Çerezler konusu 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında açıkça düzenlenmemektedir. Ancak, 5809 sayılı Elektronik Haberleşme Kanunu’nun 51’inci maddesinin üçüncü fıkrasının,
AB’nin 2002/58/EC sayılı Direktifi’nin 5’inci maddesinin üçüncü fıkrası ile kısmi bir uyum göstermesi sebebiyle çerezler konusunda, veri sorumlusu işletmeciler4 bakımından 5809 sayılı Kanun’un sınırlı bir uygulama alanı bulabileceği değerlendirilmektedir. Zira, 5809 sayılı EHK’nin “Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması” başlıklı 51’inci maddesi, 2002/58/EC sayılı E-Gizlilik Direktifi’nin bilgi toplumu hizmetlerine5 yönelik hükümlerini içermemektedir. 5809 sayılı Kanun’un özel olarak düzenlemediği bilgi toplumu hizmetleri bakımından, 6698 sayılı Kanun’un çerezler vasıtasıyla kişisel verilerin işlenmesine uygulanabileceği görülmüş olup bu kapsamda Kişisel Verileri Koruma Kurulunun 27.02.2020 tarihli ve 2020/173 sayılı kararının dikkate alınabileceği değerlendirilmektedir. 5809 sayılı EHK’nin 51’inci maddesinin üçüncü fıkrası6 kapsamında, sadece elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve altyapısını işleten şirketler (işletmeciler ve alt-işletmeciler) kapsanmakta olup diğer veri sorumluları (örneğin kvkk.gov.tr dâhil pek çok internet sayfası operatörü) bu kapsamda yer almamaktadır. Bu durumda 5809 sayılı EHK’nin 51’inci maddesinin üçüncü fıkrası kapsamında, “haberleşmenin sağlanması” ibaresi ile sadece “işletmeci” niteliğini haiz veri sorumlularının, yine sadece aşağıda açıklanan “Kriter A” kapsamında çerezler vasıtasıyla açık rıza almadan veri işleyebileceği değerlendirilmektedir. Bununla birlikte, 51’inci maddede yer alan abonelerin/kullanıcıların terminal cihazlarında bilgi saklamak veya saklanan bilgilere erişim sağlamak amacı, yalnızca çerez kullanımına özgü değildir.