Bir web adresine girildiğinde, genellikle çerezlerle ilgili bilgilendirme ve bir seçim yapılması gerekliliği ile karşılaşmaktayız. Bu seçimler “tümünü kabul et, tümünü reddet ve çerez ayarlarına git” şeklinde ve hukuken doğru bir yapıyken, sizi dolaylı olarak olsa dahi kabul etmeye zorluyor veya yönlendiriyorsa aslında hukuka aykırı bir uygulama ile karşı karşıyasınız demektir.
Bir web adresine girildiğinde, genellikle çerezlerle ilgili bilgilendirme ve bir seçim yapılması gerekliliği ile karşılaşmaktayız. Bu seçimler “tümünü kabul et, tümünü reddet ve çerez ayarlarına git” şeklinde ve hukuken doğru bir yapıyken, sizi dolaylı olarak olsa dahi kabul etmeye zorluyor veya yönlendiriyorsa aslında hukuka aykırı bir uygulama ile karşı karşıyasınız demektir ve kişisel verileriniz izniniz olmadan toplanıyor ve işleniyor olabilir. Ancak kullanıcılar genellikle bu seçimlere çok önem vermezler ve seçimi yapıp web sayfasında gezinmeye başlarlar. Aslında bu çerezlerin kim tarafından ne amaçla toplandığını ve yasal olarak bize bu seçim hakkının neden verildiğini bilsek seçimimizi daha dikkatli yapıyor olurduk.
Çerezler ilk olarak, elektronik ticaret sitelerinde, müşterinin alışverişi sırasında internet bağlantısının kopmasıyla alışverişi tamamlayamaması sorununa çözüm olması için ortaya çıkmıştı. E-ticaret sitesinde yer alan satıştaki ürünlerin seçimini tamamlayan müşteri, seçimlerini alışveriş sepetine atar ve devam etmek isterse ödeme sayfasına geçer ve ödeme aşamasının da tamamlanmasıyla alışveriş gerçekleşmiş olur. Bahsi geçen teknik aksaklıklar nedeniyle alışverişe baştan başlamak zorunda kalan müşteriler ilk seçtikleri ürünleri en baştan sepete eklemek zorunda kalınca alışveriş yapmaktan vazgeçebiliyordu. Çerezler sayesinde web sitesi o kişiyi tanıyıp, alışveriş sepetindeki ürünleri hatırlayarak kaldığı yerden alışverişi tamamlama fırsatını sağlama amacıyla ortaya çıkmıştı. Yani çerezler, bir siteye giren kullanıcıyı otomatik olarak tanıma, seçimlerini tekrar önüne getirme ve hatta günümüzde gelinen özellikler ile o kişinin tercihlerini de bilip ona göre reklam pazarlama ve kişiselleştirme faaliyeti yapma amacına hizmet etmektedir.
Günümüzde bağlanan kişiyi tanımlaması sayesinde kişiselleştirilmiş pazarlama, dinamik fiyatlandırma, kampanya yönetimi ve güvenlik hizmetleri gibi birçok alanda ve amaçla da kullanılmaya başlanmıştır. Bu alanların genişlemesiyle çerez uygulaması kapsamında elde edilen veriler arasında özellikle kişisel veride önemli bir yer tutmaya başlamıştır.
Kullanıcıyı tanımlamaya yarayan veri dosyaları kullanıcının kendi bilgisayarı ya da bağlanılan web sunucusu olmak üzere iki lokasyonda tutulabilmektedir. Kullanıcı isterse kendi bilgisayarında tutulan çerezleri silebilmektedir. Çerez kullanımının etkinliğine örnek vermek istediğimizde, ulaşım ve konaklama hizmeti veren ve ilgiye göre dinamik fiyatlandırma yapan web sitelerinde geçmiş çerezlerimizi silerek daha uygun fiyatlı hizmet alabileceğimizi gözlemleyebiliriz.
KVKK, çerezlere yönelik uygulama kılavuzu yayınladı
Erişilen web sunucuları kişisel veri barındıran çerez verileri tutabildiğinden ve kullanıcıların tercihlerinin belirlenebilmesine ve hatta yönlendirilmesine imkan verdiğinden, çerez uygulamaları birçok ülkede kurallara, politikalara ve kullanıcı izinlerine tabi olarak denetlenmeye başlanmıştır. Ülkemizde de KVKK (Kişisel Veri Koruma Kanunu) ile firmaların web sayfaları aracılığıyla topladıkları verilerin kaydedilmesi belirli kurallara ve standartlara bağlandı, yakın zaman önce de KVKK, çerezlere yönelik uygulama kılavuzu yayınladı.
Siber güvenlik alanında bir akademisyen olarak ve Kurt and Partners Hukuk Bürosu ile gerek teknik gerek hukuki veri koruma uyum süreçleri ve danışmanlığı hizmeti sunduğumdan, çerez konusu da dahil olmak üzere birçok yerel ve uluslararası kurum ve kuruluşa hizmet verme ve uygulamalarını yakından inceleme fırsatı buldum. Kişisel verilerin korunmasına yönelik tedbirlerin alınması ve hukuki uyumluluk sürecinde farkındalık ve uygulama konusunda şirketlerin önemli şekilde yol aldığını söyleyebilecekken, şu an için çerez uygulamalarının uyumluluğu konusunda aynı farkındalık ve yaklaşımın söz konusu olduğunu maalesef söylemek zor.
Şirketler, web sayfalarında e-ticaret yapmadıkları zaman çerezler dahil olmak üzere log-yönetimi, aydınlatma mekanizması ve benzeri tedbirleri almalarına gerek olmadığı yanılgısındalar. Aksine, istisna olmaksızın kişisel veri işleyen tüm veri sorumlularının, Kişisel Verilerin Korunması Kanunu’na tabi oldukları gibi çerez düzenlemelerinden de muaf olmaları söz konusu değildir. Ayrıca birçok firma, şirket web sitelerinin, farkında olmadan çerez topladıklarından habersiz.
Kısaca belirtmek gerekir ki, çerez toplayan web sayfalarında, sayfaya girildiğinde mutlaka log-yönetimi, silme politikası, çerez politikası, çereze yönelik kişiselleştirme ve aydınlatmaya yönelik bir mekanizma kurulmasına muhakkak ihtiyaç vardır. Şirketlerin kendi web sitelerini kendilerinin yönettiği veya bu konuda dışarıdan hizmet aldıkları haller de dahil olmak üzere çerez yönetimi mekanizmasını işletmek için altyapısını kurması veya bu konuda başlı başına hizmet veren kurumlardan destek alması önemle tavsiye edilir. Zira, tüm uyumluluk süreçlerinde olduğu gibi çerez yönetiminde de mekanizmanın kurulmasından çok sürdürülebilir şekilde etkin yönetilebilmesinin sağlanması daha zor ve fakat daha önemlidir.