Cookies in the Context of the French Data Protection Authority's (CNIL) Google Decision and Turkish Law

Abstract

Cookies have both positive and negative effects on web browsing. Cookies, which aim to improve overall web browsing performance, are also used in targeted advertising applications or profiling activities by tracking navigation. As a result, cookie practices are an important area of data protection law and are governed by EU legislation. Complaints about Google's cookie management practices were investigated by the French Data Protection Authority (CNIL) in 2021, and two Google companies were fined a total of 150 million euros. The aforementioned decision contains critical detections on how cookies should be located and managed. The decision in question will be discussed in this paper, and suggestions for cookie regulation in Turkish law will be made based on the judgement.

Keywords

• Cookies
• Personal Data
• Electronic Communication
• Consent
• CNIL

FRANSIZ VERİ KORUMA OTORİTESİNİN (CNIL) GOOGLE KARARI VE TÜRK HUKUKU BAĞLAMINDA ÇEREZLER

Öz

Çerezler, internet üzerindeki gezinti üzerinde pozitif ve negatif olmak üzere önemli etkilere sahiptir. Genel olarak web üzerindeki gezinti performansını artırmayı amaçlayan çerezler, aynı zamanda gezinti takibi yaparak hedefli reklamcılık uygulamalarında ya da profilleme faaliyetlerinde de kullanılmaktadır. Bu yüzden çerez uygulamaları, veri koruma hukukunun önemli bir alanını oluştururlar ve AB mevzuatında düzenlenmişlerdir. 2021 yılında Google’ın çerezlerin yönetimine dair yapmış olduğu uygulamalara dair şikayetler, Fransız Veri Koruma Otoritesi (CNIL) tarafından soruşturulmuş ve Google’ın iki şirketine toplam 150 milyon Euro para cezası verilmiştir. Söz konusu karar, çerezlerin nasıl konumlandırılması gerektiğine ve yönetimine dair önemli tespitlere yer vermektedir. Makalemizde söz konusu karar ele alınacak ve karardan yola çıkarak Türk hukukunda çerezlerin düzenlenmesine ilişkin önerilere yer verilecektir.

Anahtar Kelimeler

• Çerezler
• Kişisel Veriler
• Elektronik Haberleşme
• Rıza
• CNIL

Kaynakça

1. Aksoy, Hüseyin Can, ve Mesut Halıcıoğlu. “AB ve Türk Hukuklarında Çerezler: Kişisel Verilerin Korunması Açısından Karşılaştırmalı Bir Değerlendirme”. Kişisel Verileri Koruma Dergisi 3, sy 1 (2021): 61-88.
2. ———. “E-Gizlilik Tüzüğü Çalışmaları Işığında Türk Hukukunda Elektronik Haberleşmenin Gizliliğinin Korunması”. Kişisel Verileri Koruma Dergisi 2, sy 2 (2020): 1-18.
3. Bachert-Peretti, Audrey. “La protection constitutionnelle des données personnelles : les limites de l’office du Conseil constitutionnel face à la révolution numérique”. Revue française de droit constitutionnel N°118, sy 2 (2019): 261.
4. Buttarelli, Giovanni. “The Commission Proposal for a Regulation on ePrivacy: Why Do We Need a Regulation Dedicated to ePrivacy in the European Union?” European Data Protection Law Review 3, sy 2 (2017): 155-59.
5. Bygrave, Lee A., ve Luca Tosoni. “Article 4(11) Consent”. İçinde The EU General Data Protection Regulation (GDPR): A Commentary, editör Christopher Kuner, Lee A. Bygrave, ve Christopher Docksey, 174-87. Oxford, United Kingdom: Oxford University Press, 2019.
6. Cahn, Aaron, Scott Alfeld, Paul Barford, ve S. Muthukrishnan. “An Empirical Study of Web Cookies”. Içinde Proceedings of the 25th International Conference on World Wide Web, 891-901. Montréal Québec Canada: International World Wide Web Conferences Steering Committee, 2016. https://doi.org/10.1145/2872427.2882991.
7. Çerez Uygulamaları Hakkında Rehber. Ankara: Kişisel Verileri Koruma Kurumu, 2022.
8. Çerez Uygulamaları Hakkında Rehber Taslağı. Ankara: Kişisel Verileri Koruma Kurumu, 2022.

9. Dabrowski, Adrian, Georg Merzdovnik, Johanna Ullrich, Gerald Sendera, ve Edgar Weippl. “Measuring Cookies and Web Privacy in a Post-GDPR World”. Içinde Passive and Active Measurement, editör David Choffnes ve Marinho Barcellos, 11419:258-70. Lecture Notes in Computer Science. Cham: Springer International Publishing, 2019. https://doi.org/10.1007/978-3-030-15986-3_17.
10. Etteldorf, Christina. “Data Protection Authorities Try to Fill the Gap between GDPR and e-Privacy Rules”. European Data Protection Law Review 4, sy 2 (2018): 235-38.
11. Guida, Sergio. “Third-Party Cookies and Alternatives: What Consequences in Terms of Consent?” European Journal of Privacy Law & Technologies, sy 2 (2021).
12. Güneş Peschke, Seldağ, Yasin Aydoğdu, ve Lutz Peschke. “İnternet Sitelerinin ve Mobil Uygulamaların Çerez (Cookies) Politikalarında Dezenformasyon ve Hukuki Boyutu”. İçinde İnternet Hukukunda Dezenformasyonla Mücadele, editör Bülent Kent, Yasin Söyler, ve Merve Ayşegül Kulular İbrahim, 1. bs, 17-38. İstanbul: On İki Levha Yayıncılık, 2022.
13. Hoofnagle, Chris Jay, Ashkan Soltani, Nathaniel Good, Dietrich J Wambach, ve Mika D Ayenson. “Behavioral Advertising: The Offer You Cannot Refuse”. Harvard Law & Policy Review 6 (2012): 24.
14. Houser, Kimberly A., ve W. Gregory Voss. “GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy?” Richmond Journal of Law and Technology 25, sy 1 (2018): 1-109.
15. Işık, Alper. “İnsan Hakları Açısından GVKT ve 6698 sayılı KVKK’da Yalnızca Otomatik İşlemeye Dayalı Bir Karara Tabi Olmama Hakkı”. İçinde I. Uluslararası Kişisel Verileri Koruma Kongresi (12-14 Kasım 2021), 95-103. Ankara: Kişisel Verileri Koruma Kurumu, 2022.
16. J Zuiderveen Borgesius, Frederik, Sanne Kruikemeier, Sophie C Boerman, ve Natali Helberger. “Tracking Walls, Take-It-Or-Leave-It Choices, the GDPR, and the ePrivacy Regulation”. European Data Protection Law Review 3, sy 3 (2017): 353-68.
17. Kama Işık, Sezen. Avrupa Veri Koruma Hukukuna Anayasal Bir Bakış: 2016/679 Sayılı GVKT (GDPR) ile 6698 Sayılı KVKK’nin Detaylı Analiz ve Karşılaştırması İle. İstanbul: On İki Levha Yayıncılık, 2020.
18. Kaya, Mehmet Bedii. Elektronik Ticaret Hukuku - Ticari Elektronik İletiler. 1. bs. İstanbul: On İki Levha Yayıncılık, 2020.
19. Keser Berber, Leyla. Çevrimiçi Davranışsal Reklamcılık (Online Behavioral Advertising) Uygulamaları Özelinde Kişisel Verilerin Korunması. 1. bs. İstanbul: On İki Levha Yayıncılık, 2014.
20. Keser Berber, Leyla, Ayça Atabey, ve Melis Mert. “E-Gizlilik Tüzük Taslağının Son Versiyonu Üzerine Düşünceler”. Kişisel Verileri Koruma Dergisi 1, sy 2 (2019): 66-74.
21. Küzeci, Elif. Kişisel Verilerin Korunması. 4. bs. İstanbul: On İki Levha Yayıncılık, 2020.
22. “Opinion 04/2012 on Cookie Consent Exemption”. Article 29 Data Protection Working Party, 2012. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp135_en.pdf.
23. Turan, Serhat. “Çevrimiçi Mahkumiyet: Çerezler Karşısında Özgür İrade Ütopyası”. İçinde Güncel Gelişmeler Işığında Kişisel Verilerin Korunması Hukuku, editör Leyla Keser Berber ve Ali Cem Bilgili, 1. Baskı., 121-36. İstanbul: On İki Levha Yayıncılık, 2020.
24. Voigt, Paul, ve Axel von dem Bussche. The EU General Data Protection Regulation (GDPR). New York, NY: Springer Berlin Heidelberg, 2017.
25. “Working Document 02/2013 providing guidance on obtaining consent for cookies”. Article 29 Data Protection Working Party, 2013. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf.
26. Yeşilaltay, Burak. “Çerez Kullanımının Hukuki Çerçevesi”. Yüksek Lisans Tezi, İstanbul Bilgi Üniversitesi, 2020.
27. Yücedağ, Nafiye. “Kişisel Verilerin Korunması Kanunu Kapsamında Genel İlkeler”. Kişisel Verileri Koruma Dergisi 1, sy 1 (t.y.): 47-63.