Günümüzde, çerezler ve çerez politikaları, birçok kurum ve kuruluş tarafından veri sahipleri üzerinde gizlilik ihlali oluşturabilecek ve mevcut verilerin kötü amaçlı kullanılma riskini artırabilecek bir konu haline gelmiştir. Kullanıcılar, cihazlarında çeşitli kişisel verileri depolamaktadırlar ve bu verilerin çalınması, kötü niyetli kullanılması ve ticari amaçlarla satılması gibi risklerle karşı karşıya kalmaktadırlar. Çerezlerin potansiyel tehlikeleri arasında, kullanıcının cihazında depolanan bilgilerin olması önemli değildir. Asıl tehlike, bu bilgilere erişebilen kurum ve kuruluşların, bu bilgileri nasıl ve hangi amaçla kullanacaklarıdır.
Web siteleri, çerez teknolojilerini kullanarak kullanıcıların kişisel bilgilerine erişebilmekte ve bu bilgileri işleyerek kullanıcıları tanımlayan dijital profiller oluşturabilmektedir. Bu durum, özellikle kullanıcıların kişisel verilerinin korunması açısından endişelere neden olmaktadır. Bazı çerezler gizlilik açısından daha az tehlikeli ve kullanım açısından daha ergonomik olarak sınıflandırılabilirken, bazı çerez türleri kullanıcılar için gizlilik ihlali riski oluşturabilmektedir. Bu nedenle, çerez politikalarının dikkatlice oluşturulması ve uygulanması önem taşımaktadır.Çerez İzni Yönetim Platformuile web sitenize gelen ziyaretçilere kanunlara uygun çerezler sunulabilir.
Avrupa Birliği’nde 2002 yılından bu yana çerezlerin kullanımına ilişkin ciddi hukuki düzenlemeler ve yaptırımlar bulunmaktadır. Çerezlerin kullanımı, teknolojik gelişmelerin merkezinde yer alarak birçok hukuk tartışmasının odak noktası haline gelmiştir. Avrupa Birliği tarafından düzenlenen GDPR (Genel Veri Koruma Yönetmeliği) protokolü, Avrupa Birliği vatandaşlarının kişisel verilerini korumayı amaçlayan bir dizi hak ve yükümlülük içermektedir.
GDPR, Avrupa Birliği üyesi ülkelerde yaşayan kişilere, Avrupa Birliği üyesi olmayan ülkelerde ikamet eden Avrupa vatandaşlarına ve Avrupa Birliği üyesi ülkelerle ticari ilişkide bulunan kurum, kuruluş ve tüzel kişilere uygulanmaktadır. Bu protokol, kişisel verilerin işlenmesi, saklanması ve korunmasına ilişkin geniş kapsamlı kurallar içermektedir. GDPR, çerezlerin kullanımına ilişkin şeffaflık ve kullanıcı kontrolü sağlanması gibi konularda da detaylı düzenlemeler içermektedir. Bu düzenlemelerin ihlal edilmesi durumunda ciddi yaptırımlar öngörülmektedir.
Bu durum, Türkiye’de çerezlerin veri koruma düzenlemeleri açısından AB’nin Genel Veri Koruma Tüzüğü’nden farklı bir yaklaşım benimsendiğini gösteriyor. Türk hukukunda, çerezlerin nasıl işleneceği, saklanacağı ve kullanılacağı konularında daha net bir düzenleme ve denetim mekanizması gerekliliği ortaya çıkabilir. Bu açıklama, çerezlerin veri koruma düzenlemeleri açısından Türkiye’de hala belirsizliklerin bulunduğunu vurgulamaktadır.
Çerezler, kullanıcıların web sitelerini ziyaret ettiklerinde tarayıcıları aracılığıyla sunucularla iletişim kurdukları küçük dosyalardır. Bu dosyalar, sunucuların kullanıcıların geçmiş eylemlerini hatırlamasına ve kişisel tercihlerini kaydetmesine olanak tanır. Ancak çerezler, bilgisayarlarda depolanan bilgilere erişebilen kuruluşların bu bilgileri kötü amaçlarla kullanma riskini de beraberinde getirir.
Son yıllarda pandemi nedeniyle yaşamın daha elektronik hale gelmesiyle birlikte, kullanıcıların kişisel verilerini bilinçsizce paylaşma eğiliminde olduğu gözlemlenmektedir. Kişisel verilerin bir bedel karşılığında paylaşılması ve gizliliğin korunmasının zorlaşması, endişe vericidir. Çerezler aracılığıyla elde edilen veriler genellikle kişisel veri niteliği taşırken, bazen sadece kişisel veri olmayan bilgiler de içerebilir.
Çerezler, kaynaklarına göre birinci taraf ve üçüncü taraf çerezler olmak üzere; saklanma sürelerine göre geçici süreli ve kalıcı çerezler olmak üzere; kullanım amaçlarına göre ise zorunlu, hedef-reklam ve performans ve analiz çerezleri olarak sınıflandırılabilir.
Türkiye’deki Kişisel Verilerin Korunması Kanunu, yalnızca kimliği belirli kişilere dair tüm ihlalleri ele almaktadır. Dolayısıyla, çerezler tek başına veya diğer bilgilerle birlikte kullanılarak veri ihlaline neden olduğunda, ancak kişinin kimliği belirlenebiliyorsa bu kanun kapsamına girecektir. Kişisel Verileri Koruma Kurulu da çerez uygulamalarının bu kanun kapsamında olduğunu belirtmektedir.
Türk hukukunda, özel olarak çerezlere ilişkin hükümler 5809 sayılı Elektronik Haberleşme Kanunu’nda (EHK) yer almaktadır.5809 Sayılı Kanun’un 51. maddesinin 3. fıkrasına göre:
“Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışındaabonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamakamacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.”
Yukarıdaki fıkra bahsi geçen,“abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak”ifadesi, bu kişilerin cihazlarına çerez ve benzeri uygulamalar yerleştirilmesini ifade etmektedir. O halde, elektronik haberleşme sektöründe, işletmeciler tarafından çerezler aracılığıyla kişisel veri işlenmesi EHK kapsamına girmektedir. Bu çerçevede, tıpkı AB mevzuatında olduğu gibi, bir kimsenin cihazına çerez yerleştirilmesi için, kural olarak bu kişinin açık ve kapsamlı bilgilendirmeye dayalı rızası alınmalıdır. Kaldı ki ziyaret edilen pek çok web sitesinde açık rıza metni rutin olarak kullanıcıların onayına sunulmaktadır. İstisnaen, haberleşmenin sağlanması bakımından gerekli olan çerezlerin bu tür rıza alınmaksızın dahi yerleştirilmesi mümkündür.
6698 sayılıKişisel Verilerin Korunması Kanunu,kişisel verilerin işlenmesi için genel bir kural olarak veri sahibinin açık rızasını öngörmektedir. Ancak, bu kuralın istisnaları vardır ve bazı durumlarda veri işleme faaliyetleri açık rıza olmaksızın da gerçekleştirilebilir. Özellikle özel nitelikli kişisel verilerin çerezler aracılığıyla işlenmesi durumunda, KVKK’nın 6. maddesi devreye girer. Bu maddeye göre, kanunlarda belirtilen hallerde ilgili kişinin açık rızası aranmaksızın, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilir.
Meşru menfaat ilkesi de önemlidir. KVKK, ilgili kişinin temel hak ve özgürlüklerine zarar vermeden, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olduğu durumlarda açık rıza aranmaksızın kişisel verilerin işlenebileceğini belirtir. Ancak, bu meşru menfaatin kötüye kullanımının önlenmesi önemlidir.
Çerezler genellikle kişisel verileri içermez ancak kişisel verilerin işlenmesiyle elde edilen veriler kişisel veri niteliği taşır. Türk hukukunda çerezler Elektronik Haberleşme Kanunu’nun 51. maddesinde koruma altına alınmıştır. Ancak, bu hüküm sadece “işletmecilere” uygulanabilir ve işletmeci teriminin net bir tanımı bulunmamaktadır. Bu durumda çerez uygulamalarına genel olarak 6698 sayılı Kanun’un uygulanabileceği belirtilmektedir.
6698 sayılı Kişisel Verileri Koruma Kanunu’na göre, bir kişinin cihazına çerez yerleştirilmesi veya mevcut çerezlerin içeriğinin kullanılması genellikle ilgili kişinin açık rızasını gerektirir. Ancak, bazı durumlardaaçık rızaaranmaksızın çerezlerin kullanılması da mümkündür. Örneğin, bir sözleşmeden kaynaklanan ya da doğrudan bir ifa ile alakalı ve gerekli olması halinde, kullanıcının temel hak ve özgürlüklerine zarar vermemek kaydıyla çerezlerin kullanılması kabul edilebilir. Bu durumda, çerezler aracılığıyla kullanıcının alışveriş sepetine eklediği ürünlerin işlenmesi ve görüntülenmesi gibi durumlar söz konusu olabilir.
Elektronik Haberleşme Kanunu’nun 51. maddesinin 3. fıkrasında, çerezlerin işletmecilere sınırlı tutulması ve veri işleme şartlarının tam olarak belirlenememiş olması ileride ciddi ihlallere neden olabilir. Avrupa Birliği’nin kapsamlı veri politikalarına kıyasla, Türkiye’deki mevzuatların yetersiz olduğu ve güncel ihtiyaçlara cevap veremediği görülmektedir. Kişisel Verileri Koruma Kanunu’nun çerez politikalarını düzenleyen bir kanun olmaması nedeniyle, Türk Hukuku’nda tüm çerezler ve benzer uygulamalar için geçerli olacak şekilde kanunlar Avrupa Birliği standartlarına uygun hale getirilmelidir.