Günümüzde internet sitelerinin büyük bir çoğunluğu, kullanıcı deneyimini iyileştirmek, analiz yapmak, pazarlama faaliyetleri yürütmek veya reklam hedeflemesi yapmak amacıyla çerez (cookie) kullanmaktadır. Çerezler, bir web sitesinin kullanıcı hakkında belirli bilgileri tarayıcı üzerinden depolamasıyla işlev görür. Ancak, bu verilerin işlenmesi ve kaydedilmesi, kişisel verilerin korunması hukuku kapsamında önemli bir mevzuat konusudur. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesine dair temel kuralları düzenler. Peki, çerez kullanımı ve buna bağlı onay zorunluluğu nedir? Çerez onayı almak zorunlu mudur? Bu makalede KVKK perspektifinden çerezlerin hukuki durumunu, açık rıza gerekliliğini ve uygulamada dikkat edilmesi gereken hususları kapsamlı şekilde inceleyeceğiz.
Çerezler Nedir?
Çerez, bir web sitesinin kullanıcının bilgisayarında veya mobil cihazında depoladığı küçük metin dosyalarıdır. Bu dosyalar, kullanıcı davranışları, tercihleri veya kimlik doğrulama gibi bilgileri içerir. Çerezler, genel olarak iki gruba ayrılır:
- Zorunlu çerezler: Web sitesinin temel işlevlerinin çalışması için gereklidir.
- İsteğe bağlı (opsiyonel) çerezler: Kullanıcı deneyimini geliştirmek, analiz veya reklam amaçlı kullanılan çerezler.
Özellikle isteğe bağlı çerezlerin kullanımı kişisel verilerin işlenmesi anlamına gelir ve hukuki açıdan düzenlenmesi gereklidir.
Kişisel Veri ve Çerezlerin İlişkisi
KVKK’nın 3. maddesinde kişisel veri; “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır. Çerezler aracılığıyla toplanan bilgiler, IP adresi, kullanıcı davranışları, tercihleri gibi unsurlar kişisel veri kapsamında değerlendirilebilir. Bu nedenle çerezlerin kullanımı ve çerezlerde saklanan veriler KVKK kapsamında ele alınır.
KVKK ve Çerez Kullanımında Açık Rıza Zorunluluğu
KVKK’nın 5. maddesi, kişisel verilerin işlenmesinde temel ilkeleri ve işleme şartlarını düzenler. Buna göre;
- Kişisel veriler, ilgili kişinin açık rızası olmadan işlenemez.
- Kanunda açıkça belirtilen başka bir hukuki gerekçe bulunmuyorsa, kişisel veriler ancak açık rıza ile işlenebilir.
Çerezler vasıtasıyla kullanıcıların kişisel verilerinin işlenmesi dolayısıyla, veri işleme faaliyetinden önce kullanıcıdan açık rıza alınması zorunludur. Özellikle reklam, analiz, kullanıcı davranışı izleme gibi amaçlarla kullanılan isteğe bağlı çerezler için rıza almak yasal bir zorunluluktur.
Avrupa Birliği’nde Çerez Politikaları ve KVKK’ya Etkisi
Avrupa Birliği’nde 2018 yılında yürürlüğe giren GDPR (Genel Veri Koruma Yönetmeliği) ve 2009/136/EC sayılı Çerez Direktifi, çerezlerin kullanımında rıza zorunluluğunu net biçimde vurgulamıştır. Türkiye’de KVKK, GDPR ile benzer ilkeleri benimsemiştir. Dolayısıyla, GDPR’ye uyumlu web siteleri için Türkiye’de de benzer yükümlülükler geçerlidir.
Çerez Onayı Nasıl Alınmalı?
- Açık ve Bilgilendirilmiş Rıza: Kullanıcı, çerezlerin ne amaçla kullanılacağı, hangi verilerin işlendiği konusunda açık şekilde bilgilendirilmeli.
- Tercihlerin Yönetimi: Kullanıcı, isteğe bağlı çerezleri kabul etmek ya da reddetmek konusunda özgür olmalı.
- Rıza Belgesinin Saklanması: Alınan rızalar kayıt altına alınmalı ve gerektiğinde kanıt olarak gösterilebilmelidir.
- Çerez Politikası: Web sitesinde, çerezlerin kullanım amacı, türleri ve kullanıcı haklarını içeren detaylı bir politika metni bulunmalıdır.
Zorunlu ve İsteğe Bağlı Çerezlerin Farkı
KVKK ve ilgili mevzuat kapsamında, sadece kişisel veri içeren veya kullanıcı izni gerektiren çerezler için onay alınmalıdır. Örneğin, site güvenliği için gerekli zorunlu çerezler (oturum çerezleri) için rıza şartı aranmaz. Ancak reklam, analiz, sosyal medya entegrasyonu gibi amaçlarla kullanılan tüm çerezler için kullanıcıdan önceden izin alınması gerekir.
Çerez Onayının Alınmaması Halinde Hukuki Sonuçlar
Kullanıcının rızası olmadan kişisel verilerin işlenmesi KVKK kapsamında ciddi yaptırımlara sebep olabilir:
- İdari para cezaları: KVKK ihlallerinde, kişisel veri işleyen gerçek veya tüzel kişilere ciddi miktarda para cezaları uygulanabilir.
- Tazminat yükümlülüğü: Kişisel verisi ihlal edilen kişiler, zararın tazmini için dava açabilir.
- İtibar kaybı ve güven problemi: Kullanıcı güveninin zedelenmesi, ticari faaliyetlere olumsuz yansır.
Bu sebeple, çerez onayı alınmadan veri işlemek işletmeler için yüksek risk taşır.
Uygulamada Çerez Onayı Zorunluluğuna İlişkin Örnekler
Türkiye’de birçok web sitesi, kullanıcıların tarayıcılarında çerez kullanımına dair onay vermelerini sağlamak amacıyla pop-up veya banner yöntemleri kullanır. Bu uygulama, kullanıcıya hem bilgilendirme yapmak hem de rızasını almak için yaygın kullanılan bir yöntemdir.
Sonuç
6698 sayılı KVKK kapsamında, kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması zorunludur. Çerezler aracılığıyla kişisel veri işlenmesi söz konusu olduğunda, önceden açık rıza alınmadan veri işlemek hukuken yasaktır. Bu nedenle, internet sitelerinin ve dijital platformların çerez politikalarını KVKK ile uyumlu şekilde düzenlemesi, kullanıcılarını bilgilendirmesi ve gerekli rızaları sağlaması büyük önem taşımaktadır.
Kullanıcıların haklarının korunması ve işletmelerin hukuki sorumluluklarını yerine getirmesi açısından çerez onayı zorunluluğu günümüz dijital ortamında kaçınılmaz bir gerekliliktir.