Bir internet sitesine girdiğimizde çoğu zaman ekranın alt kısmında beliren “Çerezleri kabul ediyor musunuz?” sorusunu hızlıca geçip yolumuza devam ediyoruz. Oysa bu küçük kutucukların arkasında, kişisel verilerin korunması açısından oldukça önemli bir dünya bulunuyor.
Çerezler, internet sitelerinin kullanıcıların cihazlarına bıraktığı küçük metin dosyalarıdır. İlk bakışta teknik bir ayrıntı gibi görünseler de aslında internet deneyimimizi şekillendiren önemli araçlardır. Bir internet sitesinde oturumunuzun açık kalmasını sağlamak, alışveriş sepetinizdeki ürünleri hatırlamak veya tercihlerinizi kaydetmek gibi birçok işlev çerezler sayesinde mümkün olmaktadır.
Ancak çerezler yalnızca kullanıcıya kolaylık sağlamak amacıyla kullanılmaz. İnternet sitesi işletmecileri, ziyaretçilerin hangi sayfalarda daha fazla vakit geçirdiğini, hangi içeriklere ilgi gösterdiğini ve siteyi nasıl kullandığını da bu araçlar sayesinde analiz edebilmektedir. Hatta bazı çerezler, kullanıcıların ilgi alanlarına göre reklam gösterilmesine hizmet etmektedir.
Bu noktada Kişisel Verilerin Korunması Kanunu (KVKK) devreye giriyor. Çünkü çerezler aracılığıyla elde edilen bilgiler, çoğu durumda kişisel veri niteliği taşıyabilmektedir. Dolayısıyla veri sorumlularının çerez kullanırken yalnızca teknolojik gereklilikleri değil, hukuki yükümlülükleri de dikkate almaları gerekiyor.
Kanun kapsamında her çerez için mutlaka açık rıza alınması gerektiği düşüncesi yaygın olsa da durum bundan biraz daha farklıdır. İnternet sitesinin çalışması için zorunlu olan çerezler veya kullanıcının açıkça talep ettiği bir hizmetin sunulması için gerekli çerezler bakımından açık rıza aranmayabilmektedir. Bunun yanında kanunda öngörülen bazı veri işleme şartlarının varlığı halinde de veri sorumluları açık rıza almaksızın kişisel veri işleyebilmektedir.
Bununla birlikte performans, analiz veya reklam amaçlı kullanılan çerezlerde açık rıza çoğu zaman temel hukuki dayanak olarak karşımıza çıkmaktadır. Ancak burada da önemli bir ayrıntı bulunmaktadır: Açık rıza gerçekten özgür iradeyle verilmiş olmalıdır. Kullanıcının tüm çerezleri kabul etmediği takdirde internet sitesini kullanamaması veya sürekli karşısına çıkan onay ekranları nedeniyle adeta rıza vermeye zorlanması, hukuken geçerli bir açık rızanın varlığını tartışmalı hale getirebilir.
Ayrıca açık rızanın pasif değil, aktif bir davranışla verilmesi gerekir. Bir internet sitesine girilmiş olması ya da kullanıcı tarafından herhangi bir işlem yapılmaması, çerez kullanımına onay verildiği anlamına gelmez. Kullanıcının neye onay verdiğini açıkça anlayabilmesi için önceden aydınlatılması ve tercihlerini bilinçli şekilde ortaya koyabilmesi gerekir.
Dijital dünyada attığımız her adımın veri ürettiği bir çağda yaşıyoruz. Çerezler, internet deneyimini kolaylaştıran faydalı araçlar olmakla birlikte, kişisel verilerin korunması açısından dikkatle yönetilmesi gereken bir alan olmaya devam ediyor. Bu nedenle hem internet sitesi işletmecilerinin hukuki yükümlülüklerini yerine getirmesi hem de kullanıcıların haklarının farkında olması, yaşadığımız bugünlerde dijital güvenliğin temel unsurlarından biri haline gelmiş durumda.
