KVKK Kapsamında Çerez (Cookie) Nedir? Nerede Kullanılır?

29Ara

KVKK Kapsamında Çerez (Cookie) Nedir? Nerede Kullanılır?

Tarafından GPDR Danışmanlık KVKK Kapsamında Çerez (Cookie) Nedir? Nerede Kullanılır? için yorumlar kapalı

ÇEREZ NEDİR? ÇEREZ POLİTİKALARI NE İŞE YARAR?

Çoğumuz internette gezinirken web sitelerinin genellikle alt kısmında ‘ çerez kullanıyoruz, sitede gezinmeye devam etmeniz halinde izin vermiş sayılırsınız ’ ya da ‘kabul et, daha fazla bilgi’  şeklinde yazı içeren kutucuklar ile karşılaşmaktayız.

Peki nedir bu çerez?

Web siteleri tarafından kendilerini ziyaret eden kullanıcıların bilgisayar ya da akıllı telefonlarına küçük verilerin yerleştirilmesi veya erişilmesine ilişkin oluşturdukları dosyalar şeklinde tanımlayabiliriz. Çerezleri ziyaret ettiğimiz web siteleri oluşturmaktadır. Oluşturma amaçları ise kullanıcıların web sitesini gezinirken onları tanımaya, açılan otumu açık tutmaya, onların beğenebileceği ürün vb. sayfaları karşılarına çıkarmayı, kullanıcıların alışkanlıklarını, beğenilerini, sepete bıraktıkları ürünleri tutmalarına gibi durumlara imkân verir.

Çerezler amaçlarına göre türlere ayrılmaktadır. Oturuma ilişkin, kişiselleştirme, izlemeye, kimlik doğrulamaya ilişkin bazı çerezler bulunmaktadır. İnternet sitesinin düzgün bir şekilde çalışması için gerekli olan çerezler ‘kesinlikle gerekli çerez ( fonksiyonel çerez )’ iken; reklam, pazarlama ve performansa yönelik çalışan çerezler ise ‘kesinlikle gerekli olmayan çerez’ olarak adlandırılabilmektedir.

Çerezlerin kimler tarafından sunulması durumuna göre birinci taraf çerez ve üçüncü taraf çerez olarak ayrımı bulunmaktadır. Üçüncü taraf çerezlerin tanımına baktığımızda kullanıcı bir web sitesinde gezinirken gezindiği web sitesi tarafından değil de bir başka üçüncü taraf web sitesi tarafından çerez oluşturulması durumudur. Kullanıcının gezindiği web sitesi tarafından çerez oluşturulması ise birinci taraf çerez olarak tanımlanmaktadır. Örnek ile açıklamak gerekirse bir web sitesinde uçak bileti arayan kişinin o siteyi kapatıp başka bir herhangi web sitesini açtığında karşısına uçak biletine ilişkin reklamların çıkması gibi. Çoğumuz bu durumlarla karşılaşmışızdır. Mailinize girdiğiniz zaman bazı reklam içeren maillerle karşılaşmanız mümkün olacaktır. Bunların sebebi üçüncü taraf çerezlerdir. Aslında reklam, pazarlama alanında faaliyette olanlar için üçüncü taraf çerezleri kolaylık sağlamakta ve birçok insana ulaşma kolaylığı sağlamaktadır. Kullanıcı açısından bakıldığında ise istemediği reklamlara her alanda maruz kalmaktadır.

Çerezlerin süresine göre ayrımı da bulunmaktadır. Oturum çerezi ile kalıcı çerez. Oturum çerezi web sitesinde gezinme işleminiz bittiğinde oturumu kapatmanız halinde otomatik olarak silinecektir. Kalıcı çerezlerde ise durum farklı olup web sitesine girdiğiniz teknolojik üründe sonsuza kadar kalabilmektedir. Ancak bazı kalıcı çerezlerde son kullanma tarihi olabilmekte ve süre sonunda otomatik olarak silinmektedir.

 

Çerezler peki kişisel veri midir? 

6698 Sayılı KVKK incelediğimizde çerezlerin tanımına ilişkin bir özel hüküm bulunmamaktadır. Ancak çerezler kullanılarak kişisel veri işleme faaliyeti yürütülmesi halinde KVKK hükümlerinin uygulanacağı açıktır.

Kurul’un en son 10/03/2022 tarih ve 2022/229 sayılı kararını incelediğimizde çerezlere ilişkin bilgilere ulaşmaktayız. Ayrıca Kurul’un çerezlere ilişkin bir ilke karar alması halinde de konuya ilişkin kamuoyunun gerekli bilgi sahibi olacağı görüşündeyiz.

Söz konusu Kurul kararını incelediğimizde; ‘kesinlikle gerekli çerez’ olarak tanımlanan ve internet sitesinin doğru düzgün çalışması için gerekli olan çerezler için Kanun 5’inci md. kapsamında ve yine Kanun’un 6/3 fıkrası kapsamında kişisel veri işleme şartlarından biri kapsamında işleme faaliyetinin bulunması halinde ilgili kişinin açık rızasının aranmayacağını belirtmiştir. Ancak kesinlikle gerekli olmayan çerez statüsünde kişisel veri işleme faaliyeti gerçekleşiyorsa ilgili kişinin açık rızasının alınması şartı aranmaktadır. Buna göre performans, reklam ve pazarlama amacı ile kullanılan çerezler ile kişisel veri işleme faaliyeti gerçekleştiriliyor ise ilgili kişinin açık rızasının alınması gerekir. 

Veri sorumlularının internet sitelerinde Çerez Yönetimine ilişkin aydınlatıcı bir bilgilendirmeyi sitelerini ziyaret eden kişilere açık bir şekilde yapmaları gerekmektedir. Kullandıkları çereze ilişkin bilgilendirme ile bu çerezlere izin verme ya da reddetme hakkını açık bir şekilde kullanmalarına imkân vermesi zorunludur. İlgililerin açık rızalarını alırken OPT-IN yöntemini kullanmaları veri sorumlularının yararına olacaktır. Opt-in’ e ilişkin yazımıza buradan ulaşabilirsiniz. 

https://www.bateknoloji.com/kisisel-verilerin-islenmesinde-yontemler-opt-in-opt-out/

Veri sorumluları Kanun’un 10 md ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Hakkında Tebliğ’ e dikkat ederek ÇEREZ POLİTİKASI oluşturmaları zorunludur. Bu politikada hangi amaçla kişisel veri işleyeceklerini, bu verilerin kimlere ve hangi amaçla aktarılacağını ve çerezlerin niteliğine ilişkin aydınlatıcı bilgilere yer vermek zorundadır. Çerez kavramı teknik bir kavram olduğu için ilgili kişilerin anlayacağı şekilde sade ve açık bir dil kullanılması çerez politikasında önemli olacaktır. Çerez kullanarak kişisel veri işleyen veri sorumlularının veri güvenliğine ilişkin Kanun’un 12. Md hususlara dikkat etmesi gerekecektir. En az asgari düzeyde koruyucu teknik ve idari önlemleri alması zorunludur. 

Kurul’un 10/03/2020 tarih ve 2022/229 sayılı kararında veri sorumlusu tarafından kişisel veri niteliğinde ‘kesinlikle gerekli olmayan’ çerezler kullanması nedeni ile Kanun 5 ve 6 ıncı maddelerinde yer alan şartlardan herhangi birine dayanmadan ve Kanun 12. Md kapsamında veri güvenliğine ilişkin gerekli teknik ve idari yükümlülükleri yerine getirmediği için Kanun ‘un ilgili maddesi hükümlerince 800,000 TL idari para cezası uygulanmasına karar vermiştir. https://kvkk.gov.tr/Icerik/7275/2022-229 ilgili karara bu linkten ulaşabilirsiniz.

Kurul’un son Kararı da göz önünde bulundurulduğunda veri sorumlularının internet sitelerinde kullandıkları çerezler açısından gerekli dikkat ve özeni yerine getirmeleri gerekecektir. Kanuna uygun şekilde ÇEREZ POLİTİKALARININ olması önemli bir husus olup, gerekli veri güvenliğine ilişkin teknik ve idari yükümlülükleri yerine getirmeleri gerekecektir. İlgili kişileri kişisel verileri işleme faaliyetinde kullanılan çerezler konusunda bilgilendirerek aydınlatmaları ve hukuka uygun açık rızalarını almaları gerekecektir. Konuya ilişkin her türlü sorunuzda bizimle iletişime geçebileceğinizi hatırlatmak isteriz.

 

Bu gönderiyi paylaş

Yazar

Related Posts

KVKK ve İşletmeler: Kişisel Veri Koruma Yükümlülükleri ve En İyi Uygulamalar
09Oca

KVKK ve İşletmeler: Kişisel Veri Koruma Yükümlülükleri ve En İyi Uygulamalar

KVKK ve İşletmeler: Kişisel Veri Koruma Yükümlülükleri ve En İyi UygulamalarKVKK ve... daha fazla oku

GDPR ve İş Süreçleri Entegrasyonu
16Oca

GDPR ve İş Süreçleri Entegrasyonu

GDPR ve İş Süreçleri EntegrasyonuGünümüzde dijital dünyanın hızla büyümesiyle birlikte, kişisel verilerin... daha fazla oku