Çerezler Kişisel Veri Midir? KVKK Kapsamında Çerez ve Açık Rıza Rehberi
Çerezler tek başına her zaman kişisel veri sayılmasa da; IP adresi, cihaz tanımlayıcısı veya kullanıcı hesabı bilgileriyle birleştirildiğinde “kimliği belirli veya belirlenebilir gerçek kişi” ile ilişkilendirilebilir ve KVKK kapsamında kişisel veri niteliği kazanır. Bu nedenle çerez kullanımı, hem teknik hem de hukuki açıdan doğru kurgulanması gereken kritik bir alandır.
Özet: Bu Rehberde Neleri Ele Alıyoruz?
- Çerez – kişisel veri ilişkisi: Ne zaman kişisel veri sayılır, ne zaman sayılmaz?
- Çerez türleri ve işlevleri: Gerekli, performans, işlevsel, reklam çerezleri.
- KVKK’ya göre açık rıza gerektirmeyen çerezler: Oturum, güvenlik, yük dengeleme vb.
- Açık rıza gerektiren senaryolar: Sosyal eklenti takibi, davranışsal reklamcılık.
- Çerez yönetimi: Tarayıcı ayarları, tercih yönetimi ve dikkat edilmesi gerekenler.
Amaç; hem son kullanıcı hem de kurumsal veri sorumluları için pratik, anlaşılır ve KVKK ile uyumlu bir bakış açısı sunmak.
Not: Bu metin, KVKK ve çerez kullanımına ilişkin genel bir rehber niteliğindedir; somut durumlara ilişkin hukuki görüş yerine geçmez. Politika ve metinlerinizi hazırlarken gerektiğinde hukuk danışmanlığı almanız önerilir.
Çerezler Kişisel Veri Midir?
Çerezler tek başlarına her zaman kişisel veri olarak kabul edilmez. Ancak KVKK’ya göre kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir. Dolayısıyla:
- Çerez yalnızca anonim istatistiksel veri üretiyor ve hiçbir şekilde gerçek kişiyi tanımlamaya elverişli değilse, tek başına kişisel veri sayılmayabilir.
- Çerez; IP adresi, cihaz kimliği, kullanıcı hesabı, form bilgileri veya davranış verileriyle birleştirilerek belirli bir kişiye bağlanabiliyorsa, kişisel veri niteliği kazanır.
Bu nedenle “çerez kişisel veri midir?” sorusunun yanıtı, çerezin hangi verilerle birlikte kullanıldığına ve bu verilerin gerçek bir kişiyi tanımlayıp tanımlamadığına göre değişir.
Çerezler: Tanım ve İşlevler
Çerezler; web siteleri tarafından ziyaretçilerin tarayıcılarına yerleştirilen küçük metin dosyalarıdır. Ziyaret ettiğiniz site, bu dosyalar aracılığıyla sizi ve tercihlerinizi belirli bir süre hatırlayabilir.
Pratik örnekler:
- Siteye tekrar girdiğinizde oturumunuzun açık kalması,
- Alışveriş sepetinizdeki ürünlerin sayfalar arasında kaybolmaması,
- Dil veya bölge tercihinin hatırlanması,
- Hangi sayfaların daha çok ziyaret edildiğinin ölçülmesi.
Çerezler genel olarak şu kategorilere ayrılır:
- Gerekli Çerezler: Oturum yönetimi, sepet, form gönderimi gibi temel işlevler için zorunludur.
- Performans Çerezleri: Site performansı ve kullanım istatistiklerini anonim/psödonomize biçimde ölçer.
- İşlevsel Çerezler: Dil, bölge, tema, düzen gibi kullanıcıya özel tercihler için kullanılır.
- Reklam/Hedefleme Çerezleri: İlgi alanlarına göre kişiselleştirilmiş reklam ve yeniden hedefleme için kullanılır.
Soru şudur: Bu kategorilerden hangileri kişisel veri işlenmesine neden olur ve hangileri için açık rıza gereklidir? Aşağıdaki bölümlerde bunu detaylandırıyoruz.
Çerez Yönetimi ve Güvenlik
Çoğu modern web tarayıcısı; çerezleri görmenizi, silmenizi veya tamamen engellemenizi sağlar. Kullanıcı perspektifinden temel adımlar:
- Tarayıcı ayarlarından çerezleri görüntüleme ve silme,
- Belirli siteler için çerezlere izin verme veya engelleme,
- Üçüncü taraf çerezleri kapatma,
- “Takip etme” (Do Not Track) gibi gizlilik seçeneklerini değerlendirme.
Çerezler, doğru yapılandırıldıklarında genellikle güvenlidir; ancak kişisel veri işledikleri için güvenlik ve gizlilik boyutu ihmal edilmemelidir:
- Güvenilir sitelerde çerezlere izin verin; tanımadığınız siteler için daha temkinli olun.
- Düzenli temizlik yapın; özellikle ortak cihazlarda tarayıcı geçmişi ve çerezleri periyodik olarak silin.
- Güncel güvenlik yazılımı kullanın; zararlı yazılım ve phishing risklerine karşı ek koruma sağlar.
Türkiye’de Açık Rıza Gerektirmeyen Çerez Kullanımı
KVKK çerçevesinde bazı çerezler, hizmetin sunumu için zorunlu kabul edilir ve belirli koşullarda açık rıza gerektirmeden kullanılabilir. Bu çerezlerde temel ilke; “amaçla sınırlı, ölçülü ve zorunlu kullanım”dır.
Açık rıza gerektirmeden kullanılabilecek başlıca çerez tipleri örneklendirilerek şöyle sayılabilir:
- Kullanıcı Girdili Çerezler: Form doldurma, alışveriş sepeti yönetimi gibi kullanıcının açıkça talep ettiği işlemler için gerekli çerezler.
- Kimlik Doğrulama Çerezleri: Oturum açma ve yetkisiz erişimi engelleme amaçlı kimlik doğrulama çerezleri.
- Kullanıcı Merkezli Güvenlik Çerezleri: Kimlik avı ve kötüye kullanım girişimlerini tespit etmek için kullanılan güvenlik odaklı çerezler.
- Multimedya Oynatıcı Oturum Çerezleri: Video/ses oynatıcıların çalışması için gerekli oturum çerezleri.
- Yük Dengeleme Çerezleri: Trafiği sunucular arasında dağıtarak sitenin çalışmasını sağlayan teknik çerezler.
- Kullanıcı Arayüzü Tercih Çerezleri: Dil, font boyutu, renk modu gibi arayüz tercihlerini hatırlayan çerezler.
- Açık Rıza Yönetim Platformu Çerezleri: Çerez tercihlerinizi kaydeden ve yöneten CMP (Consent Management Platform) çerezleri.
- Belirli Şartlarla Birinci Taraf Analitik Çerezler: Sitenin performans ve trafik istatistikleri için sınırlı, birinci taraf analitik çerezler (detaylandırma, anonimleştirme ve ölçülülük şartları önemlidir).
- Site Güvenliği Çerezleri: Güvenlik duvarı, saldırı önleme ve anomali tespiti gibi teknik güvenlik mekanizmalarına hizmet eden çerezler.
Önemli: Bu çerezler için açık rıza aranmasa dahi; aydınlatma yükümlülüğü devam eder. Çerez politikası/metninde bu çerezler ve amaçları açıkça belirtilmelidir.
Açık Rıza Nedir?
Açık rıza, ilgili kişinin belirli bir konuya ilişkin bilgilendirilmiş, özgür iradesine dayanan ve açık beyanını ifade eder. Çerez bağlamında açık rıza:
- Hangi çerezlerin kullanılacağı,
- Bu çerezlerin hangi amaçlarla kullanılacağı,
- Ne kadar süreyle saklanacağı
konusunda kullanıcıya bilgi verildikten sonra; kullanıcının aktif bir davranışla (ör. “Kabul Ediyorum” butonuna tıklaması) onay vermesini ifade eder.
Bilinçli tercih için çerez bildirimi ve çerez ayarları paneli; açık, sade ve kolay erişilebilir olmalıdır.
Ne Zaman Açık Rıza Gerekir?
Her çerez için açık rıza alınması gerekmeyebilir; ancak bazı çerez türleri için açık rıza alınmadan kullanım hukuki risk doğurabilir. Özellikle:
- Sosyal Eklenti Takip Çerezleri: Sosyal ağların (ör. Meta, X/Twitter vb.) “beğen”, “paylaş” gibi butonları üzerinden yerleştirdiği ve ziyaret ettiğiniz siteleri takip ederek profil çıkaran çerezler genellikle açık rıza gerektirir.
- Çevrim İçi Davranışsal Reklamcılık Çerezleri: İnternette gezinme alışkanlıklarınızı izleyerek size kişiselleştirilmiş reklamlar sunan hedefleme çerezleri, açık rıza olmadan kullanılmamalıdır.
- Kapsamlı Profil Oluşturma Amaçlı Analitik/Harici Çerezler: Kullanıcıyı tanımlamaya elverişli ayrıntılı profil çıkaran analitik ve üçüncü taraf çerezler için açık rıza gerekliliği gündeme gelir.
Özetle, hizmetin sunumu için teknik olarak zorunlu olmayan ve özellikle pazarlama, hedefleme, cross-site izleme yapan çerezler için açık rıza alınması, KVKK ve iyi uygulama açısından güvenli yaklaşımdır.
Açık Rıza Nasıl Alınır?
Web siteleri, genellikle çerez bildirimi (banner) ve çerez tercih paneli üzerinden açık rıza alır. İyi bir çerez onay mekanizması için aşağıdaki unsurlar önemlidir:
- Hangi çerezlerin kullanıldığı ve amaçlarının açık, kısa ve sade bir dille anlatılması,
- “Tümünü kabul et”, “Tümünü reddet” ve “Tercihleri özelleştir” gibi net seçenekler sunulması,
- Kategorilere göre seçim imkânı (zorunlu, analitik, reklam vb.),
- Tercihlerin istenildiği zaman değiştirilebilmesi için kolay erişilen bir bağlantı (ör. sayfa altındaki “Çerez Tercihlerini Değiştir” linki),
- Önceden işaretlenmiş kutucuklar yerine, kullanıcı eylemiyle verilen onaylar.
Kullanıcı tarafında ise; tarayıcı ve site ayarlarından hangi çerezlere izin verileceğini düzenli olarak gözden geçirmek, güvenlik ve gizlilik açısından iyi bir alışkanlıktır.
Çerez Kullanımında Dikkat Edilmesi Gerekenler
Kurumlar açısından çerez uyumu, sadece banner gösterip onay almakla sınırlı değildir. Aşağıdaki noktalar gözden kaçırılmamalıdır:
- Envanter Uyuşması: Sitede fiilen kullanılan çerezler ile çerez politikasında listelenen çerezlerin birebir eşleşmesi gerekir.
- İstisnalar Dışında Rıza: Zorunlu/istisna kapsamı dışında kalan çerezler için açık rıza arandığını varsaymak güvenli yaklaşımdır.
- Aydınlatma Yükümlülüğü: Açık rıza gerektirmeyen çerezlerde dahi; tür, amaç, süre ve üçüncü taraflara ilişkin bilgilendirme yapılmalıdır.
- Rızanın Geri Alınabilirliği: Kullanıcı, verdiği rızayı aynı kolaylıkla geri alabilmelidir.
- Güncelleme: Çerez seti veya sağlayıcılarda değişiklik olduğunda politika ve panel güncellenmelidir.
Kullanıcı açısından ise; özellikle tanımadığınız sitelerde çerezleri otomatik kabul etmek yerine, tercihleri gözden geçirmek ve zaman zaman tarayıcı çerezlerini temizlemek; hesap güvenliği ve mahremiyet açısından önemlidir.
Sonuç: Çerezler, Kişisel Veri ve Bilinçli Yönetim
Çerezler; dijital dünyada kullanıcı deneyimini geliştiren, siteleri daha hızlı, daha kişisel ve daha işlevsel hale getiren kritik araçlardır. Ancak IP adresi, cihaz ID’si, hesap bilgileri ve davranış verileriyle birleştiğinde KVKK kapsamında kişisel veri haline gelebilir ve bu durumda veri sorumluları için ciddi yükümlülükler doğar.
Temel çerçeve şudur:
- Zorunlu ve güvenlik odaklı çerezler için, belirli koşullarda açık rıza aranmayabilir.
- Davranışsal reklamcılık ve sosyal eklenti takibi gibi amaçlar için açık rıza kritik önemdedir.
- Hangi durumda olursa olsun; şeffaf aydınlatma, ölçülülük ve veri güvenliği vazgeçilmezdir.
Çerezleri anlamak ve ayarları bilinçli yönetmek; hem bireyler hem de kurumlar için daha güvenli ve sürdürülebilir bir dijital deneyimin ön şartıdır.
Çerezler ve KVKK Hakkında Sık Sorulan Sorular
Hayır. Çerez, tek başına bir kişiyi tanımlamıyorsa kişisel veri sayılmayabilir. Ancak çerez içeriği veya çerezle ilişkilendirilen bilgiler, belirli veya belirlenebilir bir gerçek kişiyi işaret ediyorsa (IP, cihaz kimliği, hesap bilgisi, davranış profili vb.) KVKK kapsamında kişisel veri niteliği kazanır.
Hizmetin sunumu için teknik olarak zorunlu olan; oturum, güvenlik, yük dengeleme, multimedya oynatıcı ve arayüz tercih çerezleri gibi türler belirli şartlarda açık rıza olmadan kullanılabilir. Buna rağmen bu çerezler için de aydınlatma yükümlülüğü devam eder ve ölçülülük ilkesi korunmalıdır.
Evet. Kullanıcının internet üzerindeki davranışlarını izleyerek profil çıkaran ve buna göre kişiselleştirilmiş reklam gösteren çerezler, kural olarak açık rıza gerektiren çerezlerdir. Bu tür çerezler, çerez bildirimi ve tercih paneli üzerinden ayrı kategoride sunulmalı ve önceden işaretli olmamalıdır.
Rıza saklama süresi için tek bir standart bulunmasa da; iyi uygulamada çerez rızasının belli aralıklarla (örneğin 6–12 ay) gözden geçirilmesi ve kullanıcıya tercihini güncelleme imkânı verilmesi önerilir. Ayrıca her çerezin saklama süresi, amaçla uyumlu ve ölçülü olmalıdır.
Kullanıcı, çerez tercih paneli veya site altbilgisinde sunulan “Çerez Tercihlerini Değiştir” bağlantısı üzerinden verdiği rızayı geri alabilmelidir. Ayrıca tarayıcı ayarlarından çerezleri silmek veya engellemek de mümkündür. İlke; rızanın verilmesinde sağlanan kolaylığın, geri almada da sağlanmasıdır.
