Konu: Çerez Uygulamaları Hakkında Rehber

Tarih: 21.06.2022

 1. Çerez Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca “Çerez” tanımı yapılmış değildir. Bu kapsamda Çerez’in ne olduğuna ilişkin 20.06.2022 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından ve aynı zamanda Resmi Gazete’de yayımlanan Çerez Uygulamaları Hakkında Rehber (“Rehber”) ile Çerez tanımı ve uygulanması hakkındaki bilgiler referans alınacaktır.

Söz konusu Rehber uyarınca Çerez; internet sitesi operatörleri tarafından kullanıcı cihazlarına yerleştirilen bir tür metin dosyası olarak tanımlanmıştır. Ayrıca Çerezler unun yanı sıra, çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları olarak da tanımlanabilmektedir.

2. Çerez Türleri ve Dikkat Edilmesi Gereken Kurallar

Rehber uyarınca Çerez kullanımında açık rıza alınmasına gerek bulunmayan haller;

  • Kriter A: Veri sorumlularının çerezler aracılığıyla kişisel veri işlenmesinde çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması
  • Kriter B: çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması halinde kullanılması şeklinde sayılmıştır.

Kriter A ve Kriter B kapsamının dışında kalan hallerde Çerez’ler aracılığıyla kişisel veri işlenmesinde Kanun’a uygun şekilde elde edilmiş bir açık rızanın bulunması ya da veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5’inci ve/veya 6’ncı maddelerinde sayılan diğer veri işleme şartlarını da göz önünde bulundurulması gerekmektedir.

3. Kriter A ve Kriter B Kapsamında Çerez Kullanım Amaçları

Kriter A kapsamında kullanılan çerezler; ağ üzerinden haberleşmenin gerçekleşmesi için gerekli olan yük dengelemesi oturum çerezleridir.

Kriter B Kapsamında Kullanılan Çerezler ise;

  • Kullanıcı Girdili Çerezler
  • Kimlik Doğrulama Çerezleri
  • Kullanıcı Merkezli Güvenlik Çerezleri
  • Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri
  • Açık Rıza Yönetim Platformu İçin Kullanılan Çerezler
  • Birinci Taraf Analitik Çerezler
  • İnternet Sitesinin Güvenliği İçin Kullanılan Çerezler olarak sıralanmıştır.

Kriter A ve Kriter B kapsamı dışında kalan ve açık rıza gerektiren çerezler ise Rehber’de Birçok sosyal ağ, davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılan Sosyal Eklenti Takip Çerezleri ile Davranışsal reklamcılık için kullanılan çerezler olarak sayılmaktadır.

4. Çerez Kullanımı Kapsamında Sorumluluk

Rehberde, üçüncü taraf çerezlerin internet sitesine yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü taraf, kullanıcıları çerezler hakkında açık bir şekilde bilgilendirmek ve rızalarını almakla yükümlü olduğu belirtilmektedir.

Söz konusu yükümlülük nedeniyle çerez yerleştirmek isteyen üçüncü taraflar veya çerezlerin kullanılmasını gerektiren bir ürün sağlamak isteyenler, internet sitesi yayımcıları ile aralarında akdedilecek sözleşmelere bu hususa ilişkin hüküm eklemeleri tavsiye edilmektedir. 

5. Çerezler’in Yurt Dışına Aktarımı

Söz konusu Rehber’de bahsi geçen bir diğer önemli husus ise Çerezler’in yurt dışına aktarımına ilişkindir. Rehbere göre; Kişisel veriler, ilgili kişinin açık rızasının olması halinde yurt dışına aktarılabilir. Açık rıza şartı dışında, işleme şartlarının olması kaydıyla yeterli korumanın bulunması veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile ilgili kişinin kişisel verileri yurt dışına aktarılabilecektir. Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik birtakım şirketler vasıtasıyla çerez kullandığı ve yurt dışına veri aktarımı faaliyeti gerçekleştirdiği durumlarda, bu veri aktarım faaliyetinin Kanun’a uygun şekilde yapılması gerekmektedir.