Kişisel Verileri Koruma Kurumu (“Kurum”), ilk olarak Temmuz 2022’de yayımladığı “Çerez Uygulamaları Hakkında Rehber”i (“Rehber”) güncellemiş ve 2025 yılı itibarıyla yürürlüğe koymuştur. Güncellenen Rehber, çerezler aracılığıyla kişisel veri işleme faaliyetlerine ilişkin veri sorumlularına yön gösterici hükümler içermekte olup, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil düzenlemeler çerçevesinde uyum yükümlülüklerinin kapsamını göstermektedir.
- Çerez Türleri ve Kapsamı
a. Rehberde zorunlu çerezler, işlevsel çerezler ve pazarlama/ reklam çerezlerine ek olarak analitik ve ölçüm çerezleri ayrı bir kategori olarak düzenlenmiştir.
b. Özellikle üçüncü taraf çerezleri bakımından veri sorumlularının yükümlülükleri detaylandırılmış, kullanıcı profillemesi ve davranışsal reklamcılık uygulamalarında açık rıza alınması gerektiği vurgulanmıştır.
c. Çerez kategorilerinin işlevleri ve veri işleme amaçları ayrı ayrı açıklanarak, belirlilik ve şeffaflık ilkelerinin altı çizilmiştir.
2. Açık Rıza ve Aydınlatma Yükümlülüğü
a. Çerezler vasıtasıyla işlenen kişisel veriler bakımından açık rızanın, önceden işaretlenmiş kutucuklar veya varsayılan ayarlar ile geçerli şekilde alınamayacağı belirtilmiştir.
b. Kullanıcılara sunulan tercih ekranlarında “hepsini kabul et” ve “hepsini reddet” seçeneklerinin eşit görünürlükte olması, kullanıcı tercihlerini kısıtlayıcı tasarımlardan (ör. “dark pattern”) kaçınılması gerektiği düzenlenmiştir.
c. Aydınlatma yükümlülüğü (KVKK m. 10) çerçevesinde, katmanlı (layered) bilgilendirme yöntemine atıf yapılmış; ilk katmanda temel bilgiler, alt katmanlarda ise daha detaylı veri işleme süreçlerinin açıklanması gerektiği ifade edilmiştir.
3. Kullanıcı Tercihlerinin Saklanması ve Yenilenmesi
a. Çerez tercihlerinin ispat yükümlülüğü veri sorumlularına aittir. Bu kapsamda kullanıcı rızalarının kayıt altına alınması, saklanması ve gerektiğinde Kurum’a sunulabilir durumda olması gerekmektedir.
4. Yurtdışına Veri Aktarımları
a. Çerezler vasıtasıyla yurt dışına veri aktarımında, KVKK m. 9 hükümleri uyarınca;
-
- Yeterlilik kararı,
- Taahhütname + Kurul onayı veya
- İlgili kişinin açık rızası yöntemlerinden birinin bulunması gerektiği belirtilmiştir.
b. Özellikle reklam teknolojileri sağlayıcıları ve analitik hizmet sunucularının çoğunlukla yurtdışında yerleşik olduğu dikkate alınarak, bu aktarım risklerinin ayrıca yönetilmesi gerektiği vurgulanmıştır.
5. Uyumluluk, Denetim ve Yaptırımlar
a. Güncellenen Rehber, Kurum tarafından yapılacak inceleme ve denetimlerde esas alınacak rehberlerden biri olarak kabul edilecektir.
b. Rehberdeki düzenlemelere uyulmaması halinde, KVKK m. 18 kapsamında idari yaptırımlar gündeme gelebilecektir. Özellikle hukuka aykırı çerez kullanımı halinde, veri sorumluları hakkında aydınlatma yükümlülüğüne aykırılık, veri güvenliği yükümlülüğüne aykırılık ve hukuka aykırı veri aktarımı gerekçeleriyle idari para cezası uygulanabileceği belirtilmektedir.
Çerez Uygulamaları Hakkında Rehber
Konuyla ilgili detaylı bilgi edinmek ve uyum sürecinde profesyonel destek almak için bizimle her zaman iletişime geçebilirsiniz.
İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.
