All Things Newz
Law \ Legal

Çerez Uygulamaları Hakkında Rehber Yayımlandı – Data Protection



To print this article, all you need is to be registered or login on Mondaq.com.

Kişisel Verileri Koruma Kurumu
(“Kurum“) tarafından çerez
uygulamaları hakkında veri sorumluları için
pratik tavsiyeler içeren, yol gösterici bir
doküman oluşturulması amacıyla hazırlanan
ve 11 Ocak 2022 tarihinde yayımlanan Çerez
Uygulamaları Hakkında Rehber Taslağı, 20
Haziran 2022 tarihinde nihai hale getirilerek Çerez
Uygulamaları Hakkında Rehber
(“Rehber“) olarak
yayımlanmıştır.

A. Çerez Kavramı

Rehber’de “internet sitesi operatörleri
tarafından kullanıcı cihazına
yerleştirilen bir tür metin dosyası olan HTTP(S)
(Hiper Metin Transferi Protokolü) talebinin bir
parçası
” ve “bir internet
sayfası ziyaret edildiğinde kullanıcılara
ilişkin birtakım bilgilerin kullanıcıların
terminal cihazlarında depolanmasına izin veren
düşük boyutlu zengin metin biçimli text
formatları”
olmak üzere iki farklı
çerez tanımı yapılmıştır.

Rehber kapsamında çerezler; sürelerine,
kullanım amaçlarına ve taraflarına göre
üç başlık altında incelenmiştir.
Sürelerine göre çerezler; oturum
sürekliliğinin sağlanması amacıyla
kullanılan oturum çerezleri ve internet
tarayıcısı kapatıldığında
silinmeyen kalıcı çerezler olarak iki alt
başlığa ayrılmaktadır. Kullanım
amaçlarına göre çerezler; internet
sitesinin çalışması amacıyla gerekli
olan zorunlu çerezler, kişiselleştirme ve
tercihlerin hatırlanması amaçlarıyla
kullanılan işlevsel çerezler,
kullanıcıların davranışlarını
analiz etmek amacıyla istatistiki ölçüme
imkân veren performans-analitik çerezler ve
reklam/pazarlama çerezleri olarak dört alt
başlığa bölünmüştür.
Taraflarına göre çerezler ise birinci taraf ve
üçüncü taraf çerezler olmak üzere
iki alt başlığa sahiptir.

Rehber yalnızca kişisel veri işlenmesini
sağlayan çerezleri kapsamaktadır. Piksel,
kullanıcı parmak izleri, local storage, beacon gibi
teknolojiler kapsamında bir değerlendirmede
bulunmamaktadır.

B. Elektronik Haberleşme Kanunu ile Kişisel Verilerin
Korunması Kanunu Arasındaki İlişki

5809 sayılı Elektronik Haberleşme Kanunu’nun
(“EHK“) 51/3’üncü maddesi
“Elektronik haberleşme şebekeleri,
haberleşmenin sağlanması dışında
abonelerin/kullanıcıların terminal cihazlarında
bilgi saklamak veya saklanan bilgilere erişim sağlamak
amacıyla işletmeciler tarafından ancak ilgili
abonelerin/kullanıcıların verilerin işlenmesi
hakkında açık ve kapsamlı olarak
bilgilendirilmeleri ve açık rızalarının
alınması kaydıyla kullanılabilir”

hükmünü içermektedir. Rehber’de
yalnızca BTK tarafından verilen yetki
çerçevesinde elektronik haberleşme hizmeti sunan
ve/veya elektronik haberleşme şebekesi sağlayan ve
alt yapısını işleten şirketler için
uygulanabileceği öngörülen bu hüküm
kapsamında kalan veri sorumlularının Rehber’de
yer verilen ‘Kriter A’ kapsamındaki çerezler
vasıtasıyla açık rıza almadan da
çerez kullanabilecekleri, EHK’nın
51/3’üncü maddesindeki ‘haberleşmenin
sağlanması dışında
‘ ifadesi ile
sınırlı olmadıkları
belirtilmiştir.

C. Çerezler Yoluyla Kişisel Veri
İşlenmesinin Şartları

Rehber’de çerez kullanılarak kişisel
verilerin işlenebilmesi için ya 6698 sayılı
Kişisel Verilerin Korunması Kanunu’nun 5 ve
6’ncı (“Kanun“) maddelerinde
bulunan veri işleme şartlarının bulunması
ya da veri sahibinin açık rızasının
alınması gerektiği belirtilmiştir. Kişisel
veri işlenmesinin açık rıza hukuka uygunluk
sebebine dayanılarak gerçekleştirilmesi
için Kanun’da yer alan açık rıza
dışındaki şartlardan hiçbirinin
bulunmaması gerekmektedir.

Rehber’de Kanun’un 5/2-f maddesinde yer alan
ilgili kişinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması
‘ işleme
şartına dayalı olarak çerez
kullanılması halinde veri sorumlularının;

  1. Kriter A: Çerezin sadece iletişimin elektronik
    haberleşme şebekesi üzerinden sağlanması
    amacıyla kullanılması,

  2. Kriter B: Çerez kullanımının, abonenin
    veya kullanıcının hizmet almak için
    açıkça talep ettiği bilgi toplum hizmetleri
    için kesinlikle gerekli olması

kriterlerini göz önünde bulundurmaları
tavsiye edilmiştir.

Kurum; Rehber’de örnekleriyle birlikte
açıklamalarına yer verdiği
kullanıcı girdili çerezler, kimlik doğrulama
çerezleri, kullanıcı merkezli güvenlik
çerezleri, multimedya oynatıcısı oturum
çerezleri, yük dengelemesi oturum çerezleri,
kullanıcı ara yüzünü
kişiselleştirme çerezleri, sosyal eklenti
içerik paylaşımı çerezleri,
açık rıza yönetim platformu için
kullanılan çerezleri, birinci taraf analitik
çerezleri ve internet sitesinin güvenliği
için kullanılan çerezleri
‘açık rıza dışındaki
diğer kişisel veri işleme şartlarına
dayanılabilecek çerezler’

başlığı altında ele
almıştır. Sosyal eklenti takip çerezleri ile
çevrim içi davranışsal
reklamcılık çerezleri ise Kriter A veya B
kapsamına girmeyen, açık rıza işleme
şartı dahilindeki çerez kullanım
senaryoları arasında sayılmıştır.

Türkiye’de faaliyet gösteren internet sitelerinin
yurt dışında yerleşik kişiler
vasıtasıyla çerez kullanması ve bu
çerezler vasıtasıyla yurt dışına
veri aktarımı faaliyeti gerçekleştirmesi
halinde, veri sorumlusunun bu veri aktarım faaliyetini
Kanun’un 9’uncu maddesinde öngörülen
şartlara uygun bir şekilde yürütmesi
gerekecektir.

D. Çerezler Özelinde Hukuka Uygun Açık
Rıza Alınmasının Şartları

Hukuka uygun bir açık rızadan söz
edilebilmesi için açık rızanın belirli
bir konuya ilişkin olarak verilmesi, rızanın
verilmesinden önce veri sahibinin ayrı bir şekilde
bilgilendirilmiş olması ve rızanın aktif
olumlayıcı bir eylemle verilmiş olması
gerekmektedir. Çerez yönetim panelinde
çerezlerin tümünün aktif olarak belirlenmesi,
veri sahibinin dilediği çerezlerden
rızasını geri alabilmesi şeklindeki
çerez yönetim paneli uygulamaları aktif
olumlayıcı eyleme dayanmadığından
açık rızanın hukuka uygun
alınmış olması şartını
karşılamamaktadır. Benzer şekilde tüm
çerezlerin kullanılmasına onay verilmediği
sürece internet sitesinin içeriğinin
görüntülenmesini engelleyen uygulamalar olarak
tanımlanan ‘çerez duvarları’ da ilgili
kişinin özgür iradesini sakatlayabileceğinden
geçerli olmayacaktır.

Çerezler hakkında verilen açık
rızanın veri sahibi tarafından geri alınabilir
olması şarttır. Bu kapsamda veri sahiplerinin
çerez yöneyim paneline veya açık rıza
alınan araca erişebilir kılınması
sağlanmalıdır.

Rehber’de veri sahipleri nezdinde ‘rıza
yorgunluğuna yol açılmaması
amacıyla’ ilgili internet sitesine her girişte
açık rıza alınması yoluna gidilmemesi,
açık rıza tercihlerinin periyodik olarak
hatırlatılması tavsiye edilmektedir.

E. Sonuç

Kişisel verilerin işlenmesinin özel bir
görünümünü oluşturan çerezler
yoluyla kişisel veri işlenmesi faaliyeti diğer veri
koruma otoritelerince de ayrı düzenleme ve rehberlere
konu edilmektedir. Kurum, yayımlamış olduğu
Rehber ile Kanun’un kabulünden beri tartışmalara
yol açan çerez uygulamaları hakkında
yönlendirme yapmaktadır. Özellikle Rehber’de yer
alan çerez kullanımına ilişkin kontrol
listesi, iyi ve kötü uygulama örneklerinin veri
sorumluları için yol gösterici
olacağını değerlendirmekteyiz.

The content of this article is intended to provide a general
guide to the subject matter. Specialist advice should be sought
about your specific circumstances.

POPULAR ARTICLES ON: Privacy from Turkey

Cookies: New Legislation

Kinstellar

With France and Austria deciding on data protection issues in relation to Google Analytics, many more countries have followed suit in relevant changes to so-called web browser cookies.

New Finesses For Fines In GDPR Enforcement

Dittmar & Indrenius

The EU’s General Data Protection Regulation (GDPR) became applicable four years ago. Both the number and amounts of administrative fines imposed by the supervisory authorities of…



Source link

Related posts

Is My Electronic Signature Valid? – Contracts and Commercial Law

Coffee Talk With Benefits Episode 7: Sham Terminations – Gone But Not Forgotten (Podcast) – Employee Benefits & Compensation

Comment Éviter Les Litiges Lors Du Pilotage Juridique Des Projets Informatiques ? – Security