Elektronik haberleşme hizmeti sunan işletmeciler, hem 5809 sayılı Elektronik Haberleşme Kanunu (EHK) hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki yükümlülükleri uyarınca, internet sitelerinde kullandıkları çerezler (cookie) vasıtasıyla işledikleri kişisel veriler konusunda özel dikkat göstermelidir.
EHK’nın 4. maddesinde yer alan tanıma göre işletmeciler yapılan yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketlerdir. Dolayısıyla veri işleyen bu hizmeti sunan ve/veya ilgili şirketlerden biri ise sadece KVKK bazında ilerlenmeyecek EHK kapsamında da uyumun sağlanmasına dikkat edilmesi gerekecektir.
Bu kapsamda işbu yazıda, çerez kullanımı özelinde hangi durumlarda açık rıza gerekeceği, ne zaman rıza aranmaksızın işlem yapılabileceği ve temel uyum çerçevesi genel hatlarıyla açıklanacaktır.
Açık Rıza Gerekmeyen Durumlar
Her çerez için açık rıza almak zorunlu değildir. Ancak bu istisna, yalnızca belirli koşullarda ve sınırlı türdeki çerezler için geçerlidir. Bunlar, genellikle teknik gereklilik veya kullanıcının doğrudan talebiyle tetiklenen işlevler çerçevesinde değerlendirilmektedir.
Örneğin:
- Kullanıcının oturum süresince sistemde kalmasını sağlayan oturum çerezleri
- Sunucu yönlendirmesi veya bağlantı güvenliği için gerekli olan ağ çerezleri
- Dil veya görüntü ayarı gibi kullanıcının yaptığı tercihi hatırlayan temel işlev çerezleri
- Sepette ürünleri tutmaya yarayan oturum tabanlı saklama çerezleri
Bu tür çerezlerde genellikle KVKK’ya göre açık rıza değil, diğer hukuki işleme şartları devreye girebilmektedir.
KVKK m.5 ve m.6 Açısından Değerlendirme
Bir çerez vasıtasıyla kişisel veri işleniyorsa ve bu işlem açık rıza dışında yürütülecekse, veri sorumlusunun bu durumu KVKK’nın ‘Kişisel Verilerin İşlenme Şartları’ başlıklı 5. Maddesi ve ‘Özel Nitelikli Kişisel Verilerin İşlenme Şartları’ başlıklı 6. maddesi kapsamında durumun itinayla değerlendirmesi gerekir.
Bazı örnek senaryolarla açıklayalım, şartlara göre:
- Kimlik doğrulama amacıyla kullanılan bir oturum çerezi, m.5/2-(c): Bir sözleşmenin kurulması veya ifası için zorunlu olması kapsamında değerlendirilebilir.
- Sunucu yönlendirmesi sağlayan teknik çerezler, m.5/2-(e): Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması gerekçesine dayanabilir.
- Kullanıcının tercih ettiği dilin hatırlanması, bazı durumlarda yine m.5/2-(c)’ye girse de bu yorum, her sistemin kendi teknik yapısına göre değişebilir.
Özel nitelikli kişisel veri içeren çerezler (örneğin sağlık temalı uygulamalarda davranışsal veriler toplayan analiz çerezleri) söz konusuysa, KVKK m.6’ya göre açık rıza istisnası çok daha sınırlı yorumlanabilir.
Buradaki önemli nokta: Aynı çerez türünün, farklı sektörlerde farklı şekilde yorumlanabiliyor olmasıdır. Dolayısıyla her sistem, kendi amacı, tekniği ve hizmet modeli çerçevesinde ayrı değerlendirilmelidir.
Her Durum Özelinde Titiz Analiz Şart
Çerez kullanımı konusunda genel geçer kalıplarla hareket etmek çoğu zaman yanıltıcı olabilir. Teknik olarak benzer işlev gören iki çerez, farklı sistemlerde farklı hukuki anlamlar taşıyabilir. Bu yüzden:
- Kullanılan çerezlerin amacı, süresi ve işlevi net şekilde tanımlanmalı
- Açık rıza gerekip gerekmediği yalnızca isim veya kategoriye göre değil, işlev ve kullanım bağlamına göre belirlenmeli
- Tüm değerlendirme süreci sektör, hizmet modeli ve altyapı gibi unsurlar dikkate alınarak yapılmalıdır
Özetle, “bu çerez her yerde zorunludur” ya da “bu çerez rıza gerektirmez” gibi keskin çıkarımlar yapmak yerine, her veri sorumlusunun kendi sistemini detaylı analiz ederek sonuca ulaşması en sağlıklı yoldur.
İşbu yazı sadece genel bilgilendirme amacı ile hazırlanmış olup, bu yazı içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. Yazı kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir. İşbu yazı içeriğinden dolayı herhangi bir şekilde MT Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir.