Yeni - Çerez Uygulamaları Hakkında Rehber

EREZ UYGULAMALARI HAKKINDA REHBER EREZ UYGULAMALARI HAKKINDA REHBER 69 1 EREZ UYGULAMALARI HAKKINDA REHBER KVKK Yayinlari No: 69 Temmuz 2025, Ankara KSEL VERLER KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 ankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr 2 "Bu kitapta yer alan ieriklerin, bireysel kullanim diinda izin alinmadan kismen ya da tamamen kopyalanmasi, oaltilmasi, kullanilmasi, yayinlanmasi ve daitilmasi kesinlikle yasaktir. Bu yasaa uymayanlar hakkinda 5846 sayili Fikir ve Sanat Eserleri Kanunu uyarinca yasal ilem yapilacaktir. rnn tm haklari saklidir." Kiisel Verileri Koruma Kurumu 3 EREZ UYGULAMALARI HAKKINDA REHBER NDEKLER ZET ...................................................................................................................... 7 ABSTRACT ............................................................................................................ 7 1. GR................................................................................................................ 9 1.1. Ama ve Dayanak ................................................................................. 9 1.2. Kapsam ................................................................................................... 9 2. GENEL OLARAK EREZ VE EREZ TRLER .......................................... 10 2.1. erez Tanimi ....................................................................................... 10 2.2. erez Trleri .........................................................................................11 2.2.1. Srelerine Gre erezler .........................................................11 2.2.2. Kullanim Amalarina Gre erezler.....................................11 2.2.3. Taraflarina Gre erezler ....................................................... 13 3. 5809 SAYILI ELEKTRONK HABERLEME KANUNU LE 6698 SAYILI KSEL VERLERN KORUNMASI KANUNU ARASINDAK LK ...... 14 4. EREZLERE DAR DKKATE ALINMASI GEREKEN KURALLAR ............. 16 5. AIK RIZA DIINDAK DER LEME ARTLARI DAHLNDE EREZ KULLANIM SENARYOLARI ........................................................... 18 5.1. Kullanici Girdili erezler (Kriter B) ............................................... 18 5.2. Kimlik Dorulama erezleri (Kriter B) ......................................... 19 5.3. Kullanici Merkezli Gvenlik erezleri (Kriter B) .......................20 5.4. Multimedya Oynaticisi Oturum erezleri (Kriter B) ................ 21 5.5. Yk Dengelemesi Oturum erezleri (Kriter A) ........................... 21 5.6. Kullanici Ara Yzn Kiiselletirme erezleri (Kriter B) ...... 22 5 6 | EREZ UYGULAMALARI HAKKINDA REHBER 5.7. Sosyal Eklenti erik Paylaimi (been, payla, yorum) erezleri (Kriter B) ............................................................................ 23 5.8. Aik Riza Ynetim Platformu iin Kullanilan erezler (Kriter B) ............................................................................................... 24 5.9. Birinci Taraf Analitik erezler (Kriter B) ...................................... 24 5.10. nternet Sitesinin Gvenlii iin Kullanilan erezler (Kriter B) ..............................................................................................26 6. AIK RIZA LEME ARTI DAHLNDEK EREZ KULLANIM SENARYOLARI ............................................................................................. 27 6.1. Sosyal Eklenti Takip erezleri ......................................................... 27 6.2. evrim i Davranisal Reklamcilik erezleri ............................28 7. HUKUKA UYGUN EKLDE ALINMASI GEREKEN AIK RIZANIN UNSURLARI .................................................................................................28 7.1. Belirli Bir Konuya likin Olmasi ....................................................29 7.2.Bilgilendirmeye Dayanmasi ............................................................29 7.3.zgr radeyle Aiklanmasi .............................................................29 7.3.1. erez Duvarlari .......................................................................... 31 7.4.Taraflarin Sorumluluu .................................................................... 32 8. YURT DIINA AKTARIM ............................................................................. 33 9. UYGUN AYDINLATMANIN YAPILMASI .................................................... 35 10. BR RKET HAKKINDAK BAVURU LE LGL KSEL VERLER KORUMA KURULUNUN 27/02/2020 TARH VE 2020/173 SAYILI KARARININ EREZLER AISINDAN DEERLENDRLMES................. 37 10.1. Kararin lgili Blm ....................................................................... 37 10.2. Kararin nemli Noktalari ..............................................................40 REHBERN HAZIRLANMASINDA FAYDANILAN KAYNAKLAR..................... 41 EKLER ..................................................................................................................44 6 ZET Bu dokman; erezler yoluyla kiisel veri ileyen internet sitesi operatrleri iin 6698 sayili Kiisel Verilerin Korunmasi Kanunu (Kanun) kapsaminda kiisel verilerin ilenmesi amacina yne- lik nerileri iermektedir. ABSTRACT "This guide includes recommendations for the protection of personal data within the scope of the Law No. 6698 on the Protection of Personal Data for web site operators processing personal data through cookies." 7 8 1. GR 1.1. Ama ve Dayanak Rehber ile internet sayfasi ileten tm veri sorumlulari iin pratik tavsiyeler niteliinde, yol gsterici mahiyette bir dok- man oluturulmasi amalanmitir. Rehber ile ortaya konulan iyi uygulamalar erevesinde sunulan aiklamalar; veri sorum- lularinin doru hukuki sebeplere dayali olarak veri ilemeleri ve Kanun'a uygun ekilde aydinlatma yapabilmeleri ile hukuka uygun aik riza almalari noktasinda ynlendirici niteliktedir. 1.2. Kapsam

ng personal data through cookies." 7 8 1. GR 1.1. Ama ve Dayanak Rehber ile internet sayfasi ileten tm veri sorumlulari iin pratik tavsiyeler niteliinde, yol gsterici mahiyette bir dok- man oluturulmasi amalanmitir. Rehber ile ortaya konulan iyi uygulamalar erevesinde sunulan aiklamalar; veri sorum- lularinin doru hukuki sebeplere dayali olarak veri ilemeleri ve Kanun'a uygun ekilde aydinlatma yapabilmeleri ile hukuka uygun aik riza almalari noktasinda ynlendirici niteliktedir. 1.2. Kapsam Bu rehber erezler yoluyla kiisel verilerin ilenmesini kapsa- makta olup kiisel veri ilenmesinde kullanilmayan erezler bu rehberin kapsami diinda kalmaktadir. Piksel, kullanici parmak izleri, local storage, beacon gibi benzer teknolojiler kapsamin- da herhangi bir ynlendirmede bulunulmamaktadir. Bu rehber masast ve mobil web siteleri veya web uygulamalar aisin- dan da geerli olacaktir. 9 10 | EREZ UYGULAMALARI HAKKINDA REHBER 2. GENEL OLARAK EREZ1 VE EREZ TRLER2 2.1. erez Tanimi erez, internet sitesi operatrleri tarafindan kullanici cihazina yerletirilen bir tr metin dosyasi olup HTTP(S)3 (Hiper Metin Transferi Protokol) talebinin bir parasi olarak aktarilir. Dier bir tanima gre ise erezler, bir internet sayfasi ziyaret edildiinde kullanicilara ilikin birtakim bilgilerin kullanici- larin terminal cihazlarinda depolanmasina izin veren dk boyutlu zengin metin biimli text formatlaridir. 1 Bu rehber, erezler yoluyla kiisel veriler ilenmesini kapsamakta olup kiisel veri ilenmesinde kullanilmayan erezler bu rehberin kapsaminin diinda birakilmitir. 2 Bu rehber genel olarak terminal ekipmanlarda (bilgisayar, akilli telefonlar, tabletler, internete balanabilen dier cihazlar) kullanilan erez uygulamalarini iermekte olup pixel, kullanici parmak izleri, local storage, beacon gibi benzer uygulamalar kapsaminda bir ynlendirmede bulunmamaktadir. Rehberde anilan "internet sitesi" terimi, masast ve mobil web siteleri veya web uygulamalar ierir ekilde kullanilmaktadir. 3 HTTP, internet sitelerine balanmayi salayan bir protokoldr. HTTPS'te ise, HTTP paketi gvenli bir kanal zerinden iletilir. 10 EREZ UYGULAMALARI HAKKINDA REHBER | 11 2.2. erez Trleri 2.2.1. Srelerine Gre erezler Oturum erezleri Geici erez olarak da adlandirilan oturum erezi, oturumun srekliliinin salanmasi amaciyla kullanilir. Kullanici internet tarayicisini kapattiinda oturum erezleri de silinmektedir. Kalici erezler nternet tarayicisi kapatildii zaman silinmeyen kalici bir e- rez, belirli bir tarihte veya belirli bir sre sonra kendiliinden silinmektedir. Bu erez araciliiyla kullanici bir internet sitesini her ziyaret ettiinde kullanicinin ilenen verileri sunucuya ile- tilmektedir. Bu nedenle, kalici erezler bazen izleme erezleri olarak da adlandirilirlar. rnein reklam verenler bir kullanici- nin internet tarama alikanliklariyla (web browsing habits) ilgili bilgilerini uzun bir sre boyunca kaydederek kullanabilirler. Ayrica, kullanicilarin internet sitelerindeki hesaplarina giri yaparken her seferinde giri bilgilerini tekrar girmemelerini salamak zere de kullanilabilirler. 2.2.2. Kullanim Amalarina Gre erezler: Kesinlikle Gerekli erezler (Zorunlu erezler) Bu erezler internet sitesinin alimasi amaciyla gerekli olan erezlerdir. Sz konusu erezler kullanicinin talep etmi olduu bir bilgi toplumu hizmetinin (log-in olma, form doldurma, giz- lilik tercihlerinin hatirlanmasi gibi) yerine getirilebilmesi iin 11 12 | EREZ UYGULAMALARI HAKKINDA REHBER zorunlu olarak kullanilmaktadirlar. Aaida ele alinan Kriter A ve B kapsamindaki amalarla kullanilan erezler kesinlikle gerekli erezlere rnek olarak sunulabilir. Genel olarak aik riza diindaki ileme artlarina gidilen erezler trleri olarak deerlendirilebilirler. Zorunlu erezlerin engellenmesi halinde, internet sitesinin bazi blmleri alimayacak olup bu erezler pazarlama amaciyla kullanilmamalidirlar. levsel erezler: Web sitesi veya uygulamalarda (masast, mobil veya IOT ci- hazlardaki uygulamalar da dhil olmak zere) kullanilan kii- selletirme ve tercihlerin hatirlanmasi amalari ile kullanilan erezlerdir. Bu erezler zorunlu erezler diinda kalan ilev- sellikleri salama amaciyla kullanilmaktadir. lgili kiinin bir bilgi toplum hizmetini aika talep ettiinin aikr olmadii durumlarda aik rizaya dayanilmasi gerekecektir. Performans- Analitik erezler: nternet sitelerinde kullanicilarin davranilarini analiz etmek amaciyla istatistiki lmne imkn veren erezlerdir. Bu e- rezler, sitenin iyiletirilmesi iin siklikla kullanilmakta olup bu duruma reklamlarin ilgili kiiler zerindeki etkisinin lm de dhildir. nternet sitesi sahipleri tarafindan, tekil ziyaretilerin sayisini tahmin etmek, bir internet sayfasina gtren en nemli arama motoru anahtar kelimelerini tespit etmek veya internet sitesinde gezinme durumunu izlemek iin kullanilmaktadirlar. 12 EREZ UYGULAMALARI HAKKINDA REHBER | 13 Reklam/Pazarlama erezleri: Reklam ve pazarlama amali erezler ile internet ortaminda kullanicilarin evrim ii hareketleri takip edilerek kiisel ilgi alanlarinin saptanip bu ilgi alanlarina ynelik internet orta- minda kullanicilara reklam gsterilmesi hedeflenmektedirler. nternet ortaminda birok reklam tr bulunmasina karin en ok tercih edilen reklam trnn evrim ii davranisal reklam- cilik olmasinin temel nedeni kiilerin eilimlerine, tercihlerine gre reklam yapilabilmesi ve reklam veren aisindan zaman ve maddi kaynaklarin daha verimli kullanilabilmesidir. evrim ii davranisal reklamcilik uygulamalari; kiilerin inter- netteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edile- rek profillenmesi, profilleme yapilan kiinin uygun reklamlarla eletirilerek sz konusu reklamlarin ilgili kiiye gsterilmesi aamalarindan olumaktadir. 2.2.3. Taraflarina Gre erezler

vranisal reklam- cilik olmasinin temel nedeni kiilerin eilimlerine, tercihlerine gre reklam yapilabilmesi ve reklam veren aisindan zaman ve maddi kaynaklarin daha verimli kullanilabilmesidir. evrim ii davranisal reklamcilik uygulamalari; kiilerin inter- netteki faaliyetlerinin izlenmesi, bu faaliyetlerin analiz edile- rek profillenmesi, profilleme yapilan kiinin uygun reklamlarla eletirilerek sz konusu reklamlarin ilgili kiiye gsterilmesi aamalarindan olumaktadir. 2.2.3. Taraflarina Gre erezler erezin birinci taraf ya da nc taraf olmasi durumu, internet sayfasinin ya da etki alaninin yerletirdii ereze gre deiik- lik arz etmektedir. Birinci taraf erezler, dorudan kullanicinin ziyaret ettii inter- net sayfasi yani tarayicinin adres ubuunda gsterilen URL (ornek.com.tr) tarafindan yerletirilmektedir. nc taraf erezler ise kullanicinin ziyaret ettii internet si- tesinden (ya da etki alanindan) farkli bir nc kii tarafindan yerletirilmektedir. 13 14 | EREZ UYGULAMALARI HAKKINDA REHBER 3. 5809 SAYILI ELEKTRONK HABERLEME KANUNU LE 6698 SAYILI KSEL VERLERN KORUNMASI KANUNU ARASINDAK LK erezler konusu 6698 sayili Kiisel Verilerin Korunmasi Kanu- nu kapsaminda aika dzenlenmemektedir. Ancak, 5809 sayili Elektronik Haberleme Kanunu'nun 51'inci maddesinin nc fikrasinin, AB'nin 2002/58/EC sayili Direktifi'nin 5'inci madde- sinin nc fikrasi ile kismi bir uyum gstermesi sebebiyle erezler konusunda, veri sorumlusu iletmeciler4 bakimindan 5809 sayili Kanun'un sinirli bir uygulama alani bulabilecei de- erlendirilmektedir. Zira, 5809 sayili EHK'nin "Kiisel Verilerin lenmesi ve Gizli- liinin Korunmasi" balikli 51'inci maddesi, 2002/58/ EC sa- yili E-Gizlilik Direktifi'nin bilgi toplumu hizmetlerine5 ynelik 4 EHK'nin 4'nc maddesinde yer alan tanima gre iletmeciler BTK tarafindan yapilan yetkilendirme erevesinde elektronik haberleme hizmeti sunan ve/veya elektronik haberleme ebekesi salayan ve alt yapisini ileten irketlerdir. 5 AB uygulamasina gre bilgi toplumu hizmetleri (Information Society Services) kavraminin tanimina bakildiinda; genellikle bir cret kariliinda, uzaktan, elektronik yolla ve hizmet alicisinin bireysel bir hizmet alma talebi zerine yerine getirilen hizmetler olarak tanimlandii grlmektedir. Bilgi toplumu hizmetlerini evrim ii ortamda gazete okumaktan aliveri yapmaya kadar geni bir yelpazede dnmek mmkndr. 14 EREZ UYGULAMALARI HAKKINDA REHBER | 15 hkmlerini iermemektedir. 5809 sayili Kanun'un zel olarak dzenlemedii bilgi toplumu hizmetleri bakimindan, 6698 sa- yili Kanun'un erezler vasitasiyla kiisel verilerin ilenmesine uygulanabilecei grlm olup bu kapsamda Kiisel Verileri Koruma Kurulunun 27.02.2020 tarihli ve 2020/173 sayili karari- nin dikkate alinabilecei deerlendirilmektedir. 5809 sayili EHK'nin 51'inci maddesinin nc fikrasi6 kapsa- minda, sadece elektronik haberleme hizmeti sunan ve/veya elektronik haberleme ebekesi salayan ve altyapisini ileten irketler (iletmeciler ve alt-iletmeciler) kapsanmakta olup dier veri sorumlulari (rnein kvkk. gov. tr dhil pek ok in- ternet sayfasi operatr) bu kapsamda yer almamaktadir. Bu durumda 5809 sayili EHK'nin 51'inci maddesinin nc fikrasi kapsaminda, "haberlemenin salanmasi" ibaresi ile sadece "iletmeci" niteliini haiz veri sorumlularinin, yine sadece aa- ida aiklanan "Kriter A" kapsaminda erezler vasitasiyla aik riza almadan veri ileyebilecei deerlendirilmektedir. Bununla birlikte, 51'inci maddede yer alan abonelerin/kullanicilarin ter- minal cihazlarinda bilgi saklamak veya saklanan bilgilere eriim salamak amaci, yalnizca erez kullanimina zg deildir. 6 EHK m. 51/3'te "Elektronik haberleme ebekeleri, haberlemenin salanmasi diinda abonelerin/kullanicilarin terminal cihazlarinda bilgi saklamak veya saklanan bilgilere eriim salamak amaciyla iletmeciler tarafindan ancak ilgili abonelerin/kullanicilarin verilerin ilenmesi hakkinda aik ve kapsamli olarak bilgilendirilmeleri ve aik rizalarinin alinmasi kaydiyla kullanilabilir" hkm yer almaktadir. 15 16 | EREZ UYGULAMALARI HAKKINDA REHBER 4.EREZLERE DAR DKKATE ALINMASI GEREKEN KURALLAR 6698 sayili Kanun kapsaminda, veri sorumlularinin erezler araciliiyla kiisel veri ilenmesinde aaidaki kriterleri gz nnde bulundurmalari tavsiye edilmektedir: Kriter A: erezin sadece, iletiimin elektronik haberleme e- bekesi zerinden salanmasi amaciyla kullanilmasi, Kriter B: erez kullaniminin, abonenin veya kullanicinin hiz- met almak iin aika talep ettii bilgi toplum hizmetleri iin kesinlikle gerekli olmasi. 6698 sayili Kanun Kapsaminda erezler Bakimindan Kiisel Veri leme artlari - Aik rizanin bulunmasi ya da - Veri sorumlusunun erezler yoluyla kiisel veri ileme faali- yeti zelinde yapacai deerlendirme neticesinde, Kanun'un 5'inci ve/veya 6'nci maddelerinde sayilan dier veri ileme artlarini da gz nnde bulundurmasi gerekmektedir. 5'inci ve/veya 6'nci maddelerdeki ileme artlarinin uygulan- masi kapsaminda, kiisel veri ilemenin Kanun'da bulunan aik riza diindaki artlardan birine dayanmasi hlinde bu durum- da ilgili kiiden aik riza alinmasina gerek bulunmamaktadir. Veri sorumlusu ncelikli olarak kiisel veri ileme faaliyetinin amacinin aik riza diindaki dier ileme artlarindan birine dayanip dayanmadiini deerlendirmeli, eer bu ama Ka- 16 EREZ UYGULAMALARI HAKKINDA REHBER | 17 nun'da yer alan aik riza diindaki dier artlardan hibirini karilamiyorsa, bu durumda veri ileme faaliyeti ilgili kiinin aik rizasina dayanmalidir. Kanun'un 5'inci maddesinin ikinci fikrasinin (f) bendinde yer alan "lgili kiinin temel hak ve zgrlklerine zarar vermemek kaydiyla, veri sorumlusunun meru menfaatleri iin veri ilen- mesinin zorunlu olmasi" ileme artina dayanilmasi durumun- da, Kriter A ve B'nin kapsami da gz nnde bulundurularak kiinin temel hak ve hrriyetleri ile veri sorumlusunun meru menfaatinin karilatirilmasi suretiyle bir denge testi yapil- masiyla meru menfaatin varliinin deerlendirilmesi tavsiye edilir. 7

na dayanmalidir. Kanun'un 5'inci maddesinin ikinci fikrasinin (f) bendinde yer alan "lgili kiinin temel hak ve zgrlklerine zarar vermemek kaydiyla, veri sorumlusunun meru menfaatleri iin veri ilen- mesinin zorunlu olmasi" ileme artina dayanilmasi durumun- da, Kriter A ve B'nin kapsami da gz nnde bulundurularak kiinin temel hak ve hrriyetleri ile veri sorumlusunun meru menfaatinin karilatirilmasi suretiyle bir denge testi yapil- masiyla meru menfaatin varliinin deerlendirilmesi tavsiye edilir. 7 rnein bir internet sitesinde yk dengeleme erezi kullanil- masi yoluyla, tek bir makine yerine bir makine havuzu zerin- den web sunucusu taleplerinin daitilmasi mmkn olup kul- lanicilardan gelen web talepleri bir yk dengeleme a geidine ynlendirilerek bu talep havuzdaki msait durumdaki bulunan i sunuculara iletilir. Bu kapsamda kullanici taleplerinin uygun ekilde yeniden ynlendirilmesi amacinin Kriter A kapsaminda deerlendirilmesi mmkn olup veri sorumlulari tarafindan bu amala erez kullanilmasi suretiyle kiisel veri ilenmesin- de, "ilgili kiinin temel hak ve zgrlklerine zarar vermemek kaydiyla, veri sorumlusunun meru menfaatleri iin veri ilen- mesinin zorunlu olmasi" ileme artina gidilebilecei dnl- mektedir. Bu ileme artina dayanilarak kiisel veri ilenmesi 7 https://www.kvkk.gov.tr/Icerik/5434/2019-78 17 18 | EREZ UYGULAMALARI HAKKINDA REHBER hlinde, ilgili kiilerin temel hak ve zgrlkleri bakimindan da herhangi bir tehlikenin sz konusu olmamasi gerekmektedir. Yine, bir kimsenin bir e-ticaret sitesinde sepetine rn ekle- mesi kapsaminda erezler vasitasiyla kiisel verilerinin ilen- mesi hlinde, bir sati szlemesinin kurulmasi veya ifasi ile Kanun'un 5'inci maddesinin ikinci fikrasinin (c) bendine daya- nilmasi gndeme gelebilecektir. 5. AIK RIZA DIINDAK DER LEME ARTLARI DAHLNDE EREZ KULLANIM SENARYOLARI8 Bu blmde, kullanim senaryolari kapsaminda aik riza diin- daki dier kiisel veri ileme artlarina dayanabilecek erezle- rin kullanim amalari zerinde durulacaktir. 5.1. Kullanici Girdili erezler (Kriter B) Bu tr erezler, kullanicinin girdilerini izleyip bunlari hizmet salayiciya aktaran oturum erezleridir. Bu erezler, tipik olarak benzersiz bir numara olan Oturum-ID deerine bali birinci taraf erezler olup en ge oturumun sonlanmasiyla birlikte e- rezin kullanim sresinin de bitmesi beklenmektedir. Birinci taraf kullanici girdili oturum erezleri, tipik olarak inter- 8 Bu blmde belirtilen rnekler tahdidi nitelikteki olmayip karilailan durum ve olaylara gre eitlendirilmesi mmkndr. 18 EREZ UYGULAMALARI HAKKINDA REHBER | 19 net sayfalarinda bulunan evrim ii bir formu ya da aliveri sepetini doldururken kullaniciyi izleyen, kullanicinin butonu tiklayarak setii rnlerin veya forma girdii bilgilerin kaydini tutan erezlerdir. Bu tip erezlerde bir bilgi toplumu hizmetinin salanmasinin kullanici tarafindan aika talep edilmesi gerekmekte olup (r- nein bir formu doldurmak ya da bir butonu tiklamak gibi) bu erez tr Kriter B kapsaminda deerlendirilebileceinden aik riza gerektirmemektedir. 5.2. Kimlik Dorulama erezleri (Kriter B) Kimlik dorulama erezleri, kullaniciyi bir internet sitesine gi- ri yaptiinda tanimlamak iin kullanilmaktadirlar (rnein bir evrim ii bankacilik sitesinde). Bu erezler, internet sitesinin ziyaret edilmesi veya bir ierie ulailabilmesi iin (rnein banka hesaplarina bakma, havale yapma gibi) ihtiya duyulan erezlerdir. Bu erezler genellikle oturum erezleri olup bazi durumlarda kalici erez nitelii de gsterebilmektedirler. Bir kullanici hesabina giri yaptiinda, kendisine izin verilen bir ierik ya da fonksiyonellie eriimi aika talep etmi olmak- tadir. Eer bu erez kullanilmami olsaydi, her sayfa talebinde kullanicinin isim ve ifresini girmesi gerekecekti. Dolayisiyla bu dorulama fonksiyonellii, ilgili kiinin aika talep etmi olduu bilgi toplumu hizmetinin temel bir parasidir ve bu tip erezler de Kriter B kapsaminda aik riza gerektirmemektedir. Veri sorumlulari tarafindan Kriter B'nin kapsami deerlendiri- 19 20 | EREZ UYGULAMALARI HAKKINDA REHBER lirken, kullanicinin sadece sz konusu siteye eriimi ve gereksi- nim duyduu spesifik ilevselliin yerine getirilmesi iin talep- te bulunduu gz nnde bulundurulmali, kimlik dorulama erezinin kullaniminin erezin ikincil amalarla (rnein dav- ranilarin takibi ve reklamcilik amalariyla) kullaniminda bir dayanak noktasi olarak deerlendirilmemesi gerekmektedir. Tarayici oturumlari arasinda kimlik dorulama tanimlayicilari- ni depolayan srekli erezler, Kriter B kapsaminda deerlendi- rilmemektedir. Bu nemli bir ayrimdir, zira kullanici tarayiciyi kapattii anda kimlik dorulama ayarlarinin temizlenmedii- nin farkinda olmayabilir ve anonim olduu varsayimiyla sz konusu internet sayfasina geri dndnde hala hesaba giri yapmi durumda bulunurlar. Bu durumda uygulanan yaygin bir yntem, internet sayfasinda kullanici hesabini aarken ayrica "beni hatirla (erez kullanir)" gibi bir kutucuk eklenmesidir. Bu sayede kullanici tarafindan bu hizmetin aika talep edilip edilmedii hususuna aiklik getirilebilecektir. 5.3. Kullanici Merkezli Gvenlik erezleri (Kriter B) Kriter B, kullanici tarafindan aika talep edilmi bir hizmet kapsaminda gvenlii artirmak amali erezlere de uygulana- bilmektedir. Bu durum, bir internet sitesinde tekrarlanan ba- arisiz oturum ama giriimlerini tespit etmek iin kullanilan erezler veya oturum ama sistemini ktye kullanimlardan korumak iin tasarlanmi dier erezler iin de geerlidir. 20 EREZ UYGULAMALARI HAKKINDA REHBER | 21 Tipik olarak, hesaba giri erezleri bir oturum bitiminde sona ermekteyken, kullanici gvenlii erezlerinin gvenlik amacini yerine getirmek zere daha uzun bir mr olmasi beklenir. 5.4. Multimedya Oynaticisi Oturum erezleri (Kriter B)

edir. Bu durum, bir internet sitesinde tekrarlanan ba- arisiz oturum ama giriimlerini tespit etmek iin kullanilan erezler veya oturum ama sistemini ktye kullanimlardan korumak iin tasarlanmi dier erezler iin de geerlidir. 20 EREZ UYGULAMALARI HAKKINDA REHBER | 21 Tipik olarak, hesaba giri erezleri bir oturum bitiminde sona ermekteyken, kullanici gvenlii erezlerinin gvenlik amacini yerine getirmek zere daha uzun bir mr olmasi beklenir. 5.4. Multimedya Oynaticisi Oturum erezleri (Kriter B) Bu erezler, videoyu yeniden oynatmaya veya ses ieriine (rnein grnt kalitesi, a balanti hizi, arabellek paramet- releri) ilikin ihtiya duyulan teknik veriyi depolamak iin kul- lanilmaktadir. Multimedya oynaticisi oturum erezleri "flash erezler" olarak da bilinmektedirler. Bu erezlerin oturum son- landiinda sreleri de bitmektedir. Kullanici, video veya yazi ieriine ulamak istediinde, hizmeti aika talep ettii iin bu video gsterim ilevi Kriter B kapsaminda deerlendiril- mektedir. 5.5. Yk Dengelemesi Oturum erezleri (Kriter A) Yk dengelemesi, tek bir makine yerine bir makine havuzu ze- rinden web sunucusu taleplerinin daitilmasi ilemlerine izin veren bir tekniktir. Buna gre kullanicilardan gelen web talep- leri bir yk dengeleme a geidine ynlendirilerek talep, havuz- daki msait durumda bulunan i sunuculara iletilmektedir. Bu durumda, sz konusu yeniden ynlendirme oturum boyunca kalici olmaya ihtiya duyar, spesifik bir kullanicidan gelen tm talepler, ilemin tutarliliini salamak zere her zaman havuz- daki ayni sunucuya ynlendirilir. Bunlar oturum erezleri olup 21 22 | EREZ UYGULAMALARI HAKKINDA REHBER bu erezde tutulan bilginin tek amaci haberleme u noktalari- ni (havuzlardaki sunuculardan birini) tespit etmektir. erez, a zerinden haberlemenin gerekletirilmesi iin gerekli olup Kriter A kapsaminda aik riza gerektirmemektedir. 5.6. Kullanici Ara Yzn Kiiselletirme erezleri (Kriter B) Bu erezler, kullanicinin internet sayfalarindaki bir hizmete ili- kin tercihlerini depolamak iin kullanilmakta olup kullanici adi gibi kalici tanimlayicilarla balanti kurulmamaktadir. Yalnizca kullanicinin aik istei ile belli bir bilgi parasini hatirlamak zere yerletirilebilmektedirler (rnein bir butonu tiklamak veya kutuyu iaretlemek gibi). Bunlar, oturum erezleri gibi oturum sresince geerli olabilecei gibi amalarina gre ge- erlilik sreleri haftalari ya da aylari bulabilmektedir. Kiiselletirme amali olan bu erezlerin tipik rnekleri; ok dilli bir internet sayfasinda (bir bayraa tiklamak sure- tiyle) kullanici tarafindan seilen bir dil seeneini hatirla- mak zere kullanilan dil tercih erezi, Kullanicinin evrim ii arama sorgularina dair tercihlerini hatirlamak zere kullanilan sonu gsterici tercih erezleri (rnein sayfa baina ka sonu ikacainin seilmesi). levselliklerin kiiselletirilmesinin kullanici tarafindan aik- a talep edilmi olmasi (rnein bir buton ya da kutucuun tiklanmasi suretiyle) durumu, ek bir bilgi verilmese de kulla- nicinin niyetinin, sz konusu seimin bir oturum sresinden 22 EREZ UYGULAMALARI HAKKINDA REHBER | 23 daha uzun sre hatirlanmasi olarak yorumlanamayacaktir. Bu tr oturum erezleri, Kriter B kapsamina giren ve aik riza ge- rektirmeyen erezler olarak deerlendirilmektedir. 5.7. Sosyal Eklenti erik Paylaimi (been, payla, yorum) erezleri (Kriter B) Birok sosyal a, internet sayfasi operatrlerine kendi plat- formlarina entegre edebilecekleri, sosyal a kullanicilarinin beendikleri ierikler veya yaptiklari yorumlari "arkadalariy- la" paylamalarina izin verebilecek "sosyal eklenti modlleri" sunmaktadir. Bu sosyal eklenti modlleri, kullanicilarin terminal ekipmanla- rinda, sosyal alardaki yeler sz konusu eklentilerle etkilei- me getii anda sz konusu sosyal ain yeleri tespit etmesini salamak zere erezler depolamakta ve bu erezlere eriim salamaktadir. Ancak bu durumda, tarayici zerinden bir sosyal a hesabina giri yapmi (log-in yapmi) olan kullanicilar ile sz konusu sosyal aa hi ye olmayanlar ve sosyal aa ye olup log-out yapmi olanlar arasinda bir ayrima gidilmelidir. Tanim olarak sosyal eklentiler sosyal a kullanicilarina hitap etmekte olup ye olmayanlara dair bir kullanim alani sunmamakta. Dolayi- siyla da Kriter B sosyal aa ye olmayanlar veya hesabindan iki yapmi sosyal a yeleri iin geerli olmamaktadir. Sosyal eklentiler nc taraf erezleri kullanmadan nce ye olma- yanlarin ve sosyal a hesabindan ikmi olan yelerin aik ri- zasini almasi tavsiye edilir. 23 24 | EREZ UYGULAMALARI HAKKINDA REHBER Ancak, hesabina giri yapmi pek ok kullanici nc taraf internet sayfalarindaki sosyal eklentilere erimeyi ve bunla- ri kullanmayi bekler. Bu zel durumda, kullanici tarafindan aika talep edilen bir ilevsellik iin kesinlikle gerekli olan bir erez sz konusu olup Kriter B uygulama alani bulacaktir. Bu erezler oturum erezi olmak zorundadir (zira kalici kimlik dorulama erezleri yukarida bahsi geen kriterler kapsami- na girmemektedirler) ve belli bir amaca hizmet ettikleri iin kullanicinin sosyal a platformundan "log-out" olduu veya (beni hatirla zelliinin kullanilmadii durum iin) tarayiciyi kapattii durumlarda mr sonlanmasi tavsiye edilir. 5.8. Aik Riza Ynetim Platformu iin Kullanilan erezler (Kriter B) lgili kiilerin girdikleri internet sayfalarinda kullanilan erez- lerden, aik rizaya tabi olanlar iin alinmasi gereken aik riza- lara dair tercihlerin belli bir sreyle hatirlanmasi iin kullani- lan erezin de Kriter B kapsaminda olduu deerlendirilmekte olup ayrica bir aik riza gerektirmedii dnlmektedir. Bu erezin mrnn, Kanun'un 4'nc maddesinde yer alan genel ilkeler gz nnde bulundurularak belirlenmesi tavsiye edil- mektedir. 5.9. Birinci Taraf Analitik erezler (Kriter B) Bir internet sitesini veya uygulamayi ynetmek iin trafik ve/ veya performans istatistiklerinin kullanilmasi, bu istatistikle- rin retilmesi sitenin veya uygulamanin dzgn alimasi ve 24 EREZ UYGULAMALARI HAKKINDA REHBER | 25

Kriter B kapsaminda olduu deerlendirilmekte olup ayrica bir aik riza gerektirmedii dnlmektedir. Bu erezin mrnn, Kanun'un 4'nc maddesinde yer alan genel ilkeler gz nnde bulundurularak belirlenmesi tavsiye edil- mektedir. 5.9. Birinci Taraf Analitik erezler (Kriter B) Bir internet sitesini veya uygulamayi ynetmek iin trafik ve/ veya performans istatistiklerinin kullanilmasi, bu istatistikle- rin retilmesi sitenin veya uygulamanin dzgn alimasi ve 24 EREZ UYGULAMALARI HAKKINDA REHBER | 25 dolayisiyla hizmetin salanmasi iin gereklidir. Amaci sitenin veya uygulamanin hedef kitlesini lmekle sinirli olan erezler; performans lm, navigasyon problemlerinin tespiti, teknik performansin optimizasyonu veya ergonomi, gerekli sunucu- larin gcnn tahmini gibi ihtiyalari karilamasi, yani bir in- ternet sitesinin veya uygulamanin ileyii ve gnlk ynetimi iin kullanilmasinin talep edilen hizmetle ilikili olduu gz nnde bulundurulduunda birinci taraf analitiklerin Kriter B kapsaminda deerlendirilebilecei dnlmektedir. te yandan, bu amaci gerekletirmek iin amala balantili, sinirli ve ll olarak kiisel verilerin ilenmesi, ilenmesi za- ruri olmayan kiisel verilerin anonimletirilmesi tavsiye edil- mektedir. rnein sik kullanilan bir teknik olarak IP bilgisinin maskelenmesi suretiyle kimlik belirleme riski azaltilabilmek- tedir. Ayni ekilde bu erezlerin yalnizca anonim istatistikler retmek iin kullanilmasi, kiilerin internet gezinmelerinin farkli inter- net siteleri veya uygulamalar arasinda apraz takibi9 amaciyla kullanilmamasi gerekmektedir. Kiilerin internet gezinmelerinin farkli internet siteleri veya uygulamalar arasinda apraz takibi amaciyla kullanilmasinin, Kanun'un 4'nc maddesinin ikinci fikrasinda yer alan ilendikleri amala balantili, sinirli ve l- l olma ilkesiyle badamayacai deerlendirilmektedir. 9 Temel internet teknolojisi, reklam ai salayicilarinin ilgili kiileri farkli web sitelerinde ve zaman iinde izlemesine olanak tanimaktadir. Tarama alikanliklari hakkinda toplanan bilgiler, ilgili kiilerin ilgi alanlari hakkinda kapsamli profiller oluturmak iin analiz edilmektedir. 25 26 | EREZ UYGULAMALARI HAKKINDA REHBER erezin mrnn makul olmasi ve toplanan verilerin nc taraflara iletilmemesi veri sorumlulari tarafindan alinacak ted- birler arasinda sayilabilir. 5.10. nternet Sitesinin Gvenlii iin Kullanilan erezler (Kriter B) nternet sitesinin gvenlik zafiyeti nedeniyle hizmet vereme- mesi, hizmet dii birakilmasi, kullanicinin talep ettii hizmete eriememesine neden olacaindan, internet sitesinin gven- lii iin kullanilan erezlerin de kullanicinin talep ettii hizmet iin kesinlikle gerekli olduu deerlendirilmektedir. rnein bir web uygulamasi gvenlik duvari tarafindan kulla- nicinin tanimlanarak oturum baina kullanici talep sayisinin sinirlanmasi amaciyla kullanilan bir erezin, sitenin gvenlii ve kullanicinin hizmete eriilebilirliinin salanmasi ve dolayi- siyla da Kriter B kapsaminda kullanici tarafindan talep edilen bir hizmet iin kesinlikle gerekli olduu deerlendirilebilecek- tir. Bu amaca hizmet eden erez kullanimi iin veri sorumlusu, aik riza diindaki dier ileme artlari dhilinde rnein "lgili kiinin temel hak ve zgrlklerine zarar vermemek kaydiyla, veri sorumlusunun meru menfaatleri iin veri ilenmesinin zorunlu olmasi" ileme artina gidilebilecektir. 26 EREZ UYGULAMALARI HAKKINDA REHBER | 27 6. AIK RIZA LEME ARTI DAHLNDEK EREZ KULLANIM SENARYOLARI10 Yukarida aiklanan Kriter A veya B kapsamina girmeyen erez kullanim senaryolarina bakildiinda: 6.1. Sosyal Eklenti Takip erezleri Birok sosyal a, yeleri tarafindan "aika talep edildii" ka- bul edilebilecek bazi hizmetleri salamak iin, internet sitesi sahiplerinin internet sitelerine entegre edebilecekleri sosyal eklenti modlleri sunmaktadir. Ancak bu modller davranisal reklamcilik, analitik veya pazar aratirmasi gibi ilave amalar- la, ye olan/olmayan kiileri nc taraf erezler yardimiyla izlemek iin kullanilabilmektedir. Bu tr amalar dorultusunda, bu erezlerin kullanici tarafin- dan aika talep edilen bir ilevsellii salamak iin "kesinlikle gerekli" olduu kabul edilemeyeceinden, bu tr takip erez- leri Kriter B kapsamina girmemektedirler. Aik riza olmaksizin sosyal alarin, kendi alarina ye olmayanlar hakkinda sosyal eklentiler araciliiyla veri toplamasi iin herhangi bir yasal dayanain bulunmasi olasi deildir. Varsayilan olarak sosyal eklentiler, ye olmayanlara gsterilen sayfalara nc taraf erez yerletirmemelidir. 10 Bu blmde belirtilen rnekler tahdidi nitelikteki olmayip karilailan durum ve olaylara gre eitlendirilmesi mmkn olabilecektir. 27 28 | EREZ UYGULAMALARI HAKKINDA REHBER Bu blmde belirtilen rnekler tahdidi nitelikteki olmayip karilailan durum ve olaylara gre eitlendirilmesi mmkn olabilecektir. 6.2. evrim i Davranisal Reklamcilik erezleri Davranisal reklamcilik iin kullanilan erezler aik riza gerek- tirmektedir. Bu durumda aik riza gereklilii; doal olarak gs- terim siklii, finansal kayit tutma, reklam ortaklii, tiklama sah- tekrliini algilama, aratirma ve pazar analizi, rn gelitirme ve hata ayiklama amaciyla kullanilan erezler de dhil olmak zere reklamcilik amaciyla kullanilan ilgili erezleri kapsar; zira bu amalardan hibirinin, Kriter B'nin gerektirdii ekilde, kul- lanici tarafindan aika talep edilen bilgi toplumu hizmetleri kapsaminda bir hizmet ya da ilevsellikle ilgili olmadii aiktir. 7. HUKUKA UYGUN EKLDE ALINMASI GEREKEN AIK RIZANIN UNSURLARI Aik rizanin, ilgili kiilerin neye onay vermelerinin istendii hu- susunda spesifik ve ayri bir ekilde bilgilendirilmesi suretiyle ve aktif olumlayici bir eylemle elde edilmesi gerekmektedir. Kullanicinin herhangi bir aktif eylemine dayanmayan rizalarin, aik riza olarak kabul edilemeyecei de belirtilmelidir. Bu yz- den de sadece internet sitesine girilmi olmasi sz konusu site- de alian erezlere aik riza verildii anlamina gelmemektedir. 28 EREZ UYGULAMALARI HAKKINDA REHBER | 29

N UNSURLARI Aik rizanin, ilgili kiilerin neye onay vermelerinin istendii hu- susunda spesifik ve ayri bir ekilde bilgilendirilmesi suretiyle ve aktif olumlayici bir eylemle elde edilmesi gerekmektedir. Kullanicinin herhangi bir aktif eylemine dayanmayan rizalarin, aik riza olarak kabul edilemeyecei de belirtilmelidir. Bu yz- den de sadece internet sitesine girilmi olmasi sz konusu site- de alian erezlere aik riza verildii anlamina gelmemektedir. 28 EREZ UYGULAMALARI HAKKINDA REHBER | 29 Aik rizanin alinmasi hususunda "belirli bir konuya ilikin olma, bilgilendirmeye dayanma ve zgr irade" unsurlarinin varlii nem tekil etmektedir. Bu kapsamda Kanun'da yer alan aik rizanin unsurlarinin yani sira erezlerin yerletirilmesin- den nce uygun hukuki sebeplerden biri olan aik riza alinmasi gerektiine dikkat edilmelidir. 7.1. Belirli Bir Konuya likin Olmasi "Belirli bir konuya ilikin olma" unsurunun karilanmasi baki- mindan, erezin kullanim amacinin, bu ama ile ll olarak belirlenmi erez sresinin ve erezin birinci veya nc taraf olup olmadiinin belirtilmesinin gerekli olduu dnlmek- tedir. lgili kiinin genel bir irade aiklamasi ile "kiisel verileri- min ilenmesini kabul ediyorum" eklinde aik ulu ve belirsiz rizasi tek baina Kanun balaminda "aik riza" olarak kabul edilemez. 7.2. Bilgilendirmeye Dayanmasi "Uygun Aydinlatmanin Yapilmasi" balii altinda ayrintili ola- rak ele alinmitir. 7.3. zgr radeyle Aiklanmasi lgili kiinin diledii zaman veri sorumlusuna vermi olduu aik rizasini geri alabilecei gz nnde bulundurulduunda, erezler bakimindan da verilen aik rizanin geri alinabilir olma- si gerekmektedir. Bu aidan, erez ynetim paneline veya aik riza alinan araca eriebilirliin salanmasi gerekmekte olup 29 30 | EREZ UYGULAMALARI HAKKINDA REHBER aik rizanin rahata geri alinabilmesi iin riza ynetim platfor- munun bir ikona ya da ierii engellemeyecek kadar kk bir banda dntrlerek internet sayfasinin kk bir kesinde bulunmasi iyi bir rnek olarak deerlendirilebilir. Bununla birlikte, rizanin ok sik araliklarla alinmasinin "riza yor- gunluu"na yol aabilecei ve bu sebeple ilgili kiinin zgr ira- desini sakatlayabilecei gz nnde bulundurularak ilgili kiinin her siteye giriinde aik riza alinmasi yoluna gidilmemesi, ancak aik riza tercihinin periyodik olarak hatirlatilmasinin (sz konusu erezin mr ile orantili olacak ekilde) uygun olduu deerlen- dirilmektedir. Sz konusu erezlerin mrlerinin belirlenmesin- de Kanun'un genel ilkeler balikli 4'nc maddesinde belirti- len temel ilkelerin gz nnde bulundurulmasi gerekmektedir. te yandan, erez kapsaminda aik riza alinirken siteye girildii anda bir erez ynetim paneli (pop-up ya da bant gibi uygu- lamalar11) ikmasi ve sz konusu panelde eit derecede (renk, byklk, punto aisindan) "kabul et", "reddet" ve "tercihler" butonlarinin sunulmasi iyi uygulama rnei olabilecektir. Ka- nun'un 10'uncu maddesi uyarinca kiisel verilerin elde edil- mesi sirasinda aydinlatma ykmllnn yerine getirilmesi gerekmekte olup sz konusu erez ynetim paneline, erezler yoluyla kiisel veri ilenmesine dair bir aiklama veya gere- 11 Web tarayicilarinda ikan pop-up, bant ya da banner gibi uygulamalar diinda, internete balanan terminal ekipmanlar (rnein akilli televiz- yonlar, buzdolaplari, giyilebilir cihazlar vb.) bakimindan da erez kulla- nimi mmkn olabilmektedir. Bu durumlarda kullanicilara aydinlatma yapilmasi ve aik riza alinmasi iin alternatif metotlar gz nnde bu- lundurulmalidir. 30 EREZ UYGULAMALARI HAKKINDA REHBER | 31 kirse bir link konulmasi doru bir uygulama rnei tekil ede- cektir. Bu kapsamda, aik riza ile ilenmesi gereken erezlerin ynetim panelinde ilk elde pasif biimde gelmesi nem arz etmektedir. evrim ii reklamcilik erezlerinin kullaniminda, kullanim sz- lemesi veya koullari gibi belgeler ierisine ilitirme (bundled) yntemiyle aik riza alinmasinin mmkn olmayacaina da dikkat etmek gerekmektedir. Zira szleme kapsaminda verilen temel hizmetin yerine getirilebilmesiyle dorudan ilgisi olma- yan kiisel verilerin ilenmesinde szlemeye dayanilmasi ilgili kiilerin yaniltilmasi anlamina gelecektir. Dolayisiyla evrim ii reklamcilik erezlerinde aik riza hususu "Kullanim Koul- lari ve Szlemesi" ya da "Gizlilik Bildirimi" gibi dokmanlara ilitirilemeyecek olup veri sorumlularinin ilgili kiiye kari d- rst olmasi gerekmektedir. Ayrica erez yoluyla kiisel veri i- lemesinde aik riza istenmesi durumu, ilgili kiiye szlemenin kurulmasi veya ifasinin n koulu olarak dayatilamayacaktir.12 7.3.1. erez Duvarlari erez duvarlari bir ziyaretinin internet sitesinde yer alan tm erezlerin kullanilmasina onay vermedike internet sitesinin ieriini grntlemesini engelleyen uygulamalardir. Aik rizanin zgr bir biimde verilebilmesi kapsaminda erez duvarlarinin ilgili kiinin rizasini ortaya koyarken gerek bir 12 https://www.kvkk.gov.tr/Icerik/5412/Acik-Rizanin-Hizmet-Sartina Baglanmasi 31 32 | EREZ UYGULAMALARI HAKKINDA REHBER seim yapmasini engellemesi sz konusu olabilir. Zira siteye eriim iin erez duvari konulmasi suretiyle erezlere riza ve- rilmesi hususu hizmetin n koulu olarak ilgili kiiye dayatil- dii durumlarda erez duvarinin ilgili kiinin zgr iradesini sakatlamasi sz konusu olabilecek ve bu durumda alinan aik riza, geerli bir aik riza olmayacaktir. Bununla birlikte, her olay zelinde deerlendirme yapilmasi kaydiyla, ilgili kiilerin bir hizmeti elde edebilmeleri iin erez duvari diinda belirli birtakim adil alternatifler sunulmasi sz konusu olabilecektir. 7.4. Taraflarin Sorumluluu

ri konulmasi suretiyle erezlere riza ve- rilmesi hususu hizmetin n koulu olarak ilgili kiiye dayatil- dii durumlarda erez duvarinin ilgili kiinin zgr iradesini sakatlamasi sz konusu olabilecek ve bu durumda alinan aik riza, geerli bir aik riza olmayacaktir. Bununla birlikte, her olay zelinde deerlendirme yapilmasi kaydiyla, ilgili kiilerin bir hizmeti elde edebilmeleri iin erez duvari diinda belirli birtakim adil alternatifler sunulmasi sz konusu olabilecektir. 7.4. Taraflarin Sorumluluu Ayrica, internet sayfasina nc taraf erezlerin yerletirildii durumlarda, hem internet sitesi sahibi hem de nc taraf, kullanicilarin erezler hakkinda aik bir ekilde bilgilendiril- mesini salamak ve rizalarini almakla ykmldr. Uygulama- da, kullaniciyla balanti kurulmasi noktasinda daha az doru- dan kontrol sahibi olan bir nc tarafin bunu baarmasinin daha zor olduu aiktir. Kullanicilarin endie veya ikyetleri iin tespit edebildikleri veya ilikide bulunduklari kii olan in- ternet sitesini ileten irkete bavurmalarinin daha muhtemel olduunu gz nnde bulundurmasinin nemli olduu d- nlmektedir. Bu nedenle birlikte alimanin her iki tarafin da menfaatine olacai deerlendirilmektedir. erez yerletirmek isteyen nc taraflar veya erezlerin kul- lanilmasini gerektiren bir rn salamak isteyenler, internet sitesi yayimcilari ile aralarindaki szlemeye bu konuda h- km ekleyebilirler. Bu durum, nc taraf erezler hakkinda 32 EREZ UYGULAMALARI HAKKINDA REHBER | 33 aydinlatma yapmak ve riza almak iin uygun tedbirlerin alina- caina dair bir gvence salayabilir. 8.YURT DIINA AKTARIM Kiisel verilerin yurt diina aktarimi, 6698 sayili Kanun'un 9'uncu maddesinde hkme balanmitir. Buna gre kiisel ve- riler, veri sorumlusu ve veri ileyen tarafindan: Kanunun 5 ve 6'nci maddelerinde belirtilen artlardan birinin varlii ve aktarimin yapilacai lke, lke ierisindeki sektrler veya uluslararasi kurulular hakkinda verilmi yeterlilik karari bulunmasi halinde, yurt diina aktarilabilir. Yeterlilik karari, Kurul tarafindan verilir ve Resm Gazete'de yayimlanir. Yeterli- lik karari verilirken ncelikle Kanunun 9 uncu maddesinin (3) numarali fikrasinda yer alan hususlar dikkate alinir. Yeterlilik karari, en ge drt yilda bir deerlendirilir. Kurul, deerlendir- me sonucunda veya gerekli grd dier hallerde, yeterlilik kararini ileriye etkili olmak zere deitirebilir, askiya alabilir veya kaldirabilir. Kurul tarafindan verilen yeterlilik kararinin bulunmamasi durumunda, Kanunun 5 inci ve 6 nci maddelerinde belirtilen artlardan birinin varlii, ilgili kiinin aktarimin yapilacai l- kede de haklarini kullanma ve etkili kanun yollarina bavurma imkninin bulunmasi kaydiyla, Kanunun 9 uncu maddesinin (4) numarali fikrasinda yer alan uygun gvencelerden birinin taraflarca salanmasi halinde yurt diina aktarilabilir. 33 34 | EREZ UYGULAMALARI HAKKINDA REHBER Yeterlilik kararinin bulunmamasi ve 9 uncu maddenin (4) nu- marali fikrasinda ngrlen uygun gvencelerden herhangi birinin de salanamamasi durumunda ise kiisel veriler, arizi olmak kaydiyla sadece Kanunun 9 uncu maddesinin (6) numa- rali fikrasinda yer alan hallerden birinin varlii halinde yurt diina aktarabilir. Ancak mezkur (6) numarali fikranin (a), (b) ve (c) bentlerinde sayilan arizi haller kamu kurum ve kurululari- nin kamu hukukuna tbi faaliyetlerine uygulanmaz. Veri sorumlusu ve veri ileyenler tarafindan, yurt diina aktari- lan kiisel verilerin sonraki aktarimlari ve uluslararasi kurulu- lara aktarimlar bakimindan da bu Kanunda yer alan gvenceler salanir ve 9 uncu madde hkmleri uygulanir. Kiisel veriler, uluslararasi szleme hkmleri sakli kalmak zere, Trkiye'nin veya ilgili kiinin menfaatinin ciddi bir ekilde zarar grecei durumlarda, ancak ilgili kamu kurum veya kuru- luunun gr alinarak Kurulun izniyle yurt diina aktarilabilir. Kiisel verilerin yurt diina aktarilmasina ilikin dier kanun- larda yer alan hkmler saklidir. 10 Temmuz 2024 tarih ve 32598 sayili Resmi Gazete'de Kiisel Verilerin Yurt Diina Aktarilmasina likin Usul Ve Esaslar Hak- kinda Ynetmelik yayimlanmitir. Bu ynetmelik ile: i) yeter- lilik kararina dayali aktarimlarin, ii) uygun gvencelere dayali aktarimlarin, iii) arizi aktarimlarin uygulanmasina ilikin usul ve esaslar belirlenmitir. Trkiye'de faaliyet gsteren internet sitelerinin yurt diinda yerleik birtakim irketler vasitasiyla erez kullandii ve bu 34 EREZ UYGULAMALARI HAKKINDA REHBER | 35 erezler araciliiyla yurt diina veri aktarimi faaliyeti gerek- letirdii durumlarda, bu veri aktarim faaliyetinin 6698 sayili Kanun'un 9'uncu maddesine ve Kiisel Verilerin Yurt Diina Aktarilmasina likin Usul ve Esaslar Hakkinda Ynetmelie uygun ekilde yapilmasi gerekmektedir. Yine bu kapsamda Kiisel Verilerin Yurt Diina Aktarilmasi Rehberi de dikkate ali- nabilecektir. 9. UYGUN AYDINLATMANIN YAPILMASI Aydinlatma ykmllnn yerine getirilmesinde Kanun'un 10'uncu maddesi ile "Aydinlatma Ykmllnn Yerine Geti- rilmesinde Uyulacak Usul ve Esaslar Hakkinda Tebli"in (Tebli) hkmlerine uygun hareket edilmesi gerekmektedir.13 Buna gre; hangi hukuka uygunluk sebebine dayanildiindan baimsiz olarak, kiisel verilerin elde edildii her durumda, en ge verinin elde edildii sirada, veri sorumlusu tarafindan aydinlatma ykmllnn yerine getirilmesi gerekmekte olup sz konusu ykmlln yerine getirildiinin ispati veri sorumlusuna aittir. Ayrica anilan Tebli'in 5'inci maddesinin birinci fikrasinin (f) bendinde, kiisel veri ileme faaliyetinin aik riza artina dayali 13 Ayrica, hukuka uygun aydinlatmalara dair Kurumun internet sitesinde yer alan "Aydinlatma Ykmllnn Yerine Getirilmesi Rehberi" reh- berine de bakilmasi mmkndr. https://www.kvkk.gov.tr/SharedFolder Server/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf 35 36 | EREZ UYGULAMALARI HAKKINDA REHBER olarak gerekletirilmesi hlinde aydinlatma ykmll ve aik rizanin alinmasi ilemlerinin ayri ayri yerine getirilmesi gerektii dzenlenmektedir.

, kiisel veri ileme faaliyetinin aik riza artina dayali 13 Ayrica, hukuka uygun aydinlatmalara dair Kurumun internet sitesinde yer alan "Aydinlatma Ykmllnn Yerine Getirilmesi Rehberi" reh- berine de bakilmasi mmkndr. https://www.kvkk.gov.tr/SharedFolder Server/CMSFiles/a569a068-c079-4189-b134-f57bc727af7d.pdf 35 36 | EREZ UYGULAMALARI HAKKINDA REHBER olarak gerekletirilmesi hlinde aydinlatma ykmll ve aik rizanin alinmasi ilemlerinin ayri ayri yerine getirilmesi gerektii dzenlenmektedir. Aydinlatmanin kolayca eriilebilir ve fark edilebilir olmasina dikkat edilmeli, ilgili kiilerin aydinlatmaya eriimini zorlati- racak yntemler kullanilmamalidir. Yine aydinlatmanin tm unsurlarini ierecek ekilde aik, sade ve anlailir ekilde yapilmasi gerekmekte olup internet site- sinde karmaik ve iinde pek ok baka konuda bilgi bulunan Gizlilik Bildirimlerinin sunulmasi aydinlatma ykmllnn yerine getirildii eklinde yorumlanamayacaktir. Ayrica bir internet sitesini ilk defa ziyaret eden bir kiinin daha henz veri sorumlusu ile bir szleme ilikisi iine girip gir- meyeceinin ya da kiisel verilerinin ilenmesine aik rizasi olup olmayacainin belirli olmadii dnldnde, yalnizca siteye girmi olmasi ile kiisel verilerinin ilenmesi ynnde aik iradesini beyan ettii dnlemeyecektir. Bu durumda site ziyareti ile birlikte kiisel veri ilenmeye balanmasi iin aydinlatmanin, kiisel veri ileme artindan baimsiz olarak internet sitesine giri aamasinda yapilmasi gerekmekte olup internet sitesine girite kiisel verilerin ilendiine dair bir bil- gilendirmenin sunulmadii (r. pop- up mesajlar) durumlarda aydinlatma ykmllne aykirilik gndeme gelebilecektir. Ayrica aydinlatma metninde erezin adi, kullanim amaci ve kullanim sresi ile birinci veya nc taraf olup olmadii bil- gilerine de aika yer verilmesi tavsiye olunur. 36 EREZ UYGULAMALARI HAKKINDA REHBER | 37 rn ve hizmetin hitap edecei kitle ocuklar ise aydinlat- ma ykmll kapsaminda ocuklarin algi dzeyine uygun bilgilendirici metinler hazirlanmali, gerekirse resim ve grsel efektlerle desteklenen daha anlailir, sade ve aik bir dil kul- lanilmalidir.14 10. BR RKET HAKKINDAK BAVURU LE LGL KSEL VERLER KORUMA KURULUNUN 27/02/2020 TARH VE 2020/173 SAYILI KARARININ EREZLER AISINDAN DEERLENDRLMES 10.1. Kararin lgili Blm Kanun'un Tanimlar balikli 3'nc maddesinin birinci fikrasi- nin (a) bendinde aik riza; belirli bir konuya ilikin, bilgilen- dirilmeye dayanan ve zgr irade ile aiklanan riza olarak tanimlanmitir. Kanun'da yer verilen bu tanim erevesinde veri sorumlulari tarafindan ilgili kiilerden alinacak aik riza beyanlarinda, opt-out yani bireyin nceden onayini almaksizin 14 ocuklarin Kiisel Verilerinin Korunmasi, rn ve Hizmet Gelitirenler" Tarafindan Dikkat Edilmesi Gerekenler, https://www.kvkk.gov.tr/Shared FolderServer/CMSFiles/db0b3f30-c636-4fcb-930a-bf8f2e524de8.pdf 37 38 | EREZ UYGULAMALARI HAKKINDA REHBER kiisel verilerinin ilenmesine otomatik onay verdikleri kabul edilerek kiilere bu onayi sonradan kaldirmalari ynnde im- kn veren bir sistemin deil; opt-in yani bireyin bilinli eylemi ile kiisel verilerinin ilenmesine nceden onay verecei bir sistemin kullanilmasi gerekmektedir. Veri sorumlusunca "Gizlilik Bildirimi"nde yapilan aiklamada, "xxx.com.tr'yi ziyaret ederek ibu Gizlilik Bildiriminde belirtilen uygulamalari kabul etmekte ve onaylamaktasiniz" ifadesinin yer aldii, bylece ilgili kiilerin kiisel verilerinin ilendiin- den sadece haberdar olmadii ayni zamanda Gizlilik Bildirimi'ni onaylayarak bu hususu kabul etmi olduu iddia edilmektedir. Ancak, yelik oluturulurken herhangi bir aamada aik riza alinmasi yoluna gidilmedii ve aik riza diinda da herhangi bir ileme nedenine dayanilmadii hususu tespit edilmektedir. Gizlilik Bildirimi'nde yer alan ifade, aydinlatma yapilirken ayni zamanda kiilerden aik riza alinmasi yoluna gidildii izlenimi- ni yaratmaktadir. Ancak aik riza diinda ileme nedenlerinin varlii hlinde aik riza alinmasi yoluna gidilmesi, drstlk ku- ralina aykirilik eklinde yorumlanacai gibi, aik riza gerektiren veri ileme sreleri bakimindan da aydinlatmanin yapilmasi ile aik riza alinmasinin birlikte yapilmasi yrrlkteki mevzu- ata uygun kabul edilmemektedir. Aydinlatma Ykmllnn Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Teb- li'in 5'inci maddesinin birinci fikrasinin (f) bendinde, kiisel veri ileme faaliyetinin aik riza artina dayali olarak gerekle- tirilmesi hlinde aydinlatma ykmll ve aik rizanin alin- masi ilemlerinin ayri ayri yerine getirilmesi gerektii dzen- lenmitir. Bu kapsamda veri sorumlusunca internet sitesinde 38 EREZ UYGULAMALARI HAKKINDA REHBER | 39 yayimlanan Gizlilik Bildirimi, birok bilgi iermesi, veri ilemeye ilikin genel bir bilgilendirme olmasi nedeniyle kiisel verilerin ilenmesine ilikin ilgili kiilere aydinlatma yapildii ve aik riza alindii anlamina gelmemektedir. nternet sitesine girildii anda erezler vasitasiyla kiisel veri- lerin ilenmesine balanmasina ramen yelik girii gibi veri ilemenin baladii hibir aamada aydinlatma ykmll- nn yerine getirilmedii, dolayisiyla da Kanun'un 10'uncu mad- desine ve Aydinlatma Ykmllnn Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Tebli'de dzenlenen usul ve esaslara uyulmadii tespit edilmektedir.

yle kiisel verilerin ilenmesine ilikin ilgili kiilere aydinlatma yapildii ve aik riza alindii anlamina gelmemektedir. nternet sitesine girildii anda erezler vasitasiyla kiisel veri- lerin ilenmesine balanmasina ramen yelik girii gibi veri ilemenin baladii hibir aamada aydinlatma ykmll- nn yerine getirilmedii, dolayisiyla da Kanun'un 10'uncu mad- desine ve Aydinlatma Ykmllnn Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Tebli'de dzenlenen usul ve esaslara uyulmadii tespit edilmektedir. Zira, siteyi ilk defa ziyaret eden bir kiinin daha henz veri sorumlusu ile bir szleme ilikisi iine girip girmeyeceinin ya da kiisel verilerinin ilenmesine aik rizasinin olup olma- yacainin belirli olmadii gerekeleriyle yalnizca siteye girmi olmasi ile verilerinin ilenmesi ynnde aik iradesini beyan ettii dnlemeyecei kanaatinden hareketle, farkli veri i- leme aralari kullanilarak site ziyareti ile birlikte veri ilenmeye balanmasi iin aydinlatmanin ncelikle internet sitesine giri aamasinda yapilmasi gerektii, ancak internet sitesine girite farkli aralarla kiisel verilerin ilendiine dair bir bilgilendir- menin sunulmadii (r. pop- up mesajlar) ve yapilan ileme iin izin verilmesine dair bir istemin de mevcut olmadii tespit edilmitir. Bu durumun veri ileme faaliyetindeki hem aik riza artina hem de aydinlatma ykmllne aykirilik tekil ettii deerlendirilmektedir. 39 40 | EREZ UYGULAMALARI HAKKINDA REHBER 10.2. Kararin nemli Noktalari Aydinlatmanin tm unsurlarini ierecek ekilde aik, sade ve anlailir ekilde yapilmasi gerekmekte olup internet sitesin- de karmaik ve iinde pek ok baka konuda bilgi veren Giz- lilik Bildirimlerinin yer almasi aydinlatma ykmllnn yerine getirildii eklinde yorumlanamayacaktir. Kiisel veri ileme faaliyetinin aik riza artina dayali olarak gerekletirilmesi hlinde, aydinlatma ykmll ve aik rizanin alinmasi ilemleri ayri ayri yerine getirilmelidir. erez yoluyla kiisel veri ilenmesine ilikin olarak; bir sz- lemenin kurulmasi veya ifasi kapsaminda aik riza alinmasi, ilgili kiiye szlemenin n koulu olarak dayatilamayacaktir. lgili kiilerden aik riza alinmasi yoluyla elde edilen kiisel verilerin ilenmesinde her bir farkli ama iin ayri aik riza alinmasina olanak veren bir mekanizma kurulmalidir. Kiisel verilerin -en ge- elde edilmesi sirasinda yani inter- net sitesine girildii anda aydinlatmanin yapilmi olmasi gerekmektedir. Aydinlatma henz veri ilenmedii ya da en ge veri ilendii esnada yapilmalidir. Aik rizanin alinabilmesi iin aktif bir eylemin gereklemi olmasi gerekmektedir, sadece internet sitesine girilmi ol- masi ile sz konusu site tarafindan kullanilan erezlere aik riza verildii anlamina gelmemektedir. Kararda, erezler yoluyla kiisel verilerin ilenmesi iin aik riza diinda bir hukuki sebebe de dayanilabilecei deer- lendirilmektedir. 40 EREZ UYGULAMALARI HAKKINDA REHBER | 41 REHBERN HAZIRLANMASINDA FAYDALANILAN KAYNAKLAR Article 29 Data Protection Working Party: "Opinion 2/2010 on Online Behavioural Advertising", WP 171, Haziran 2010, bkz. https://ec.europa.eu/justice/article-29/ documentation/ opinion-recommendation/files/2010/ wp171_en.pdf Article 29 Data Protection Working Party: "Opinion 04/2012 on Cookie Consent Exemption", WP 194, Haziran 2012, bkz. https://ec.europa.eu/justice/article-29/ documentation/ opinion-recommendation/files/2012/ wp194_en.pdf Article 29 Data Protection Working Party: "Working Docu- ment 02/2013 Providing Guidance on Obtaining Consent for Cookies", WP 208, Ekim 2013, bkz. https:// ec.europa.eu/jus- tice/article-29/documentation/opinion recommendation/ files/2013/wp208_en.pdf Directive 2009/136/EC: Directive 2009/136/EC of the Euro- pean Parliament and of the Council of 25 November 2009 amending Directive 2002/22/EC on universal service and us- ers' rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the process- ing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities re- sponsible for the enforcement of consumer protection laws, bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=- celex%3A32009L0136 41 42 | EREZ UYGULAMALARI HAKKINDA REHBER European Data Protection Board (EDPB): "Statement of the EDPB on the revision of the ePrivacy Regulation and its impact on the protection of individuals with regard to the privacy and confidentiality of their communications", Mayis 2018, bkz. https://edpb.europa.eu/sites/edpb/files/ files/ file1/edpb_statement_on_eprivacy_en.pdf European Union Agency for Fundamental Rights and Council of Europe: "Handbook on European Data Protection Law", Nisan 2018, bkz. https://fra.europa. eu/sites/default/files/ fra_uploads/fra-coe-edps-2018- handbook-data-protec- tion_en.pdf Information Commissioner's Office: "Guide to the Privacy and Electronic Communications Regulations", Mayis 2018, bkz. https://ico.org.uk/for-organisations/guide-to pecr/ cookies-and-similar-technologies/ Information Commissioner's Office: "Guide to the General Data Protection Regulation", Austos 2018, bkz. https:// ico. org.uk/media/for-organisations/guide-to-the-general da- ta-protection-regulation-gdpr-1-0.pdf Information Commissioner's Office: "Guidance on the Use of Cookies and Similar Technologies", Temmuz 2019, bkz. https://ico.org.uk/for-organisations/ guide-to-pecr/guid- ance-on-the-use-of-cookies-and similar-technologies/ what-are-cookies-and-similar technologies/#cookies4 Kiisel Verileri Koruma Kurumu: "Madde ve Gerekesi ile Kiisel Verilerin Korunmasi Kanunu (Bilgi Notu) ve Kiisel 42 EREZ UYGULAMALARI HAKKINDA REHBER | 43

guide-to-the-general da- ta-protection-regulation-gdpr-1-0.pdf Information Commissioner's Office: "Guidance on the Use of Cookies and Similar Technologies", Temmuz 2019, bkz. https://ico.org.uk/for-organisations/ guide-to-pecr/guid- ance-on-the-use-of-cookies-and similar-technologies/ what-are-cookies-and-similar technologies/#cookies4 Kiisel Verileri Koruma Kurumu: "Madde ve Gerekesi ile Kiisel Verilerin Korunmasi Kanunu (Bilgi Notu) ve Kiisel 42 EREZ UYGULAMALARI HAKKINDA REHBER | 43 Verilerin Korunmasina likin Terimler Szl", Mart 2019, bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFi- les/062384e3-d18c-4c38-b108-3a7a2a28e849. pdf Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications, ubat 2021, bkz. https:// data.consilium.europa.eu/doc/document/ST-6087-2021- INIT/en/pdf lgili Kararlar Avrupa Birlii Adalet Divaninin 01.10.2019 tarih ve C-673/17 sayili Planet49 Karari. Kiisel Verileri Koruma Kurulunun 27.02.2020 tarih ve 2020/173 sayili Karari. 43 44 | EREZ UYGULAMALARI HAKKINDA REHBER EKLER EK-1: EREZ KULLANIMINA LKN KONTROL LSTES15 (Veri sorumlulari iin) 1) erezleri Anlamak erezlerin ne olduunu ve ne iin kullanilabileceini anliyoruz. Oturum erezleri ve kalici erezler arasindaki farki biliyoruz. Birinci taraf ve nc taraf erezleri arasindaki farki biliyoruz. 2) erez Kullanimini Denetlemek evrim ii hizmetimizin hangi erezleri kullandiini veya kullanmayi amaladiini hlihazirda biliyoruz. htiyacimiz olmayan tm erezleri kaldirdik. Her bir erezin amalarini tespit ettik. Her bir erezin hangi verileri ilediini, kullanicilarimiz hak- kinda tuttuumuz dier bilgilerle balantili olsun olmasin ya da kiisel veri ilemeyi iersin iermesin, tespit ettik. Kiisel verilerin yer aldii durumlarda, bu verilerin Kanunla uyumlu ekilde ilenmesini saladik. 15 rnek mahiyetinde hazirlanmi olup her olay ve olgu zelinde duruma uygun de erlendirmenin yapilmasi tavsiye olunmaktadir. 44 EREZ UYGULAMALARI HAKKINDA REHBER | 45 erezlerimizin oturum erezleri mi yoksa kalici erezler mi olduklarini tespit ettik. erezlerimizin birinci taraf mi yoksa nc taraf erezler mi olduunu tespit ettik. erezlerimizin sona erme srelerini ve bu srelerin Kanun'a uygun olduunu tespit ettik. Kesinlikle gerekli olan ve olmayan erezleri tespit ettik. 3) erezler Hakkinda Aydinlatma Kullandiimiz erezlerle ilgili olarak net ve kolay bir ekilde anlailacak aydinlatmayi saladik. Aydinlatmanin kapsamli olmasini ve kullandiimiz kiisel veri ileyen tm erezleri kapsamasini saladik. 4) erezler iin Aik Riza evrim ii hizmetlerimizin kullanicilarinin, kesinlikle gerekli olmayan tm erezlerin ayarlarini kontrol etmelerine izin veren bir aik riza mekanizmasini uygulamaya koyduk. Aik riza mekanizmalarimizin Kanun'a uygun olmasini sa- ladik. Herhangi bir erez aik riza kaydini uygun bir sre iin sak- lamaktayiz. 5) erez Kullanimimizi Belgelemek ve Gzden Geirmek Yukaridakilerin hepsini belgeledik. Uygun bir gzden geirme periyodu belirledik. 45 46 | EREZ UYGULAMALARI HAKKINDA REHBER EK-2: yi Uygulama rnei Olarak nternet Sitesinde Bant Kullanimi16 1. KATMAN nternet sayfamizda erezler yoluyla kiisel veri ilenmekte olup, gerekli olan erezler bilgi toplumu hizmetlerinin sunulmasi amaciyla kullanilmaktadir. Dier erezler aik riza vermeniz halinde, sizlere ynelik reklam/pazarlama faaliyetlerinin yapilmasi, sitemizin daha ilevsel kilinmasi ve kiiselletirme (gizlilik tercihiniz hari olmak zere dier tercihlerinizin siteye tekrar girdiinizde hatirlanmasini salamak) amalariyla sinirli olarak kullanilacaktir. erezlere dair tercihlerinizi panel vasitasiyla ynetmeniz mmkn olup aydinlatma metnine erimek iin: https://www.aa.com.tr/tr/p/aydinlatma-metni Hepsini Kabul Et Hepsini Reddet erez Ayarlarini Yapilandir 16 rnek mahiyetinde hazirlanmi olup her olay ve olgu zelinde duruma uygun deerlendirmenin yapilmasi tavsiye olunmaktadir. 46 EREZ UYGULAMALARI HAKKINDA REHBER | 47 EK-3: yi Uygulama rnei Olarak nternet Sitesinde Riza Ynetim Platformu17 17 rnek mahiyetinde hazirlanmi olup her olay ve olgu zelinde duruma uygun deerlendirmenin yapilmasi tavsiye olunmaktadir. 47 48 | EREZ UYGULAMALARI HAKKINDA REHBER EK-4: EREZLERE LKN RNEK AYDINLATMA METN18 Bu metin, 6698 sayili Kiisel Verilerin Korunmasi Kanunu'nun (Kanun) 10'uncu maddesi ile Aydinlatma Ykmllnn Ye- rine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Tebli kapsaminda veri sorumlusu sifatiyla AAA irketi tarafindan hazirlanmitir. Bu erez Aydinlatma Metni'nin amaci, internet sitemizde kulla- nilan erezlerin cihaziniza yerletirilmesi araciliiyla otomatik yolla elde edilen kiisel verilerin ilenmesine ilikin olarak, hangi amalarla hangi tr erezleri kullandiimizi ve bu e- rezleri nasil ynetebileceiniz hakkinda sizlere bilgi vermektir. nternet sitemizde kullandiimiz, zorunlu erezler haricindeki erezler iin, kullanicilarin aik rizalari alinmakta ve istedikleri zaman rizalarini deitirebilme olanai salanmaktadir. Kul- lanicilar erez ynetim paneli zerinden, internet sitemizde kullanilan erez eitlerini grebilmekte ve Zorunlu erezler diinda kalan tm erezler iin "aik" veya "kapali" seenekleri ile tercihlerini belirleyebilmektedirler. Yine bu panel zerinden kullanicilar tercihlerini her zaman deitirebilmektedirler. erez eitleri Kullanim sresine gre erez eitleri: nternet sitemizde kul- lanim srelerine gre oturum erezleri ve kalici erezler kullan- maktadir. Oturum erezi, oturumun srekliliinin salanmasi 18 rnek mahiyetinde hazirlanmi olup her olay ve olgu zelinde duruma uygun deerlendirmenin yapilmasi tavsiye olunmaktadir. 48 EREZ UYGULAMALARI HAKKINDA REHBER | 49

i" seenekleri ile tercihlerini belirleyebilmektedirler. Yine bu panel zerinden kullanicilar tercihlerini her zaman deitirebilmektedirler. erez eitleri Kullanim sresine gre erez eitleri: nternet sitemizde kul- lanim srelerine gre oturum erezleri ve kalici erezler kullan- maktadir. Oturum erezi, oturumun srekliliinin salanmasi 18 rnek mahiyetinde hazirlanmi olup her olay ve olgu zelinde duruma uygun deerlendirmenin yapilmasi tavsiye olunmaktadir. 48 EREZ UYGULAMALARI HAKKINDA REHBER | 49 amaciyla kullanilmakta olup kullanici tarayicisini kapattiinda bu erezler de silinmektedir. Kalici erez ise internet tarayicisi kapatildii zaman silinmemekte ve belirli bir tarihte veya belirli bir sre sonra kendiliinden silinmektedir. Birinci taraf ve nc taraf erezler: erezin birinci taraf ya da nc taraf olmasi durumu, internet sitesinin ya da etki alaninin yerletirdii ereze gre deiiklik arz etmektedir. Bi- rinci taraf erezler, dorudan kullanicinin ziyaret ettii internet sitesi yani tarayicinin adres ubuunda gsterilen internet ad- resi (ornek.com.tr) tarafindan yerletirilmektedir. nc taraf erezlerse kullanicinin ziyaret ettii etki alanindan farkli bir etki alani tarafindan yerletirilmektedir. Kullanim amalarina gre erez eitleri: nternet sitemizde kullanim amacina gre aaidaki erezler kullanilmaktadir: 1) Zorunlu erezler: Bu erezler internet sitemizin alimasi amaciyla gerekli olan erezlerdir. Sz konusu erezler birinci taraf erezler olup otu- rum sresince (gizlilik tercihlerinize dair erezler hari olmak zere, zira bu erezler oturum sresinden daha uzun mrl- dr.) kiisel veri ilemekte, oturum sonlandiinda otomatik- man silinmektedirler. Sz konusu erezler talep etmi olduu- nuz bir bilgi toplumu hizmetinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatirlanmasi) yerine getirilebilmesi iin zorunlu olarak kullanilmaktadirlar. Ayrica performans ve ana- litik amali erez internet sitemizdeki ziyaretilerin sayilmasi 49 50 | EREZ UYGULAMALARI HAKKINDA REHBER ve trafiin llmesine olanak salamaktadir ve birinci taraftir. Bu sayede sitemizin performansini lmekte ve iyiletirebil- mekteyiz. Bu erezler internet sitemizdeki hangi sayfalarin en popler olduu, hangilerinin de en az popler olduunu anla- mamiza yardimci olmaktadir. 2) Reklam/Pazarlama erezleri Bu erezler internet sitemiz araciliiyla reklam ortaklarimizin yerletirdikleri erezler olup nc taraf erezlerdir. Bu erez- ler i ortaklarimiz tarafindan ilgi alanlariniza gre profilinizin ikarilmasi ve size ilgili reklamlar gstermek zere kullanil- maktadir. 3) levsel erezler Bu tr erezler, internet sitemizi daha ilevsel kilmak ve kii- selletirme amalariyla (gizlilik tercihleriniz hari olmak zere dier tercihlerinizin siteye tekrar girdiinizde hatirlanmasini salamak) kullanilmaktadir. Kiisel Verilerin Hangi Amalarla lenecei ve Hukuki Sebepler Zorunlu erezler, talep etmi olduunuz bir bilgi toplumu hiz- metinin (log-in olma, form doldurma ve gizlilik tercihlerinin hatirlanmasi, internet sitemizdeki ziyaretilerin sayilmasi ve trafiin llmesi) yerine getirilebilmesi amaciyla kullanil- maktadir. Bu erezler araciliiyla toplanan kiisel verileriniz, Kanun'un 5'inci maddesinin (2) numarali fikrasinin (c) bendi "Bir szlemenin kurulmasi veya ifasiyla dorudan doruya il- gili olmasi kaydiyla, szlemenin taraflarina ait kiisel verilerin 50 EREZ UYGULAMALARI HAKKINDA REHBER | 51 ilenmesinin gerekli olmasi" veya (f) bendi "lgili kiinin temel hak ve zgrlklerine zarar vermemek kaydiyla, veri sorumlu- sunun meru menfaatleri iin veri ilenmesinin zorunlu olmasi" kapsaminda ilenmektedir. Reklam ve Pazarlama erezleri, i ortaklarimiz tarafindan ilgi alanlariniza gre profilinizin ikarilmasi ve size ilgili reklamlar gstermek amaciyla kullanilmaktadir. Bu erezler araciliiy- la toplanan kiisel verileriniz, Kanun'un 5'inci maddesinin (1) numarali fikrasi kapsaminda aik rizanizin alinmasi suretiyle ilenmektedir. levsel erezler, internet sayfamizi daha ilevsel kilmak ve ki- iselletirmek (gizlilik tercihleriniz hari olmak zere dier ter- cihlerinizin siteye tekrar girdiinizde hatirlanmasini salamak) amalariyla kullanilmaktadir. Bu erezler araciliiyla toplanan kiisel verileriniz, Kanun'un 5'inci maddesinin (1) numarali fik- rasi kapsaminda aik rizanizin alinmasi suretiyle ilenmektedir. nternet sitemizde yer alan erezlere ilikin bilgiler aaidaki tabloda yer almaktadir: erezin erezin Amaci erez erezin smi Tipi Saklama Sresi nternet sitemizin alimasi amaciyla gerekli olan erezler olup talep etmi erez- olduunuz bir bilgi toplumu hizmetinin Birinci Oturum 1a (log-in olma) yerine getirilebilmesi iin Taraf sresince zorunlu olarak kullanilmaktadirlar. erez saklanirlar. Sayfaya girildiinde aktif olarak yerletirilmektedirler. 51 52 | EREZ UYGULAMALARI HAKKINDA REHBER nternet sayfasinin alimasi amaciyla gerekli olan erezler olup talep etmi erez- olduunuz bir bilgi toplumu hizmetinin Birinci Oturum 1b (form doldurma) yerine getirilebilmesi Taraf sresince iin zorunlu olarak kullanilmaktadirlar. erez saklanirlar. Sayfaya girildiinde aktif olarak yerletirilmektedirler. nternet sitemizin alimasi amaciyla gerekli olan erezler olup talep etmi erez- olduunuz bir bilgi toplumu hizmetinin Birinci 365 gn 1c (gizlilik tercihlerinin hatirlanmasi) Taraf sreyle yerine getirilebilmesi iin zorunlu olarak erez saklanmaktadir. kullanilmaktadirlar. Sayfaya girildiinde aktif olarak yerletirilmektedirler. erez- Bu erez internet sitemizdeki Birinci 180 gn 2 ziyaretilerin sayilmasi ve trafiin Taraf sreyle llmesi amalariyla kullanilmaktadir. erez saklanmaktadir. Bu sayede sitemizin performansini lmekte ve iyiletirebilmekteyiz. Yalnizca anonim istatistikler retilmekte kiilerin internet gezinmelerini farkli internet siteleri veya uygulamalar arasinda apraz takibi amaciyla kullanilmamaktadir. Bu erezler internet sitemiz araciliiyla yerletirilmi reklam ortaklarimizin nc

erletirilmektedirler. erez- Bu erez internet sitemizdeki Birinci 180 gn 2 ziyaretilerin sayilmasi ve trafiin Taraf sreyle llmesi amalariyla kullanilmaktadir. erez saklanmaktadir. Bu sayede sitemizin performansini lmekte ve iyiletirebilmekteyiz. Yalnizca anonim istatistikler retilmekte kiilerin internet gezinmelerini farkli internet siteleri veya uygulamalar arasinda apraz takibi amaciyla kullanilmamaktadir. Bu erezler internet sitemiz araciliiyla yerletirilmi reklam ortaklarimizin nc erez- erezleri olup nc taraf erezlerdir. Taraf 365 gn Bu erezler i ortaklarimiz tarafindan ilgi erez sreyle 3 alanlariniza gre profilinizin ikarilmasi (B saklanmaktadir. ve size ilgili reklamlar gsterme irketi) amaciyla kullanilmaktadir. Bu erezler, internet sitemizi daha Birinci 90 gn Taraf sreyle ilevsel kilmak ve kiiselletirmek erez saklanmaktadir. erez- (gizlilik tercihleriniz hari olmak zere 4 dier tercihlerinizin siteye tekrar girdiinizde hatirlanmasini salamak zere) amalariyla kullanilmaktadir. 52 EREZ UYGULAMALARI HAKKINDA REHBER | 53 lgili Kiilerin Talepleri nternet sitemizde kullanilan erezler yoluyla kiisel verileri ilenen ilgili kiiler, Kiisel Verilerin Korunmasi Kanunu'nun 11'inci maddesi kapsamindaki taleplerini, "Veri Sorumlusu- na Bavuru Usul ve Esaslari Hakkinda Teblii"ne gre Avcilar Mahallesi Yasemin Sokak No:47/2 Pendik/STANBUL adresine yazili olarak veya e-postasinin sistemimizde kayitli bulunmasi halinde sz konusu e-posta zerinden lgiliKisiBasvuru@aaa. com.tr e-posta adresine iletebilmektedir. Tarayici Ayarlarindan erez Ayarlari nternet sitemizde yer alan ikona tiklayarak istediiniz anda erezlere ilikin tercihlerinizi deitirebilirsiniz. erez ynetim panelindeki butonlari tercihinize gre aik veya kapali konuma getirerek "Ayarlari kaydet" butonuna tiklayiniz. Ayarlarinizi etkin hle getirmek iin sayfayi yenileyiniz. Bunun yani sira, tarayici ayarlari araciliiyla da kismen kont- rol salanabilmektedir. Sik kullanilan tarayicilarda erezlerin ynetimine ilikin bilgilere aaidaki balantilar araciliiyla eriebilirsiniz: -Google Chrome https://support.google.com/accounts/ answer/61416?co=GENIE.Platform%3DDesktop&hl=tr -Mozilla Firefox https://support.mozilla.org/tr/kb/masaustu firefox-surumunde-gelismis-izlenme-koruma -Safari https://help.apple.com/safari/mac/9.0/#/sfri40732 -Opera https://help.opera.com/en/latest/web-preferences/ 53 54 | EREZ UYGULAMALARI HAKKINDA REHBER EK-5: erezlere Dair Kt rnekler KT rnek-1 Aiklama: erez kapsaminda riza alinmasi hususunda eit derecede "Hepsini Kabul Et", "Hepsini Reddet" ve "Tercihler" butonlari sunulmamitir, "daha fazla bilgi" eklinde belirtilen kismin aydinlatmaya dair bir link mi? Yoksa erez ayarlarini ynetmek iin kullanilan bir platform linki mi? Olduu aik deildir. Aydinlatma metni ile erez ynetim panelinin ayriti- rilmi olmasi ve ilgili kiilerden alinan aik rizanin unsurlarinin tam olmasi gerekmektedir. Sitenin temel ilevselliini sala- mak amaci Kriter A ve B kapsaminda olduu takdirde aik riza alinmasi "hukuka ve drstlk kuralina uygun olma" ilkesiyle badamayacaktir. erezleri (3. Taraf erezler dahil), sitemizin temel ilevselliini salamak, kullaniminizin istatistik analizini yapmak ve ieriklerle reklamlarin kiiselletirilmesi iin kullaniyoruz. Daha fazla bilgi iin Tm erezleri kabul et 54 EREZ UYGULAMALARI HAKKINDA REHBER | 55 KT rnek-2 Sosyal medya zelliklerini salama ve reklamlari kiiselletir- menin her biri farkli amalardir. rnein sosyal eklenti ierik paylaim erezleri "ilevsel", kiiselletirilmi reklam sunma ise "reklam ve pazarlama" amalariyla kullanilabilecektir. Bu yzden riza alirken her bir ama iin ayri riza alinmasi nerilir. lgili kiilere ilk aamada tercih imkni sunulurken "Kabul edi- yorum", "Reddediyorum" butonlarinin her ikisi de yer almali, ayrica eit byklk, ayni renk gibi kiinin zgr iradesini etki- lemeyecek ekilde sunulmasi tavsiye edilir. Birbirinden farkli amalarla aik riza talep edildiinden, ilgili kiilere ayri riza verebilecekleri "Tercihleri Yapilandir" butonunun da yer almasi nerilir. Sitemizde gerekli erezler kullanilmaktadir. erezler hakkinda detayli bilgi almak iin erez Politikamizi inceleyebilirsiniz. Siteyi kullanmanizi analiz etmek, sosyal medya zellikleri salamak, reklamlari kiiselletirmek iin erez kullanimina izin veriyorsaniz ltfen "Kabul Ediyorum" seeneini tiklayiniz. Kabul ediyorum 55 56 | EREZ UYGULAMALARI HAKKINDA REHBER KT rnek-3 Gizlilik Tercihi Merkezi Herhangi bir web sitesini ziyaret ettiinizde site, tarayicinizdan genellikle tanimlama bilgileri biiminde olmak zere bilgiler alabilir veya depolayabilir. Bu bilgiler, siz, tercihleriniz ya da cihaziniz hakkinda olabilir veya siteyi baladiiniz ekilde alitirmak zere kullanilabilir. Bilgiler ounlukla sizi dorudan tanimlamaz ancak size daha kiiselletirilmi bir web deneyimi sunabilir. Bazi tanimlama bilgisi trlerine izin vermemeyi seebilirsiniz. Daha fazla bilgi edinmek ve varsayilan ayarlarinizi deitirmek iin farkli katagori baliklarina tiklayin. Bununla birlikte bazi tanimlama bilgisi trlerini engellediinizde sz deneyiminiz ve sunabildiimiz hizmetler bu durumdan etkilenebilir. Onay Tercihlerini Ynet Zorunlu erezler Her Zaman Etkin levsel erezler Hedefleme Amali erezler Sosyal Medye erezleri Seimimi Onayla Aiklama: Kanuni tanim erevesinde veri sorumlulari tarafin- dan ilgili kiilerden alinacak aik riza beyanlarinda opt-out yani bireyin nceden onayini almaksizin kiisel verilerinin ilenme- sine otomatik onay verdiklerini kabul eden bir sistemin deil, optin yani bireyin bilinli eylemi ile kiisel verilerinin ilenme- sine onay verecei bir sistemin kullanilmasi gerekmektedir. 56 EREZ UYGULAMALARI HAKKINDA REHBER | 57

n levsel erezler Hedefleme Amali erezler Sosyal Medye erezleri Seimimi Onayla Aiklama: Kanuni tanim erevesinde veri sorumlulari tarafin- dan ilgili kiilerden alinacak aik riza beyanlarinda opt-out yani bireyin nceden onayini almaksizin kiisel verilerinin ilenme- sine otomatik onay verdiklerini kabul eden bir sistemin deil, optin yani bireyin bilinli eylemi ile kiisel verilerinin ilenme- sine onay verecei bir sistemin kullanilmasi gerekmektedir. 56 EREZ UYGULAMALARI HAKKINDA REHBER | 57 KT rnek-4 Aiklama: Sz konusu rnekte erezlerin kullanimina ilikin olarak "Hepsini Kabul et"/"Hepsini Reddet"/"Tercihler" buton- lari sunulmamaktadir. Ayrica, kullanilan erezlerin amalarinin (rnein kiiselletirme, analitik veya reklam) ve taraflarinin (birinci ve/veya nc) neler olduunun kisaca bantta be- lirtilmesi gerekmektedir. Aik rizanin zgr iradeyle verilmi olmasi ve aktif bir olumlayici eylemle elde edilmesi gerektii dikkate alindiinda, sitenin kullanilmak suretiyle erez kulla- nimina izin verilmesi hukuka uygun bir kullanim ekli deildir. Sitemizi kullanarak, erez kullanimina izin vermektesiniz. Daha fazla bilgi iin "erez Politikasi" sayfamizi ziyaret edebilirsiniz. 57 Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 ankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu