Çerez Politikası Oluşturma Rehberi KVKK ve GDPR Uyumlu Kurumsal Yaklaşım

1. Giriş ve Hukuki Arka Plan

Çerez ve benzeri takip teknolojileri, çoğu zaman IP adresi, cihaz bilgisi, kullanım alışkanlıkları, oturum ID’leri gibi veriler üzerinden ilgili kişiyi dolaylı olarak tanımlayabilir. Bu nedenle, KVKK ve GDPR bağlamında çerezler aracılığıyla gerçekleştirilen işlemler kişisel veri işleme faaliyeti olarak değerlendirilir.

Türkiye’de; 6698 sayılı KVKK, Kurul kararları ve rehberleri ile Avrupa tarafında GDPR ve ePrivacy düzenlemeleri; çerezler için aşağıdaki temel ilkeleri öne çıkarır:

• Şeffaflık ve aydınlatma yükümlülüğünün yerine getirilmesi,
• Zorunlu olmayan çerezler için açık rıza (opt-in) mekanizması,
• Veri minimizasyonu, amaçla sınırlılık ve saklama süresi ilkesine uyum,
• Veri güvenliği ve üçüncü taraflarla ilişkilerin sözleşmesel güvence altına alınması.

Bu çerçevede hazırlanacak çerez politikası, kurumun hem mevzuata uyumunu görünür kılar hem de kullanıcıya yönelik güven ve şeffaflık taahhüdünün önemli bir göstergesi hâline gelir.

2. Çerez Nedir? Nasıl Çalışır?

Çerezler; ziyaret edilen web sitesi veya mobil uygulama tarafından kullanıcının tarayıcısına yerleştirilen küçük metin dosyalarıdır. Bu dosyalar, ziyaret süresince veya belirli bir süre boyunca tarayıcıda saklanır ve ilgili siteye her dönüşte sunucuya belirli bilgilerin iletilmesini sağlar.

Çerezlerin temel kullanım amaçları özetle şunlardır:

• Oturum sürekliliğini sağlamak ve kullanıcı girişlerini hatırlamak,
• Tercihleri (dil, bölge, sepet içeriği vb.) kaydetmek,
• Site performansını ve kullanıcı deneyimini ölçmek,
• Ziyaretçi davranışlarını analiz ederek raporlama yapmak,
• Hedefli reklamcılık ve kişiselleştirilmiş pazarlama yapmak.

Yanlış kurgulanmış çerez yapıları; kullanıcıyı bilgilendirmeden profil çıkarımı yapılmasına, üçüncü taraflara aşırı veri aktarımına ve KVKK/GDPR ihlallerine yol açabilir. Bu nedenle, çerez mimarisi ve çerez politikası hukuki ve teknik ekiplerin birlikte çalıştığı bir çerçevede tasarlanmalıdır.

3. Çerez Türleri ve Amaçları

Çerezlerin doğru sınıflandırılması, hem kullanıcıya net bilgi sunmak hem de rıza gerektiren çerezleri ayırt etmek açısından kritik öneme sahiptir. Uygulamada yaygın kullanılan sınıflandırma aşağıdaki gibidir:

3.1. Kullanım Amacına Göre Çerez Türleri

• Zorunlu (Gerekli) Çerezler: Oturum açma, kimlik doğrulama, güvenlik, yük dengeleme gibi temel fonksiyonlar için zorunludur. Site ve uygulamanın hatasız çalışması açısından gereklidir; bu nedenle genellikle rıza gerektirmez.
• Tercih (İşlevsel) Çerezleri: Kullanıcının dil tercihi, bölge seçimi, kişiselleştirilmiş arayüz ayarları gibi seçenekleri hatırlamaya yönelik çerezlerdir.
• Performans / Analitik Çerezler: Ziyaretçi sayısı, görüntülenen sayfalar, tıklama ve gezinme istatistikleri gibi ölçümler için kullanılır. Genellikle anonimleştirme ve birinci taraf kurguları ile birlikte değerlendirilir.
• Hedefleme / Reklam Çerezleri: Kullanıcının ilgi alanlarına göre hedefli reklam gösterimi ve çapraz site takibi için kullanılır. KVKK ve GDPR bağlamında en yüksek riskli çerez grubudur ve açık rıza gerektirir.

3.2. Saklama Süresine Göre Çerez Türleri

• Oturum Çerezleri: Tarayıcı kapatılana kadar geçerlidir. Oturum yönetimi ve güvenlik için kullanılır.
• Kalıcı Çerezler: Belirli bir süre boyunca cihazda kalır ve sonraki ziyaretlerde yeniden etkin hale gelir. Saklama süresi, çerez politikasında açıkça belirtilmelidir.

3.3. Kaynağa Göre Çerez Türleri

• Birinci Taraf Çerezler: Ziyaret edilen web sitesi veya uygulama tarafından yerleştirilir.
• Üçüncü Taraf Çerezleri: Analitik veya reklam sağlayıcı gibi üçüncü taraflar tarafından yerleştirilir. Bu çerezlerde veri aktarımı, ülke ve alıcı bazında ayrıca değerlendirilmelidir.

4. Çerez Politikası Nasıl Oluşturulur?

Etkin bir çerez politikası; sadece hukuki metin değil, aynı zamanda teknik envanter, rıza mekanizması ve kullanıcı deneyimi ile entegre çalışan bir yapıdır. Temel adımlar aşağıdaki şekilde özetlenebilir:

4.1. Kapsam ve Uygulama Alanı

• Politikanın hangi alan adları, alt alan adları ve mobil uygulamalar için geçerli olduğu açıkça belirtilmelidir.
• Aynı grup bünyesinde birden fazla web sitesi bulunuyorsa, her biri için ayrı politika veya kapsamlı bir çerçeve politika tasarlanmalıdır.

4.2. Çerez Envanteri ve Tablo Oluşturma

• Kullanılan tüm çerezler; adı, sağlayıcısı, türü, amacı, saklama süresi ve kategorisi ile birlikte envanterlenmelidir.
• Bu bilgiler genellikle politikada tablo formatında kullanıcıya sunulur.

4.3. Açıklama Dili ve Kullanıcı Deneyimi

• Teknik terimler sade ve anlaşılır biçimde açıklanmalı, kullanıcıyı yanıltacak ifadelerden kaçınılmalıdır.
• Aydınlatma metni ile çerez politikası birbiriyle uyumlu olmalı; veri sorumlusu, haklar ve başvuru kanalları tutarlı şekilde yer almalıdır.

4.4. Rıza ve Tercih Yönetimi ile Entegrasyon

• Çerez politikası, kullanılan çerez yönetim aracı (CMP) veya banner çözümü ile senkron çalışmalıdır.
• Kullanıcıya; “tümünü kabul et”, “yalnızca zorunlu çerezler” ve “tercihleri yönet” gibi seçenekler sunulmalı, tercihler her zaman değiştirilebilir olmalıdır.

İyi uygulama yaklaşımı olarak; çerez politikası, KVKK aydınlatma metni, gizlilik politikası ve veri sahibi başvuru prosedürü ile birlikte düşünülmeli ve tek bir gizlilik çerçevesinin parçası olarak kurgulanmalıdır.

5. Çerezleri Engellemek ve Silmek

Kullanıcılar, tarayıcıları üzerinden çerezleri engelleyebilir, sınırlayabilir veya silebilir. Çerez politikası; bu hakların nasıl kullanılacağına ilişkin pratik bilgilendirme içermelidir.

Politikada aşağıdaki unsurlara yer verilmesi beklenir:

• Popüler tarayıcılar (Chrome, Firefox, Safari, Edge vb.) için çerez ayarlarına erişim adımlarının özetlenmesi,
• Mobil uygulamalarda işletim sistemi seviyesinde çerez ve benzeri tanımlama bilgilerine ilişkin kontrollerin açıklanması,
• Çerezlerin tamamen engellenmesi durumunda sitelerin bazı işlevlerinin kısıtlanabileceği bilgisinin açıkça belirtilmesi.

Bu bölüm; kullanıcıya “istediğim zaman çerez tercihlerimi değiştirebilirim” mesajını net biçimde verirken, aynı zamanda kurumun şeffaflık ilkesine bağlılığını da göstermelidir.

6. Çerez Onayı ve Yönetimi

KVKK ve GDPR kapsamında, zorunlu olmayan çerezler için açık rıza alınması esastır. Bu rıza; özgür iradeye dayanmalı, bilgilendirmeye tabi olmalı ve her zaman geri alınabilir nitelikte olmalıdır.

6.1. Banner ve Onay Katmanı

• Siteye ilk girişte kullanıcıya; çerez kategorileri ve amaçlarına ilişkin kısa özet sunan bir banner gösterilmelidir.
• Önceden işaretli kutular kullanılmamalı, kullanıcı aktif bir eylemle (tıklama) seçim yapmalıdır.
• Farklı kategoriler (analitik, reklam, işlevsel vb.) için ayrı ayrı onay verme imkânı sağlanmalıdır.

6.2. Tercihlerin Yönetimi ve Geri Alma

• Çerez tercihleri; sayfanın alt kısmında yer alan kalıcı bir bağlantı (“Çerez Tercihlerini Değiştir” gibi) üzerinden her zaman yeniden düzenlenebilmelidir.
• Onayın geri alınması hâlinde, ilgili kategorideki çerezler devre dışı bırakılmalı, mümkünse mevcut çerezler silinmeli ve bu süreç loglanmalıdır.
• Rıza olayları; tarih, saat, versiyon ve tercih detayıyla kayıt altına alınarak denetimlerde ispat imkânı sağlanmalıdır.

7. Üçüncü Taraf Çerezleri

Üçüncü taraf çerezleri; ziyaret edilen site dışında bir sağlayıcı (örneğin Google Analytics, Meta, reklam ağları, ısı haritası araçları vb.) tarafından yerleştirilen çerezlerdir. Bu çerezler; genellikle analitik ölçümleme, hedefli reklamcılık ve kullanıcı davranışı analizi için kullanılır.

Politikada aşağıdaki hususlar açıkça ortaya konulmalıdır:

• Hangi üçüncü taraf sağlayıcıların çerez yerleştirdiği ve bu çerezlerin amaçları,
• Üçüncü tarafların kendi gizlilik ve çerez politikalarına bağlantılar,
• Yurt dışına veri aktarımı söz konusu ise; ülke, alıcı ve hukuki mekanizmaların (açık rıza, taahhütname, yeterlilik kararı vb.) açıklanması,
• Kullanıcının söz konusu üçüncü taraf çerezleri reddetmesi hâlinde ölçümleme ve reklam faaliyetlerinde ne tür kısıtlar olabileceğine dair bilgilendirme.

8. Veri Güvenliği ve Koruma

Çerezler aracılığıyla işlenen veriler de KVKK m.12 kapsamındaki veri güvenliği yükümlülüğü çerçevesinde korunmalıdır. Bu yükümlülük, hem idari hem de teknik tedbirlerin birlikte uygulanmasını gerektirir.

8.1. İdari Tedbirler

• Personelin çerezler ve çevrim içi takip teknolojileri konusunda eğitilmesi,
• Çerez kullanımı, reklam teknolojileri ve üçüncü taraflarla veri paylaşımını kapsayan gizlilik ve çerez politikalarının yazılı hâle getirilmesi,
• Üçüncü taraf hizmet sağlayıcılarla imzalanan sözleşmelere KVKK uyum ve veri işleyen yükümlülüklerinin eklenmesi.

8.2. Teknik Tedbirler

• HTTPS kullanımının zorunlu tutulması ve çerezlerde Secure bayrağının kullanılması,
• Tarayıcı tabanlı saldırılara karşı HttpOnly ve SameSite parametrelerinin doğru yapılandırılması,
• Çerez ID’leri ile doğrudan kimlik bilgilerinin eşleştirilmemesi, mümkün olduğunca pseudonimleştirme uygulanması,
• Çerezlerin üretildiği ve okunduğu uygulama katmanında loglama, erişim kontrolü ve yetki yönetimi mekanizmalarının işletilmesi.

Veri sorumluları, çerezler üzerinden işlenen verilerde yaşanacak ihlallerde; yalnızca kullanıcı nezdinde değil, Kişisel Verileri Koruma Kurumu nezdinde de sorumluluk taşır. Bu nedenle çerez mimarisi, genel bilgi güvenliği mimarisinin ayrılmaz bir parçası olarak ele alınmalıdır.

9. Güncelleme ve Versiyon Yönetimi

Çerez setleri; yeni pazarlama araçlarının devreye alınması, analitik çözümlerin değiştirilmesi veya teknik altyapının güncellenmesi ile birlikte zaman içinde değişir. Bu nedenle çerez politikası statik değil, dinamik ve versiyon kontrollü bir doküman olarak yönetilmelidir.

Aşağıdaki yaklaşım önerilir:

• Politika üzerinde yapılan değişiklikler için tarih ve versiyon bilgisinin tutulması,
• Çerez kategorisi veya üçüncü taraf sağlayıcı değişikliklerinde; kullanıcının tekrar bilgilendirilmesi ve gerekiyorsa onayının yeniden alınması,
• Yılda en az bir kez çerez envanterinin gözden geçirilmesi ve politika ile uyumunun kontrol edilmesi,
• Güncellenmiş politikanın her zaman erişilebilir bir URL üzerinden yayımlanması.