ePrivacy Direktifi nedir?
ePrivacy Direktifi (Direktif 2002/58/EC), 2009 değişiklikten sonra “çerez yasası” olarak da bilinir; iletişimlerin gizliliği, trafik ve konum verisi, çerezler/izleme ve istenmeyen ticari iletişimleri kapsayan elektronik iletişimler için AB’nin sektörel gizlilik yasasıdır. ePrivacy elektronik iletişimler için GDPR’a lex specialis olarak işler: ePrivacy ve GDPR örtüştüğünde ePrivacy kuralları yönetir. Önerilen ePrivacy Tüzüğü (2017’den beri yasal belirsizlikte), Direktifi doğrudan uygulanabilir AB genelinde tüzükle değiştirecekti ancak trilogue müzakerelerde takıldı.
Temel ePrivacy yükümlülükleri
- Madde 5(3) — çerez rızası: kullanıcının terminal ekipmanında herhangi bir bilgi depolama (çerezler, yerel depolama, parmak izi) önceden bilgilendirilmiş rıza gerektirir — kesinlikle gerekli çerezler hariç.
- Madde 6-9 — trafik ve konum verisi: artık gerekmediğinde silme veya anonimleştirme; faturalama için işleme sınırlı.
- Madde 13 — istenmeyen iletişimler: bireylere e-posta, SMS pazarlama için opt-in; mevcut müşteriler için soft opt-in.
- Ulusal uyarlama farkı: uygulama üye devletler arasında farklıdır (Alman TTDSG, Fransız RGPD-loi vb.) — pan-AB uyumu parçalanmıştır.
Çerez banner yaptırım evrimi
- 2018-2020: yaygın uyumsuzluk; çerez duvarları ve önceden işaretli kutular yaygındı.
- EDPB Kılavuzları 5/2020: rızanın belirsiz, ayrıntılı, geri çekilmesi kolay olması gerektiğini netleştirdi.
- 2021-2024: NOYB kampanyaları, büyük cezalar (Google, Facebook Fransa’da 60-150M Euro her biri).
- Karanlık örüntü baskılaması: karanlık örüntüler hakkında EDPB Kılavuzları 3/2022; “tümünü reddet” için eşit görünürlük gereklidir.
Türk e-ticaret ve SaaS için
AB pazarına yönelen Türk e-ticaret ve SaaS’lerin AB ziyaretçilerine ePrivacy uyumlu çerez rıza yönetimi sağlaması gerekir. Türk yerel pazarda KVKK Tebliğleri benzer (ancak daha gevşek) rıza standartları getirir; AB ziyaretçileri için ayrı sıkı rıza UX gerekir. Türk şirketlerin “AB çerez banner’ı” varsayım kullanımı pek çok durumda yetersizdir — karanlık örüntü olmaması, ayrıntılı rıza, ülke-spesifik konum sınırlaması gerekir. PSD3/ePrivacy Tüzüğü netleşince Türk fintech’lerin AB rıza yapıları yeniden gözden geçirilecektir.
Yapın: IAB TCF v2.2 veya eşdeğer rıza yönetimini uygulayın; çerezleri kategoriye göre (gerekli, istatistik, pazarlama) ayırın; tümünü-kabul ile eşit görünürlükte tümünü-reddet sunun.
Yapmayın: “örtük rıza” veya çerez duvarlarına güvenmeyin — her ikisi de EDPB ve üye devlet DPA’ları tarafından uyumsuz ilan edildi; cezalar takip etti.