Çerez, web siteleri için “kısa süreli hafıza” niteliğindedir. Çerezler, tarayıcılarda saklanmakta ve bir internet sitesinin sayfaları ve kullanıcıların ziyaretleri arasında kullanıcıların verilerini toplamaktadır[1]. Verilerin; çevrimiçi ortamda çerezler aracılığıyla toplanmasının, çevrimiçi gizliliğin ortadan kalkması sonucunu doğurmasını engellemek için Çerez Politikaları geliştirilmiştir.
Çerez Politikaları, internet kullanıcılarını kendileriyle ilgili verilerin çevrimiçi olarak nasıl toplandığı ve kullanıldığı konusunda bilinçlendirerek ve onlara izin verip vermeme seçenekleri sunarak çevrimiçi gizliliği korumak için tasarlanmıştır. Çerez Politikaları ve Çerezlere uygulanacak hukuk kuralları, Avrupa Birliği tarafından Mayıs 2011 yılında kabul edilen e- Gizlilik Yönergesi (ePrivacy Directive) ile kapsamlı hukuki dayanağını bulmuştur. Bu Yönerge, kişilere çevrimiçi gizliliklerini azaltan çerezlerin kullanımını reddetme hakkını tanımakta ve web sitelerinde internet kullanıcılarının verilerinin işlenmesinin kullanıcıların önceden alınan rızalarına bağlı olduğunu belirtmektedir. Yönerge uyarınca, internet kullanıcılarına rıza gösterebilmeleri için öncelikle verilerin işlenme amaçları hakkında açık ve kapsamlı bilgiler verilmelidir. Ayrıca kullanıcılara çerezleri reddetmeleri için kolay bir yol dasunulmalıdır. Yönergede, web sitesinin en temel işlevleri için kesinlikle gerekli kabul edilen çerezlerin önceden rıza alma gerekliliğinden muaf olduğu da açıkça belirtilmiştir[2].
Kişisel Verileri Koruma Kurumu, AB Yönergesindeki düzenlemelerle paralel düzenlemeler içeren “Çerez Uygulamaları Hakkında Rehber Taslağı”nı oluşturmuştur. Bu Taslakta çerez politikalarının içermesi gereken unsurlar belirtilmiş ve çerez türlerinin tanımları yapılmıştır. Bu Taslağa göre çerez: “İnternet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin dosyasıdır.”[3].
Taslakta çerez türleri üç kategori altında düzenlenmiştir: (i) Sürelerine göre çerezler, (ii) kullanım amaçlarına göre çerezler, (iii) taraflarına göre çerezler. Her bir kategori alt kategorilere ayrılarak her bir çerez türünün tanımına yer verilmiştir. Taslakta Çerez Politikaları oluşturulurken nelere dikkat edilmesi gerektiği ise listelemek suretiyle açıklanmıştır.
Bu liste uyarınca Çerez Politikaları; çerez tanımını, çerez türlerinin tanımlarını, çerez kullanım sebeplerini, çerezlerin hangilerinin işlendiğini ve çerezlerin sona erme sürelerini içermelidir.
Taslaktaki liste uyarınca oluşturulan kontrol listesi şöyledir: (Liste ve tanımlar Taslaktan olduğu gibi ya da değiştirilerek alınmıştır.)[4]
KVK KURULU TARAFINDAN HAZIRLANAN ÇEREZ KULLANIMINA İLİŞKİN KONTROL LİSTESİ
1- Çerezleri Anlamak
Çerez tanımı yapılmalıdır ve çerezlerin neden kullanıldığı açıklanmalıdır.
Çerez: İnternet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür metin doyasıdır. Çerezler, http (S)3 (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılmaktadır.
Oturum çerezleri ve kalıcı çerezlerinin tanımları yapılarak bunlar arasındaki fark yazılmalıdır.
Kullanım Süresine Göre Çerez Türleri:
i) Oturum Çerezler/ Geçici Çerezler: Oturumun sürekliliğini sağlamak amacıyla kullanılan bu çerezler, kullanıcının internet tarayıcısını kapattığı anda silinmektedir.
ii) Kalıcı Çerezler: Kalıcı çerezler, kullanıcının internet tarayıcısını kapattığı anda silinmemekte, bu tür çerezler belirli bir tarihte veya belirli bir süre sonra kendiliğinden silinmektedir.
Birinci taraf ve üçüncü taraf çerezlerinin tanımları yapılarak bunlar arasındaki fark yazılmalıdır.
Birinci Taraf ve Üçüncü Taraf Çerezler:
i) Birinci Taraf Çerezler: Bu tür çerezler doğrudan kullanıcının ziyaret ettiği internet sitesi tarafından yerleştirilmektedir.
ii) Üçüncü Taraf Çerezler: Bu tür çerezler, kullanıcının ziyaret ettiği internet sitesinden (etki alanından) farklı bir üçüncü kişi tarafından yerleştirilmektedir.
2- Çerez Kullanımını Denetlemek
Çevrimiçi hizmette hangi çerezlerin, hangi sebeplerle kullanıldığı belirtilmelidir.
“İhtiyacımız olmayan tüm çerezleri kaldırdık.” ifadesine yer verilmelidir.
İhtiyaç duyulmayan çerezler kaldırılmıştır.
Her bir çerezin amacı belirtilmelidir.
Kullanım Amaçlarına Göre Çerezler Türleri:
i) Zorunlu Çerezler: Bu tip çerezler web sitenin işlevselliği için zorunlu olan çerezlerdir ve kullanıcı deneyimini arttırmak, teknik sebeplerle kayıt ve operasyonları yerine getirmek amacıyla kullanılmaktadır. Kişisel Verileri Koruma Kurumu’na göre; zorunlu Çerezler, açık rıza dışındaki işleme şartlarına gidilen çerez türleri olarak değerlendirilir.
ii) İşlevsel ve Analitik Çerezler: Bu tip çerezler kullanıcının web siteyi kullanma biçimi ve tercihlerinin listelenmesi, analiz edilmesi ve reklam çalışmalarının yürütülmesi için kullanılmaktadır. İşlevsel çerezler aracılığı ile toplanan kişisel veriler Kanun’un 5 (1). maddesi uyarınca açık rızanın alınması suretiyle işlenmektedir.
Her bir çerezin hangi verileri işlediği belirtilmelidir.
Çerezin İsmi
Çerezin Amacı
Çerez Tipi
Çerezin Saklanma Süresi
“Kişisel verilerin yer aldığı durumlarda, bu verilerin Kanunla uyumlu şekilde işlenmesinin sağlandığı” ifade edilmelidir.
Kişisel verilerin alındığı durumlarda, bu veriler KVK Kanunu’na uygun şekilde işlenmektedir.
Çerezlerin oturum çerezleri mi yoksa kalıcı çerezler mi oldukları belirtilmelidir.
Çerezlerin birinci taraf mı yoksa üçüncü taraf çerezler mi oldukları belirtilmelidir.
Çerezlerimizin sona erme süreleri belirtildikten sonra “Bu sürelerin Kanun’a uygun olduğu” ifade edilmelidir.
Çerezlerin sona erme süreleri KVK Kanunu’na uygundur.
Kesinlikle gerekli olan ve olmayan çerezler belirtilmelidir.
3- Çerezler Hakkında Aydınlatma
Kullanılan çerezlerle ilgili olarak net ve kolay bir şekilde anlaşılacak aydınlatma yazılmalıdır.
Aydınlatma kapsamlı olmalı ve kullanılan kişisel veri işleyen tüm çerezleri kapsamalıdır.
4- Çerezler için Açık Rıza
Çevrimiçi hizmet kullanıcıları için gerekli olmayan tüm çerezlerin ayarlarını kontrol etmelerine izin veren bir açık rıza mekanizması oluşturulmalıdır.
Çerezlerin; Google Chrome, Internet Explorer, Mozilla Firefox, Yandex, Safari ve Opera gibi arama motorlarında ilgili kişi tarafından nasıl yönetilebileceği açıkça yazılmalıdır.
“Açık rıza metninin Kanun’a uygun olduğu” ifade edilmelidir.
Açık rıza metni KVK Kanunu’na uygundur.
Alınan açık rıza metninin ne kadar süre boyunca saklanacağı belirtilmelidir.
5- Çerez Kullanımımızı Belgelemek ve Gözden Geçirmek
Uygun bir gözden geçirme periyodu belirlenmelidir.
KAYNAKÇA
· KVKK Çerez Uygulamaları Hakkında Rehber
[1]https://www.cookielaw.org/the-cookie-law/#:~:text=It%20started%20as%20an%20EU,that%20reduce%20their%20online%20privacy.&text=All%20websites%20owned%20in%20the,to%20comply%20with%20the%20law. [2]https://www.cookiebot.com/en/cookie-law/#:~:text=The%20EU%20cookie%20law%20(ePrivacy%20Directive)%20states%20that%20the%20use,be%20able%20to%20give%20their [3] KVKK Çerez Uygulamaları Hakkında Rehber, syf.2 [4] KVKK Çerez Uygulamaları Hakkında Rehber
Comments