olup (örneğin bir formu doldurmak ya da bir butonu tıklamak gibi) bu çerez türü Kriter B kapsamında değerlendirilebileceğinden açık rıza gerektirmemektedir. 8Bu bölümde belirtilen örnekler tahdidi nitelikteki olmayıp karşılaşılan durum ve olaylara göre çeşitlendirilmesi mümkündür. 19 5.2. Kimlik Doğrulama Çerezleri (Kriter B) Kimlik doğrulama çerezleri, kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılmaktadırlar (örneğin bir çevrim içi bankacılık sitesinde). Bu çerezler, internet sitesinin ziyaret edilmesi veya bir içeriğe ulaşılabilmesi için (örneğin banka hesaplarına bakma, havale yapma gibi) ihtiyaç duyulan çerezlerdir. Bu çerezler genellikle oturum çerezleri olup bazı durumlarda kalıcı çerez niteliği de gösterebilmektedirler. Bir kullanıcı hesabına giriş yaptığında, kendisine izin verilen bir içerik ya da fonksiyonelliğe erişimi açıkça talep etmiş olmaktadır. Eğer bu çerez kullanılmamış olsaydı, her sayfa talebinde kullanıcının isim ve şifresini girmesi gerekecekti. Dolayısıyla bu doğrulama fonksiyonelliği, ilgili kişinin açıkça talep etmiş olduğu bilgi toplumu hizmetinin temel bir parçasıdır ve bu tip çerezler de Kriter B kapsamında açık rıza gerektirmemektedir. Veri sorumluları tarafından Kriter B’nin kapsamı değerlendirilirken, kullanıcının sadece söz konusu siteye erişimi ve gereksinim duyduğu spesifik işlevselliğin yerine getirilmesi için talepte bulunduğu göz önünde bulundurulmalı, kimlik doğrulama çerezinin kullanımının çerezin ikincil amaçlarla (örneğin davranışların takibi ve reklamcılık amaçlarıyla) kullanımında bir dayanak noktası olarak değerlendirilmemesi gerekmektedir. Tarayıcı oturumları arasında kimlik doğrulama tanımlayıcılarını depolayan sürekli çerezler, Kriter B kapsamında değerlendirilmemektedir. Bu önemli bir ayrımdır, zira kullanıcı tarayıcıyı kapattığı anda kimlik doğrulama ayarlarının temizlenmediğinin farkında 20 olmayabilir ve anonim olduğu varsayımıyla söz konusu internet sayfasına geri döndüğünde hala hesaba giriş yapmış durumda bulunurlar. Bu durumda uygulanan yaygın bir yöntem, internet sayfasında kullanıcı hesabını açarken ayrıca “beni hatırla (çerez kullanır)” gibi bir kutucuk eklenmesidir. Bu sayede kullanıcı tarafından bu hizmetin açıkça talep edilip edilmediği hususuna açıklık getirilebilecektir. 5.3. Kullanıcı Merkezli Güvenlik Çerezleri (Kriter B) Kriter B, kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında güvenliği artırmak amaçlı çerezlere de uygulanabilmektedir. Bu durum, bir internet sitesinde tekrarlanan başarısız oturum açma girişimlerini tespit etmek için kullanılan çerezler veya oturum açma sistemini kötüye kullanımlardan korumak için tasarlanmış diğer çerezler için de geçerlidir. Tipik olarak, hesaba giriş çerezleri bir oturum bitiminde sona ermekteyken, kullanıcı güvenliği çerezlerinin güvenlik amacını yerine getirmek üzere daha uzun bir ömrü olması beklenir. 5.4. Multimedya Oynatıcısı Oturum Çerezleri (Kriter B) Bu çerezler, videoyu yeniden oynatmaya veya ses içeriğine (örneğin görüntü kalitesi, ağ bağlantı hızı, arabellek parametreleri) ilişkin ihtiyaç duyulan teknik veriyi depolamak için kullanılmaktadır. Multimedya oynatıcısı 21 oturum çerezleri “flash çerezler” olarak da bilinmektedirler. Bu çerezlerin oturum sonlandığında süreleri de bitmektedir. Kullanıcı, video veya yazı içeriğine ulaşmak istediğinde, hizmeti açıkça talep ettiği için bu video gösterim işlevi Kriter B kapsamında değerlendirilmektedir. 5.5. Yük Dengelemesi Oturum Çerezleri (Kriter A) Yük dengelemesi, tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması işlemlerine izin veren bir tekniktir. Buna göre kullanıcılardan gelen web talepleri bir yük dengeleme ağ geçidine yönlendirilerek talep, havuzdaki müsait durumda bulunan iç sunuculara iletilmektedir. Bu durumda, söz konusu yeniden yönlendirme oturum boyunca kalıcı olmaya ihtiyaç duyar, spesifik bir kullanıcıdan gelen tüm talepler, işlemin tutarlılığını sağlamak üzere her zaman havuzdaki aynı sunucuya yönlendirilir. Bunlar oturum çerezleri olup bu çerezde tutulan bilginin tek amacı haberleşme uç noktalarını (havuzlardaki sunuculardan birini) tespit etmektir. Çerez, ağ üzerinden haberleşmenin gerçekleştirilmesi için gerekli olup Kriter A kapsamında açık rıza gerektirmemektedir. 5.6. Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri (Kriter B) Bu çerezler, kullanıcının internet sayfalarındaki bir hizmete ilişkin tercihlerini depolamak için kullanılmakta olup kullanıcı adı gibi kalıcı tanımlayıcılarla bağlantı kurulmamaktadır. Yalnızca kullanıcının açık isteği ile belli bir bilgi parçasını 22 hatırlamak üzere yerleştirilebilmektedirler (örneğin bir butonu tıklamak veya kutuyu işaretlemek gibi). Bunlar, oturum çerezleri gibi oturum süresince geçerli olabileceği gibi amaçlarına göre geçerlilik süreleri haftaları ya da ayları bulabilmektedir. Kişiselleştirme amaçlı olan bu çerezlerin tipik örnekleri; - Çok dilli bir internet sayfasında (bir bayrağa tıklamak suretiyle) kullanıcı tarafından seçilen bir dil seçeneğini hatırlamak üzere kullanılan dil tercih çerezi, - Kullanıcının çevrim içi arama sorgularına dair tercihlerini hatırlamak üzere kullanılan sonuç gösterici tercih çerezleri (örneğin sayfa başına kaç sonuç çıkacağının seçilmesi). İşlevselliklerin kişiselleştirilmesinin kullanıcı tarafından açıkça talep edilmiş olması (örneğin bir buton ya da kutucuğun tıklanması suretiyle) durumu, ek bir bilgi verilmese de kullanıcının niyetinin, söz konusu seçimin bir oturum süresinden daha uzun süre hatırlanması olarak yorumlanamayacaktır. Bu tür oturum çerezleri, Kriter B kapsamına giren ve açık rıza gerektirmeyen çerezler olarak değerlendirilmektedir. 5.7. Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri (Kriter B) Birçok sosyal ağ, internet sayfası operatörlerine kendi platformlarına entegre edebilecekleri, sosyal ağ kullanıcılarının beğendikleri içerikler veya yaptıkları yorumları “arkadaşlarıyla” paylaşmalarına izin verebilecek “sosyal eklenti modülleri” sunmaktadır. 23 Bu sosyal eklenti modülleri, kullanıcıların terminal ekipmanlarında, sosyal ağlardaki üyeler söz konusu eklentilerle etkileşime geçtiği anda söz konusu sosyal ağın üyeleri tespit etmesini sağlamak üzere çerezler depolamakta ve bu çerezlere erişim sağlamaktadır. Ancak bu durumda, tarayıcı üzerinden bir sosyal ağ hesabına giriş yapmış (log-in yapmış) olan kullanıcılar ile söz konusu sosyal ağa hiç üye olmayanlar ve sosyal ağa üye olup log-out yapmış olanlar arasında bir ayrıma gidilmelidir. Tanım olarak sosyal eklentiler sosyal ağ kullanıcılarına hitap etmekte olup üye olmayanlara dair bir kullanım alanı sunmamakta, dolayısıyla da Kriter B sosyal ağa üye olmayanlar veya hesabından çıkış yapmış sosyal ağ üyeleri için geçerli olmamaktadır. Sosyal eklentiler üçüncü taraf çerezleri kullanmadan önce üye olmayanların ve sosyal ağ hesabından çıkmış olan üyelerin açık rızasını alması tavsiye edilir. Ancak, hesabına giriş yapmış pek çok kullanıcı üçüncü taraf internet sayfalarındaki sosyal eklentilere erişmeyi ve bunları kullanmayı bekler. Bu özel durumda, kullanıcı tarafından açıkça talep edilen bir işlevsellik için kesinlikle gerekli olan bir çerez söz konusu olup Kriter B uygulama alanı bulacaktır. Bu çerezler oturum çerezi olmak zorundadır (zira kalıcı kimlik doğrulama çerezleri yukarıda bahsi geçen kriterler kapsamına girmemektedirler) ve belli bir amaca hizmet ettikleri için kullanıcının sosyal ağ platformundan “log-out” olduğu veya (beni hatırla özelliğinin kullanılmadığı durum için) tarayıcıyı kapattığı durumlarda ömrü sonlanması tavsiye edilir. 24 5.8. Açık Rıza Yönetim Platformu için Kullanılan Çerezler (Kriter B) İlgili kişilerin girdikleri internet sayfalarında kullanılan çerezlerden, açık rızaya tabi olanlar için alınması gereken açık rızalara dair tercihlerin belli bir süreyle hatırlanması için kullanılan çerezin de Kriter B kapsamında olduğu değerlendirilmekte olup ayrıca bir açık rıza gerektirmediği düşünülmektedir. Bu çerezin ömrünün, Kanun’un 4’üncü maddesinde yer alan genel ilkeler göz önünde bulundurularak belirlenmesi tavsiye edilmektedir. 5.9. Birinci Taraf Analitik Çerezler (Kriter B) Bir internet sitesini veya uygulamayı yönetmek için trafik ve/veya performans istatistiklerinin kullanılması, bu istatistiklerin üretilmesi sitenin veya uygulamanın düzgün çalışması ve dolayısıyla hizmetin sağlanması için gereklidir. Amacı sitenin veya uygulamanın hedef kitlesini ölçmekle sınırlı olan çerezler; performans ölçümü, navigasyon problemlerinin tespiti, teknik performansın optimizasyonu veya ergonomi, gerekli sunucuların gücünün tahmini gibi ihtiyaçları karşılaması, yani bir internet sitesinin veya uygulamanın işleyişi ve günlük yönetimi için kullanılmasının talep edilen hizmetle ilişkili olduğu göz önünde bulundurulduğunda birinci taraf analitiklerin Kriter B kapsamında değerlendirilebileceği düşünülmektedir. Öte yandan, bu amacı gerçekleştirmek için amaçla bağlantılı, sınırlı ve ölçülü olarak kişisel verilerin işlenmesi, işlenmesi zaruri olmayan kişisel verilerin anonimleştirilmesi tavsiye edilmektedir. Örneğin sık kullanılan bir teknik 25 olarak IP bilgisinin maskelenmesi suretiyle kimlik belirleme riski azaltılabilmektedir. Aynı şekilde bu çerezlerin yalnızca anonim istatistikler üretmek için kullanılması, kişilerin internet gezinmelerinin farklı internet siteleri veya uygulamalar arasında çapraz takibi92amacıyla kullanılmaması gerekmektedir. Kişilerin internet gezinmelerinin farklı internet siteleri veya uygulamalar arasında çapraz takibi amacıyla kullanılmasının, Kanun’un 4’üncü maddesinin birinci fıkrasında yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmayacağı değerlendirilmektedir. Çerezin ömrünün makul olması ve toplanan verilerin üçüncü taraflara iletilmemesi veri sorumluları tarafından alınacak tedbirler arasında sayılabilir. 5.10. İnternet Sitesinin Güvenliği için Kullanılan Çerezler (Kriter B) İnternet sitesinin güvenlik zafiyeti nedeniyle hizmet verememesi, hizmet dışı bırakılması, kullanıcının talep ettiği hizmete erişememesine neden olacağından, internet sitesinin güvenliği için kullanılan çerezlerin de kullanıcının talep ettiği hizmet için kesinlikle gerekli olduğu değerlendirilmektedir. Örneğin bir web uygulaması güvenlik duvarı tarafından kullanıcının tanımlanarak oturum başına kullanıcı talep 9Temel internet teknolojisi, reklam ağı sağlayıcılarının ilgili kişileri farklı web sitelerinde ve zaman içinde izlemesine olanak tanımaktadır. Tarama alışkanlıkları hakkında toplanan bilgiler, ilgili kişilerin ilgi alanları hakkında kapsamlı profiller oluşturmak için analiz edilmektedir. 26 sayısının sınırlanması amacıyla kullanılan bir çerezin, sitenin güvenliği ve kullanıcının hizmete erişilebilirliğinin sağlanması ve dolayısıyla da Kriter B kapsamında kullanıcı tarafından talep edilen bir hizmet için kesinlikle gerekli olduğu değerlendirilebilecektir. Bu amaca hizmet eden çerez kullanımı için veri sorumlusu, açık rıza dışındaki diğer işleme şartları dâhilinde örneğin “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartına gidilebilecektir. 27 6-AÇIK RIZA İŞLEME ŞARTI DAHİLİNDEKİ ÇEREZ KULLANIM SENARYOLARI10 Yukarıda açıklanan Kriter A veya B kapsamına girmeyen çerez kullanım senaryolarına bakıldığında: 6.1. Sosyal Eklenti Takip Çerezleri Birçok sosyal ağ, üyeleri tarafından “açıkça talep edildiği” kabul edilebilecek bazı hizmetleri sağlamak için, internet sitesi sahiplerinin internet sitelerine entegre edebilecekleri sosyal eklenti modülleri sunmaktadır. Ancak bu modüller davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılabilmektedir. Bu tür amaçlar doğrultusunda, bu çerezlerin kullanıcı tarafından açıkça talep edilen bir işlevselliği sağlamak için “kesinlikle gerekli” olduğu kabul edilemeyeceğinden, bu tür takip çerezleri Kriter B kapsamına girmemektedirler. Açık rıza olmaksızın sosyal ağların, kendi ağlarına üye olmayanlar hakkında sosyal eklentiler aracılığıyla veri toplaması için herhangi bir yasal dayanağın bulunması olası değildir. Varsayılan olarak sosyal eklentiler, üye olmayanlara gösterilen sayfalara üçüncü taraf çerez yerleştirmemelidir. 10Bu bölümde belirtilen örnekler tahdidi nitelikteki olmayıp karşılaşılan durum ve olaylara göre çeşitlendirilmesi mümkün olabilecektir. 28 6.2. Çevrim İçi Davranışsal Reklamcılık Çerezleri Davranışsal reklamcılık için kullanılan çerezler açık rıza gerektirmektedir. Bu durumda açık rıza gerekliliği; doğal olarak gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama amacıyla kullanılan çerezler de dâhil olmak üzere reklamcılık amacıyla kullanılan ilgili çerezleri kapsar; zira bu amaçlardan hiçbirinin, Kriter B’nin gerektirdiği şekilde, kullanıcı tarafından açıkça talep edilen bilgi toplumu hizmetleri kapsamında bir hizmet ya da işlevsellikle ilgili olmadığı açıktır. 29 7-HUKUKA UYGUN ŞEKİLDE ALINMASI GEREKEN AÇIK RIZANIN UNSURLARI Açık rızanın, ilgili kişilerin neye onay vermelerinin istendiği hususunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemle elde edilmesi gerekmektedir. Kullanıcının herhangi bir aktif eylemine dayanmayan rızaların, açık rıza olarak kabul edilemeyeceği de belirtilmelidir. Bu yüzden de sadece internet sitesine girilmiş olması söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmemektedir. Açık rızanın alınması hususunda “belirli bir konuya ilişkin olma, bilgilendirmeye dayanma ve özgür irade” unsurlarının varlığı önem teşkil etmektedir. Bu kapsamda Kanun’da yer alan açık rızanın unsurlarının yanı sıra çerezlerin yerleştirilmesinden önce uygun hukuki sebeplerden biri olan açık rıza alınması gerektiğine dikkat edilmelidir. 7.1. Belirli Bir Konuya İlişkin Olması “Belirli bir konuya ilişkin olma” unsurunun karşılanması bakımından, çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının belirtilmesinin gerekli olduğu düşünülmektedir. İlgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez. 30 7.2. Bilgilendirmeye Dayanması “Uygun Aydınlatmanın Yapılması” başlığı altında ayrıntılı olarak ele alınmıştır. 7.3. Özgür İradeyle Açıklanması İlgili kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği göz önünde bulundurulduğunda, çerezler bakımından da verilen açık rızanın geri alınabilir olması gerekmektedir. Bu açıdan, çerez yönetim paneline veya açık rıza alınan araca erişebilirliğin sağlanması gerekmekte olup açık rızanın rahatça geri alınabilmesi için rıza yönetim platformunun bir ikona ya da içeriği engellemeyecek kadar küçük bir banda dönüştürülerek internet sayfasının küçük bir köşesinde bulunması iyi bir örnek olarak değerlendirilebilir. Bununla birlikte, rızanın çok sık aralıklarla alınmasının “rıza yorgunluğu”na yol açabileceği ve bu sebeple ilgili kişinin özgür iradesini sakatlayabileceği göz önünde bulundurularak ilgili kişinin her siteye girişinde açık rıza alınması yoluna gidilmemesi, ancak açık rıza tercihinin periyodik olarak hatırlatılmasının (söz konusu çerezin ömrü ile orantılı olacak şekilde) uygun olduğu değerlendirilmektedir. Söz konusu çerezlerin ömürlerinin belirlenmesinde Kanun’un genel ilkeler başlıklı 4’üncü maddesinde belirtilen temel ilkelerin göz önünde bulundurulması gerekmektedir. Öte yandan, çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da 31 bant gibi uygulamalar111) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulması iyi uygulama örneği olabilecektir. Kanun’un 10’uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu çerez yönetim paneline, çerezler yoluyla kişisel veri işlenmesine dair bir açıklama veya gerekirse bir link konulması doğru bir uygulama örneği teşkil edecektir. Bu kapsamda, açık rıza ile işlenmesi gereken çerezlerin yönetim panelinde ilk elde pasif biçimde gelmesi önem arz etmektedir. Çevrim içi reklamcılık çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisine iliştirme (bundled) yöntemiyle açık rıza alınmasının mümkün olmayacağına da dikkat etmek gerekmektedir. Zira sözleşme kapsamında verilen temel hizmetin yerine getirilebilmesiyle doğrudan ilgisi olmayan kişisel verilerin işlenmesinde sözleşmeye dayanılması ilgili kişilerin yanıltılması anlamına gelecektir. Dolayısıyla çevrim içi reklamcılık çerezlerinde açık rıza hususu “Kullanım Koşulları ve Sözleşmesi” ya da “Gizlilik Bildirimi” gibi dokümanlara iliştirilemeyecek olup veri sorumlularının ilgili kişiye karşı dürüst olması gerekmektedir. Ayrıca çerez yoluyla kişisel veri işlemesinde açık rıza istenmesi durumu, ilgili kişiye sözleşmenin kurulması veya ifasının ön koşulu olarak dayatılamayacaktır.12 11Web tarayıcılarında çıkan pop-up, bant ya da banner gibi uygulamalar dışında, internete bağlanan terminal ekipmanlar (örneğin akıllı televizyonlar, buzdolapları, giyilebilir cihazlar vb.) bakımından da çerez kullanımı mümkün olabilmektedir. Bu durumlarda kullanıcılara aydınlatma yapılması ve açık rıza alınması için alternatif metotlar göz önünde bulundurulmalıdır. 12https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-SartinaBaglanmasi 32 7.3.1 Çerez Duvarları Çerez duvarları bir ziyaretçinin internet sitesinde yer alan tüm çerezlerin kullanılmasına onay vermedikçe internet sitesinin içeriğini görüntülemesini engelleyen uygulamalardır. Açık rızanın özgür bir biçimde verilebilmesi kapsamında çerez duvarlarının ilgili kişinin rızasını ortaya koyarken gerçek bir seçim yapmasını engellemesi söz konusu olabilir. Zira siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesi hususu hizmetin ön koşulu olarak ilgili kişiye dayatıldığı durumlarda çerez duvarının ilgili kişinin özgür iradesini sakatlaması söz konusu olabilecek ve bu durumda alınan açık rıza, geçerli bir açık rıza olmayacaktır. Bununla birlikte, her olay özelinde değerlendirme yapılması kaydıyla, ilgili kişilerin bir hizmeti elde edebilmeleri için çerez duvarı dışında belirli birtakım adil alternatifler sunulması söz konusu olabilecektir. 7.4. Tarafların Sorumluluğu Ayrıca, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda, hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür. Uygulamada, kullanıcıyla bağlantı kurulması noktasında daha az doğrudan kontrol sahibi olan bir üçüncü tarafın bunu başarmasının daha zor olduğu açıktır. Kullanıcıların endişe veya şikâyetleri için tespit edebildikleri veya ilişkide bulundukları kişi olan internet sitesini işleten şirkete başvurmalarının daha muhtemel olduğunu göz 33 önünde bulundurmasının önemli olduğu düşünülmektedir. Bu nedenle birlikte çalışmanın her iki tarafın da menfaatine olacağı değerlendirilmektedir. Çerez yerleştirmek isteyen üçüncü taraflar veya çerezlerin kullanılmasını gerektiren bir ürün sağlamak isteyenler, internet sitesi yayımcıları ile aralarındaki sözleşmeye bu konuda hüküm ekleyebilirler. Bu durum, üçüncü taraf çerezler hakkında aydınlatma yapmak ve rıza almak için uygun tedbirlerin alınacağına dair bir güvence sağlayabilir. 34 8-YURT DIŞINA AKTARIM Kişisel verilerin yurt dışına aktarımı 6698 sayılı Kanun’un 9’uncu maddesinde hükme bağlanmış olup, söz konusu maddenin birinci fıkrasına göre ilk aktarım şartı ilgili kişinin açık rızasının alınması hususudur. Açık rıza şartı dışında, 6698 sayılı Kanun’un 5’inci maddesinin ikinci fıkrası veya 6’ncı maddesinin üçüncü fıkrasında yer alan işleme şartlarının olması kaydıyla yeterli korumanın bulunması veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kişisel Verileri Koruma Kurulunun izninin bulunması durumlarında ilgili kişinin kişisel verileri yurt dışına aktarılabilecektir. Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik birtakım şirketler vasıtasıyla çerez kullandığı ve bu çerezler aracılığıyla yurt dışına veri aktarımı faaliyeti gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin 6698 sayılı Kanun’un 9’uncu maddesindeki şartlara uygun şekilde yapılması gerektiği söylenebilecektir. 35 9-UYGUN AYDINLATMANIN YAPILMASI Aydınlatma yükümlülüğünün yerine getirilmesinde Kanun’un 10’uncu maddesi ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”in (Tebliğ) hükümlerine uygun hareket edilmesi gerekmektedir.13 Buna göre; hangi hukuka uygunluk sebebine dayanıldığından bağımsız olarak, kişisel verilerin elde edildiği her durumda, en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna aittir. Ayrıca anılan Tebliğ’in 5’inci maddesinin birinci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmektedir. Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır. Yine aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi bulunan Gizlilik Bildirimlerinin sunulması 13Ayrıca, hukuka uygun aydınlatmalara dair Kurumun internet sitesinde yer alan “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi” rehberine de bakılması mümkündür. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf 36 aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır. Ayrıca bir internet sitesini ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmadığı düşünüldüğünde, yalnızca siteye girmiş olması ile kişisel verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Bu durumda site ziyareti ile birlikte kişisel veri işlenmeye başlanması için aydınlatmanın, kişisel veri işleme şartından bağımsız olarak internet sitesine giriş aşamasında yapılması gerekmekte olup internet sitesine girişte kişisel verilerin işlendiğine dair bir bilgilendirmenin sunulmadığı (ör. pop- up mesajlar) durumlarda aydınlatma yükümlülüğüne aykırılık gündeme gelebilecektir. Ayrıca aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesi tavsiye olunur. Ürün ve hizmetin hitap edeceği kitle çocuklar ise aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanmalı, gerekirse resim ve görsel efektlerle desteklenen daha anlaşılır, sade ve açık bir dil kullanılmalıdır.142 14Çocukların Kişisel Verilerinin Korunması, Ürün ve Hizmet Geliştirenler” Tarafından Dikkat Edilmesi Gerekenler, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/db0b3f30-c636-4fcb-930a-bf8f2e524de8.pdf 37 10-BİR ŞİRKET HAKKINDAKİ BAŞVURU İLE İLGİLİ KİŞİSEL VERİLERİ KORUMA KURULUNUN 27/02/2020 TARİH VE 2020/173 SAYILI KARARININ ÇEREZLER AÇISINDAN DEĞERLENDİRİLMESİ 10.1 Kararın İlgili Bölümü Kanun’un Tanımlar başlıklı 3’üncü maddesinin birinci fıkrasının (a) bendinde açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan rıza olarak tanımlanmıştır. Kanun’da yer verilen bu tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında, opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdikleri kabul edilerek kişilere bu onayı sonradan kaldırmaları yönünde imkân veren bir sistemin değil; opt-in yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine önceden onay vereceği bir sistemin kullanılması gerekmektedir. Veri sorumlusunca “Gizlilik Bildirimi”nde yapılan açıklamada, “xxx.com.tr’yi ziyaret ederek işbu Gizlilik Bildiriminde belirtilen uygulamaları kabul etmekte ve onaylamaktasınız” ifadesinin yer aldığı, böylece ilgili kişilerin kişisel verilerinin işlendiğinden sadece haberdar olmadığı aynı zamanda Gizlilik Bildirimi’ni onaylayarak bu hususu kabul etmiş olduğu iddia edilmektedir. Ancak, üyelik oluşturulurken herhangi bir aşamada açık 38 rıza alınması yoluna gidilmediği ve açık rıza dışında da herhangi bir işleme nedenine dayanılmadığı hususu tespit edilmektedir. Gizlilik Bildirimi’nde yer alan ifade, aydınlatma yapılırken aynı zamanda kişilerden açık rıza alınması yoluna gidildiği izlenimini yaratmaktadır. Ancak açık rıza dışında işleme nedenlerinin varlığı hâlinde açık rıza alınması yoluna gidilmesi, dürüstlük kuralına aykırılık şeklinde yorumlanacağı gibi, açık rıza gerektiren veri işleme süreçleri bakımından da aydınlatmanın yapılması ile açık rıza alınmasının birlikte yapılması yürürlükteki mevzuata uygun kabul edilmemektedir. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin birinci fıkrasının (f) bendinde, kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği düzenlenmiştir. Bu kapsamda veri sorumlusunca internet sitesinde yayımlanan Gizlilik Bildirimi, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı ve açık rıza alındığı anlamına gelmemektedir. İnternet sitesine girildiği anda çerezler vasıtasıyla kişisel verilerin işlenmesine başlanmasına rağmen üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün yerine getirilmediği, dolayısıyla da Kanun’un 10’uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de düzenlenen usul ve esaslara uyulmadığı tespit edilmektedir. 39 Zira, siteyi ilk defa ziyaret eden bir kişinin daha henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızasının olup olmayacağının belirli olmadığı gerekçeleriyle yalnızca siteye girmiş olması ile verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyeceği kanaatinden hareketle, farklı veri işleme araçları kullanılarak site ziyareti ile birlikte veri işlenmeye başlanması için aydınlatmanın öncelikle internet sitesine giriş aşamasında yapılması gerektiği, ancak internet sitesine girişte farklı araçlarla kişisel verilerin işlendiğine dair bir bilgilendirmenin sunulmadığı (ör. pop- up mesajlar) ve yapılan işleme için izin verilmesine dair bir istemin de mevcut olmadığı tespit edilmiştir. Bu durumun veri işleme faaliyetindeki hem açık rıza şartına hem de aydınlatma yükümlülüğüne aykırılık teşkil ettiği değerlendirilmektedir. 10.2 Kararın Önemli Noktaları • Aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi veren Gizlilik Bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır. • Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir. • Çerez yoluyla kişisel veri işlenmesine ilişkin olarak; 40 bir sözleşmenin kurulması veya ifası kapsamında açık rıza alınması, ilgili kişiye sözleşmenin ön koşulu olarak dayatılamayacaktır. • İlgili kişilerden açık rıza alınması yoluyla elde edilen kişisel verilerin işlenmesinde her bir farklı amaç için ayrı açık rıza alınmasına olanak veren bir mekanizma kurulmalıdır. • Kişisel verilerin -en geç- elde edilmesi sırasında yani internet sitesine girildiği anda aydınlatmanın yapılmış olması gerekmektedir. Aydınlatma henüz veri işlenmediği ya da en geç veri işlendiği esnada yapılmalıdır. • Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmemektedir. • Kararda, çerezler yoluyla kişisel verilerin işlenmesi için açık rıza dışında bir hukuki sebebe de dayanılabileceği değerlendirilmektedir. 41 REHBERİN HAZIRLANMASINDA FAYDALANILAN KAYNAKLAR Article 29 Data Protection Working Party: “Opinion 2/2010 on Online Behavioural Advertising”, WP 171, Haziran 2010, bkz. https://ec.europa.eu/justice/article-29/ documentation/opinion-recommendation/files/2010/ wp171_en.pdf Article 29 Data Protection Working Party: “Opinion 04/2012 on Cookie Consent Exemption”, WP 194, Haziran 2012, bkz. https://ec.europa.eu/justice/article-29/ documentation/opinion-recommendation/files/2012/ wp194_en.pdf Article 29 Data Protection Working Party: “Working Document 02/2013 Providing Guidance on Obtaining Consent for Cookies”, WP 208, Ekim 2013, bkz. https:// ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2013/wp208_en.pdf Directive 2009/136/EC: Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009 amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws, bkz. https://eur-lex.europa.eu/ 42 legal-content/EN/TXT/?uri=celex%3A32009L0136 European Data Protection Board (EDPB): “Statement of the EDPB on the revision of the ePrivacy Regulation and its impact on the protection of individuals with regard to the privacy and confidentiality of their communications”, Mayıs 2018, bkz. https://edpb.europa.eu/sites/edpb/files/ files/file1/edpb_statement_on_eprivacy_en.pdf European Union Agency for Fundamental Rights and Council of Europe: “Handbook on European Data Protection Law”, Nisan 2018, bkz. https://fra.europa. eu/sites/default/files/fra_uploads/fra-coe-edps-2018- handbook-data-protection_en.pdf Information Commissioner’s Office: “Guide to the Privacy and Electronic Communications Regulations”, Mayıs 2018, bkz. https://ico.org.uk/for-organisations/guide-topecr/cookies-and-similar-technologies/ Information Commissioner’s Office: “Guide to the General Data Protection Regulation”, Ağustos 2018, bkz. https:// ico.org.uk/media/for-organisations/guide-to-the-generaldata-protection-regulation-gdpr-1-0.pdf Information Commissioner’s Office: “Guidance on the Use of Cookies and Similar Technologies”, Temmuz 2019, bkz. https://ico.org.uk/for-organisations/ guide-to-pecr/guidance-on-the-use-of-cookies-andsimilar-technologies/what-are-cookies-and-similartechnologies/#cookies4 43 Kişisel Verileri Koruma Kurumu: “Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü”, Mart 2019, bkz. https://www.kvkk.gov.tr/SharedFolderServer/ CMSFiles/062384e3-d18c-4c38-b108-3a7a2a28e849. pdf Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications, Şubat 2021, bkz. https://data.consilium.europa.eu/doc/document/ST-6087- 2021-INIT/en/pdf İlgili Kararlar Avrupa Birliği Adalet Divanının 01.10.2019 tarih ve C-673/17 sayılı Planet49 Kararı. Kişisel Verileri Koruma Kurulunun 27.02.2020 tarih ve 2020/173 sayılı Kararı. 44 EKLER EK-1: ÇEREZ KULLANIMINA İLİŞKİN KONTROL LİSTESİ15 (Veri sorumluları için) 1) Çerezleri Anlamak Çerezlerin ne olduğunu ve ne için kullanılabileceğini anlıyoruz. Oturum çerezleri ve kalıcı çerezler arasındaki farkı biliyoruz. Birinci taraf ve üçüncü taraf çerezleri arasındaki farkı biliyoruz. 2) Çerez Kullanımını Denetlemek Çevrim içi hizmetimizin hangi çerezleri kullandığını veya kullanmayı amaçladığını hâlihazırda biliyoruz. İhtiyacımız olmayan tüm çerezleri kaldırdık. Her bir çerezin amaçlarını tespit ettik. Her bir çerezin hangi verileri işlediğini, kullanıcılarımız hakkında tuttuğumuz diğer bilgilerle bağlantılı olsun olmasın ya da kişisel veri işlemeyi içersin içermesin, tespit ettik. Kişisel verilerin yer aldığı durumlarda, bu verilerin Kanunla uyumlu şekilde işlenmesini sağladık. Çerezlerimizin oturum çerezleri mi yoksa kalıcı çerezler mi olduklarını tespit ettik. Çerezlerimizin birinci taraf mı yoksa üçüncü taraf çerezler mi olduğunu tespit ettik. Çerezlerimizin sona erme sürelerini ve bu sürelerin Kanun’a uygun olduğunu tespit ettik. 15Örnek mahiyetinde hazırlanmış olup her olay ve olgu özelinde duruma uygun değerlendirmenin yapılması tavsiye olunmaktadır. 45 Kesinlikle gerekli olan ve olmayan çerezleri tespit ettik. 3) Çerezler Hakkında Aydınlatma Kullandığımız çerezlerle ilgili olarak net ve kolay bir şekilde anlaşılacak aydınlatmayı sağladık. Aydınlatmanın kapsamlı olmasını ve kullandığımız kişisel veri işleyen tüm çerezleri kapsamasını sağladık. 4) Çerezler için Açık Rıza Çevrim içi hizmetlerimizin kullanıcılarının, kesinlikle gerekli olmayan tüm çerezlerin ayarlarını kontrol etmelerine izin veren bir açık rıza mekanizmasını uygulamaya koyduk. Açık rıza mekanizmalarımızın Kanun’a uygun olmasını sağladık. Herhangi bir çerez açık rıza kaydını uygun bir süre için saklamaktayız. 5) Çerez Kullanımımızı Belgelemek ve Gözden Geçirmek Yukarıdakilerin hepsini belgeledik. Uygun bir gözden geçirme periyodu belirledik. 46 EK-2: İyi Uygulama Örneği Olarak İnternet Sitesinde Bant Kullanımı16 16Örnek mahiyetinde hazırlanmış olup her olay ve olgu özelinde duruma uygun değerlendirmenin yapılması tavsiye olunmaktadır. 47 EK-3: İyi Uygulama Örneği Olarak İnternet Sitesinde Rıza Yönetim Platformu17 17Örnek mahiyetinde hazırlanmış olup her olay ve olgu özelinde duruma uygun değerlendirmenin yapılması tavsiye olunmaktadır. 48 EK-4: ÇEREZLERE İLİŞKİN ÖRNEK AYDINLATMA METNİ18 Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla AAA Şirketi tarafından hazırlanmıştır. Bu Çerez Aydınlatma Metni’nin amacı, internet sitemizde kullanılan çerezlerin cihazınıza yerleştirilmesi aracılığıyla otomatik yolla elde edilen kişisel verilerin işlenmesine ilişkin olarak, hangi amaçlarla hangi tür çerezleri kullandığımızı ve bu çerezleri nasıl yönetebileceğiniz hakkında sizlere bilgi vermektir. İnternet sitemizde kullandığımız, zorunlu çerezler haricindeki çerezler için, kullanıcıların açık rızaları alınmakta ve istedikleri zaman rızalarını değiştirebilme olanağı sağlanmaktadır. Kullanıcılar çerez yönetim paneli üzerinden, internet sitemizde kullanılan çerez çeşitlerini görebilmekte ve Zorunlu Çerezler dışında kalan tüm çerezler için “açık” veya “kapalı” seçenekleri ile tercihlerini belirleyebilmektedirler. Yine bu panel üzerinden kullanıcılar tercihlerini her zaman değiştirebilmektedirler. Çerez Çeşitleri Kullanım süresine göre çerez çeşitleri: İnternet sitemizde kullanım sürelerine göre oturum çerezleri ve kalıcı çerezler kullanmaktadır. Oturum çerezi, oturumun sürekliliğinin sağlanması amacıyla kullanılmakta olup kullanıcı 18Örnek mahiyetinde hazırlanmış olup her olay ve olgu özelinde duruma uygun değerlendirmenin yapılması tavsiye olunmaktadır. 49 tarayıcısını kapattığında bu çerezler de silinmektedir. Kalıcı çerez ise internet tarayıcısı kapatıldığı zaman silinmemekte ve belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir. Birinci taraf ve üçüncü taraf çerezler: Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sitesinin ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sitesi yani tarayıcının adres çubuğunda gösterilen internet adresi (ornek.com. tr) tarafından yerleştirilmektedir. Üçüncü taraf çerezlerse kullanıcının ziyaret ettiği etki alanından farklı bir etki alanı tarafından yerleştirilmektedir. Kullanım amaçlarına göre çerez çeşitleri: İnternet sitemizde kullanım amacına göre aşağıdaki çerezler kullanılmaktadır: 1) Zorunlu Çerezler: Bu çerezler internet sitemizin çalışması amacıyla gerekli olan çerezlerdir. Söz konusu çerezler birinci taraf çerezler olup oturum süresince (gizlilik tercihlerinize dair çerezler hariç olmak üzere, zira bu çerezler oturum süresinden daha uzun ömürlüdür.) kişisel veri işlemekte, oturum sonlandığında otomatikman silinmektedirler. Söz konusu çerezler talep etmiş olduğunuz bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatırlanması) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Ayrıca performans ve analitik amaçlı çerez internet sitemizdeki ziyaretçilerin sayılması ve 50 trafiğin ölçülmesine olanak sağlamaktadır ve birinci taraftır. Bu sayede sitemizin performansını ölçmekte ve iyileştirebilmekteyiz. Bu çerezler internet sitemizdeki hangi sayfaların en popüler olduğu, hangilerinin de en az popüler olduğunu anlamamıza yardımcı olmaktadır. 2) Reklam/Pazarlama Çerezleri Bu çerezler internet sitemiz aracılığıyla reklam ortaklarımızın yerleştirdikleri çerezler olup üçüncü taraf çerezlerdir. Bu çerezler iş ortaklarımız tarafından ilgi alanlarınıza göre profilinizin çıkarılması ve size ilgili reklamlar göstermek üzere kullanılmaktadır. 3) İşlevsel Çerezler Bu tür çerezler, internet sitemizi daha işlevsel kılmak ve kişiselleştirme amaçlarıyla (gizlilik tercihleriniz hariç olmak üzere diğer tercihlerinizin siteye tekrar girdiğinizde hatırlanmasını sağlamak) kullanılmaktadır. Kişisel Verilerin Hangi Amaçlarla İşleneceği ve Hukuki Sebepler Zorunlu çerezler, talep etmiş olduğunuz bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatırlanması, internet sitemizdeki ziyaretçilerin sayılması ve trafiğin ölçülmesi) yerine getirilebilmesi amacıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel verileriniz, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin 51 taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veya (f) bendi “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında işlenmektedir. Reklam ve Pazarlama çerezleri, iş ortaklarımız tarafından ilgi alanlarınıza göre profilinizin çıkarılması ve size ilgili reklamlar göstermek amacıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel verileriniz, Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rızanızın alınması suretiyle işlenmektedir. İşlevsel çerezler, internet sayfamızı daha işlevsel kılmak ve kişiselleştirmek (gizlilik tercihleriniz hariç olmak üzere diğer tercihlerinizin siteye tekrar girdiğinizde hatırlanmasını sağlamak) amaçlarıyla kullanılmaktadır. Bu çerezler aracılığıyla toplanan kişisel verileriniz, Kanun’un 5’inci maddesinin (1) numaralı fıkrası kapsamında açık rızanızın alınması suretiyle işlenmektedir. İnternet sitemizde yer alan çerezlere ilişkin bilgiler aşağıdaki tabloda yer almaktadır: 52 Çerezin İsmi Çerezin Amacı Çerez Tipi Çerezin Saklama Süresi Çerez1a İnternet sitemizin çalışması amacıyla gerekli olan çerezler olup talep etmiş olduğunuz bir bilgi toplumu hizmetinin (log-in olma) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Sayfaya girildiğinde aktif olarak yerleştirilmektedirler. Birinci Taraf Çerez Oturum süresince saklanırlar. Çerez1b İnternet sayfasının çalışması amacıyla gerekli olan çerezler olup talep etmiş olduğunuz bir bilgi toplumu hizmetinin (form doldurma) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Sayfaya girildiğinde aktif olarak yerleştirilmektedirler. Birinci Taraf Çerez Oturum süresince saklanırlar. Çerez1c İnternet sitemizin çalışması amacıyla gerekli olan çerezler olup talep etmiş olduğunuz bir bilgi toplumu hizmetinin (gizlilik tercihlerinin hatırlanması) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Sayfaya girildiğinde aktif olarak yerleştirilmektedirler. Birinci Taraf Çerez 365 gün süreyle saklanmaktadır. 53 Çerez2 Bu çerez internet sitemizdeki ziyaretçilerin sayılması ve trafiğin ölçülmesi amaçlarıyla kullanılmaktadır. Bu sayede sitemizin performansını ölçmekte ve iyileştirebilmekteyiz. Yalnızca anonim istatistikler üretilmekte kişilerin internet gezinmelerini farklı internet siteleri veya uygulamalar arasında çapraz takibi amacıyla kullanılmamaktadır. Birinci Taraf Çerez 180 gün süreyle saklanmaktadır. Çerez-3 Bu çerezler internet sitemiz aracılığıyla yerleştirilmiş reklam ortaklarımızın çerezleri olup üçüncü taraf çerezlerdir. Bu çerezler iş ortaklarımız tarafından ilgi alanlarınıza göre profilinizin çıkarılması ve size ilgili reklamlar gösterme amacıyla kullanılmaktadır. Üçüncü Taraf Çerez (B şirketi) 365 gün süreyle saklanmaktadır. Çerez-4 Bu çerezler, internet sitemizi daha işlevsel kılmak ve kişiselleştirmek (gizlilik tercihleriniz hariç olmak üzere diğer tercihlerinizin siteye tekrar girdiğinizde hatırlanmasını sağlamak üzere) amaçlarıyla kullanılmaktadır. Birinci Taraf Çerez 90 gün süreyle saklanmaktadır. 54 İlgili Kişilerin Talepleri İnternet sitemizde kullanılan çerezler yoluyla kişisel verileri işlenen ilgili kişiler, Kişisel Verilerin Korunması Kanunu’nun 11’inci maddesi kapsamındaki taleplerini, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği”ne göre Avcılar Mahallesi Yasemin Sokak No:47/2 Pendik/İSTANBUL adresine yazılı olarak veya e-postasının sistemimizde kayıtlı bulunması halinde söz konusu e-posta üzerinden İlgiliKisiBasvuru@aaa.com.tr e-posta adresine iletebilmektedir. Tarayıcı Ayarlarından Çerez Ayarları İnternet sitemizde yer alan ikona tıklayarak istediğiniz anda çerezlere ilişkin tercihlerinizi değiştirebilirsiniz. Çerez yönetim panelindeki butonları tercihinize göre açık veya kapalı konuma getirerek “Ayarları kaydet” butonuna tıklayınız. Ayarlarınızı etkin hâle getirmek için sayfayı yenileyiniz. Bunun yanı sıra, tarayıcı ayarları aracılığıyla da kısmen kontrol sağlanabilmektedir. Sık kullanılan tarayıcılarda çerezlerin yönetimine ilişkin bilgilere aşağıdaki bağlantılar aracılığıyla erişebilirsiniz: 55 -Google Chrome https://support.google.com/accounts/ answer/61416?co=GENIE.Platform%3DDesktop&hl=tr -Mozilla Firefox https://support.mozilla.org/tr/kb/masaustufirefox-surumunde-gelismis-izlenme-koruma -Safari https://help.apple.com/safari/mac/9.0/#/sfri40732 -Opera https://help.opera.com/en/latest/web-preferences/ 56 KÖTÜ Örnek-1 EK-5: Çerezlere Dair Kötü Örnekler Açıklama: Çerez kapsamında rıza alınması hususunda eşit derecede “Hepsini Kabul Et”, “Hepsini Reddet” ve “Tercihler” butonları sunulmamıştır, “daha fazla bilgi” şeklinde belirtilen kısmın aydınlatmaya dair bir link mi yoksa çerez ayarlarını yönetmek için kullanılan bir platform linki mi olduğu açık değildir. Aydınlatma metni ile çerez yönetim panelinin ayrıştırılmış olması ve ilgili kişilerden alınan açık rızanın unsurlarının tam olması gerekmektedir.Sitenin temel işlevselliğini sağlamak amacı Kriter A ve B kapsamında olduğu takdirde açık rıza alınması “hukuka ve dürüstlük kuralına uygun olma” ilkesiyle bağdaşmayacaktır. 57 Sitemizde gerekli çerezler kullanılmaktadır. Çerezler hakkında detaylı bilgi almak için Çerez Politikamızı inceleyebilirsiniz. Siteyi kullanmanızı analiz etmek, sosyal medya özellikleri sağlamak, reklamları kişiselleştirmek için çerez kullanımına izin veriyorsanız lütfen “Kabul Ediyorum” seçeneğini tıklayınız. KÖTÜ Örnek-2 Sosyal medya özelliklerini sağlama ve reklamları kişiselleştirmenin her biri farklı amaçlardır. Örneğin sosyal eklenti içerik paylaşım çerezleri “işlevsel”, kişiselleştirilmiş reklam sunma ise “reklam ve pazarlama” amaçlarıyla kullanılabilecektir. Bu yüzden rıza alırken her bir amaç için ayrı rıza alınması önerilir. İlgili kişilere ilk aşamada tercih imkânı sunulurken “Kabul ediyorum”, “Reddediyorum” butonlarının her ikisi de yer almalı, ayrıca eşit büyüklük, aynı renk gibi kişinin özgür iradesini etkilemeyecek şekilde sunulması tavsiye edilir. Birbirinden farklı amaçlarla açık rıza talep edildiğinden, ilgili kişilere ayrı rıza verebilecekleri “Tercihleri Yapılandır” butonunun da yer alması önerilir. Kabul ediyorum 58 KÖTÜ Örnek-3 Açıklama: Kanuni tanım çerçevesinde veri sorumluları tarafından ilgili kişilerden alınacak açık rıza beyanlarında opt-out yani bireyin önceden onayını almaksızın kişisel verilerinin işlenmesine otomatik onay verdiklerini kabul eden bir sistemin değil, optin yani bireyin bilinçli eylemi ile kişisel verilerinin işlenmesine onay vereceği bir sistemin kullanılması gerekmektedir. 59 KÖTÜ Örnek-4 Açıklama: Söz konusu örnekte çerezlerin kullanımına ilişkin olarak “Hepsini Kabul et”/”Hepsini Reddet”/”Tercihler” butonları sunulmamaktadır. Ayrıca, kullanılan çerezlerin amaçlarının (örneğin kişiselleştirme, analitik veya reklam) ve taraflarının (birinci ve/veya üçüncü) neler olduğunun kısaca bantta belirtilmesi gerekmektedir. Açık rızanın özgür iradeyle verilmiş olması ve aktif bir olumlayıcı eylemle elde edilmesi gerektiği dikkate alındığında, sitenin kullanılmak suretiyle çerez kullanımına izin verilmesi hukuka uygun bir kullanım şekli değildir.



Telefon
WhatsApp