Bir web sitesini ziyaret ettiğimizde, çerezlerin toplanacağı bilgisi ve buna izin verip vermediğimiz sorusu karşımıza sıkça çıkar. Üstelik çoğu insan çerez nedir bilmemesine rağmen, sitelerin çerez politikalarını okumaya davet edilir. Hatta kimi zaman çerezlerin kabul edilmesi hizmet sunulmasının ön şartı olarak karşımıza çıkar. Peki, çerezler hakkında ne kadar bilgi sahibiyiz? Çerez toplamanın hukuki boyutu nedir ve çerezlerin kabul edilmemesi web sitesinin kullanılmasını engeller mi? Bu yazıda, önce çerezlerin tanımı yapılacak, sonra türlerinden bahsedilecek, ardından işlevleri ve kontrolü anlatılacak ve son olarak çerezler hukuki açıdan incelenecektir.
Çerez Nedir?
Avrupa Birliği kurumları için hazırlanan yönerge, çerezleri “kullanıcının ziyaret ettiği web hizmeti tarafından oluşturulan metin dosyası” olarak tanımlamıştır.[1] Benzer şekilde, Avrupa Komisyonunun çerez politikası, çerez nedir sorusunu “bir siteyi ziyaret ettiğinizde sitenin bilgisayarınızda veya mobil cihazınızda sakladığı küçük metin dosyası” olarak yanıtlamıştır.[2] Yani cookies olarak da bilinen çerezler, kullanıcıların web sitelerini ziyaret etmeleri sonucu tarayıcılar tarafından oluşturulur ve web sitelerini ziyaret ederken kullandıkları cihazlarda depolanır. Çerezler, genelde şifrelenmiş dosyalar olduğundan sadece onları oluşturan web sitesi tarafından okunur. Dolayısıyla tek başlarına anlam ifade etmez ve başka siteler tarafından kullanılamazlar.
Peki cookies ne demek?
Web sitesi çerezlerini belirtmesinin yanı sıra, “cookie” İngilizcede kurabiye anlamına gelir. Kimisi bunun evlerinin yolunu bulmak için yere ekmek kırıntısı bırakan Hansel ve Gratel’den geldiğini savunurken kimisi içinden küçük metin çıkan kurabiyelerden geldiğini savunur. Ancak, en kabul gören tahmin Unix işletim sisteminde kullanılan “magic cookie” veri paketinden geldiğidir. Sonuç olarak, köken bağlamında cookies ne demek sorusuna kesin bir yanıt veremiyoruz. Bu muğlaklığı koruma düşüncesiyle hareket edilmiş olsa gerek, Türkçeye bu terim “çerez” olarak tercüme edilmiştir.
Çerez türleri nelerdir?
Çerezler temel olarak geçici çerezler ve kalıcı çerezler olarak ikiye ayrılır. Oturum çerezi olarak da bilinen geçici çerezler silme işlemi gerektirmeden oturumu kapattığınızda otomatik olarak silinir. Böylece o sayfayı bir sonraki ziyaretinizde, oturum çerezleri geri getirilemez. Öte yandan kalıcı çerezler, web sitesini veya tarayıcıyı kapattığınızda otomatik olarak silinmez. Bilgisayarınızda depolanan çerezler silme işlemini siz yapmadıkça veya tarayıcınız tarafından belirlenen kullanım süresi sonunda otomatik olarak silinmedikçe bilgisayarınızda kalmaya devam eder. Dil ve tema seçimi gibi özelleştirmeler, toplanan kalıcı çerezler sayesinde siteyi sonraki ziyaretinizde hatırlanır ve bu seçimleri tekrar yapmak zorunda kalmazsınız.
Çerezler konusunda yapılacak bir başka ayrım zorunlu ve zorunlu olmayan çerezlerdir. Zorunlu çerezler, sitenin işlevini yerine getirebilmek için toplanması mutlaka gerekli ve toplanmadığı takdirde sitenin işlevini yerine getiremeyeceği çerezlerdir. Alışveriş sepetinde ürünlerin kalmasını sağlayan çerezler, alışveriş siteleri bakımından zorunlu çerezlerdir. Zorunlu olmayan çerezler ise sitenin işleyişi için mutlaka gerekli olmayan çerezlerdir. Kullanıcı adı ve şifrenin hatırlanmasını sağlayan çerezler, reklâm amaçlı çerezler veya istatistiki bilgi toplayan çerezler bu kategoriye girer.
Çerezleri ilgilendiren bir diğer ayrım ise bizzat web sitesi tarafından yerleştirilen çerezler ve üçüncü taraflarca yerleştirilen çerezlerdir. Web sitesi tarafından yerleştirilen çerezler, site kullanımınızı kolaylaştırmayı amaçlayan dil ve tema tercihleri gibi çerezler olabilir. Üçüncü taraf çerezleri ise Google Adsense gibi reklam kurumları tarafından yerleştirilen reklam çerezleridir. Böyle durumlarda web sitesi içeriği, web sitesi tarafından sağlanırken reklamlar yerleştirdiği çerezleri kullanan üçüncü taraflarca sağlanır. Bu çerezlerin yerleştirilmesi sonucu, Google ziyaret ettiğiniz web sitelerinin kaydını tutar, özelleştirilmiş reklamlar sunar ve aynı reklamı tekrar tekrar görmemenizi sağlar. Bu konuda ayrıntılı bilgiye https://policies.google.com/technologies/ads adresinden ulaşabilir, kişiselleştirilmiş reklam ayarlarınızı ise https://adssettings.google.com/authenticated adresinden düzenleyebilirsiniz.
Çerezlerin işlevi nedir?
Çerezlerin temel amacı, kullanıcı tercihlerini hatırlayarak ve kişiselleştirilmiş deneyim sunarak sitenin kullanılabilirliğini attırmak ve böylece ziyaretçilere sunulan hizmeti geliştirmektir. Örneğin; çerezlerin toplanmasına izin veren ziyaretçi, ziyaret ettiği sitede yeniden dil ve tema tercihleri yapmak zorunda kalmaz. Aynı şekilde oturumun açık kalmasını sağlayan çerezler sayesinde tekrar oturum açmaz.
Öte yandan, sitenin işlevini yerine getirmesi için de çerezlere ihtiyaç duyulabilir. Bunun en önemli örneği; çerezler sayesinde sepete eklenen ürünlerin ödeme sayfasında kaybolmamasıdır. Bu şekilde kullanılan çerezleri temizleme veya çerezlere izin vermeme kullanıcının web sitesinden yararlanmasını engelleyecektir.
Çerezlerin hepsinin masum olduğunu söylemek mümkün değildir. Bazı çerezler internette gezinme aktivitenizi de izleyebilir. Ancak tarayıcı ayarlarınızdan çerezlerin belirli işlemleri yapmasını veya belirli sitelerin çerez toplamasını engelleyebilirsiniz.
Çerezler nasıl kontrol edilir ve silinir?
Gizlilik herkesin hakkıdır. Bu hak gerek Anayasa’da, gerek Avrupa İnsan Hakları Sözleşmesi’nde koruma altına alınmıştır. Dolayısıyla hangi bilgilerinizi ne zaman paylaşacağınızı belirleyen kişi siz olmalısınız. Çerezler açısından bunun iki yönü vardır; birincisi çerezleri etkinleştirme diğeri ise çerezleri temizleme olarak karşımıza çıkar.
Varsayılan tarayıcı ayarlarında çerezleri etkinleştirme işlemi yapmanıza gerek yoktur. Tarayıcınız bir web sitesini ziyaret ettiğinde, bu web sitesi tarayıcınıza birtakım bilgiler gönderir ve tarayıcınız bir metin dosyası oluşturarak bunları tarayıcı klasöründe depolar. Dolayısıyla ilgili klasörden veya tarayıcı ayarlarından çerezleri kontrol etmeniz mümkündür.
Ayrıca çerezleri yerleştiren siteler, bu çerezleri belirli sürelerle yerleştirmektedir. Çerezler oturum sonunda silinebileceği gibi, belirli bir süre sonunda da otomatik olarak silinebilir. Bu durumda, süresinden önce temizlemek istememeniz durumunda çerez temizleme yapmanıza gerek kalmayacaktır. Çünkü çerezler silme işleminin ardından depolandıkları yerden kaldırılır.
Çerezlerin Hukuki Açıdan Değerlendirilmesi
Türk hukukunda çerezleri özel olarak düzenleyen bir mevzuat yoktur. Ancak Kişisel Verileri Koruma Kurumunun(“Kurum”) Amazon Turkey Perakende Hizmetleri Limited Şirketi hakkında verdiği 27/02/2020 tarihli ve 2020/173 sayılı kararda “Gizlilik Bildirimi”ne onay verildiği yönünde yapılacak bilgilendirme ile “veri işleme” kapsamına giren bütün fiillerin (çerezlerle izleme, aktarma, paylaşma, depolama vb.)…” denilmek suretiyle çerezlerin kişisel veri kapsamında değerlendirileceği ifade edilmiştir. Ancak toplanan tüm çerezler için rıza alınması gerekmez. Bu ayrımın yapılmasında çerezlerin alınmasının zorunlu olup olmadığı göz önüne alınır. Sitenin işleyişi için zorunlu çerezler bakımından rıza alınması gerekmezken, zorunlu olmayan çerezler bakımından rıza alınması gerekecektir.
Kişisel Verileri Koruma Kurumu tarafından hazırlanan “Çerez Uygulamaları Hakkında Rehber”in son hâli 20.06.2022 tarihinde yayımlanmıştır. Rehberde çerezlerle ilgili iyi ve kötü uygulamalar incelenmektedir.
Alınacak rıza ise açık rıza olup, Kişisel Verilerin Korunması Kanunu(KVKK)’nun 3. maddesinde “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. Özgür iradeye dayanması rızanın bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi anlamına gelir. Yani “ya sev, ya terk et” anlayışı burada uygulanamayacak, çerezlerin kabul edilmemesi hizmete erişimi engelleyemeyecek ve bunun aksi davranış rızayı sakatlayacaktır. Böyle bir durumda KVKK’ya aykırılık sebebiyle Kuruma ihbarda bulunulabilir.
Avrupa Birliği’nde ise çerezler General Data Protection Regulation (“GDPR”) ve ePrivacy Directive isimli regülasyonlarda düzenlenmiştir. Bu düzenlemelere göre çerezlerle ilgili rıza, verilerin kullanım amacı konusunda kullanıcı yeterince aydınlatıldıktan sonra ve veriler toplanmadan önce alınmalıdır. Aynı şekilde kullanıcı rızayı aktif bir davranışıyla vermeli ve verdiği rızayı da geri çekebilmelidir. Fakat verilerin anonimleştirilerek siteyi geliştirmek amacıyla toplu şekilde kullanıldığı durumlarda rıza alınmadan veri toplanabilecektir. Avrupa Birliği’ne üye ülkelerden trafik çeken sitelerin bu hususlara dikkat etmesi ve ziyaretçilerin çerezleri kabul veya reddine olanak sağlaması önemlidir. Çerez politikası KVKK anlamında bir zorunluluk olmasa da AB ülkelerinde yerleşik firmalar ve AB’den ziyaretçi çeken siteler için çerez politikası bulunması bir zorunluluk. Dolayısıyla dünya çapındaki hukuk düzenlerine uyumlu bir çerez politikası hazırlamak ve KVKK konusunda hukuki destek almak olası sorunların önüne henüz başlangıç aşamasında geçmenizi sağlayacaktır.
Konu hakkındaki sorularınız ve hukuki yardım için info@paldimoglu.av.tr üzerinden iletişime geçebilirsiniz.
[1] European Data Protection Supervisor, “Guidelines on the protection of personal data processed through web services provided by EU institutions”, 2016 Kasım.
[2] European Commission, “Cookies policy”, https://ec.europa.eu/info/cookies_en.