KVKK ÇEREZ UYGULAMALARI REHBERİ HAKKINDA DEĞERLENDİRME
I. Giriş
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 11 Ocak 2022 tarihinde internet sitesi üzerinden kamuoyunun görüşüne sunulan Çerez Uygulamaları Hakkında Rehber Taslağı gerekli görüş sürecini tamamlayarak 20 Haziran 2022 tarihinde Çerez Uygulamaları Hakkında Rehber (“Rehber”) başlığıyla Kurumun internet sitesinde yayımlanmıştır.
Yayımlanan bu Rehber’in ilk bölümünde; amacı “İnternet sayfası işleten tüm veri sorumluları için pratik tavsiyeler niteliğinde, yol gösterici mahiyette bir doküman oluşturulması amaçlanmıştır” şeklinde, kapsamı ise “Çerezler yoluyla kişisel verilerin işlenmesini kapsamakta olup kişisel veri işlenmesinde kullanılmayan çerezler bu rehberin kapsamı dışında kalmaktadır” şeklinde düzenlenmiştir. Ayrıca Piksel, kullanıcı parmak izleri, local storage, beacon gibi benzer teknolojileri Rehber kapsamına olmadığı fakat Rehber’in masaüstü ve mobil web siteleri veya web uygulamaları açısından da geçerli olacağı düzenlenmiştir.
II. Genel Olarak Çerez ve Çerez Türleri
Rehber’in ikinci bölümünde çerezlerin tanımı “Bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatlarıdır” şeklinde yapılmıştır. Çerez türleri ise Sürelerine Göre, Kullanım Amaçlarına Göre ve Taraflarına Göre çerezler olarak 3 başlıkta incelenmiştir.
ÇEREZ TÜRLERİ
Sürelerine Göre Çerezler
Sürelerine göre çerezler de Oturum Çerezleri ve Kalıcı Çerezler olarak ikiye ayrılmıştır. Rehberde Oturum Çerezlerinin, geçici çerezler olarak da adlandırıldığı, oturumun sürekliliğini sağlanması amacıyla kullanıldığı ve kullanıcının internet tarayıcısını kapattığında oturum çerezlerinin de silindiği belirtilmiştir. Kalıcı Çerezlerin de izleme çerezleri olarak adlandırılabildiği, oturum çerezlerinde farklı olarak internet tarayıcısının kapatıldığı zaman doğrudan silinmeyip, belirli bir süre veya tarihte kendiliğinden silindiği belirtilmiştir. Kalıcı çerezler bir internet sitesine her ziyaret edildiğinde sunucuya iletildiğinden reklam amaçlı veya kullanıcı giriş bilgilerini hatırlama gibi konularda kullanılabilir.
Kullanım Amaçlarına Göre Çerezler
Kullanım amaçlarına göre çerezler ise Kesinlikler Gerekli Çerezler (Zorunlu Çerezler), İşlevsel Çerezler, Performans – Analitik Çerezler, Reklam/Pazarlama Çerezleri olarak 4 başlık altında açıklanmıştır.
Kesinlikle gerekli çerezler internet sitesinin sağlıklı bir şekilde çalışması için gerekli olan zorunlu çerezlerdir. Ayrıca Rehber’de kesinlikle gerekli çerezleri için genellikle açık rıza dışındaki işleme şartlarının kullanılıyor olması ve bu çerezlerin pazarlama amacıyla kullanılmaması gerektiği belirtilmiştir. İşlevsel çerezler ise “Web sitesi veya uygulamalarda (masaüstü, mobil veya IOT cihazlardaki uygulamalar da dâhil olmak üzere) kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçları ile kullanılan çerezlerdir” şeklinde açıklanmıştır. Ayrıca işlevsel çerezlerin, kesinlikle gerekli çerezler dışında kullanılan web sitesi veya uygulamalardaki işlevselliği sağlamak amacıyla ve kesinlikle gerekli çerezlerden farklı olarak kullanımı için açık rızaya dayanılması gerektiği düzenlenmiştir.
Performans – analitik çerezleri ekseriyetle internet sitelerinde gezinen kullanıcıların davranışlarının, istatistiki ölçümlerle analizine imkân veren çerezlerdir. Rehber’de bu çerezlerin internet sitelerinin iyileştirilmesi ve reklamların kişiler üzerindeki etkileri gibi kullanım alanları olduğu belirtilmiştir. Reklam/pazarlama amaçlı çerezlerin amacı “İnternet ortamında kullanıcıların çevrim içi hareketleri takip edilerek kişisel ilgi alanlarının saptanıp bu ilgi alanlarına yönelik internet ortamında kullanıcılara reklam gösterilmesi” şeklinde açıklanmıştır. Ayrıca Rehber’de bu kapsamda yapılan reklam türümüm çevrim içi davranışsal reklamcılık olduğu belirtilmiştir. Belirtilen reklam türünün uygulama aşamaları da “kişilerin internetteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edilerek profillenmesi, profilleme yapılan kişinin uygun reklamlarla eşleştirilerek söz konusu reklamların ilgili kişiye gösterilmesi aşamalarından oluşmaktadır” şeklinde açıklanmıştır.
Taraflarına Göre Çerezler
Taraflarına göre çerezler ise birinci taraf ve üçüncü taraf olarak ikiye ayrılmıştır. Birinci taraf çerezler doğrudan ziyaret edilen internet sitesinin adres çubuğunda gösterilen URL tarafından yerleştirilen çerezlerdir. Üçüncü taraf çerezler ise kullanıcıların ziyaret ettiği internet sitesinden farklı bir üçüncü kişi tarafından yerleştirilen çerezler olarak açıklanmıştır.
5809 sayılı Elektronik Haberleşme Kanunu ile 6698 sayılı Kişisel Verilerin Korunması Kanunu Arasındaki İlişki
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında çerezler konusu açıkça düzenlenmemesine rağmen, Rehber’de 5809 sayılı Elektronik Haberleşme Kanunu’nun (“EHK”) 51/3. maddesine atıf yapılarak “AB’nin 2002/58/EC sayılı Direktifi’nin 5’inci maddesinin üçüncü fıkrası ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda, veri sorumlusu işletmeciler bakımından 5809 sayılı Kanun’un sınırlı bir uygulama alanı bulabileceği değerlendirilmektedir” şeklinde değerlendirmiştir. Ayrıca Rehber’de EHK’nin 51/3. Maddesinin sadece “elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve altyapısını işleten şirketler kapanmakta olup diğer veri sorumluları bu kapsamda yer almamaktadır” değerlendirilmesi yapılmıştır.
Çerezlere Dair Dikkate Alınması Gereken Kurallar
Kanun’da veri işleme şartlarına dair Kişisel verilerin işlenme şartları 5. madde ile Özel nitelikli kişisel verilerin işlenme şartlarına dair 6. madde tanzim edilmiştir. Tanzim edilen işbu maddelerde kişisel verinin işlenmesinin istisnai haller haricinde asli olarak açık rızaya dayandığı belirtilmiştir. Rehber’de çerezlere dair dikkate alınması gereken kurallarda da; ilgili kişinin işlenen verisi açık rıza gerekli bir veriyse çerezler için de açık rıza alınmasının gerektiği, açık rıza dışındaki istisnai durumlar var ise çerezler konusunda da açık rıza alınmasına gerek bulunmadığı düzenlenmiştir. Ancak işlenen veri hem açık rızaya dayanmıyor hem de Kanun’da belirtilen diğer işleme şartlarından hiçbiri karşılamıyor ise çerezler konusu için ilgili kişinin açık rızasının gerekliliği düzenlemiştir.
Rehber’de ayrıca, Kanun 5/2-f’ de düzenlenen “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükmünü dayanılması durumunda ilgili kişinin temel hak ve hürriyetleri ile veri sorumlusunun meşru menfaatinin karşılaştırılması suretiyle denge testi yapılması tavsiye edilmiştir.
Açık Rıza Dışında Diğer İşleme Şartları Dahilinde Çerez Kullanım Senaryoları
Rehber’de göz önünde bulundurulması gereken iki kriter sayılmıştır. Bunlar,
- “Kriter A: Çerezin sadece, iletişimin elektronik haberleşme şebekesi üzerinden sağlanması amacıyla kullanılması,
- Kriter B: Çerez kullanımının, abonenin veya kullanıcının hizmet almak için açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olması” şeklinde düzenlenmiştir.
Kullanıcı Girdili Çerezler (Kriter B)
Rehber’de bu tür çerezler “kullanıcının girdilerini izleyip bunları hizmet sağlayıcıya aktaran oturum çerezleri” şeklinde açıklanmıştır. Birinci taraf kullanıcı girdili oturum çerezleri bir alışveriş sepetini doldururken kullanıcı izleyen, kullanıcının butonu tıklayarak seçtiği ürünlerin veya forma girdiği bilgilerin kaydını tutan çerezlerdir. Örnekte de belirtiği gibi bu tip çerezlerin işlevi için kullanıcı tarafından açıkça talep edilmesi gerektiğinden Rehber kapsamında Kriter B olarak değerlendirilmiş ve açık rızanın gerekmediği belirtilmiştir.
Kimlik Doğrulama Çerezleri (Kriter B)
Rehber’de bu tür çerezler “kullanıcıyı bir internet sitesine giriş yaptığında tanımlamak için kullanılmaktadırlar” şeklinde açıklanmıştır. Örneğin bir sosyal medya platformuna veya bir banka hesabına girişte bu tür çerezler kullanılabilir. Ayrıca Rehber’de bu tür çerezlerin kullanıcı tarafından girilen internet sitesindeki fonksiyonelliğin sağlanması amacıyla talep edilmiş olması, eğer talep edilmeseydi girilen internet sitesinin beher sayfasına geçişte tekrar kullanıcı adı ve şifrenin girilmesi gerekliliği göz önünde bulundurularak Kriter B kapsamında değerlendirilmiş ve açık rızanın gerekmediği belirtilmiştir.
Kullanıcı Merkezli Güvenlik Çerezleri (Kriter B)
İnternet sitelerine girişte sağlanan gerekli güvenlik önlemleri kullanıcı tarafından açıkça talep edilmiş bir hizmet kapsamında -Kriter B olarak- değerlendirildiğinden açık rıza alınmasının gerekmediğini göstermektedir
Multimedya Oynatıcı Oturum Çerezleri (Kriter B)
Flash çerezler olarak da bilinen bu tür çerezlerin kullanım örneği olarak videoyu yeniden oynatmak veya ses içeriğine ilişkin teknik verinin depolanması olarak gösterilebilir. Oturum sonlandığında da kendiliğinden yok olan çerezler kullanıcının bir videoyu izleme gibi durumlarda kullanıcı tarafından talep edildiğinden Kriter B olarak değerlendirilmiş ve açık rıza alınmasının gerekmediği belirtilmiştir.
Yük Dengelemesi Oturum Çerezleri (Kriter A)
Rehber’de yük dengelemesi “tek bir makine yerine bir makine havuzu üzerinden web sunucusu taleplerinin dağıtılması işlemlerine izin veren bir teknik” şeklinde tanımlanmıştır. Bu türdeki çerezlerin oturum çerezi olarak nitelendiğin oturum süresi boyunca kalıcı olmaya ihtiyaç duyarlar. Ağ üzerinde kesintisiz haberleşmenin gerçekleştirilebilmesi için gerekli olduğundan Kriter A kapsamında ve açık rıza almanın gerekmediği değerlendirilmiştir.
Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri (Kriter B)
Bu tür çerezler daha çok kullanıcı tarafından girilen internet sitesinde sunulan hizmete ilişkin kendi ara yüzlerinin özelleştirmesi şeklinde kullanılır. Ara yüz özelleştirmeleri yapılabilmesi için kullanın seçimi ve açıkça talebi gerektiğinden bu tür çerezlerde de Kriter B kapsamında açık rıza alınmasının gerekli olmadığı değerlendirilmesi yapılmıştır.
Sosyal Eklenti İçerik Paylaşımı (beğen, paylaş, yorum) Çerezleri (Kriter B)
Girilen bir internet sayfasından eklenti olarak bulunan sosyal eklenti modülleri kullanıcılar tarafından talep edilmesi halinde kullanılabileceğin Kriter B kapsamında olup açık rıza alınmasının gerekli olmadığı değerlendirilmiştir. Ancak Rehber’de açık rıza alınmasının gerekmediği kapsamı hesaba giriş yapmış (log-in) kullanıcılar için geçerli olduğu, hesaptan çıkış yapmış (log-out) veya üyeli bulunmayan kullanıcılar için böyle bir eklenti hizmeti kullanıldığında açık rızanın alınmasının gerekliliği tavsiye edilmiştir
Açık Rıza Yönetim Platformu için Kullanılan Çerezler (Kriter B)
Rehber’de ilgili kişinin girdiği internet sitesinde daha önceden verdiği açık rızaya dair tercihlerin belirli bir süreyle hatırlanması için kullanılan çerezlerin de Kriter B kapsamında olup açık rıza gerektirmediği düşünülmediği şeklinde bir düzenleme yapılmıştır. Ayrıca tutulan çerezin ömrünün Kanun’un 4. maddesinde yer alan genel ilkeler göz önünde bulundurularak belirlenmesi tavsiye edilmiştir.
Birinci Taraf Analitik Çerezler (Kriter B)
Rehber’de bu tür çerezlerin gerekliliği “İnternet sitesini veya uygulamayı yönetmek için trafik ve/veya performans istatistiklerinin kullanılması, bu istatistiklerin üretilmesi sitenin veya uygulamanın düzgün çalışması ve dolayısıyla hizmetin sağlanması” şeklinde açıklanmıştır.
Amacı ise “sitenin veya uygulamanın hedef kitlesini ölçmekle sınırlı olan çerezler” olarak gösterilmiş olup, kullanıcının talep ettiği hizmete yönelik internet sitesinin veyahut mobil uygulamanın işleyişi ve günlük yönetimi için tutulan bu çerezler Rehber kapsamında Kriter B olarak değerlendirilebileceği düşünülmektedir açıklaması yapılmıştır.
Ayrıca Rehber’de yukarıda belirtilen amacı gerçekleştirebilmek için tutulan çerezlerin “amaçla bağlantılı, sınırlı ve ölçülü olarak kişisel verilerin işlenmesi, işlenmesi zaruri olmayan kişisel verilerin anonimleştirilmesi” olması şeklinde tavsiyede bulunulmuştur.
Son olarak da Rehber’de bu çerezlerin yalnızca anonim istatistik üretmek için kullanılmasının gerektiği başka bir amaç için kullanılmaması gerektiği, eğer başka bir amaç için kullanılırsa Kanun’un 4/1. maddesinde belirtilen ilkelerden işledikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmayacağı belirtilmiştir.
İnternet Sitesinin Güvenliği için Kullanılan Çerezler (Kriter B)
Kullanıcı tarafından girilen internet sitesinin güvenlik zafiyeti nedeniyle hizmet verememesi, kullanıcının talep ettiği hizmete erişememesine neden olacağından bu tür çerezlerin de kullanıcının talep ettiği hizmet için kesinlikle gerekli olduğu değerlendirilmiştir. Bu nedenle kullanıcının hizmete sağlıklı ulaşabilmesi için gerekli olan bu çerezler Kriter B kapsamında değerlendirilmiş olup açık rıza alınmasının dışındaki işleme şartlarına gidilebileceği düzenlenmiştir.
AÇIK RIZA İŞLEME ŞARTI DAHİLİNDEKİ ÇEREZ KULLANIM SENARYOLARI
Kriter A veya B Kapsamına Girmeyen Çerez Kullanım Senaryoları
HUKUKA UYGUN ŞEKİLDE ALINMASI GEREKEN AÇIK RIZANIN UNSURLARI
Açık rızanın, ilgili kişilerin neye onay vermelerinin istendiği hususunda spesifik ve ayrı bir şekilde bilgilendirilmesi suretiyle ve aktif olumlayıcı bir eylemle elde edilmesi gerekmektedir.
Örneğin; kullanıcının sadece internet sitesine girilmiş olması söz konusu sitede çalışan çerezlere açık rıza verildiği anlamına gelmemektedir.
Açık rızanın alınması hususları şunlardır;
- Belirli bir konuya ilişkin olma
- Bilgilendirmeye dayanma
- Özgür irade
Açık Rıza İşleme Şartları
Belirli Bir Konuya İlişkin Olması
İlgili kişinin genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu ve belirsiz rızası tek başına Kanun bağlamında “açık rıza” olarak kabul edilemez.
“Belirli bir konuya ilişkin olma” unsurunun karşılanması bakımından, çerezin kullanım amacının, bu amaç ile ölçülü olarak belirlenmiş çerez süresinin ve çerezin birinci veya üçüncü taraf olup olmadığının belirtilmesinin gereklidir.
Bilgilendirmeye Dayanması
Kullanıcıların uygun şekilde aydınlatılması gerekmektedir.
Özgür İradeyle Açıklanması
Bu kısımda özellikle kullanıcıların istedikleri zaman açık rızalarını geri alabilmeleri ve rızanın çok sık aralıklarla alınmasının “rıza yorgunluğu”na yol açabileceği hususları dikkat çekmektedir.
Verilen Rızanın Geri Alınması;
İlgili kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceği göz önünde bulundurulduğunda, çerezler bakımından da verilen açık rızanın geri alınabilir olması gerekmektedir. Bu açıdan, çerez yönetim paneline veya açık rıza alınan araca erişebilirliğin sağlanması gerekmekte olup açık rızanın rahatça geri alınabilmesi için rıza yönetim platformunun bir ikona ya da içeriği engellemeyecek kadar küçük bir banda dönüştürülerek internet sayfasının küçük bir köşesinde bulunması iyi bir örnek olarak değerlendirilebilir.
Rıza Yorgunluğu ;
Rızanın çok sık alınması kullanıcılarda rıza yorgunluğuna yol açabilmektedir. Bu sebeple ilgili kişinin özgür iradesini sakatlayabileceği göz önünde bulundurularak ilgili kişinin her siteye girişinde açık rıza alınması yoluna gidilmemesi, ancak açık rıza tercihinin periyodik olarak hatırlatılmasının (söz konusu çerezin ömrü ile orantılı olacak şekilde) uygun olduğu değerlendirilmektedir. Söz konusu çerezlerin ömürlerinin belirlenmesinde Kanun’un genel ilkeler başlıklı 4’üncü maddesinde belirtilen temel ilkelerin göz önünde bulundurulması gerekmektedir
Önemli bir diğer husus da çerez kapsamında açık rıza alınırken siteye girildiği anda bir çerez yönetim paneli (pop-up ya da 31 bant gibi uygulamalar111) çıkması ve söz konusu panelde eşit derecede (renk, büyüklük, punto açısından) “kabul et”, “reddet” ve “tercihler” butonlarının sunulmasıdır.
Rehberde Nasıl Olmasına Gerektiğine Dair Verilen Örnek;
Kanun’un 10’uncu maddesi uyarınca kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu çerez yönetim paneline, çerezler yoluyla kişisel veri işlenmesine dair bir açıklama veya gerekirse bir link konulması doğru bir uygulama örneği teşkil edecektir. Bu kapsamda, açık rıza ile işlenmesi gereken çerezlerin yönetim panelinde ilk elde pasif biçimde gelmesi önem arz etmektedir.
Çevrim içi reklamcılık çerezlerinin kullanımında, kullanım sözleşmesi veya koşulları gibi belgeler içerisine iliştirme (bundled) yöntemiyle açık rıza alınmasının mümkün değildir çünkü sözleşme kapsamında verilen temel hizmetin yerine getirilebilmesiyle doğrudan ilgisi olmayan kişisel verilerin işlenmesinde sözleşmeye dayanılması ilgili kişilerin yanıltılması anlamına gelecektir.
Yani bu nokta göz önüne alındığında iki önemli konu önem taşımaktadır:
- Çevrim içi reklamcılık çerezlerinde açık rıza hususu “Kullanım Koşulları ve Sözleşmesi” ya da “Gizlilik Bildirimi” gibi dokümanlara iliştirilemeyecektir.
- Çerez yoluyla kişisel veri işlemesinde açık rıza istenmesi durumu, ilgili kişiye sözleşmenin kurulması veya ifasının ön koşulu olarak dayatılamayacaktır.
Çerez Duvarları
Çerez duvarları bir ziyaretçinin internet sitesinde yer alan tüm çerezlerin kullanılmasına onay vermedikçe internet sitesinin içeriğini görüntülemesini engelleyen uygulamalardır. Siteye erişim için çerez duvarı konulması suretiyle çerezlere rıza verilmesi hususu hizmetin ön koşulu olarak ilgili kişiye dayatıldığı durumlarda çerez duvarının ilgili kişinin özgür iradesini sakatlaması söz konusu olabilecek ve bu durumda alınan açık rıza, geçerli bir açık rıza olmayacaktır. İlgili kişilerin bir hizmeti elde edebilmeleri için çerez duvarı dışında belirli birtakım adil alternatifler sunulması söz konusu olabilecektir.
Tarafların Sorumluluğu
İnternet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda, hem internet sitesi sahibi hem de üçüncü taraf, (kullanıcıyla bağlantı kurulması noktasında daha az doğrudan kontrol sahibi olduğu bilinse de) kullanıcıların çerezler hakkında açık bir şekilde bilgilendirilmesini sağlamak ve rızalarını almakla yükümlüdür.
Çerez yerleştirmek isteyen üçüncü taraflar veya çerezlerin kullanılmasını gerektiren bir ürün sağlamak isteyenler, internet sitesi yayımcıları ile aralarındaki sözleşmeye bu konuda hüküm ekleyebilirler. Bu durum, üçüncü taraf çerezler hakkında aydınlatma yapmak ve rıza almak için uygun tedbirlerin alınacağına dair bir güvence sağlayabilir.
YURT DIŞINA AKTARIM
Kişisel verilerin yurt dışına aktarımı 6698 sayılı Kanun’un 9’uncu maddesinde hükme bağlanmış olup, söz konusu maddenin birinci fıkrasına göre ilk aktarım şartı ilgili kişinin açık rızasının alınması hususudur. Açık rıza şartı dışında, 6698 sayılı Kanun’un 5’inci maddesinin ikinci fıkrası veya 6’ncı maddesinin üçüncü fıkrasında yer alan işleme şartlarının olması kaydıyla yeterli korumanın bulunması veya yeterli korumanın bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ile Kişisel Verileri Koruma Kurulunun izninin bulunması durumlarında ilgili kişinin kişisel verileri yurt dışına aktarılabilecektir.
UYGUN AYDINLATMANIN YAPILMASI
Hangi hukuka uygunluk sebebine dayanıldığından bağımsız olarak, kişisel verilerin elde edildiği her durumda, en geç verinin elde edildiği sırada, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmesi gerekmekte olup söz konusu yükümlülüğün yerine getirildiğinin ispatı veri sorumlusuna aittir.
Aydınlatmanın kolayca erişilebilir ve fark edilebilir olmasına dikkat edilmeli, ilgili kişilerin aydınlatmaya erişimini zorlaştıracak yöntemler kullanılmamalıdır.
Bir internet sitesini ilk defa ziyaret eden bir kişinin henüz veri sorumlusu ile bir sözleşme ilişkisi içine girip girmeyeceğinin ya da kişisel verilerinin işlenmesine açık rızası olup olmayacağının belirli olmadığı düşünüldüğünde, yalnızca siteye girmiş olması ile kişisel verilerinin işlenmesi yönünde açık iradesini beyan ettiği düşünülemeyecektir. Bu durumda site ziyareti ile birlikte kişisel veri işlenmeye başlanması için aydınlatmanın, kişisel veri işleme şartından bağımsız olarak internet sitesine giriş aşamasında yapılması gerekmekte olup internet sitesine girişte kişisel verilerin işlendiğine dair bir bilgilendirmenin sunulmadığı (ör. pop- up mesajlar) durumlarda aydınlatma yükümlülüğüne aykırılık gündeme gelebilecektir.
Ayrıca aydınlatma metninde çerezin adı, kullanım amacı ve kullanım süresi ile birinci veya üçüncü taraf olup olmadığı bilgilerine de açıkça yer verilmesi tavsiye olunur.
Ürün ve hizmetin hitap edeceği kitle çocuklar ise aydınlatma yükümlülüğü kapsamında çocukların algı düzeyine uygun bilgilendirici metinler hazırlanmalı, gerekirse resim ve görsel efektlerle desteklenen daha anlaşılır, sade ve açık bir dil kullanılmalıdır.
Rehberde çocuklarla ilgili aydınlatma yükümlülüğü metni hazırlanmasında yer verilen bu husus dikkat çekicidir.
Şirketlerin çocuklarla ilgili ürün ve hizmetler de belirtilen noktalara dikkat etmesi, yetişkinlerle ilgili ise kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
Rehberde verilen Bir Şirket Hakkındaki Başvuru İle İlgili Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarih Ve 2020/173 Sayılı Kararın içeriğinde; hem açık rıza hem de aydınlatma yükümlüğüne aykırı davranıldığına dair bir sonuca varılmaktadır.
Kararla alakalı çıkarılan sonuçlar rehberde yer alan bütün başlıklarda önemle belirtilmiştir.
| Aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi veren Gizlilik Bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır. |
| Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir. |
| Çerez yoluyla kişisel veri işlenmesine ilişkin olarak; 40 bir sözleşmenin kurulması veya ifası kapsamında açık rıza alınması, ilgili kişiye sözleşmenin ön koşulu olarak dayatılamayacaktır. |
| Kişisel verilerin -en geç- elde edilmesi sırasında yani internet sitesine girildiği anda aydınlatmanın yapılmış olması gerekmektedir. Aydınlatma henüz veri işlenmediği ya da en geç veri işlendiği esnada yapılmalıdır. |
| Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmemektedir. |
| Kararda, çerezler yoluyla kişisel verilerin işlenmesi için açık rıza dışında bir hukuki sebebe de dayanılabileceği değerlendirilmektedir. |
| Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir. |
Rehbere ve rehberin içindeki örnek Aydınlatma Metnine Ulaşmak için;
https://www.kvkk.gov.tr/Icerik/7353/Cerez-Uygulamalari-Hakkinda-Rehber
