Günümüzde, birtakım kurum ve kuruluşlar tarafından veri sahipleri üzerinde gizlilik ihlali oluşturabilme ve mevcut bu verilerin işlenerek kötü amaçlı kullanılma riski vardır. Kullanıcılar cihazlarında çok sayıda ve çeşitte kişisel verilerini depolamaktadırlar. Bu verilerin, olası birer veri hırsızlığı ile depolanması, kötü niyetli kullanılması ve ticari satıma konu edilmesi günden güne yaygın hale gelmektedir. Yine de çerezleri, gizlilik konusunda potansiyel olarak tehlikeli kılan asıl tehlike, söz konusu kişisel bilgilere çerezler aracılığıyla erişebilenlerin, bu bilgileri nasıl ve hangi amaçla kullanacaklarıdır.

Öyle ki, tüm web siteleri, çerez (cookie) teknolojilerini kullanarak kullanıcıların kişisel bilgilerine erişebilmekte ve bu bilgileri işleyerek kullanıcıları tanımlayan dijital profiller oluşturabilmektedir. Bu durum, özellikle kullanıcıların kişisel verilerinin korunması bakımından birtakım endişeler yaratmaktadır. Bu bağlamda, bazı çerezlere gizlilik açısından az tehlikeli ve kullanım açısından ise ergonomik olarak sınıflandırılabilirken, bazı çerez türleri ise kullanıcılar nezdinde gizliliklerinin ihlali oluşturabilmektedir.

Avrupa Birliği uhdesinde düzenlenmiş olan GDPR (General Data Protection Regulation) Protokolü, Avrupa Birliği vatandaşlarına tanınmış olan ve kullanıcıların kişisel verilerini koruyucu bir takım hak ve yükümlüleri içeren müeyyideleri barındırmaktadır. Anılan protokolün kapsamı o denli geniş tutulmuş ki, protokol, Avrupa Birliği üyesi olan ülkelerde yaşayan kişilere, Avrupa Birliği üyesi olmayan ülkelerde ikamet etmekte olan Avrupa vatandaşlarına ve Avrupa Birliği üyesi ülkeler ile her türlü ticari ilişki içerisinde olan kurum, kuruluş ve tüzel kişilere uygulanacaktır.

Türk hukukunda ise çerezlerin tabi olduğu kurallar ve politikalar bakımından ne yazık ki halen uygulanabilir ve sürdürülebilir mevzuatlar yürürlüğe konulmamıştır. Nitekim, çerez uygulamalarına, 6698 sayılı Kişisel Verileri Koruma Kanun, 5809 sayılı Elektronik Haberleşme Kanun ve ilgili yönetmelik hükümlerinin ne ölçüde hayatın olağan akışı içerisinde cevap verebildiği tartışmalıdır. Ve yine bu doğrultuda, hukukumuzda, çerezlerin işlenmesi, depolanması ve kullanılması bakımından açık ve ayrıntılı hükümler bulunmaması, önemli hukuki ihtilafları da beraberinde getirmektedir.

Çerez Kavramı ve Türleri

Çerez, “kullanıcının ziyaret ettiği web siteleri tarafından oluşturulan ve Üstün Metin Transfer Protokolü (Hyper Text Transfer Protocol – HTTP) kapsamında aktarımı gerçekleşen küçük dosyalardır” şeklinde tanımlanmaktadır. Kullanıcı bir web sitesini ziyaret etmek istediğinde, söz konusu kullanıcının web tarayıcısı sunucuya kullanıcının erişim talebini göndermekte, sunucu ise gelen talep sonrasında kullanıcının talep ettiği bilgileri ve kullanıcıya ait bilgileri web tarayıcısına iletmektedir. Bu iletişim çerezler sayesinde gerçekleştirilmekte ve sunucu, kullanıcının geçmişteki eylemlerini belirleyebilmekte, kullanıcıların kişisel tercihlerinin kaydedilebilmektedir.

Özellikle, 2019 yılından bu yana içinde bulunduğumuz pandeminin etkilerinden birisi de yaşamın daha da elektronik tabanlı yürütülmeye başlamasıdır.  Teknolojik gelişim grafik eğrisinin artarak katlandığı bu yeni dönem içerisinde kullanıcıların kişisel verilerini kurum ve kuruluşların kullanımına bilinçsiz bir şekilde sunduğu görülmektedir. Öyle ki, günümüzde, kullanıcıların kişisel verileri bir bedel karşılığı paylaşıma açılmakta ve günden güne gizliliğinin korunması zorlaşmaktadır. Çerezler aracılığıyla elde edilen veriler, kişisel veri niteliği taşımayan bilgiler olabileceği gibi, IP adresi, kullanıcı adı, benzersiz tanımlayıcı veya e-posta adresi gibi kişisel veriler de olabilir.

KVVK yalnızca kimliği belirli kişilere dair tüm ihlalleri konu almaktadır. O halde, çerezler de tek başına veya başka bilgilerle birlikte kullanılıp veri ihlaline yol açtığında ancak kişinin kimliği belirlenebilir ise KVKK kapsamına girecektir. Kişisel Verileri Koruma Kurulu da çerez uygulamalarının bu kapsama girdiği görüşündedir.

Türk hukukunda, özel olarak çerezlere ilişkin hükümler Elektronik Haberleşme Kanunu’nda (EHK) yer almaktadır.  Kanun’un 51/3. Maddesinde: “Elektronik haberleşme şebekeleri, haberleşmenin sağlanması dışında abonelerin/kullanıcıların   terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacıyla işletmeciler tarafından ancak ilgili abonelerin/kullanıcıların verilerin işlenmesi hakkında açık ve kapsamlı olarak bilgilendirilmeleri ve açık rızalarının alınması kaydıyla kullanılabilir.” Denilmektedir. Alıntılanan fıkradan anlaşılacağı üzere, kişilerin cihazlarına çerez ve benzeri uygulamalar yerleştirilebileceği düzenlenmektedir. Elektronik haberleşme sektöründe, işletmeciler tarafından çerezler aracılığıyla kişisel veri işlenmesi EHK kapsamına girmektedir. Bu çerçevede, tıpkı AB mevzuatında olduğu gibi, bir kimsenin cihazına çerez yerleştirilmesi için, kural olarak bu kişinin açık ve kapsamlı bilgilendirmeye dayalı rızası alınmalıdır. Kaldı ki ziyaret edilen pek çok web sitesinde açık rıza metni rutin olarak kullanıcıların onayına sunulmaktadır. İstisnaen, haberleşmenin sağlanması bakımından gerekli olan çerezlerin bu tür rıza alınmaksızın dahi yerleştirilmesi mümkündür.

KVVK’nun 5. maddesinde, kişisel verilerin ancak veri sahibinin açık rızasıyla işlenebileceği kuralını koyduktan sonra, bu kurala istisnalarını oluşturacak bir takım veri işleme şartı saymıştır. İstisna sayılan şartlara dayanılarak bir kimsenin cihazına kişisel veri işleyen çerezler yerleştirilmesinin veya mevcut çerezlere erişilmesinin mümkün olup olmadığı ne derecede mümkün olduğu irdelenmelidir. Tam bu noktada ise özel nitelikli kişisel veriler bakımından KVKK’nun 6. maddesi devreye girmektedir. Yukarıda sayılmış olunan türdeki verilerin veri sahibinin açık rızası olmaksızın çerezler yoluyla işlenmesi yalnızca sınırlı hallerde mümkün olacağı düzenlenmiştir. Zira, söz konusu maddenin üçüncü fıkrasına göre; “sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, “kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir” denilmektedir. Bu noktada akla meşru menfaat ilkesi gelecektir. KVKK (m. 5/2/f), “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceğini düzenlemektedir. Bahsi geçen meşru menfaatin ne derecede kötüye kullanılacağı önem arz etmektedir. Örneğin, dolandırıcılığın önlenmesi veya şebeke ve bilgi güvenliğinin sağlanması amacıyla kişisel verilerin işlenmesi ile grup şirketleri içinde iç idari işleyişin sağlanması amacıyla veri aktarımı yapılması GVKT’nin meşru menfaatin varlığını kabul ettiği haller arasındadır.

Sonuç

KVVK uyarınca, bir kimsenin cihazına herhangi bir yoldan çerez yerleştirilebilmesi veya hali hazırda mevcut olan bir çerezin içeriğindeki verilerin kullanılıp işlenmesi için kural olarak ilgili kişinin açık rızası gerekmektedir. Öte yandan, söz konusu bu açık rızanın her gün yüzlerce defa, kullanıcılar tarafından, önemsenmeden onaylandığı ve bu yolla kişisel verilerinin kullanıma açıldığı görülmektedir. Bu noktada kullanıcıların bilinçlendirilmesi gerekmektedir. Yine istisna olarak, bir sözleşmeden kaynaklanan veyahut bir ifa ile doğrudan doğruya alakalı ve gerekli olması halinde ya da kullanıcının temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sahibinin de meşru menfaati gözetilerek çerezlerin kullanılması kabul edilmektedir. Günümüzde çerez uygulamalarının sağladığı kolaylıklar düşünüldüğünde temel düzeyde bir veri ihlali oluşturmadığı kanaatindeyim.

EHK’nun 51/3. maddesinde, kişi yönünden kapsamı yalnızca işletmecilere sınırlı tutulması ve veri işleme şartlarındaki denetim mekanizmasının henüz tam anlamıyla kurulamamış olması ileride ciddi ihlallere yol açacaktır. AB’nin kapsamlı ve ayrıntılı mevzuatlar ile koruma altına aldığı veri politikaları Türkiye’de bulunun mevzuatlar ile kıyaslandığında ülkemizde yaptırımların ve denetim mekanizmalarının çok yetersiz olduğu, güncel ihtiyaçlara yanıt veremediği ve sektörün beklentilerini karşılayamadığı görülmektedir. KVVK ise özel olarak çerez politikalarını düzenleyen bir kanun mahiyetinde olmadığından Türk Hukukunda, güncel sorunlara yanıt verecek, tüm çerezlere ve benzer uygulamalara uygulanabilecek nitelikte bir düzenleme yapılarak, kanunlar AB standartlarına çıkartılmalıdır.