Çağrı Merkezi: 444 22 92 Destek Hattı: +90(533) 650 66 25
Türkçe

tr

Dil Seçimi

Dil Seçimi

0 Ürün Sepeti Gör

Sepetinize ekli ürün bulunmamaktadır.

Çerez Politikası

Gizlilik ve Çerez Politikası

GÜRBÜZ TİCARET DAYANIKLI TÜKETİM MALLARI VE KLİMA SANAYİ LTD.ŞTİ. (“ŞİRKET” olarak anılacaktır) olarak, www.gurbuzgrup.com web sitesinde (“Site”),sitenin uzantılarında, uygulamalarımız yahut dijital ortamda sizlerin kullanımına sunduğumuz benzeri tüm çevrimiçi veya çevrimdışı mecralarımızı (anılan tüm mecralar “Platform” olarak anılacaktır.) kullanımınız veya ziyaretiniz sırasında sizlerin deneyimini geliştirmek için çerezler ve birtakım teknolojilerden (“çerezler”) faydalanmaktayız. 
 
Bu teknolojilerin kullanımı başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) olmak üzere tabi olduğumuz mevzuata uygun şekilde gerçekleştirilmektedir.
 
İşbu Çerez Politikası’nın amacı, Platformların kullanımı esnasında kullanılmakta olan çerezler kullanılarak kişisel verilerin işlenmesi nedeniyle elde edilen kişisel verilere ilişkin sizlere bilgi vermektir.  İşbu metinde sitemizde ve uygulamalarımızda hangi amaçlarla hangi tür çerezleri kullandığımızı ve bu çerezleri nasıl kontrol edebileceğinizi sizlere açıklamak istiyoruz.
 
Şirket olarak sitemizde ve uygulamalarımızda kullandığımız çerezleri gerekmesi durumunda kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya sitemize ve uygulamalarımızda yeni çerezler ekleyebiliriz. Dolayısıyla işbu Çerez Politikası’nın hükümlerini dilediğimiz zaman değiştirme hakkını saklı tutarız. Güncel Çerez Politikası üzerinde gerçekleştirilmiş olan her türlü değişiklik sitede, uygulamada veya herhangi bir kamuya açık mecrada yayınlanmakla birlikte yürürlük kazanacaktır. Son güncelleme tarihini metnin sonunda bulabilirsiniz.
 
Kişisel verilerinizin Şirketimiz tarafından işlenme amaçları konusunda detaylı bilgilere; https://gurbuzgrup.com/ Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.

’ndan ulaşabilirsiniz.

Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel verileriniz, internet sitemizi ziyaretiniz kapsamında veya uygulamalarımızı kullanmanız dolayısıyla elektronik ortamda çerezler yoluyla Şirketimizin meşru menfaati hukuki sebebine dayalı olarak toplanmaktadır. Hedefleme ve profilleme vasıtasıyla gerçekleştirilen tanıtım faaliyetleri ise yalnızca açık rızanız olması halinde gerçekleştirilmektedir. Toplanan kişisel verileriniz Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işbu Çerez Politikası’nda belirtilen amaçlarla da işlenebilmektedir.

Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

Şirket olarak, Çerez Politikası kapsamındaki kişisel verilerinizi yukarıda belirtilen amaçların gerçekleştirilebilmesi ile sınırlı olarak ve mevzuata uygun şekilde, kanunen yetkili kamu kurumlarıyla paylaşabiliriz.

Hangi Çerezler Hangi Amaçlarla Kullanılmaktadır?

Şirket olarak sitemizde ve uygulamalarımızda çeşitli amaçlarla çerezler kullanmakta ve bu çerezler vasıtasıyla kişisel verilerinizi işlemekteyiz. Bu amaçlar başlıca şunlardır:

·         Site’nin ve uygulamaların çalışması için gerekli temel fonksiyonları gerçekleştirmek. Örneğin, oturum açan üyelerin Site’de farklı sayfaları ziyaret ederken tekrar şifre girmelerine gerek kalmaması.

·         Site’yi ve uygulamaları analiz etmek, Site’nin ve uygulamaların performansını arttırmak. Örneğin, Site’nin üzerinde çalıştığı farklı sunucuların entegrasyonu, Site’yi ziyaret edenlerin sayısının tespit edilmesi ve buna göre performans ayarlarının yapılması ya da ziyaretçilerin aradıklarını bulmalarının kolaylaştırılması.

·         Site’nin ve uygulamaların işlevselliğini arttırmak ve kullanım kolaylığı sağlamak. Örneğin, Site’yi ziyaret eden ziyaretçinin daha sonraki ziyaretinde kullanıcı adı bilgisinin ya da arama sorgularının hatırlanması.

·         Kişiselleştirme, hedefleme ve reklamcılık faaliyeti gerçekleştirmek. Örneğin, ziyaretçilerin görüntüledikleri sayfa ve ürünler üzerinden ziyaretçilerin ilgi alanlarıyla bağlantılı reklam gösterilmesi. 

Sitemizde ve Uygulamalarımızda Kullanılan Çerezler

Aşağıda sitemizde ve uygulamalarımızda kullandığımız farklı türdeki çerezleri bulabilirsiniz. Sitemizde ve uygulamalarımızda hem birinci parti çerezler (ziyaret ettiğiniz site tarafından yerleştirilen) hem de üçüncü parti çerezleri (ziyaret ettiğiniz site haricindeki sunucular tarafından yerleştirilen) kullanılmaktadır.

Zorunlu Çerezler

Belli çerezlerin kullanımı sitemizin ve uygulamalarımızın doğru biçimde çalışması için zorunludur. Örneğin sitemizde oturum açtığınızda devreye giren kimlik doğrulama çerezleri, sitemizde bir sayfadan diğerine geçişinizde etkin olan oturumunuzun devam etmesini sağlamaktadır.

Çerez Hizmet Sağlayıcısı

Çerez İsmi

Çerezin Amacı

Çerez Tipi

Çerez Süresi

AAA(ÖRNEK)

xxx

Kullanıcının site üzerinde kullandığı dil seçeneğini saklar.

Gerekli

1 yıl

AAA(ÖRNEK)

xxx

Kullanıcının mobil cihazlardan web sitesine girdiğinde mobil görünüme yönlendirilip yönlendirilmediğini gösterir.

Gerekli

oturum sonu

 

Tercih Çerezleri

Bu çerezler sizlerin site ve uygulama üzerindeki tercihlerini ve seçimlerinizi hatırlayarak sitemizde sunulan hizmetlerin sizin için kişiselleşmesini sağlamaktadır. Örneğin sitemiz üzerindeki dil seçiminizi veya bir metin okurken seçmiş olduğunuz font boyutunu hatırlamamızı sağlar.

Çerez Hizmet Sağlayıcısı

Çerez İsmi

Çerezin Amacı

Çerez Tipi

Çerez Süresi

 

 

 

 

 

 

 

 

 

 

 

Sosyal Medya Çerezleri

Bu çerezler sizlerin sosyal medya kullanımlarınız hakkında bilgilerin toplanmasını sağlar. Örneğin Kişiselleştirilmiş reklamlar oluşturulması ya da market araştırmaları yapılması için Facebook/Twitter hesaplarınıza ait bilgilerin kullanılması için çerezler kullanılabilir.

Çerez Hizmet Sağlayıcısı

Çerez İsmi

Çerezin Amacı

Çerez Tipi

Çerez Süresi

 

 

 

 

 

 

 

 

 

 

 

Performans ve Analiz Çerezleri

Bu çerezler sayesinde sitemizi ve uygulamalarımızı kullanımınızı ve performans analizi yaparak sizlere verdiğimiz hizmetleri daha iyi hale getirebiliyoruz. Örneğin bu çerezler sayesinde ziyaretçilerimizin en çok hangi sayfaları görüntülediğini, sitemizin gerektiği gibi çalışıp çalışmadığını ve olası problemleri tespit edebiliyoruz.

Çerez Hizmet Sağlayıcısı

Çerez İsmi

Çerezin Amacı

Çerez Tipi

Çerez Süresi

 

 

 

 

 

 

 

 

 

 

 

Hedefleme veya reklam çerezleri

Sizlere sitemizde veya sitemiz haricindeki mecralarda ürün ve hizmet tanıtımını yapmak için çerezler kullanıyoruz. Ayrıca bazı iş ortaklarımızla sizlere sitemiz dahilinde veya dışında reklam ve tanıtım yapmak için iş birliğine gidebiliriz. Örneğin, sitemizde gördüğünüz bir reklama tıklayıp tıklamadığınızı, eğer reklam ilginizi çektikten sonra o reklam yönlendirdiği sitedeki hizmetten faydalanıp faydalanmadığınızı takip etmek için çerezler kullanılabilmektedir.

Çerez Hizmet Sağlayıcısı

Çerez İsmi

Çerezin Amacı

Çerez Tipi

Çerez Süresi

 

 

 

 

 

 

 

 

 

 

 

Çerezlerin Kullanımını Nasıl Kontrol Edebilirim?

Çerez ve benzeri teknolojilerin kullanımı konusunda ziyaretçi ve kullanıcılarımızın tercihleri bizler için esastır. Buna karşın, Platform’un çalışması için zorunlu olan Çerezler’in kullanılması gerekmektedir. Ek olarak bazı çerezlerin kapatılması halinde Platform’un birtakım işlevlerinin kısmen ya da tamamen çalışmayabileceğini hatırlatmak isteriz.
 
Platform’da kullanılan çerezlere dair tercihlerinizi ne şekilde yönetebileceğinize ilişkin bilgiler aşağıdaki gibidir:  

·         Ziyaretçiler, Platform’u görüntüledikleri tarayıcı ayarlarını değiştirerek çerezlere ilişkin tercihlerini kişiselleştirme imkânına sahiptir. Eğer kullanılmakta olan tarayıcı bu imkânı sunmaktaysa, tarayıcı ayarları üzerinden çerezlere ilişkin tercihleri değiştirmek mümkündür. Böylelikle, tarayıcının sunmuş olduğu imkânlara göre farklılık gösterebilmekle birlikte, veri sahiplerinin çerezlerin kullanılmasını engelleme, çerez kullanılmadan önce uyarı almayı tercih etme veya sadece bazı çerezleri devre bırakma ya da silme imkânları bulunmaktadır.

·         Bu konudaki tercihler kullanılan tarayıcıya göre değişiklik göstermekle birlikte genel açıklamaya https://www.aboutcookies.org/  adresinden ulaşmak mümkündür. Çerezlere ilişkin tercihlerin, ziyaretçinin Platform’a erişim sağladığı her bir cihaz özelinde ayrı ayrı yapılması gerekebilecektir. 

·         Google Analytics tarafından yönetilen çerezleri kapatmak için tıklayınız

·         Google tarafından sağlanan kişiselleştirilmiş reklam deneyimini yönetmek için tıklayınız

·         Birçok firmanın reklam faaliyetleri için kullandığı çerezler bakımından tercihler Your Online Choices üzerinden yönetilebilir. 

·         Mobil cihazlar üzerinden çerezleri yönetmek için mobil cihaza ait ayarlar menüsü kullanılabilir. 

·         Tarayıcınızın ayarlarını değiştirerek çerezlere ilişkin tercihlerinizi kişiselleştirme imkânına sahipsiniz.

 

Adobe Analytics

http://www.adobe.com/uk/privacy/opt-out.html

AOL

https://help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser

Google Adwords

https://support.google.com/ads/answer/2662922?hl=en

Google Analytics

https://tools.google.com/dlpage/gaoptout

Google Chrome

http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647

Internet Explorer

https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies

MozillaFirefox

http://support.mozilla.com/en-US/kb/Cookies

Opera

http://www.opera.com/browser/tutorials/security/privacy/

Safari:

https://support.apple.com/kb/ph19214?locale=tr_TR

 
Veri Sahibi Olarak Haklarınız Nelerdir?

KVK Kanunu’nun 11. maddesi uyarınca veri sahipleri,

·         Kişisel veri işlenip işlenmediğini öğrenme,

·         Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

·         Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

·         Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

·         Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

·         KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

·         Işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

·         Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Yukarıda sıralanan haklarınızla ilgili başvurularınızı Şirket İlgili Kişi Başvuru Formu’nu doldurarak Şirketimize iletebilirsiniz. Talebiniz 30 gün içinde sonuçlandırılarak cevap iletilecektir. Talepler kural olarak ücretsiz karşılanır ancak, talebin gereğini yerine getirmek masraf gerektiriyorsa “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” madde 7’de öngörülen; “İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, 10 sayfaya kadar ücret alınmaz. 10 sayfanın üzerindeki her sayfa için 1 TL işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.” Hükmü gereğince ŞİRKET tarafından ücret istenebilecektir.

Son Güncelleme Tarihi: 05.05.2022

“E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Karar Özeti

Karar Tarihi

:

10/03/2022

Karar No

:

2022/229

Konu Özeti

:

E-ticaret sektöründe faaliyet gösteren veri sorumlusu şirket tarafından internet sitesinde/mobil uygulamalarında kullanılan çerezler aracılığıyla hukuka aykırı olarak kişisel veri işlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle;

  • Veri sorumlusu tarafından uygulanmakta olan çerez politikasının kişilerin temel hak ve özgürlükleri ile özel hayatın gizliliğine müdahaleci nitelikte olduğu,
  • Çerez kullanımı hakkında internet sitesinde yer alan politikanın anlaşılmaz ve kapsamı belirtilmemiş bilgiler içermesi dolayısıyla çerezler hakkındaki aydınlatma yükümlülüğünün tam olarak yerine getirilmediği,  
  • Çerez kullanımına ilişkin işleme şartı olarak meşru menfaatin zorunlu olduğunun iddia edilebilmesinin hukuken mümkün olmadığının düşünüldüğü ve veri sorumlusu tarafından ilgili kişinin açık rızasına dayanılarak da işleme faaliyetinin gerçekleştirilmediği,
  • İnternet sitesinin faaliyetleri ya da kullanılan çerezler kapsamında işlenen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 9’uncu maddesinde yer aldığı üzere yurt dışına aktarıldığı ve bu kapsamda ilgili kişinin açık rızasının alınmadığı,
  • Kanun’un 11’inci maddesi uyarınca sahip olunan tüm haklar kapsamında veri sorumlusundan bilgi talebinde bulunulduğu; ancak veri sorumlusunun cevabında yalnızca çerez kullanımlarına ilişkin bilgi verildiği, 
  • Ayrıca ilgili kişinin, hangi veri konusu kişi grubuna dâhil olduğunun belirtilmediği, üye müşteri ve misafir müşteriyle ilgili olarak işlenen veri kategorileri ve veri tiplerinin işleme amaçlarının tam olarak açıklanmadığı ve kapsamlarının anlaşılamadığı,
  • Pazarlama bilgisi veri kategorisi altında yer alan açıklamalardan hangi veri tipinin işlendiğinin anlaşılamadığı, ilgili kişinin ticari elektronik ileti onayı vermemiş olmasına rağmen “hedefleme ve analiz” çerezlerinin tarayıcıda ve uygulamada aktif olduğu, gerek platform gerek mobil uygulama üzerindeki üye müşteri deneyiminin iyileştirilmesi olarak sunulan veri işleme amacı için  “hedefleme bilgilerinin” veya “beğenileri” gösteren değerlendirmelerin davranışsal reklamcılık çerezi işlevi kazandığı ve işlenmesine gerek olmadığı hâlde işlendiği, “üye müşterinin açık rızası doğrultusunda yeniden pazarlama, hedefleme, profilleme ve analiz yapılarak üye müşterinin tercih ve beğenisi doğrultusunda uygulama, mal/ürün ve hizmetlerin tanıtımının ve pazarlamasının yapılması” amacı belirtilen veri kategorisi ve veri tipleri için en uygun amaç olmakla birlikte açık rızasının alınmadığı, 
  • Ziyaretçi için hedeflemeli çerezler aktifken hedeflemeli reklamcılık yapılmadığının belirtilmesinin doğru olmadığı, çevrim içi ziyaretçinin IP adresinin 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun sebebiyle işlendiği ve bunun politikada belirtildiği; ancak kişisel veri olan IP adresinin işlenmesi sırasında hedeflemeli reklamcılık çerezlerinin site üzerinde aktif hâlde bulunmasının hedefleme yapılmamasını imkânsız kıldığı, 
  • İnternet sitesinde yer verilen çerez politikasının gerçeği yansıtmadığı, çerezlerin ve üçüncü taraf çerezlerin özelliklerine tam ve doğru bir şekilde yer verilmediği, veri saklama sürelerinin sınırlı sayıda çerez için belirtildiği, bir sosyal medya platformu ile giriş sekmesi üzerinden üyelik oluşturulması ile bazı bilgilerin iki platform arasında paylaşılarak kullanıldığı,
  • İşlevde olan çerezlerin ve işlenen kişisel verilerin sadece bir kısmı gösterilerek tam bilgi sunulmamasının çerezler konusundaki aydınlatma yükümlülüğünün yerine getirilmediğinin kanıtı olduğu,
  • Ayrıca, tarayıcı veya mobilde çerezleri devre dışı bırakmanın bir önlem olarak sunulduğu, tarayıcıda çerezlerin devre dışı bırakılmasının kişinin tarayıcı deneyimini tamamen katlanılamaz hâle getirdiği, kullanıcının siteye ziyaret gerçekleştirmesinden önce tarayıcı ayarlarından çerez kullanımını engellemediği her hâlde kişisel verilerin işlenmiş olacağı,
  • Üçüncü taraf analitik çerezlerin her zaman meşru sayılamayacağı, bu çerezlerin kullanıcı deneyimine yarar sağlamadığı, internet sitesinde 14 adet analitik çerez kullanılmak suretiyle yurt dışına kişisel veri aktarılmasının Kanun’a uygun şekilde gerçekleştirilmediği, veri sorumlusunun cevabında Avrupa Birliği müktesebatında bu tür çerezlerin kullanılmasına ilişkin olarak e-Gizlilik Regülasyonunun henüz taslak aşamasında olduğunun vurgulandığı, ancak regülasyon olarak taslağı hazırlanan 2002/58 sayılı e-Gizlilik Direktifinin, 2009/136 sayılı Direktif düzenlemesi olarak güncel hâlde yürürlükte olduğu, davranışsal reklamcılık ve analitik çerezlerin uygulanmasında 2002/58 sayılı Direktifin 5’inci maddesinin (3) numaralı fıkrası ile kullanıcıya tanınması gereken “reddetme hakkı”nın, 2009/136 sayılı Direktifte tekrar düzenlendiği, hâlihazırda bu tür çerezlerin uygulanmasının, 95/46 sayılı Direktif’te tanımlandığı hâliyle “rıza”ya tabi olduğu, güncel durumun, bu rızanın artık Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) göre yorumlanması yönünde olduğu, 
  • Üye olmayan ya da üye olmadan alışveriş yapan ziyaretçilerin profilleme veya segmentasyona tabi tutulmadığının belirtildiği ancak kullanılan çerezlerin büyük bir kısmının veriyi doğrudan ziyaretçiden topladığı ve ziyaretçi trafiğinin siteler arası davranışsal reklamcılık ile arttırılmasının sağlandığı, bu durumda ziyaretçilerin hedeflemeli reklamlara, segmentasyon veya profillemeye tabi tutulduğu

belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan konuya ilişkin savunması istenilmiş olup alınan cevabi yazıda özetle; 

  • İlgili kişinin internet sitesi üzerindeki çerezler kapsamında işlenen kişisel verileri açısından, ilgili kişinin tanınabilmesi amacıyla tarayıcısına yerleştirilen çerezler ve internet sitesinde kullanılan çerezler vasıtasıyla işlenen kişisel verilerinin “oturum belirteci (session token), alıcı numarası (Buyer ID), e-posta özet değeri (hashed e-mail), cinsiyeti, üyelik tarihi, sisteme son giriş tarihi, e-posta izni, alıcı VIP statüsü ve web/mobil web sitelerinde yer alan Çerez Politikası’nda belirtilen ve ‘kesinlikle gerekli çerez’ statüsünde olmayan çerezler” şeklinde olduğu ve bunların Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca meşru menfaatleri için veri işlenmesinin zorunlu olması şartı kapsamında işlenmekte olduğu,
  • “Kesinlikle gerekli çerez” statüsünde olmayan çerezler dışında kalan diğer çerezlerin ise bilgi toplumu hizmet sağlayıcısı sıfatıyla çevrim içi bedelli olarak kullanıcılara sunulan elektronik ticaret hizmetinin sunulabilmesi için kesinlikle gerekli çerezler olduğu,
  • “Kesinlikle gerekli çerezler” ve bilgi toplumu hizmetinin sunulması noktasında, kendilerinin bir bilgi toplumu hizmet sağlayıcısı olduğu ve bu kapsamda kullandıkları bazı çerezlerin hizmetin sunumu açısından “kesinlikle gerekli çerezler” olduğu ve bunlar bakımından web sitesi veya mobil uygulama kullanıcılarından açık rıza alınmasının gerekli olmadığı ve bilgi toplumu hizmet sağlayıcısı olarak meşru menfaatlerine istinaden kişisel verilerin işlenmekte olduğu, bu kapsamdaki çerezlere örnek olarak kullanıcı girişi, kimlik doğrulama, güvenlik, ağ yönetimi ve kullanıcı tercihlerini saklamak için kullanılan oturum çerezlerinin verilebileceği,
  • “Kesinlikle gerekli çerez” kategorisi dışında kalan analitik, kullanıcı davranışları takibi ve diğer online reklamcılık çerezlerinin kullanıldığı, bu çerçevede kullanıcıların internet sitesini ilk ziyaretleri akabinde pop-up şeklinde bir aydınlatma metni çıktığı, kullanıcıların internet sitesindeki Gizlilik ve Çerez Politikalarına yönlendirildiği, Çerez Politikasında da çerezlerin nasıl kullanıldığı, birinci ve üçüncü taraf çerez ayrımı ve işlevleri, üçüncü taraf çerezlerin reklam ve hedefleme amacıyla nasıl kullanıldığı, çerez sağlayıcı, çerez adı, çerez çeşidi, çerez amacı, çerez süresi ve detaylı olarak çerez yönetiminin nasıl yapılacağına ilişkin olarak kullanıcıya bilgi verildiği,
  • Kullanılan çerezlerin sunulan hizmetin ön şartı olarak ileri sürülmediği, çerez uygulamalarının AB’de “çerez duvarları” (cookie walls) veya “takip duvarları” (tracking walls) olarak adlandırılan uygulamalardan farklı olarak, elektronik ticaret hizmetinin sunumunun bu çerezlerin kabulü şartına bağlanmadığı, bilakis ana sayfayı ziyaret eden kullanıcılara çerezlere ilişkin bilgilendirme yapıldığı ve çerezleri kabul etmeleri kaydıyla hizmeti kullanmalarının istenmediği,
  • Çerez uygulamalarının GDPR’nin yürürlüğe girdiği tarihe kadar Avrupa’da kabul edilen bir uygulama olduğu, aynı uygulamanın Türkiye’de yerleşik birçok şirket tarafından benimsenmekte ve kullanılmakta olduğu, GDPR’nin yürürlüğe girmesi ile birlikte 2002/58 sayılı e-Privacy Direktifi ile düzenlenen “kesinlikle gerekli çerezler” dışında kalan izleme ve online reklamcılık çerezlerine ilişkin olarak kullanıcıdan rıza alınması şartı getirildiği, uygulamada özellikle AB menşeli veya çok uluslu şirketler tarafından GDPR uyumu doğrultusunda, çerezler için açık rıza alınması ve açık rıza yönetimi sağlayacak şekilde internet siteleri tasarlanmışken birçok şirketin çerez kullanımına ilişkin olarak hâlâ GDPR öncesi uygulamaya devam etmekte olduğu, bu duruma netlik kazandırmak için Kişisel Verileri Koruma Kurulu tarafından da veri sorumlularına yardımcı olarak nitelikte bir rehber yayınlanmasının elzem olduğu, ilgili kişi tarafından yapılan şikâyetten bağımsız olarak, çerez kullanımına ilişkin olarak açık rıza alınması hususunda ve rıza yönetimini sağlayacak teknik çözüm sunan firmalarla görüşmelerin başladığı, ticari anlaşmalar yapıldığında ise çerezler için açık rıza ve kullanıcı tercih yönetimi sağlayacak şekilde sayfalarının çalıştığına ilişkin bilgilerin Kurula sunulacağı, 
  • Çerezlerin yalnızca e-ticaret siteleri tarafından değil, tüm internet ekosisteminde kullanılmakta olduğu ve günümüz dünyasında çerez kullanımının internet deneyimi açısından temel standart hâline gelmiş bir uygulama olduğu, dolayısıyla özellikle de e-ticaret platformlarının çerez kullanmaksızın temel işlevlerini yerine getiremeyecekleri ve kullanıcılarına kaliteli bir hizmet sunamayacakları, çerezler sayesinde yerine getirilen işlevleri başka bir araçla ikame etmenin mümkün olmadığı ve bir e-ticaret platformu için çerez kullanımının zorunlu olduğu, 
  • Çerez kullanımında meşru menfaatlerinin bulunduğuna kuşku olmadığı, zira çerez kullanımının müşteri deneyiminin iyileştirilmesi, müşteri tercih ve beğenileri odaklı hizmet sunulması ve müşteri istekleri doğrultusunda ürün ve hizmet optimizasyonu yapılabilmesi gibi karar destek sistemlerini besleyen temel gerekliliklerden biri olduğu ve aksi bir durumun, kullanıcı deneyimini ve kendi faaliyetlerini derinden zedeleyeceği, Şirketlerini sektörel rekabetin dışına iteceği,
  •  Veri işleme sonucu elde edilen menfaatin ilgili kişilerin temel hak ve özgürlükleriyle yarışabilir düzeyde ve orantılı olduğu, çerezlerin kullanılmasının özünün kullanıcı deneyimini iyileştirmek ve ilgili internet sitesini kullanıcısının en işine yarayacak ve en kolay şekilde kullanılmasını sağlamak olduğu, bu kapsamda çerezler vasıtasıyla kullanıcıların ilgi alanları ve istekleri göz önüne alınarak onlara özel bir deneyim sunulmasının amaçlandığı,
  • Çerezler kapsamında gerçekleştirilen kişisel veri işleme faaliyetlerinin meşru menfaat denge testini sağladığı görüşünde olunduğu; çerez ve benzeri teknolojilerin kullanımına ilişkin AB’nin GDPR ve e-Privacy Direktifi uygulamalarına paralel olarak “kesinlikle gerekli olmayan çerezler” için kullanıcının açık rızasının alınması ve rıza yönetimi süreçlerinin tasarlanmaya başlandığı, 
  • Ad-soyadı, iletişim bilgileri (telefon numarası, adres ve e-posta adresi) ve T.C. kimlik numarasının Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamında işlendiği ve söz konusu kişisel verilerin yine aynı kapsamda satıcı ve kargo şirketi ile paylaşıldığı,
  • Sunulan Gizlilik Politikası ile Çerez Politikasının birbirini tamamlayıcı nitelikte olduğu ve çerezlerin kullanımı kapsamında işlenen verilere ilişkin olarak detaylı açıklamaları barındırdığı, ilgili kişinin aydınlatmada bulunmadığını iddia ettiği hususların Gizlilik Politikasında mevcut olduğu, ek olarak, ilgili politikalarda Kanun’un 10’uncu maddesinde bulunan her türlü içeriğin yer aldığı
  • İnternet sitelerinde ve mobil uygulamalarında “tracking wall” uygulamasının olmadığı ve çerezlerin Çerez Politikasında belirtilen şekilde kullanım dışı bırakılması durumunda da internet sitesinin işlediği ve etkin şekilde ziyaret edilmesinin mümkün olduğu,
  • Çerez hizmeti sunan yerli bir sağlayıcı bulunmadığından, internet ortamında çerez kullanan tüm internet sitelerinin yurt dışına veri aktarımında bulunduğu, bu aktarıma ilişkin olarak gerek internet sitesinde bulunan politikalarında gerekse de Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydında bilgilendirmenin yer aldığı ve ilgili kişilerin Kanun’un 10’uncu maddesi kapsamında bilgilendirildiği, 
  • Çerezlerin Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in kapsamının dışında yer aldığı ve söz konusu Yönetmelik hükümlerinin çerezler bakımından uygulama alanı bulmadığı, bu sebeple de çerez uygulamaları için ticari elektronik ileti onayı alınması gerekmediği

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 10/03/2022 tarih ve 2022/229 sayılı Kararı ile;

  • Bir internet sitesinin düzgün çalışması için zorunlu çerezlere ilişkin olarak ilgili kişilerin açık rızasına gerek duyulmayacak iken; reklam, pazarlama ve performans amacıyla çalışan çerezlerin kullanılmasının ilgili kişinin açık rızasına tabi olduğu,
  • “Kesinlikle gerekli çerezler”, internet sitesinin düzgün çalışması için gerekli çerezler olup ilgili kişinin açık rızası olmaksızın Kanun’un 5’inci maddesinin (2) numaralı fıkrasında ve Kanun’un 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birine dayanılarak kişisel veri işleme faaliyeti gerçekleştirilebileceği,
  • “Kesinlikle gerekli çerezler” statüsünde olmayan çerezler ile kişisel veri işleme faaliyeti gerçekleştirilmesi ve Kanun’un 5’inci maddesinin (2) numaralı fıkrası ile 6’ncı maddesinin (3) numaralı fıkrasında yer alan işleme şartlarından birinin bulunmaması durumunda ilgili kişinin açık rızasına başvurulması gerektiği, 
  • Veri sorumlusu tarafından çerezler vasıtasıyla gerçekleştirilen veri işleme faaliyetinin dayanağı olarak Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi gösterilmişse de kesinlikle gerekli çerezler statüsünde olmayan çerezler vasıtasıyla gerçekleştirilen işleme faaliyeti bakımından anılan bende dayanılmasının mümkün olmadığı ve ilgili kişinin açık rızasına başvurulması gerektiği,  
  • Veri sorumlusu tarafından ilgili kişilerin kullanıcı tercihlerinin kesinlikle gerekli çerezler kapsamında değerlendirildiği anlaşılmakla birlikte bu çerezlerin zorunlu çerezler dışında kalan işlevselliği sağlama amacı ile kullanıldığı, ilgili kişinin bilgi toplumu hizmetini açıkça talep ettiğinin net olmadığı durumlarda açık rızaya dayanılması gerekeceği, 
  • Veri sorumlusunun internet sitesinde yer alan Çerez Politikasında “…İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır.…Çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.” ifadesinin yer aldığı, ayrıca veri sorumlusunun üçüncü taraf çerezlerini reklam ve yeniden hedefleme için nasıl kullandığına ilişkin açıklamaların bulunduğu, ilgili kişinin şikâyeti ekinde yer verilen veri sorumlusunun internet sitesinde bulunan çerezlere ilişkin listede de üçüncü taraf çerezlerin bulunduğu dikkate alındığında veri sorumlusu tarafından reklam/pazarlama çerezleri kullanılmak suretiyle kişisel veri işleme faaliyeti gerçekleştirildiğinin anlaşıldığı, 
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiği, kesinlikle gerekli olmayan çerezler bakımından ilgili kişilerin açık rızasına başvurulduğuna ilişkin herhangi bir emareye rastlanmadığı,
  • Bununla birlikte, çerez politikası içerisinde bulunan Çerez Yönetimi başlığı altında internet tarayıcısının çeşidine göre çerezler hakkında bilgi edinilip izin verme veya reddetme hakkının kullanılabilmesini teminen yönlendirmelerin yapıldığının görüldüğü, 
  • Kanun kapsamında açık rızanın, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı ve açık rızanın “aktif bir hareket” vasıtasıyla verileceğinin bir prensip olarak kabul edildiği göz önünde bulundurulduğunda veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu işleme faaliyeti bakımından açık rıza mekanizmasının bulunmadığı,
  • Veri sorumlusunun, internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan işlevsel çerezler, performans-analitik çerezler, reklam/pazarlama çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay vermesini, dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alması gerektiği,
  • Kanun’un 9’uncu maddesi anlamında aktarıma ilişkin olarak veri sorumlusunun Kuruma taahhütname sunmadığı ve yeterli korumanın bulunduğu ülkelerin de belirlenmediği dikkate alındığında kişisel verilerin yurt dışına aktarılmasının yalnızca açık rıza şartına dayalı olarak gerçekleştirilebileceği; ancak veri sorumlusunun bu yönde ilgili kişilerin açık rızasını almadığı, bu çerçevede veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel veri aktarmak suretiyle gerçekleştirdiği faaliyetler Kanun’un 9’uncu maddesine uygun şekilde gerçekleştirilmediğinden, bu faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi gerektiği,
  • Veri sorumlusunun internet sitesine girildiği anda sayfanın sol alt köşesinde çıkan bir pop-up ile “Çerez Kullanımı Çerezler (cookie), …web sitesini ve hizmetlerimizi daha etkin bir şekilde sunmamızı sağlamaktadır. Detaylı bilgi için Gizlilik ve Kişisel Verilerin Korunması Politikası ile Çerez Politikasını inceleyebilirsiniz.” şeklinde açıklamalar barındıran kutucuk ile bilgi verildiğinin görüldüğü, söz konusu politikaların her ikisinin de üzerine tıklandığında Gizlilik Politikalarının bulunduğu ana sayfaya yönlendirme yapıldığı ve bir süre sonra ilgili politikaların olduğu sayfanın ekranda belirdiği, 
  • Gizlilik ve Kişisel Verilerin Korunması Politikasında Çerezlere ilişkin olarak “…Çerez (Cookie) Kullanımı ve Yönetimi … tarafından kullanılan çerezler, çerez çeşitleri, amaçları, saklama süreleri ve çerez yönetimi ile ilgili detaylı bilgi için Çerez (Cookie) Politikamızı inceleyebilirsiniz.” şeklinde bilgilendirme bulunduğu, söz konusu metin içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği, bu nedenle söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması gerektiği,
  • Veri sorumlusunun Gizlilik ve Kişisel Verilerin Korunması Politikasından ayrı olarak bir Çerez Politikası oluşturduğu, ilgili kişilerin de çerezler vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından bu metne yönlendirildiği dikkate alındığında veri sorumlusunun Gizlilik Politikasında çerezlerle ilgili yer vermiş olduğu bilgilerin Çerez Politikasında da yer alması gerektiği, ayrıca söz konusu metnin aydınlatma yükümlülüğünün düzenlendiği Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e (Tebliğ) uygun olması gerektiği, 
  • Bu çerçevede Çerez Politikasında, Tebliğ’in 4’üncü maddesi uyarınca veri sorumlusunun kimliğine ilişkin açıklamalara yer verildiği; ancak kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun’un 11’inci maddesinde sayılan diğer hakları konusunda doğru bir şekilde bilgilendirme yapılmadığı, 
  • Söz konusu Çerez Politikası Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (g) bendi açısından değerlendirildiğinde, bu politikada kişisel veri işleme amaçlarının belirlendiği görülmekle birlikte hangi kişisel veri işleme faaliyetinin hangi işleme amacı ile örtüştüğüne ilişkin detaylı bilgilendirmeye yer verilmediği, öte yandan çerez çeşitlerinin her birine ilişkin amaçların tabloda gösterildiği anlaşılmakla beraber amacın ilgili kişiler tarafından anlaşılabilecek açıklıkta olmadığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (ğ) bendi kapsamında değerlendirildiğinde, çerezlerin niteliği itibariyle teknik bir konu olduğundan hareketle veri sorumlusunun Çerez Politikasında anlaşılır, açık ve sade bir dil kullandığının görüldüğü,
  • Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (h) bendi hükmü açısından değerlendirildiğinde, veri sorumlusunca düzenlenen Çerez Politikasında hangi kişisel verinin hangi işleme amacı ve hukuki sebep olan işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediğinin; anılan düzenleme (i) bendi kapsamında değerlendirildiğinde ise hangi kişisel verilerin hangi yöntem ile elde edildiğinin Çerez Politikasında açıkça belirtilmediğinin görüldüğü, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamada kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması gerektiği, bu çerçevede söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Tebliğ’e uygun olarak güncellenmesi gerektiği

değerlendirmelerinden hareketle; 

  • Veri sorumlusu tarafından kişisel veri niteliğinde “kesinlikle gerekli olmayan” çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan şartlarından herhangi birine dayanılmaksızın işleme faaliyeti gerçekleştirildiği, Kanun’un 9’uncu maddesinde yer alan aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarıldığı ve bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırılık teşkil ettiği değerlendirilmekte olup Kurul tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 800.000 TL idari para cezası uygulanmasına,

Ayrıca,

  • Veri sorumlusu tarafından kesinlikle gerekli olmayan çerezler kullanılması suretiyle Kanun’un 5’inci ve 6’ncı maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanılmaksızın kişisel veri işleme faaliyeti gerçekleştirildiği ve bu veri işleme faaliyeti bakımından açık rıza mekanizmasının da bulunmadığı değerlendirildiğinden veri sorumlusu tarafından internet sitesinde ve mobil uygulamalarında yer alan ve sitenin/uygulamanın düzgün çalışmasını sağlayan kesinlikle gerekli çerezler dışında yer alan İşlevsel Çerezler, Performans-Analitik Çerezler, Reklam/Pazarlama Çerezlerinin çalıştırılmasına ilişkin olarak açık rıza dışında bir veri işleme şartı bulunmuyor ise internet sitesini/mobil uygulamaları ziyaret eden kullanıcılardan internet sitesine/mobil uygulamaya giriş anında ilgili kişilerin iradi aktif hareketiyle söz konusu çerezlerin çalışmasına onay verilmesinin sağlanması ve dolayısıyla varsayılan ayar olarak çerezlerin çalışmamasını öngören “opt-in” mekanizmasına göre açık rıza alınması,
  • Veri sorumlusunun çerezler vasıtasıyla yurt dışına kişisel verileri aktarmak suretiyle gerçekleştirdiği faaliyetlerin Kanun’un 9’uncu maddesine uyumlu hâle getirilmesi,
  • Gizlilik ve Kişisel Verilerin Korunması Politikası içerisinde direkt olarak ilgili kişileri Çerez Politikasına yönlendirebilecek bir bağlantı eklenmesinin çerezler konusunda aydınlatmanın daha kolay erişilebilir olması adına önem arz ettiği dikkate alındığında söz konusu metne çerezlere direkt olarak yönlendirme yapılacak bağlantının eklenmesi yönünde güncelleme yapılması, 
  • Veri sorumlusunun hâlihazırda internet sitesinde ve mobil uygulamasında kullanılan tüm çerezlere ilişkin süreçlerin gözden geçirilerek Çerez Politikası ile uyumluluğunun sağlanması ve söz konusu Çerez Politikasının Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak güncellenmesi,
  • Kullanıcı tercihleri ile ilgili çerezler zorunlu çerezlerin dışında kalan işlevselliği sağlama amacıyla kullanıldığından söz konusu çerezlerin kullanıcının talep etmiş olduğu bir bilgi toplumu hizmetinin yerine getirilebilmesi için zorunlu olarak kullanılıp kullanılmadığı hususunda veri sorumlusu tarafından değerlendirme yapılması suretiyle kişisel veri işleme şartının belirlenmesi, ilgili kişi tarafından bilgi toplumu hizmetinin açıkça talep edildiği net değil ise ilgili kişilerin açık rızasına başvurulması

hususlarında gerekli düzenlemelerin yapılarak Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

  • Öte yandan ilgili kişinin Kanun’un 11’inci maddesi kapsamındaki bilgi taleplerinin veri sorumlusu tarafından yerine getirildiğine

karar verilmiştir.