İnternet Sitelerinde Çerezler (Cookies) ve Hukuki Çerçevesi

Günümüzde neredeyse her internet sitesinde karşımıza çıkan “çerez” bildirimleri, çoğu kullanıcı için hızlıca geçilen bir onay ekranından ibaret görülmektedir. Oysa çerezler, kişisel verilerin korunması hukuku bakımından önemli sonuçlar doğurabilen teknik araçlardır. İnternet sitesi sahipleri açısından ise çerez kullanımı, yalnızca teknik bir tercih değil; aynı zamanda hukuki yükümlülükler doğuran bir veri işleme faaliyetidir. Bu yazıda, çerez kavramı ve çerez kullanımına ilişkin temel hukuki sorular, sade ve anlaşılır bir soru–cevap formatında ele alınmaktadır.

1. Çerez (cookie) nedir?

Çerezler, bir internet sitesini ziyaret ettiğinizde tarayıcınız aracılığıyla cihazınıza kaydedilen küçük metin dosyalarıdır. Bu dosyalar sayesinde internet sitesi, kullanıcının oturum bilgilerini, tercihlerini veya site içindeki hareketlerini hatırlayabilir. Çerezler tek başına her zaman kişisel veri niteliği taşımasa da, bir kullanıcıyı tanımlanabilir hâle getirdikleri ölçüde kişisel verilerin korunması mevzuatı kapsamına girebilir.

2. Çerezler hangi amaçlarla kullanılır?

Çerezler en basit hâliyle internet sitesinin düzgün çalışmasını sağlamak için kullanılabilir. Örneğin bir kullanıcı hesabına giriş yapıldığında oturumun açık kalması bu sayede mümkün olur. Bunun yanında kullanıcı tercihlerini hatırlamak, site performansını analiz etmek veya kullanıcıya özel reklamlar göstermek amacıyla da çerezlerden yararlanılabilir. Kullanım amacı genişledikçe, çerezlerin hukuki niteliği ve gerektirdiği yükümlülükler de değişmektedir.

3. Her çerez için açık rıza alınması gerekir mi?

Hayır. Her çerez için mutlaka açık rıza alınması gerekmez. İnternet sitesinin çalışması için zorunlu olan ve kullanıcının açıkça talep ettiği bir hizmetin sunulmasıyla doğrudan bağlantılı çerezler, kural olarak açık rıza olmaksızın kullanılabilir. Buna karşılık, analiz, reklam veya pazarlama amacıyla kullanılan çerezler bakımından açık rıza alınması çoğu durumda zorunludur. Bu ayrım, çerez türünün ve kullanım amacının doğru belirlenmesini gerekli kılar.

Uygulamada Kurul da bu ayrımı özellikle vurgulamaktadır. Kişisel Verileri Koruma Kurulu’nun 10.03.2022 tarihli ve 2022/229 sayılı karar özetinde, internet sitesinin çalışması için zorunlu olan çerezler dışında kalan işlevsel, performans/analitik ve reklam/pazarlama amaçlı çerezlerin, açık rıza dışında geçerli bir işleme şartı yoksa kullanıcının aktif tercihiyle (opt-in) devreye alınması gerektiği belirtilmiş; yalnızca “politika linki vermek” gibi yöntemlerin her durumda geçerli rıza mekanizması sayılmayacağına işaret edilmiştir.

4. Çerezler kişisel veri olarak kabul edilir mi?

Çerezlerin kendisi teknik olarak bir metin dosyasıdır; ancak çerezler aracılığıyla elde edilen bilgiler bir kişiyi doğrudan veya dolaylı olarak belirlenebilir hâle getiriyorsa, bu durumda kişisel veri söz konusu olur. Özellikle IP adresi, kullanıcı kimliği veya çevrim içi davranışların profillenmesi gibi durumlarda, çerezler yoluyla kişisel veri işlendiği kabul edilmektedir. Bu hâlde, 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri devreye girer.

5. Türkiye’de çerezlere ilişkin özel bir kanuni düzenleme var mı?

Türk hukukunda çerezleri tüm yönleriyle düzenleyen müstakil bir kanun bulunmamaktadır. Bununla birlikte, çerezler yoluyla kişisel veri işlenmesi hâlinde 6698 sayılı Kanun uygulanmaktadır. Ayrıca elektronik haberleşme sektörüne özgü olarak 5809 sayılı Elektronik Haberleşme Kanunu’nda da sınırlı hükümler yer almaktadır. Uygulamada, Kişisel Verileri Koruma Kurulu’nun kararları ve rehber niteliğindeki açıklamaları büyük önem taşımaktadır.

6. Çerez bildirimi (banner) nasıl olmalıdır?

Çerez bildirimi, kullanıcıyı gerçekten bilgilendiren, açık ve anlaşılır bir şekilde hazırlanmalıdır. Kullanıcıya hangi çerezlerin hangi amaçlarla kullanıldığı net biçimde açıklanmalı; kabul ve reddetme seçenekleri eşit kolaylıkta sunulmalıdır. Önceden işaretlenmiş onay kutuları veya yalnızca “kabul et” seçeneği sunan tasarımlar, geçerli bir rıza olarak kabul edilmemektedir. Bu yaklaşım, Avrupa Birliği Adalet Divanı’nın Planet49 kararında da açıkça ortaya konulmuştur.

Bu yaklaşım, Kurul kararlarına da yansımaktadır. Kişisel Verileri Koruma Kurulu’nun 23.12.2022 tarihli ve 2022/1358 sayılı karar özetinde, bir internet sitesinde çerezler bakımından ilk ziyaret anında aydınlatmanın yapılmaması ve zorunlu olmayan çerezler için açık rıza mekanizmasının sunulmaması hukuka aykırılık olarak değerlendirilmiş; ayrıca çerezlere ilişkin metinlerin, Kanun madde 10 ve ilgili Tebliğ’deki zorunlu unsurları taşıyacak şekilde kullanıcıya açık ve erişilebilir biçimde sunulması gerektiği vurgulanmıştır.

7. Çerez kullanımına aykırılığın hukuki sonuçları nelerdir?

Çerezler yoluyla kişisel verilerin hukuka aykırı şekilde işlenmesi hâlinde, veri sorumluları idari para cezalarıyla karşılaşabilir. Nitekim Kişisel Verileri Koruma Kurulu, kullanıcıların yeterince bilgilendirilmediği veya geçerli rıza alınmadan çerez kullanıldığı durumlarda yaptırım uygulamaktadır. Bunun yanında, ilgili kişiler tarafından veri sorumlularına başvuru yapılması ve zararın varlığı hâlinde tazminat taleplerinin gündeme gelmesi de mümkündür.

Kişisel Verileri Koruma Kurulu’nun 10.03.2022 tarihli ve 2022/229 sayılı karar özetinde, zorunlu çerezler dışındaki çerezlerin (özellikle reklam/pazarlama ve analitik amaçlı olanların) açık rıza olmaksızın çalıştırılmasının hukuki risk doğurabileceği; ayrıca yurt dışına aktarım söz konusuysa aktarım şartlarının Kanun’a uygun kurulması gerektiği değerlendirilmiştir. Bu tür kararlar, çerez yönetiminin sadece teknik değil, aynı zamanda uyum (compliance) konusu olduğunu net biçimde göstermektedir.

***

Çerezler, dijital dünyanın vazgeçilmez bir parçası hâline gelmiş olsa da, hukuki boyutu göz ardı edilemeyecek kadar önemlidir. İnternet sitesi sahiplerinin, hangi çerezleri hangi hukuki sebebe dayanarak kullandıklarını açıkça belirlemeleri; kullanıcıları şeffaf biçimde bilgilendirmeleri ve gerekli hâllerde geçerli açık rıza almaları büyük önem taşımaktadır. Aksi hâlde, basit görünen bir çerez uygulaması ciddi hukuki risklere yol açabilir.