Çerezler, bir internet sitesini ziyaret ettiğinizde internet tarayıcınız aracılığıyla bilgisayarınıza veya mobil cihazınıza kaydedilen küçük boyutlu tanımlama dosyalarıdır. Çerezler hem zamandan tasarruf etmek hem de daha iyi bir internet deneyimi sunmak için internet siteleri tarafından kullanılmaktadır. Çerezler, kullanıcıların tercihlerini hatırlamakta, kullanıcı verilerini analiz etmekte ve kullanıcılar için tercihlerine göre kişiselleştirme sağlamaya yardımcı olmaktadır. Dolayısıyla, çerezler aracılığıyla internet siteleri tarafından kullanıcıların kişisel verileri işlenmekte ve internet sitelerinin sahipleri Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu olmaktadır.
Çerez politikası ise, internet sitesi kullanıcılarını, internet sitesinde kullanılan çerezler hakkında bilgilendiren bir metindir. Kişisel Verilerin Korunması Kanunu ya da ilgili mevzuat kapsamında çerez politikası ile ilgili bir hüküm bulunmamaktadır. Bununla birlikte, veri sorumluları tarafından ilgili kişilerin kişisel verilerinin işlenebilmesi için aydınlatma yükümlülüğünün yerine getirilmesi ve ilgili kişiden açık rıza alınması gerekmektedir. Buna göre, internet siteleri çerez politikası aracılığıyla çerez kullanımı ile ilgili aydınlatma yükümlülüğünü yerine getirebilecek ve çerezlerin kullanımına izin verilerek ilgiliden açık rıza alınabilecektir.
Kişisel Verilerin Korunması Kanunu’nda olduğu gibi, Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında da çerez politikası ile ilgili düzenleme bulunmamaktadır. Bununla birlikte, e-Gizlilik Direktifi olarak bilinen 2002/52/EC sayılı Avrupa Birliği Gizlilik ve Elektronik Haberleşme Direktifine göre internet siteleri çerez kullanımı durumunda, kullanıcıyı çerez kullanımı hakkında bildirmekle yükümlüdür. 2002/52/EC sayılı Avrupa Birliği Gizlilik ve Elektronik Haberleşme Direktifi kişisel verilerin korunması ile ilgili mevzuatımızın bir parçası olmamakla beraber, Avrupa Birliği’nden erişilebilen internet sitelerinin e-Gizlilik Direktifine uyması gerekecektir. Dolayısıyla, Avrupa Birliği kapsamında kullanılan resmî dillerde hazırlanan internet sitelerinin e-Gizlilik Direktifine uyması ve çerez kullanımı ile ilgili kullanıcılarına bilgi vermesi gerekecektir. Bu bilgilendirme için en uygun yol ise çerez politikası olacaktır.
İnternet sitelerinin, başta Kişisel Verilerin Korunması Kanunu, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve e-Gizlilik Direktifi olmak üzere kişisel verileri koruma mevzuatı uyarınca iyi bir çerez politikasına sahip olabilmek için çerez politikaları kapsamında belirli konulara değinmeleri gerekecektir.
- Çerez politikası kapsamında, internet sitesinde kullanılan çerezlerin açıkça belirtilmesi ve bu çerezlerin kullanım amaçlarının açıklanması gerekmektedir. Çerezler; işlevsellik, istatistik, pazarlama ve reklam amaçlarıyla kullanılabilmektedir. Örneğin, internet siteleri kullanım istatistiklerini çıkarabilmek için Google Analytics veya Yandex Metrica gibi analiz çerezleri kullanabilmektedir. Böyle bir durumda, kullanılan çerez, kullanım amacıyla birlikte çerez politikasında açıkça belirtilmelidir.
- Çerez politikasında, çerezler aracılığıyla hangi kişisel verilerin elde edildiği ve kişisel verilerin ne kadar süreyle saklandığı ifade edilmelidir. Örneğin, uluslararası bir şirketin kullanıcının yaşına ve konumuna göre farklı sayfalara yönlendirme yapan bir internet sitesinde, çerezler aracılığıyla kullanıcıların yaşları ve konumları elde edilebilmekte ve saklanabilmektedir. Bu verilerin anonim olarak işlenmediği böyle bir durumda, kullanıcıların yaş ve konum gibi kişisel verilerinin elde edildiği ve bu kişisel verilerin ne kadar süre saklanacağı çerez politikasında açıkça ifade edilmelidir.
- Çerez politikası kapsamında, zorunlu çerezler ile isteğe bağlı çerezler arasında ayrım yapılmalıdır. Zorunlu çerezler, bir internet sitesinin düzgün ve istendiği gibi çalışması için gereken çerezlerdir ve bu çerezlerin kullanılmaması durumunda internet sitesi çalışamamakta ve kullanıcıya hizmet verememektedir. Bununla birlikte, isteğe bağlı çerezler genellikle analiz, istatistik ve kişiselleştirme için kullanılmaktadır. İsteğe bağlı çerezler aracılığıyla, internet sitesinin kullanıcı profili çıkarılabilmekte, internet sitesinin performansı artırılabilmekte ya da kullanıcıya özel reklam ve pazarlama araçları kullanılabilmektedir.
- Çerez politikası ile internet sitesi kullanıcısına seçim hakkı verilmelidir. İnternet sitesinin kullanımı durumunda, çerez kullanımının kullanıcı tarafından zımnen kabul edildiği gibi bir yaklaşım hem Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) hem de Kişisel Verilerin Korunması Kanunu kapsamındaki açık rıza ilkesine aykırılık teşkil edecektir. Ayrıca, çerez kullanımının nasıl reddedileceği ve kabul edilen çerez kullanımının nasıl iptal edileceği çerez politikasında düzenlenmelidir. Kişisel verilerin korunması ile ilgili mevzuat uyarınca, kullanıcılar çerez kullanımı ile ilgili verdikleri açık rızayı istedikleri zaman geri çekebilmeli ve açık rızanın geri çekilme işlemi rızanın verilişi ile aynı kolaylıkta olmalıdır. Örneğin, internet sitesinde çerez kullanımı ile ilgili çıkan bir bildirime “Kabul Et” denerek çerez kullanımına rıza veriliyorsa (opt-in), çerez kullanımının reddedilmesi veya çerez kullanımı ile ilgili rızanın geri çekilmesi işlemi (opt-out) rızanın verilmesi kadar kolay ve ulaşılabilir olmalıdır.
- GDPR ve KVKK uyarınca, kullanıcının çerezleri onaylayacağı açılır penceredeki seçenekler seçilmiş olarak gelmemeli; ilgili kişi seçenekleri kendisi işaretlemelidir (opt-in). Seçeneklerin hâlihazırda işaretli geldiği ve kullanıcının işlenmesini istemediği çerezleri kaldırması (opt-out) yöntemi KVKK ve GDPR kapsamında hukuka aykırılık teşkil edecektir.
- Çerezler aracılığıyla elde edilen kişisel verilerin, üçüncü kişilere aktarılacak olması durumunda, hangi çerezler aracılığıyla hangi kişisel verilerin üçüncü kişilere aktarılacağı ve aktarım amaçları çerez politikası kapsamında belirtilmelidir. Örneğin, bir internet sitesinde Google reklamlarına yer verilmesi durumunda, Google reklamlarının kişiselleştirilebilmesi için Google Ads isimli çerezin kullanılması gerekecek ve Google Ads isimli çerez aracılığıyla elde edilen kişisel bilgiler üçüncü bir taraf olan Google LLC isimli şirkete aktarılacaktır. Böyle bir durumda, Google Ads isimli çerez ile reklamların kişiselleştirilmesi amacıyla kişisel verilerin Google LLC isimli şirkete aktarılacağı çerez politikasında belirtilmeli ve kullanıcılardan kişisel verilerin aktarımı ile ilgili açık rıza alınmalıdır.
