Tahmini Okuma Süresi: 6 dakika

Politikanın neden zorunlu olduğundan bahsetmeden önce kısaca çerezlerin (cookies) ne olduğundan bahsedilim.

Çerez Kullanımı Nedir?

En basit anlatımla çerez, herhangi bir web sitesini kullandığınız süre boyunca sizin kullanım alışkanlık ve tercihlerinizi tarayıcı üzerinde depolayan küçük dosyalardır. Çerezler, hem zamandan tasarruf edebilmek hem de daha iyi bir internet deneyimi sunmak mahiyeti ile kullanılır.

Yukarıda ki görselde kurucu ortağı olduğum Startup Legalist giriş ekranını görüyorsunuz. Hemen altında ise kırmızı bir ok ile belirttiğim “beni hatırla” seçeneği yer alıyor. Bu seçenek hemen hemen her sitede vardır. İşte standart bir internet kullanıcısı olarak bu opsiyonu seçtiğimiz anda çerezleri aktif hale getirmekteyiz. Bu sayede giriş bilgilerimiz bir metin dosyası olarak (.txt) kaydedilecek ve aynı web sitesini her ziyaret edişimizde giriş bilgilerini tekrar yazarak zaman kaybetmemizin önüne geçilecektir.

Aslında çerezlerin çalışma prensibi çok basittir. Onlar zararsız, minik metin dosyalarıdır. (Kötü kişilerin eline geçmediği sürece) Örneğin siz Startup Legalist’te beni hatırla diyerek oturum açtıktan sonra kullandığınız tarayıcı sizin kimliğinizi (ID) tarayıcıya kaydedecektir. Chrome için daha önce kaydedilen tüm çerezleri “%LOCALAPPDATA%GoogleChrome” komutu ile görüntüleyebilirsiniz. Siz siteye geri geldiğinizde sunucu tarafından bu dosyalara komut gönderilecek ve eşleşme sağlanarak bilgileriniz hatırlanacaktır. Tüm bu işlemler sunucu ve bilgisayaranız arasında olduğu için endişelenmenize gerek yok. Başka bir ifadeyle herhangi bir şirket oturum çerezlerine erişerek kişisel verilerinizi alamaz. Bir çerezi kabul etmek, bilgisayarınıza bir sunucu erişimi vermez veya kişisel bilgilerinizden herhangi birini sağlamaz. Ayrıca çerez kullanılarak bilgisayarınıza virüs buluşması da teknik olarak mümkün değildir. (Ancak kötü amaçlı çerezlerin de mevcut olduğunu belirtmemiz gerekiyor. Virüs olmasalar dahi bilgisayarınıza siz farketmeden bir takip çerezi yerleştirilmiş ve yaptığınız her işlemi kayıt altına alıyor olabilir. Bu nedenle güvenmediğiniz sitelerin çerez kullanımını kabul etmemenizi ve belli aralıklarla çerezleri sıfırlamanızı öneriyoruz.)

Bunun dışında çerezler sıklıkla reklam tercihlerimizi belirlemek amacıyla tutulur. Örneğin bir arama motoru üzerinden “kol saati” araması yaparsanız ve kol saati satan bir kaç siteye girerseniz kısa bir süre sonra gördüğünüz reklamlar tamamen kol saatlerinden oluşacaktır. Çerezler sizin kullanım alışkanlıklarınızı anonim olarak kaydederek önünüze ilgi alanınıza paralel olarak reklamlar çıkmasını sağlar.

Şahsen bu durumu beğenmediğimi ifade etmeliyim. Örneğin ben bir kol saati satın alsam dahi karşıma çerezler sıfırlanana kadar kol saati reklamları çıkmaya devam ediyor ki bu da gerçekten sıkıcı bir hal alıyor. Kim sonsuza kadar kol saati reklamı görmeyi ister ki? Bu durumdan kurtulmak için Google hesap ayarlarınızdan “kişiselleştirilmiş reklamlar” seçeneğini kapatmanız yeterli olacaktır. 

Çerezlerin kullanıldığı bir diğer alan ise e-ticaret siteleridir. Örneğin sepetinize eklediğiniz ürünler tarayıcınızı kapattıktan sonra, siteyi tekrar ziyaret ettiğinizde de oradadır. Bu sayede üye giriş yapmamış dahi olsanız ürünleri tekrar aramakla zaman kaybetmemiş olursunuz. Zaten çerezler kullanılmasaydı sizin sepetinize eklenen tüm ürünler yeni bir bağlantıya tıkladığınızda sıfırlanacaktı. Bu da internet üzerinden alışveriş yapmayı imkansız hale getirecekti.

Evet artık çerezler hakkında genel olarak bir bilgiye sahip olduğunuza göre hukuksal boyutunu anlatmaya geçebiliriz. (Bu makale işin daha çok hukuksal boyutunu ele aldığı için teknik bilgi üzerinde fazla durulmamıştır. Örneğin çerez çeşitleri, protokoller vd. hususlar hakkında bilgi almak isterseniz yorum kısmında belirtmeniz durumunda kaynak paylaşabiliriz.)

Nedir Bu Çerez Politikası?

Çerez politikası, akıllı telefon, tablet, bilgisayar kısaca bir web sitesine erişmenizi sağlayacak her türlü cihaz için verilerinizin depolandığını, hangi şartlar altında kullanıldığını ve nasıl çalıştığını belirten bir bilgilendirici metindir.

Web siteleri çerezleri etkin olarak kullanabilmek için kullanıcıların “açık rızalarını” almak zorundadırlar. Yani bir web sitesini ziyaret etmek isteyip, çerez kullanımını reddetme özgürlüğünüz bulunmaktadır. Ancak bu durumda web sitesini etkin bir biçimde kullanamayabilirsiniz. (Yukarıda verdiğimiz online alışveriş örneği.)

Çerez Politikasını Hangi Mevzuat Düzenliyor?

AB’nin kişisel verilere ilişkin mevzuatı Genel Veri Koruma Regülasyonu (GDPR), web sitesi ziyaretçilerine her zaman, hangi amaçla, niçin, nerede ve datalarının hangi ülkelerde kayıtlı oldukları konusunda güncel bilgi alma hakkını vermektedir.

Bu kurallar web sitenizin gizlikik politikası ve  çerez politikasını etkilemektedir. Bu bağlamda  web sitenizde, web sitesinin çerez kullanımı ve kullanıcıların bunları kabul etme ve reddetme seçenekleri hakkında özel, doğru ve güncel bilgiler içeren uygun bir çerez politikasına ihtiyacınız vardır. Aksi halde çok ciddi para cezaları ile karşı karşıya kalmanız muhtemel.

Ayrıca çerezler bizim hukukumuzda da 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında “kişisel veriye ilişkin” düzenlemeler içerdiğinden bu kanununun himayesi altında değerlendirilebilecektir.

Şimdi aklınızda “Çerez Politikası” ve “Gizlilik Politikası” arasında ne tür bir fark var? sorusu gelebilir. Gizlilik politikası kullanıcı datalarını, kayıt formlarını, pazarlamasyon seçeneklerini, kişisel verilerin işlenmesi ve kaydedilmesini ve buna paralel diğer hususları içerirken çerez politikası daha spesifik olup çerezlere ilişkin düzenlemeler içermektedir.

Çerez Politikası Neleri İçermeli?

Bir web siteniz varsa artık çerez politikası bulundurması gerektiğini biliyorsunuz. Peki ama bu politika neleri içermeli? Sizin için bir maddelendirme yapabilirim:

  • Web Sitenizde ne tür çerezler bulunmakta?
  • Çerezler hangi süreyle depolanmakta?
  • Çerezler hangi verileri izliyorlar?
  • Çerezler hangi amaçla (işlevsellik, performans, istatistik, pazarlama vb.) kullanılıyor?
  • Çerezler Verileri üçüncü kişilerle paylaşıyor mu? Paylaşıyorsa nasıl ve neden?
  • Çerezler nasıl reddedilir veya kabul edilen bir çerez nasıl iptal edilebilir?

Eğer çok özel çerezler kullanmıyorsanız temel olarak bu soruların cevaplarını çerez politikanızda bulundurmanız yeterli olacaktır.

Çerez Politikası Nerede Bulunmalı?

Çerez politikası ayrıca düzenlenebileceği gibi gizlilik politikanızın içerisinde “Çerezler” başlığı içeren alt başlık şeklindede bulunabilir. Çerez politikasının nerede konumlandırılacağı GDPR açısından şekli olarak bir öneme sahip değildir. Ancak bir kullanıcının web sitenizi ilk kez ziyaret edişinde açılır küçük bir kutucuk ile (pop-up) sitenizde çerezleri kullandığınızı belirtmeniz gerekmektedir.

Bir Eleştiri:

GDPR’ın getirdiği en önemli yenilik “açık rıza” ilkesidir. Diğer bir değişle regülasyon kapsamında hiç bir kullanıcıya seçim hakkı vermeden, varsayılan olarak kabul edilen seçenekler sunulamaz. Örneğin “bu siteyi kullanmakla birlikte çerez kullanımına izin verirsiniz” ifadesi kullanıcıya seçim hakkı vermeyen tek taraflı bir irade beyanına dayanmaktadır. GDPR, bu yaklaşımı kabul etmemekte, kullanıcıya seçim hakkı verilmesi gerektiğini net bir biçimde ifade etmektedir. Ancak Türk Hukukunda özellikle çerez politikası için detaylı bir düzenleme bulunmadığından 6698 sayılı kanun kapsamında yapılan bildirim ve aydınlatmalar da yeterli olarak kabul edilmektedir. Kanımızca, her zaman “açık rıza” ilkesine uygun olarak hareket edilmesi ve düzenlemelerin de bu bağlamda yapılması isabetli olacaktır. Bu nedenle çerez kullanımına ilişkin yaptığınız bilgilendirmelerin “Bu sitede çerezler kullanılmaktadır. Kabul Et, Daha Fazla Bilgi Al” şablonunda olması GDPR için daha doğru bir yaklaşım olacaktır.

Not: Çerez Politikası örneğine ihtiyacınız varsa yorum kısmında bunu belirtirseniz sizinle örnek bir şablon paylaşabilirim.

Kaynaklar:

Cookie Law
European Com.
Digital Guardian
Kişisel Verileri Koruma Kurumu