GDPR, ePrivacy Directive (ePD) ve Çerez (Cookie) Uyumu Kurumlar İçin Uygulama Rehberi
GDPR (Genel Veri Koruma Tüzüğü), Avrupa Birliği’nin 25 Mayıs 2018 itibarıyla yürürlüğe koyduğu, kişisel verilerin işlenmesinde şeffaflık, hesap verebilirlik ve güvenlik standardını yükselten temel düzenlemedir. Dijital ekonomide veri akışının artmasıyla birlikte; web siteleri, uygulamalar ve çevrimiçi hizmet sağlayıcıları için “çerezler”, “online tanımlayıcılar” ve “izleme teknolojileri” uyumun merkezine yerleşmiştir.
Bu içerikte; GDPR nedir, ePrivacy Directive (ePD) neyi düzenler, çerez (cookie) kimlikleri neden belirli koşullarda kişisel veri sayılabilir ve web siteleri için pratik uyum adımları nelerdir sorularını kurumsal bakış açısıyla ele alıyoruz.
GDPR: Kişisel verilerin işlenmesini düzenler; şeffaflık ve güvenliği zorunlu kılar.
ePD: Elektronik iletişim ve cihazlarda bilgi saklama/erişimi (çerezler dahil) düzenler.
Çerezler: Çoğu senaryoda online tanımlayıcı içerdiği için kişisel veri sayılabilir.
Uyum: Banner/panel, kategori bazlı seçim, açık rıza, ret seçeneği, kayıt/kanıt ve politika dokümantasyonu.
Uyum; yalnızca “banner koymak” değil, çerezlerin gerçekten rıza sonrası çalışması ve kanıtlanabilir yönetimidir.
1. GDPR (Genel Veri Koruma Tüzüğü) Nedir?
GDPR (General Data Protection Regulation), Avrupa Birliği’nin kişisel verilerin korunmasına ilişkin temel çerçevesidir ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Tüzük; gerçek kişilere ait kişisel verilerin işlenmesinde hukuka uygunluk, şeffaflık, amaçla sınırlılık, veri minimizasyonu, doğruluk, saklama süresiyle sınırlılık ve güvenlik gibi ilkeleri operasyonel zorunluluk haline getirir.
GDPR’nin “dijital” etkisi özellikle yüksektir: Web siteleri ve mobil uygulamalar; çerezler, piksel etiketleri, SDK’lar ve benzeri izleme teknolojileriyle kullanıcı davranışlarını analiz eder. Bu analizlerin çoğu, doğrudan veya dolaylı olarak kullanıcıyı tanımlamaya elverişli “online tanımlayıcılara” dayanır.
GDPR Kurumsal Olarak Ne Hedefler?
- Kullanıcının verisi üzerinde bilgi sahibi olmasını ve kontrol edebilmesini sağlamak,
- Şirketlerin veri işleme faaliyetlerinde hesap verebilir olmasını zorunlu kılmak,
- Güvenlik tedbirlerini ve ihlal yönetimini standartlaştırmak,
- Uyumsuzluk halinde caydırıcı yaptırımlarla uyumu teşvik etmek.
2. GDPR’nin Getirdiği Temel Yükümlülükler
GDPR, şirketlerin kişisel verileri “güvenli ve sorumluluk bilinciyle” işlemesini bekler. Pratikte bu; aydınlatma, rıza yönetimi, teknik-idari güvenlik ve veri sahibi haklarına yanıt süreçlerinin kurumsal seviyede tanımlanması anlamına gelir.
Öne Çıkan Başlıklar
- Açıklama ve rıza: Kullanıcıya açık bilgi verilmeli; rıza gerekli hallerde özgür iradeyle alınmalıdır.
- Otomatik işleme sınırları: Belirli otomatik karar verme/profilleme senaryoları için ek şartlar ve korumalar söz konusudur.
- Güvenlik ve gizlilik tasarımı: “Privacy by design / by default” yaklaşımıyla süreçler baştan kurgulanmalıdır.
- Veri sahibi hakları: Erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz gibi taleplere işletilebilir süreç gerekir.
- Kayıt ve kanıt: Rıza kayıtları ve çerez tercihleri dâhil olmak üzere uyumun kanıtlanabilir olması beklenir.
| Alan | Web Sitesi / Dijital Uygulama Karşılığı | Kurumsal Beklenti |
|---|---|---|
| Aydınlatma | Gizlilik bildirimi + çerez aydınlatması | Kolay erişim, açık amaçlar, güncellik |
| Rıza Yönetimi | Çerez banner/panel, kategori bazlı seçim | Rıza olmadan pazarlama/analitik çerez çalışmamalı |
| Güvenlik | HTTPS, erişim kontrolü, loglama, sızma testi | Risk temelli tedbirler ve düzenli gözden geçirme |
| Hak Yönetimi | Başvuru formu / iletişim kanalı | İzlenebilir süreç, süre yönetimi, kayıt |
3. ePrivacy Directive (ePD) Nedir? “Çerez Yasası” Mantığı
ePrivacy Directive (ePD) (eGizlilik Yönergesi), Avrupa Birliği’nde elektronik iletişimde gizlilik ve veri korunmasına ilişkin bir dizi kuralı ifade eder. 2002’de kabul edilmiş, 2009’da güncellenmiştir ve kamuoyunda “çerez yasası” olarak anılmasının temel nedeni; cihazlarda bilgi depolanması ve bu bilgilere erişim (çerezler dahil) konusunda kullanıcı onayı yaklaşımını vurgulamasıdır.
ePD’nin odağı, yalnızca “kişisel veri” ile sınırlı değildir; cihazda bilgi saklama/erişim eylemi, veri türünden bağımsız olarak belirli koşullara tabi olabilir. Bu nedenle çerez yönetimi, pratikte GDPR ve ePD’nin kesişim alanında yürür.
GDPR ve ePD Nasıl Ayrışır?
- GDPR: Kişisel verilerin işlenmesini düzenler (kimliği belirli/belirlenebilir kişiyle ilişkilendirilebilir veri).
- ePD: Elektronik iletişim ve cihazlarda bilgi saklama/erişim gibi teknik eylemleri düzenler (çerezler, benzer teknolojiler).
- Pratik sonuç: Çerezler hem ePD kapsamında onay gerektirebilir hem de içeriğinde/amaçlarında kişisel veri varsa GDPR yükümlülüklerini doğurabilir.
4. Çerez (Cookie) Nedir? Ne Zaman Kişisel Veri Sayılır?
Çerez (cookie), kullanıcının ziyaret ettiği web sitesi tarafından tarayıcıya bırakılan küçük metin dosyasıdır. Çerezler tek başına zararlı değildir; çoğu zaman oturum yönetimi, tercih hatırlama, güvenlik ve performans gibi işlevleri yerine getirir. Kullanıcı; tarayıcı ayarlarından çerezleri görüntüleyebilir, silebilir veya engelleyebilir.
Ancak çerezlerin önemli bir kısmı, kullanıcıyı doğrudan veya dolaylı tanımlamaya elverişli tanımlayıcılar içerir (ör. benzersiz ID’ler, reklam tanımlayıcıları, analiz kimlikleri). Bu tanımlayıcılar belirli koşullarda kişisel veri olarak kabul edilebilir.
Çerezlerin Kişisel Veri Sayılabildiği Tipik Senaryolar
- Online tanımlayıcı içermesi: Kullanıcıyı tekrar tanımaya yarayan benzersiz ID’ler.
- Profil oluşturma / hedefleme: Davranışsal reklamcılık ve çapraz site takibi.
- Üçüncü taraf etiketleri: Reklam ağları, sosyal medya pikselleri, yeniden pazarlama araçları.
- Birleşik veri setleri: Çerez ID’sinin CRM verisi, üyelik bilgisi, cihaz parmak izi ile eşleştirilmesi.
5. Web Siteleri İçin GDPR + ePD Çerez Uyumu Kontrol Listesi
Çerez uyumunu “banner var/yok” şeklinde değerlendirmek eksik kalır. Uyum; çerezlerin sınıflandırılması, rızanın doğru kurgulanması, etiketlerin rıza sonrası tetiklenmesi ve tercihlerin kayıt altına alınmasıyla tamamlanır.
Operasyonel Uygulama Adımları
- Çerez envanteri çıkarın: Birinci/üçüncü taraf çerezler, yaşam süreleri, sağlayıcılar, amaçlar.
- Kategori bazlı yapı kurun: Zorunlu, işlevsel, performans/analitik, pazarlama gibi sınıflar.
- Açık rıza tasarımı: Zorunlu olmayan çerezler için “kabul/ret” ve tercihe dayalı seçim.
- Önceden işleme engeli: Analitik/pazarlama etiketleri rıza öncesi çalışmamalı (tag firing kontrolü).
- Geri alma ve güncelleme: Kullanıcı tercihlerini dilediği zaman değiştirebilmeli.
- Aydınlatma dokümantasyonu: Çerez aydınlatması + gizlilik metni + gerektiğinde üçüncü taraf bilgilendirmeleri.
- Kayıt/kanıt mekanizması: Rıza zamanı, seçilen kategoriler, versiyon bilgisi gibi kayıtlar tutulmalı.
- Periyodik gözden geçirme: Etiket/SDK eklemeleri sonrası envanter ve panel güncellenmeli.
GDPR ve ePD Farklarını Özetleyen Mini Tablo
| Kriter | GDPR | ePrivacy (ePD) |
|---|---|---|
| Kapsam | Kişisel verilerin işlenmesi | Elektronik iletişim + cihazda bilgi saklama/erişim |
| Çerez Odak | Çerez ID’si kişisel veri ise yükümlülük doğurur | Çerez bırakma/okuma eylemi için onay yaklaşımı |
| Uygulama Sonucu | Şeffaflık, haklar, güvenlik, hesap verebilirlik | Banner/panel, rıza ve tercih yönetimi |
6. Sık Sorulan Sorular (SSS)
GDPR ne zaman yürürlüğe girdi?
GDPR, Avrupa Birliği’nde 25 Mayıs 2018 itibarıyla yürürlüğe girmiştir.
ePrivacy (ePD) neden “çerez yasası” diye anılıyor?
Çünkü cihazlarda bilgi saklama ve bu bilgilere erişim (çerezler dahil) için kullanıcı onayı yaklaşımını öne çıkarır ve pratikte çerez yönetimini doğrudan etkiler.
Çerezler her zaman kişisel veri midir?
Her senaryoda değil. Ancak kullanıcıyı tanımlayan/izlemeye yarayan bir tanımlayıcı içerdiğinde veya başka verilerle ilişkilendirildiğinde kişisel veri sayılabilir.
Sadece banner koymak GDPR uyumu için yeterli mi?
Hayır. Asıl kritik nokta; zorunlu olmayan çerezlerin rıza öncesi çalışmaması, kategorilerin doğru sınıflandırılması ve tercihlerin kayıt altına alınmasıdır.
Çerez tercihleri sonradan değiştirilebilmeli mi?
Evet. Kullanıcılar verdikleri onayı geri alabilmeli ve tercihlerini kolayca güncelleyebilmelidir. Bu, iyi uygulama standardıdır.
Çerez uyumunda en sık yapılan hata nedir?
Çerez envanteri güncel değilken panel kurmak ve üçüncü taraf etiketlerin (piksel/analitik) rıza öncesi tetiklenmesini engellememektir.
