Cookie (Çerez) Yönetimi Rehberi
Teknik + hukuki + operasyonel boyutlarıyla çerez yönetimi: envanter, rıza, CMP, UX, teknik tetikleme, yaptırımlar ve sürekli denetim.
1. Giriş
Dijitalleşmenin hızla geliştiği günümüzde web siteleri; deneyimi optimize etmek, analiz ve reklam hizmetlerini iyileştirmek için çerezleri yaygın biçimde kullanır. Ancak bu kullanım, KVKK ve GDPR kapsamında ciddi yükümlülükler doğurur. Bu nedenle çerez yönetimi sadece teknik değil; aynı zamanda hukuki ve operasyonel bir disiplindir.
2. Çerez Nedir?
Çerezler, ziyaretçinin tarayıcısı aracılığıyla cihaza yerleştirilen ve site etkileşimine dair küçük veri dosyalarıdır. Temel işlevler:
- Oturum yönetimi (login durumu)
- Kullanıcı tercihlerinin hatırlanması
- Reklam ve yeniden hedefleme
- Web sitesi analizleri
3. Çerez Türleri
3.1 Süre Bazlı
- Oturum çerezleri (Session): Tarayıcı kapanınca silinir.
- Kalıcı çerezler (Persistent): Belirli bir süre cihazda kalır.
3.2 Kaynak Bazlı
- Birinci taraf: Ziyaret edilen site oluşturur.
- Üçüncü taraf: Reklam/analiz sağlayıcıları yerleştirir.
3.3 Amaç Bazlı
- Zorunlu çerezler
- İşlevsel çerezler
- Performans çerezleri
- Hedefleme/Reklam çerezleri
4. Hukuki Yükümlülükler
4.1 KVKK Kapsamında
Açık rıza ilkesi gereği; zorunlu olmayan çerezler için etkin ve özgür iradeye dayanan rıza alınmadan kullanım yasal değildir.
4.2 GDPR Kapsamında
- Madde 7: Rıza açık ve belirgin olmalıdır.
- Rıza her zaman geri alınabilir.
- Pre-consent (önceden yerleştirme) yasadışıdır.
5. Etkin Cookie Yönetimi Süreci
5.1 Envanter & Sınıflandırma
Tüm çerezleri tarayıp aşağıdaki bilgilerle envantere alın:
- İsim, süre, kaynak, işlev
- Kişisel veri işleyip işlemediği
5.2 Kullanıcı Arayüzü (Cookie Banner)
- Açık ve sade dil.
- “Ayrıntılı Ayarlar/Tercihleri Özelleştir”.
- Varsayılan yalnız zorunlu çerezler aktif.
5.3 Rıza Kayıtları
- Zaman damgası, IP, rıza türüyle kayıt.
- Opt-out (geri alma) kolaylığı.
6. Çerez Yönetim Platformları (CMP)
Dijital ve sistematik yönetim için CMP kullanımı önerilir. Örnek platformlar:
- Cookiebot · OneTrust · TrustArc · CEREZGO (yerli) · Usercentrics
Sağladıkları: Otomatik tarama · Rıza tercihi yönetimi · Uyumluluk raporları.
7. Teknik Uygulamalar
Tag Manager Entegrasyonu
Çerez/etiket tetiklemeleri, kullanıcı rızası kategorilerine bağlanmalıdır.
Lazy Loading & Önleme
Rıza sonrası yükleme; üçüncü taraf kodların önceden tetiklenmesini engelleyecek yapılandırma.
8. Kullanıcı Deneyimi ve Tasarım
- Şeffaflık ve güven ön planda.
- Mobil uyumlu, erişilebilir, sade banner’lar.
- Sade Türkçe açıklamalar.
- “Tümünü Reddet” butonu, “Tümünü Kabul Et” kadar görünür.
9. Riskler ve Yaptırımlar
KVKK’ya Aykırılık
Veri işleme izni olmadan çerez kullanımı → 371.000 TL’ye kadar idari para cezası.
GDPR’a Aykırılık
20 milyon €’ya kadar veya küresel cironun %4’ü oranında ceza.
10. Sürekli İzleme ve Denetim
Çerez politikası statik değildir; servis/değişiklik olduğunda güncellenmelidir.
- Periyodik çerez taramaları
- Rıza oranlarının analizi
- Politikaların yılda en az 1 kez revizesi
11. Sonuç
Etkin çerez yönetimi; mevzuat uyumunun yanı sıra kullanıcı güveni ve marka itibarını da korur. KVKK/GDPR yükümlülüklerini karşılayan, UX’i gözeten bütünsel yaklaşım esastır.
Ek: Önerilen Dokümantasyon
- Çerez Politikası Metni
- Açık Rıza Metinleri
- Rıza Yönetim Kayıtları
- Teknik Entegrasyon Şeması
- Günlük Çerez Envanteri (Excel/JSON)
