Çerezler Tanım, Türleri ve Kullanım Alanları

Çerezlerin Tanımı

Çerezler, internette gezinirken bilgisayarınıza veya mobil cihazınıza kaydedilen küçük metin dosyalarıdır. Ziyaret ettiğiniz web siteleri tarafından tarayıcınızda depolanır ve sonraki ziyaretlerde:

• Sizi tanıyabilir,
• Oturum bilgilerinizi ve tercihlerinizi hatırlayabilir,
• Site performansını ve işlevselliğini geliştirmek için kullanılabilir.

Örneğin; bir e-ticaret sitesinde sepetinizdeki ürünlerin sayfalar arası kaybolmaması, bir haber sitesinde dil tercihinizin hatırlanması veya giriş yaptığınız hesabın oturumunuz boyunca açık kalması çoğu zaman çerezler sayesinde mümkün olur.

Çerezler tek başına her zaman kimliği belirli bir kişiyi göstermek zorunda değildir; ancak IP adresi, cihaz tanımlayıcıları, kullanıcı ID’leri gibi diğer verilerle birleştirildiğinde, KVKK ve GDPR kapsamında kişisel veri işleme faaliyeti ortaya çıkabilir.

Kullanım Amaçlarına Göre Çerez Türleri

Çerezleri, hangi amaçla kullanıldıklarına göre sınıflandırmak; hem kullanıcıya doğru bilgi vermek hem de rıza yönetimini kategori bazlı kurgulamak için kritik önemdedir.

1) Zorunlu Çerezler

Temel işlevler için gereklidir. Oturum açma, sepet yönetimi, güvenli alanlara erişim ve sayfalar arası tutarlılık gibi çekirdek özellikleri mümkün kılar. Devre dışı bırakıldıklarında site çoğu zaman beklendiği şekilde çalışmaz.

• Oturum açma ve kimlik doğrulama işlemlerinin yürütülmesi,
• Alışveriş sepeti ve ödeme adımlarının yönetilmesi,
• Çok adımlı formlarda verilerin korunması.

2) İşlevsel Çerezler

Dil, yazı tipi boyutu, bölge gibi tercihleri hatırlayarak kullanıcı deneyimini kişiselleştirir. Aynı zamanda arama ve filtreleme gibi belirli işlevleri de etkinleştirebilir.

• Varsayılan dil ve para birimi tercihlerinin saklanması,
• Görünüm seçeneklerinin (liste/grid, tema vb.) hatırlanması,
• Önceden girilmiş belirli form alanlarının doldurulması.

3) Performans (Analitik) Çerezleri

Hangi sayfaların ziyaret edildiği, sitede kalma süresi, tıklama yolları ve hata sayfaları gibi metrikleri ölçerek kullanım analizi ve optimizasyon sağlar. Veriler çoğunlukla anonimleştirilmiş veya toplulaştırılmış şekilde değerlendirilir.

• Sayfa görüntüleme sayıları ve hemen çıkma oranları,
• Kullanılan cihaz ve tarayıcı dağılımları,
• Hata sayfaları (404 vb.) ve performans sorunları.

4) Reklam/Pazarlama Çerezleri

Kullanıcının gezinme geçmişine ve ilgi alanına göre reklam gösterimi yapmak için kullanılır. Çoğu zaman üçüncü taraf reklam ağları devrededir ve siteler arası takip söz konusu olabilir.

• Davranışsal reklamcılık ve yeniden hedefleme (retargeting),
• Reklam gösterim ve tıklama istatistiklerinin ölçülmesi,
• Kampanya verimliliği ve segment bazlı pazarlama çalışmaları.

Not: Reklam/pazarlama çerezleri, KVKK ve GDPR kapsamında genellikle açık rıza gerektiren çerezlerdir. Bu nedenle, “varsayılan açık” değil, kullanıcı tarafından aktif olarak seçilen bir onay mekanizması tercih edilmelidir.

Saklama Sürelerine Göre Çerez Türleri

Çerezlerin tarayıcıda ne kadar süreyle saklandığı, hem kullanıcı deneyimi hem de “saklama süresiyle sınırlılık” ilkesi açısından önemlidir.

Oturum Çerezleri

Tarayıcı kapatıldığında silinen geçici çerezlerdir. Oturum boyunca yapılan seçimleri (giriş, dil, sepet bilgisi vb.) hatırlar ve kullanıcı oturumu kapattığında otomatik olarak temizlenir.

Kalıcı Çerezler

Belirli bir süre boyunca (örneğin 1 ay, 6 ay, 1 yıl) cihazda kalmaya devam eden çerezlerdir. Siteyi tekrar ziyaret ettiğinizde cihazınızı tanıyarak daha kişiselleştirilmiş bir deneyim sağlarlar.

• “Beni hatırla” fonksiyonları,
• Uzun süreli tercih ve kişiselleştirme ayarları,
• Analitik ve reklam amaçlı takip verileri.

Üçüncü Taraf Çerezleri

Çoğunlukla reklam veya analitik sağlayıcıları tarafından yerleştirilir ve birden fazla site üzerinden çalışabilir. Saklama süreleri sağlayıcıya göre değişir; bazıları kısa süreli, bazıları daha uzun süreli olabilir.

Not: “Üçüncü taraf” teknik olarak kaynağa göre yapılan bir sınıflandırmadır; her üçüncü taraf çerezin de belirli bir saklama ömrü bulunur ve ayrıca yönetilmelidir. Politikanızda hem sağlayıcıyı hem de saklama süresini ayrı sütunlarda belirtmek iyi bir pratiktir.

Kaynaklarına Göre Çerez Türleri

Birinci Taraf Çerezler

Ziyaret edilen web sitesi tarafından doğrudan yerleştirilen çerezlerdir. Genellikle oturum yönetimi, güvenlik ve temel işlevsellik için kullanılır. Kullanıcı, bu çerezlerle ilgili bilgilendirmeyi doğrudan ziyaret ettiği site üzerinden alır.

Üçüncü Taraf Çerezleri ve Dikkat Edilmesi Gerekenler

Üçüncü taraf çerezleri; reklam ağları, analitik sağlayıcılar veya sosyal medya platformları tarafından yerleştirilebilir. Çoğu zaman:

• Kişisel verileri toplayabilir ve farklı sitelerdeki hareketleri izleyebilir,
• Her site için ayrı tercih yönetimi gerektirebilir,
• Tarayıcı ayarlarından engellenebilse de, çerez yönetim panelinden kategori bazlı olarak kapatılabilmelidir.

KVKK ve GDPR çerçevesinde üçüncü taraf çerezleri, “veri aktarımı yapılan taraf”, “ortak veri sorumlusu”, “veri işleyen” gibi roller bağlamında ayrıca değerlendirilmelidir. Sözleşmelerde güvenlik ve sorumluluk paylaşımı netleştirilmelidir.

Türk Hukukunda Çerezler (KVKK)

Türkiye’de çerezler, KVKK kapsamında genel veri işleme ilkeleri ve Kurul’un rehber ve kararları çerçevesinde değerlendirilir. Çerezler vasıtasıyla işlenen veriler, kişisel veri niteliğindeyse KVKK hükümleri devreye girer.

Temel İlkeler ve Yükümlülükler

• Hukuka uygun, dürüst ve şeffaf işleme,
• Belirli, açık ve meşru amaç için veri işleme,
• Veri minimizasyonu ve amaçla sınırlı saklama,
• Uygun teknik ve idari güvenlik tedbirleri,
• İlgili kişi haklarına saygı: bilgi, erişim, düzeltme, silme, itiraz vb.

Uygulama & Rehberler

• Şeffaf çerez politikası (amaçlar, türler, süreler, üçüncü taraflar),
• Politikaya ana sayfadan ve çerez banner’ından kolay erişim,
• Çerez rızasının açık, özgür iradeye dayalı ve bilgilendirilmiş şekilde alınması,
• KVKK’ya uygun teknik/organizasyonel güvenlik (şifreleme, erişim kontrolü, loglama),
• KVKK Kurumu’nun rehber ve kararlarına uyum (ör. 2018 “Çerezler ve Kişisel Verilerin Korunması” rehberi, çerez uygulamalarına ilişkin yaptırım içeren kararlar).

Avrupa Adalet Divanı – Planet49 Kararı

Planet49 davası, çerez rızasının nasıl alınması gerektiğine ilişkin AB düzeyinde kritik bir içtihattır. Türkiye için doğrudan bağlayıcı olmasa da, iyi uygulama standardı açısından sıkça referans gösterilir.

Genel Bakış

Karar, çerez rızasının önceden işaretli kutucuklarla alınamayacağını ve kullanıcının aktif bir davranışta bulunması gerektiğini ortaya koymuştur.

Kararın Sonuçları

• Rıza olmadan isteğe bağlı çerez kullanılamaz.
• Önceden işaretli kutular geçersizdir; kullanıcı aktif seçim yapmalıdır.
• Bilgi ve rıza seçenekleri erişilebilir ve anlaşılır olmalıdır.
• Uyumu ispatlayacak kayıtların tutulması veri sorumlusunun yükümlülüğüdür.

İngiltere ICO’nun Çerez Rehberi

İngiltere Veri Koruma Otoritesi (ICO), çerezler ve benzeri teknolojiler için ayrıntılı bir rehber yayımlamıştır. GDPR uyumlu çerez uygulamalarını kurgularken sık sık bu rehbere atıf yapılır.

Önemli Noktalar

• Açık ve aktif rıza: ön işaretleme, pasif onay ve “devam edersen kabul etmiş sayılırsın” mantığı yeterli değildir.
• Açık ve şeffaf bilgilendirme: çerez türleri, amaçlar, süreler ve üçüncü taraflar net olmalıdır.
• Kolay erişilebilir tercih yönetimi: kullanıcı onay verdiği kadar kolay şekilde reddedebilmelidir.
• Çerez güvenliği: sızıntı, yetkisiz erişim ve aktarım risklerine karşı tedbirler alınmalıdır.
• Sürekli uyumluluk: periyodik denetim, güncelleme ve testler yapılmalıdır.

Uymak İçin Yapılması Gerekenler

• Politika hazırlayıp görünür şekilde yayınlamak ve güncel tutmak,
• Rıza almadan isteğe bağlı (analitik, pazarlama) çerezleri bırakmamak,
• Her çerez için amaç ve saklama süresini açıkça belirtmek,
• Kabul/ret seçeneklerini eşit görünürlükte sunmak,
• Teknik/organizasyonel güvenlik kontrollerini çerez süreçlerine entegre etmek.

Türkiye’de Çerez Bildirimine İlişkin Uygulama Örnekleri

Türkiye’de çerez uygulamaları, KVKK Kurulu kararları ve rehberleri doğrultusunda şekillenmektedir. Özellikle bankalar, e-ticaret siteleri ve büyük platformlar, benzer çerez banner ve politika kurguları kullanmaktadır.

Yaygın Yaklaşımlar

• Çerez politikasına ana sayfa ve tüm sayfaların altbilgisinden kolay erişim,
• Banner üzerinden kategori bazlı tercih yönetimi (zorunlu, analitik, reklam vb.),
• “Tümünü kabul et / Tümünü reddet / Tercihleri yönet” gibi net butonların kullanımı.

Dikkat Edilmesi Gerekenler

• Zorunlu çerezlerde dahi şeffaf bilgilendirme: isim, sağlayıcı, amaç ve saklama süresi.
• Üçüncü taraf çerezleri için ayrı onay: özellikle reklam ve sosyal eklenti çerezleri.
• Rıza olmadan pazarlama/analitik çerez kullanmama: yalnızca teknik olarak zorunlu çerezlerle sınırlı kalmak.
• Politika–uygulama tutarlılığı: taranan çerez listesi ile dokümanların bire bir eşleşmesi.
• Rıza akışının denetimi: düzenli testlerle banner ve CMP davranışlarının doğrulanması.

Çerezlerin Kullanım Alanları

Çerezler; hem kullanıcı deneyimini iyileştirmek hem de site sahibinin iş ihtiyaçlarını desteklemek için farklı senaryolarda kullanılır. KVKK ve GDPR uyumu, bu senaryoların her biri için ayrı ayrı düşünülmelidir.

Oturum Yönetimi

Giriş bilgileri ve oturum seçimlerinin hatırlanmasıyla akıcı bir kullanıcı deneyimi sunar. Kullanıcı her sayfada tekrar kimlik doğrulaması yapmak zorunda kalmaz; işlemler kesintisiz devam eder.

Kişiselleştirme

Dil, konum, daha önce görüntülenen içerikler ve tercih bilgileri üzerinden kişiselleştirilmiş içerik sunar. Örneğin:

• Varsayılan dil ve para biriminin otomatik seçimi,
• Daha önce incelenen ürünlere benzer öneriler,
• Kullanıcıya özel kampanya mesajları.

Reklamcılık

İlgi alanlarına göre hedefli reklam gösterimi yapar. Reklam harcamalarını optimize eder; dönüşüm oranlarını ve kampanya performansını ölçmeyi kolaylaştırır. Bu alan, çerez rızası ve aydınlatma açısından en hassas kategorilerden biridir.

Analitik

Sayfa görüntüleme, tıklama, dönüşüm oranı, hata sayısı gibi metriklerle site optimizasyonu sağlar. Örneğin:

• Hangi sayfaların terk edildiğini tespit etmek,
• Form süreçlerindeki tıkanma noktalarını görmek,
• Cihaz/tarayıcı uyumluluk sorunlarını belirlemek.

Dikkat: Kullanıcı bir sitede çerez tercihlerini değiştirdiğinde, bu değişiklik diğer sitelere otomatik olarak uygulanmaz. Her site için çerez tercihlerinin ayrıca yönetilmesi gerekebilir.

Çerezlerde Deneyim ve Uyum Dengesini Kurmak

Çerezler, kullanıcı deneyimini ve site işlevselliğini geliştiren güçlü araçlardır; ancak IP adresi, cihaz ID’si, hesap verileri ve davranış bilgileriyle birlikte kullanıldıklarında KVKK/GDPR kapsamında kişisel veri işleme anlamına gelir.

Sağlıklı bir çerez stratejisi için:

• Çerez envanterinizi çıkarıp düzenli güncelleyin,
• Her çerezin amacını, süresini ve sağlayıcısını netleştirin,
• Zorunlu ve isteğe bağlı çerezleri kategori bazlı ayırın,
• Açık rıza, şeffaf bilgilendirme ve kolay tercih yönetimi sağlayın,
• Üçüncü taraf çerezleri için ayrı değerlendirme ve sözleşmesel tedbirler alın,
• Rıza akışını ve CMP davranışlarını periyodik olarak test edin.

Böylece, hem kullanıcı güveni ve şeffaflığı sağlayabilir hem de denetim ve yaptırım risklerini azaltarak sürdürülebilir bir gizlilik deneyimi inşa edebilirsiniz.

Çerezler Hakkında Sık Sorulan Sorular