6698 sayılı Kanun kapsamında, çerezlere dair dikkate alınması gereken kuralları genel bir çerçevede belirleyecek olursak eğer, veri sorumluları tarafından çerezler vasıtasıyla kişisel veri işlenmesinde aşağıda belirtilmiş olan kriterleri göz önünde bulundurmaları Kurul tarafından tavsiye edilmektedir. Şöyle ki:
Kriter A: Çerezin yalnızca, iletişimin elektronik haberleşme şebekesi aracılığıyla sağlanması nedeniyle kullanılması
Kriter B: Çerez kullanımının, abonenin veya kullanıcıların hizmetten yararlanmak için doğrudan talep etmiş olduğu bilgilerin toplum hizmetleri için kesinlikle gerekli olması
6698 sayılı kanun kapsamında çerezler bakımından kişisel veri işleme şartları şunlardır;
- Veri sorumlusunun açık rızasının bulunması ya da
- Veri sorumlusu tarafından çerezler vasıtasıyla kişisel veri işleme faaliyeti özelinde yapacağı bir takım değerlendirmeler sonucunda, yasa kapsamında 5’inci ve/veya 6’ncı maddelerinde sayılmış olan diğer veri işleme koşullarını da göz önünde bulundurması gerekmektedir.
6698 sayılı kanunun 5’inci ve/veya 6’ncı maddelerde yer alan kişisel verilerin işlenmesi koşullarının uygulanması kapsamında, veri işlemenin Kanun’da yer alan açık rıza dışındaki hallerinden birine dayanması durumunda bu halde ilgili kişiden açık rızasının alınmasına gerek yoktur. Veri sorumlusu öncelikle kişisel verileri işleme amacının faaliyetinin açık rıza dışında yer alan diğer işleme şartlarından herhangi birine dayanıp dayanmadığını değerlendirmeli ve eğer bu amaç yasada bulunan açık rıza dışında bulunan diğer koşullardan hiçbirini karşılamıyorsa, bu durumda veri işleme faaliyeti ilgili kişinin açık rızasına dayanmalıdır.
6698 sayılı yasanın 5’inci maddesi ikinci fıkrası (f) bendinde bulunan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması[1]” işleme koşuluna dayanılması halinde, Kriter A ve B’nin kapsamı da göz önünde bulundurularak kişiye ait temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaatinin kıyaslanması koşuluyla bir denge testi yapılmasıyla meşru menfaatin varolduğunun değerlendirilmesi tavsiye edilir[2].
Örnek verilecek olursa eğer bir internet sitesinde yük dengeleme çerezi kullanılması yoluyla, tek bir makine yerine bir makine havuzu üzerinden web sunucusu isteklerinin dağıtılması mümkün olup kullanıcılardan gelen web talepleri ise bir yük dengeleme ağ geçidine yönlendirilerek bu talep havuzdaki uygun durumda olan iç sunuculara iletilir. Bu kapsamda kullanıcıların taleplerinin uygun olan şekilde yeniden yönlendirilmesi sebebinin Kriter A kapsamında değerlendirilmesi imkan dahilinde olup veri sorumluları tarafından bu sebeple çerez kullanılması suretiyle kişisel veri işlenmesinde, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme koşuluna gidilebileceği düşünülmektedir. Bu işleme şartına dayanılarak kişisel veri işlenmiş olması hâlinde, ilgili kişilerin temel hak ve özgürlükleri açısından da herhangi bir tehlikenin varlığının söz konusu olmaması gerekmektedir.
Yine, bir kimse tarafından bir e-ticaret sitesine ait ürün sepetine seçmiş olduğu bir ürünü eklemesi kapsamında çerezler aracılığıyla kişisel verilerinin işlenmesi hâlinde, bir satış sözleşmesinin kurulması veya edimi ile 6698 sayılı Kanun’un 5’inci maddesinin ikinci fıkrasının (c) bendine dayanılması gündeme gelebilecektir. Söz konusu maddede “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hususu açıkça belirtilmiştir.
[1] https://www.sinerjimevzuat.com.tr/
[2]https://www.kvkk.gov.tr/Icerik/5434/2019-78