Kişisel Verileri Koruma Kurumu (KVKK), web sitelerindeki çerez (cookie) kullanımı hakkında bir rehber yayınladı. Rehberde internet sitelerinin 6698 sayılı Kişisel Verilerin Kişisel Verilerin Korunması Kanunu’nu ihlal etmeden nasıl cookie hizmeti sunabileceği ve hangi verileri işleyebileceği hakkında bilgiler yer alıyor.
Ülkemizde internet sitelerindeki çerezler hakkında detaylı bir düzenleme veya rehber bulunmuyordu. KVKK’nin hazırladığı “Çerez Uygulamaları Hakkında Rehber”, 60 sayfadan oluşuyor ve kişisel verilerin işlenmesiyle ilgili pek çok kullanım senaryosuna detaylı olarak açıklama getiriyor. Kişisel verilerin işlenmesinde kullanılmayan çerezler ise rehberin kapsamı dışında kalıyor.
Kişisel verilerin işlenmesi için açık rıza gereken çerezlerde, kullanıcının gerçekten açık rızasının olması isteniyor. Kullanıcının siteye girmiş olması, çerezlere açık rıza verildiği anlamına gelmediği belirtiliyor. Ayrıca aydınlatmanın açık, sade ve anlaşılır şekilde yapılması gerekiyor.
Rehberde çerezler kullanım amaçlarına göre, “Kesinlikle Gerekli Çerezler (Zorunlu Çerezler)”, “İşlevsel Çerezler”, “Performans- Analitik Çerezler” ve “Reklam/Pazarlama Çerezleri” olmak üzere dörde ayrılıyor.
KVKK’ye göre kişisel verilerin işlenmesinde kullanılan çerezlerle ilgili dikkat edilmesi gereken hususlar şöyle:
- Aydınlatmanın tüm unsurlarını içerecek şekilde açık, sade ve anlaşılır şekilde yapılması gerekmekte olup internet sitesinde karmaşık ve içinde pek çok başka konuda bilgi veren Gizlilik Bildirimlerinin yer alması aydınlatma yükümlülüğünün yerine getirildiği şeklinde yorumlanamayacaktır.
- Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi hâlinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemleri ayrı ayrı yerine getirilmelidir.
- Çerez yoluyla kişisel veri işlenmesine ilişkin olarak; bir sözleşmenin kurulması veya ifası kapsamında açık rıza alınması, ilgili kişiye sözleşmenin ön koşulu olarak dayatılamayacaktır.
- İlgili kişilerden açık rıza alınması yoluyla elde edilen kişisel verilerin işlenmesinde her bir farklı amaçiçin ayrı açık rıza alınmasına olanak veren bir mekanizma kurulmalıdır.
- Kişisel verilerin -en geç- elde edilmesi sırasında yani internet sitesine girildiği anda aydınlatmanın yapılmış olması gerekmektedir. Aydınlatma henüz veri işlenmediği ya da en geç veri işlendiği esnada yapılmalıdır.
- Açık rızanın alınabilmesi için aktif bir eylemin gerçekleşmiş olması gerekmektedir, sadece internet sitesine girilmiş olması ile söz konusu site tarafından kullanılan çerezlere açık rıza verildiği anlamına gelmemektedir.
- Kararda, çerezler yoluyla kişisel verilerin işlenmesi için açık rıza dışında bir hukuki sebebe de dayanılabileceği değerlendirilmektedir.
Haberi DH'de Gör
{{body}}
{{/longBody}} {{^longBody}}{{body}}
{{/longBody}}