“E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında Kişisel Verileri Koruma Kurulu’nun 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti”ne yazımızdan ulaşabilirsiniz. 

İnternet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işleme 

İlgili kişinin şikayeti üzerine, veri sorumlusu tarafından uygulanmakta olan çerez politikasının anlaşılmaz, kapsamı belirtilmemiş bilgiler içermesi, aydınlatma yükümlülüğünün yerine getirilmemesi,  veri sorumlusunun kendi meşru menfaati kapsamında kullandığı çerezlere dair açık rıza almadığı, yurt dışına aktarım yapıldığı halde yurtdışı aktarım için açık rıza alınmadığı, m.11 çerçevesinde ilgili kişi başvurusu yapılmış olup cevabın sadece çerez kullanımına ait olduğu, başvuru sahibinin hangi veri konusu kişi grubuna dahil olduğu belirtilmediği, üyeler, müşteriler ve misafir müşterilere dair veri kategorileri veri tiplerinin amaçlarının tam olarak açıklanmadığı görülmüştür.  

Pazarlama veri kategorisi altında hangi veri tipinin işlendiğinin anlaşılmadığı, ilgili kişinin ticari elektronik izni bulunmadığı halde ‘’hedefleme ve analiz’’ çerezlerinin tarayıcıda ve uygulamada aktif olduğu, müşteri deneyimi için iyileştirme için ‘’hedefleme bilgilerinin ve beğenileri’’ gösteren davranışsal reklam çerezlerinin işlendiği “üye müşterinin açık rızası doğrultusunda yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak üye müşterinin tercih ve beğenisi doğrultusunda uygulama, mal/ürün ve hizmetlerin tanıtımının ve pazarlamasının yapılması” amacı belirtilen veri kategorisi ve veri tipleri için en uygun amaç olmakla birlikte açık rızasının alınmadığı, ifade edilerek Kişisel Verileri Koruma Kurumu’na şikayette bulunulmuştur.  

Ziyaretçiler için hedeflemeli çerezler açık olduğu halde hedeflemeli çerezlerin kullanılmasının doğru olmadığı, çevrimiçi ziyaretçi verilerinin 5651 sayılı Kanun gereği işlendiği ve bunun politikada belirtildiği ancak IP adresinin işlenmesi sırasında hedeflemeli reklamcılık çerezlerinin site üzerinde aktif olmasından dolayı hedeflememe yapılmamasını imkânsız hale getirmektedir. Sonuç olarak internet sitesinde bulunan çerez politikası gerçeği yansıtmayıp, üçüncü taraf çerezlerin özelliklerine, saklama sürelerine doğru bir şekilde yer verilmemiştir.  Aktif olarak kullanılan çerezlerin ve işlenen kişisel verilerin bir kısmı çerez politikasında belirtilmiş olup tam bilgi sunulmamasının çerezler konusunda aydınlatma yükünün yerine getirilmediğinin ispatıdır. Ek olarak, üye olmayan ya da üye olmadan alışveriş yapan ziyaretçilerin profilleme veya segmentasyona tabi tutulmadığının belirtilmiş olup ancak kullanılan çerezlerin büyük bir kısmının veriyi doğrudan ziyaretçiden topladığı ve ziyaretçi trafiğinin siteler arası davranışsal reklamcılık ile arttırılmasının sağlandığı, bu durumda ziyaretçilerin hedeflemeli reklamlara, segmentasyon veya profillemeye tabi tutulduğu belirtilerek veri sorumlusundan gereğinin yapılması talep edilmiştir. 

KVKK Tarafından E-Ticaret Firmasına Kesilen Cezanın Gerekçeleri 

Yapılan incelemeler ve veri sorumlusundan alınan cevaplar sonucunda Kişisel Verileri Koruma Kurulu,  

Web sitelerinin düzgün çalışması için zorunlu çerezlere ilişkin izin alınmayacağı fakat reklam pazarlama performans amacıyla çalışan çerezlerin kullanılmasının açık rızaya tabi olacağı, Çerez politikasında “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.’’ ifadesiyle reklam/pazarlama çerezleri kullanılarak veri işleme faaliyetinin gerçekleştiği, Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı, Veri sorumlusunun, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği, 

Yurt dışı aktarımına ilişkin ise kuruma taahhütname sunmadığı, şu anki mevzuat gereğince açık rıza ile yurtdışı aktarımın gerçekleştirilebileceği, ancak veri sorumlusunun bu konuda açık rıza almadığı, bu faaliyetlerin uygun hale getirilmesi gerektiği, Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği, Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği, veri sorumlusunun gizlilik ve kişisel verilerin korunması politikasında çerezlere ilişkin ‘’Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” Şeklinde bilgilendirmede bulunduğu bu kısma ilişkin daha kolay ve erişilebilir olması adına direkt bir yönlendirme yapılacak bağlantı eklenmesi gerektiği belirtilmiştir. 

KVKK Tarafından E-Ticaret Şirketine Kesilen 800.000 TL İdari Para Cezası ve Detaylar 

Sonuç olarak çerez politikasında veri sorumlusunun kimliğine ilişkin açıklamalara yer verilmiş bulunmakta ancak hangi amaçla işlenebileceği, toplama yöntemi, hukuki sebebi ile ilgili olarak doğru bilgilendirmenin yapılmadığı, web sitesinde aktif olan çerez politikasında kişisel veri işleme amaçları belirlenmiş olduğu görülmekte fakat hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü, veri sorumlusunun halihazırda kullanmış olduğu tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz konusu politikanın güncellenmesi gerektiği, değerlendirmeleri sonucunda; 

Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına, 

Bu veri işleme faaliyetleri bakımından açık rıza mekanizmasının bulunmaması. İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesi ve mobil uygulama ziyaretçilerinden giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması, 

Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi, 

Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesi, 

Veri sorumlusunun internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak güncellenmesi, 

Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması  

Hususlarında gerekli düzenlemelerin yapılmasına karar verilmiştir.