Kullanıcılar çerez tercihlerine sonradan nasıl erişebilir?

Genellikle sayfanın alt kısmında yer alan Çerez Tercihleri veya Gizlilik Ayarları gibi bir bağlantı aracılığıyla kullanıcı, daha önce verdiği çerez onaylarını güncelleyebilir veya tamamen geri çekebilir.

Çerez Onay Yönetimi Nedir? (KVKK, eGizlilik Direktifi, CCPA ve CMP Rehberi)

Çerez Yönetimi · KVKK · GDPR/eGizlilik · CCPA

Çerez Onay Yönetimi Nedir? (Cookie Consent Management)

Q: KVKK açısından çerezler neden önemlidir?

Çerezler; IP adresi, kullanıcı ID si, cihaz bilgisi gibi unsurlarla birleştiğinde kişisel veri niteliği taşıyabilir. Bu durumda KVKK kapsamında aydınlatma, açık rıza, saklama süreleri ve ilgili kişi hakları gibi yükümlülülkler devreye girer.

Q: Her çerez için kullanıcıdan açık rıza almak zorunlu mudur?

Teknik olarak zorunlu veya işlevsel çerezler için genellikle açık rıza aranmaz; sözleşmenin ifası veya meşru menfaat gibi hukuki sebepler yeterli olabilir. Ancak analitik, pazarlama ve hedefleme amaçlı çerezler gibi gereksiz çerezler için çoğu durumda açık rıza almak gerekir.

Q: Çerez banner’ında mutlaka Reddet butonu olmalı mıdır?

Kullanıcıya gerçek bir tercih sunulması ve manipülatif tasarımlardan kaçınılması için, Kabul Et kadar görünür bir Reddet veya Sadece zorunlu çerezler seçeneği sunmak hem uyum hem de kullanıcı güveni açısından en iyi uygulamalardandır.

Q: CMP kullanmak zorunlu mu?

Teorik olarak çerez onay yönetimini manuel yollarla da kurmak mümkün olsa da, çok sayıda çerez, farklı ülkeler ve denetim ihtimali söz konusu olduğunda CMP kullanmak hem hatayı azaltır hem de KVKK, GDPR ve CCPA uyum sürecini kolaylaştırır.

Çerez onay yönetimi, günümüz dijital dünyasında hem kullanıcı gizliliğini korumak hem de KVKK, eGizlilik Direktifi, GDPR ve CCPA gibi mevzuatlara uyum sağlamak açısından kritik bir öneme sahiptir. Türkiye’de faaliyet gösteren e-ticaret siteleri, medya platformları, bankalar, SaaS ürünleri ve mobil uygulamalar için çerezler artık sadece teknik bir detay değil, hukuki bir yükümlülük ve kullanıcı deneyiminin temel parçasıdır.

1. Çerez Onay Yönetimi Nedir?

Çerez onay yönetimi (cookie consent management), web sitesi ve mobil uygulamalarda kullanılan çerezler için kullanıcılardan açık, bilgilendirilmiş ve tercihe dayalı rıza alınmasını ve bu rızaların kayıt altına alınarak yönetilmesini ifade eder.

Bu süreç; hangi çerezlerin ne amaçla kullanıldığını açıklamayı, kullanıcıya bu çerezleri kabul etme, reddetme veya kategori bazında seçme imkânı sunmayı ve kullanıcının dilediği zaman onayını geri çekebilmesini kapsar.

Özetle: Çerez onay yönetimi, “çerez yerleştirmek istiyorum” diyen site ile “verilerimin nasıl kullanılacağına ben karar vermek istiyorum” diyen kullanıcı arasında kurulan gizlilik sözleşmesi katmanı gibidir.

2. Çerez Yasası (eGizlilik Direktifi) ve KVKK

Çerez yasası (eGizlilik Direktifi), Avrupa Birliği tarafından çerezlerin ve benzer takip teknolojilerinin kullanımını düzenleyen ilk temel mevzuatlardan biridir. 2002’de kabul edilmiş, 2009’da önemli değişikliklere uğramış ve sonrasında GDPR ile birlikte yorumlanır hâle gelmiştir.

KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu), Türkiye’de kişisel verilerin işlenmesine ilişkin temel çerçeveyi belirler. Çerezler, kişisel veri niteliğindeki bilgilerle ilişkilendirildiğinde KVKK kapsamına girer ve aydınlatma, açık rıza, veri işleme şartları gibi yükümlülükleri tetikler.

Çerezler; IP adresi, cihaz bilgisi, kullanıcı ID’si gibi verilerle birleştiğinde kişisel veri sayılabilir.
Bu durumda çerez yerleştirilmeden önce açık ve anlaşılır aydınlatma yapılmalı, gerekli çerezler için açık rıza alınmalıdır.
Hem AB kullanıcılarına hem Türkiye’deki kullanıcılara hizmet veren platformlar, eGizlilik + KVKK uyumunu birlikte dikkate almalıdır.

3. Çerez Banner Yasası ve Kullanıcı Gizliliği

Çerez banner yasası; web sitesi kullanıcılarının kişisel bilgilerinin toplanması, saklanması ve işlenmesine ilişkin süreçlerin şeffaf olmasını ve kullanıcıya gerçek bir tercih sunulmasını amaçlar.

Web sitesi ziyaretçisine, çerezleri kabul etme veya reddetme imkânı sağlanmalıdır.
Banner’da; çerez türleri, amaçları ve üçüncü taraflarla paylaşıma ilişkin bilgiler net ve sade dille açıklanmalıdır.
AB ve birçok ülkede; gerekli olmayan çerezler için kullanıcıdan önceden açık onay alınmadan bu çerezler çalıştırılamaz.

Bu nedenle, gereksiz çerezleri (analitik, reklam, hedefleme vb.) yönetmek için, kullanıcının tercihlerine saygı duyan, kategorilere ayrılmış ve çift düğmeli (Kabul Et / Reddet) bir Çerez Onay Banner’ı kullanılması artık iyi bir uygulama değil, fiili bir gereklilik hâline gelmiştir.

4. Çerez Çeşitleri ve Kullanım Amaçları

4.1 Birinci Taraf Çerezleri

Birinci taraf çerezleri, kullanıcının ziyaret ettiği web sitesi tarafından saklanan çerezlerdir. Genellikle:

Oturum yönetimi,
Sepet, favoriler, dil tercihi,
Giriş yapmış kullanıcının hatırlanması

gibi kullanıcı deneyimini kişiselleştirmek ve siteyi işlevsel kılmak için kullanılır.

4.2 Üçüncü Taraf Çerezleri

Üçüncü taraf çerezleri ise, ziyaret edilen siteden farklı alan adları tarafından oluşturulan çerezlerdir. En çok:

Reklam teknolojileri ve yeniden hedefleme (retargeting),
Sosyal medya eklentileri,
Üçüncü taraf analitik ve pazarlama ölçüm araçları

için kullanılır. Bu çerezler genellikle profil çıkarma ve davranışsal reklamcılık amacı taşıdığı için, açık rıza bakımından daha hassas değerlendirilir.

5. CCPA ve Kaliforniya’da Çerez Onay Yönetimi

Kaliforniya Tüketici Gizliliği Yasası (CCPA), Kaliforniya’da faaliyet gösteren veya Kaliforniya sakinlerinin verilerini toplayan işletmelere yönelik kapsamlı bir veri gizliliği düzenlemesidir.

Kullanıcılara, kişisel verilerinin satışına ilişkin “opt-out” (reddetme) hakkı tanır.
“Do Not Sell My Personal Information” bağlantısı veya benzer bir mekanizma ile kullanıcının bu hakkı kullanabilmesini öngörür.
Çerezler üzerinden yapılan davranışsal reklamcılık da kişisel veri satışı kapsamında değerlendirilebilir.

Bu nedenle, ABD pazarına açılan veya Kaliforniya kullanıcılarına hizmet veren Türk şirketleri için CCPA uyumlu çerez onay ve reddetme mekanizmaları kritik hâle gelmiştir.

6. Çerez Onay Yönetiminin En İyi Uygulamaları

Etkili bir çerez onay yönetimi; yalnızca banner göstermek değil, şeffaf, kullanıcı dostu ve mevzuata uyumlu bir izin deneyimi tasarlamayı gerektirir.

Önce bilgilendir, sonra izin iste: Çerezlerin kullanımı ve hangi kişisel bilgilerin toplandığı, kullanıcılardan onay alınmadan önce açık ve anlaşılır şekilde anlatılmalıdır.
Açık ve sade dil: Hukuki jargonla dolu metinler yerine, herkesin anlayabileceği net cümleler kullanılmalıdır.
“Kabul et” ve “Reddet” seçenekleri eşit görünür olmalı: Kullanıcıyı zorlayan, sadece “Kabul Et” butonunun vurgulandığı tasarımlardan kaçınılmalıdır.
Tercih paneli sun: Kullanıcıların, çerez türlerini (zorunlu, analitik, pazarlama vb.) kategori bazında seçebileceği bir tercih paneli bulunmalıdır.
Onayın kolay geri çekilmesi: Kullanıcı, verdiği çerez onayını dilediği zaman geri çekebilmelidir (örneğin site alt bilgisinde “Çerez Tercihleri” gibi bir bağlantı ile).
Erişilebilirlik: Çerez banner’ının masaüstü, mobil ve erişilebilirlik standartları ile uyumlu çalışması gerekir.

7. Çerez Onay Yönetimi Araçları (CMP) ve Temel Özellikler

Günümüzde web siteleri ve mobil uygulamalar, çerezlerin kullanımı ve kişisel verilerin saklanması konusunda hem farklı teknolojilere hem de farklı yasal gerekliliklere maruz kalıyor. Bu karmaşıklık, çerez izni yönetiminin giderek daha önemli hâle gelmesine neden oluyor.

Bu süreci etkin ve sürdürülebilir şekilde yönetmek için otomatikleştirilmiş çerez izni yönetim araçlarına, yani CMP (Consent Management Platform) çözümlerine ihtiyaç duyuluyor. İyi bir CMP’nin sahip olması gereken başlıca işlevler şöyle özetlenebilir:

7.1 Çerez Banner’ı Oluşturma

CMP, web sitesinin tasarımına ve marka kimliğine uyumlu, kategorize edilmiş ve çok dilli Çerez Banner’ları oluşturmayı sağlamalıdır. Banner:

Çerezlerin türleri ve amaçları hakkında bilgi vermeli,
Kullanıcıya kabul, reddetme ve tercihler ekranına gitme imkânı sunmalıdır.

7.2 Çerez Tarayıcı (Cookie Scanner)

CMP, web sitesinde kullanılan çerezleri ve benzeri izleme teknolojilerini otomatik olarak tarayarak bir envanter çıkarmalıdır. Böylece:

Hangi çerezin hangi sağlayıcıya ait olduğu,
Ne kadar süre ile saklandığı,
Hangi amaç için kullanıldığı

gibi bilgiler tablolaştırılabilir ve aydınlatma metinlerine kolayca yansıtılabilir.

7.3 Onay Kaydı (Consent Log)

Kullanıcılardan alınan tüm çerez onaylarının zaman damgalı ve ayrıntılı kayıtları tutulmalıdır. Bu kayıtlar:

Denetim ve incelemelerde ispat yükümlülüğü açısından,
Kullanıcıya yönelik şeffaflığın sağlanması açısından

kritik öneme sahiptir.

7.4 Onay Yönetimi ve Güncelleme

İyi bir CMP, çerez banner’larını ve izin metinlerini merkezi bir panel üzerinden yönetme imkânı sunar. Böylece:

Metinler güncellenebilir,
Yeni çerez kategorileri eklenebilir,
Farklı ülkeler için farklı şablonlar uygulanabilir.

7.5 Çoklu Platform Kullanımı

Modern dijital ekosistemde kullanıcılar; web, mobil web, iOS/Android uygulamalar ve TV/Uygulama içi arayüzler gibi birçok kanaldan erişim sağlar. CMP, tüm bu platformlarda tutarlı bir çerez izin deneyimi sunabilmelidir.

7.6 Pazarlama Platformlarıyla Entegrasyon

CMP, Google Analytics, Google Ads, Meta (Facebook/Instagram) pikseli, LinkedIn Insight Tag, pazarlama otomasyonu araçları gibi üçüncü taraf platformlarla entegre çalışabilmelidir. Böylece:

Kullanıcı izin vermeden pazarlama çerezleri tetiklenmez,
Veri işleme faaliyetleri “privacy by design” yaklaşımına uygun hâle gelir.

7.7 Farklı Gizlilik Yasalarına Uyum ve Coğrafi Hedefleme

İyi bir CMP; KVKK, GDPR, eGizlilik, CCPA gibi farklı yasal rejimlere göre özelleştirilebilir çerez yönetimi çözümleri sunmalıdır. Coğrafi hedefleme (geo-targeting) yeteneği sayesinde:

AB kullanıcısına GDPR/eGizlilik odaklı banner,
Türkiye kullanıcısına KVKK odaklı banner,
ABD/Kaliforniya kullanıcısına CCPA uyumlu banner

gibi farklı senaryolar yönetilebilir.

7.8 Veri Gizliliği Kontrolü ve Onayın İptali

CMP, kullanıcıya:

Hangi verilerin hangi sağlayıcılar tarafından toplandığını görme,
Çerez tercihlerine dilediği an dönüp ayarları değiştirme,
Veri işleme amaçlarına ilişkin onayını kolayca iptal etme

imkânı sunmalıdır.

7.9 Otomatik İzin Yönetimi

CMP, çerez banner’larının gösterilmesi, çerezlerin tetiklenmesi ve kullanıcı izinlerinin saklanması gibi süreçleri olabildiğince otomatikleştirerek hem teknik ekiplerin yükünü azaltır hem de mevzuata uyum riskini minimuma indirir.

Çerez izin yönetimi, kullanıcı gizliliği ve yasal uyum açısından büyük bir öneme sahiptir. Doğru yapılandırılmış bir CMP kullanmak, hem web sitesi ve mobil uygulama sahiplerinin yükünü hafifletir hem de kullanıcı deneyimini ve güvenini güçlendirir.

Sık Sorulan Sorular: Çerez Onay Yönetimi

Çerez onay yönetimi tam olarak nedir?

Çerez onay yönetimi, bir web sitesi veya mobil uygulamanın kullandığı çerezler için kullanıcıdan bilgilendirilmiş onay almasını, bu onayı kaydetmesini, gerektiğinde kanıtlayabilmesini ve kullanıcının tercihlerini dilediği zaman değiştirebilmesini sağlayan süreç ve teknolojilerin bütünüdür.

KVKK açısından çerezler neden önemli?

Çerezler; IP adresi, kullanıcı ID’si, cihaz ve konum bilgisi gibi unsurlarla birleştiğinde kişisel veri niteliği taşıyabilir. Bu durumda, KVKK kapsamındaki aydınlatma, açık rıza, saklama süresi, veri güvenliği ve ilgili kişi hakları gibi yükümlülükler devreye girer.

Her çerez için kullanıcıdan açık rıza almak zorunlu mu?

Teknik olarak zorunlu/işlevsel çerezler için genellikle açık rıza aranmaz; meşru menfaat veya sözleşmenin ifası gibi hukuki sebepler yeterli olabilir. Ancak analitik, pazarlama ve hedefleme çerezleri gibi gereksiz çerezler için çoğu senaryoda açık rıza alınması gerekir.

Çerez banner’ında mutlaka “Reddet” butonu olmalı mı?

Yasal gereklilikler ülkeye göre değişmekle birlikte, kullanıcıya gerçek bir tercih sunulabilmesi için “Kabul Et” kadar görünür bir “Reddet” veya “Sadece Zorunlu Çerezler” seçeneği sunmak hem uyum hem de kullanıcı güveni açısından en iyi uygulamalardandır.

CMP kullanmak zorunlu mu, yoksa manuel de yönetilebilir mi?

Teorik olarak çerez onay yönetimini manuel kodlarla da kurmak mümkündür; ancak çok sayıda çerez, çoklu ülke hedeflemesi, denetim ihtimali ve loglama gereği düşünüldüğünde, CMP kullanmak hem hatayı azaltır hem de KVKK/GDPR/CCPA uyum sürecini ciddi şekilde kolaylaştırır.

Çerez tercihlerimi sonradan nasıl değiştirebilirim?

İyi tasarlanmış sitelerde genellikle sayfanın alt kısmında “Çerez Tercihleri”, “Gizlilik Ayarları” veya benzeri bir bağlantı bulunur. Bu bağlantıya tıklayarak daha önce verdiğiniz çerez onaylarını güncelleyebilir veya tamamen geri çekebilirsiniz.