Çerez Politikası Oluşturma Rehberi KVKK ve GDPR Uyumlu Yaklaşım
İnternet sitelerinde kullanılan çerezler; kullanıcı deneyimini iyileştirmeyi, ölçümleme ve pazarlama faaliyetlerini desteklemeyi amaçlarken, aynı zamanda kişisel veri işleme faaliyeti doğurur. Bu nedenle çerez politikası, hem KVKK hem de GDPR kapsamında şeffaflık, aydınlatma ve açık rıza yükümlülüklerinin önemli bir parçasıdır.
Aşağıdaki rehber; Türkiye’de faaliyet gösteren ve Avrupa Birliği ziyaretçilerine de hizmet sunan web siteleri için pratik, mevzuat uyumlu ve kullanıcı dostu bir çerez politikası nasıl kurgulanır sorusuna yanıt verir. Çerez izni yönetimini açık rıza beyanı ile uçtan uca yönetmek için Cerezgo çözümlerini kullanabilirsiniz.
Cerezgo’yu Ziyaret EtKVKK ve GDPR uyumlu çerez izni yönetimi için modern çözüm.
1. Amaç ve Kapsam Belirleme
Çerez politikası, web sitenizde kullanılan çerezler hakkında kullanıcıları şeffaf şekilde bilgilendirmek ve kişisel verilerin işlenmesine ilişkin yasal yükümlülükleri yerine getirmek amacıyla hazırlanır. Politikanın giriş kısmında aşağıdaki unsurlar net olarak ifade edilmelidir:
- Çerez politikasının temel amacı (kullanıcı deneyimi, güvenlik, performans, pazarlama vb.).
- Politikanın hangi internet siteleri, mobil uygulamalar ve dijital kanallar için geçerli olduğu.
- Türkiye’de KVKK, Avrupa Birliği’nde ise GDPR başta olmak üzere ilgili mevzuata atıf yapılması.
- Kullanıcıların çerez tercihlerini nasıl yönetebileceğine dair özet bilgi ve detaylar için panele yönlendirme.
Uluslararası ölçekte faaliyet gösteren şirketler için; farklı ülke mevzuatlarının (örneğin AB üye ülkeleri, Birleşik Krallık, ABD eyalet düzenlemeleri) dikkate alındığı, ancak politikanın ana referansının KVKK ve GDPR olduğu açıkça belirtilmelidir.
2. Kullanılan Çerezlerin Açıklanması
Çerez politikasının merkezinde, sitenizde kullanılan çerez türleri ve amaçlarının anlaşılır ve kategorize edilmiş şekilde açıklanması yer alır. Kullanıcıların, hangi verilerinin hangi çerezlerle ne amaçla işlendiğini kolayca görebilmesi gerekir.
2.1 Çerez Kategorileri
| Çerez Türü | Açıklama | Örnek Kullanım |
|---|---|---|
| Zorunlu (İşlevsel Temel) | Sitenin güvenli ve doğru şekilde çalışması için teknik olarak gerekli çerezlerdir. Genellikle oturum açma, form gönderme veya güvenlik özellikleri için kullanılır. | Oturum kimliği, sepet bilgisi, güvenlik token’ları |
| İstatistik / Analitik | Kullanıcıların siteyi nasıl kullandığını anlamamızı sağlayan çerezlerdir. Sayfa görüntüleme sayısı, tıklama yolları, hata sayfaları gibi verileri anonim veya takma adlı şekilde işleyebilir. | Google Analytics, Yandex Metrica, Hotjar vb. |
| Performans | Sitenin performansını ölçmek ve iyileştirmek amacıyla kullanılan çerezlerdir. Sayfa yüklenme süreleri, uygulama hataları gibi teknik metrikleri izler. | Önbellekleme, yük dengeleme çerezleri |
| Pazarlama / Reklam | Kullanıcının ilgi alanlarına göre kişiselleştirilmiş reklam ve kampanyalar sunmak için kullanılan, genellikle üçüncü taraflar tarafından yerleştirilen çerezlerdir. | Google Ads, Facebook Pixel, yeniden pazarlama çerezleri |
| İşlevsellik | Tercihlerin (dil seçimi, bölge, oturum bilgileri vb.) hatırlanmasını sağlayan, kullanıcı deneyimini iyileştiren çerezlerdir. | Dil tercihi, son ziyaret edilen sayfa, kişiselleştirilmiş içerik |
Çerez politikasında, örneğin Google Analytics ve Yandex Metrica gibi analiz araçları kullanılıyorsa; bu araçların kullanıcı davranışını ölçmek, rapor üretmek ve hizmeti geliştirmek için kullanıldığı; kullanıcı IP adreslerinin anonimleştirilip anonimleştirilmediği gibi detaylara da yer verilmesi önerilir.
3. Kişisel Veri İşleme ve Saklama Süreleri
Çerezler aracılığıyla elde edilen bilgiler, çoğu durumda kişisel veri niteliği taşıyabilir (IP adresi, cihaz bilgisi, kullanıcı ID’si vb.). Bu nedenle politikanızda aşağıdaki hususlara yer vermeniz gerekir:
- Hangi çerezlerin kişisel veri işlediği, hangilerinin anonim istatistik ürettiği.
- Çerezlerin cihazda ne kadar süreyle tutulduğu (oturum çerezi / kalıcı çerez) ve genel saklama süreleri.
- KVKK m.4 kapsamında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle uyumlu saklama sürelerine atıf.
- Sürenin sona ermesiyle birlikte çerez verilerinin ne şekilde imha edildiği (silme, yok etme, anonim hale getirme).
Anonim olmayan verilerin kullanıldığı durumlarda, özellikle reklam çerezleri söz konusuysa, kullanıcıların açık rıza süreçleri ve veri işleme faaliyetleri hakkında şeffaf bilgi sunmak kritik öneme sahiptir.
4. Zorunlu ve İsteğe Bağlı Çerez Ayrımı
Çerez politikanızda, kullanıcıların gizlilik tercihlerini etkin şekilde yönetebilmesi için, çerezleri zorunlu ve isteğe bağlı (tercihe bağlı) olarak ayırmanız gerekir.
- Zorunlu çerezler: Web sitesinin temel fonksiyonlarını (güvenlik, oturum yönetimi, form gönderimi vb.) yerine getirebilmesi için teknik olarak zorunlu olan çerezlerdir. Bu çerezler, genellikle açık rıza olmaksızın meşru menfaat / sözleşmenin ifası gibi hukuki sebeplerle işlenebilir.
- İsteğe bağlı çerezler: Analitik, performans, pazarlama ve kişiselleştirme amaçlı çerezler çoğu zaman isteğe bağlı niteliktedir ve kullanıcıların “opt-in” (aktif onay) vermesi gerekir.
Politikanızda, zorunlu çerezlerin devre dışı bırakılması halinde sitenin hangi fonksiyonlarının kısıtlanabileceği basit ve anlaşılır bir dille açıklanmalıdır.
5. Kullanıcıya Seçim Hakkı ve Hakların Kullanımı
KVKK ve GDPR, kullanıcılara çerezler üzerinden işlenen kişisel verileri üzerinde kontrol hakkı tanır. Bu kapsamda çerez politikanızda aşağıdaki konulara mutlaka yer verin:
- Kullanıcıların çerezleri kabul etme, reddetme veya kategori bazında tercih belirleme hakkı.
- Verilen rızanın istenildiği anda geri çekilebileceği ve bunun çerez yönetim paneli üzerinden kolayca gerçekleştirilebildiği bilgisi.
- Tarayıcı ayarları üzerinden çerezlerin silinebileceği, engellenebileceği ve geçmişin temizlenebileceğine ilişkin yönlendirici açıklamalar.
- KVKK kapsamındaki haklar (erişim, düzeltme, silme, itiraz, şikâyet vb.) ve bu hakların kullanılmasına ilişkin başvuru kanalları (e-posta adresi, başvuru formu, KEP vb.).
Kullanıcıya gerçek anlamda bir tercih hakkı sunabilmek için, çerez banner’ının “hepsine izin ver” kadar “hepsini reddet” ve “tercihleri yönet” seçeneklerini de içermesi, iyi uygulama örnekleriyle uyumludur.
6. GDPR ve KVKK Uyumlu Opt-in Yaklaşımı
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve KVKK uygulamalarında, isteğe bağlı çerezler için önceden işaretlenmemiş, açık ve özgür iradeye dayalı opt-in yaklaşımı esas alınır.
- Çerez kategorileri için sunulan kutucuklar varsayılan olarak işaretli olmamalı, kullanıcı aktif seçim yapmalıdır.
- “Devam et” veya “X ile kapatma” gibi işlemler örtülü rıza sayılmamalı; özellikle pazarlama çerezleri için net bir onay mekanizması sunulmalıdır.
- Kullanıcı belli bir kategori için rızasını geri çektiğinde, ilgili çerezlerin artık cihazına yerleştirilmediği veya okunmadığı teknik olarak garanti edilmelidir.
- Rıza kayıtları; tarih, saat, IP, cihaz bilgisi ve tercih seti ile birlikte saklanmalı, gerektiğinde ispat edilebilir olmalıdır.
Cerezgo, opt-in mantığıyla çalışan, önceden işaretli olmayan çerez kategorileri ve ayrıntılı kayıt mekanizması ile KVKK ve GDPR uyum sürecinizi teknik olarak da desteklemenizi sağlar.
7. Üçüncü Taraf Çerezleri ve Veri Aktarımı
Çerezler aracılığıyla elde edilen kişisel verilerin üçüncü taraflara aktarılması durumunda, bu aktarımların şeffaf şekilde açıklanması gerekir. Çerez politikanızda özellikle şu unsurlara yer verin:
- Hangi çerezlerin üçüncü taraflar (Google, Meta, reklam ağları, analiz sağlayıcıları vb.) tarafından yerleştirildiği.
- Verilerin hangi amaçlarla (ölçümleme, kampanya optimizasyonu, yeniden pazarlama vb.) bu taraflara aktarıldığı.
- Verilerin yurt dışına aktarılıp aktarılmadığı; aktarılıyorsa ilgili ülke veya bölgeler ve kullanılan koruma mekanizmaları (yeterlilik kararı, taahhütname, standart sözleşme, ek teknik tedbirler vb.).
- Kullanıcıların bu aktarımlara verdiği açık rızayı nasıl geri çekebileceği ve yeniden tercih oluşturabileceği.
Örneğin; Google reklamlarının kişiselleştirilmesi için kullanılan bir çerezin, belirli davranış verilerini Google’a aktardığı, bu verilerin profil oluşturma ve hedefleme amacıyla kullanılabileceği net biçimde ifade edilmelidir.
8. Çerez İzni Yönetimi: Cerezgo ile Uygulama
Çerez politikasının hazırlanması kadar, çerez izinlerinin teknik olarak yönetilmesi de kritik bir adımdır. Manuel yöntemlerle (statik banner, temel uyarı metinleri vb.) yürütülen yapılar; farklı tarayıcılar, cihazlar ve hukukî güncellemeler karşısında hızla yetersiz kalabilir.
Cerezgo çerez izni yönetim servisi ile:
- Çerez kategorilerini (zorunlu, istatistik, pazarlama vb.) kullanıcı dostu bir panelde gösterebilir, kategori bazlı opt-in alabilirsiniz.
- Kullanıcıların tercihlerini diledikleri zaman güncelleyebilecekleri “Çerez Tercihlerini Değiştir” bağlantısını sitenizin alt bölümüne ekleyebilirsiniz.
- KVKK ve GDPR kapsamında ispat yükümlülüğünüzü desteklemek için rızaya ilişkin log kayıtlarını güvenli biçimde saklayabilirsiniz.
- Çoklu dil, çoklu alan adı ve farklı ülke/bölge senaryolarını tek bir merkezi panelden yönetebilirsiniz.
Demo talebi, fiyatlandırma ve teknik entegrasyon için Cerezgo ekibiyle doğrudan iletişime geçebilirsiniz.
Cerezgo ile Demo Talep Et9. Notlar ve Uyarılar
Bu rehber, çerez politikanızı oluştururken dikkate almanız gereken temel başlıkları ve iyi uygulama örneklerini özetlemektedir. Ancak:
- Mevzuat; Kişisel Verileri Koruma Kurulu kararları, rehberler ve Avrupa veri koruma otoritelerinin görüşleri doğrultusunda düzenli olarak güncellenmektedir.
- Her şirketin veri işleme faaliyetleri, kullandığı çerezler ve teknolojik altyapısı farklı olduğundan, çerez politikanız mutlaka şirketinize özgü analiz ve hukuki görüşle hazırlanmalıdır.
- Çerez politikası; gizlilik politikası, aydınlatma metni, KVKK başvuru formu ve veri saklama–imha politikası ile tutarlı bir bütün oluşturmalıdır.
Güncel mevzuata uyum, risklerin azaltılması ve şeffaf bir kullanıcı deneyimi için deneyimli bir
KVKK / GDPR danışmanı ile çalışmanız ve teknik altyapınızı Cerezgo gibi
Sık Sorulan Sorular: Çerez Politikası ve Cerezgo
Çerez politikası nedir ve neden zorunludur?
Çerez politikası, web sitenizde kullanılan çerezler ve benzer teknolojiler hakkında kullanıcıları bilgilendiren, hangi verilerin ne amaçla işlendiğini ve kullanıcı haklarını açıklayan metindir. KVKK ve GDPR çerçevesinde aydınlatma yükümlülüğünün bir parçası olarak değerlendirilir.
Hangi çerezler için açık rıza gerekir?
Zorunlu çerezler dışındaki analitik, performans, kişiselleştirme ve pazarlama çerezleri için açık rıza alınması genel kabul görmüş yaklaşımdır. Rızanın, önceden işaretlenmiş kutucuklar yerine opt-in mantığıyla alınması gerekir.
Çerez politikasında neleri mutlaka belirtmeliyim?
Çerez türleri, amaçları, saklama süreleri, kişisel veri işleme hukuki sebepleri, üçüncü taraf aktarımları, kullanıcı hakları, rıza geri çekme mekanizması ve çerez tercihlerini yönetme yöntemleri mutlaka politikanızda yer almalıdır.
Cerezgo çerez izinlerini nasıl yönetiyor?
Cerezgo, sitenizin üzerine entegre edilen bir çerez yönetim paneli ve banner ile kullanıcılara kategori bazlı opt-in sunar, tercihlerin kaydını tutar ve bu tercihlere göre çerezlerin tetiklenmesini otomatik olarak kontrol eder. Böylece hem kullanıcı deneyimi hem de mevzuat uyumu güçlenir.
Tarayıcı ayarları çerez politikasının yerine geçer mi?
Hayır. Tarayıcı ayarları, kullanıcılara genel bir kontrol imkânı sağlasa da; KVKK ve GDPR kapsamında çerezler için spesifik aydınlatma ve açık rıza yükümlülüğünü ortadan kaldırmaz. Bu nedenle ayrı bir çerez politikası zorunlu ve gereklidir.
Türkiye’de faaliyet gösteriyorum, GDPR benim için de geçerli mi?
Eğer Avrupa Birliği’ndeki kullanıcılara mal veya hizmet sunuyor ya da onların davranışlarını izliyorsanız, coğrafi konumunuzdan bağımsız olarak GDPR hükümleri sizin için de geçerli olabilir. Bu nedenle çerez politikanızı hem KVKK hem GDPR dikkate alınarak tasarlamanız önerilir.
