Skip links

WEB SİTELERİNDE KULLANILAN ÇEREZLER VE KİŞİSEL VERİLERİN KORUNMASI İLİŞKİSİ

Bu yazımızla sizlere web sitelerinde veya uygulamalarında kullanılan çerezler ve bu çerezlerin kişisel verilerin korunması ile ilişkisini anlatmaya çalıştık. İlk olarak çerezlerin çalışma mantığını izah ederek konunun zihinlerde netleşmesini amaçladık.  Çerezleri ve türlerini ifade ettikten sonra konuyu kişisel verilerin korunması açısından incelemeye çalıştık. Yazıyı hazırlarken büyük oranda Kişisel Verileri Koruma Kurumu’nun ÇEREZ UYGULAMALARI HAKKINDA REHBER’inden yararlandık.

1.Çerez Nedir ve Hangi Amaçlarla Kullanılır?

Çerez, son kullanıcının bilgilerini (tanımlama verileri) içeren ve web sunucusu tarafından gönderilen dosyadır. Bu veri dosyalarının içinde yer alan tanımlana verileri istemci (son kullanıcı) tarafından depolanarak, transfer protokolünün durumsuz olmasını ortadan kaldırmaktadır.[1] Bu veri parçaları kişisel veri (IP, Oturum numarası, e-posta) içerebilmektedir. Aşağıda yer alan görselde çerezlerin çalışma mantığı anlatılmaya çalışmıştır.  

 

 2. Çerez Türleri Nedir?[2]

2.1 Sürelerine Göre Çerezler

2.1.1 Oturum Çerezleri

Geçici çerez olarak da adlandırılan oturum çerezi, oturumun sürekliliğinin sağlanması amacıyla kullanılır. Kullanıcı internet tarayıcısını kapattığında oturum çerezleri de silinmektedir.

2.1.2 Kalıcı Çerezler

İnternet tarayıcısı kapatıldığı zaman silinmeyen kalıcı bir çerez, belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir. Bu çerez aracılığıyla kullanıcı bir internet sitesini her ziyaret ettiğinde kullanıcının işlenen verileri sunucuya iletilmektedir. Bu nedenle, kalıcı çerezler bazen izleme çerezleri olarak da adlandırılırlar. Örneğin reklam verenler bir kullanıcının internet tarama alışkanlıklarıyla (web browsing habits) ilgili bilgilerini uzun bir süre boyunca kaydederek kullanabilirler. Ayrıca, kullanıcıların internet sitelerindeki hesaplarına giriş yaparken her seferinde giriş bilgilerini tekrar girmemelerini sağlamak üzere de kullanılabilirler.

2.2 Kullanım Amaçlarına Göre Çerezler

2.2.1 Kesinlikle Gerekli Çerezler (Zorunlu Çerezler)

Bu çerezler internet sitesinin çalışması amacıyla gerekli olan çerezlerdir. Söz konusu çerezler kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin (log-in olma, form doldurma, gizlilik tercihlerinin hatırlanması gibi) yerine getirilebilmesi için zorunlu olarak kullanılmaktadırlar. Genel olarak açık rıza dışındaki işleme şartlarına gidilen çerezler türleri olarak değerlendirilebilirler. Zorunlu çerezlerin engellenmesi halinde, internet sitesinin bazı bölümleri çalışmayacak olup bu çerezler pazarlama amacıyla kullanılmamalıdırlar.

2.2.2 İşlevsel Çerezler:

Web sitesi veya uygulamalarda (masaüstü, mobil veya IOT cihazlardaki uygulamalar da dâhil olmak üzere) kullanılan kişiselleştirme ve tercihlerin hatırlanması amaçları ile kullanılan çerezlerdir. Bu çerezler zorunlu çerezler dışında kalan işlevsellikleri sağlama amacıyla kullanılmaktadır. İlgili kişinin bir bilgi toplum hizmetini açıkça talep ettiğinin aşikâr olmadığı durumlarda açık rızaya dayanılması gerekecektir.

2.2.3 Performans- Analitik Çerezler:

İnternet sitelerinde kullanıcıların davranışlarını analiz etmek amacıyla istatistiki ölçümüne imkân veren çerezlerdir. Bu çerezler, sitenin iyileştirilmesi için sıklıkla kullanılmakta olup bu duruma reklamların ilgili kişiler üzerindeki etkisinin ölçümü de dâhildir. İnternet sitesi sahipleri tarafından, tekil ziyaretçilerin sayısını tahmin etmek, bir internet sayfasına götüren en önemli arama motoru anahtar kelimelerini tespit etmek veya internet sitesinde gezinme durumunu izlemek için kullanılmaktadırlar.

2.2.4 Reklam/Pazarlama Çerezleri:

Reklam ve pazarlama amaçlı çerezler ile internet ortamında kullanıcıların çevrim içi hareketleri takip edilerek kişisel ilgi alanlarının saptanıp bu ilgi alanlarına yönelik internet ortamında kullanıcılara reklam gösterilmesi hedeflenmektedirler. İnternet ortamında birçok reklam türü bulunmasına karşın en çok tercih edilen reklam türünün çevrim içi davranışsal reklamcılık olmasının temel nedeni; kişilerin eğilimlerine, tercihlerine göre reklam yapılabilmesi ve reklam veren açısından zaman ve maddi kaynakların daha verimli kullanılabilmesidir. Çevrim içi davranışsal reklamcılık uygulamaları; kişilerin internetteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edilerek profilleme yapılması, profilleme yapılan kişinin uygun reklamlarla eşleştirilerek söz konusu reklamların ilgili kişiye gösterilmesi aşamalarından oluşmaktadır.

2.3 Taraflarına Göre Çerezler

Çerezin birinci taraf ya da üçüncü taraf olması durumu, internet sayfasının ya da etki alanının yerleştirdiği çereze göre değişiklik arz etmektedir. Birinci taraf çerezler, doğrudan kullanıcının ziyaret ettiği internet sayfası yani tarayıcının adres çubuğunda gösterilen URL (ornek.com.tr) tarafından yerleştirilmektedir. Üçüncü taraf çerezlerse kullanıcının ziyaret ettiği internet sitesinden (ya da etki alanından) farklı bir üçüncü kişi tarafından yerleştirilmektedir.

3. 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile Çerezler Arasındaki İlişki

Yukarıda ifade edilen çerez faaliyeti sırasında web sitesi sunucuları tarafından kullanıcıların tanımlanması sağlayan verilerin ilgili kişileri belirli yada belirlenebilir kılmasıyla birlikte kişisel veri işleme faaliyeti söz konusu olabilecektir. Bir örnekle ifade etmek gerekirse, ilgili kişi tarafından bir web sitesine girildiğinde, IP adresi gibi bir kişisel olabilecek bir veri işleniyor ve bu veri saklanıyorsa kişisel veri işlemesinden söz edilir. Böyle bir durumda veri sorumlusu olan kişilerin bu işleme faaliyetini KVKK’ya uygun şekilde yürütmesi gerekecektir. Bu yazıda veri sorumlularının çerez üzerinden kişisel veri işleme faaliyeti yürütmesi durumunda KVKK yükümlülüklerinden sadece aydınlatma yükümlülüğü üzerinden durulacaktır.

3.1 KVKK’da Aydınlatma Yükümlülüğü

KVKK madde 5’e göre kişisel veriler açık rıza olmadan işlenemez. Ancak aynı maddenin 2. fıkrasında açık rıza olmadan kişisel veri işleme faaliyetine 7 şart getirilmiştir. Ek olarak “İstisnalar” başlıklı 28. Maddede de genel istisnalar mevcuttur. Bu noktada bizler 5. Maddede yer alan kişisel verileri açık rıza olmadan işlemeyebilme şartı maddeleri üzerinden duracağız.

5. maddede yer alan işleme şartlarını kısaca ifade etmek gerekirse bunlar; kanunlarda açıkça öngörülme, fiili imkânsızlık, sözleşmenin kurulması veya ifası ile ilgili olması, veri sorumlusunun hukuk yükümlülüğü, ilgili kişi tarafından alenileştirme, bir hakkında tesisi, veri sorumlusunun meşru menfaatleridir. Bu işleme şartlarında herhangi birinin varlığı halinde veri sorumlusu açık rıza olmadan sadece aydınlatma yükümlülüğünü yerine getirerek kişisel verileri işleyebilecektir.

3.2 KVKK ve Çerezlerin Kesişimi

Çerez ile kişisel veri işleme faaliyeti her zaman bir arada olmak zorunda değildir. Diğer bir deyişle her çerez faaliyetinin bir kişisel veri işleme faaliyeti olması gerekmemektedir. Bazı durumlarda çerez faaliyeti sürdürülürken kişisel veriye temas edilmeyebilir. Örnek vermek gerekirse bir web sitesine girdiğinizde sizlere bir ID (identification number) verildi. Siz bu ID ile web sitesinde gezindiniz ve web sitesi sunucusuna ad, soyad, IP, kredi kartı bilgileri vb. bir bilgi vermediniz. Bu çerez sizin web sitesinin hangi kısmında ne kadar vakit geçirdiğinizi ve ilgi alanlarınızın ne olduğunu saptadı. Siz web sitesinden ayrıldıktan sonra da bu çerez faaliyeti sona erdi ve web sitesi sunucu veri tabanına size atanan ID ile bu bilgiler kaydedildi. Bu örnek üzerinden ilerlediğimizde web sitesi kimliğinizi belirli ya da belirlenebilir kılacak herhangi bir veriyi almadı. Bu durumda çerez faaliyeti ile KVKK kesişmemiş olur.  Veri sorumlusunun sizlere karşı KVKK’dan kaynaklanan herhangi bir yükümlülüğü olmayacaktır.

Bu başlık altında çerez kullanımının KVKK ile kesişmediği durum değerlendirilmiştir. Bu noktadan sonra çeşitli senaryolar üzerinden aydınlatma metni ile işlenebilecek ve açık rıza ile işlenebilecek senaryonlar üzerinden durulacaktır.

3.2.1 Sadece Aydınlatma Yükümlülüğünün Yerine Getirilmesi ile Kullanılabilecek Çerez Senaryoları

Aşağıda yer alan senaryoların genel olarak; kullanıcı tanımlamalarını oturum süresince yapmaları, kullanıcılar tarafından bir hizmetin talep edilmesine bağlı olması ve hizmetin sağlıklı olmasını amaçlaması gibi ortak özellikleri olduğu vurgulamak isteriz.

  1. Kullanıcı Girdili Çerezler: Kullanıcıların girdilerini takip eden, kullanıcıya benzersiz bir ID tanımlayan ve oturum ile sonlanan çerezlerdir. Sepete ürün eklenmesi veya formun doldurulmasını gibi takip etme işlemleri örnek olarak gösterilebilir.
  2. Kimlik Doğrulama Çerezleri: Bir alana erişmek isteyen kullanıcının girdiği bilgiler üzerinden kimlik doğrulayan çerezlerdir. Oturum çerezi veya kalıcı çerez olarak kullanılabilir. Bu noktada kullanıcının amacına uygun olarak bir kimlik doğrulama faaliyeti için kullanılmalıdır. Başka amaçla kullanımı açık rızaya bağlı olabilecektir. Bu çereze örnek olarak bankacılık sistemlerinde kullanılan kimlik doğrulama çerezleridir. Bu çerez türünde, kullanıcıya çerezin oturum kapsamında mı kullanıldığı veya kalıcı mı olduğu bilgisi verilmeli ve seçenek tanınmalıdır. Örneğin “beni hatırla” seçeneği olmalı ve bu seçeneğe tıklayan kullanıcılar için çerezler kalıcın olarak işlenmelidir.
  3. Kullanıcı Merkezli Güvenlik Çerezleri: Kullanıcı tarafından talep edilen hizmet kapsamında uzun süreli saklanabilen çerezlerdir. Başarısız oturum sayısını sayan çerezler örnek gösterilebilir.
  4. Multimedya Oynatıcısı Oturum Çerezleri: Kullanıcı tarafından bir videonun veya sesin oynatılmasında kullanılan oturum çerezleridir.   
  5. Yük Dengelemesi Oturum Çerezleri: Web sunucusu üzerindeki trafiği yönlendirmek suretiyle kullanımı kolaylaştıran oturum çerezleridir.
  6. Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri: Kullanıcının belirli tercihlerini kaydetmek işlevi gören ancak kullanıcı adı gibi tanımlayıcılarla bağlantı kurmayan çerezlerdir. Belirli bir kutucuğun işaretlenmiş olması örnek gösterilebilir. Böylece kullanıcı her girişinde o kutucuk işaretlenmiş olarak gelir. Ya da dil tercihleri de bu çerezlere örnek gösterilebilir.
  7. Sosyal Eklenti İçerik Paylaşımı Çerezleri: Kullanıcıların sosyal medya üzerinde paylaşım yaparken içerikleri başkaları ile paylaşmak istediğinde bunu sağlayan çerezlerdir. Bu çerezleri kullanırken erişilen bilgilerin kullanıcı tarafından giriş yapılmış diğer sosyal ağlar üzerinden paylaşım kolaylığı tanımış olması gerekmektedir. Bu çerezlerin oturum çerezleri olmasına dikkat edilmelidir.
  8. Açık Rıza Yönetim Platformu Çerezleri: Açık rıza gerektiren çerezlere ilişkin açık rızanın verilip verilmediğini kontrol eden çerezlerdir.
  9. Birinci Taraf Analitik Çerezler: Sitenin ya da uygulamanın performansını ölçmek, hataları gidermek ve iyileştirme yapmak amacıyla kullanılan çerezlerdir. Bu çerezlerin çapraz takip ile kullanıcı alışkanlıklarını ölçmek için kullanılmaması gerekmektedir. Aksi takdirde açık rıza ile kullanılabilecek çerez haline gelecektir.
  10. İnternet Sitesinin Güvenliği İçin Kullanılan Çerezler: Kullanıcıların web sitesinden sağlıklı şekilde yararlanması devam ettirmek maksadıyla kullanılabilen çerezlerdir. Örnek olarak web sitesinin belirli sayıda trafiği kaldırabileceği düşünülerek web sitesi trafiğini ölçen çerezler gösterilebilir.

3.2.2 Açık Rıza Alınması Suretiyle Kullanılabilecek Çerezlerin Özellikleri

Bu çerez senaryolarının genel olarak; kullanıcı tanımlamalarını oturum süresince yapmamaları, kullanıcılar tarafından talep edilmeden de devreye girmesi ve hizmetin sağlıklı olmasının ötesinde bir amacı olması gibi ortak özellikleri olduğu vurgulamak isteriz. Bu çerezler genel olarak davranışsal reklamcılık amacı taşımaktadır. Kişisel veri içeren bir bilginin (ad, soyad, e-posta, sosyal medya kullanıcı bilgileri, IP vb.) kaydedilmesi ve bu bilgilerin takip edilmesi suretiyle kullanıcıların alışkanlıkları ölçen çerezlerdir. Bu çerezlere örnek olarak Google Analytics gösterilebilir. Bu çerez, kullanıcı alışkanlıklarını ölçerek, bu çerezi kullanan web sitesi sahibine bilgiler verir. Aynı zamanda bu çerez üçüncü taraf çerez olup web sitesi kullanıcının kişisel verileri KVKK madde 5’te yer alan işleme şartlarına uymayacak şekilde üçüncü kişiyle (Google) paylaşıma ve Google sunucusunun yurt dışında olması sebebiyle yurt dışına paylaşıma neden olmaktadır.

3.3 İyi Çerez Uygulamaları Nasıl Olmalıdır?

İyi çerez uygulaması için öncelikle bir çerez politikası düzenlenmelidir. Bu çerez politikası anlaşılır ve açıklayıcı olmalıdır. İkinci olarak kişisel veri işleyen çerezler için bir aydınlatma metni olmalıdır. Bu aydınlatma metni “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun olmalıdır. Son olarak açık rıza gerektiren çerezler için açık rızanın KVKK madde 3/1-a’da ifade edilen şartlara uygun alındığındna emin olunmalıdır.

İyi çerez uygulamasının minimum ölçüde aşağıda yer alan şartları taşımasına dikkat edilmelidir.

  1. Rıza Alma Mekanizmasının Olması: Rıza alma mekanizmasının pop-up şeklinde olması, bu pop-up’ın web sitesine girince çıkması, pop-up’ın web sitesinin kullanımını engelleyecek büyüklükte olmaması, “tümünü kabul et”, “tümünü reddet” ve “ayarlara git” seçeneklerini barındırması tavsiye edilir. “Ayarlara git” seçeneği tıklandığında çerez politikasına, aydınlatma metnini ve çerez rıza verme mekanizmasına erişilmesi de ayrıca önerilir.
  2. Açık Rızanın Belirli Bir Konuya İlişkin Olması: Çerezin amacı, saklama süresi, paylaşım tarafları belirtilmelidir.
  3. Aydınlatmanın Bilgilendirmeye Dayanma: “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”e uygun aydınlatma yapılmalıdır.
  4. Özgür İradeyle Açıklama: Rıza verme mekanizmalarının, rızanın istenildiğinde geri alınabileceği düşünülerek her zaman erişilebilir olması ve gözden kaçacak kadar küçük olmaması gerekmektedir. Ek olarak kullanıcıdan sürekli rıza isteyerek bıktırmaya neden olmadan rızanın her zaman değil belirli periyotlarda alınması doğru olacaktır.

[1] Velagapudi ve Gupta (2019): 2019 4th International Conference on Information Systems and Computer Networks (ISCON) GLA University, Mathura, UP, India. Nov 21-22, 2019

[2] ÇEREZ UYGULAMALARI HAKKINDA REHBER, KVKK, HAZİRAN 2022

Bu web sitesi, web deneyiminizi geliştirmek için çerezleri kullanır.