Günümüzde, çerez ve çerez politikalarının, birtakım kurum ve kuruluşlar tarafından veri sahipleri üzerinde gizlilik ihlali oluşturabilme ve mevcut bu verilerin işlenerek kötü amaçlı kullanılma riski vardır. Kullanıcılar cihazlarında çok sayıda ve çeşitte kişisel verilerini depolamaktadırlar. Bu verilerin olası birer veri hırsızlığı ile depolanması, kötü niyetli kullanılması ve ticari satıma konu edilmesi günden güne yaygın hale gelmektedir. Yine de çerezleri, gizlilik konusunda potansiyel olarak tehlikeli kılan husus kullanıcının cihazında depolanan bilgiler olması değildir. Bu konudaki asıl tehlike, söz konusu kişisel bilgilere çerezler aracılığıyla erişebilme imkânı olan kurum ve kuruluşların, bu bilgileri nasıl ve hangi amaçla kullanacaklarıdır. Öyle ki, tüm web siteleri, çerez (cookie) teknolojilerini kullanarak kullanıcıların kişisel bilgilerine erişebilmekte ve bu bilgileri işleyerek kullanıcıları tanımlayan dijital profiller oluşturabilmektedir. Bu durum, özellikle kullanıcıların kişisel verilerinin korunması bakımından birtakım endişeler yaratmaktadır. Bu bağlamda, bazı çerezlere gizlilik açısından az tehlikeli ve kullanım açısından ise ergonomik olarak sınıflandırılabilirken, bazı çerez türleri ise kullanıcılar nezdinde gizliliklerinin ihlali oluşturabilmektedir.
Avrupa Birliğinde 2002 yılından bu yana çerezlerin kullanımına ilişkin olarak ciddi hukuki düzenlemeler ve yaptırımlar bulunmaktadır. Çerezlerin kullanılmaya başlanmasıyla, çerezler, teknolojik anlamdaki gelişmelerin merkez konumunda olmuş ve pek çok hukuk tartışmanın merkezinde yer almıştır. Avrupa Birliği uhdesinde düzenlenmiş olan GDPR (General Data Protection Regulation) Protokolü, Avrupa Birliği vatandaşlarına tanınmış olan ve kullanıcıların kişisel verilerini koruyucu bir takım hak ve yükümlüleri içeren müeyyideleri barındırmaktadır. Anılan protokolün kapsamı o denli geniş tutulmuş ki, protokol, Avrupa Birliği üyesi olan ülkelerde yaşayan kişilere, Avrupa Birliği üyesi olmayan ülkelerde ikamet etmekte olan Avrupa vatandaşlarına ve Avrupa Birliği üyesi ülkeler ile her türlü ticari ilişki içerisinde olan kurum, kuruluş ve tüzel kişilere uygulanacaktır.
Öyle ki, protokol, yürürlüğe girdiği tarih olan 25.05.2018 tarihinden önceki kişisel verileri dahi yönetmelik kapsamına almıştır. AB hukukundan farklı olarak, Türk hukukunda ise çerezlerin tabi olduğu kurallar ve politikalar bakımından ne yazık ki halen uygulanabilir ve sürdürülebilir mevzuatlar ve buna bağlı yaptırımlar yürürlüğe konulmamıştır.
Nitekim, çerez uygulamalarına, 6698 sayılı Kişisel Verileri Koruma Kanun, 5809 sayılı Elektronik Haberleşme Kanun ve ilgili yönetmelik hükümlerinin ne ölçüde hayatın olağan akışı içerisinde cevap verebildiği tartışmalıdır. Ve yine bu doğrultuda, hukukumuzda, çerezlerin işlenmesi, depolanması ve kullanılması bakımından açık ve ayrıntılı hükümler bulunmaması, önemli hukuki ihtilafları da beraberinde getirmektedir.
Çerez Kavramı ve Türleri
Çerez, “kullanıcının ziyaret ettiği web siteleri tarafından oluşturulan ve Üstün Metin Transfer Protokolü (Hyper Text Transfer Protocol – HTTP) kapsamında aktarımı gerçekleşen küçük dosyalardır” şeklinde tanımlanmaktadır. Kullanıcı bir web sitesini ziyaret etmek istediğinde, söz konusu kullanıcının web tarayıcısı sunucuya kullanıcının erişim talebini göndermekte, sunucu ise gelen talep sonrasında kullanıcının talep ettiği bilgileri ve kullanıcıya ait bilgileri web tarayıcısına iletmektedir. Bu iletişim çerezler sayesinde gerçekleştirilmekte ve sunucu, kullanıcının geçmişteki eylemlerini belirleyebilmekte, kullanıcıların kişisel tercihlerinin kaydedilebilmektedir. Bu bağlamda, çerezleri, gizlilik konusunda potansiyel olarak tehlikeli kılan husus, kullanıcının bilgisayarında depolanan bilgilere çerezler aracılığıyla erişebilme imkânı olan kurum ve kuruluşların, bu bilgileri kötü amaçla kullanma ihtimalleridir.
Özellikle, 2019 yılından bu yana içinde bulunduğumuz pandeminin etkilerinden birisi de yaşamın daha da elektronik tabanlı yürütülmeye başlamasıdır. Teknolojik gelişim grafik eğrisinin artarak katlandığı bu yeni dönem içerisinde kullanıcıların kişisel verilerini kurum ve kuruluşların kullanımına bilinçsiz bir şekilde sunduğu görülmektedir. Öyle ki, günümüzde, kullanıcıların kişisel verileri bir bedel karşılığı paylaşıma açılmakta ve günden güne gizliliğinin korunması zorlaşmaktadır. Çerezler aracılığıyla elde edilen veriler, kişisel veri niteliği taşımayan bilgiler olabileceği gibi, IP adresi, kullanıcı adı, benzersiz tanımlayıcı veya e-posta adresi gibi kişisel veriler de olabilir.
Çerezler, kaynaklarına göre “birinci taraf çerezler, üçüncü taraf çerezler”; saklanma sürelerine göre “geçici süreli çerezler (oturum çerezleri), kalıcı çerezler”; kullanım amaçlarına göre ise “zorunlu çerezler, hedef-reklam çerezleri, performans ve analiz çerezleri” şeklinde sınıflandırılabilmektedir.
6698 sayılı Kişisel Verileri Koruma Kanunu yalnızca kimliği belirli kişilere dair tüm ihlalleri konu almaktadır. O halde, çerezler de tek başına veya başka bilgilerle birlikte kullanılıp veri ihlaline yol açtığında ancak kişinin kimliği belirlenebilir ise 6698 sayılı Kanun kapsamına girecektir. Kişisel Verileri Koruma Kurulu da çerez uygulamalarının KVKK kapsamına girdiği görüşündedir.
Türk hukukunda, özel olarak çerezlere ilişkin hükümler 5809 sayılı Elektronik Haberleşme Kanunu’nda (EHK) yer almaktadır. 5809 Sayılı Kanun’un 51. maddesinin 3. fıkrasına göre:
“Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.”
Yukarıdaki fıkra bahsi geçen, “abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak” ifadesi, bu kişilerin cihazlarına çerez ve benzeri uygulamalar yerleştirilmesini ifade etmektedir. O halde, elektronik haberleşme sektöründe, işletmeciler tarafından çerezler aracılığıyla kişisel veri işlenmesi EHK kapsamına girmektedir. Bu çerçevede, tıpkı AB mevzuatında olduğu gibi, bir kimsenin cihazına çerez yerleştirilmesi için, kural olarak bu kişinin açık ve kapsamlı bilgilendirmeye dayalı rızası alınmalıdır. Kaldı ki ziyaret edilen pek çok web sitesinde açık rıza metni rutin olarak kullanıcıların onayına sunulmaktadır. İstisnaen, haberleşmenin sağlanması bakımından gerekli olan çerezlerin bu tür rıza alınmaksızın dahi yerleştirilmesi mümkündür.
6698 sayılı Kişisel Verileri Koruma Kanunu, kişisel verilerin işlenme şartlarını düzenleyen 5. maddesinde, kişisel verilerin ancak veri sahibinin açık rızasıyla işlenebileceği kuralını koyduktan sonra, bu kurala istisnalarını oluşturacak bir takım veri işleme şartı saymıştır. İstisna sayılan şartlara dayanılarak bir kimsenin cihazına kişisel veri işleyen çerezler yerleştirilmesinin veya mevcut çerezlere erişilmesinin mümkün olup olmadığı ne derecede mümkün olduğu irdelenmelidir. Tam bu noktada ise özel nitelikli kişisel veriler bakımından KVKK’nun 6. maddesi devreye girmektedir. Yukarıda sayılmış olunan türdeki verilerin veri sahibinin açık rızası olmaksızın çerezler yoluyla işlenmesi yalnızca sınırlı hallerde mümkün olacağı düzenlenmiştir. Zira, söz konusu maddenin üçüncü fıkrasına göre; “sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, “kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir” denilmektedir. Kullanıcının açık rızasının aranmaması bu denli daraltılmış ise de ülkemizde üniversitelerin yaptığı online sınavlarda dahi açık rızaya gereksinim duymadan kullanıcıların kişisel bilgilerine erişim sağladığı görülmektedir.
Bu noktada akla meşru menfaat ilkesi gelecektir. KVKK (m. 5/2/f), “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceğini düzenlemektedir. Bahsi geçen meşru menfaatin ne derecede kötüye kullanılacağı önem arz etmektedir. Örneğin, dolandırıcılığın önlenmesi veya şebeke ve bilgi güvenliğinin sağlanması amacıyla kişisel verilerin işlenmesi ile grup şirketleri içinde iç idari işleyişin sağlanması amacıyla veri aktarımı yapılması GVKT’nin (Gerekçe m. 47 vd.) meşru menfaatin varlığını kabul ettiği haller arasındadır.
Çerezler nitelik ve nicelik itibariyle kişisel verileri bünyesinde barındırmamakla birlikte, çerez ve çerez uygulamaları vasıtasıyla elde edilen veriler, kişisel veri niteliği taşımaktadır. Avrupa Birliği’nde uzun zamandır özel olarak düzenlenen bu konu, Türk hukukunda ancak Elektronik Haberleşme Kanunu’nun 51. maddesinin 3. Fıkrasında koruma altına alınmıştır. Ancak söz konusu bu hüküm yalnızca “işletmecilere” uygulanabilir niteliktedir. İşletmeci teriminin ise makul ve anlaşılabilir bir tanımı oluşturulmamıştır. Belirli bir vasıflandırmanın olmaması ise uygulamada ciddi sorunlara yol açmaktadır. Elektronik Haberleşme Kanunu kapsamına girmeyen hallerde ise çerez uygulamalarına genel nitelikli 6698 sayılı Kanun’un uygulanması mümkün olabilecektir.
Sonuç
6698 sayılı Kişisel Verileri Koruma Kanunu uyarınca, bir kimsenin cihazına herhangi bir yoldan çerez yerleştirilebilmesi veya hali hazırda mevcut olan bir çerezin içeriğindeki verilerin kullanılıp işlenmesi için kural olarak ilgili kişinin açık rızası gerekmektedir. Öte yandan, söz konusu bu açık rızanın her gün yüzlerce defa, kullanıcılar tarafından, önemsenmeden onaylandığı ve bu yolla kişisel verilerinin kullanıma açıldığı görülmektedir. Bu noktada kullanıcıların bilinçlendirilmesi gerekmektedir. Yine istisna olarak, bir sözleşmeden kaynaklanan veyahut bir ifa ile doğrudan doğruya alakalı ve gerekli olması halinde ya da kullanıcının temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sahibinin de meşru menfaati gözetilerek çerezlerin kullanılması kabul edilmektedir. Örneğin, bir kullanıcının herhangi bir e-ticaret web sitesinde alışveriş sepetine eklediği ürünlerin, çerezler vasıtasıyla işlenerek kullanıcının satın alacağı ürünleri sepetinde görüntülemesini arka planında bir satış sözleşmesinin kurulması bakımından gerekli olduğu gerekçesiyle kullanıcının verilerine erişimin ve işlemenin olağan olduğu savunulmaktadır. Bu noktada kullanıcının verilerinde bir ihlal oluşturup oluşturmadığı her ne kadar tartışmalı olsa da günümüzde çerez uygulamalarının sağladığı kolaylıklar düşünüldüğünde temel düzeyde bir veri ihlali oluşturmadığı kanaatindeyim.
Elektronik Haberleşme Kanunun 51. Maddesinin 3. fıkrasında, kişi yönünden kapsamı yalnızca işletmecilere sınırlı tutulması ve veri işleme şartlarındaki denetim mekanizmasının henüz tam anlamıyla kurulamamış olması ileride ciddi ihlallere yol açacaktır. Avrupa Birliğinin kapsamlı ve ayrıntılı mevzuatlar ile koruma altına aldığı veri politikaları Türkiye’de bulunun mevzuatlar ile kıyaslandığında ülkemizde yaptırımların ve denetim mekanizmalarının çok yetersiz olduğu, güncel ihtiyaçlara yanıt veremediği ve sektörün beklentilerini karşılayamadığı görülmektedir. Kişisel Verileri Koruma Kanunu ise özel olarak çerez politikalarını düzenleyen bir kanun mahiyetinde olmadığından Türk Hukukunda, güncel sorunlara yanıt verecek, tüm çerezlere ve benzer uygulamalara uygulanabilecek nitelikte bir düzenleme yapılarak, kanunlar Avrupa Birliği standartlarına çıkartılmalıdır.
Staj. Av. Umut ASLAN