Çerezler Hakkında Hukuki Değerlendirme

“Bu siteyi kullanarak tüm çerezleri kabul etmiş sayılırsınız!”

Pek çok web sitesinde görmeye başladığımız ve hukuki bir uyarı gibi görünen bir popunder metnini kanıksadık: “Bu siteyi kullanarak tüm çerezleri kabul etmiş sayılırsınız”. Peki gerçekten nedir bu çerezler? Yalnızca internet kullanımı deneyimimizi mi iyileştiriyor yoksa mahremiyetimize bir saldırı mı? Web sitelerinin bizi çerezlerle izlemesi hukuka uygun mu? Yazıda bu soruların cevaplarını vermeye çalıştım.

 

Nedir Bu “Çerez”?

Web’de çerez etkinlikleri ile en fazla veri toplayan şirketlerden biri Google. Google çerezleri şöyle tanımlıyor:

Çerezler, ziyaret ettiğiniz web siteleri tarafından oluşturulan dosyalardır. Çerezler göz atma bilgilerini kaydederek çevrimiçi deneyiminizi daha kolay hale getirir. Çerezler sayesinde siteler oturumunuzu açık tutabilir, site tercihlerinizi hatırlayabilir ve size yerel olarak alakalı içerik sunabilir.

İki tür çerez vardır: 

  • Birinci taraf çerezleri ziyaret ettiğiniz site tarafından oluşturulur. Site, adres çubuğunda gösterilir.
  • Üçüncü taraf çerezleri diğer siteler tarafından oluşturulur. Bu siteler, ziyaret ettiğiniz web sayfasında gördüğünüz reklam veya resim gibi içeriğin bir kısmına sahiptir.

Çerezler ilk defa 1994 yılında Netscape tarafından bir kullanıcının girdiği siteye, tekrar girip girmediğini kontrol etmek amacıyla kullanılmıştır[1]. Öncelikle belirtmek gerekir ki teknik olarak bir web sitesinin çalışabilmesi için çerez kullanımına ihtiyaç bulunmamaktadır. Web siteleri çerezlere yazıp kullanıcısının cihazına kaydettiği bilgileri pekâlâ kendi veri tabanına da kaydedip işleyebilir. Ancak pratikte kullanım kolaylığı ve çok yönlü bir bilgi yönetim aracı olarak kullanılabilir. Bu sebeple “zorunlu çerez” diye bir gerçeklik bulunmamasına rağmen, belli şartlarla çerez kullanımının ve bu isimlendirmenin anlaşılabilir nitelikte olduğu kanaatindeyim.

Çerezlerin temel amacı girilen web sitelerinin girenleri bir şekilde ‘tanımasıdır’. Aslında web deneyiminin iyileştirilmesi için oldukça verimli araçlardır. Ziyaret ettiğiniz web sitesinde gezinirken site içi bir linke tıklayıp sayfa değiştirdiğinizde, web sitesi sizin hala aynı kullanıcı olduğunuzu web sitesinin bilgisayarınıza yerleştirdiği dosyanın aynı siteye geri gönderilmesi yolu ile anlar. Ki bu bir e-ticaret sitesinde alışveriş yaparken sepetinize farklı sayfalardan ürünler eklerken önceki ürünleri hatırlamak veya giriş yaptığınız web sitesinde her tıklamada yeniden kullanıcı girişi yapmadan gezinmek gibi temel kullanımlar için oldukça verimlidir. Ancak bir siteyi ziyaret ettiğinizde bilgisayarınıza yalnızca o sitenin ürettiği (birinci taraf) çerezler kaydolmayabilir. Web sitesi ile anlaşma imzalayan bir üçüncü web sitesi sizin etkinliklerinizi ölçmek amacı ile hiç girmediğiniz web sitelerinin dosyalarını bilgisayarınıza kaydedip her hareketinizde bu kayıtlı bilgileri üçüncü tarafa gönderir, böylece webdeki davranışlarınızdan hakkınızda daha fazla bilgi edinmeyi amaçlar. Bu tanıma işleminin ticari olarak en yaygın kullanımı davranışsal reklamcılıktır.

Her ne kadar sizi tanıyan ve yalnızca ilgilendiğiniz içerikleri, ürünleri ve reklamları karşınıza çıkaran bir internet sizi mutlu etse de bu durumun ciddi mahremiyet sorunlarına yol açtığını belirtmek gerekir. Kanlı canlı bir insanın sürekli ve her anınızda sizi izleyip sizi mutlu edecek şeyleri önünüze getirdiğini hayal edin. Başta her işi sizin yerinize yapan birilerin olması size ne kadar iyi hissettirse de her anınızda tepenizde bir çift göz görmek oldukça tedirgin edici olabilir.

 

Çerezlerin Sınıflandırılması

Çerezlerin pek çok kategorizasyona tabi tutulsa da en yaygın ayrım; saklanma süresine, kaynağına ve amacına göre yapılan ayrımdır. Aşağıda bu ayrımlara göre çerez türlerini görebilirsiniz:

 

Saklanma Süresine Göre

Oturum Çerezleri: Bu çerezler oturumunuz süresince tutulup, oturumunuz sona erdiğinde (veya tarayıcınızı kapattığınızda) kendiliğinden silinir.

Kalıcı Çerezler: Bu çerezlerin bir son kullanım tarihi olabilir. Yoksa siz veya tarayıcınız silene kadar cihazınızda tutulmaya devam eder.

 

Kaynağına Göre

Birinci Taraf Çerezleri: Adından da anlaşılacağı gibi, birinci taraf çerezleri doğrudan ziyaret ettiğiniz web sitesi tarafından cihazınıza yerleştirilir.

Üçüncü Taraf Çerezleri: Bunlar, ziyaret ettiğiniz web sitesi tarafından değil, Google, Facebook veya Yandex gibi üçüncü bir taraf tarafından cihazınıza yerleştirilen çerezlerdir.

 

Amacına Göre

Kesinlikle Gerekli Çerezler: Bu çerezler, web sitesine göz atmanız ve sitenin güvenli alanlarına erişme gibi özelliklerini kullanmanız için gereklidir. E-ticaret sitelerinde ürünlerinizi sepetinizde tutmalarına izin veren çerezler, kesinlikle gerekli çerezlere bir örnektir. Buradaki kıstas web sitesi tarafından verilen temel hizmeti kullanmak için çerezlerde saklanması gereken minimum bilgidir.

Tercih/İşlevsellik Çerezleri: Bu çerezler, bir web sitesinin geçmişte yaptığınız seçimlerin uzun süre web sitesi tarafından hatırlanmasını sağlar. Hangi dili tercih ettiğiniz, saat dilimini bildirmek istediğiniz bölge veya kullanıcı adınız ve şifrenizin ne olduğunun çerezlere kaydedilerek hatırlanması ve bir sonraki girişinizde web sitesine gönderilmesini sağlayarak siteye otomatik olarak giriş yapabilme gibi pek çok işlevselliği kazandırmayı amaçlar.

İstatistik/Performans Çerezleri: Bu çerezler, bir web sitesini nasıl kullandığınız, hangi sayfaları ziyaret ettiğiniz, ne tür aramalar yaptığınız veya hangi bağlantılara tıkladığınız hakkında bilgi toplar.  Daha çok anonim veri toplanıyor gibi görünse de bu çerezler ile kullanıcıların web sitesindeki fare imleci hareketlerinden, fare tekerleğini kaç defa yukarı aşağı oynattığına kadar pek çok hareketi izlenebilir. Bu çerezler genellikle büyük veri toplayan üçüncü taraflarca yerleştirilir (ör. Google Analytics). Bu üçüncü taraflar pek çok web sitesinden gelen veriler birleştirilerek kullanıcı ile ilgili tahmin edilemez analizlere sahip olunabilir.

Pazarlama Çerezleri: Bu çerezler, reklamverenlerin daha ilgili reklamlar yayınlamasına yardımcı olmak veya bir reklamı kaç kez gördüğünüzü ve bunlara karşı reaksiyonunuzu takip etmek için çevrimiçi etkinliğinizi izler. Bu çerezler, bu bilgileri diğer kuruluşlarla veya reklamverenlerle paylaşabilir. Bunlar kalıcı çerezlerdir ve neredeyse her zaman üçüncü taraf çerezleridir.

 

Web sitesinin düzgün çalışması için zorunlu olan birinci taraf çerezleri girdiğiniz web sitesine ait olup bu web sitesi tarafından cihazınıza yerleştirilir. Bu çerezler, giriş kimliğinin doğrulanmasını, oturum kapanmadan bir sayfadan diğerine geçilebilmesini, birden fazla işlemi yapılabilmesini, kısaca web sitesinin kullanım amacına uygun çalışmasını sağlar. Bu çerezlerin birçoğu yalnızca oturum süresince bilgisayarınızda tutulup, oturum sonlandığında kendiliğinden silinir. Bazen veri işleme amaç ve vasıtalarını web sitesi sahibinin belirlemesi şartıyla üçüncü taraflardan alınan hizmetlerde üçüncü taraf çerezi kullanılabilir. Ancak bu üçüncü tarafın yurt dışında bulunması aşağıda belirtilecek sorunlara yol açabilir.

Bazı çerezler web sitesi ile üçüncü bir kişinin anlaşması doğrultusunda kullanıcının bilgisayarına üçüncü kişinin çerezlerini kaydedip, kullanıcının kişiselleştirme, analitik, hedef reklamcılık ve daha bir çok çerez ile üçüncü kişi tarafından takibini sağlar. Bu üçüncü kişi çerezlerinden en sık kullanılanları öngörülebileceği üzere Google, Facebook ve Yandex çerezleridir. Örneğin Google, Facebook veya Yandex, dünyadaki milyarlarca kullanıcının bilgisayarlarına (kişiler hiç Google’a, Yandex’e girmese dahi) yerleştirdiği çerezlerle kişileri analiz eder, tüm sitelerden gelen çerez bilgilerini eşleştirir, onlar hakkında profil oluşturur, kimin hangi siteden çıkıp hangi siteye gittiğini, günün hangi saatinde ne tür içeriklerle ilgilendiğini ve daha birçok bilgisini işleyebilir. Bunların birçoğunu kendi kullanıcısının bilgisayarına bu çerezi yerleştiren web sitesine vermez. Bunun yerine profilini çıkardığı kişiyi etkileyebilecek tüm reklamları gösterme ya da kişinin kişisel alışkanlıkları ile onu manipüle edebilecek içerikler gösterme gücüne sahip olur. Bu güç, reklam ve istatistiklere ve ürünlerin satış gelirine dönüştürülür.

Ayrıca belirtmek gerekir ki; gizlilik regülasyonlarının yaygınlaşması, çerezlerden elde edilen faydanın azalmasına neden olacağından, içeriğe dayalı hedeflemenin (contextual targeting[2]) yeniden önem kazanacağı ve web sitelerinin içerikleri ile uyumlu reklam göstermeye başlayacakları öngörülmektedir[3].

 

Google Chrome mahremiyeti ihlal ediyor mu?

Acaba dünyadaki neredeyse 4,5 milyar internet kullanıcısından kaç tanesi çerezlerin ne demek olduğunu, nasıl çalıştığını, hangi verilerinin kim tarafından ne amaçla işlendiğini biliyordur?

Dünyanın %57 ile en çok kullanılan web tarayıcısı[4] olan Google Chrome, kullanıcılar tarafından cihazlarına yüklendiğinde indirildiğinde tüm çerezleri varsayılan olarak kabul edilmiş olarak geliyor. Yani çerezler için açık rıza alınmıyor veya bir çeşit hizmet şartı haline geliyor. Olan bitenden bihaber kullanıcılar, web sitelerine ve büyük veri analiz şirketlerine yığınla kişisel verisini aktarmak zorunda kalıyor. Kullanıcılar ise Google’ın “ücretsiz” servislerinden oldukça memnun(!)

Her ne kadar güncel bir çalışma olmasa da 2012 yılında Türkiye’de yapılan bir araştırmaya[5] göre web sitesi kullanıcılarının %8’i üçüncü taraf çerezlerini kapatırken, %92’si bu konuya ilişkin bir reaksiyon almış değil. Bu verilerin genel itibariyle kullanıcıların bilgisi dışında alındığı, hangi bilgilerinin toplandığı veya aleyhine ne gibi sonuçlar doğuracağı konusunda yeterince bilgilendirilmediği rahatlıkla söylenebilir.

Tüm çerezlerin tarayıcıda varsayılan olarak kabul edilmiş olarak gelmesi, kullanıcılar farkında bile olmadan cihazlarına sürekli veri yerleştirilmesine, veri çekilmesine, tüm hareketlerinin her web sitesine kaydedilmesine ve girdiği web siteleri tarafından üçüncü partilere gönderilmesine yol açar.

Google Chrome’un açık kaynak kodlu projesi Chromium’un blog sayfasında 14.01.2020 tarihinde yapılan bir açıklamaya[6] göre özetle Chrome’daki üçüncü taraf çerezleri için desteği iki yıl içinde aşamalı olarak kaldırmayı planladıklarını, ancak bunu reklamverenlerin de dahil olduğu ekosistemin desteği ile gerçekleştirebilecekleri belirtiliyor. Ancak aynı açıklamada bazı diğer tarayıcıların üçüncü parti çerezlerini engellemesinin ekosistemi ve kullanıcıları olumsuz etkilediği belirtiliyor. Burada desteği kesmekten kasıt web sitelerinin üçüncü parti çerezleri kullanıcının cihazına kaydetmek için izin istemek zorunda kalmasıdır. Yani Chrome mahremiyet ve kişisel verilerin korunması konusunda henüz ciddi bir adım atılmış değil.

 

AB Hukuku Çerezleri Nasıl Değerlendiriyor?

2018’de yürürlüğe giren GDPR (Genel Veri Koruma Tüzüğü) ve biraz daha yaşlı sayılan EPD (e-Gizlilik Direktifi) çerezler vasıtası ile işlenen verileri düzenliyor. Ancak kişisel verilerin korunmasını pek çok yönden düzenleyen GDPR’da temel maddelerin dışında yalnızca bir yerde[7] açıkça çerezlerden bahsediliyor. Ancak çerezler için diğer kişisel verilerin işlenmesinden farklı bir prosedür öngörülmüyor. 2002’de yürürlüğe girerek 2009’da güncellenen e-Gizlilik Direktifi ise daha çok ticari iletişimi düzenliyor ve çerezlerin kullanımında kullanıcıları yeterince aydınlatan ve gerekli olanlar dışında reddetme imkanını sunan yapılar bulunması gerektiğini vurguluyor.

Genel anlamda değerlendirildiğinde GDPR ve EPD’ye uygun çerez kullanımı için, veri sorumlularının kesinlikle gerekli çerezler dışında herhangi bir çerez kullanmadan önce kullanıcıların onayını alması, her bir çerezin izlediği veriler ve izin alınmadan önce sade bir dille amacı hakkında doğru ve spesifik bilgiler sağlaması, kullanıcı belirli çerezlerin kullanımına izin vermese dahi kullanıcıların hizmetinize erişmesine izin vermeleri ve kullanıcıların, rızalarını verdikleri gibi geri almalarını da kolaylaştırmaları öngörülüyor.

Avrupa Adalet Divanının 1 Ekim 2019 tarihli kararında[8], önceden işaretli olarak gelen onay kutusu ile çerez kullanımı için alınan rızanın geçersiz olduğuna karar verdi. 2013 yılında bir çevrimiçi çekiliş yapan bir web sitesine karşı bir Alman tüketici grubunun dava açtı. Planet49 adlı şirket, kullanıcıların çevrimiçi bir çekiliş için giriş sayfasındaki çerezleri kabul ettiğini doğrulayan kutuyu önceden işaretli olarak (opt-out) sunuyordu. Çerezlere onay vermek, yarışmaya katılmak için zorunlu değildi, ancak bir kullanıcı tarafından seçilmediği halde, onay seçeneği önceden seçili olarak geliyordu. Davacı STK, bunun yasadışı olduğunu savundu. Sonuç olarak yüksek mahkeme; önceden işaretlenmiş seçim kutucuğunda alınan rızanın geçerli olmadığına, çerezlerin son kullanma tarihi ile hangi üçüncü taraflarla paylaşılacağının rıza alınırken kullanıcılara açıklanması gerektiğine, farklı amaçlar için alınacak rızanın aynı soru altında toplanmaması gerektiğine, rızanın geçerli olması için niyetini açıkça belirtilmesi ve özgür bir irade ile aktif bir davranış gerektiğine hükmetti.

İspanya Veri Koruma Otoritesinin 17.10.2019 tarihli kararında[9] ise bir web sitesinde çerezler kullanıldığını ve kullanıcıların siteyi kullanmaya devam ederek çerezler yolu ile kişisel verilerinin işlenmesine onay vermiş sayılacağını belirten uyarısının açık rızanın şartlarını taşımadığı, kullanıcının çerez yönetimi bölümünde çerezleri reddedemediği ve burada sadece tarayıcı ayarlarına yönlendirildiği belirtilerek, çerezler yolu ile kişisel verileri hukuka aykırı olarak işleyen veri sorumlusuna 30.000 Euro para cezası uygulanmasına karar verildi.

Belçika Veri Koruma Otoritesi 17.12.2019 tarihli kararında[10], çerez kullanımı ile işlenen kişisel veriler konusunda çıtayı bir miktar daha yükseltti. Karara göre, web sitesinde kullanılan çerezlerle ilgili daha fazla bilgi verilmeliydi. Kullanılan çerezlerin listesi, amaçları, kullanım ömürleri ve aktarılan üçüncü tarafların listesi sunulup kullanıcılar bilgilendirilmeliydi. Ayrıca web sitesi Fransızca ve Hollandaca konuşan kullanıcıları hedeflemesine rağmen çerez politikası yalnızca İngilizce olarak sunuluyordu. Web sitesi, belirli çerez türleri için herhangi bir devre dışı bırakma seçeneği sunmamıştı. Web sitesinin geliştirilmiş bir sürümü onay toplasa da elde edilen onay kayıtları yeterince ayrıntılı değildi, yani kullanıcılar farklı çerez kategorilerine (örn. İstatistiksel, pazarlama, işlevsel); kullanıcıların ilk verildiğinde onayı geri çekmesinin kolay bir yolu yoktu. Tüm bu sebeplerle görece küçük[11] web sitesi sahibi veri sorumlusunun 15 bin Euro para cezası ile cezalandırılmasına karar verildi.

 

KVKK’ya Göre Çerezlerle Veri İşleme Faaliyeti Nasıl Değerlendirilir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), kişisel veriyi kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamıştır. Buradan yola çıkarak bir kullanıcının web sitesindeki çevrimiçi tanımlayıcılar ile buradaki her türlü davranış kaydı tartışmasız kişisel veridir.

Kişisel verilerin işlenmesi ise kabaca bu veriler üzerinde gerçekleşecek her türlü işlemdir. Yani kullanıcıyı belirlenebilir kılan her türlü veri ile davranış bilgisinin, web sitesi tarafından tarayıcı vasıtası ile cihaza kaydedilmesi, akabinde bu bilgilerin kullanıcı bilgisayarından birinci veya üçüncü taraf sunucularına gönderilmesi sureti ile veri sorumluları tarafından elde edilmesi işlemleri kişisel veri işleme işlemidir.

Kişisel veriler, ancak Kanun’un 5. Maddesinde belirtilen işleme şartlarının varlığında işlenebilir. Bu şartların yokluğunda kişisel verilerin hukuka aykırı olarak işlendiğinden bahsedilebilir. Web sitesi tarafından verilen hizmetin niteliğine göre, sitenin düzgün çalışması için zorunlu olan temel çerezler işleme sebeplerinden sözleşmenin[12] ifası ile doğrudan ilgili olması veya veri sorumlusunun meşru menfaatleri için zorunlu olması sebepleri ile işlenebilir. Ancak web sitesinin temel özelliklerinin kullanımı için zorunlu olmayan herhangi bir çerezin bu sebeplere dayanılarak işlenmesi mümkün değildir. İşlevsellik, analitik ve özellikle reklam çerezlerinin bu sebeplere dayanılarak kullanılamayacağı, bu çerezler vasıtası ile işlenecek verilerin ancak Kanun’un 5/1. Fıkrasında belirtilen –ve şartları sağlanan- açık rıza ile işlenebileceği söylenebilir.

Kanun’un 4. Maddesinde kişisel verilerin işlenmesinde uyulacak ilkeler açıkça belirtilmiştir. Buna göre özellikle belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri çerezler ile işlenebilecek kişisel verilerin sınırını da çizmektedir. Yani kullanıcının pek çok bilgisinin çerezler vasıtası ile amaçsızca toplanıp ‘ileride lazım olur’ anlayışı ile işlenmesi mümkün olmadığı gibi, istenen amaç için gerekenden fazla bilgi toplanması –açık rıza alınsa dahi- hukuka aykırı bir işleme olacaktır. Örneğin, bir haber sitesinin, kullanıcılarının cihazına yerleştirdiği çerezler vasıtası ile ilgilendiği haber içeriklerini pek çok parametre kullanarak analiz edip özel nitelikli “siyasi görüşünü” veya “dinini” tespit etmeye çalışması ölçülü bir işleme faaliyeti olmayacaktır. Bunun tam aksine ana iştigal konusu e-ticaret olan bir web sitesinin kullanıcıların ne kadarının sepete ürün eklediklerini, ne kadarının hangi aşamaya kadar gelip, ne kadarının hangi aşamada ürünü almadan siteyi terk ettiği gibi analitik verileri kullanıcıları yeterince bilgilendirerek açık rıza ile toplamasının ölçülü olacağı kanaatindeyim.

Kanun’un 10. maddesi uyarınca, web sitelerinin kullanıcılarının cihazlarına yerleştirdiği çerezler ile pixel tracking dahil web sitesi kapsamında veri toplamak amacıyla kullanılan tüm araçlarla ilgili kullanıcıları bilgilendirmesi gerekmektedir. Bu bilgilendirmeyi kısmen de olsa gerçekleştiren hemen her site bunu “çerez politikası” adı verilen yöntemlerle gerçekleştirmektedir. Peki çerez politikaları 6698 sayılı Kanun’un neresinde yer almaktadır?

 

“Çerez politikası” teknik olarak “aydınlatma metni” midir?

Son zamanlarda, veri sorumlularının kişisel verileri koruma konusundaki pek çok metnine bir şekilde “politika” adını verdiği söylenebilir. Gizlilik politikası, kişisel verileri koruma politikası, çerez politikası, saklama ve imha politikası gibi ifadeleri artık görmeye alıştık. Ancak metinlerin adı ile ifade edilmek istenen şeyin her zaman aynı olmadığını görmek için ciddi bir çaba gerekmiyor.

Öncelikle “Politika” kelimesi, veri koruma düzenlemelerinde ifade edildiği hali ile genel olarak; “1. Belirlenen amaç veya hedeflere ulaşmaya yönelik karar ve eylemler bütünü. 2. Yöneticilerin karar vermelerinde rehberlik eden ilke ve ilkeler dizisi. 3. Örgütün etkinliklerinin yerine getirilmesinde iş görme yol gösteren davranış planı, uygulamalar. 4. Karar vermeye ve kişilerin eylemlerine veya etkili işleme yönelecek düşünceye ışık tutan genel rehberler.” Gibi anlamlar ifade ediyor. Yani bir sürecin, bir organizasyon tarafından nasıl yönetileceğine ilişkin bir ‘iç rehber’ niteliğinde. Bu tanım GDPR’da geçtiği her yerde bu anlamda kullanıldığı gibi ne içerdiği kurallardan ne de semantik yorumundan ‘kişileri bilgilendirme amacı taşıyan metin’ anlamı çıkmayacaktır.

Yukarıda açıklandığı üzere sicile kaydolmakla yükümlü veri sorumlularının yasal olarak hazırlamak durumunda olduğu kişisel veri saklama ve imha politikası olduğu gibi yasal olarak zorunlu olmadığı halde kişisel veri işleme politikası, bilgi güvenliği politikası veya çerez politikası gibi metinler, veri sorumlularının belirtilen konularda iç bünyelerinde alacakları aksiyonları önceden belirledikleri prosedürlerle yürütmesi bakımından önemlidir. Ancak bu metinlerin –saklama ve imha politikası dahil- hiçbirinin ilgili kişiler ile paylaşılması veya kamuya açılması yasal gereklilik olmadığı gibi, bu alenileştirme bazı durumlarda bilgi güvenliği açısından tehlikeli bile olabilir.

Açıklandığı üzere çerez politikası da ancak veri sorumlularının çerez yönetimi açısından bir iç düzenleme olabilecektir. Web sitelerinde sıklıkla görmeye başladığımız çerez politikalarının paylaşımı, esasında Kanun’un 10. Maddesinde belirtilen aydınlatma yükümlülüğünün ifası için zorunluymuş gibi bir algı yaratılmıştır. Bununla birlikte bu çerez politikalarının hemen hiçbiri Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ[13] (Usul Tebliği) hükümlerine uygun olarak üretilmemektedir. Genellikle ABD’deki web sitelerinden alınan metinlerin kötü birer tercümesi, uyduruk bir ‘Privacy Policy Generator’ çıktısı veya işlenen veriler hakkında hiç bir bilgi içermeyip çerez türlerini anlatan kopyala-yapıştır metinler kullanılmaktadır. Bu durum GDPR’a tabi Avrupa uygulamasında da pek farklı değildir.

Bir yanlışın genelleşmesi onu doğru yapmayacaktır. Veri koruma otoritelerinin de konuya en az veri sorumluları kadar uzak olması müteselsil hataları beraberinde getirmektedir.

Avrupa da olduğu gibi Türk veri koruma mevzuatına göre aydınlatma yükümlülüğünün net çizilmiş şekil şartları bulunmamaktadır. Buradan bakılınca asgari zorunlulukları içeren bir ‘aydınlatma metni’nin adının ‘Çerez Politikası’ olması da hukuka aykırı değildir. Veri sorumlusu, Kanun’a ve usul tebliğine göre bilgilendirme yaptığı sürece bilgilendirmenin şekli[14] ve adının ne olduğunun pek önemi bulunmamaktadır. Ancak usul tebliğinin 5/1-g,ğ ve j[15] bendlerinde  belirtilen şartları sağlayan çerez politikası pek az olduğu gibi, yalnızca başlığının politika olması dahi ilgili kişilere hitap etmeyen bir metin olduğundan yanıltıcı nitelikte olduğu kanaatindeyim.

Çerezler vasıtası ile kişisel veri işleme işlemleri genellikle ilgili kişilere görünmezdir. Yani kişiler verilerinin hangi amaçlarla işlendiğini görebilse de bunların içine hangi verilerinin girdiğini, internet üzerindeki hangi hareketlerinin nasıl raporlara dönüştüğü konusunda çoğu zaman bilgi sahibi değildirler. Bu sebeple, web sitelerinin kavramsal olarak hatalı olsa da adı ister ‘çerez politikası’ olsun ister başka bir şey, web sitelerini ziyaret eden ilgili kişilerin çerez dışı yollarla topladığı kişisel veriler hakkında ilgili kişileri bilgilendirdiği ‘Aydınlatma Metni’nin içeriğinden, çerezler yolu ile işlenen kişisel verilerin de temel olarak anlaşılabilmesi gerektiği kanısındayım.

Bir kişisel verinin çerezler vasıtası ile veya başka bir yolla elde edilmesi, bunların farklı bilgilendirmelerle sunulmasını gerektirmez. Aksine, ilgili kişiyi tek bir faaliyeti için çok sayıda metine boğmak aydınlatmanın amacı ile bağdaşmayacaktır. Bu bakış açısı ile aynı ortamda verilerin elde edildiği her teknoloji için ayrı bir bilgilendirme gerekecektir ki, bu durum aydınlatmanın amacı ile bağdaşmamaktadır. Bu bağlamda çerezler ile ilgili bilgilendirme yükümlülüğünün pixel tracking[19], browser local storage, mobil reklam tanımlayıcıları (idfa, aaid gibi) pek çok elde etme yöntemi için de uygulanması gerekir.

Gerçekleştirilecek aydınlatmalarda alıcı grupları da belirtilerek aktarım hakkında bilgi verilmesi kaçınılmazdır. Ancak web sitelerinin ciddi bir çoğunluğunun üçüncü parti çerezlerle donatıldığı günümüzde web sitesine girenlerin cihazlarına kaydedilen üçüncü parti çerezleri ile veri aktarımından web sitesi sahipleri sorumlu mudur?

 

Üçüncü Taraf Çerezlerinin Kullanımı Veri Aktarımı Mıdır?

2015’te yayınlanan bir araştırmaya[16] göre internet üzerinde en çok trafik alan ilk 10.000 web sitesinin %69,5’u, ilk 100.000’in ise %67,9’u Google’ın Analytics çerezlerini kullanıyor. Google’ın hedef reklamcılık için kullandığı çerezlerin dışında sadece ‘kullanıcıların en çok hangi sayfayı görüntülediği’ gibi dışarıdan bakınca sayısal anonim veriler topluyormuş gibi görünen Google Analytics ile kullanıcılar işaretlenerek sayfalardaki her türlü hareketi işlenebiliyor. Google bu çerezleri web sitesine girdiğinde kullanıcının bilgisayarına yerleştirmesi için web sitesi sahipleri ile ‘harika’ bir anlaşma yapıyor: ‘sen bu çerezleri yerleştirip kullanıcının hareketlerini bana ver, ben de bunları analiz edip sana trafiğini geliştirecek müthiş bilgiler göstereyim’! Böylece standart bir internet kullanıcısı, hayatı boyunca hiç Google sitelerine girmese dahi, Google kullanıcı hakkında herkesin bildiğinden daha fazla bilgi sahibi olabiliyor. Tabi soğuk savaşı ‘big data’ ile sürdüren Rus rakibi Yandex, ülkelerdeki seçim sonuçlarını değiştiren Facebbok ve saymakla bitmeyecek pek çok veri devi benzer anlaşmalarla gözlerini bir an olsun internet kullanıcıları üzerinden ayırmıyor.

Veri devlerinin bu analizlerinin teknolojiyi inanılmaz bir hızla geliştirdiği, makine öğrenmesi için fevkalade bir veri tabanı oluşturduğu ve hatta bunun insanlığın gelişimine çok ciddi katkılar sağlayabileceği yadsınamaz bir gerçek olsa da henüz insan haklarının üstünlüğünden vaz geçmiş değiliz. 2019 itibariyle, globalde insanların günlerinin ortalama 6 saat 42 dakikasını, Türkiye’de ise 7 saat 15 dakikasını geçirdiği[17] ve dolayısı ile internette yaşadığımızı söylemenin çok da yanlış olmayacağı bir dönemde, insanların her anının ‘izinsiz’ olarak izlenmesi hukuk düzenince kabul edilemez niteliktedir.

Veri sorumlusu sıfatı ile kullanıcılarının kişisel verilerini işleyen web sitelerinin, üçüncü parti çerezlerin kullanıcılarının cihazlarına –onlara sormaksızın- yerleştirilmesine izin vermesi her ne kadar veri sorumlularının menfaatini barındırsa da, ne bu menfaatin meşru olduğu ne de kullanıcılarının temel hak ve özgürlüklerine zarar vermediği söylenebilir.

Sonuç olarak kullanıcılarının kişisel verilerini belirtilen üçüncü parti çerezleri vasıtası ile işlenmesi için Kanunun 5/2. fıkrasında belirtilen şartları sağlamadan başka veri sorumlusuna aktaran her web sitesi sahibi veri sorumlusu kullanıcısından açık rıza almak zorundadır.

Kanun’un kişisel verilerin yurt dışına aktarılmasını düzenleyen  9. Maddesi, bu faaliyetin gerçekleştirilebilmesi için veri sorumlularına üç seçenek sunmuştur: i. Açık rıza, ii. Güvenli ülke ve iii. Kurulun onayladığı taahhütname. Bu husus Kişisel Verileri Koruma Kurulu’nun 2019/157 sayılı kararında da belirtilmiştir[18]. Kanun’a göre Yurt dışına aktarımda, Kanun’un 5/2. fıkrasındaki şartlarına bakılmasa da uluslararası sözleşme hükümleri ile başka bir kanunda öngörülmesi halleri bu yasak kapsamı dışındadır. Çerez aktarımına ilişkin bir kanun hükmü veya usulüne göre yürürlüğe girmiş bir uluslararası sözleşme de bulunmadığına göre diyebiliriz ki; yurt dışındaki üçüncü parti çerez sağlayıcılarının çerezlerinin, web sitesi sahibi veri sorumlusu tarafından kullanıcının cihazına izni olmadan yerleştirilip, kullanıcının kişisel verilerinin yurt dışına aktarılması işlemi, Kurul’un tek bir güvenli ülke yayınlamadığı 2019’un sonu itibariyle, tamamen açık rızaya tabidir. Kullanıcıdan açık rıza almaksızın verilerin yurt dışına aktarılması hukuka aykırı veri işleme kapsamında, Kanun’un 9. maddesine ve dolayısıyla 12/1-a bendine aykırılık yaratacaktır.

Çerezlerin aktarımı gibi, web sitesine üçüncü tarafın piksellerini ekleyerek kullanıcı hareketlerinin takibi de aynı veri aktarım kurallarına tabi olacaktır.

Ayrıca kullanıcının girdiği web sitesine yerleştirilen üçüncü parti çerezleri ile pek çok bilgi toplanıp, bu bilgiler üçüncü parti çerez sağlayıcı tarafından çoğu zaman farklı amaçlarla da işlenebildiğinden bu üçüncü tarafın da kullanıcılardan farklı amaçlar için açık rıza alması gerekliliği ile kullanıcıları aydınlatma yükümlülüğünün baki olduğunu da belirtmek gerekir.

 

Türkiye’deki web sitesi sahiplerinin çerez kullanımından hukuki ve cezai sorumluluğu doğar mı?

Avrupa Adalet Divanı ile İspanya Veri Koruma Otoritesinin kararları ile Kişisel Verileri Koruma Kurulu’nun “açık rıza” ile ilgili şu ana kadar yayınladığı kararlar da göz önüne alındığında, web sitelerinde sıklıkla görmeye alıştığımız “Bu siteyi kullanarak tüm çerezleri kabul etmiş sayılırsınız” ifadesinin açık rızanın üç temel şartından hiçbirini karşılamadığı söylenebilir.

Yukarıda ayrıntıları ile açıklandığı üzere, başta hukuka aykırı olarak verileri yurt dışına aktarma faaliyeti olmak üzere kullanıcının açık rızası olmaksızın çerezler vasıtası ile takip bilgileri toplanması; veri sorumlusuna, kişisel verilerinin işlenmesi nedeniyle Kanunun 12/1-a bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığından bahisle Kurul tarafından Kanunun 18/1-b maddesine göre idari para cezası uygulanmasına yol açabilir. Ayrıca ilgili kişilerin kişilik haklarının ihlal edilmesi sureti ile talep edebilecekleri bir tazminat da Kanun’un 11. Maddesine öngörülmüştür.

Çerezler ile hukuka aykırı kişisel veri işlemelerin Kurul’un keseceği idari para cezası ve ilgili kişilerin hak ihlalleri sonucu doğacak tazminat sorumlulukları dışında cezai sorumluluğun doğabileceğini de belirtmek gerekmektedir.

Kişisel verilerin hukuka aykırı olarak kaydedilmesi (5237s.lı TCK Md.135) ile kişisel verilerin hukuka aykırı olarak –yurt içine veya yurt dışına- aktarılması (5237s.lı TCK Md.136) hususları 5237 sayılı Türk Ceza Kanunu’nda da suç fiili olarak düzenlenmiştir. Bu hükümlerdeki “hukuka aykırılık” unsuru mevzu hukuktaki 6698 sayılı Kişisel Verilerin Korunması Kanun’una göre tespit edilecektir.

Ayrıca, kişilerin rızası ve hatta pek çok zaman yeteri kadar bilgisi olmaksızın cihazlarına çerez yerleştirilmesi, bilişim sistemine veri yerleştirme ve var olan veriyi başka bir yere gönderme olarak değerlendirilebilir. Bu husus 5237 sayılı Türk Ceza Kanunu’nun 244. Maddesinin 2. Fıkrasında bir suç fiili olarak düzenlenmiştir:

(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.

Burada, kişilerin rızası olmaksızın gerekmediği halde bilişim sistemlerine yerleştirilen ve bir metin dosyası, yani veri niteliği haiz olan çerezlerin hukuka aykırı kullanımının bu suçun meydana gelmesine yol açabileceğini de tartışmak gerekmektedir.

 

Sonuç

Kişisel verilerin korunması, kişilerin özel hayatının gizliliğini koruduğu kadar teknolojinin akıl almaz bir hızla gelişip, tarih boyunca üretmediğimiz kadar veri üretip işlediğimiz günümüzde kişilerin maddi ve manevi varlığını koruma hakkını da korur. Kişilerin duyguları ile özgür seçimlerini güvence altına alan liberal sistemlerin işlerliği bu hakların korunmaya devam etmesi ile mümkündür. Kişilerin bilgileri, duyguları ve isteklerini bilmek bu kişilerin iradelerini manipüle ederek seçimlerine müdahalenin kapısını aralar.

Çerezler özelinde kişisel verilerin korunması hakkının zedelenmesine hukuk düzeninin sessiz kalmaması gerektiğini ve tüm veri sorumlularının aynı bilinç ile kısa vadeli ticari kaygılarını bir tarafa bırakarak bu konuda özenli davranmaları gerektiği umuyorum.

 

“Bize bedava bilgi, hizmet ve eğlence sunarak ilgimizi çekiyor sonra da bu ilgiyi reklamcılara satıyorlar. Ama muhtemelen veri devlerinin eski ilgi tüccarlarından çok daha büyük hedefleri var. Esas işleri kesinlikle reklam satmak değil. İlgimizi çekerek hakkımızda aşırı miktarda veri toplamayı başarıyorlar ki bu da reklamların toplam hasılatından daha değerli. Biz onların müşterisi değil mahsülüyüz.”

 Yuval Noah Harari, 21. Yüzyıl İçin 21 Ders, Türkçesi Selin Siral, Eylül 2018, Kolektif Kitap.

 

 

Dipnotlar

[1] http://www.historyofinformation.com/detail.php?id=2102 adresinden 7.11.19 tarihinde erişildi.

[2] https://clearcode.cc/blog/contextual-targeting/ adresinden 7.11.19 tarihinde erişildi.

[3] https://www.clickz.com/winter-is-coming-goodbye-cookies-hello-contextual/258274/ adresinden 25.11.19 tarihinde erişildi.

[4] https://www.w3counter.com/globalstats.php W3 Counter istatistiklerine göre 31.10.2019 itibariyle %57 ile dünyanın en çok kullanılan web tarayıcısı Google Chrome.

[5] https://webrazzi.com/2012/06/06/ucuncu-taraf-cerezleri/ adresinden 7.11.19 tarihinde erişildi. Bu araştırmaya göre test grubu olan 84.925 Internet kullanıcısının 6.932 tanesinin üçüncü taraf çerezleri kabul etmediği saptanmıştır.

[6] https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html

[7] Resital 30

Profilleme ve tanımlama için çevrimiçi tanımlayıcılar

Gerçek kişiler, cihazlarının sağladığı internet protokol adresleri, çerez tanımlayıcıları, radyo frekansı tanımlama etiketleri veya diğer tanımlayıcılar gibi uygulamalar, araçlar ve protokoller ile çevrimiçi tanımlayıcılarla ilişkilendirilebilir. Bu ilişkilendirme, özellikle benzersiz tanımlayıcılar ve sunucular tarafından alınan diğer bilgilerle birleştirildiğinde, gerçek kişilerin profillerini oluşturmak ve bunları tanımlamak için kullanılabilecek izler bırakabilir.

[8]http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=1447493adresinden 7.11.19 tarihinde erişildi.

[9] https://edpb.europa.eu/news/national-news/2019/spanish-data-protection-authority-fined-company-vueling-cookie-policy-used_en adresinden 7.11.19 tarihinde erişildi.

[10] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG_12-2019_NL.PDF

[11] Ceza alan veri sorumlusunun web sitesi, ayda yaklaşık 35.000 ziyaretçi tarafından ziyaret edilmektedir.

[12] Web sitesi kullanım üyelik/kullanım sözleşmesi. Bu sözleşmenin yazılı olmasına gerek yoktur.

[13] https://www.resmigazete.gov.tr/eskiler/2018/03/20180310-5.htm adresinden 7.11.19 tarihinde erişildi.

[14] …sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle…

[15] g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.

j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

[16] https://marketingland.com/as-google-analytics-turns-10-we-ask-how-many-websites-use-it-151892adresinden 7.11.19 tarihinde erişildi.

[17] https://wearesocial.com/blog/2019/01/digital-2019-global-internet-use-accelerates adresinden 7.11.19 tarihinde erişildi.

[18] https://www.kvkk.gov.tr/Icerik/5493/2019-157 adresinden 7.11.19 tarihinde erişildi.

[19] Pixel Tracking Nedir?

Pixel Tracking, web sitelerinin belirli yerlerine arka plan rengi ile aynı renkte işlenen, 1×1 piksel (nokta) büyüklüğünde bir görüntü dosyasıdır. Bu sebeple kullanıcılar tarafından fark edilmezler. Sayfanın farklı alanlarını inceleyen kullanıcının tarayıcısı görüntü dosyasını görür ve kullanıcının eylemini tanımlamak için ilgilenilen bölüm ile ilgili parametrelerle birlikte kullanıcının tarayıcısından sunucuya bir istek yapar. Görüntü isteğinde tarayıcı, kullanıcının herhangi bir HTTP isteğinde olduğu gibi kullanıcının etki alanına özgü çerez kimliğini iletir. Sunucu daha sonra, son kullanıcı tarafından görülmemesi gereken şeffaf 1×1 GIF görüntüsü ile yanıt verir.

İyi niyetli bir kişi tekniğe baktığında, burada kullanılan teknolojinin yalnızca görünmez bir noktanın kullanıcı tarafından yüklenilmesi ve bunu gönderen kişinin kimin o fotoğrafı indirmek istediğini bilmesinden ibaret olduğunu düşünebilir. Aslına bakarsanız pixel tracking ile kullanıcıların bir web sitesinin hangi kısımları ile daha çok ilgilendiğini, hangi içerikleri daha çok okuduğunu, hangi fotoğraflara daha uzun baktığını tespit edebiliyor. Pek çok web sitesinde bu ölçümleri yapan firmalar vasıtası ile kullanıcıların hoşlandığı kişilerden, midesini bulandıran yiyeceklere; nelerin onu mutlu edip nelerin sinirlendirdiğine, kimseye açıklamadığı ancak ilgilendiği siyasi görüşlerine, daha kendisinin bile emin olmadığı cinsel yönelimine ve hatta psikolojik rahatsızlıklarına kadar geniş bir yelpazede analizler gerçekleştirip ciddi bir doğrulukla sonuçları ortaya koyabiliyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir