Kişisel Verileri Koruma Kurulu’nun İnternet Sitesi/Mobil Uygulamalarda Kullanılan Çerezlere İlişkin 10.03.2022 tarihli Kararı

29 Eyl Kişisel Verileri Koruma Kurulu’nun İnternet Sitesi/Mobil Uygulamalarda Kullanılan Çerezlere İlişkin 10.03.2022 tarihli Kararı

Saat: 09:57s Kategori: KVKK Yazar:

Günümüzde veri işleme faaliyetleriyle yeni ve çeşitli alanlarda karşılaşmak mümkündür. Kişisel Verileri Koruma Kurulu (“Kurul”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında bu alanları da sıkı bir inceleme altına almaktadır. Özellikle, çevrimiçi ortamlarda yürütülen faaliyetler sırasında göz ardı edilebilen uygulamalar bile kişisel veri hukukuna uyumluluğun sağlanması açısından Kurul için önem arz etmektedir. Çevrimiçi ortamlarda, kişisel veri hukukunu ilgilendiren hususların başında kullanılan çerezler (cookies) gelmektedir.

Kurul’un 10.03.2022 tarihli ve 2022/229 sayılı kararı çerçevesinde, çevrimiçi çerezlerin kullanımının şartları ve bu çerezlerle elde edilen bilgilerin aktarımı KVKK kapsamında değerlendirilmiştir. İlgili karara buradan ulaşabilirsiniz.

İnternet Sitesinde Kullanılan Çerezlerin Aydınlatma Yükümlülüğü ve Yurtdışına Aktarımına Dair Şikayet

Kurul’a yapılan şikayette; (i) çerez kullanımı hakkında aydınlatma yükümlülüğünün yerine getirilmediği, (ii) çerez kullanımı hakkında açık rızanın alınmadığı ayrıca bu verilerin yurt dışına aktarıldığı, (iii) internet sitesinde yer verilen çerez politikasının gerçeği yansıtmadığı ve (iv) internet sitesinde analitik çerez kullanılarak işlenen verilerin kanuna aykırı olarak yurt dışına aktarıldığı belirtilmiştir.

Veri sorumlusu savunmasında ise:

  • ilgili kişinin verilerinin, internet sitesinin çalışması amacıyla gerekli ve  kullanıcıların talep etmiş olduğu bir bilgi toplumu hizmetinin (log-in olma, form doldurma, gizlilik tercihlerinin hatırlanması gibi) yerine getirilebilmesi için zorunlu olan “kesinlikle gerekli çerez” statüsünde olmadığını kabul etmiş ancak meşru menfaatleri için işlenmesinin zorunlu olması şartı kapsamında değerlendirilmesi gerektiği,
  • “kesinlikle gerekli çerez” olmayan çerezlerin de veri sorumlusu şirketin faaliyetleri açısından zorunlu olduğu,
  • kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği,
  • aynı zamanda çerez kullanımı sırasında açık rıza alınması hususunda teknik çözüm sunan firmalarla görüşmelere başlandığı,
  • çerez kullanımının müşteri deneyimini iyileştirdiği, aksi durumun kendi faaliyetlerini derinden zedeleyeceği, şirketi rekabetin dışına iteceği ve dolayısıyla şirketin çerez kullanımında meşru menfaatinin bulunduğuna kuşku olmadığı ve
  • ziyaretçilerin internet sitesinde yer alan tüm çerezlerin kullanılmasına onay vermedikçe internet sitesinin içeriğini görüntülemesini engelleyen “tracking wall”(çerez duvarı) uygulamalarının kullanılmadığı ve çerezlerin kullanım dışı bırakılması durumunda sitenin kullanımının etkin bir şekilde devam ettiği belirtmiştir.

Kurul’un Çerez Kullanımına Dair Değerlendirmeleri

Bu bilgiler ışığında değerlendirme yapan Kurul; “kesinlikle gerekli çerezler” dışında kalan çerezlerin kullanımının KVKK’da öngörülen şartlardan birini sağlamaması durumunda ilgili kişilerin açık rızasına tabi olduğunun altını çizmiştir. İncelemeler neticesinde, veri sorumlusu tarafından bu şartlardan biri olan “meşru menfaat” şartı ileri sürülmüş olsa dahi gerçekleştirilen işleme faaliyeti açısından bu şarta dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği belirtilmiştir.

Aynı zamanda, veri sorumlusunun internet sitesinde yer alan çerez politikasında reklam/tanıtım çerezlerinin bulunduğu, ayrıca üçüncü taraf çerezlerinin reklam ve yeniden hedefleme için kullanıldığı ve dolayısıyla veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiği anlaşılmıştır. Buna rağmen, veri sorumlusunun internet sitesinde yalnızca bir pop-up ile ziyaretçilere bilgi verildiği ancak kişilerin açık rızasına başvurulduğuna rastlanılmadığı tespit edilmiştir.

Bununla birlikte, çerez politikası içerisinde bilgilendirmelerin ve çerezlerin kapatılmasını teminen yönlendirmelerin yapıldığının görülmüştür. Ancak Kurul tarafından, veri sorumlusunun sitenin düzgün çalışmasını sağlayan “kesinlikle gerekli çerezler” dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise giriş anında ziyaretçilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesi gerektiğini belirtilmiştir.

Veri aktarımına ilişkin olarak ise; kişisel verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği, bu çerçevede veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetlerin KVKK’nın 9’uncu maddesine uygun şekilde gerçekleştirilmediği tespit edilmiştir.

Yapılan incelemeler neticesinde, veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikası’nda çerezlere ilişkin olarak bir bilgilendirmenin bulunduğu ancak bilgilendirmenin içinde ilgili kişileri çerez politikasına yönlendirecek bir bağlantı eklenmesi yönünde güncelleme yapılması gerektiği ifade edilmiştir. Veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikasından ayrı olarak bir Çerez Politikası da oluşturduğu, veri sorumlusunun Gizlilik Politikasında çerezlerle ilgili yer vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerektiği ve ayrıca söz konusu metnin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (“Tebliğ”) uygun olması gerektiği üzerinde durulmuştur.

Sonuç

Bu çerçevede Çerez Politikası değerlendirildiğinde;

  • Tebliğ’in 4’üncü maddesi ve KVKK’nın 11. maddesi uyarınca kişinin sayılan hakları konusunda doğru bir bilgilendirmenin yapılmadığı ve
  • hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği ve çerez çeşitlerinin her birine ilişkin amaçların gösterildiği tablonun ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığı görüldüğü ve bu nedenle ilgili politikanın Tebliğ’in 5. maddesi açısından eksik olduğu tespiti yapılmıştır.

Bütün değerlendirmeler ışığında veri sorumlusuna 800.000 TL idari para cezası uygulanmasına ve yukarıda yapılan değerlendirmelerin doğrultusunda veri sorumlusunun gerekli düzenlemeleri yapmasına karar verilmiştir.

Çevirimiçi faaliyetlerdeki çerez uygulamaları gibi minör görünen ve göz ardı edilebilen hususların da aslen KVKK kapsamında getirilen yükümlülükler ile uyumlu hale getirilmesi gerektiği açıktır. Söz konusu kararın en önemli noktalarından biri, Kurul’un açık rıza olmaksızın yapılan kişisel veri işleme faaliyeti ve bu verilerin yurt dışına aktarılmasına ilişkin değerlendirmeleridir. Karar incelendiğinde görülecektir ki, bu hususlar Kurul için vurgu noktası olup bu karar ile içtihatta yer alan önemli bir eksikliğin detaylı bir değerlendirme ile tamamlanmıştır. Dolayısıyla, şirketlerin internet siteleri veya mobil uygulamalarında dikkat etmeleri gereken bir diğer KVKK uyumluluğu noktası da bu olmuştur.

Kişisel verilerinizin korunması veya şirketinizin kişisel veri hukuku uyumluluğu hususlarında uzman hukuki destek almak için İzmir Kişisel Veri Hukuku Avukatlarımıza ulaşabilirsiniz.

Etiketler


tr_TR
tr_TR en_US
× Avukata Sor