Turkey: The Guideline on Use of Cookies Has Been Published

Click the button to listen to our legal alert now!

The Guideline on Use of Cookies Has Been Published

On 11 January 2022, the Personal Data Protection Authority (“Authority“) published the Draft Guideline on Use of Cookies and on 20 June 2022, it published the Guideline on Use of Cookies (“Guideline“). With the Guideline, the Authority aims to bring forward recommendations to ensure compliance of cookie usage procedures followed by data controllers with the Personal Data Protection Law (“Law“).

New development

On 11 January 2022, the Authority opened the draft guideline for public consultation until 10 February 2022. The Guideline sets forth cookie types, the relationship between the Electronic Communications Law No. 5809 (“ECL“) and the Law, various cookie implementation cases,explicit consent and informing mechanisms and the analysis of the Authority’s decision dated 27 February 2020 numbered 2020/173 from a cookie use perspective and further elaborates on cross-border data transfers through cookies. The Guideline also provides a checklist for the use of cookies in its attachment and brings examples of different uses of cookies. The relevant decision is available online here. The Guideline is available online here. Further information on the draft Guideline is available here.

What’s new

The Guideline aims to ensure website operators’ compliance with the Law when using cookies^[1] and covers only cookies used for processing personal data. The Guideline does not cover technologies such as pixels, user fingerprints, local storage and beacons. The Guideline applies to desktop and mobile websites and applications.

Definitions and types of cookies

In the Guideline, “cookie” is defined as “a type of text file placed on the user’s device by the website operators and is transferred as part of the HTTP (Hyper Text Transfer Protocol) query.” Another definition given by the Guideline is as follows: “cookies are small sized rich text formats, which allow certain information about users to be stored on terminal devices when a web page is visited.”
The Guideline explains the types of cookies based on three main characteristics: (i) duration of the cookies; (ii) purpose of the cookies; and (iii) parties of the cookies. With regard to their duration, cookies are classified as session cookies and persistent cookies. As to their purpose, cookies are classified as strictly necessary (mandatory), functional, performance-analytical and advertising/marketing cookies. As regards parties, cookies are categorized into two — as first-party and third-party cookies, depending on whether the cookie is placed by the website or the domain visited by the user.

Relationship between the ECL and the Law

According to the Guideline, the Law will be applicable to information society services as, unlike the EU Directive 2002/58/EC, this topic is not regulated under the ECL. In this context, the decision dated 27 February 2020 numbered 2020/173 is highlighted. Additionally, the ECL may partially be applicable to the data controller operators.

Rules regarding explicit consent for the use of cookies

The Guideline emphasizes the two criteria that are used in the EU to determine whether explicit consent is required for the use of cookies. Accordingly, either of the following questions should be answered: “Are cookies used only for providing communication over an electronic communication network?” or “Are cookies strictly necessary for the information society services that are explicitly requested by the subscriber or user?” For cases that do not fall under these two scenarios, either the explicit consent of the data subject must be obtained or another legal basis stipulated under the Law must be reliable. As stated, the explicit consent of the data subject is not required for the use of cookies if one of the legal basis set forth under the Law exists.

The Authority emphasizes that when the use of cookies requires explicit consent of the data subject, the data subject must be provided with clear and specific information and the consent must be obtained based on active action (i.e., opt in) and free will of the data subject in order for the consent to be deemed legitimate. The Authority stated that requesting consent frequently may lead to “consent fatigue” and may compromise the free will of the data subject. Hence, as per the Guideline, instead of obtaining consent every time a user accesses the website, it is sufficient to remind the explicit consent preference of the data subject proportionally throughout the lifetime of a cookie. Finally, the Authority emphasized that obtaining consent for cookies through cookie walls that block the view of the website itself compromises free will since explicit consent will be deemed as a prerequisite for the use of services.

In cases where third-party cookies are used, both the website owner and the third party are responsible for clearly informing the data subjects and obtaining explicit consent in accordance with the Law. The Guideline recommends that the rules regarding the obligation to inform and obtaining consent be regulated in the agreement between the website owner and the third party since it is more difficult for third parties to establish a connection with the data subjects compared to the website owner.

Conclusion

In the Guideline, the Authority aims to guide website operators and those that process personal data through cookies to bring cookie practices in line with the legislation. Stakeholders should review this important Guideline and ensure their compliance with the Law in light of the Authority’s guidance.

[1]The term “website” referred to in the Guideline includes websites or media (such as mobile phones or tablets).

> Back to Top

Bu bültenimizi podcast olarak da dinleyebilirsiniz!

Çerez Uygulamaları Hakkında Rehber Yayımlandı

Kişisel Verileri Koruma Kurumu (“Kurum“), 11 Ocak 2022 tarihinde Çerez Uygulamaları Hakkında Rehber Taslağı’nı yayımlamıştı. Kurum, 20 Haziran 2022 tarihinde, Çerez Uygulamaları Hakkında Rehber’i yayımladı. Rehber, çerez teknolojilerini kullanan veri sorumlularının ilgili uygulamalarının Kişisel Verilerin Korunması Kanunu’na (“Kanun“) uyumuna yönelik öneriler getirmektedir.

Yeni gelişme

Kurum, Rehber taslağını 11 Ocak 2022 tarihinde yayımlamış ve 10 Şubat 2022 tarihine kadar kamuoyu görüşüne açmıştı. Rehber’de, taslak versiyonda yer alan çerez türlerine ilişkin detaylı açıklamalar, 5809 sayılı Elektronik Haberleşme Kanunu (“EHK“) ile Kanun arasındaki ilişki, çerez kullanım senaryoları ve hukuka uygun açık rıza alımı, aydınlatma yapılmasına ilişkin açıklamalara ve Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararının çerezler açısından değerlendirilmesine ek olarak kişisel verilerin çerezler vasıtasıyla yurtdışına aktarımına da yer verilmiştir. Rehber’de ayrıca, çerez kullanımına ilişkin kontrol listesi düzenlenmiş ve çerez kullanımları örneklendirilmiştir. İlgili karara buradan ve Rehber’e buradan ulaşabilirsiniz. Rehber taslağına ilişkin bilgi notumuza ise buradan ulaşabilirsiniz.

Rehber Neler Getiriyor?

Çerez kullanan internet sitesi^[2]operatörlerinin Kanun’a uyumunu sağlamayı amaçlayan Rehber, yalnızca kişisel verilerin işlenmesinde kullanılan çerezleri kapsamaktadır. Rehber’de yer alan düzenlemeler piksel, kullanıcı parmak izleri, local storage, beacon gibi teknolojiler ilişkin herhangi bir yönlendirme içermemektedir. Rehber, masaüstü ve mobil internet siteleri ile uygulamalara ilişkin düzenlemeler getirmektedir.

Çerez tanımı ve türleri

Rehber, çerezleri; “internet sitesi operatörleri tarafından kullanıcı cihazına yerleştirilen bir tür
metin dosyasıdır HTTP(S) (Hiper Metin Transferi Protokolü) talebinin bir parçası olarak aktarılır” şeklinde tanımlamıştır. Rehber’deki bir diğer çerez tanımı ise “bir internet sayfası ziyaret edildiğinde kullanıcılara ilişkin birtakım bilgilerin kullanıcıların terminal cihazlarında depolanmasına izin veren düşük boyutlu zengin metin biçimli text formatları“dır.

Rehber, çerez türlerini (i) sürelerine göre, (ii) kullanım amaçlarına göre ve (iii) taraflarına göre çerezler olmak üzere 3 ana başlıkta toplamıştır. Sürelerine göre çerezler, oturum çerezleri ve kalıcı çerezlerdir. Kullanım amaçlarına göre çerezler; kesinlikle gerekli (zorunlu), işlevsel, performans-analitik ve reklam/pazarlama çerezleridir. Taraflarına göre çerezler ise, çerezin, kullanıcının ziyaret ettiği internet sitesi veya etki alanı tarafından yerleştirilip yerleştirilmemesine bağlı olarak birinci ve üçüncü taraf çerez olarak ikiye ayrılmaktadır.

EHK-Kanun ilişkisi

Rehber, EHK ile Kanun arasındaki ilişki bakımından; EHK’da 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine yönelik düzenlemeleri yer almadığından bu konuda Kanun’un uygulama alanı bulacağını belirterek, Kurum’un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararına dikkat çekmiştir. İlaveten, EHK’nın yalnızca veri sorumlusu işletmeciler ile sınırlı olarak uygulanabileceği ifade edilmiştir.

Çerez kullanımında açık rıza alınmasına ilişkin kurallar

Rehber’de çerez kullanımında açık rızanın alınıp alınmayacağı hususunda belirleyici olan ve Avrupa Birliği’nde yer verilen iki kriter vurgulanmıştır. Bu doğrultuda, çerez kullanımının (i) sadece elektronik haberleşme şebekesi üzerinden iletişim sağlanması kapsamında veya (ii) abonenin veya kullanıcının açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olup olmadığı değerlendirilmelidir. Bu kriterlerden birine girmeyen ve Kanun’daki açık rıza dışındaki veri işleme şartlarından herhangi birinin bulunmadığı hallerde, ilgili kişinin açık rızası alınmalıdır. Belirtildiği üzere, çerez kullanımı için Kanun’da gösterilen veri işleme şartlarından herhangi birinin mevcudiyeti halinde ilgili kişinin açık rızasının alınması gerekmeyecektir.

Kurum, veri sorumlularının açık rıza alınmasını gerektiren çerez kullanımlarında, açık rızanın hukuka uygun olması için ilgili kişinin açık ve spesifik olarak bilgilendirilmesi ve rızanın ilgili kişinin aktif eylemi ve özgür iradesiyle alınması gerektiğini vurgulamıştır. Kurum, çok sık aralıklarla rıza alınmasının “rıza yorgunluğuna” sebebiyet verebileceğini ve ilgili kişinin özgür iradesini sakatlayabileceğini belirtmiştir. Rehber uyarınca, internet sitesine her girişte rıza alınması yerine açık rıza tercihinin çerezin ömrüyle orantılı şekilde hatırlatılması yeterlidir. Son olarak, çerez onayının ilgili kişinin internet sitesi içeriğini görüntülemesini engelleyici çerez duvarları kullanılarak alınmasının, açık rızanın hizmetin ön koşulu olarak sunulması sebebiyle özgür iradeyi sakatladığı vurgulanmıştır.

Üçüncü taraf çerezlerin kullanıldığı hallerde, hem internet sitesi sahibi hem de üçüncü taraf ilgili kişilerin açık bir şekilde bilgilendirilmesinden ve hukuka uygun açık rıza alınmasından sorumludur. Rehber, üçüncü kişilerin internet sitesi sahibine göre ilgili kişilerle bağlantı kurmasının daha zor olması sebebiyle, internet sitesi sahibi ile yapılacak sözleşmede, aydınlatma yükümlülüğü ve rıza alımına ilişkin kuralların düzenlenmesini önermektedir.

Yurt dışına aktarım

Türkiye’de faaliyet gösteren internet sitelerinin yurt dışında yerleşik şirketler vasıtasıyla çerez kullanmak suretiyle yurt dışına veri aktarmaları halinde bu faaliyetin Kanun’un kişisel verilerin yurtdışına aktarımına ilişkin düzenlemelerine uygun olması gerekmektedir. Bu kapsamda, ilgili kişiden açık rıza alınması veya aktarım yapılacak ülkede yeterli koruma bulunması veya Kurul’a taahhütname sunulması gerekmektedir.

Sonuç

Kurum, çerez kullanımına ilişkin uygulamaların hukuka uygun hale getirilmesi amacıyla yayımladığı Rehber’de, başta internet sitesi operatörleri olmak üzere çerezler aracılığıyla kişisel veri işleme faaliyetinde bulunanlara yol göstermektedir. İlgililer, uygulama bakımından oldukça önemli olan Rehber’i inceleyerek faaliyetlerini Kurum yönlendirmeleri doğrultusunda hukuka uygun olarak yürütmelidir.