İNTERNET SİTESİ FAALİYETLERİ KAPSAMINDA ÇEREZ UYGULAMALARI
Çerez Nedir?
Çerezler, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) yayınladığı Çerez Uygulamaları Hakkında Rehber’de tanımlandığı şekliyle; “İnternet sitesi operasyonlarını gerçekleştirenler tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyası (yazılım) olup HTTP(S)3 (“Hiper Metin Transferi Protokolü”, “Hyper Text Transfer Protocol”) talebinin bir parçası olarak aktarılır. Basitçe anlatmak gerekir ise; çerezler, bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli formatlardır.”
İşbu yazıda, hem 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında Kişisel Verileri Koruma Kurulu’nun (“KVK Kurulu”) hem de reklam uygulamaları çerçevesinde Reklam Kurulu’nun radarında olan, kişisel verilerin işlenmesinde kullanılan çerez türlerine, saklama sürelerine ve mevzuata uyumluluğun sağlanması adına gerekli ön şartlara değinilecektir.
- Çerez Türleri
Çerez türleri; sürelerine, kullanım amaçlarına ve taraflarına göre çerezler olarak üç sınıf altında incelenebilecektir.
Sürelerine Göre Çerezler
Oturum Çerezleri: Ziyaret edilen internet sitesinin/oturumun sürekliliği için kullanılan çerez türüdür. Oturum çerezleri ziyaret edilen önceki sayfaların hatırlanmasını sağlar ve oturum kapandığında kendiliğinden silinir.
Kalıcı Çerezler: İnternet tarayıcısı kapandığında silinmeyen, belirli bir tarihte ya da belirli bir süre sonra kendiliğinden silinen bir çerez türüdür. İzleme çerezleri olarak da adlandırılmaktadır. Kalıcı çerezler, internet alışkanlıklarıyla ilgili bilgileri uzun bir süre kaydederek kullanabilir ve daha önce giriş yapılmış bir internet sitesine giriş yapılmasını kolaylaştırmak için kullanılabilir.
Kullanım Amaçlarına Göre Çerezler
Kesinlikle Gerekli Çerezler: İnternet sitesinin çalışması için gerekli olan bu çerezlerin kullanılamaması durumunda internet sitesinin belirli bir kısmının veya tamamının çalışmaması söz konusu olabilecektir. İnternet sitesinin fonksiyonlarını gerektiği gibi yerine getirebilmesi adına zorunlu olmaları nedeniyle bu çerezlerin işlenmesinde ziyaretçiden/kullanıcıdan herhangi bir açık rıza temin edilmesi zorunlu değildir. Örnek olarak; e-ticaret sitelerinde sepete eklenen ürünlerin ödeme ekranına geçilince kullanıcının karşısına gelmesi verilebilecektir.
İşlevsel Çerezler: İnternet sitelerinde veya uygulamalarda kişiselleştirmeye imkan tanıyan ve kullanıcıların tercihlerinin hatırlanmasını sağlayan çerezlerdir. İşlevleri gereği zorunlu nitelikle olmayan bu çerezlerin kullanılabilmesi için açık rızaya dayanılması zorunludur. Örnek olarak; internet sitesi arka planının kullanıcı tarafından koyu renk veya açık renk olarak kişiselleştirilebilmesi verilebilir.
Performans-Analitik Çerezler: Kullanıcıların davranışlarını analiz eden ve kullanıcı davranışlarının istatistik ölçümüne imkân veren çerezlerdir. Performans-analitik çerezler, internet sitelerinin iyileştirmesi için kullanılmasının yanı sıra reklamların kişiler üzerinde etkilerine dair ölçümleme amacıyla da kullanılmaktadır. Bu doğrultuda günlük ziyaretçi sayısı veya hangi anahtar kelimelerin internet sitesini öne çıkardığı gibi tespitlere imkan sağlayan performans-analitik çerezlerin kullanılabilmesi için açık rıza alınması zorunludur.
Reklam/Pazarlama Çerezleri: Çevrimiçi hareketleri analiz eden ve kullanıcıların ilgi alanlarını tespit ederek bu alanlara özgü reklamların kişilere gösterilmesini sağlayan çerezlerdir. Reklam/pazarlama çerezleri, internet sitesinde hangi alanların ziyaret edildiğini ve hangi ürünlere ilgi gösterildiğini gözlemleyerek kullanıcıları profilleme amacıyla kullanılmaktadır. Bu çerezlerin kullanılabilmesi için açık rıza alınması zorunludur.
Taraflarına Göre Çerezler
Çerezler, internet sitesinin ya da etki alanının yerleştirmesine göre birinci veya üçüncü taraf çerezi olarak adlandırılabilmektedir. Kısaca açıklamak gerekirse birinci taraf çerezler; doğrudan ziyaret edilen internet sitesi tarafından yerleştirilen çerezlerken üçüncü taraf çerezler internet sitesi dışında üçüncü bir kişi tarafından yerleştirilen çerezler olarak tanımlanabilecektir.
Çerezlerin Saklama Süreleri
Oturum Çerezleri: Tarayıcının kapatılması ile birlikte silinen çerezlerdir. Bu çerezler internet oturumu sonlandırıldığında kendiliğinden silinmektedir.
Kalıcı Çerezler: Kullanıcı tarafından manuel olarak silinene kadar veya çerez için belirlenmiş son kullanım tarihine kadar cihazda saklanan çerezlerdir. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un 5. maddesi uyarınca, yer sağlayıcıları trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere saklamakla yükümlüdür. İlgili maddenin çerezleri de dolaylı yoldan kapsadığı kabul edilmekte olup Türk hukukunda çerezlerin saklanma süresiyle ilgili net bir düzenleme bulunmamaktadır. Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) çerçevesinde ise, çerezlerin yalnızca “gerekli olduğu süre boyunca” saklanması gerektiği belirtilmektedir. Fransız Veri Koruma Kurulu’na (Commission Nationale de l’Informatique et des Libertés, “CNIL”) göre onay gerektirmeyen, diğer bir ifadeyle internet sitesinin kullanımı için zorunlu olan çerezler altı aya kadar saklanabilmektedir. İlgili düzenleme, GDPR’a tabi ülkeler için zorunlu görülmemekle birlikte iyi uygulama örneği olarak değerlendirilmektedir.
Performans-Analitik Çerezler: Performans-Analitik çerezlerin saklama süreleri, belirli bir yasal zorunluluktan ziyade, sektörde yaygın olarak görülen, düzenleyici kurumların iyi uygulama olarak önerdiği hususlara dayanmaktadır. Bu tavsiye süreler, özellikle GDPR gibi yasal mevzuatın çerçevesi ile uyumlu olacak şekilde, internet sitelerinin kullanıcı davranışlarını anlamalarına ve performanslarını iyileştirmelerine olanak tanımak amacıyla belirlenmektedir. İlgili sürelerin, düzenleyici kurumların yayınladığı rehberlerde ve büyük teknoloji şirketlerinin gizlilik politikalarında da bulunabileceği görülmektedir. Örneğin, Google Analytics gibi araçların çerezlerin varsayılan saklama süresini ön dört ay olarak belirlediği ancak bu süreyi yirmi dört aya kadar artırma seçeneğini de sunduğu gözlemlenmektedir.
Yukarıda oturum çerezleri, kalıcı çerezler ve performans-analitik çerezler için belirtilen yasal düzenlemeler ve uygulama önerileri dışında; Türkiye’de ve Avrupa Birliği’nde hakkında özel bir yasal düzenleme veya uygulama tavsiyesi bulunmayan diğer çerezler ise kullanım amacı sona erene kadar veya ilgili kişi rızasını geri çekene kadar saklanabilecek olup ilgili şartların gerçekleşmesi ardından geri döndürülemeyecek şekilde silinmeleri veya anonim hale getirilmeleri gerekmektedir.
Çerezlerin İşlenmesinde Açık Rızanın Unsurları
İnternet sitelerine yerleştirilen çerezlerin işlenmesi için ilgili kişilerden açık rıza alınması gereken durumlarda, rızanın geçerli sayılabilmesi için belirli koşulların sağlanması gerekmektedir. İlgili kişinin, açık rıza verirken neye onay verdiğine dair açıkça bilgilendirilmesi, açık rızanın ise mutlaka aktif bir eylemle temin edilmesi elzemdir. Varsayılan rıza gibi senaryolara dayanılarak temin edildiği belirtilen rıza, geçerli bir açık rıza olarak kabul görmeyecektir.
Bu kapsamda, internet sitelerinde işlenen ve açık rıza temin edilmesini gerektiren çerezlerde açık rızanın aşağıda yer alan unsurlarının birlikte bulunması gerekmektedir:
- Açık rıza belirli bir konuya ilişkin olmalıdır.
- Açık rıza, bilgilendirmeye dayalı olarak alınmalıdır. Bu kapsamda, kişilere Çerez Bilgilendirme Metni’nin sunulması önem arz edecektir.
- Açık rıza, özgür iradeye dayanmalı, aktif bir hareketle verilmeli ve dilendiği zaman geri alınabilmelidir.
Yukarıdaki koşulların yanı sıra, Kurum’un yayınladığı rehberler, KVK Kurulu kararları ve Reklam Kurulu uygulamalarının rehberliğinde kullanıcılardan açık rıza alınırken uyulması gereken birtakım ek kurallar da bulunmaktadır. Örneğin, internet sitelerinde açık rızaların temini için kullanılan çerez panellerinde ideal kabul edilen uygulama “kabul et”, “reddet” seçeneklerinin yanında “tercihler” veya “ayarları yönet” seçeneklerine yer verilmesi ve seçeneklerin aynı renkte, büyüklükte ve puntoda sunulmasıdır.
Kullanıcıların özgür iradesinin sakatlandığı, kişileri açık rıza vermeye zorlayan uygulamalar da açıkça yasaklanmıştır. İnternet sitesine girildiğinde tüm ekranı kaplan bir çerez panelinin yer alması ve onay verilmedikçe sitenin içeriğinin görüntülenememesi, kişinin özgür iradesini sakatlayan ve dolayısıyla yasaklanan uygulamalara örnek olarak verilebilecektir. Yine bir başka uygulama tavsiyesi olarak CNIL; açık rızanın geri alınması işleminin açık rızanın verilmesi işleminden daha zor ve karmaşık olmaması gerektiğini vurgulamaktadır.
Karanlık Tasarım (Dark Pattern) Uygulamaları
Karanlık tasarım, kullanıcıların dikkatini belirli bir yöne çekerek istenen eylemleri yapmalarını sağlamak amacıyla kullanılan tasarım hileleri olarak tanımlanmakta olup tüketici ya da kullanıcıların özgür iradelerini kısıtlayarak satıcı veya sağlayıcı lehine karar vermelerini etkilemeye yönelik olarak kullanılmaktadır.
Sıklıkla karşılaşılan karanlık tasarımlara:
- Çerez panellerinde açık rıza ile işlenmesi gereken çerezlere ilişkin onay anahtarlarının açık/seçili şekilde sunulması (opt-out),
- Çerez pop-up’larında yer alan kabul et seçeneğinin yeşil, reddet seçeneğinin kırmızı sunulması veya kabul et seçeneğinin canlı renklerle sunulmasının yanında reddet seçeneğinin belli belirsiz bir şekilde yer alması gibi farklı renkler ve tasarımlar ile kullanıcının kabul et seçeneğine yönlendirilmesi,
- Çerezlere ilişkin pop-up/panel dizaynının tüm ekranı kaplayacak şekilde gerçekleştirilmesi nedeniyle çerezlere onay vermeden sayfanın görüntülenmesinin imkansız hale getirilmesi (çerez duvarı),
gibi örnekler verilebilecektir. Son dönemde karanlık tasarımların kullanımı oldukça yaygınlaştığından başta Kurum olmak üzere çeşitli otoriteler karanlık tasarımlara karşı önlemler almakta, yol gösterici rehberler ve tavsiyeler yayınlamaktadır.
Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği EK-A/22’de de kendine yer bulan karanlık tasarım uygulamaları ilgili düzenlemede, internet ortamında bir mal veya hizmete ilişkin yönlendirici ara yüz tasarımları, seçenekler ya da ifadeler gibi araçlarla tüketicilerin karar verme veya seçim yapma iradesini olumsuz etkileyen ya da normal şartlar altında vereceği kararda satıcı veya sağlayıcı lehine değişikliklere yol açmayı hedefleyen yöntemler kullanmak, şeklinde tanımlanmış olup aldatıcı ticari uygulamalar kapsamında değerlendirilmiştir.
Benzer şekilde, Kurum ile Türkiye Cumhuriyeti Ticaret Bakanlığı (“Ticaret Bakanlığı”) arasında imzalanan İş Birliği Protokolü (“Protokol”) kapsamında, dijital reklam ve uygulamalar konusunda tüketici farkındalığının artırılması ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesi hedefi çerçevesinde karanlık tasarımlara karşı ortak politikalar geliştirileceği belirtilmiştir. Protokol’de de karanlık tasarımlar; “kullanıcıların belirli bir davranışta bulunmasını sağlamak amacıyla kurgulanan, özgür iradeyi kısıtlayan ve kullanıcıları belirli bir hedefe yönlendiren hukuka aykırı bir uygulama” olarak tanımlanmaktadır.
Reklam Kurulu ise geçtiğimiz yıl yayınladığı duyuruda, karanlık tasarımları inceleme altına aldığını bildirmiş, duyurusunda karanlık tasarımları “dijital ortamlarda tüketicilerin karar verme veya seçim yapma iradesini olumsuz etkileyen, normal şartlarda verecekleri kararı satıcı veya sağlayıcı lehine değiştirmeyi amaçlayan manipülatif ara yüz tasarımları, önceden seçili opsiyonların sunulması ve tüketicilerin belirli tercihlere yönlendirilmesi amacıyla diğer seçeneklerin zorlaştırılması” şeklinde tanımlamıştır. Duyuruda ayrıca, karanlık tasarım uygulamalarının tespit edildiği internet sitelerine karşı tedbiren durdurma ve erişimin engellenmesi kararları alınacağı da belirtilmiştir.
Karanlık tasarım ve mevzuata uygun olmayan çerez uygulamalarının KVK Kurulu gözündeki yansımasına baktığımızda ise, açıklamalarımıza paralel şekilde açık rızanın tüm şartlarının bulunmasına önem verildiği ve karanlık tasarım uygulamalarının talimatlandırma veya ceza kararları ile karşılaştığı gözlemlenmektedir. Örneğin, “Bir internet sitesinde yer alan çerezlere ilişkin aydınlatma ve açık rıza metinlerinin sunulmaması” hakkında KVK Kurulu’nun 23/12/2022 tarihli ve 2022/1358 sayılı Karar Özeti’nde KVK Kurulu, veri sorumlusunun zorunlu olmayan ve kullanıcı hareketlerini takip eden çerezler için açık rıza temin etmediğini ve siteyi ziyaret eden kullanıcılara aydınlatma metninin sunulmadığını tespit etmiş; siteye/mobil uygulamaya girildiğinde bu çerezlerin kullanıcılara varsayılanda devre dışı olarak sağlanması gerektiğini ve kullanıcıların bu çerezleri aktif hale getirecek bir iradi onay (opt-in) vermesinin zorunlu olduğunu ifade ederek veri sorumlusuna 300.000 TL idari para cezası vermiş, uygulamanın düzeltilmesi yönünde veri sorumlusunu ayrıca talimatlandırmıştır.
“E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında KVK Kurulu’nun 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti’nde de benzer değerlendirmelere yer vererek opt-in mekanizmasının önemini vurgulayan KVK Kurulu, kararında ek olarak çerez pop-up’larında direkt olarak ilgili kişileri Çerez Politikası’na yönlendirebilecek bir bağlantı eklenmesinin aydınlatmanın erişilebilirliği adına önem arz ettiğini belirtmiş, Çerez Politikası’nın teknik bir konu olmasından hareketle ilgili metinde, açık ve sade bir dil kullanılması gerektiğinin altını çizmiştir.
GRC LEGAL Yorumu
İnternet sitesi uygulamalarında, her internet sitesinin faaliyet alanı, yerleştirilmek istenen çerezler ve bu çerezlerin kullanımı ile ulaşılmak istenen amacın kendi içerisinde değerlendirilmesi gerekmektedir. Zira, yalnızca kullanıcıyı bilgilendirmek amacıyla hazırlanmış bir internet sitesi ile e-ticaret faaliyeti yürüten bir internet sitesinde işlenen çerezlerin aynı nitelikte olması beklenemeyeceği gibi, kişisel veri işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü olması kapsamında da bu husus göz önünde bulundurulmalı, internet sitesine yerleştirilecek çerezlerin sitenin niteliği ile uyumluluğu gözetilmelidir.
Konunun bir uzantısı olarak; internet sitesinde işlenen çerezlerin niteliğinin teknik olarak tespit edilmesi, Çerez Bilgilendirme Metni/Çerez Politikası hazırlanarak gerekmesi halinde çerez panelinin oluşturulması, ilgili panelde alınması gereken onayların mevzuat ve tavsiye edilen uygulamalara uyumlu şekilde yürütülmesi de son derece önem arz etmektedir.
Tüm bu açıklamalara istinaden, internet sitesi bulunan ve bu siteler üzerinden faaliyetlerini yürüten gerçek ve tüzel kişileri yakından ilgilendiren çerez uygulamalarının, hukuki ve teknik danışmanlık hizmetleri eşliğinde kurgulanarak yürütülmesi ve güncelliğinin sağlanması, olası bir şikayet/soruşturma senaryosunun önüne geçmek, düzenleyici ve denetleyici kurumların radarına takılmamak ve böylece riski minimize etmek adına tavsiye edilmektedir.
