Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Giriş
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının dengesini çarpıcı şekilde değiştirmiş ve başta şirketler arası rekabet olmak üzere küresel ekonomi üzerinde kritik etkileri olmuştur.
Birçok veri toplama metodu olsa da internet çerezleri veriyi elde etmede dikkat çeken metotlardan biridir ve temel olarak kullanıcıların internet deneyimini daha kolay hale getirmeyi amaçlar. Amaç ve faydaları göz önüne alındığında, çerezler hem web sunucuları/web siteleri hem de kullanıcılar için faydalı, pratik ve gereklidir. Çerezler doğası gereği kişisel veri niteliği taşımasa da bunların kullanımı sonucu elde edilen veri kişisel veri olarak nitelendirilebilir. Veri odaklı şirketlerin yükselişi ile birlikte elde edilen verinin ve içerdiği kişisel verinin hacmi dikkate alındığında, çerez kullanımı veri güvenliği ve gizliliği hakkında ciddi endişeler doğurmaktadır. Özellikle son dönemde Türkiye dahil dünyanın dört bir yanından veri koruma otoritelerinin internet çerezlerinin kullanımına ilişkin kural ve ilkeleri belirlediği, düzenlemeler yaptığı, kılavuzlar yayınladığı ve hatta bazı şirketlere cezalar yüklediği görülmektedir.
Bu makalede internet çerezleri, bunların kullanımı ve amaçları, veri koruma ve yasama otoritelerinin uygulaması ve bu kapsamdaki güncel gelişmeler kısaca incelenecektir.
Çerez Nedir?
Çerez (HTTP[1] çerezleri, web çerezleri, internet çerezleri veya tarayıcı çerezleri) kullanıcı internet sitesinde gezinirken bir web sunucusu tarafından yaratılan küçük veri blokları olarak tanımlanabilir. Çerezler kullanıcıların bilgisayarlarına veya akıllı telefon ve tablet gibi diğer herhangi bir cihazına yerleştirilebilir. Kullanıcı bir web sitesini ziyaret ederken bu kullanıcının web tarayıcısı (örneğin Google Chrome, Mozilla Firefox veya Microsoft Edge) kullanıcının erişim talebini sunucuya iletir. Sunucu ise kullanıcının erişim talebi üzerine talep edilen veriyi ve kullanıcı bilgisini web tarayıcısına aktarır. HTTP iletişiminde çerezler vasıtasıyla kullanıcının geçmiş ziyaretler sırasındaki eylemleri, bilgileri ve tercihleri sunucu tarafından tanınabilir; kullanıcının bazı bilgileri, aynı web tarayıcısı ile ziyaret edilen diğer web sitelerindeki eylemleri ve bilgileri ile birleştirilerek güncel olarak saklanabilir.[2]
Çerezler, web sunucularının giriş ve/veya ödeme detaylarını otomatik olarak göstermesine, form alanlarının otomatik doldurulmasına, çevrimiçi alışveriş sepetinde bulunan ögelerin tutulmasına, daha önceden görüntülenmiş içeriğin tekrar yüklenmesine vs. olanak tanıyarak özel kullanıcıları tanımlamak ve bu kullanıcıların web’te gezinme deneyimini iyileştirmek için yaygın olarak kullanılır. Aynı zamanda internet sitesinin kullanıcıların geçmiş tercihlerine özgü reklamlar göstermesine sağlar.
Çerezlerin özellikleri dikkate alındığında, internet çerezleri temel olarak sayı ve harf kombinasyonları içeren metin dosyaları olduğundan kendi başlarına kişisel veri olarak değerlendirilemezler. Yine de çerezler diğer bilgiler ile birleştiğinde kişiyi tanımlanabilir hale getirebilirler.[3] Örneğin, kullanıcıların IP adreslerini toplayan ve işleyen ve bir internet sayfasındaki kayıt veya satış formuna girilen isim ve e-posta adresi gibi bilgileri toplayan çerezler kişisel veri olarak kabul edilmelidir.[4]
Çerez Türleri
Çerez türleri (i) kaynakları, (ii) saklama süreleri, (iii) kullanımları ve kullanım amaçları doğrultusunda değişiklik gösterir. Bu kapsamda, çerezler “birinci taraf çerezleri – üçüncü taraf çerezleri”, “geçici çerezler (oturum çerezleri) – kalıcı çerezler”, “zorunlu çerezler – işlevsellik çerezleri – performans çerezleri (analiz çerezleri) – reklam/pazarlama çerezleri” olarak sınıflandırılabilir.
Zorunlu çerezler, internet sitesinin işlemesi için kesinlikle gerekli olan çerezlerdir ve amaçlandıkları üzere kullanılırlar. Zorunlu çerezler engellenirse internet sitesinin bazı kısımları çalışmaz. Diğer taraftan işlevsel çerezler kullanıcı tercihleri dikkate alınarak sitenin özelleştirilmesini sağlarlar. Bu çerezler ile internet sitesi operatörü kullanıcının bulunduğu bölge veya kullanıcı adı ve şifre gibi bilgileri depolayabilir. Bu tarz çerezlerin engellenmesi mümkündür.
Son zamanlarda en popüler konularda olan üçüncü taraf çerezleri (örn. İnternet sitesi resim, reklam, diğer sitelerin sosyal medya eklentilerini içeriyorsa) internet sitesi sahibi tarafından değil, iş ortakları veya hizmet sağlayıcılar gibi üçüncü taraflarca yaratılmışlardır. Google gibi kurumlar tarafından üçüncü taraf çerezleri ile elde edilen kişisel veriler eşleştirilebilir, analiz edilebilir ve diğer sitelerden alınan bilgiler ile birleştirilerek profil oluşturulabilir. Bu olasılık doğal olarak tüm dünyada gizlilik endişeleri doğurmaktadır.
Açık rızanın gerekeceği durumlar çerezin türüne göre değişeceğinden internet çerezlerinin türünü belirlemek kişisel veri mevzuatı kapsamında önem teşkil eder.
Çerezler Türk Hukuku’nda Nasıl Düzenlenmiştir?
5809 sayılı Elektronik Haberleşme Kanunu Madde 51/3’e göre, elektronik haberleşme şebekeleri abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla operatörler[5] tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir. Haberleşmenin sağlanması bu kurala istisna olarak düzenlenmiştir.
Yukarıda belirtilen madde dışında Türkiye’de çerez kullanımını düzenleyen ve tüm çerez kullanıcılarına uygulanabilecek özel bir düzenleme bulunmaz. Buna karşın, çerezler tanımlanabilir bir kişiyle eşleştirilebildiği ölçüde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“6698 Sayılı Kanun”) kapsamındadır. Nitekim, Kişisel Verilerin Koruması Kurumu (“Kurum”) tarafından Amazon Türkiye hakkında 2020 yılında, internet sitesine giriş yapıldığı andan itibaren çerezler vasıtasıyla kişisel verileri işlenmeye başlamış olmasına rağmen veri işlediğine yönelik hiçbir aşamada bilgilendirme yükümlülüğünün yerine getirilmediği gerekçesiyle idari para cezası uygulanmıştır.[6]
Bunun yanı sıra Kurum yakın zamanda çerezler ve türlerini, çerez kullanım senaryolarına göre göz önünde bulundurulması gereken kuralları, açık rıza alınması ve bilgilendirme yükümlülüğünün detaylarını açıklayan bir taslak kılavuz (“Kılavuz”) yayınlamıştır.[7] Kılavuz ekinde tüm çerez kullanıcıları için faydalı olarak değerlendirilebilecek çerez kullanımı kontrol listesi, başvuru örnekleri, uygun/uygun olmayan aydınlatma metinleri ve örnekleri yer alır. Kılavuz incelendiğinde kılavuzda yer alan uygulama ve kuralların Avrupa Birliği düzenlemelerine benzediği dikkat çeker.
Kılavuz aynı zamanda 6698 Sayılı Kanun ile 5809 Sayılı Kanun arasındaki ilişkiye ışık tutar, bu kanunların hukuki kapsamını tanımlar. Kurum 5809 Sayılı Kanun’un veri sorumlusu operatörlere özgü olduğuna, bu kanunun uygulanmadığı hallerde çerez kullanımına 6698 Sayılı Kanun’un uygulanacağına dikkat çeker. Kılavuz taslak olarak yayınlanmıştır, görüşe açıktır bu sebeple son hali değişiklik gösterebilir.
Avrupa Birliği’nde Neler Oluyor?
Avrupa Birliği veri gizlilik rejimi ise Genel Veri Koruma Tüzüğü (“GVKT”) ve 2002 tarihli eGizlilik Direktifi’nden (“eGD”) oluşmaktadır. Dijital çağda eGD veri koruma ve gizlilik hakkında çıkarılan bir AB direktifidir.[8] 2009’da eGD çerezlere ilişkin düzenlemelerin eklenmesiyle değiştirilmiş ve böylece bu tarihten sonra “AB Çerez Kanunu” olarak anılmaya başlanmıştır.
Madde 29 Veri Koruma Çalışma Grubu çalışmaları ve Avrupa Adalet Divanı'nın Planet49 Kararı[9] da çerezlerin kullanımı için nasıl onay alınması gerektiği, kullanıcıların çerezler hakkında nasıl bilgilendirilmesi gerektiği konusunda yol gösterir ve izin kuralına tabi olmayan zorunlu çerezleri kapsamlı bir şekilde açıklar.[10] Son dönemde, teknolojik gelişmelere paralel olarak çerez düzenlemelerinin değiştirilmesi gerektiğinden, yeni E-Gizlilik Yönetmeliği'nin ilk taslağı AB Konseyi tarafından 10 Ocak 2017 tarihinde yayınlanmış ve 10 Şubat 2021 tarihinde son halini almıştır. Bu taslak, önceki direktiften farklı bir çerçeve ve çerez uygulamalarına yönelik daha kapsamlı bir istisna listesi sunar. Ancak taslağın ne zaman yürürlüğe gireceği henüz belli değildir.
Tüm bunlara ek olarak, farklı veri koruma kurumlarının çerez kullanımına ilişkin son kararları dikkat çekicidir.
6 Ocak 2022'de Fransız Veri Koruma Kurumu ("FVKK"), çerez mevzuatına uyulmaması nedeniyle Google ve Facebook'a karşı para cezaları vermiştir.[11] FVKK tarafından yürütülen bir araştırma sonucunda, internet sitelerinin (google.fr, youtube.com, facebook.com) çerezleri hemen kabul etmek için bir buton sunarken, kullanıcının reddetmesine aynı şekilde kolaylıkla olanak tanıyan eşdeğer bir çözüm sunmadıkları tespit edilmiştir. Buna göre, kullanıcılara sunulan rıza alma yöntemlerinin ve kendilerine sağlanan bilgilerin net olmamasının yürürlükteki veri koruma mevzuatının ihlali oluşturduğuna karar verilmiştir.
Ayrıca, Avusturya Veri Koruma Kurumu'nun (“AVKK”)[12] yakın tarihli bir kararında, Avusturyalı bir internet sitesi tarafından Google Analytics'in (çerez) kullanımının, kullanıcı kimlik numaraları, IP adresleri ve tarayıcı parametreleri dahil olmak üzere kişisel verilerin toplanmasını ve ABD'deki Google'a aktarılmasını içerdiği tespit edilmiştir. Daha da önemlisi, AVKK, Standart Sözleşme Maddeleri’nin (“SSM”) GVKT kapsamında yeterli düzeyde koruma sağlayamayacağı, çünkü SSM'lerin ABD istihbarat teşkilatları tarafından kişisel verilerin gözetlenmesi ve bunlara erişim olasılığını ortadan kaldırmadığı sonucuna varmıştır. Sonuç olarak, veri aktarımının GVKT'yi ihlal ettiği kabul edilmiştir. Bu kararın hemen ardından, Hollanda veri koruma otoritesi, Google Analytics kullanımına ilişkin 2022'nin başlarında tamamlanması planlanan soruşturmaların, Google Analytics’in Hollanda'da kullanımına izin verilip verilmeyeceğini belirlemeye yardımcı olacağını açıklamıştır.
Sonuç
Türkiye’de, Avrupa Birliği’nde ve hatta dünyada çerez kullanımına ilişkin güncel gelişmeler hem internet kullanıcıları hem de veri sorumluları açısından dikkate değerdir. Özellikle veri koruma kurumlarının kararları ve bakış açısı üçüncü taraf hizmet sağlayıcıları dahil tüm internet sitesi sahipleri için uyandırma çağrısıdır. Çerezler hakkında güncel gelişmelerin takip edilmesi gerektiği ortadadır, mevzuattaki kural ve ilkeler, kararlar veya yayımlanan rehberler sıkı bir şekilde takip edilmelidir ve çerez uygulamaları vakit kaybetmeksizin gözden geçirilmelidir.
- Hiper Metin Aktarım İletişim Protokolü (HTTP), kullanıcıların World Wide Web üzerinde veri iletmesine olanak tanıyan, dağıtılmış, işbirliğine dayalı, hipermedya bilgi sistemleri için internet protokolü paketi modelinde bir uygulama protokolüdür. Güvenli Hiper Metin Aktarım Protokolü (HTTPS), HTTP'nin bir uzantısıdır ve bir bilgisayar ağı üzerinden güvenli iletişim için İnternet'te yaygın olarak kullanılır.
- Aksoy, H. C. & Halıcıoğlu, M.: “AB ve Türk Hukuklarında Çerezler”, Kişisel Verileri Koruma Dergisi. 3(1), 61-88.
- Çekin, Mesut Serdar: Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku, On iki Levha Yayıncılık, s. 248.
- Aksoy & Halıcıoğlu: s. 63.
- Operatör elektronik haberleşme hizmetini sağlayan ve/veya elektronik haberleşme ağı sağlayan ve altyapısını işleten şirketi ifade eder.
- Amazon Türkiye hakkında uygulamaya ilişkin 27/02/2020 tarihli ve 2020/173 sayılı Kişisel Verilerin Korunması Kurulu Karar özetine bu linkten ulaşabilirsiniz: , https://www.kvkk.gov.tr/Icerik/6739/2020-173 (Erişim Tarihi: 05.02.2022).
- Kişisel Verilerin Korunması Kurumu’nun çerezler üzerine hazırladığı taslak kılavuza bu linkten ulaşabilirsiniz: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/1336263f-22bb-4da3-a1b9-aabc0e0e8bff.pdf (Erişim Tarihi: 05.02.2022).
- Avrupa Parlamentosu ve Avrupa Konseyi’nin 2002/58/Ec Sayılı Direktifi, https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2002L0058:20091219:EN:PDF, (Erişim Tarihi: 05.02.2022).
- ABAD Kararı, https://curia.europa.eu/juris/document/document.jsf?docid=218462&doclang=EN, (Erişim Tarihi: 05.02.2022).
- Madde 29 Çalışma Grubu Arşivleri, https://ec.europa.eu/justice/article-29/documentation/index_en.htm, (Erişim Tarihi: 05.02.2022).
- https://www.cnil.fr/en/cookies-google-fined-150-million-euros, https://www.cnil.fr/en/cookies-facebook-ireland-limited-fined-60-million-euros, (Erişim Tarihi: 05.02.2022).
- Orijinal karar, , https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf ; Kararın bilgisayar çevirisi https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf, (Erişim Tarihi: 05.02.2022).
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
