KİŞİSEL VERİLERİ KORUMA KURULU’NUN 10/03/2022 TARİH VE 2022/229 SAYILI KARAR ÖZETİNE İLİŞKİN BİLGİ NOTU

---

3 Haziran 2022

“E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında Kişisel Verileri Koruma Kurulu’nun ("Kurul”) 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti’ne ilişkin değerlendirmemizi aşağıda bulabilirsiniz.

Kurul’un Tespitleri:

Kurul’un kararında aşağıdaki açıklamalar önem arz etmektedir:

• Çerezler “kesinlikle gerekli çerezler” ve bu statüde olmayan çerezler şeklinde ikiye ayrılmaktadır.
• “Kesinlikle gerekli çerezler”in, internet sitesinin düzgün çalışması için gerekli olan çerezler; diğer çerezlerin ise işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezleri gibi çerezlerdir.
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) açık rıza alınması zorunluluğunun istisnası hallerinin mevcut olmadığı hallerde, özellikle “kesinlikle gerekli çerezler” statüsünde olmayan çerezler için ilgili kişiden açık rıza alınması “opt-in” mekanizması çerçevesinde zorunludur.
• Siteye girişte çıkan pop-upların ilgili kişiyi bilgilendirmesinin yanında, istisna kapsamında bir durum söz konusu değilse, kesinlikle gerekli olmayan çerezler bakımından ilgili kişinin açık rızasının alınmasını sağlayacak mahiyette olması gerekmektedir.
• Söz konusu pop-up’lara Gizlilik Politikası ile Çerez Politikasına ayrı ayrı kolay bir şekilde ulaşılabilecek şekilde ilgili bağlantılar eklenmelidir.
• Oluşturulan “Çerez Politika”larında veri işleme amaçları ile birlikte hangi işleme amacının söz konusu olduğu, veri aktarımının kimlere ve hangi amaçla yapılabileceği, kişisel verileri toplama yöntemi ve hukuki sebebi ile ilgili kişinin KVKK 11. Maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmalıdır.

Değerlendirme: Kurul’un bu karara kadar hangi çerezler çeşitlerinin açık rızaya tabi olacağına ilişkin net bir yaklaşımı bulunmamaktaydı. Kurul daha önce çerezleri kişisel veri olarak kabul edebileceğine bazı kararlarda yer vermekle beraber, 27/02/2020 Tarihli ve 2020/173 sayılı Amazon Türkiye kararına1 (“Amazon Türkiye Kararı”) kadar çerezlerin KVKK kapsamında değerlendirilmesine ilişkin herhangi bir açıklamada da bulunmamıştı. Nitekim Amazon Türkiye Kararı’nda da çerezlere ilişkin rızanın opt-in metoduyla alınması gerektiği, opt-out metoduyla alınan rızanın geçersiz olduğuna değinilmekte, ancak çerez çeşitlerinden hangilerinin açık rızaya tabi olması gerektiğine ilişkin bir açıklamada bulunulmamıştır.

10.03.2022 tarihli karara kadar piyasada 2 farklı yaklaşım benimsenmiş idi: İlki sadece Kurul’un Amazon Türkiye Kararı’nda belirttiği opt-in metoduna uygun ilerlenerek çerez çeşitlerinin göz ardı edilmesi, ikincisi ise Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca Avrupa’da da benimsenen ve bu karar ile paralel olan piyasa yaklaşımının benimsenmesiydi. Bu kararla birlikte Kurul’un Avrupa’da çerezlere ilişkin yaygınlaşmış GDPR pratiğinin benimsediği anlaşılmaktadır.

Bu karar ile Kurul, aydınlatma yükümlülüğü uyarınca veri sorumlusunun, ilgili kişiye hangi verinin hangi sebeplerle işlendiğini ve gerçekleştiriliyorsa veri aktarımının sebeplerini açıklamakla yükümlü olduğuna bir kez daha dikkat çekmiş ve internet sitelerinde kullanılan çerezlerin de bu kapsama dahil olduğunu belirtmiştir.

İnternet sitesinin işleyişi için gerekli olan çerezler bakımından veri işleme sebepleri KVKK Madde 5.2’de sayılan açık rıza istisnaları kapsamında kalabilecektir. Bu durumda “kesin gerekli çerezler” veri sorumlusunun meşru menfaatlerinin mevcut olduğu ve/veya bir hakkın tesisi için ya da bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olarak kabul edilebilecektir. Bununla birlikte, internet sitesinin işleyişi için zorunlu olmayan ve internet sitesine ziyaretlerin performansını ölçen veya reklam/pazarlamaya ilişkin olan ya da kullanılan internet sitesinin kişiselleştirilmesini sağlayan işlevsel çerezler bakımından KVKK madde 5.1 kapsamında açık rıza haricinde istisnai bir sebep bulmak çoğunlukla güçtür. Bu sebeple bu çerezler bakımından ilgili kişinin seçme hakkı (opt-in) bulunmaktadır. Dolayısıyla, “kesinlikle zorunlu” olmayan çerezlerin kullanılabilmesi için internet sitesini ziyaret eden ilgili kişilerin, kullanılacak zorunlu olmayan çerezler bakımından açık rızasının alınması gerekmektedir. Bu açık rızanın da ilgili kişilerin seçme hakkı olduğu opt-in metoduyla alınması gerekecektir.

Ayrıca Kurul’un yurt dışı aktarımına ilişkin yerleşmiş içtihatlarını da göz önünde bulundurduğumuzda, açık rızaya tabii çerezler de dahil olmak üzere çerezlerin depolandığı sunucular yurt dışında yer almaktaysa ve/veya çerezlere ilişkin hizmetleri sunan tarafların sunucuları yurt dışındaysa (Örn: Google, Meta vb.), çerezlerin yurt dışı aktarımına ilişkin bir açık rıza mekanizmasının da internet sitelerine entegre edilmesi KVKK kapsamında en güvenli metot olacaktır.

Aydınlatma yükümlülüğünün sonucu olarak, oluşturulan çerez politikalarında veri işleme amaçları, veri aktarımının kimlere ve hangi amaçla yapıldığı, veri toplama yöntemleri ve hukuki sebepler ile ilgili kişinin hakları açık ve anlaşılabilir bir şekilde belirtilmelidir. Son olarak, gizlilik politikası ve çerez politikasının bağlantıları ilgili kişilerce kolay bir şekilde ulaşılabilir olacak şekilde ayrı ayrı siteye eklenmelidir.

 

Yukarıdaki notumuza ilişkin herhangi bir sorunuz olması halinde bizlere her zaman ulaşabilirsiniz.

Güner Hukuk Bürosu 1996 yılında kurulmuştur. Kuruluşundan bu yana; şirketler hukuku, birleşme ve devralmalar, banka-finans, TMT (teknoloji, medya-telekomünikasyon), enerji, iş hukuku ve uyuşmazlık çözümü alanlarında Türkiye’nin önde gelen ofislerinden biri haline gelmiştir.

 

 İletişim

Ece Güner Yönetici Ortak eg@guner.av.tr

Burçak Kurt Biçer Ortak bkb@guner.av.tr

Uğurkan Şeber Avukat us@guner.av.tr