KVKK Aydinlatma Metni

KVKK Aydinlatma Metni

KİŞİSEL VERİLERİ KORUMA KURULUNUN 10/03/2022 TARİH VE 2022/229 SAYILI KARARI Karar Tarihi : 10/03/2022 

Karar No : 2022/229 

Konu Özeti : E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet  sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı  olarak kişisel veri işlenmesi 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; 

Veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile  özel hayatın gizliliğine müdahaleci nitelikte olduğu, 

Çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş  bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine  getirilmediği,  

Çerez kullanımına ilişkin işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin  hukuken mümkün olmadığının düşünüldüğü ve veri sorumlusu tarafından ilgili kişinin açık rızasına  dayanılarak da işleme faaliyetinin gerçekleştirilmediği, 

İnternet sitesinin faaliyetleri ya da kullanılan çerezler kapsamında işlenen kişisel verilerin 6698 sayılı  Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde yer aldığı üzere yurt dışına  aktarıldığı ve bu kapsamda ilgili kişinin açık rızasının alınmadığı, 

Kanun’un 11’inci maddesi uyarınca sahip olunan tüm haklar kapsamında veri sorumlusundan bilgi  talebinde bulunulduğu; ancak veri sorumlusunun cevabında yalnızca çerez kullanımlarına ilişkin bilgi  verildiği, 

Ayrıca ilgili kişinin, hangi veri konusu kişi grubuna dâhil olduğunun belirtilmediği, üye müşteri ve misafir  müşteriyle ilgili olarak işlenen veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak  açıklanmadığı ve kapsamlarının anlaşılamadığı, 

Pazarlama bilgisi veri kategorisi altında yer alan açıklamalardan hangi veri tipinin işlendiğinin  anlaşılamadığı, ilgili kişinin ticari elektronik ileti onayı vermemiş olmasına rağmen “hedefleme ve  analiz” çerezlerinin tarayıcıda ve uygulamada aktif olduğu, gerek platform gerek mobil uygulama  üzerindeki üye müşteri deneyiminin iyileştirilmesi olarak sunulan veri işleme amacı için “hedefleme  bilgilerinin” veya “beğenileri” gösteren değerlendirmelerin davranışsal reklamcılık çerezi işlevi  kazandığı ve işlenmesine gerek olmadığı hâlde işlendiği, “üye müşterinin açık rızası doğrultusunda  yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak üye müşterinin tercih ve beğenisi  doğrultusunda uygulama, mal/ürün ve hizmetlerin tanıtımının ve pazarlamasının yapılması” amacı  belirtilen veri kategorisi ve veri tipleri için en uygun amaç olmakla birlikte açık rızasının alınmadığı, 

Ziyaretçi için hedeflemeli çerezler aktifken hedeflemeli reklamcılık yapılmadığının belirtilmesinin doğru  olmadığı, çevrim içi ziyaretçinin IP adresinin 5651 sayılı İnternet Ortamında Yapılan Yayınların  Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun sebebiyle  işlendiği ve bunun politikada belirtildiği; ancak kişisel veri olan IP adresinin işlenmesi sırasında  hedeflemeli reklamcılık çerezlerinin site üzerinde aktif hâlde bulunmasının hedefleme yapılmamasını  imkânsız kıldığı,

İnternet sitesinde yer verilen çerez politikasının gerçeği yansıtmadığı, çerezlerin ve üçüncü taraf  çerezlerin özelliklerine tam ve doğru bir şekilde yer verilmediği, veri saklama sürelerinin sınırlı sayıda  çerez için belirtildiği, bir sosyal medya platformu ile giriş sekmesi üzerinden üyelik oluşturulması ile  bazı bilgilerin iki platform arasında paylaşılarak kullanıldığı, 

İşlevde olan çerezlerin ve işlenen kişisel verilerin sadece bir kısmı gösterilerek tam bilgi sunulmamasının  çerezler konusundaki aydınlatma yükümlülüğünün yerine getirilmediğinin kanıtı olduğu, 

Ayrıca, tarayıcı veya mobilde çerezleri devre dışı bırakmanın bir önlem olarak sunulduğu, tarayıcıda  çerezlerin devre dışı bırakılmasının kişinin tarayıcı deneyimini tamamen katlanılamaz hâle getirdiği,  kullanıcının siteye ziyaret gerçekleştirmesinden önce tarayıcı ayarlarından çerez kullanımını  engellemediği her hâlde kişisel verilerin işlenmiş olacağı, 

Üçüncü taraf analitik çerezlerin her zaman meşru sayılamayacağı, bu çerezlerin kullanıcı deneyimine  yarar sağlamadığı, internet sitesinde 14 adet analitik çerez kullanılmak suretiyle yurt dışına kişisel veri  aktarılmasının Kanun’a uygun şekilde gerçekleştirilmediği, veri sorumlusunun cevabında Avrupa Birliği  müktesebatında bu tür çerezlerin kullanılmasına ilişkin olarak e-Gizlilik Regülasyonunun henüz taslak  aşamasında olduğunun vurgulandığı, ancak regülasyon olarak taslağı hazırlanan 2002/58 sayılı e-Gizlilik  Direktifinin, 2009/136 sayılı Direktif düzenlemesi olarak güncel hâlde yürürlükte olduğu, davranışsal  reklamcılık ve analitik çerezlerin uygulanmasında 2002/58 sayılı Direktifin 5’inci maddesinin (3)  numaralı fıkrası ile kullanıcıya tanınması gereken “reddetme hakkı”nın, 2009/136 sayılı Direktifte tekrar  düzenlendiği, hâlihazırda bu tür çerezlerin uygulanmasının, 95/46 sayılı Direktif’te tanımlandığı hâliyle  “rıza”ya tabi olduğu, güncel durumun, bu rızanın artık Avrupa Birliği Genel Veri Koruma Tüzüğü’ne  (GDPR) göre yorumlanması yönünde olduğu, 

Üye olmayan ya da üye olmadan alışveriş yapan ziyaretçilerin profilleme veya segmentasyona tabi  tutulmadığının belirtildiği ancak kullanılan çerezlerin büyük bir kısmının veriyi doğrudan ziyaretçiden  topladığı ve ziyaretçi trafiğinin siteler arası davranışsal reklamcılık ile arttırılmasının sağlandığı, bu  durumda ziyaretçilerin hedeflemeli reklamlara, segmentasyon veya profillemeye tabi tutulduğu 

belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan konuya ilişkin savunması istenilmiş  olup alınan cevabi yazıda özetle; 

İlgili kişinin internet sitesi üzerindeki çerezler kapsamında işlenen kişisel verileri açısından, ilgili kişinin  tanınabilmesi amacıyla tarayıcısına yerleştirilen çerezler ve internet sitesinde kullanılan çerezler  vasıtasıyla işlenen kişisel verilerinin “oturum belirteci (session token), alıcı numarası (Buyer ID), e-posta  özet değeri (hashed e-mail), cinsiyeti, üyelik tarihi, sisteme son giriş tarihi, e-posta izni, alıcı VIP statüsü  ve web/mobil web sitelerinde yer alan Çerez Politikası’nda belirtilen ve ‘kesinlikle gerekli çerez’  statüsünde olmayan çerezler” şeklinde olduğu ve bunların Kanun’un 5’inci maddesinin (2) numaralı  fıkrasının (f) bendi uyarınca meşru menfaatleri için veri işlenmesinin zorunlu olması şartı kapsamında  işlenmekte olduğu, 

“Kesinlikle gerekli çerez” statüsünde olmayan çerezler dışında kalan diğer çerezlerin ise bilgi toplumu  hizmet sağlayıcısı sıfatıyla çevrim içi bedelli olarak kullanıcılara sunulan elektronik ticaret hizmetinin  sunulabilmesi için kesinlikle gerekli çerezler olduğu, 

“Kesinlikle gerekli çerezler” ve bilgi toplumu hizmetinin sunulması noktasında, kendilerinin bir bilgi  toplumu hizmet sağlayıcısı olduğu ve bu kapsamda kullandıkları bazı çerezlerin hizmetin sunumu  açısından “kesinlikle gerekli çerezler” olduğu ve bunlar bakımından web sitesi veya mobil uygulama  kullanıcılarından açık rıza alınmasının gerekli olmadığı ve bilgi toplumu hizmet sağlayıcısı olarak meşru 

menfaatlerine istinaden kişisel verilerin işlenmekte olduğu, bu kapsamdaki çerezlere örnek olarak  kullanıcı girişi, kimlik doğrulama, güvenlik, ağ yönetimi ve kullanıcı tercihlerini saklamak için kullanılan  oturum çerezlerinin verilebileceği, 

“Kesinlikle gerekli çerez” kategorisi dışında kalan analitik, kullanıcı davranışları takibi ve diğer online  reklamcılık çerezlerinin kullanıldığı, bu çerçevede kullanıcıların internet sitesini ilk ziyaretleri akabinde  pop-up şeklinde bir aydınlatma metni çıktığı, kullanıcıların internet sitesindeki Gizlilik ve Çerez  Politikalarına yönlendirildiği, Çerez Politikasında da çerezlerin nasıl kullanıldığı, birinci ve üçüncü taraf  çerez ayrımı ve işlevleri, üçüncü taraf çerezlerin reklam ve hedefleme amacıyla nasıl kullanıldığı, çerez  sağlayıcı, çerez adı, çerez çeşidi, çerez amacı, çerez süresi ve detaylı olarak çerez yönetiminin nasıl  yapılacağına ilişkin olarak kullanıcıya bilgi verildiği, 

Kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği, çerez uygulamalarının AB’de  “çerez duvarları” (cookie walls) veya “takip duvarları” (tracking walls) olarak adlandırılan  uygulamalardan farklı olarak, elektronik ticaret hizmetinin sunumunun bu çerezlerin kabulü şartına  bağlanmadığı, bilakis ana sayfayı ziyaret eden kullanıcılara çerezlere ilişkin bilgilendirme yapıldığı ve  çerezleri kabul etmeleri kaydıyla hizmeti kullanmalarının istenmediği, 

Çerez uygulamalarının GDPR’nin yürürlüğe girdiği tarihe kadar Avrupa’da kabul edilen bir uygulama  olduğu, aynı uygulamanın Türkiye’de yerleşik birçok şirket tarafından benimsenmekte ve kullanılmakta  olduğu, GDPR’nin yürürlüğe girmesi ile birlikte 2002/58 sayılı e-Privacy Direktifi ile düzenlenen  “kesinlikle gerekli çerezler” dışında kalan izleme ve online reklamcılık çerezlerine ilişkin olarak  kullanıcıdan rıza alınması şartı getirildiği, uygulamada özellikle AB menşeli veya çok uluslu şirketler  tarafından GDPR uyumu doğrultusunda, çerezler için açık rıza alınması ve açık rıza yönetimi sağlayacak  şekilde internet siteleri tasarlanmışken birçok şirketin çerez kullanımına ilişkin olarak hâlâ GDPR öncesi  uygulamaya devam etmekte olduğu, bu duruma netlik kazandırmak için Kişisel Verileri Koruma Kurulu  tarafından da veri sorumlularına yardımcı olarak nitelikte bir rehber yayınlanmasının elzem olduğu,  ilgili kişi tarafından yapılan şikâyetten bağımsız olarak, çerez kullanımına ilişkin olarak açık rıza alınması  hususunda ve rıza yönetimini sağlayacak teknik çözüm sunan firmalarla görüşmelerin başladığı, ticari  anlaşmalar yapıldığında ise çerezler için açık rıza ve kullanıcı tercih yönetimi sağlayacak şekilde  sayfalarının çalıştığına ilişkin bilgilerin Kurula sunulacağı, 

Çerezlerin yalnızca e-ticaret siteleri tarafından değil, tüm internet ekosisteminde kullanılmakta olduğu  ve günümüz dünyasında çerez kullanımının internet deneyimi açısından temel standart hâline gelmiş  bir uygulama olduğu, dolayısıyla özellikle de e-ticaret platformlarının çerez kullanmaksızın temel  işlevlerini yerine getiremeyecekleri ve kullanıcılarına kaliteli bir hizmet sunamayacakları, çerezler  sayesinde yerine getirilen işlevleri başka bir araçla ikame etmenin mümkün olmadığı ve bir e-ticaret  platformu için çerez kullanımının zorunlu olduğu, 

Çerez kullanımında meşru menfaatlerinin bulunduğuna kuşku olmadığı, zira çerez kullanımının müşteri  deneyiminin iyileştirilmesi, müşteri tercih ve beğenileri odaklı hizmet sunulması ve müşteri istekleri  doğrultusunda ürün ve hizmet optimizasyonu yapılabilmesi gibi karar destek sistemlerini besleyen  temel gerekliliklerden biri olduğu ve aksi bir durumun, kullanıcı deneyimini ve kendi faaliyetlerini  derinden zedeleyeceği, Şirketlerini sektörel rekabetin dışına iteceği, 

Veri işleme sonucu elde edilen menfaatin ilgili kişilerin temel hak ve özgürlükleriyle yarışabilir düzeyde  ve orantılı olduğu, çerezlerin kullanılmasının özünün kullanıcı deneyimini iyileştirmek ve ilgili internet  sitesini kullanıcısının en işine yarayacak ve en kolay şekilde kullanılmasını sağlamak olduğu, bu  kapsamda çerezler vasıtasıyla kullanıcıların ilgi alanları ve istekleri göz önüne alınarak onlara özel bir  deneyim sunulmasının amaçlandığı,

Çerezler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin meşru menfaat denge testini  sağladığı görüşünde olunduğu; çerez ve benzeri teknolojilerin kullanımına ilişkin AB’nin GDPR ve e Privacy Direktifi uygulamalarına paralel olarak “kesinlikle gerekli olmayan çerezler” için kullanıcının açık  rızasının alınması ve rıza yönetimi süreçlerinin tasarlanmaya başlandığı, 

Ad-soyadı, iletişim bilgileri (telefon numarası, adres ve e-posta adresi) ve T.C. kimlik numarasının  Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiği ve söz konusu kişisel  verilerin yine aynı kapsamda satıcı ve kargo şirketi ile paylaşıldığı, 

Sunulan Gizlilik Politikası ile Çerez Politikasının birbirini tamamlayıcı nitelikte olduğu ve çerezlerin  kullanımı kapsamında işlenen verilere ilişkin olarak detaylı açıklamaları barındırdığı, ilgili kişinin  aydınlatmada bulunmadığını iddia ettiği hususların Gizlilik Politikasında mevcut olduğu, ek olarak, ilgili  politikalarda Kanun’un 10’uncu maddesinde bulunan her türlü içeriğin yer aldığı 

İnternet sitelerinde ve mobil uygulamalarında “tracking wall” uygulamasının olmadığı ve çerezlerin  Çerez Politikasında belirtilen şekilde kullanım dışı bırakılması durumunda da internet sitesinin işlediği  ve etkin şekilde ziyaret edilmesinin mümkün olduğu, 

Çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm  internet sitelerinin yurt dışına veri aktarımında bulunduğu, bu aktarıma ilişkin olarak gerek internet  sitesinde bulunan politikalarında gerekse de Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydında  bilgilendirmenin yer aldığı ve ilgili kişilerin Kanun’un 10’uncu maddesi kapsamında bilgilendirildiği, 

Çerezlerin Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in kapsamının dışında yer  aldığı ve söz konusu Yönetmelik hükümlerinin çerezler bakımından uygulama alanı bulmadığı, bu  sebeple de çerez uygulamaları için ticari elektronik ileti onayı alınması gerekmediği 

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih  ve 2022/229 sayılı Kararı ile; 

Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına  gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının  ilgili kişinin açık rızasına tabi olduğu, 

“Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin  açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin  (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti  gerçekleştirilebileceği, 

“Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti  gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı  fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına  başvurulması gerektiği, 

Veri sorumlusu tarafından çerezler vasıtasıyla gerçekleştirilen veri işleme faaliyetinin dayanağı olarak  Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi gösterilmişse de kesinlikle gerekli çerezler  statüsünde olmayan çerezler vasıtasıyla gerçekleştirilen işleme faaliyeti bakımından anılan bende  dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği,  

Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında  değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama 

amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda  açık rızaya dayanılması gerekeceği, 

Veri sorumlusunun internet sitesinde yer alan Çerez Politikasında “…İlgi alanlarınıza ve size daha uygun  içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla  kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha  uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz  içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığı, ayrıca veri sorumlusunun üçüncü taraf  çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğu, ilgili  kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede  de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama  çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığı, 

Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez  Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı  sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını  inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan  çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye  rastlanmadığı, 

Bununla birlikte, çerez politikası içerisinde bulunan Çerez Yönetimi başlığı altında internet tarayıcısının  çeşidine göre çerezler hakkında bilgi edinilip izin verme veya reddetme hakkının kullanılabilmesini  teminen yönlendirmelerin yapıldığının görüldüğü, 

Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle  açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir  prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle  gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri  işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu  işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı, 

Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın  düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri  işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet  sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin  çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt 

in” mekanizmasına göre açık rıza alması gerektiği, 

Kanun’un 9’uncu maddesi anlamında aktarıma ilişkin olarak veri sorumlusunun Kuruma taahhütname  sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında kişisel  verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği; ancak  veri sorumlusunun bu yönde ilgili kişilerin açık rızasını almadığı, bu çerçevede veri sorumlusunun  çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetler Kanun’un  9’uncu maddesine uygun şekilde gerçekleştirilmediğinden, bu faaliyetlerin Kanun’un 9’uncu  maddesine uyumlu hâle getirilmesi gerektiği, 

Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez  Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı  sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını  inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu 

politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya  yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği, 

Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı  ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez  yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme  bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek  bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem  arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının  eklenmesi yönünde güncelleme yapılması gerektiği, 

Veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikasından ayrı olarak bir Çerez Politikası  oluşturduğu, ilgili kişilerin de çerezler vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri  bakımından bu metne yönlendirildiği dikkate alındığında veri sorumlusunun Gizlilik Politikasında  çerezlerle ilgili yer vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerektiği, ayrıca söz konusu  metnin aydınlatma yükümlülüğünün düzenlendiği Kanun’un 10’uncu maddesi ve Aydınlatma  Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (Tebliğ) uygun  olması gerektiği, 

Bu çerçevede Çerez Politikasında, Tebliğ’in 4’üncü maddesi uyarınca veri sorumlusunun kimliğine ilişkin  açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve  hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un  11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı, 

Söz konusu Çerez Politikası Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (g) bendi açısından  değerlendirildiğinde, bu politikada kişisel veri işleme amaçlarının belirlendiği görülmekle birlikte hangi  kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer  verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla  beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü, 

Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (ğ) bendi kapsamında değerlendirildiğinde, çerezlerin  niteliği itibariyle teknik bir konu olduğundan hareketle veri sorumlusunun Çerez Politikasında anlaşılır,  açık ve sade bir dil kullandığının görüldüğü, 

Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (h) bendi hükmü açısından değerlendirildiğinde, veri  sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep  olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında  değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında  açıkça belirtilmediğinin görüldüğü, 

Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamada kullanılan tüm çerezlere ilişkin  süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz  konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi gerektiği 

değerlendirmelerinden hareketle; 

Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması  suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın  işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi  birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı  fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci  maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari 

tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci  maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına, 

Ayrıca, 

Veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve  6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri  işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da  bulunmadığı değerlendirildiğinden veri sorumlusu tarafından internet sitesinde ve mobil  uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli  çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama  Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet  sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş  anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin  sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in”  mekanizmasına göre açık rıza alınması, 

Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği  faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi, 

Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına  yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir  olması adına önem arz ettiği dikkate alındığında söz konusu metne çerezlere direkt olarak yönlendirme  yapılacak bağlantının eklenmesi yönünde güncelleme yapılması, 

Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere  ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez  Politikasının Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde  Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak güncellenmesi, 

Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla  kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin  yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından  değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi  toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması 

hususlarında gerekli düzenlemelerin yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri  sorumlusunun talimatlandırılmasına, 

Öte yandan ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin veri sorumlusu  tarafından yerine getirildiğine karar verilmiştir.