30 Mar, 2024

KVKK Kapsamında Çerezler

Dijital ayak izimizin önemli bir parçası olan çerezler, internet sitesi operatörleri tarafından kullanıcı cihazlarının önbelleğine yerleştirilen küçük metin dosyalarıdır. Kullanıcılar tarafından ziyaret edilen sitelerdeki kullanıcı deneyimlerini iyileştirmek ve kullanımı kolaylaştırmak amaçlı kullanılsalar da çevrim içi etkinliğimizin izlenmesine, takip edilmesine olanak sağlayarak hakkımızda veri toplarlar. Bu yönü ile çerezlere kişisel verilerimizin güvenliği için dikkat etmemiz elzemdir. 

Çerez Türleri

Çerezler genel olarak 3 ana gruba ayrılırlar.

Kullanım Amaçlarına Göre Çerezler:

  • Kesinlikle Zorunlu Çerezler: İnternet sitesinin çalışması amacıyla gerekli olan çerezlerdir.
  • İşlevsel Çerezler: Web sitesinde kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçlı kullanılan çerezlerdir.
  • Performans Analitik Çerezler: İnternet sitelerinde kullanıcıların davranışlarını analiz etmek amacıyla istatistiki ölçüme imkân veren çerezlerdir. Bu çerezler, sitenin iyileştirilmesi için kullanılmaktadır. 
  • Reklam ve Pazarlama Çerezleri: Reklam ve Pazarlama amaçlı çerezler ile internet ortamında kullanıcıların çevrimiçi hareketlerine dayalı olarak kişisel ilgi alanları belirlenip, bu ilgi alanlarına yönelik reklamlar gösterilmektedir.

Sürelerine Göre Çerezler:

  • Oturum Çerezleri: Geçici çerez olarak da adlandırılan bu çerezler, oturumun sürekliliğinin sağlanması amacıyla kullanılır. İnternet tarayıcısı kapatıldığında oturum çerezleri silinmektedir.
  • Kalıcı Çerezler: İnternet tarayıcısı kapatıldığı zaman silinmeyen çerezlerdir. 

Taraflarına Göre Çerezler:

  • Birinci Taraf Çerezler: Doğrudan kullanıcının ziyaret ettiği internet sayfası tarafından yerleştirilen çerezlerdir.
  • Üçüncü Taraf Çerezler: Kullanıcının ziyaret ettiği internet sitesinden farklı bir üçüncü kişi tarafından yerleştirilen çerezlerdir.

Çerezler Nasıl Çalışırlar?

  1. İnternet tarayıcısı, siteye erişim için web sitesi sunucusuna bir istek gönderir.
  2. Sunucu, veri paketleri içeren çerezleri oluşturur ve bunları gönderir.
  3. Sayfa tarayıcıda yüklenir, tarayıcı çerezleri alır ve bunları kullanıcının cihazında depolar.

Çerezler Ne için Kullanılırlar?

Çerezler aslında web ve uygulama deneyimimizi iyileştirmek amacıyla kullanılan oldukça yararlı metin dosyalarıdır. Bir web sitesinde geçmişte gerçekleştirdiğiniz eylemler çerezler ile hatırlanabilmektedir. Çerezlerin pek çok kullanımı olsa da bir kullanıcı olarak en çok çerez kullanım örneklerimiz şöyle sıralanabilir:

  • Kullanıcı adı ve parola ile giriş yapılan web sitelerinde sayfalar arası geçiş yaparken kullanıcı adınızı ve parolanızı tekrar girmek zorunda kalmamanız,
  • Web sitesinde kullanmak istediğiniz temanın bir sonraki girişinizde de hatırlanması,
  • Tercih ettiğiniz dil ve ülkenin hatırlanması,
  • Alışveriş sitelerinde sepete eklediğiniz ürünlerin, ödeme sayfasında karşınıza çıkabilmesi,
  • İlgi alanlarınıza uygun reklamların karşınıza çıkabilmesi

gibi internet kullanımını kolaylaştıran, deneyimi iyileştiren özellikler, çerezlerin kullanımı ile mümkün olmaktadır.

Çerez Kullanımının Avantajları ve Dezavantajları

Avantajlar:

  • Web sitelerinde oturum açmayı kolaylaştırmak
  • Web sitelerinde gerçekleştirdiğiniz kişiselleştirmelerin hatırlanması
  • Web sitelerinin performansının izlenmesi ile performansın iyileştirilmesi
  • İlgi alanlarına uygun reklamların görülmesi

Dezavantajlar:

  • Reklamların hedeflenmesi
  • Kişisel verilerin izlenmesi
  • Kullanıcı davranışlarının izlenmesi
  • Zararlı yazılımların bulaşabilmesi

Çerez Kullanımı ve KVKK

Çerezler tek başlarına kişisel veri değildirler ancak içlerinde kişisel veri barındırabilmektedirler. IP adresi, kullanıcı adı, şifre ve e-posta bilgisinin çerezlerin içinde yer alması, bu çerezleri KVKK’nın konusu yapmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kimliği belirli ya da belirlenebilir gerçek kişilere ilişkin her türlü bilginin işlenmesini konu alır ve çerezler vasıtası ile işlenen bilgiler de bu doğrultuda kullanıldıklarında kimliği belirlenebilir bir kişiyle ilişkilendirilebilir. Bu yönüyle çerezler, KVKK’nın bir konusu olarak karşımıza çıkmaktadır.

Çerezler ve Açık Rıza

KVKK, çerezlerin kişisel veri işlemeleri için açık rıza bulunması ya da veri sorumlusunun çerezler yoluyla kişisel veri işleme faaliyeti özelinde yapacağı değerlendirme neticesinde, Kanun’un 5. ve/veya 6. maddelerinde sayılan diğer veri şartlarının göz önünde bulundurulmasını talep etmektedir.

Çerez kullanımı için açık rıza aranmayacak durum aşağıdaki şekilde özetlenebilir:

  • Kullanıcı Girdili Çerezler: Bir bilgi toplumu hizmetinin sağlanmasının kullanıcı tarafından bir form doldurulması ya da bir butona tıklaması ile açıkça talep edildiği için açık rıza gerekmemektedir.
  • Kimlik Doğrulama Çerezleri: Tarayıcı oturumları arasında kimlik doğrulama tanımlayıcılarını depolayan sürekli çerezlerdir ve kullanıcı hesabına giriş yaptığında kendisine izin verilen bir içerik ya da fonksiyonelliğe erişimi açıkça talep etmiş olduğu için açık rızaya ihtiyaç duyulmamaktadır.
  • Kullanıcı Merkezli Güvenlik Çerezleri: Kullanıcı güvenliğini sağlamaya yönelik oluşturulmuş çerezlerdir ve kullanıcı güvenliğinin sağlanması için açık rıza gerekmemektedir.
  • Multimedya Oynatıcısı Oturum Çerezleri: Kullanıcı, video ya da yazı içeriğine ulaşmak istediğinde bu hizmeti açıkça talep ettiği için video gösterim işlevi için kullanılan çerezlerde açık rızaya ihtiyaç yoktur. 
  • Yük Dengelemesi Oturum Çerezleri: Ağ üzerinden haberleşmenin gerçekleştirilmesi için gerekli olan çerezlerdir, bu sebeple açık rıza gerekmemektedir.
  • Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri: Özelliklerin kişiselleştirilmesi bizzat kullanıcı tarafından bir butona ya da kutucuğa tıklanarak açıkça talep edilmiş olduğu için açık rızaya ihtiyaç yoktur.
  • Sosyal Eklenti İçerik Paylaşımı Çerezleri: Bir internet sayfasındaki sosyal etkinliğe erişmek ve bunları kullanmak, kullanıcı tarafından açıkça talep edildiği için açık rızaya gerek yoktur.
  • Açık Rıza Yönetim Platformu için Kullanılan Çerezler: Açık rızaya dair tercihlerin hatırlanması için gerekli olan çerezlerin kullanımı için açık rızaya ihtiyaç olmasa da bu çerezin örünün Kanun’un 4. maddesinde yer alan genel ilkelere uygun olması tavsiye edilmektedir.
  • Birinci Taraf Analitik Çerezler: Performans ölçümü, navigasyon problemlerinin tespiti, teknik performansın optimizasyonu veya ergonomi, gerekli sunucuların gücünün tahmini gibi ihtiyaçları karşılaması, yani bir internet sitesinin veya uygulamanın işleyişi ve günlük yönetimi için kullanılmasını sağlayan bu çerezler için açık rızaya ihtiyaç yoktur.
  • İnternet Sitesinin Güvenliği için Kullanılan Çerezler: İnternet sitesinin güvenlik zafiyeti nedeniyle hizmet verememesi, hizmet dışı bırakılması, kullanıcının talep ettiği hizmete erişememesine neden olacağından bu çerezlerde de açık rıza aranmamaktadır.

KVKK, açık rızanın gerekli olduğu çerezleri de listelemiştir ve bu çerezler aşağıdaki gibidir:

  • Sosyal Eklenti Takip Çerezleri: Birçok sosyal ağ, üyeleri tarafından “açıkça talep edildiği” kabul edilebilecek bazı hizmetleri sağlamak için, internet sitesi sahiplerinin internet sitelerine entegre edebilecekleri sosyal eklenti modülleri sunmaktadır. Ancak bu modüller davranışsal reklamcılık, analitik veya pazar araştırması gibi ilave amaçlarla, üye olan/olmayan kişileri üçüncü taraf çerezler yardımıyla izlemek için kullanılabilmektedir. Bu tür amaçlar doğrultusunda kullanılan çerezlerin kullanımı için açık rıza gerekmektedir.
  • Çevrimiçi Davranışsal Reklamcılık Çerezleri: Doğal olarak gösterim sıklığı, finansal kayıt tutma, reklam ortaklığı, tıklama sahtekârlığını algılama, araştırma ve pazar analizi, ürün geliştirme ve hata ayıklama gibi amaçlarla reklamcılık kapsamında kullanılan çerezler için açık rıza gerekmektedir.

Kişisel Verilerin Çerezler Yoluyla Yurt Dışına Aktarımı

KVKK kapsamında çerezler hakkında ele alınan bir başka husus ise, çerezler aracılığıyla kişisel verilerimizin yurt dışına aktarılmasıdır. KVKK, verilerin yurt dışına çerezler veya başka yollarla aktarılmasına bakmaksızın her yoldan yurt dışına veri aktarımının KVKK hükümlerine uygun olmasını beklemektedir.

Çerez Kullanımının Reddedilmesi

KVKK’nın 11. maddesine göre, kişisel veri sahipleri, kişisel verilerinin işlenmesini durdurulmasını veya silinmesini talep etme hakkına sahiptir. Bu nedenle, web siteleri, kullanıcıların çerezlerin kullanımını reddetme hakkına sahip olduğu konusunda bilgilendirmelidir.

Riskler

Çerezler yolu ile kişisel verilerimizin kötü amaçlara sahip kişi veya kişilerin eline geçmesi, çerez kullanımının en büyük riskidir. Web sitelerinde ve uygulamalarda kullanılan çerezlerin KVKK gibi yasal düzenlemeler ile düzenlenerek güvenli hale getirilmesi amaçlansa da kötü amaçlarla kullanılan çerezler de mevcuttur. Zombi çerezler dediğimiz kötü amaçlı çerezler, kullanıcıların bilgisayarlarına kalıcı olarak yüklenirler. Bilgisayarlardan çerezler silinse dahi yeniden ortaya çıkabilirler ve kaldırılmaları oldukça zordur. Diğer üçüncü taraf çerezler gibi zombi çerezler de web analizi şirketleri tarafından üretilebildiği gibi bilgisayar korsanları tarafından da üretebilir ve sistemlere virüs ve zararlı yazılım bulaştırmak için kullanılabilmektedirler.

Çerezlerin oluşturduğu riskleri en aza indirmek için yapmamız gerekenler;

  • Zorunlu çerezler dışındaki çerezleri kabul etmemek,
  • Güvenilmeyen sitelere girmemek, girildiyse çerezleri kabul etmemek,
  • Tarayıcımız yardımı ile bilgisayarlarımızda yer alan çerezleri silmek,
  • Çerez kullanımı hakkında bilinçlenmektir.

Çerez kullanımı, dijitalleşmenin bir sonucu olarak internet kullanımımızın her adımında yer almaktadır. Dijital yaşamımızla bu derece entegre olmuş çerezleri yakından tanımak ve bizim oluşturduğu kolaylıkları ve riskleri kavramak, bilgi güvenliğimizi sağlamak için son derece önemlidir.

KAYNAKÇA

[1] Çerez Uygulamaları Hakkında Rehber (KVKK)

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf

[2] Kişisel Verileri Koruma Kurumu Bülteni Sayı: 3 “Çevrimiçi Mahremiyet ve Çerezler”

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/c4cb3fce-4c4d-40af-9410-fe3bdcfae8e9.pdf

[3] 6698 sayılı Kişisel Verilerin Korunması Kanunu

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

 

 

İçerik Hakkında:
Çerezler, kullanıcıların internet deneyimini iyileştirmek için kullanılan ancak aynı zamanda çevrim içi etkinliklerimizi izleyen ve kişisel verilerimizin güvenliğini sağlamak için dikkat edilmesi gereken önemli araçlardır. KVKK kapsamında, çerezlerin kullanımıyla ilgili bilinçli olmak önemlidir. Detaylar içeriğimizde.
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram