Çerezler Aracılığıyla Kişisel Veri İşlenmesi ve Açık Rıza

1. Giriş

İnternet teknolojisinin hayatın her alanına nüfuz etmesiyle birlikte dijital ortamdaki kişisel veri işleme faaliyetleri de köklü bir dönüşüm geçirmiştir. Bu dönüşümün en görünür ve en tartışmalı unsurlarından biri şüphesiz çerez (cookie) teknolojisidir. İnternet kullanıcıları her gün onlarca farklı web sitesini ziyaret ederken çerez adı verilen küçük metin dosyaları aracılığıyla kişisel verileri çoğu zaman farkında olmaksızın işlenmektedir. Söz konusu veri işleme faaliyeti; kullanıcının kimliği, cihaz bilgileri, gezinti alışkanlıkları ve satın alma tercihleri gibi son derece hassas bilgileri kapsayabilmektedir.

Çerezlerin teknik altyapısı 1994 yılına kadar uzanmaktadır. Lou Montulli tarafından geliştirilen bu teknoloji, başlangıçta yalnızca alışveriş sepeti bilgileri ve oturum sürekliliği gibi işlevsel amaçlarla kullanılmıştır. Ancak 2000'li yıllardan itibaren reklam çerezlerinin yaygınlaşmasıyla birlikte çerezler, kullanıcı davranışlarının sistematik biçimde izlenmesi ve profillenmesi amacına hizmet eder hale gelmiştir. Bu gelişme, kişisel verilerin korunması hukuku bakımından köklü bir düzenleme ihtiyacını doğurmuştur. Özellikle bilgi çağı olarak nitelendirilen günümüzde verinin giderek artan önemi, çerez kullanımının yaygınlaşmasının başlıca itici gücünü oluşturmaktadır; zira internet siteleri ve üçüncü taraf aktörler, kişisel verileri çerezler aracılığıyla elde etme imkânını son derece değerli bulmaktadır.

Türk hukuku açısından konuya bakıldığında, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) çerez kavramına doğrudan yer vermediği görülmektedir. Buna karşın Kişisel Verileri Koruma Kurumu, Haziran 2022 itibarıyla yayımladığı Çerez Uygulamaları Hakkında Rehber ile bu boşluğu doldurmaya çalışmış; çerezler aracılığıyla kişisel veri işleyen internet sitesi operatörlerine yönelik somut yükümlülükler ortaya koymuştur. Avrupa Birliği hukuku açısından ise konu, hem 2018 tarihli Genel Veri Koruma Tüzüğü (GDPR) hem de E-Gizlilik Direktifi'nin birlikte oluşturduğu kapsamlı bir çerçeve dahilinde ele alınmaktadır.

Bu makalede öncelikle çerezin hukuki ve teknik niteliği incelenmekte, ardından çerez türleri ile açık rıza kavramı arasındaki ilişki mercek altına alınmaktadır. Sonraki aşamada hem KVKK hem de GDPR/E-Gizlilik Direktifi çerçevesinde çerez kaynaklı veri işleme faaliyetlerine ilişkin hukuki yükümlülükler karşılaştırmalı biçimde ele alınmaktadır. Son bölümde ise Kişisel Verileri Koruma Kurulu'nun somut kararları ve AB yargı organlarının içtihatları ışığında pratik uyum gereklilikleri ortaya konulmaktadır.

2. Kavramsal Çerçeve

2.1. Kişisel Veri ve Çerezlerin Hukuki Niteliği

6698 sayılı Kanun'un 3. maddesinin 1. fıkrasının (d) bendinde kişisel veri; "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmaktadır. Bu geniş kapsamlı tanım çerçevesinde değerlendirildiğinde çerezler aracılığıyla elde edilen IP adresi, cihaz kimliği, oturum bilgisi ve kullanıcı davranışlarına ilişkin verilerin kişisel veri niteliği taşıdığı anlaşılmaktadır. Anayasa Mahkemesi de bu yönde verdiği kararlarda IP adresi ve benzeri çevrimiçi tanımlayıcıların kişisel veri kapsamında değerlendirilmesi gerektiğini açıkça belirtmiştir. Çerezler yoluyla toplanan bazı veriler tek başına belirli bir kişiyi tanımlamaya elverişli olmayabilmektedir; ancak bu veriler bir araya getirildiğinde ya da başka kişisel verilerle ilişkilendirildiğinde kimliği belirlenebilir bir kişiye ulaşılabilmektedir. Bu ihtimal, söz konusu veriler bakımından da KVKK'nın uygulanmasını zorunlu kılmaktadır.

GDPR ise çerezleri Madde 4(1) kapsamında "çevrimiçi tanımlayıcılar" olarak açıkça kişisel veri kategorisine dahil etmektedir. Bu düzenleme sayesinde AB hukukunda çerezlerin kişisel veri niteliği tartışma konusu olmaktan çıkmış; bu teknoloji aracılığıyla gerçekleştirilen her türlü veri işleme faaliyetinin doğrudan GDPR'ın tam korumasından yararlandığı kabul edilmiştir.

2.2. Çerez Türleri

Çerezler; saklama süresine, yerleştiren tarafa ve kullanım amacına göre birbirinden farklı biçimlerde sınıflandırılmaktadır. Saklama süresi bakımından değerlendirildiğinde oturum çerezleri, tarayıcı kapatıldığında kendiliğinden silinen ve oturum sürekliliğini sağlamaya yönelik geçici dosyalardır. Kalıcı çerezler ise veri sahibi tarafından silinene ya da belirlenen süre dolana kadar kullanıcının cihazında kalmaya devam etmektedir.

Çerezi yerleştiren taraf açısından birinci taraf ve üçüncü taraf çerez ayrımı ön plana çıkmaktadır. Birinci taraf çerezler doğrudan ziyaret edilen site tarafından oluşturulurken üçüncü taraf çerezler ziyaret edilen siteden bağımsız harici aktörler tarafından yerleştirilmektedir. Üçüncü taraf çerezlerin büyük çoğunluğu reklam ağları ve analitik hizmet sağlayıcılarına ait olup bu durum söz konusu çerezleri kişisel veri koruma hukuku açısından özellikle sorunlu bir konuma taşımaktadır; nitekim Kişisel Verileri Koruma Kurulu da üçüncü taraf çerezlerin hiçbir koşulda zorunlu çerez olarak değerlendirilemeyeceğini açıkça belirlemiştir.

Kullanım amacı esas alındığında çerezler dört ana kategoride incelenebilir. Kesinlikle gerekli çerezler; oturum yönetimi, güvenlik ve form doldurma gibi sitenin temel işlevlerinin yerine getirilmesi için zorunludur; bunlar olmaksızın sitenin düzgün çalışması mümkün değildir. İşlevsel çerezler; dil tercihi, bölge ayarı ve arayüz kişiselleştirmesi gibi kullanıcı deneyimini iyileştirmeye yönelik bilgileri saklamaktadır. Analitik/performans çerezleri; ziyaretçi sayısı, tıklanma oranları ve kullanım istatistikleri gibi site performansına ilişkin verileri toplamaktadır. Reklam/pazarlama çerezleri ise kullanıcı davranışlarına dayalı profil oluşturarak hedeflenmiş reklam sunumunu ve yeniden hedefleme kampanyalarını mümkün kılmaktadır.

2.3. Açık Rıza Kavramı

6698 sayılı Kanun'un 3. maddesinin 1. fıkrasının (a) bendi uyarınca açık rıza; "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı" ifade etmektedir. Bu tanım açık rızanın üç temel unsurunu bir arada ortaya koymaktadır: rızanın belirli bir konuya ilişkin olması, veri sahibinin önceden yeterince aydınlatılmış bulunması ve rızanın dış baskıdan uzak, serbest irade ile verilmiş olması. Öğretide bu tanımı tamamlayan daha geniş kapsamlı bir ifade de benimsenmiştir: açık rıza, veri sahibinin kendisiyle ilgili verinin işlenmesine özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olmak üzere verdiği onay beyanıdır.

GDPR ise Madde 4(11) ve Madde 7'de rızayı çok daha ayrıntılı biçimde düzenlemektedir. GDPR kapsamında geçerli bir rıza; özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir onay beyanı niteliği taşımalıdır. Önceden işaretlenmiş onay kutuları, sitede gezinmeye devam etme ya da sessiz kalma gibi pasif davranışlar hiçbir koşulda geçerli rıza olarak kabul edilmemektedir. Bunun yanı sıra rızanın verilmesi kadar geri alınması da kolaylaştırılmak zorundadır; bu gereklilik, GDPR'ın 7. maddesinin 3. fıkrasında açık bir yükümlülük olarak düzenlenmiştir.

3. KVKK Çerçevesinde Çerez Kaynaklı Veri İşleme

3.1. Aydınlatma Yükümlülüğü

6698 sayılı Kanun'un 10. maddesi kapsamındaki aydınlatma yükümlülüğü, çerezler aracılığıyla gerçekleştirilen veri işleme faaliyetleri için de tam anlamıyla geçerlidir. Söz konusu madde uyarınca veri sorumlusu; kimliği, işlenecek verilerin kapsamı ve amacı, aktarım yapılacak taraflar, veri toplama yöntemi ile hukuki dayanağı ve ilgili kişinin 11. madde kapsamındaki hakları konusunda kullanıcıyı bilgilendirmek zorundadır. Kişisel Verileri Koruma Kurumu bu yükümlülüğün çerezler bağlamında nasıl yerine getirileceğini Çerez Rehberi aracılığıyla somutlaştırmıştır. Rehber katmanlı aydınlatma yaklaşımını benimsemekte; ziyaretçiye ulaşan ilk katmanda özlü bir bilgilendirme (banner) sunulurken ikinci katmanda çerez politikası sayfasında kapsamlı açıklamalara yer verilmesi gerektiğini belirtmektedir.

Aydınlatma yükümlülüğünün en belirgin özelliği, açık rızadan farklı olarak herhangi bir istisnasının öngörülmemiş olmasıdır. Bu nedenle veri işlemenin hangi hukuki dayanağa dayandığından bağımsız olarak veri sorumlusu her koşulda aydınlatma yükümlülüğünü yerine getirmek zorundadır. Aydınlatma metni ile açık rızanın ayrı aşamalar olarak birbirinden bağımsız biçimde gerçekleştirilmesi de zorunludur; çerez tercihi sormak, aydınlatma yükümlülüğünün önceden eksiksiz yerine getirilmesine bağlıdır. Nitekim Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'in 5. maddesinin 1. fıkrasının (f) bendi de bu gerekliliği açıkça hükme bağlamaktadır. Kurul kararlarında ise aydınlatma metninin Kanun ve Tebliğ'de öngörülen zorunlu unsurları taşımaması başlı başına veri ihlali olarak nitelendirilmektedir.

3.2. Açık Rıza Gereken ve Gerekmeyen Haller

KVKK'nın 5. maddesinin 1. fıkrası kişisel verilerin işlenmesini kural olarak veri sahibinin açık rızasına bağlamaktadır. Bununla birlikte aynı maddenin 2. fıkrasında açık rıza aranmaksızın veri işlemeye olanak tanıyan sınırlı sayıda istisna hali düzenlenmektedir. Çerez uygulamaları bakımından en sık başvurulan istisnalar şunlardır: sözleşmenin kurulması veya ifası için zorunlu olması (md. 5/2-c), veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (md. 5/2-ç) ve veri sorumlusunun meşru menfaatlerinin korunması için zorunlu olması (md. 5/2-f). Uygulamada en tipik örnek, e-ticaret sitelerinde alışveriş sepeti bilgilerini tutan çerezlerin mesafeli sözleşmenin kurulması veya ifası kapsamında değerlendirilmesidir. Site güvenliğine ve yük dengelemeye yönelik çerezler ise meşru menfaat dayanağına yaslanabilmektedir.

Çerez türleri bakımından bu istisnalar değerlendirildiğinde şu sonuca ulaşılmaktadır: sitenin temel işlevleri için zorunlu olan çerezler kural olarak açık rıza gerektirmemektedir. Buna karşın analitik, reklam ve pazarlama çerezleri söz konusu istisna kapsamına girmemekte; bu çerezler için her koşulda açık rıza alınması zorunlu olmaktadır. Kurulun 2022/1358 sayılı kararında reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu açıkça vurgulanmıştır. Ayrıca Kurul'un 2020/173 sayılı kararında önemli bir ilkeye dikkat çekilmiştir: açık rıza alınmasına gerek olmayan haller mevcutken yine de açık rıza yoluna başvurulması dürüstlük kuralına aykırılık olarak değerlendirilmektedir. Bu ilke, veri sorumlularının hukuki dayanaklarını titizlikle tespit etmelerini zorunlu kılmaktadır.

Karma nitelikli çerezler — yani hem zorunlu hem de zorunlu olmayan işlevleri bünyesinde barındıran çerezler — özellikle dikkatli bir değerlendirme gerektirmektedir. Bu tür çerezlerde herhangi bir işlev açık rıza gerektiriyorsa, çerezin aynı zamanda zorunlu bir işlev de yerine getirip getirmediğinden bağımsız olarak o çerez için açık rıza alınması zorunludur.

3.3. Kurul Kararları ve Yaptırım Uygulamaları

Kişisel Verileri Koruma Kurulu, çerez uyumuna ilişkin somut yükümlülükleri şekillendiren bir dizi ilke kararı vermiştir. Bu kararlar birlikte değerlendirildiğinde ortaya çıkan tablo oldukça açıktır.

2020/173 sayılı kararda Kurul, internet sitesinin düzgün çalışması için zorunlu çerezler bakımından açık rıza gerekmediğini; buna karşın zorunlu olmayan çerezler için açık rıza mekanizması oluşturulmamasının hem aydınlatma hem de açık rıza yükümlülüklerini ihlal ettiğini tespit etmiştir. Bu kararda ayrıca opt-in ile opt-out arasındaki temel ayrım da netlik kazanmıştır: kişi, kişisel verilerinin işlenmemesi için ayrıca bir çaba sarf etmemelidir; kural olan veri işlenmemesidir ve ancak işlenmesine rıza vermek için kullanıcının ayrıca aktif bir harekette bulunması gerekir.

2022/1358 sayılı kararda Kurul, internet sitesine giriş anında kullanıcıların iradi ve aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören opt-in mekanizmasına göre açık rıza alınması gerektiğini açıkça hükme bağlamıştır. Aynı kararda yalnızca "tüm çerezlere izin ver" ve "sadece gerekli çerezleri kullan" seçeneklerinin sunulup kategori bazında tercih yapılmasına imkân tanınmaması da veri ihlali olarak nitelendirilmiştir.

2023/1645 sayılı kararında Kurul bir adım daha ileri giderek aydınlatma metninde hangi ilgili kişi grubunun, hangi kişisel verilerinin, hangi amaçla ve hangi hukuki sebebe dayanılarak işlendiğinin ve hangi üçüncü taraflara aktarıldığının açık biçimde anlaşılabilir olması gerektiğini vurgulamıştır. Yalnızca "tüm çerezlere izin ver" ile "yalnızca gerekli çerezler" seçeneklerinin sunulması; açık rızanın belirli bir konuya ilişkin olması ve özgür iradeyle verilmesi unsurlarını zedelediğinden hukuka aykırı bulunmuştur. Bu kararlar, idari para cezası yaptırımıyla birlikte uygulanmış olup bazı vakalarda yaklaşık 300.000 TL'ye ulaşan cezalar gündeme gelmiştir.

4. GDPR ve E-Gizlilik Direktifi Çerçevesinde Çerez Uyumu

4.1. E-Gizlilik Direktifi'nin Uygulanması

Çerez kullanımına özgü AB düzenlemesi GDPR değil, 2002 tarihli E-Gizlilik Direktifi'dir. 2009 yılında gerçekleştirilen değişikliklerin ardından "Çerez Kanunu" olarak da anılan bu Direktif, kullanıcının cihazında bilgi depolamak ya da saklanan bilgilere erişmek için önceden bilgilendirilmiş rızanın alınmasını zorunlu kılmaktadır. Tek istisna, iletişimin sağlanması için teknik açıdan kesinlikle gerekli olan çerezlerdir. E-Gizlilik Direktifi ile GDPR arasındaki ilişki bakımından şu husus belirtilmelidir: normlar hiyerarşisinde GDPR bir tüzük olarak Direktiften daha güçlü bir hukuki araçtır. Bununla birlikte E-Gizlilik Direktifi, çerezler söz konusu olduğunda GDPR'a kıyasla özel norm niteliği taşıdığından öncelikli uygulama alanı bulmaktadır. GDPR'ın genel ilkeleri ise geçerliliğini sürdürmektedir. AB üyesi olmayan Türkiye'den AB üyesi ülkelere mal veya hizmet sunan veri sorumluları da GDPR hükümlerine tabidir; bu durum, söz konusu şirketler bakımından çifte uyum yükümlülüğü doğurmaktadır.

4.2. GDPR Kapsamındaki Rıza Standartları ve Pratik Gereklilikler

GDPR kapsamında rıza; özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir olumlu eylem niteliği taşımalıdır. AB veri koruma otoritelerinin rehberleri çerçevesinde "battaniye rıza" geçersiz kabul edilmektedir. Veri sahipleri zorunlu, işlevsel, analitik ve pazarlama gibi çerez kategorilerinden her biri için bağımsız tercih yapabilmelidir. AB Adalet Divanı'nın 2019 tarihli Planet 49 kararı bu standartları somutlaştıran kritik bir emsaldir: kararda rızanın herhangi bir tercihte bulunulmadan önce özgürce verilmiş ve aktif bir onay eylemi şeklinde gerçekleştirilmiş olması gerektiği açıkça belirlenerek önceden işaretlenmiş onay kutularının bu koşulları karşılamadığı hükme bağlanmıştır.

GDPR'ın 7. maddesinin 3. fıkrası uyarınca rızanın verilmesi kadar geri alınması da kolaylaştırılmak zorundadır. Çerez Rehberi'nde de bu doğrultuda internet sayfasının bir köşesinde verilen açık rızanın kolayca geri alınabilmesi için kalıcı bir ikon ya da bant bulunması tavsiye edilmektedir. Öte yandan bu mekanizmanın varlığı, rızanın geri alınmadığı sürece sonsuza dek geçerliliğini koruduğu varsayımına dayandırılmamalıdır; rıza, çerezin ömrüyle orantılı aralıklarla yenilenmelidir.

4.3. AB Yargı Kararları

AB Adalet Divanı'nın 2019 tarihli Planet 49 kararının yanı sıra, Fransa Veri Koruma Otoritesi'nin (CNIL) 2022 yılında Google LLC ve Google Ireland Limited'e karşı verdiği karar uyum standartlarını somutlaştıran önemli bir içtihat oluşturmaktadır. CNIL, Google ve YouTube platformlarında "tüm çerezleri reddet" seçeneğine erişimin "tüm çerezleri kabul et" seçeneğine kıyasla daha fazla adım gerektirmesini — "özelleştir" butonuna tıklandıktan sonra ancak ulaşılabilmesini — kişisel veri ihlali olarak nitelendirmiş ve 150 milyon Euro tutarında idari para cezası uygulamıştır. Kararda dikkat çeken nokta şudur: reddedebilme imkânı teknik olarak mevcut olsa dahi kabul seçeneği tek tıkla gerçekleştirilirken red seçeneğinin ek adımlar gerektirmesi, her iki seçenek arasında fiili bir dengesizlik yaratmakta ve özgür iradeyi zedelemektedir. Bu karar, kabul ve ret seçeneklerinin kullanıcı açısından eşit derecede erişilebilir olması gerektiği ilkesini bağlayıcı bir içtihatla pekiştirmiştir.

5. KVKK ile GDPR'ın Karşılaştırmalı Analizi ve Temel Benzerlikler/Farklılıklar

Her iki rejim ortak bir çıkış noktasını paylaşmaktadır: kesinlikle gerekli çerezler rıza istisnasından yararlanırken diğer tüm çerezler için önceden geçerli bir rıza alınması zorunludur. Ancak iki düzenleme arasında dikkat çekici yapısal farklılıklar da mevcuttur.

Düzenleyici kaynak açısından değerlendirildiğinde, AB sistemi ayrıntılı yükümlülükleri doğrudan bünyesinde barındıran özel bir hukuki araca sahipken Türk hukuku bu düzeyde özel bir çerez mevzuatına sahip değildir ve yalnızca genel nitelikli Çerez Rehberi ile Kurul kararlarına dayanmaktadır. Bununla birlikte bu farkın uygulamaya yansıması sınırlıdır; zira Kurul kararları, rehber belgenin hukuki bağlayıcılıktan yoksun tavsiye niteliğini aşarak fiili bir zorunluluk kaynağına dönüştürmüştür.

Kapsam bakımından ise GDPR, AB vatandaşlarına yönelik hizmet sunan ve AB dışında yerleşik veri sorumlularına da uygulanmaktadır. Bu durum, AB pazarına yönelik faaliyet gösteren Türk şirketleri için ulusal uyum çerçevesinin çok ötesine geçen ek yükümlülükler doğurmaktadır.

Yaptırım rejimi incelendiğinde önemli bir asimetri göze çarpmaktadır. AB otoriteleri GDPR ihlalleri karşısında küresel yıllık cironun yüzde dördüne kadar ulaşabilen ya da 20 milyon Euro'ya kadar çıkabilen para cezaları uygulayabilmektedir; CNIL'in Google kararındaki 150 milyon Euro bu yaptırım gücünün somut bir göstergesidir. KVKK kapsamındaki cezalar görece daha mütevazı düzeyde kalmakla birlikte Kurul'un son kararlarında uygulanan idari para cezaları ile yaptırım riskinin giderek arttığı gözlemlenmektedir. Her iki sistemde de uyumsuzluğun mali sonuçları tartışmasız biçimde somutlaşmış durumdadır.

Temel ilkeler bakımından güçlü bir yakınsama söz konusudur ve bu yakınsama beş temel başlıkta özetlenebilir. Her iki sistemde de açık rızaya tabi çerezler kullanıcı onayı alınmadan önceden etkinleştirilemez. Opt-in zorunludur; opt-out geçersizdir. Battaniye rıza her iki rejimde de kabul edilmemekte; kategori bazında granüler tercih yapılabilmesi zorunlu tutulmaktadır. Aydınlatma yükümlülüğü rıza alınan durumlardan bağımsız, her koşulda geçerli olan müstakil bir yükümlülüktür. Rızanın geri alınması, rızanın verilmesi kadar kolay ve erişilebilir kılınmak zorundadır. Son olarak üçüncü taraf çerezler hiçbir koşulda zorunlu çerez olarak nitelendirilemez; bu çerezler için kural olarak açık rıza alınması zorunludur.

6. Çerez Uyumu İçin Pratik Rehber

6.1. Çerez Envanteri ve Sınıflandırma

Herhangi bir uyum sürecinin ilk ve temel adımı, sitede kullanılan tüm çerezlerin ve benzer teknolojilerin (piksel, SDK, yerel depolama vb.) kapsamlı biçimde envantere alınmasıdır. Her çerez için sağlayıcı, kullanım amacı, saklama süresi ve toplanan veri kategorileri belirlenmelidir. Envanterin tamamlanmasının ardından çerezler işlev ve hukuki dayanak esas alınarak kategorilere ayrılmalı; bu sınıflandırma hem çerez politikasının hazırlanmasında hem de rıza mekanizmasının tasarımında temel rehber işlevi görmelidir. Karma nitelikli çerezler özellikle titiz bir inceleme gerektirmekte; herhangi bir işlevi açık rızaya tabi olan çerezler bütün olarak bu kapsamda değerlendirilmelidir.

6.2. Çerez Banner Tasarımı

Çerez banner'ı, uyumun en görünür ve hukuki açıdan en kritik unsurudur. Hem KVKK hem de GDPR ilkeleriyle bağdaşan bir tasarım için şu şartların karşılanması zorunludur: açık rızaya tabi çerezlerin hiçbiri banner yüklenmeden önce ve kullanıcı onayı alınmadan etkinleştirilmemelidir; varsayılan ayar tüm rızaya bağlı çerezlerin devre dışı olduğu konumda bulunmalıdır. Banner üzerinde "tümünü kabul et" seçeneğinin yanı sıra "tümünü reddet" ya da eşdeğer bir reddetme seçeneği açık ve erişilebilir biçimde, kullanıcıyı kabule yönelten tek taraflı bir yönlendirme içermeksizin sunulmalıdır. Kategori bazında granüler seçenek sunulması Kurul'un 2023/1645 sayılı kararı ve CNIL'in Google kararı ile birlikte artık tartışmasız bir zorunluluk halini almıştır. Banner'a çerez politikasına yönlendiren belirgin bir bağlantı eklenmeli; kullanıcılar kapsamlı aydınlatma metnine kolaylıkla erişebilmelidir. Bunların yanı sıra kullanıcının çerez tercihlerini dilediği zaman değiştirebileceği kalıcı ve erişilebilir bir mekanizma sürekli olarak hazır tutulmalıdır.

Çerez bannerı, uyumun en görünür ve hukuki açıdan en kritik unsurudur. Hem KVKK hem de GDPR ilkeleriyle bağdaşan bir tasarım için şu şartların karşılanması zorunludur: açık rızaya tabi çerezlerin hiçbiri banner yüklenmeden önce ve kullanıcı onayı alınmadan etkinleştirilmemelidir; varsayılan ayar tüm rızaya bağlı çerezlerin devre dışı olduğu konumda bulunmalıdır. Banner üzerinde "tümünü kabul et" seçeneğinin yanı sıra "tümünü reddet" ya da eşdeğer bir reddetme seçeneği açık ve erişilebilir biçimde, kullanıcıyı kabule yönelten tek taraflı bir yönlendirme içermeksizin sunulmalıdır. Kategori bazında granüler seçenek sunulması, Kurul'un 2023/1645 sayılı kararı ve CNIL'in Google kararı ile birlikte artık tartışmasız bir zorunluluk halini almıştır. Banner'a çerez politikasına yönlendiren belirgin bir bağlantı eklenmeli; kullanıcılar kapsamlı aydınlatma metnine kolaylıkla erişebilmelidir. Bunların yanı sıra, kullanıcının çerez tercihlerini dilediği zaman değiştirebileceği kalıcı ve erişilebilir bir mekanizma sürekli olarak hazır tutulmalıdır.

6.3. Çerez Politikasının Hazırlanması

Çerez politikası, yalnızca hukuki bir zorunluluk olmaktan öte, kullanıcı güveninin inşasına katkı sağlayan ve olası uyuşmazlıklarda ispat aracı işlevi gören önemli bir belgedir. Politikanın açık, sade ve teknik terimleri geniş kitlelere hitap edecek biçimde açıklayan bir dil benimsemesi zorunludur; Kurul kararlarında "paylaşılabilir" gibi muğlak ifadelerin aydınlatma yükümlülüğünü ihlal ettiği vurgulanmıştır. İçerik bakımından eksiksiz bir çerez politikasında şunlara yer verilmesi gerekmektedir: veri sorumlusunun kimliği ve iletişim bilgileri; çerez kategorileri, amaçları ve saklama süreleri; üçüncü taraf sağlayıcıların tam listesi; her kategori için hukuki dayanak; yurt dışına veri aktarımı ve uygulanan güvenceler; ilgili kişinin hakları ve bu hakları kullanma usulü; rızanın geri alınmasına ilişkin esaslar. Politika sitede her zaman erişilebilir olmalı; banner'daki "ayrıntılı bilgi" bağlantısıyla ilişkilendirilmelidir.

6.4. Kayıt Tutma ve Periyodik Denetim

Veri işlemenin hukuka uygunluğunun kanıtlanması yükümlülüğü her iki rejim bakımından da geçerlidir. Verilen rızaların zamanı, kapsamı ve kullanıcının tercih ettiği seçenekler kayıt altına alınmalı; bu kayıtlar olası denetim ve uyuşmazlık süreçlerinde belirleyici bir ispat aracı işlevi görecek biçimde saklanmalıdır. Çerez envanteri ve politikası ise statik belgeler olarak değil, dinamik ve sürekli güncellenen çerçeveler olarak ele alınmalıdır. Teknolojik değişiklikler, yeni üçüncü taraf entegrasyonları, KVKK Rehberi'nin revize edilmesi ya da AB otoritelerinin yeni kararlar yayımlaması gibi gelişmeler periyodik gözden geçirme ve güncelleme döngüsünü kaçınılmaz kılmaktadır.

7. Sonuç

Çerezler aracılığıyla gerçekleştirilen kişisel veri işleme, KVKK ve GDPR/E-Gizlilik Direktifi çerçevesinde kapsamlı bir düzenleme ile kuşatılmış olan, son derece dinamik bir hukuki alandır. Her iki sistemde de ortak bir ilkeler bütünü belirgin biçimde öne çıkmaktadır: açık rızaya tabi çerezler hiçbir koşulda önceden etkinleştirilemez; battaniye rıza geçersizdir; aydınlatma yükümlülüğü her durumda bağımsız olarak geçerlidir; rızanın verilmesi kadar geri alınması da kolaylaştırılmak zorundadır.

İki rejim arasındaki başlıca yapısal fark, AB'nin çerezler için özel bir hukuki araca sahip olmasından kaynaklanmaktadır. Türk hukukunda doğrudan ve özel bir çerez düzenlemesi bulunmamakla birlikte Kurul kararları bu eksikliği giderek azaltmakta; somut ihlal tespitleri ve yaptırım uygulamaları aracılığıyla AB standartlarına yakın pratik gereklilikler şekillenmektedir. AB pazarına yönelik faaliyet gösteren Türk şirketleri ise her iki rejimi birlikte uygulamak durumundadır.

Çerez uyumu, teknik altyapıyı, hukuki analizi ve kullanıcı deneyimi tasarımını bir araya getiren çok boyutlu bir süreçtir. Bu sürecin eksiksiz biçimde yönetilmesi için kapsamlı bir envanter çalışması, saydam ve katmanlı aydınlatma, granüler rıza mekanizması, düzenli denetim döngüsü ve kayıt tutma yükümlülüğünün bir arada hayata geçirilmesi gerekmektedir. Bu bütüncül yaklaşım, her iki hukuki çerçeveden kaynaklanan yükümlülüklerin eksiksiz karşılanmasını ve sürdürülebilir bir uyum düzeyinin korunmasını mümkün kılacaktır.

Kaynakça

Doğan, Bayram (2023). Karşılaştırmalı Hukukta Anayasal Bir Hak Olarak Kişisel Verilerin Korunması Hakkı. Ankara: Adalet Yayınevi.

Doğan, Bayram (2024). "Kişisel Verilerin Çerezler Aracılığı ile İşlenmesinde Açık Rıza." Anayasa Yargısı, Cilt: 41, Sayı: 2, ss. 229–267.

Aksoy, Hüseyin Can ve Halıcıoğlu, Mesut (2021). "AB ve Türk Hukukunda Çerezler: Kişisel Verilerin Korunması Açısından Karşılaştırmalı Bir Değerlendirme." Kişisel Verileri Koruma Dergisi, Cilt: 3, Sayı: 1, ss. 61-88.

Kişisel Verileri Koruma Kurumu (2022). Çerez Uygulamaları Hakkında Rehber. Ankara: KVKK.

Kişisel Verileri Koruma Kurumu (2024). Çevrim İçi Mahremiyet ve Çerezler (Bülten Sayı: 3). Ankara: KVKK.

Kişisel Verileri Koruma Kurulu Kararları: 2018/90 (26.07.2018); 2020/173 (27.02.2020); 2022/1358 (23.12.2023); 2023/1645 (28.09.2023).

AB Adalet Divanı, Planet 49 GmbH Kararı (01.10.2019), C-673/17.

CNIL, Google LLC ve Google Ireland Limited Kararı, San-2021-023 (31.12.2021).

Genel Veri Koruma Tüzüğü (GDPR), Tüzük (AB) 2016/679, 27 Nisan 2016.

E-Gizlilik Direktifi 2002/58/EC (2009/136/EC ile değişik), 12 Temmuz 2002.

6698 Sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016, Resmî Gazete Sayı: 29677.