1. Giriş

İnternet, icat edildiği günden bu yana oldukça hızlı bir gelişim göstermiş ve kısa sürede boyut, içerik ve işlevsellik açısından genişleyerek günümüzün vazgeçilmez bir aracı haline gelmiştir. İnternet günümüzde ağırlıklı olarak bilgi kaynağı, alışveriş yöntemi, sosyal alan ve eğlence aracı hâline gelmiştir. Bu faaliyetler sırasında kullanıcıların çerezleri kaydedilmektedir.

Çerezler günümüzde çoğunlukla kullanıcının online aktivitesini analiz ederek site içerisindeki tüketimini iyileştirmek veya ziyaret etmiş olduğu ürün ve içerik türlerine yönelik reklam gösterimi için kullanılmaktadır. Ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında (“KVKK”) çerezlerin kaydedilebilmesi için kişilerin açık rızasının alınması veya Kanun’da yer alan şartların bulunması gerekmektedir.

2. Genel Olarak Çerezler

İnternet çerezleri (cookies), genellikle web tarayıcıları aracılığıyla cihazınıza veya bilgisayarınıza kaydedilen küçük metin dosyalarıdır. Bu dosyalar, ziyaret ettiğiniz web siteleri tarafından oluşturulur ve bilgisayarınızın sabit diskinde depolanır. Diğer bir deyişle çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır.[1]

Çerezler; sürelerine ve kullanım amaçlarına göre birbirinden farklılık göstermektedir.[2]

İnternet çerezleri, bir web sitesiyle etkileşimde bulunduğunuzda size özel bir deneyim sağlamak için kullanılır. Örneğin, çerezler bir web sitesine giriş yaptığınızda sizi otomatik olarak tanıyabilir ve giriş bilgilerinizi hatırlayabilir, tercihlerinizi kaydedebilir veya alışveriş sepetinizi saklayabilir. Bu şekilde, bir sonraki ziyaretinizde daha kişiselleştirilmiş bir deneyim sunma amacı taşımaktadır.

Kullanım Amaçlarına Göre Çerezler

• Zorunlu/Oturum Çerezleri: Bu tür çerezler, web sitesinin temel işlevselliğini sağlamak için gereklidir. Örneğin, kullanıcının bir oturum açmasını sağlamak, oturumun süresini korumak veya web formu verilerini geçici olarak saklamak gibi işlevler için kullanılırlar.
• İşlevsel Çerezler: Web sitesinde kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçları ile kullanılan çerezlerdir. Örneğin, kullanıcının dil tercihini, site temasını veya benzer kişiselleştirme tercihlerini saklamak için kullanılırlar.
• Analitik Çerezler: Bu çerezler, web sitesinin performansını ölçmek ve analiz etmek için kullanılır. Örneğin, ziyaretçi trafiği, sayfa görüntülemeleri, kullanıcı etkileşimleri ve benzeri verileri toplamak amacıyla kullanılırlar. Bu veriler, web sitesinin kullanımını anlamak ve iyileştirmeler yapmak için kullanılabilir.
• Hedefleme/Reklam Çerezleri: Bu çerezler, kullanıcılara ilgi alanlarına ve davranışlarına dayalı olarak hedeflenmiş reklamlar sunmak için kullanılır. Örneğin, bir kullanıcının daha önce ziyaret ettiği sayfalara veya ürünlere dayalı reklamları göstermek için kullanılırlar.
• Üçüncü Taraf Çerezleri: Bu çerezler, web sitesi sahibi olmayan üçüncü taraflar tarafından yerleştirilir ve genellikle reklam ağları, analitik hizmet sağlayıcıları veya sosyal medya platformları gibi hizmetlerden gelir. Bu çerezler genellikle kullanıcının çevrimiçi davranışlarını izlemek ve profiller oluşturmak için kullanılır.

3. Çerezlerin Hukuki Nitelikleri

Kaydedilen çerezi niteliğine göre kişisel veri olarak tanımlamak mümkündür. İnternet çerezleri genellikle kişisel veri olarak kabul edilir. Çünkü çerezler, kullanıcının tarayıcı ve cihaz bilgileri gibi doğrudan tanımlayıcı verileri içerebilir ve bu veriler genellikle bir kullanıcıyı doğrudan veya dolaylı olarak tanımlamak için kullanılabilir. Örneğin, bir çerez, kullanıcının adı, e-posta adresi, IP adresi, cihaz kimliği gibi kişisel bilgileri içerebilir veya bu bilgilere erişim sağlayabilir.

Bu tür bilgiler, bir kişinin kimliğinin belirlenmesi veya izlenmesi için kullanılabilir ve dolayısıyla kişisel veri olarak kabul edilir. Bununla birlikte, bazı çerezler yalnızca tarayıcı ve cihaz ayarlarını depolamak gibi kişisel veri içermeyebilir ve bu tür çerezler genellikle anonim veya kişisel olmayan veriler olarak kabul edilir.[3]

Türk hukukunda çerezlerin özel olarak düzenlendiği tek hüküm, 5809 sayılı Elektronik Haberleşme Kanunu'nda (“EHK”) bulunmaktadır. Bu kanuna göre, elektronik haberleşme sektöründe faaliyet gösteren işletmeciler, abonelerin veya kullanıcıların bilgisayarlarına, cep telefonlarına, tabletlere ve benzeri cihazlara çerez yerleştirmek veya saklanan bilgilere erişmek için, kişinin açık ve kapsamlı bilgilendirmeye dayalı açık rızasını almak zorundadır. Ancak, haberleşmenin sağlanması bakımından gerekli olan çerezlerin ilgili kişinin rızası alınmaksızın yerleştirilmesi mümkündür.

EHK'da yer alan düzenleme, sadece elektronik haberleşme sektöründe faaliyet gösteren işletmeciler için geçerli bir özel hüküm niteliğindedir. Ancak, bu düzenleme dışında kalan web siteleri, mobil uygulamalar ve çevrim içi platformlar da çerezler aracılığıyla kişisel verileri işlemektedir.

Bu durumda, EHK kapsamına girmeyen durumlarda, çerezler vasıtasıyla kişisel verilerin işlenmesi için genel hükümleri içeren KVKK uygulanır. KVKK, hangi araçlarla işlenirse işlensin, kimliği belirlenmiş veya belirlenebilir herhangi bir gerçek kişiye ait bilgilerin işlenmesi için geçerlidir.

KVKK kapsamında çerezlerin kaydedilebilmesi için;

• Açık rızanın bulunması ya da,
• Veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde veri işleme şartlarını[4] da göz önünde bulundurması gerekmektedir.

Veri sorumlusu öncelikli olarak kişisel veri işleme faaliyetinin amacının açık rıza dışındaki diğer işleme şartlarından birine dayanıp dayanmadığını değerlendirmeli, eğer bu amaç Kanun’da yer alan açık rıza dışındaki diğer şartlardan hiçbirini karşılamıyorsa, bu durumda veri işleme faaliyeti ilgili kişinin açık rızasına[5] dayanmalıdır.

Kişisel verilerin en geç elde edilmesi sırasında, yani internet sitesine girildiği anda aydınlatmanın[6] yapılmış olması gerekmektedir. Keza kullanıcının herhangi bir aktif eylemine dayanmayan rızaların, açık rıza olarak kabulü mümkün olmadığından sadece bir internet sitesine girilmiş olmasının söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmemektedir.

Çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da bant gibi uygulamalar) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulması, çerezler yoluyla kişisel veri işlenmesine dair bir açıklama veya gerekirse bir link konulması iyi uygulama örneği olabilecektir.

Ayrıca ilgili pop-up’da opt-out[7] değil opt-in[8] yöntemi kullanılmalıdır.

4. Sonuç

Sonuç olarak, Türk hukukunda çerezlerin düzenlenmesi ve kişisel verilerin korunması konuları önemli bir yer tutmaktadır. 5809 sayılı Elektronik Haberleşme Kanunu (EHK), çerezlerin elektronik haberleşme sektöründe faaliyet gösteren işletmeciler tarafından kullanımını düzenlemektedir. Ancak, bu düzenleme yalnızca belirli bir sektörü kapsamaktadır.

EHK dışında kalan web siteleri, mobil uygulamalar ve çevrim içi platformlar da çerezler aracılığıyla kişisel verileri işlemektedir. Bu durumda, KVKK’nın genel hükümleri bu tür verilerin işlenmesini düzenleyerek kişisel verilerin korunması konusunda geniş kapsamlı bir çerçeve sunmaktadır.

Bu bağlamda, internet çerezlerinin kullanımıyla ilgili düzenlemelerin hem EHK hem de KVKK kapsamında dikkate alınması gerekmektedir. Kullanıcıların mahremiyetini korumak ve kişisel verilerin güvenliğini sağlamak için çerez kullanımıyla ilgili yasal gerekliliklere uyum sağlanması ve kullanıcıların rızasını alınarak şeffaf bir şekilde bilgilendirme yapılması önemlidir.

Saygılarımızla,

Gülaç Hukuk Bürosu