Kişisel Verilerin İnternet Sitesinde veya Mobil Uygulamalarda Kullanılan Çerezler Aracılığıyla Hukuka Aykırı Olarak İşlenmesi Hakkında Kurul Kararı İncelemesi

Kişisel Verilerin İnternet Sitesinde veya Mobil Uygulamalarda Kullanılan Çerezler Aracılığıyla Hukuka Aykırı Olarak İşlenmesi Hakkında Kurul Kararı İncelemesi

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) “E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hususunda vermiş olduğu 10/03/2022 tarih ve 2022/229 sayılı karar özeti web sitesinde yayınlanmıştır.

Kurul, bir internet sitesinin düzgün çalışması için zorunlu çerezler bakımından kişisel veri işleme faaliyetinin gerçekleştirilmesi için ilgili kişilerin açık rızasına gerek duyulmayacağını ancak; reklam, pazarlama ve performans amacıyla çalışan çerezlerin sadece ilgili kişinin açık rızası ile kişisel veri işleme faaliyetine konu olabileceği yönünde karar vermiştir.

Buna göre; “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli olduğundan, kesinlikle gerekli çerezler bakımından ilgili kişinin açık rızası olmaksızın 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebilecek, “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmadığı durumlarda ilgili kişinin açık rızasına başvurulması gerekecektir.

Ayrıca Kurul kararında;

• Karara konu veri sorumlusunun internet sitesinde yer alan Çerez Politikasında; “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığını, veri sorumlusunun üçüncü taraf çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğunu, ilgili kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığını,
• Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğini, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığını,
• Bununla birlikte, çerez politikası içerisinde bulunan çerez yönetimi başlığı altında internet tarayıcısının çeşidine göre çerezler hakkında bilgi edinilip izin verme veya reddetme hakkının kullanılabilmesini teminen yönlendirmelerin yapıldığının görüldüğünü,
• Ancak, Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiğini, bu durumda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiğini ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığını,

değerlendirilerek; “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması ve varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması gerekirken, açık rıza alınmayarak ihlale sebebiyet verildiği gerekçesiyle idari para cezasına  ve firma tarafından kararda belirtilen bazı hususlarda gerekli düzenlemelerin yapılmasına hükmedilmiştir.

Kararın tam metnine buradan ulaşabilirsiniz.

Konuya ilişkin daha detaylı bilgiye veya hukuki desteğe ihtiyaç duyulması halinde KT & Partners ile iletişime geçebilirsiniz.

*İşbu bilgi notu hukuki mütalaa niteliğinde değildir. KT & Partners, işbu bilgi notunda yer alan bilgilere dayanılarak gerçekleştirilen hukuki işlem ve fiillerden sorumluluk kabul etmemektedir. Her somut olayın kendine özgü olduğunu ve alanında uzman avukatlar tarafından değerlendirilmesi gerektiğini hatırlatmak isteriz.