Kişisel Verileri Koruma Kurulundan Çerezlere (Cookie) İlişkin İhlal Kararı
Özet
Kişisel Verileri Koruma Kurulu (“Kurul”), e-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler (cookie) aracılığıyla hukuka aykırı olarak kişisel veri işlenmesini 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) aykırı bulmuş ve 10.03.2022 tarih ve 2022/229 numaralı kararını (“Karar”) Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesinde yayınlamıştır
İlgili kişi e-ticaret sektöründe faaliyet gösteren bir şirketin (“Şirket”) uygulamakta olduğu çerez politikasının kişilerin temel hak ve özgürlüklerine müdahale etmesi, işlenen veri kategorilerinin ve veri işleme faaliyetinin kapsamının tam olarak anlaşılamaması, veri sorumlusu tarafından bilgi alama talebine karşılık yeterli bilgilendirmenin yapılmaması dolayısıyla Kurum’a şikayette bulunmuştur.
Kurul, yapmış olduğu inceleme sonucunda internet sitelerinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacağını ancak reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılması için mutlaka ilgili kişinin açık rızasının alınması gerektiğini belirtmiştir. “Kesinlikle gerekli çerezlerin”, internet sitesinin düzgün çalışması için gerekli çerezler olduğunu, bu kapsamda kişisel verilerin ilgili kişinin açık rızası bulunmaksızın KVKK md. 5/2 ve 6/3’te yer alan işleme şartlarına dayanılarak işlenebileceğini ifade etmiştir.
Kurul, Veri Sorumlusu’nun kesinlikle gerekli çerezler dışında kalan çerezler ile ilgili olarak bir açık rıza mekanizmasına sahip olmadığını, çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm internet sitelerinin yurt dışına veri aktarımında bulunduğunu, veri sorumlusunun veri işlenme şartları bakımından aydınlatma ve açık rıza yükümlülüklerini yerine getirmediğini tespit etmiştir.
Kurul, anılan aydınlatma mekanizmasının işlevselliği ve hukuka uygunluğu için internet sitesine ilgili kişileri çerez politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda kolay erişilebilirlik adına önem arz ettiğini, aydınlatma metnine çerezlere doğrudan yönlendirme sağlayan bir bağlantının eklenmesinin şart olduğunu, aydınlatma metninin KVKK md. 10’a ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olması gerektiğini ifade etmiştir. Öte yandan Karar’da çerezlerin amaçlarının gösterildiği tabloların da ilgili kişiler tarafından anlaşılabilecek şekilde düzenlenmesi gerektiğinin ve hangi kişisel verilerin hangi yöntem ile elde edildiğinin çerez politikasında açıkça belirtilmesi gerektiğinin altı çizilmiştir.
Kurum, yapmış olduğu bu incelemeler neticesinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle KVKK md. 5 ve 6’da yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştiren, KVKK md. 9’da yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veriyi yurt dışına aktaran, sayılan sebepler dolayısıyla KVKK md. 12 uyarınca veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Veri Sorumlusu Şirket hakkında 800.000 TL idari para cezası uygulanmasına karar vermiştir.
Sonuç
Kişilerin dijital platformlarda kullanım alışkanlıklarının takip edilmesi, kişiselleştirilmiş kullanıcı deneyiminin sağlanması vb. amaçlarla günümüzde oldukça yaygın olarak kullanılan internet sitesi çerezlerine ilişkin bu kararın çerezler ile ilgili pek çok noktaya açıklık getirdiğini söyleyebiliriz.
Çerezlere ilişkin olarak Avrupa genelinde yayınlanan düzenlemelerin ardından ülkemizde de çerezlere ilişkin bu denli detaylı bir karar yayınlanmış olması veri sorumluları bakımından yol gösterici olacaktır.
Kurum’un resmi internet sitesinde yayımlanmış olan karara buradan ulaşabilirsiniz.
