Kişisel Verileri Koruma Kurumu’nun “Çerezler” Hakkında Vermiş Olduğu 10/03/2022 Tarih ve 2022/229 Sayılı Karar Doğrultusunda Kişisel Verilerin Çerezler Aracılığıyla İşlenmesine İlişkin Değerlendirme

Kişisel Verileri Koruma Kurumu’nun (“Kurum”), “E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında vermiş olduğu 10/03/2022 tarih ve 2022/229 sayılı Kararı’nın (“Karar”), 23.05.2022 tarihinde Kurum internet sitesinde yayımlanmasıyla birlikte Kişisel Verilerin Korunması bağlamında çerezlerle ilgili tartışmalar tekrar gündeme gelmiştir. Karar, internet siteleri ve mobil uygulamalarda kullanılan çerezler aracılığıyla işlenen kişisel verilere ilişkin olarak veri sorumluları tarafından uyulması gereken usul ve esasları açıklamaktadır.[1]

İşbu kararın değerlendirilmesi kapsamında öncelikle çerezlerin tanımına ve önemine değinmek uygun olacaktır.

İnternette ziyaret edilen internet siteleri tarafından kullanıcılara/ziyaretçilere ait bilgilerin depolandığı küçük bilgi dosyaları çerez (cookies) olarak adlandırılmaktadır. Çerezler, kullanım amaçlarına, saklanma sürelerine ve kaynaklarına göre çeşitli türlere ayrılmaktadır. En genel ayrımıyla çerez türlerine ve amaçlarına bakıldığında; Kesinlikle Gerekli (Zorunlu) Çerezler, internet sitesinde/mobil uygulamada yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan çerezler iken İşlevsel Çerezler, ziyaretçilerin kullanım tercihlerine göre sitenin şekillenmesini sağlar, Performans/Analitik Çerezleri sitenin geliştirilebilmesi için ziyaretçilerin siteyi ne kadar süre ne şekilde kullandığı bilgisini tutarken, Reklam/Pazarlama Çerezleri ise ziyaretçinin ilgi alanına göre kişilere özel fırsatlar ve reklamlar sunulmasını sağlar. [2]

Çerezlerin aktif kullanımı özellikle e-ticaret sektöründe faaliyet gösteren şirketlerin iş geliştirme süreçlerine ve performansına doğrudan katkı sağlamakta olduğu gibi ziyaretçilerin kişisel verilerine erişilmesi yönünden de bu şirketler için Kişisel Verilerin Korunması Mevzuatı kapsamında çeşitli riskleri beraberinde getirmektedir. Çerezler kendi başlarına kişisel veri niteliğine sahip olmasalar da, ilgili diğer bilgilerle birleştiklerinde kişileri belirlenebilir kılmaları sebebiyle, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 3/1 (d) maddesinde yer alan tanım kapsamında kişisel veri olarak kabul edilmektedir. Kişisel verilerin işlenmesi KVKK kapsamında çeşitli koşul ve yaptırımlara bağlanmış olduğundan, çerezler aracılığıyla kişisel veri işleme faaliyetlerinde KVKK’ya aykırı davranılması halinde Kurum’un inceleme yetkisi gündeme gelecek ve şirketler yaptırımlarla karşı karşıya kalabilecektir.

Bu doğrultuda, ilgili kişinin bir e-ticaret firmasının internet sitesi/mobil uygulamaları aracılığıyla KVKK’ya aykırı davranış sergilediği iddiasıyla yönelttiği şikayet üzerine verilen, işbu yazımızın konusu olan Karar’a bakıldığında, Kurum’un kişisel verilerin çerezler yoluyla işlenmesi konusunda iki önemli noktaya işaret ettiği görülmektedir.

Bunlardan ilki, “Kesinlikle Gerekli Çerezler” dışında kalan çerezlerin kullanımına ilişkindir. Kurum, kesinlikle gerekli çerezler haricindeki çerezler aracılığıyla kişisel veri işlenirken, Kanun’un 5/2 ve 6/3 maddelerinde yer alan veri işleme şartları sağlanmadığından, açık rızaya dayanılması gerektiği, alınacak bu açık rızanın da ziyaretçilerin internet sitesine/mobil uygulamaya giriş anında iradi aktif hareketleriyle sağlanması, verilecek onayın bireylerin bilinçli eylemi ile (opt-in) gerçekleşmesi gerektiğini belirtmiştir.

Kararda dikkat çeken diğer önemli nokta ise, çerezler aracılığıyla toplanacak olan kişisel verilerin yurt dışına aktarımına ilişkindir. Kurum, Kurum’a taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında, veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerinin, Kanun’un kişisel verilerin yurt dışına aktarılmasını düzenleyen 9. Maddesine aykırı olduğu tespitinde bulunmuş ve veri sorumlusunu çerezler aracılığıyla yürüttüğü faaliyetlerini Kanun’un 9’uncu maddesine uyumlu hâle getirmesi noktasında talimatlandırmıştır. Yaptırıma maruz kalan veri sorumlusu şirketin “Çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm internet sitelerinin yurt dışına veri aktarımında bulunduğu” savunması da Kurum nezdinde kabul görmemiştir.

Kurum, daha önce “Çerez Uygulamaları Hakkında Rehber Taslağı”nı 11.01.2022 tarihinde kamuoyu görüşlerine açmak üzere yayınlamış, 2021/85 sayılı ve 03/02/2021 tarihli kararı ile çerezlere ilişkin değerlendirmelerde bulunmuştu. Kurum ayrıca Amazon Türkiye hakkında verdiği 27/02/2020 Tarihli ve 2020/173 Sayılı karar ile çerezler aracılığıyla kişisel veri işlerken hem açık rıza şartına hem aydınlatma yükümlülüğüne aykırı davranmış olması sebebiyle veri güvenliği ve aydınlatma yükümlülüklerini yerine getirmeyen şirket hakkında 1.100.000 TL idari para cezası uygulamıştı.

Kurum tarafından verilen 2022/229 sayılı işbu güncel karar ile de çerez uygulamaları aracılığıyla, Kanun’da sayılan veri işleme şartlarından biri olmaksızın aktif bir açık rıza mekanizması bulunmadan veri işlendiği ve yurt dışına veri aktarımının Kanun’a uygun yapılmadığı gerekçeleriyle, çerez politikasını doğru kurgulamayan ve veri güvenliğine ilişkin yükümlülüklerini ihlal eden e-ticaret alanında faaliyet gösteren veri sorumlusu hakkında 800.000 TL idari para cezası uygulanmasına karar verilmiştir.

SONUÇ

Türk Hukukunda henüz çerezlere ilişkin yazılı bir düzenleme bulunmasa da Kurum, çıkardığı ikincil mevzuatlara ve KVKK’da yer alan genel nitelikli maddelere dayalı olarak çerezler yoluyla kişisel verilerin işlenmesi sürecindeki uyumsuzluklara yaptırımlar uygulayabilmektedir. Bu kapsamda Kurum’un yayınladığı 10/03/2022 Tarih ve 2022/229 Sayılı Karar, internet sitesi/mobil uygulamalar üzerinden çerezler aracılılığıyla kişisel veriler işleme faaliyetinde bulunan kişi ve kurumların kişisel verilerin korunması mevzuatı ve Kurum uygulamaları çerçevesinde hareket etmesi gerekliliğinin önemini bir kez daha ortaya koymuştur.

İşbu Karar, mevzuat ile tutarlı olmakla birlikte, kişisel verilerin yurt dışına aktarımı hususunda, Kurum tarafından güvenli ülke listesinin henüz ilan edilmemiş olması ve Türkiye’de çerez hizmeti sunan yerel sağlayıcılar bulunmaması gibi sebepler dolayısıyla veri sorumluları açısından soru işaretlerini beraberinde getirmektedir.

 

KAYNAKÇA

 

[1] https://www.kvkk.gov.tr/Icerik/7275/2022-229

[2] https://blog.lexpera.com.tr/kisisel-verilerin-korunmasi-cercevesinde-cerezler-turleri-kullanimlari-ve-uygulama-ornekleriyle/