Gizlilik ve Çerez Politikası Nedir?

Gizlilik ve Çerez Politikası Nedir?

1.     Çerez Politikası Nedir?

Politikanın neden zorunlu olduğundan bahsetmeden önce kısaca çerezlerin (cookies) ne olduğuna aşağıda kısaca değinilecektir.

1.1      Çerez Kullanımı Nedir?

En basit anlatımla çerez, herhangi bir web sitesini kullandığınız süre boyunca sizin kullanım alışkanlık ve tercihlerinizi tarayıcı üzerinde depolayan küçük dosyalardır. Çerezler, hem zamandan tasarruf edebilmek hem de daha iyi bir internet deneyimi sunmak mahiyeti ile kullanılır.

En basit ifadesiyle internet sitelerine, üyelik girişlerinde “Beni Hatırla” seçeneği işaretlendiği anda, bir çerez kullanılmaya başlamış olur.

Bu seçenek hemen hemen her sitede vardır. İşte standart bir internet kullanıcısı olarak bu opsiyonu seçtiğimiz anda çerezleri aktif hale getirmektedir. Bu sayede giriş bilgilerimiz bir düz metin (text) olarak kaydedilecek ve aynı web sitesini her ziyaret edişimizde giriş bilgilerini tekrar yazarak zaman kaybetmemizin önüne geçilecektir.

Aslında çerezlerin çalışma prensibi çok basittir. Onlar Kötü kişilerin eline geçmediği sürece zararsız, minik metin dosyalarıdır. Örneğin bir siteye girerken beni hatırla diyerek oturum açtıktan sonra kullandığınız tarayıcı kimliğinizi (ID) tarayıcıya kaydedecektir. Chrome için daha önce kaydedilen tüm çerezleri “%LOCALAPPDATA%GoogleChrome” komutu ile görüntülenebilmektedir.

Siz siteye geri geldiğinizde sunucu tarafından bu dosyalara komut gönderilecek ve eşleşme sağlanarak bilgileriniz hatırlanacaktır. Tüm bu işlemler sunucu ve bilgisayarınız arasında olduğu için endişelenmenize gerek yok. Başka bir ifadeyle herhangi bir uygulama oturum çerezlerine erişerek kişisel verilerinizi alamaz. Bir çerezi kabul etmek, bilgisayarınıza bir sunucu erişimi vermez veya kişisel bilgilerinizden herhangi birini sağlamaz. Ayrıca çerez kullanılarak bilgisayarınıza virüs buluşması da teknik olarak mümkün değildir. Ancak kötü amaçlı çerezlerin de mevcut olduğunu belirtmek gerekiyor. Virüs olmasalar dahi bilgisayarınıza siz farketmeden bir takip çerezi yerleştirilmiş ve yaptığınız her işlemi kayıt altına alıyor olabilir. Bu nedenle güvenmediğiniz sitelerin çerez kullanımını kabul etmemenizi ve belli aralıklarla çerezleri sıfırlamanızı öneriyoruz.

Bunun dışında çerezler sıklıkla reklam tercihlerimizi belirlemek amacıyla tutulur. Örneğin bir arama motoru üzerinden “kol saati” araması yaparsanız ve kol saati satan bir kaç siteye girerseniz kısa bir süre sonra gördüğünüz reklamlar tamamen kol saatlerinden oluşacaktır. Çerezler sizin kullanım alışkanlıklarınızı anonim olarak kaydederek önünüze ilgi alanınıza paralel olarak reklamlar çıkmasını da sağlar.

Bu durumu pek çok kullanıcının beğenmediği ortada. Örneğin ben bir kol saati satın alsa dahi karşısına çerezler sıfırlanana kadar kol saati reklamları çıkmaya devam etmesini kim ister? Bu da gerçekten sıkıcı bir durumdur. Kim sonsuza kadar kol saati reklamı görmeyi ister ki? Bu durumdan kurtulmak için Google hesap ayarlarınızdan “kişiselleştirilmiş reklamlar” seçeneğini kapatmak yeterli olacaktır. 

 

Çerezlerin kullanıldığı bir diğer alan ise e-ticaret siteleridir. Örneğin sepetinize eklediğiniz ürünler tarayıcınızı kapattıktan sonra, siteyi tekrar ziyaret ettiğinizde de oradadır. Bu sayede üye giriş yapmamış dahi olsa ürünleri tekrar aramakla zaman kaybetmemiş olur. Zaten çerezler kullanılmasaydı sizin sepetinize eklenen tüm ürünler yeni bir bağlantıya tıkladığınızda sıfırlanacaktı. Bu da internet üzerinden alışveriş yapmayı imkansız hale getirecekti.

Evet artık çerezler hakkında genel olarak bir bilgiye sahip olduğunuza göre hukuksal boyutunu anlatmaya geçebiliriz. Bu makale işin daha çok hukuksal boyutunu ele aldığı için teknik bilgi üzerinde fazla durulmamıştır. Örneğin çerez çeşitleri, protokoller vd. hususlar hakkında bilgi almak için konuyla ilgili teknik sitelere başvurabilirsiniz.

1.2      Nedir Bu Çerez Politikası?

Çerez politikası, akıllı telefon, tablet, bilgisayar kısaca bir web sitesine erişmenizi sağlayacak her türlü cihaz için verilerinizin depolandığını, hangi şartlar altında kullanıldığını ve nasıl çalıştığını belirten bir bilgilendirici metindir.

Web siteleri çerezleri etkin olarak kullanabilmek için kullanıcıların “açık rızalarını” almak zorundadırlar. Yani bir web sitesini ziyaret etmek isteyip, çerez kullanımını reddetme özgürlüğünüz bulunmaktadır. Ancak bu durumda web sitesini etkin bir biçimde kullanamayabilirsiniz.

1.3      Çerez Politikasını Hangi Mevzuat Düzenliyor?

AB’nin kişisel verilere ilişkin mevzuatı Genel Veri Koruma Regülasyonu (), ziyaretçilerine her zaman, hangi amaçla, niçin, nerede ve datalarının hangi ülkelerde kayıtlı oldukları konusunda güncel bilgi alma hakkını vermektedir.

Bu kurallar web sitenizin politikası ve  çerez politikasını etkilemektedir. Bu bağlamda  web sitenizde, web sitesinin çerez kullanımı ve kullanıcıların bunları kabul etme ve reddetme seçenekleri hakkında özel, doğru ve güncel bilgiler içeren uygun bir çerez politikasına ihtiyacınız vardır. Aksi halde çok ciddi para cezaları ile karşı karşıya kalmanız muhtemel.

Ayrıca çerezler Türk hukukunda da 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında “kişisel veriye ilişkin” düzenlemeler içerdiğinden bu kanununun himayesi altında değerlendirilebilecektir.

Şimdi aklınızda “Çerez Politikası” ve “Gizlilik Politikası” arasında ne tür bir fark var? sorusu gelebilir. Gizlilik politikası kullanıcı datalarını, kayıt formlarını, seçeneklerini, ve kaydedilmesini ve buna paralel diğer hususları içerirken çerez politikası daha spesifik olup çerezlere ilişkin düzenlemeler içermektedir.

1.4      Çerez Politikası Neleri İçermeli?

Bir web siteniz varsa artık çerez politikası bulundurması gerektiği açıktır. Peki ama bu politika neleri içermeli? Aşağıda maddeler halinde görmek mümkündür:

  • Web Sitenizde ne tür çerezler bulunmakta?
  • Çerezler hangi süreyle depolanmakta?
  • Çerezler hangi verileri izliyorlar?
  • Çerezler hangi amaçla (işlevsellik, performans, istatistik, pazarlama vb.) kullanılıyor?
  • Çerezler Verileri üçüncü kişilerle paylaşıyor mu? Paylaşıyorsa nasıl ve neden?
  • Çerezler nasıl reddedilir veya kabul edilen bir çerez nasıl iptal edilebilir?

 

Eğer çok özel çerezler kullanmıyorsanız temel olarak bu soruların cevaplarını çerez politikanızda bulundurmanız yeterli olacaktır.

1.5      Çerez Politikası Nerede Bulunmalı?

Çerez politikası ayrıca düzenlenebileceği gibi gizlilik politikanızın içerisinde “Çerezler” başlığı içeren alt başlık şeklinde de bulunabilir. Çerez politikasının nerede konumlandırılacağı GDPR açısından şekli olarak bir öneme sahip değildir. Ancak bir kullanıcının web sitenizi ilk kez ziyaret edişinde açılır küçük bir kutucuk ile (pop-up) sitenizde çerezleri kullandığınızı belirtmeniz gerekmektedir.

GDPR’ın getirdiği en önemli yenilik “” ilkesidir. Diğer bir değişle regülasyon kapsamında hiç bir kullanıcıya seçim hakkı vermeden, varsayılan olarak kabul edilen seçenekler sunulamaz. Örneğin “bu siteyi kullanmakla birlikte çerez kullanımına izin verirsiniz” ifadesi kullanıcıya seçim hakkı vermeyen tek taraflı bir irade beyanına dayanmaktadır. GDPR, bu yaklaşımı kabul etmemekte, kullanıcıya seçim hakkı verilmesi gerektiğini net bir biçimde ifade etmektedir. Ancak Türk Hukukunda özellikle çerez politikası için detaylı bir düzenleme bulunmadığından sayılı kanun kapsamında yapılan bildirim ve aydınlatmalar da yeterli olarak kabul edilmektedir. Kanımızca, her zaman “açık rıza” ilkesine uygun olarak hareket edilmesi ve düzenlemelerin de bu bağlamda yapılması isabetli olacaktır. Bu nedenle çerez kullanımına ilişkin yaptığınız bilgilendirmelerin “Bu sitede çerezler kullanılmaktadır. Kabul Et, Daha Fazla Bilgi Al” şablonunda olması GDPR için daha doğru bir yaklaşım olacaktır.

Aşağıda Örnek çerez politikası ve gizlilik politikası siteye eklenmiştir. Bağlantılara tıklayarak ilgili örnek gizlilik ve çerez politikasına ulaşabilirsiniz.

1.6   Türkiye’de çerez kullanımının hukuki koşulları nelerdir?

Ülkemizde çerez kullanımını düzenleyen AB’deki ePrivacy Direktifi gibi tüm çerez kullananlara uygulanabilen özel bir düzenleme bulunmuyor. Bununla birlikte 6698 sayılı Kişisel Verilerin Korunması Kanunu (), çerez kullanımı neticesinde işleme faaliyeti yürüten tüm veri sorumlularına uygulanabilir durumda.

İnternet sitesinin işleyişi için mutlaka gerekli çerezler ile internet sitesinin güvenliğini ya da işlevselliğini arttıran çerezlerin KVKK kapsamında açık rıza alınmasını gerektirmeyeceği sonucuna varmak mümkün olabilir. Ancak kullanımını analiz eden ya da reklamcılık amaçlı bilgi toplayan çerezlerin kullanımının açık rıza gerektirmesi olasılığı çok daha yüksek görünüyor. Kesin ve isabetli tespitler yapmak için her olayın özel olarak incelenmesi gerekli.

Açık rızanın nasıl alınması gerektiği konusunda ise KVKK’nın gerektirdiklerine uygun davranılmalı. Yani açık rıza öncesinde aydınlatma yapılmalı, açık rıza aktif bir davranışa dayanarak özgürce verilmeli ve açık rıza bir hizmet sunma ön şartı olarak konumlandırılmamalı.

Kişisel veri niteliğinde olmayan veriler için çerez kullanımı hakkında ise herhangi bir hukuki düzenleme bulunmuyor.

Son olarak belirtmek gerekir ki; yukarıda açıklanan durumlarda GDPR’ın da uygulama alanı bulabilmesi ihtimali olduğundan, AB ülkelerine de hizmet sunulabilen durumlarda hem KVKK’nın hem GDPR’ın çerez kullanımına ilişkin kuralları göz önünde bulundurulmalı.

 

Gizlilik Çerez Politikası Örneği