Çerez Politikası ve KVKK: Yasal Gereksinimler ve Uygulama Rehberi

KVKK · Çerez Politikası · Yasal Uyum

Çerez Politikası ve KVKK: Yasal Gereksinimler ve Uygulama Esasları

Dijital çağın görünmez takipçileri olan çerezler (cookies), internet ekosisteminin işleyişi için teknik bir zorunluluk olsa da, günümüzde kişisel verilerin korunması hukukunun en tartışmalı alanlarından birini oluşturmaktadır. KVKK uyumu, yalnızca bir “kabul et” butonundan ibaret değildir; şeffaflık, açık rıza ve kullanıcı mahremiyetine saygı üzerine kurulu kapsamlı bir süreçtir.

Bu kapsamlı rehberde; çerezlerin hukuki niteliği, aydınlatma yükümlülüğü, açık rıza şartları, banner tasarımı ve yurt dışı veri aktarımı gibi kritik konuları, teorik jargonlardan arındırarak pratik ve anlaşılır bir dille ele alıyoruz.

Çerezlerin Hukuki Yapısı Örnek Banner Tasarımı

İçindekiler 1. Dijital Gözetim ve Çerezlerin Hukuki Anatomisi 2. Çerez Türleri ve Hukuki Sebepler 3. Aydınlatma Yükümlülüğü ve Açık Rıza 4. Kırmızı Çizgiler: Kurul Kararları ve Çerez Duvarı 5. Yurt Dışı Veri Aktarımı ve 2024 Reformu 6. Uygulama: Banner Tasarımı ve CMP 7. Uyumluluk Kontrol Listesi 8. Sık Sorulan Sorular

Hızlı Özet

Yasal Statü: Çerezler, kullanıcıyı “tekilleştirebildiği” için kişisel veri sayılır.
Temel Kural: Reklam ve analiz çerezleri için Açık Rıza (Opt-in) zorunludur. “Kullanmaya devam ederek kabul etmiş sayılırsınız” yaklaşımı hukuka aykırıdır.
Aydınlatma: Gizlilik politikasından ayrı, müstakil bir “Çerez Politikası” gereklidir.
Tasarım: “Kabul Et” ve “Reddet” seçenekleri eşit sunulmalı, rıza verilmeden scriptler çalışmamalıdır.

KVKK m.5 ve m.10 Açık Rıza Çerez Yönetimi (CMP) Yurt Dışı Aktarım

Önemli Not: Web sitenizde kullanılan Google Analytics, Facebook Pixel gibi üçüncü taraf araçlar, verileri yurt dışına aktardığı için, 2024 yılında değişen KVKK madde 9 hükümleri ve yeni yönetmelikler ışığında ekstra uyum adımları gerektirmektedir.

1. Dijital Gözetimin Teknik ve Hukuki Anatomisi

İnternet protokollerinin temel taşı olan HTTP (Hypertext Transfer Protocol), doğası gereği “durumsuz” (stateless) bir dildir. Yani bir web sunucusu, kendisine gelen iki farklı talebin aynı kişiden gelip gelmediğini varsayılan olarak bilemez. Tıpkı hafızası olmayan bir görevli gibi, siteye her tıkladığınızda sizi ilk kez görüyormuş gibi davranır.

İşte çerezler (cookies), bu teknik unutkanlığı aşmak ve web sitelerine bir “hafıza” kazandırmak için 90’ların ortasında icat edilmiştir. Teknik olarak tarayıcınıza gönderilen küçük metin dosyalarıdır. Ancak bu masum “hatırlama” aracı, zamanla dijital reklamcılık endüstrisinin yakıtı haline gelmiştir.

Kişisel Veri Sayılır mı?

Türk hukukunda 6698 sayılı KVKK’ya göre kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”dir. Bir çerez dosyası; içerdiği User ID, Session ID veya benzersiz tanımlayıcılar sayesinde, isminizi bilmese bile sizi dijital kalabalık içinde diğerlerinden ayırt edebiliyorsa (singling out), yani “tekilleştiriyorsa”, bu veriler kişisel veri niteliğindedir.

Dolayısıyla bir web sitesi sahibi (veri sorumlusu) olarak çerezleri sadece teknik bir detay değil, Kanun’un genel ilkelerine (m.4), veri işleme şartlarına (m.5) ve aydınlatma yükümlülüklerine (m.10) uygun yönetilmesi gereken bir veri işleme faaliyeti olarak görmelisiniz.

2. Çerez Taksonomisi: Hangi Çerez İçin Hangi Hukuki Sebep?

KVKK uyum projelerinde yapılan en büyük hata, tüm çerezleri aynı kefeye koymaktır. Oysa çerezler kullanım amaçlarına göre farklı hukuki rejimlere tabidir. Kişisel Verileri Koruma Kurumu’nun rehberine göre doğru sınıflandırma şu şekildedir:

Çerez Kategorisi	Örnek ve İşlev	Hukuki Dayanak ve Rıza Durumu
Zorunlu (Kesinlikle Gerekli) Çerezler	Sepete eklenen ürünlerin tutulması, güvenli giriş yapılması (AuthToken). Sitenin çalışması için teknik olarak şarttır.	Açık Rıza Gerekmez. KVKK m. 5/2(c) (Sözleşmenin ifası) veya m. 5/2(f) (Meşru menfaat) şartına dayanılır.
İşlevsel Çerezler	Dil tercihi, yazı boyutu, “beni hatırla” seçeneği gibi kişiselleştirme sağlar.	Duruma Göre Değişir. Kullanıcı aktif olarak talep ettiyse (örn. dil butonuna bastıysa) rıza aranmayabilir, aksi halde rıza gerekir.
Performans / Analitik Çerezler	Google Analytics, Yandex Metrica. Ziyaretçi sayısı, hemen çıkma oranı gibi istatistikler.	Genellikle Açık Rıza Gerekir. Özellikle 3. taraf araçlar kullanılıyorsa ve veriler yurt dışına gidiyorsa (Google gibi) açık rıza şarttır.
Reklam / Pazarlama Çerezleri	Facebook Pixel, Google Ads. Kullanıcıyı profilleme, ilgi alanlarına göre reklam gösterme.	Kesinlikle Açık Rıza (Opt-in). Meşru menfaate dayanılamaz. Kullanıcı “Kabul Et” demeden asla çalıştırılamaz.

Dikkat: Sektörde sıkça rastlanan “Reklam faaliyetlerimiz için meşru menfaatimize dayanıyoruz” yaklaşımı hukuka aykırıdır. Kurul, profilleme ve davranışsal reklamcılığın, kişinin mahremiyetine yoğun müdahale içerdiğini ve sadece açık rıza ile yapılabileceğini belirtmektedir.

3. Aydınlatma Yükümlülüğü ve Açık Rıza Mekanizması

Veri sorumlusu, çerezler aracılığıyla veri işlemeye başlamadan önce (yani kullanıcı siteye girer girmez) aydınlatma yükümlülüğünü yerine getirmelidir. Ancak burada “Gizlilik Politikası”nın içine gömülmüş genel ifadeler yeterli değildir.

3.1. Müstakil Çerez Politikası

Web sitenizde “Çerez Politikası” veya “Çerez Aydınlatma Metni” adı altında ayrı bir sayfa bulunmalıdır. Bu metinde her bir çerez grubu için şu detaylar yer almalıdır:

Çerezin Adı: (Örn: _ga, _fbp)
Kullanım Amacı: Neden işleniyor? (Örn: Site trafiğini analiz etmek)
Saklama Süresi: Cihazda ne kadar kalacak? (Örn: Oturum süresince, 2 yıl)
Taraf Bilgisi: Birinci taraf mı, üçüncü taraf mı? (Örn: Google, Facebook)

3.2. Katmanlı Aydınlatma (Layered Approach)

Mobil ekranlarda uzun metinleri okutmak zordur. Bu yüzden Kurul, “Katmanlı Aydınlatma”yı önerir:

Birinci Katman (Banner): Siteye ilk girişte çıkan kısa özet. (“Sitemizde deneyiminizi iyileştirmek için çerezler kullanıyoruz…”)
İkinci Katman (Detaylı Politika): Banner’daki linke tıklandığında ulaşılan tam metin.

4. Kırmızı Çizgiler: Kurul Kararları ve “Çerez Duvarı” Yasağı

Teorik kuralların pratikte nasıl cezaya dönüştüğünü anlamak için Kişisel Verileri Koruma Kurulu’nun (KVKK) emsal kararlarına bakmak gerekir. Bu kararlar, Türkiye’deki uyum standartlarını belirlemiştir.

Amazon Türkiye Kararı: “Zımni Rıza Döneminin Sonu”

Kurul, bir e-ticaret devine verdiği cezada; siteye girişte yer alan “Hizmetlerimizi kullanarak çerez bildirimimizi kabul etmiş olursunuz” ifadesini hukuka aykırı buldu. Bu karar, “Opt-out” (varsayılan kabul) sisteminden “Opt-in” (açık rıza) sistemine geçişin miladıdır. Kullanıcı aktif bir hareketle (buton tıklama) onay vermedikçe, sessiz kalması rıza olarak kabul edilemez.

Çerez Duvarı (Cookie Wall) Yasağı

Bir başka kararda (2022/229), kullanıcının çerezleri kabul etmediği takdirde siteye erişiminin engellenmesi veya zorlaştırılması cezalandırıldı. “Çerezleri kabul et yoksa siteye giremezsin” yaklaşımı, rızanın “özgür irade” unsurunu sakatlar. Kullanıcı, çerezleri reddetse bile sitenin içeriğine erişebilmelidir.

5. Çerezler ve Yurt Dışı Veri Aktarımı (2024 Reformu)

Google Analytics, Meta Pixel, Hotjar gibi araçlar; verileri genellikle yurt dışındaki sunucularda (ABD, AB) işler. 2024 yılında KVKK madde 9’da yapılan değişiklik, bu konuda yeni bir dönem başlattı.

Eskiden her kullanıcıdan “Verilerimin yurt dışına gitmesine izin veriyorum” diye ayrıca rıza alınması gerekirken, yeni sistemde üç basamaklı bir yapı öngörülmüştür:

Yeterlilik Kararı: Verinin gideceği ülke güvenli listesindeyse sorun yok (Henüz tam liste yok).
Uygun Güvenceler (Standart Sözleşmeler): Google, Meta gibi sağlayıcılar ile veri sorumlusu arasında imzalanan standart sözleşmeler. En pratik yol budur. Google ve diğer devler, Türkiye için güncel sözleşmelerini panellerine eklemiştir; bunları dijital olarak imzalamak ve Kurum’a bildirmek gerekebilir.
Açık Rıza (İstisnai Haller): Diğer yollar yoksa, kullanıcıdan rıza alınmalıdır. Ancak analitik araçları sürekli veri akışı sağladığı için bu yol sürdürülebilir değildir.

Özetle: Kullandığınız 3. taraf çerez sağlayıcılarının KVKK uyumlu standart sözleşmeleri (SCC) sunup sunmadığını kontrol edin. Aksi takdirde veri aktarımı hukuka aykırı hale gelebilir.

6. Uygulama Stratejisi: Banner Tasarımı ve CMP

Hukuki teorinin kullanıcı arayüzüne (UI) yansıdığı yer, sitenize girildiğinde çıkan o küçük kutucuktur. Kurul, “Karanlık Tasarımlar” (Dark Patterns) konusunda çok hassastır.

İdeal Bir Çerez Banner’ı Nasıl Olmalı?

Eşitlik İlkesi: “Kabul Et” ve “Reddet” butonları aynı renk, boyut ve vurguda olmalıdır. “Kabul Et”i parlak yeşil yapıp, “Reddet”i silik gri bir yazı olarak gizlemek ihlal sebebidir.
Privacy by Default (Varsayılan Olarak Kapalı): Banner açıldığında, pazarlama ve analitik çerezlerinin kutucukları işaretli gelmemelidir. Kullanıcı kendisi seçmelidir.
Kapatma Butonu: Banner’ın köşesinde, kullanıcının seçim yapmadan kapatabileceği (reddetme anlamına gelen) bir “X” veya “Kapat” butonu bulunmalıdır.
Auto-Blocking (Otomatik Engelleme): En sık yapılan teknik hata budur. Banner ekrana gelse bile, kullanıcı henüz bir şeye basmadan arka planda Google Analytics kodları çalışmaya başlıyorsa, hukuka aykırıdır. Kodlar, ancak “Kabul Et” sinyalinden sonra tetiklenmelidir.

Rıza Yönetim Platformları (CMP)

Bu karmaşık süreci manuel yönetmek zordur. Cookiebot, OneTrust, Usercentrics gibi CMP araçları, sitenizi tarar, çerezleri sınıflandırır ve otomatik engelleme yaparak KVKK uyumlu bir banner sunar. Ayrıca verilen rızaların “log” kayıtlarını tutarak ispat yükümlülüğünüze yardımcı olur.

7. Veri Sorumluları İçin Uyumluluk Kontrol Listesi

Süreci yönetmekte zorlanan web sitesi sahipleri için adım adım bir yol haritası:

Çerez Envanteri Çıkarın: Sitenizde hangi çerezlerin çalıştığını (developer tools veya tarama araçlarıyla) tespit edin.
Sınıflandırma Yapın: Zorunlu, Analitik ve Pazarlama olarak ayırın.
Politika Yazın: Envanterinizle örtüşen, her çerezin amacını ve süresini açıklayan bir aydınlatma metni hazırlayın.
Banner Entegre Edin: “Kabul Et” ve “Reddet” seçenekleri eşit olan bir mekanizma kurun.
Otomatik Engellemeyi Test Edin: Gizli sekmeden sitenize girin ve “Kabul” demeden çerezlerin yüklenip yüklenmediğini kontrol edin.
Yurt Dışı Aktarımını Denetleyin: 3. taraf sağlayıcıların sözleşmelerini inceleyin.
Kolay Geri Alma İmkanı Sunun: Sitenin alt köşesine “Çerez Ayarları” butonu koyarak, kullanıcının verdiği rızayı sonradan değiştirebilmesini sağlayın.

8. Sık Sorulan Sorular

Sadece bilgilendirme amaçlı bir blog sitem var, yine de çerez politikası gerekir mi?

Eğer sitenizde Google Analytics gibi bir sayaç, YouTube videosu (embed) veya sosyal medya paylaşım butonu varsa, evet gerekir. Bunlar 3. taraf çerezler bırakır. Sadece düz yazı ve resimden oluşan, hiçbir dış script içermeyen, üyelik sistemi olmayan statik bir site ise zorunlu olmayabilir.

Google Analytics kullanmak yasak mı?

Hayır, yasak değildir. Ancak verileri yurt dışına aktardığı ve profilleme yapabildiği için, ziyaretçiden açık rıza alarak ve KVKK m.9 kapsamındaki güvenceleri sağlayarak kullanmanız gerekir.

Kullanıcı çerezleri reddederse siteyi kullanmasını engelleyebilir miyim?

Hayır. “Çerez Duvarı” (Cookie Wall) uygulaması KVKK’ya aykırıdır. Kullanıcı çerezleri reddetse bile sitenin içeriğine erişebilmeli, sadece kişiselleştirilmiş reklamlardan mahrum kalmalıdır.

“Sitemizi kullanarak çerezleri kabul etmiş sayılırsınız” yazısı yeterli mi?

Kesinlikle hayır. Bu “zımni rıza” modelidir ve Amazon Türkiye kararı başta olmak üzere birçok kararla hukuka aykırı bulunmuştur. Rıza, aktif bir eylemle (buton tıklama) verilmelidir.

Çerez Politikası KVKK Uyumu Açık Rıza Veri Güvenliği GDPR

Daha detaylı bilgi ve hukuki danışmanlık süreçleri için bizimle iletişime geçebilirsiniz.

İletişime Geçin