Çerez Rehberi

Yazarlar: Stj. Av. Nermin N. GÖRGÜLÜ, Bilg. Müh. Elif PEHLİVAN

1) Çerez Nedir?

Çerez, kullandığınız tarayıcı tarafından bilgisayarınızın sabit diskinde saklanan küçük bilgilerdir. Çerezler genellikle ziyaret edilen web sitesine erişim sırasında, ziyaretçiye kişiselleştirilmiş bir deneyim sunmak, sunulan hizmetleri geliştirmek ve ziyaretçi deneyimini iyileştirmek için kullanılır. Böylece bir web sitesinde gezinirken kullanım kolaylığına katkıda bulunabilir.
Ziyaret edilen web sitesinde her tıklamanız sizin bilgisayarınızda iz bırakır. Bunun sebebi aynı web sitesine bir daha girileceği zaman vakit kaybetmeksizin hızlı bir şekilde hareket etmeyi sağlamasıdır.
Çerezler, ziyaretçinin tercihleri hakkında bilgiler içerebilir çünkü her geçen gün gelişen teknolojiyle birlikte ziyaretçiler, özellikle alışverişlerini yoğun olarak web siteleri üzerinden gerçekleştirmektedir. Girilen web sitelerinde ziyaretçilerin davranışları takip edilir ve ziyaretçiye özel reklam yapılmaya başlanır. Bu küçük bilgilerin kaydedildiği dosyalara çerez veya tanımlama bilgisi (cookie) denir. Çoğu web sitesi çerezleri kullanır.

2) Çerezler Ne İşe Yarar?

Çerezler genellikle ziyaretçinin web sitelerine erişimi sırasında ziyaretçiye kişiselleştirilmiş bir deneyim sunmak, sunulan hizmetleri geliştirmek ve ziyaretçi deneyimini iyileştirmek için kullanılır. Böylece bir web sitesinde gezinirken kullanım kolaylığı ve hız sağlanmış olur. Kısacası çerez kullanılmasının asıl nedeni web sitesi ziyaretçilerine kolaylık sağlanmasıdır.
Örneğin; Bir web sitesine giriş yaparken “Beni Hatırla” seçeneğini işaretlerseniz o web sitesi, kullanıcı adınızı içeren bir çerezi tarayıcınıza kaydeder. Böylece aynı web sitesine tekrar girdiğinizde kullanıcı adı ve şifrenizi bir daha girmenize gerek kalmaz.
Web sunucusu, ziyaretçiyi bir kişi olarak değil, ziyaretçinin web tarayıcısıyla ilişkilendirir. Aslında, Chrome’a düzenli olarak göz atıp Firefox veya Internet Explorer ile aynı web sitesinde dolaşmaya çalışılırsa; web sitesi aynı ziyaretçi olduğunu fark etmez çünkü kişiyi değil, tarayıcıyı ilişkilendirir.
Çerezler elektronik ticaret sitelerinde genellikle reklam tercihlerini belirlemek amacıyla tutulur.
Örneğin; Bir arama motoru üzerinden “ayakkabı” araması yaparsanız ve ayakkabı satan birkaç siteye girerseniz kısa bir süre sonra gördüğünüz reklamlar tamamen ayakkabıdan oluşacaktır. Çerezler, sizin kullanım alışkanlıklarınızı anonim olarak kaydederek ilgi alanınıza, arattığınız ürünlere paralel olarak reklamlar çıkmasını da sağlar.
Çerez tutulmasının tek amacı reklam tercihlerini belirlemek değildir. Siyasi, dini ve cinsel tercihler gibi pek çok kişisel veri, çerezlerin tutulmasıyla işlenebilir.
Örneğin; Web sitesini ziyaret ettiğiniz ya da hakkında araştırma yaptığınız siyasi parti ya da dini görüş de çerez tutularak kaydedilebilir.
Çerezler ayrıca ziyaretçilerin kişisel eğilimlerini ortaya koyan profilin çıkarılmasını da sağlayabilmektedir. “…İnternet üzerinde gezinirken kişisel bilgilerin bazıları kullanıcının bilgisi ve onayı olmaksızın gizlice toplanabilmektedir. Bunun bir yolu IP adresinin izlenmesi iken, bir diğer yolu “çerez”lerin (cookies) kullanımıdır. Çerezler, ticari sitelere hedef tüketicilerini saptayabilmek için büyük bir kolaylık sağlar, ancak bunun yanında İnternet’teki davranış biçimlerini gözlemleyebilmek için örneğin akademisyenlerce kullanılması da söz konusu olabilmektedir. Çerezler, kullanıcının İnternet üzerinde gezdiği siteler hakkında bilgi sahibi olmaya yardım eder. Bu ise kullanıcının kişisel eğilimlerini ortaya koyan profilinin çıkarılmasını sağlayabilir.” (Küzeci, 2020)

3) Çerez Türleri Nelerdir/Çerezler Kaça Ayrılır?
Çerez Türleri
Saklandığı Süre Bakımından Çerez TürleriKalıcı Çerezler Oturum Çerezleri
Kullanım Bakımından Çerez TürleriZorunlu/Teknik Çerezler Performans ve Analiz Çerezleri Hedef/Reklam Çerezleri
Taraf Çerez TürleriBirinci Taraf Çerezler Üçüncü Taraf Çerezler
4) Saklandığı Süre Bakımından Çerez Türleri Nelerdir?
Kalıcı ÇerezlerOturum Çerezleri
Kişinin bilgisayarında belirli bir tarihe (GDPR e-Gizlilik Direktifine göre 12 aydan daha uzun sürmemelidir.) veya ziyaretçi tarafından silinene kadar varlığını sürdüren çerezlerdir. Bu çerezler, çoğunlukla ziyaretçilerin web site hareketlerini ve tercihlerini ölçmek amacıyla kullanılır.
Örneğin; Kullanıcı adı, şifre, sepete eklenen ürünler vb.
Oturum çerezleri “tarayıcı oturumu” süresince geçerlidir. Tarayıcı oturumu, web tarayıcısı ziyaretçinin tarayıcı penceresini açtığı an başlamakta olup, tarayıcı penceresi kapatılınca sonlanır. Tarayıcının kapatılmasıyla birlikte, tüm geçici çerezler silinir.
Örneğin; arama butonunu kullanarak sitede bir ürün aramak, filtreleme özelliğini kullanmak gibi.
5) Kullanım Bakımından Çerez Türleri Nelerdir?
Zorunlu/Teknik ÇerezlerPerformans ve Analiz ÇerezleriHedef/Reklam Çerezleri
Web sitesinde gezinmek, web sitesinin özelliklerinden faydalanabilmek için kullanılan çerezler zorunlu/teknik çerezlerdir. Bu çerezler olmadan, web sitesinden sağlanan temel hizmetlerden faydalanılmaz. Bu çerezlere, sistemin yönetilebilmesi, sahte işlemlerin önlenebilmesi için ihtiyaç vardır ve engellenmesi halinde web sitesi çalışmaz.
Örneğin; Bir web sitesinde filtreleme özelliği, arama motoru vb. var ise zorunlu/teknik çerezleri kaldırdığınız takdirde bu özelliklerden faydalanamayabilirsiniz.
Bir web sitesinin ziyaretçi tarafından ne şekilde kullanıldığı, en sık hangi sayfalara girildiği, hata mesajları görüntülenip görüntülenmediği gibi bilgileri toplayan çerezlerdir. Kullanıcı dostu özelliğini arttırmak ve web sitelerini özellikle bireysel ziyaretçiye uyarlamak için kullanılırlar. Bu tür çerezler, ilgili web sitesinin kullanım şekli, ziyaret sıklığı ve sayısı gibi bilgileri toplar ve ziyaretçilerin web sitesine nasıl geçtiğini, web sitesi içinde nasıl davranış tercihleri olduğunu gösterirler. Bu tür çerezlerin kullanım amacı, ilgili web sitesinin işleyiş biçimini iyileştirerek performans arttırmak, kullanım kolaylığı sağlamak ve web sitesini ziyaret edenlerin genel kullanım eğilimlerini belirlemektir.   Örneğin; En çok ziyaret ettiğiniz, en çok süre geçirdiğiniz sayfaları, incelediğiniz ürünleri gösterirler.Tarayıcı alışkanlıklarıyla ilgili toplanan bilgiler sayesinde ziyaretçiye kişiselleştirmiş reklamlar sunmak için kullanılan çerezlerdir. Daha önce web sitesi ziyaret edilmişse hatırlar ve bu bilgiyi diğer kurum ve kuruluşlar ile paylaşır. Bu şekilde, ilgi alanlarına giren reklamların ziyaretçiye ulaşmasını sağlar. Her ne kadar bu çerezler diğer web sitelerine yapılan ziyaretleri takip edebilse de toplanan veriler ile ziyaretçi arasında bağlantı kurulmadığından genellikle ziyaretçinin gerçekte kim olduğunu tespit edemezler. Bu çerezler tutulmazsa ziyaretçi, ilgi alanlarınıza giren daha az içerikle karşılaşılır.
Örneğin; Bir elektronik ticaret web sitesinde incelediğiniz bir ürünün başka bir web sitesinde reklam olarak karşınıza çıkması.
6) Taraf Çerezleri Nelerdir?
Birinci Taraf ÇerezlerÜçüncü Taraf Çerezler
Birinci taraf çerezleri yasal tanıma göre bir web sitesini kullanmak için kesinlikle gerekli olmayan çerezlerdir ancak tarama deneyimini geliştirecek önemli görevleri yerine getirirler.
Örneğin; Dil seçiminizin ve benzeri ayar tercihlerinizin kaydedilmiş olmasını sağlarlar. Bu türden çerezler, ziyaret edilen web sitesince tanımlanan ve sadece bu web sitesi tarafından okunabilen çerezlerdir.  
Web sitesine entegre edilmiş üçüncü taraf çerez varsa, ziyaretçi doğrudan o web sitesine girmediği halde bazı çerezler kullanılabilir. Bu tür çerezlere üçüncü taraf çerezler denir. Bu çerezler ziyaretçi hakkında bilgi toplamak ve web sitesi ziyaret edildiğinde ziyaretçiyi tanıyabilmek için ziyaretçiye uyarlanmış bir web sitesi sunabilmek amacıyla kullanılabilir.
Örneğin; Bir web sitesindeki davranışınızı bir başka web sitesinde size gösterebileceği reklamlar için kullanılan çerezlerdir.
7) Çerezler Neden Kullanılır/Kullanım Amacı Nedir?

Çerezler, sağladığı kullanım kolaylığının yanı sıra; ziyaretçinin dilini, konumunu, o web sitesinde yaptığı kişisel tercihlerini, o web sitesine daha önce gelip gelmediğini ve geldiyse neler yaptığını hatırlamak için kullanılır.

Alışveriş siteleri, sepete eklenen ürünleri hatırlamak için de çerezler kullanır. Bu kullanım, elektronik ticarete hız kazandırır. Her web sitesi mutlaka minimum zorunlu/teknik çerez kullanır, çerez kullanmayan site yoktur. Bankalar, haber siteleri ve elektronik ticaret siteleri gibi web siteleri çerezleri yoğun bir şekilde kullanan sitelerdir.

Bu gibi amaçlarla kullanılan çerezler, kullanıcı deneyimi açısından faydalıdır. Bazı çerezler, internette gezinti alışkanlıklarını takip etmek ve istatistikî veri toplamak gibi amaçlarla da kullanılabilir.

Örneğin; Google Analytics, Adobe Analytics web site performans analiz servisleri gibi.

8) Web Sitesinde Hizmet Şartı Olarak Çerez Tutulması Söz Konusu Olabilir Mi?

Hizmet verebilmek için çerez tutulmasını ön şart olarak ileri süren web siteleri de mevcuttur. Hizmet verebilmek için hangi çerezlerin hangi amaçlarla tutulmak zorunda olduğunun aydınlatması mutlaka ve açıkça yapılması gerekir. Eğer ziyaretçi bunu kabul ederse ihlal oluşmaz. Bunun için web sitesinin illa elektronik ticaret web sitesi olmasına da gerek yoktur. Elektronik ticaret yapmayan herhangi bir web sitesi de çerez tutabilir ama çerez tutulduğuna dair aydınlatma yapması ve varsayılan olarak çerez tutulmasının kabul edildiğini işaretlememesi, seçim hakkını ziyaretçiye tanımış olması gerekir. Eğer bu yükümlülüğünü yerine getirmeden, web sitesinde hizmet vermek için ön şart olarak çerez tutulmasını kabul etmesi ziyaretçiye dayatılıyorsa ihlal söz konusu olabilir.

9) Çerez Politikası Nedir?

Çerez politikası; akıllı telefon, tablet, bilgisayar gibi bir web sitesine erişim sağlayacak her türlü cihaz için hangi kişisel verilerin depolandığını, bu kişisel verilerin hangi amaç/amaçlarla kullanıldığı ve nasıl çalıştığını belirten bilgilendirici metindir.

10) Çerez Politikası Neleri İçermelidir?
  • Çerez Politika ve Prosedürü
  • Çerez Politikası
    • Çerez politika ve prosedürü belirlenirken yararlanılan mevzuat
    • Web sitesi için aydınlatma metni
    • Web sitesinde kullanılan farklı türdeki çerezler ve amaçları
  • Çerez Prosedürü
    • Çerez için aydınlatma prosedürü
    • Tarayıcı ayarlarını değiştirerek kişiselleştirme için gerekli web site adresleri
    • Web sitesinde kullanılan çerezlerin güncellenmesi hakkında bilgilendirme
    • Çerez politika ve prosedürü ile ilgili tüm soru ve görüşler için iletişim bilgisi

içermelidir.

*Bunlar, temel olarak verilmesi gereken bilgilerdir. Kullanılan çerezin türüne göre detaylandırılması gerekebilir.

11) Çerez Politikasının Hukuki Dayanağı Nedir?

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), web sitesi ziyaretçilerine her zaman hangi amaçla, neden, nerede ve kişisel verilerinin hangi ülkelerde kayıtlı olduğu konusunda güncel bilgi alma hakkı tanır.

Bu kurallar web sitesinin gizlilik politikası ve çerez politikasını da etkiler. Bu bağlamda web sitesinde; web sitesinin çerez kullanımı ve ziyaretçilerin bunları kabul etme veya reddetme seçenekleri hakkında özel, doğru ve güncel bilgiler içeren uygun bir çerez politikasına ihtiyaç vardır.

Türk hukukunda çerezlerle ilgili ayrı bir düzenleme bulunmamaktadır. Çerez kullanımı, web sitesi ziyaretçisinin kişisel verilerin işlenmesi sonucunu doğurabileceği için (hedef/reklam, performans ve analiz çerezlerinin kullanımı sebebiyle kişisel veriler işlenebilir), çerezlere 6698 sayılı Kişisel Verilerin Korunması Kanunu uygulanır. Bu takdirde çerez politikasının hukuki dayanağı da kişisel verilere ilişkin düzenlemeler içeren 6698 Sayılı Kişisel Verilerin Korunması Kanunudur.

Web sitesi ziyaretçilerinin ilgi alanlarına yakın olan içerikleri sunmak amacıyla ziyaretçilerin, web sitesini kullanımlarına ilişkin bilgileri toplayarak diğer web siteleri ve platformlarda hedeflenmiş reklam ve ticari iletişim faaliyetlerini yürütebilmek için de çerezler kullanılabilir. Bu durumda çerezlerin, ticari iletişim faaliyetlerini yürütebilmek için kullanılması sebebiyle bir diğer hukuki dayanak da ticari iletişimi düzenleyen Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik olacaktır.

12) Çerez Politikası Nerede Bulunmalıdır?

Çerez politikasının bulunması gerektiği yere dair ayrı bir düzenleme bulunmamaktadır. Çerez politikası ayrıca düzenlenebileceği gibi Gizlilik Politikası, Kişisel Verilerin Korunması ve İşlenmesi Politikası veya Aydınlatma Metni içerisinde “Çerez Politika ve Prosedürü” alt başlığında düzenlenebilir. Çerez politikasının nerede düzenlendiği şekli olarak bir öneme sahip değildir.

13) Çerez Politikası ile Gizlilik Politikası Arasındaki Fark Nedir?

Gizlilik politikası kullanıcı verilerini, kayıt formlarını, pazarlama seçeneklerini, kişisel verilerin işlenmesi ve kaydedilmesini ve buna paralel diğer hususları içermektedir.

Çerez politikası ise daha detaylıdır ve çerezlere özgü düzenlemeler içermektedir.

14) Çerezler Kim Tarafından Tutulur ve Ne Kadar Süre ile Saklanır?

Çerezler ziyaretçinin tarayıcısı tarafından tutulur. Her web sitesi yalnızca kendi oluşturduğu çerezlere erişim sağlayabilir. Çerezlerin ne kadar süreyle saklanacağını web sitesi belirler.

15) Avrupa Genel Veri Koruma Tüzüğünün Çerez Uyumuna Yaklaşımı Nedir?

Avrupa Genel Veri Koruma Tüzüğü (GDPR) Resital 30-Profil Oluşturma ve Tanımlama için Çevrimiçi Tanımlayıcıları düzenlemiştir. Buna göre: “Gerçek kişiler; cihazları, uygulamaları, araçları ve protokolleri tarafından sağlanan, internet protokolü adresleri, çerez tanımlayıcıları veya radyo frekansı tanımlama etiketleri gibi diğer tanımlayıcılar tarafından sağlanan çevrimiçi tanımlayıcılarla ilişkilendirilebilir.  Bu, özellikle benzersiz tanımlayıcılar ve sunucular tarafından alınan diğer bilgilerle birleştirildiğinde, gerçek kişilerin profillerini oluşturmak ve tanımlamak için kullanılabilen izler bırakabilir.”

Buna ek olarak GDPR Resital 64-Kimlik Doğrulama’yı düzenlemiştir. Buna göre: “Denetleyici, özellikle çevrimiçi hizmetler ve çevrimiçi tanımlayıcılar bağlamında erişim isteyen bir veri sahibinin kimliğini doğrulamak için tüm makul önlemleri almalıdır. Bir veri sorumlusu, kişisel verileri yalnızca potansiyel taleplere yanıt verebilmek amacıyla tutmamalıdır.”

Bu düzenlemelerden anlaşılacağı üzere Avrupa Veri Koruma Tüzüğü (GDPR) çerez uyumunda; kişisel veri sahibinin kimliğinin doğrulanması için tüm makul önlemlerin alınması gerektiğini ve veri sorumlusunun, kişisel verileri işlenen ziyaretçiye göre kişiselleştirilmiş reklam sunmak amacıyla tutması gerektiğini vurgulamıştır.

16) Çerezlerin Devre Dışı Bırakılması/Silinmesi Mümkün Müdür?

Çerezler devre dışı bırakılabilir/silinebilir. Zorunlu/Teknik çerezler devre dışı bırakıldığında sitenin özelliklerinden (arama motoru, filtreleme vb.) faydalanılamaz.

Tarayıcılara göre çerezlerin devre dışı bırakılması/silinmesi işlemi aşağıdaki tabloda verilen adımlar takip edilerek gerçekleştirilebilir:

TarayıcıAdımlar
Google Chrome1.Bilgisayarınızda Chrome’u açın.
2.Sağ üstte Diğer   > Ayarlar’ı tıklayın.
3.Altta Gelişmiş’i tıklayın.
4.“Gizlilik ve güvenlik” bölümünün altında Site ayarları’nı tıklayın.
5.Çerezler > Tüm çerezleri ve site verilerini göster > Tümünü kaldır’ı tıklayın.
6.Tümünü temizle’yi tıklayarak onaylayın.
Mozilla Firefox1.Menü düğmesine tıklayın ve Seçenekler’i seçin.
2.Gizlilik panelini seçin.
3.Set Firefox uygulaması: Geçmiş için özel ayarları kullanın.
4.Sitelerden gelen çerezleri kabul et onay kutusunu kaldırın.
5.about:preferences sayfasını kapatın. Yaptığınız değişiklikler kendiliğinden kaydedilecektir.
6.Menü düğmesine tıklayın ve Seçenekler’i seçin.
7.Gizlilik panelini seçin.
8.Sitelerden gelen çerezleri kabul et onay kutusunu kaldırın.
9.about:preferences sayfasını kapatın. Yaptığınız değişiklikler kendiliğinden kaydedilecektir.
Internet Explorer1.Internet Explorer’da Araçlar düğmesini ve ardından İnternet Seçenekleri’ni seçin.
2.Gizlilik sekmesini, Ayarlar’ın altındaki Gelişmiş’i ve birinci taraf ile üçüncü taraf tanımlama bilgilerini kabul etmek, engellemek veya kullanmak isteyip istemediğinizi seçin.
Safari BilgisayarMac’inizdeki Safari uygulamasında  Safari > Tercihler’i seçin, Gizlilik öğesini tıklayın ve aşağıdakilerden herhangi birini yapın:
1.İzleyicilerin çerezleri ve web sitesi verilerini kullanarak sizi takip etmelerini engelleme: “Siteler arası takibi engelle”yi seçin. İzleyicilerin web sitelerini ziyaret etmez ve onlarla etkileşimde bulunmazsanız çerezler ve web sitesi verileri silinir.
2.Çerezleri her zaman engelleme: “Tüm çerezleri engelle” öğesini seçin.   Web siteleri, üçüncü partiler ve reklam verenler, Mac’inizde çerezler ve diğer verileri saklayamaz. Bu, bazı web sitelerinin düzgün çalışmasını engelleyebilir.
3.Çerezlere her zaman izin verme: “Tüm çerezleri engelle”nin seçimini kaldırın.   Web siteleri, üçüncü partiler ve reklam verenler, Mac’inizde çerezler ve başka veriler saklayabilir.
4.Saklanan çerezleri veya verileri silme: Web Sitesi Verilerini tıklayın, bir veya birden fazla web sitesi seçin, sonra Sil’i veya Tümünü Sil’i tıklayın. Verilerin silinmesi izlemeyi azaltabilir, ancak aynı zamanda web sitelerindeki oturumunuzu kapatabilir veya web sitesi davranışını değiştirebilir.
5.Hangi web sitelerinin çerez veya veri sakladığını görme: Web Sitesi Verilerini Yönet’i tıklayın.
Opera1.Ayarlar’a gidin.
2.Sol bölmedeki Gelişmiş’e ve Gizlilik ve Güvenlik’e tıklayın.
3.Gizlilik ve Güvenlik altındaki Site Ayarları’nı tıklayın.
4.Çerezler ve Site Verileri’ni tıklayın.
5.Üstte, Sitelerin çerez verilerini kaydetmesine ve okumasına izin ver (önerilen) seçeneğini açın veya kapatın
Safari Mobil1.Geçmişinizi ve çerezleri silmek için Ayarlar > Safari’ye gidip Geçmişi ve Web Sitesi Verilerini Sil’e dokunun.  Safari’deki geçmişiniz, çerezleriniz ve tarama verileriniz silindiğinde Otomatik Doldur bilgileriniz değişmez.
2.Çerezleri silip geçmişinizi tutmak için Ayarlar > Safari > İleri Düzey > Web Sitesi Verileri’ne gidin ve Tüm Web Sitesi Verilerini Sil’e dokunun.
3.Siteleri ziyaret ederken geçmiş verilerinin tutulmasını istemiyorsanız özel dolaşmayı açın veya kapatın. 
17) Çerezlerin Tutulması Açık Rıza Nasıl Alınır?

Açık rızanın geçerlilik koşulları ve bulundurması gereken temel hususlar vardır. Buna göre;

Rızanın geçerli olabilmesi için belirli bir konuya özgü bilgilendirilmeye dayalı olması gerekir, battaniye rıza hukuken geçersiz sayılır.

Rıza için belirlenen yöntem; rızanın alındığı yerde ve zamanda çerezlerin kullanımına ilişkin açık, anlaşılır ve görünür bir uyarı sağlamalıdır.

Web sitesinin ana sayfasında açık rıza için belirlenen yöntem ziyaretçi tarafından kolaylıkla görünecek şekilde, açık ve anlaşılır olarak yer almalıdır.

Örneğin,  çerezlerin tümünü veya bazılarını nasıl kabul edebileceğiniz ya da tamamını nasıl reddedebileceğiniz ve gelecekte bu tercihlerinizi nasıl değiştirebileceğiniz gibi bilgiler sunulmalıdır.

Genel bir kural olarak rıza, kişisel veri işleme faaliyetine başlanmadan önce verilmelidir.

Rızanın, veri işleme faaliyetine başlanmadan önce alınması; e-Privacy Direktifi’nin 5/3 maddesine de uygunluk sağlar. Buna göre; tüm Avrupa Birliği Üye Devletleri arasında uyum sağlayabilmek için rıza, çerezler kullanılmadan önce alınmalıdır.

Çerezin tutulması neticesinde kişisel veri işleme sonucunun meydana gelebilmesi sebebiyle çerezlere 6698 sayılı Kişisel Verilerin Korunması Kanunu uygulanır.

Ayrıca Anayasa’nın 20. maddesinin 3. fıkrasında, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır. Açık rıza, 6698 sayılı Kanun’da hem özel nitelikli kişisel veriler hem de genel nitelikli kişisel veriler bakımından temel hukuka uygunluk sebebi olarak öngörülür. Buna göre açık rıza şu maddelere uygun şekilde alınmalıdır:

  • Açık rıza, belirli bir konuya ilişkin olmalı ve öncesinde aydınlatma yapılmalı,
  • Açık rıza aktif bir davranışa dayanarak özgürce verilmeli,
  • Açık rıza bir hizmet sunma ön şartı olarak konumlandırılmamalıdır.

Rıza alma ve verme süreci, veri öznesinin niyetine ilişkin olarak herhangi bir şüpheye mahal vermemelidir. Bunun yanında rızanın geçerli olabilmesi için ziyaretçinin isteklerine ilişkin etkin bir gösterge niteliği taşıması da gerekir. Gösterge, veri öznesinin isteklerini göstermeye uygun olacak kadar açık olmalıdır. Ayrıca veri sorumlusu tarafından konulan, anlaşılabilir nitelikte olan her türlü işareti barındırabilir.

Rızanın geçerli olabilmesi için, veri öznesinin gerçek bir seçim yapma kabiliyetine sahip olması, aldatılma, ikrah, tehdit riskinin olmaması ve rızasını vermediği takdirde olumsuz sonuçlarla karşılaşma ihtimali ile korkutulmaması gerekir. Rıza ancak bu şartları taşıdığında geçerli olabilir. Ziyaretçilerin, çerezlerin tümünü veya bazılarını kabul etme, tümünü veya bazılarını reddetme ve gelecekte seçimlerini değiştirmeye ilişkin serbestçe seçme özgürlüğü olmalıdır.

Web sitelerinin, kişisel veri işlenmesi sonucunu doğuran performans ve analiz çerezleri ve hedef/reklam çerezlerini etkin olarak kullanabilmeleri için ziyaretçilerinin açık rızasını almaları gerekir. Kişisel veri işlenmesi sonucunu doğurmayan zorunlu/teknik çerezler açısından ise ziyaret edilen web sitelerinde çerezleri kabul etmeme özgürlüğü vardır fakat bu zorunlu/teknik çerezler kabul edilmediği takdirde web sitesi etkin bir biçimde kullanılamayabilir. (Web sitesinin işleyişi için mutlaka gerekli olan zorunlu/teknik çerezler 5. soruda açıklanmıştır.)

Çerezlerin tutulmasını kabul etmek için “Kabul Ediyorum, Onaylıyorum” gibi ifadelerin yanı sıra reddetme seçeneğinin sunulması da önemlidir.

18) Çerezler İçin Aydınlatma Metni Nasıl Olmalıdır/İçeriğinde Neler Bulunmalıdır?

Aydınlatma metni, çerezlerin türlerine ve kullanım amaçlarına ilişkin bilgilere ek olarak web sitesi ziyaretçilerine, rızalarını nasıl gösterebileceklerine ilişkin açık ve anlaşılabilir bilgi sunmalıdır. Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya tabi değildir. Ayrıca kişisel verilerin işlenme amaç ve şartları değiştikçe aydınlatma metni de ona göre değişmelidir. “…Çerezler veya benzeri araçlar ancak AB Veri Koruma Yönergesi’ne uygun bir şekilde ilgili kişinin açık ve tam olarak bilgilendirilmesi ile kullanılabilir.” (Küzeci, 2020)

Ziyaretçiler, web sitesine erişim sağlarken web sitesi tarafından kullanılan çerezlerin farklı türleri veya amaçları ile ilgili bütün gerekli bilgilere erişebilmelidir. Çerezlerin kullanım amacı/amaçları ve eğer varsa üçüncü kişilerin sunduğu çerezler veya üçüncü kişilerin web sitesinden çerezler aracılığıyla veri toplaması durumuna ilişkin bilgiler web sitesinin ziyaretçilerine sunulmalıdır. Saklama süresi, çerezlerin geçerlilik tarihi, tipik değerler, üçüncü taraf çerezlerine ilişkin detaylar ve diğer teknik bilgilere ziyaretçileri tam olarak bilgilendirmek amacıyla mutlaka yer verilmelidir. Ziyaretçiler için hazırlanan bu bilgilendirme, çerezlere ilişkin isteklerini hangi yollarla belirtebileceklerine ilişkin bilgiler de içermelidir.

Mutlaka önce aydınlatma yapılmalıdır. Aydınlatmayı geçmeden başka basamağa geçilemiyor olması da veri sorumlusunun aydınlatmayı ispat etmesi açısından önem taşır.

Bunun yanında aydınlatma yükümlülüğü ve açık rıza alınması süreçlerinin ayrı ayrı yerine getirilmesi gerekir.

Çerez aydınlatma metninin içermesi gereken başlıklar aşağıdaki tabloda belirtilmiştir:

Veri sorumlusu
Web sitesinde tutulan çerezlerin hangi kişisel verileri işlediği
Web sitesinde tutulan çerezler ve bu çerezlerin hangi amaçla tutulduğu
Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi:
İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
KVKK 11. Maddesi Gereği İlgili Kişinin Hakları
İletişim Bilgileri

Aydınlatma yükümlülüğü ve açık rıza alınması süreçlerinin ayrı ayrı yerine getirilmesi gerektiğine dair Kurul kararını okumak için: https://www.verko.com.tr/ictihatlar/aydinlatma-yukumlulugu-ve-acik-riza-onayinin-alinmasinin-ayri-ayri-islemesi-gereken-surecler-olmasi/

19) Çerez Tutulurken Kişisel Verilerin Tutulması Açısından Dikkat Edilmesi Gerekenler Nelerdir?
Web Sitesi Sahibi AçısındanWeb Sitesi Ziyaretçisi Açısından
Çerez tutan web sitelerinde öncelikle çerezlere dair aydınlatma metni bulunması gerekir. Bu aydınlatma metni site ziyaretçisine kabul etme ve reddetme seçeneğini ayrı ayrı sunmalıdır. Ayrıca aydınlatma metni, site ziyaretçisinin kolay ulaşılabileceği şekilde ve anlaşılır bir dille yazılmış olmalıdır. (Aydınlatma metninin neler içermesi gerektiği 18.soruda detaylı olarak belirtilmiştir.)   Aydınlatma metninden sonra, kişisel veri işleme sonucu doğuran çerezler için mutlaka açık rıza alınması gerekir. (Açık rızanın nasıl alınacağı 17. soruda belirtilmiştir.)Web sitesi ziyaretçilerinin, ziyaret ettikleri sitede kendilerine sunulan aydınlatma metnini okumaları ve tutulacak çerezler dolayısıyla da işlenecek kişisel verileri hakkında bilgi almaları gerekir. Bunun neticesinde kabul etme veya kabul etmeme seçeneği seçilir.   “tr” uzantısı bulunmayan her sitede, tutulan çerezler ve dolayısıyla işlenen kişisel veriler yurtdışına aktarılmaktadır. Web sitesi ziyaretçilerinin, çerezleri kabul ederken bu hususu da ayrıca göz önünde bulundurmaları gerekir.
20) Açık Rıza ve Onay Arasındaki Fark Nedir?
MADDE 7 (1) Onay, yazılı olarak veya her türlü elektronik iletişim aracıyla alınabilir. Onayda, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresi yer alır.”

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik gereğince ticari elektronik iletiler için hizmet sağlayıcı tarafından önceden onay alınır. E-ileti yönetmeliği 7. maddesinde onayda bulunması gereken üç temel husus belirtilmiştir.

“…Onay, yazılı olarak veya her türlü elektronik iletişim aracı kullanılarak alınabilir. Onay beyanı, kendisine ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, onay verenin adı soyadı ile elektronik iletişim adresini içermelidir. Ayrıca fiziki ortamda alınan onayda, onay verenin imzası yer almalıdır. Bu noktada ilk göze çarpan, sözlü onay beyanının kabul edilmemiş olmasıdır. Oysa 6698 sayılı Kanun ile öngörülen açık rızanın, her ne kadar ilk tercihimiz yazılı olarak alınması yöntemi ise de sözlü olarak alınabilmesi mümkündür. Dolayısıyla elektronik ticari iletilerin bu açıdan daha sıkı bir şarta bağlandığı söylenebilir. Kendisine ileti gönderilmesini kabul ettiğine dair olumlu irade beyanının aranması ise rızanın açık olması gerekliliği bakımından kısmen birbiriyle uyumludur.” (Küzeci, 2020)

Onay, reddetme hakkı kullanılıncaya kadar geçerli sayılır. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelikte ise, eğer onay İleti Yönetim Sistemi üzerinden alınmadıysa, onayın alındığına ilişkin ispat yükünün hizmet sağlayıcıya ait olduğu düzenlenmiştir. “….internet ortamındaki en temel sorun ispat sorunudur. Ticari elektronik iletiye ilişkin tüm koşullarda ve durumlarda onayın alındığına ilişkin ispat külfeti iletiyi gönderenin (hizmet sağlayıcının) üzerine yüklenmiştir. E-İleti Yönetmeliğinin 7. maddesinin sekizinci fıkrasında da vurgulandığı üzere, onay metninde, olumlu irade beyanının önceden seçilmiş olarak yer alması mümkün değildir.” (Kaya, 2020). Bunun yanı sıra 6698 sayılı Kişisel Verilerin Korunması Kanunu ise açık rıza yükümlülüğünü düzenlemiştir. Buna göre kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.

Onay ve açık rıza birbirinden farklı ve anlamsal olarak örtüşmeyen kavramlardır. Ticari şirketlerin ve serbest piyasanın gelişimi bakımından reklam yapmak serbest piyasada rekabeti artırır ve bu rekabet aslen tüketici yararına sonuç doğurur. Ticari şirketler reklam yapmak için kişisel veri işlemek durumunda kalabilir. Burada şirketler bakımından hem onay hem açık rıza alınması işleyişi zorlaştırabilir ve hızlı hareket etmenin son derece önemli olduğu ticari hayatı yavaşlatabilir. Uygulamada genellikle 6563 sayılı Elektronik Ticaretin Korunması Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğe göre onay alınmakta fakat açık rıza es geçilebilmektedir.

21) Çerezlerde Kabul Etme/Onay Verme Yöntemi Nasıl Olmalıdır?

Ziyaretçiler, web sitelerindeki çerezleri kabul etmeme/onaylamama hakkına sahiptir fakat çerezler kabul edilmediğinde web sitelerinin fonksiyonlarından (arama, filtreleme vb.) yararlanılamayabilir.

Zorunlu/Teknik çerezlerin kabul edilmesi, o web sitesini kullanmak için yeterli olacak şekilde “Çerez Kabul Etme Yöntemi” kullanılmalıdır. Elektronik Ticaret sitelerinde genellikle performans ve reklam çerezleri de kullanılır.

Örnek Çerez Kabul Etme/Onaylama Yöntemi şöyle olmalıdır:

*Kabul ediyorum/Onaylıyorum terimleri arasında kullanım açısından herhangi bir fark yoktur.

Yukarıdaki örnekten de anlaşılacağı üzere, kabul etmeden önce gerekli aydınlatma metnine kolaylıkla ulaşılmalı ve aydınlatma yükümlülüğü yerine getirilmiş olmalıdır. Web sitesinde performans ve analiz çerezleri kullanılıyorsa, web site performans analiz servisleri bu siteye çerez yerleştirmiş demektir. Bununla ilgili detaylı aydınlatma yapılıp kabul etme/onaylama istenmeli fakat bu çerezler hizmet şartı olarak sunulmamalıdır.

22) Web Site Performans Analiz Servisi Nedir?

Web Site Performans Analiz Servisi, web sitesindeki ziyaretçilerin davranış biçimlerini/alışkanlıklarını analiz etme ve site performansıyla ilgili verilerin toplanması sürecidir.

23) Web Site Performans Analiz Servislerinin Faydaları Nelerdir?

Web Site Performans Analiz Servisleri, web sitesi analizini kolaylaştırmak için tasarlanmıştır. Asıl amaç; site performansıyla ilgili verileri elde etmek ve etkili bir şekilde sunmaktır.

İyi bir web site analizi aracı size aşağıdaki bilgilerin tamamını verecektir:

  • Belirli tarihler arasında sitenin elde ettiği ziyaretler ve bu kullanıcıların eski veya yeni bir ziyaretçi olup olmadığını gösterir.
  • Sitenin elde ettiği görüntülenme sayısını ve en çok hangi sayfaların/ürünlerin ön planda olduğu bilgisini verir.
  • Backlink çalışmalarınızda hangi sitelerin size trafik sağladığı ve dönüşümlerinizi arttırdığı bilgisini verir.
  • Sunduğu veriler ile hangi SEO/SEM yöntemlerinin etkili olduğunu ve zayıf kalan sayfaları/ürünleri geliştirmenize ve yeni sayfaları daha iyi planlamanıza yardımcı olur.
  • Siteniz için yapmayı düşündünüz çalışmaları planlama sürecinde hangi stratejinin sizin için en daha iyi olduğunu belirlemenizi sağlar.
24) Web Site Performans Analiz Servisleri Hangi Kişisel Verileri İşler?
  • IP Adresi (Maskeli)
  • Konum: Ülke, Bölge, Şehir, Yaklaşık Enlem ve Boylam (Coğrafi Konum)
  • Siteyi Ziyaret Tarihi ve Saati
  • Görüntülenen Sayfanın Başlığı (Sayfa Başlığı)
  • Görüntülenen Sayfanın URL’si (Sayfa URL’si)
  • Geçerli Sayfadan Önce Görüntülenen Sayfanın URL’si (Yönlendiren URL)
  • Kullanıcının Cihazının Ekran Çözünürlüğü
  • Yerel Ziyaretçinin Saat Dilimindeki Saat
  • Tıklanan ve İndirilen Dosyalar
  • Tıklanan Bir Dış Alan Adına Bağlantılar (Outlink)
  • Sayfa Oluşturma Süresi (Web Sayfalarının Web Sunucusu Tarafından Oluşturulması ve Ardından Ziyaretçi Tarafından İndirilmesi İçin Geçen Süre: Sayfa Hızı)
  • Kullanılan Tarayıcının Ana Dili
  • Tarayıcı Sürümü, Tarayıcı Eklentileri (PDF, Flash, Java Vb.) İşletim Sistemi Sürümü, Cihaz Tanımlayıcı (User-Agent Başlığı)
  • Ziyaret Edilen Sayfanın Dili
  • Kampanyalar
  • Site İçi Arama
  • Etkinlikler
25) Web Site Performans Analiz Servislerinin Örnekleri Nelerdir?
Google AnalyticsETracker
Adobe AnalyticsFoxMetrics
Angelfish Actual MetricsGauges
AT InternetGoingUp
AWStatsGoSquared
BBCloneHistats
ChartbeatHubspot
ClickyMint
CoreMetricsPiwik
Crazy EggYandex Metrica
26) Çerezlerin Yurtdışı Aktarımı Nasıl Olur?

Kişisel verilerin yurtdışına aktarımı 6698 sayılı Kişisel Verilerin Korunması Kanununun 9. maddesinde belirlenmiştir. Buna göre ilgili kişinin açık rızası olmaksızın kişisel veriler yurtdışına aktarılamaz. Veri işleme şartları veya hukuka uygunluk nedenleri ve kişisel verilerin aktarılacağı yabancı ülkede yeterli korunmasının bulunması gerekir. Yeterli korumanın bulunduğu güvenli ülkeleri, Kişisel Verileri Koruma Kurulu açıklar fakat henüz açıklanmamıştır. Güvenli ülke listesinin açıklanmaması durumunda veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin olması gerekir ancak bu takdirde yurtdışına veri aktarımı yapılabilir.

Performans ve Reklam çerezi kullanan web siteleri, yurtdışına aktarım yapma ihtimali yüksek olan sitelerdir. 25. Soruda verilen Web Site Performans Analiz Servisleri örneklerinin hepsi yabancı şirketler olduğu için veri tabanları yurtdışındadır. Bu yüzden Performans çerezi kullanan siteler, sizin 24. Soruda belirtilen kişisel verilerinizi yurt dışına aktarmış olur.

27) Yurtdışına Aktarımda Ayrı Bir Rıza Almak Gerekir Mi?

Yurtdışına aktarım yapılan durumlarda ayrı bir rıza alınması gerekmez. Tek bir aydınlatma metninde verilerin yurtdışına aktarılıp aktarılmayacağı, aktarılacaksa açıkça hangi amaçlarla aktarılacağını yazmak yeterlidir.

28) .com ve .com.tr Farkı Nedir?

Örnek olarak www.******.com herkes tarafından alınabilirken www.******.com.tr sadece vergi levhasında adı geçen firma tarafından alınabilir.

Com.tr uzantılı alan adını alabilmeniz için faaliyet belgesi veya marka tescil belgesi gerekir.

Com.tr uzantılı alan adları Ortadoğu Teknik Üniversitesi tarafından nick.tr adresi üzerinden tescil edilir. Bu durum, Kurumsal firmaların com.tr uzantılı alan adlarını kullanmalarının sebebidir.

29) Kişisel Verileri Koruma Kurulu Tarafından Çerezlere İlişkin Verilen Amazon Kararı

Amazon Kararı, pek çok farklı noktaya birden değinmesi ve web siteleri tarafından tutulan çerezler hakkında ilk karar olması sebebiyle ayrıca önem taşır.

Amerika Birleşik Devletleri’nde kural olarak kişisel verileri toplamak ve işlemek serbest iken sadece belirli alanlarda (tüketici haklarının, sağlık hakkının korunması gibi) kısıtlamalar söz konusudur.

Amazon.com aslında bir Amerikan şirketi olmakla beraber ceza kesilen şirket Amazon Türkiye’dir. Dolayısıyla Türk hukukuna uymak zorundadır. Türk hukukuna göre rıza alınacaksa; önce aydınlatma yapılmalıdır. Yani varsayılan rıza geçersizdir ve verilecek hizmetler için ön şart olarak rıza dayatılmamalıdır. Amazon.com, Türk mevzuatına göre değil Amerikan mevzuatına göre hareket ettiği için Kişisel Verileri Korumu Kuruluna şikâyet edilmiş ve Kurulun yaptığı inceleme neticesinde ceza almıştır. Amazon yaptığı savunmada; bunun ticari iletilerle ilgili olduğunu dolayısıyla da 6563 sayılı Elektronik Ticaretin Korunması Hakkında Kanun ile Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliği ilgilendirdiğini ve Kurulun değil Ticaret Bakanlığının yetkili olduğunu ileri sürmüştür.

Söz konusu olayda temel sorun; Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğin onay; 6698 sayılı Kişisel Verilerin Korunması Kanununu ise açık rıza yükümlülüğü getirmesidir. Onay ve açık rıza birbirinden farklı ve anlamsal olarak örtüşmeyen kavramlardır. Ticari şirketlerin ve serbest piyasanın gelişimi bakımından reklam yapmak serbest piyasada rekabeti artırır ve bu rekabet aslen tüketici yararına sonuç doğurur. Ticari şirketler reklam yapmak için kişisel veri işlemek durumunda kalabilir. Burada şirketler bakımından hem onay hem açık rıza alınması işleyişi zorlaştırabilir ve hızlı hareket etmenin son derece önemli olduğu ticari hayatı yavaşlatabilir. Uygulamada genellikle 6563 sayılı Elektronik Ticaretin Korunması Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmeliğe göre onay alınmakta fakat açık rıza alınmamaktadır.

Kurul, Amazon kararında onay mı alınmalı yoksa açık rıza mı sorusunu açıkça cevaplandırmamış fakat 6563 sayılı Elektronik Ticaretin Korunması Hakkında Kanuna tabi bir durum dahi olsa eğer olayda kişisel veri işlenmesi söz konusuysa yetkili olduğunu ve açık rızanın alınıp mı alınmadığını inceleme yükümlülüğü bulunduğunu belirtmiştir.

Kararda bahsedilen bir diğer husus çerezler ziyaretçinin bilgisayarında ve fiziksel olarak ziyaretçinin harddiskindeyken bunun neden aktarım olarak sayıldığıdır. Bu durum şöyle cevaplandırılabilir; eğer bir kişisel veriye erişim söz konusuysa orada bir aktarım vardır. Aktarımdan söz edebilmek için mutlaka fiziksel olarak aktarmak gerekmez. Amazon, ziyaretçilerinin çerezlerine ulaşmakta ve çerezlerden edindiği bilgileri önce Avrupa Birliği’ne daha sonra Amerika Birleşik Devletleri’ne aktarmaktadır. Bu aktarım hususunda da ziyaretçilerini aydınlatmamıştır ve açık rıza almamıştır.

Ayrıca Türk hukukuna göre aydınlatmanın her husus için ayrı ayrı yapılması gerekirken Amazon’da alışveriş yapabilmek için baştaki gizlilik bildirimine tıklamak bütün aydınlatmaların atlanması sonucunu oluşturmakta ve bu da bir ihlal meydana getirmektedir.

Amazon kararı detaylı bir karar olmasının yanı sıra, elektronik ileti gönderebilmek için 6698 sayılı Kişisel Verilerin Korunması Kanunu açısından açık rıza alınmasını gerektirmesi, çerez politikaları ve çerezler hakkında yapılan aydınlatmaların yetersiz olduğunu belirtmesi açılarından da son derece önemli bir karardır. Bu kararla birlikte elektronik ticaret yapan şirketlerin, aydınlatma yapma yükümlülüğü ile kabul edip etmeme seçeneğini ziyaretçilerine bırakması gerekliliği net bir şekilde ortaya konmuştur.

Amazon Kararını okumak için: https://www.verko.com.tr/ictihatlar/veri-sorumlusunun-ilgili-kisilerin-iletisim-bilgilerini-islemek-suretiyle-ticari-elektronik-ileti-gondermek-hususunda-ilgili-kisilerin-acik-rizasini-usulune-uygun-olarak-almamasi-ve-kisisel-verilerin/
Kişisel Verileri Koruma Kapsamında Çerez Rehberimizin PDF Dokümanı İçin: https://www.verko.com.tr/wp-content/uploads/2020/09/Kisisel-Verilerin-Korunmasi-Bakimindan-Cerez-Rehberi-donusturuldu.pdf
Hakkımızda
Ticaret hayatının dijitalleşmeye başlaması ile riskler de dijital ortamdan kaynaklanmış ve veri güvenliği önem kazanmıştır. Bu kapsamda siber saldırıların ve açıkların yanı sıra şirketlere ve kişilere ilişkin verilerin internet ortamında ulaşılabilir olması ile ticaret ve özel hayatın korunması yani veri gizliliği ihtiyaç haline gelmiştir.

DEVAMI

Gizlilik ve Kullanım
Verko İletişim

Ofisim İstanbul İş Merkezi Tugay Yolu Cad. No:20 B Blok Kat:7 D:39 Cevizli / Maltepe / İstanbul

0(216) 418 21 25
0(535) 344 36 32
0(535) 344 36 64

info@verko.com.tr