Çerez Politikası Nedir? KVKK, GDPR ve e-Gizlilik Direktifi Kapsamında Uyumlu Çerez Yönetimi

KVKK · Çerez Politikası · GDPR · e-Gizlilik Direktifi · Dijital Uyumluluk

Çerez Politikası Nedir? Çerezler, Açık Rıza ve Uyumlu Çerez Yönetimi

Çerezler (cookies); bir web sitesini ziyaret ettiğinizde tarayıcınız aracılığıyla cihazınıza kaydedilen, genellikle küçük boyutlu tanımlama dosyalarıdır. Çerezler sayesinde ziyaretçi tercihleri hatırlanabilir, oturum yönetimi yapılabilir, site performansı ölçülebilir ve belirli koşullarda kişiselleştirme sağlanabilir. Bu işleme faaliyetleri, çoğu senaryoda kişisel veri işlenmesi sonucunu doğurabildiği için, internet sitesi işletmecileri KVKK kapsamında veri sorumlusu sıfatıyla uyum yükümlülükleri taşır.

Çerez politikası ise, bir internet sitesinde kullanılan çerez türlerini, çerezlerin amaçlarını, saklama sürelerini, üçüncü taraf paylaşımlarını ve kullanıcı tercih yönetimini açıklayan aydınlatıcı bir metindir. Özellikle Türkiye’de KVKK; Avrupa Birliği’nde GDPR ve e-Gizlilik Direktifi (e-Privacy) çerçevesinde çerezlerin yönetimi, “hukuka uygunluk + şeffaflık + tercih kontrolü” yaklaşımıyla ele alınmalıdır.

Çerez Nedir? Uyumlu Çerez Politikası Nasıl Hazırlanır?

İçindekiler 1. Çerez (Cookie) Nedir? Temel Kavramlar 2. Çerez Politikası Nedir ve Neden Gereklidir? 3. KVKK, GDPR ve e-Gizlilik Direktifi Perspektifi 4. Çerez Kategorileri ve Örnek Kullanım Senaryoları 5. Uyum Rehberi: Aydınlatma, Açık Rıza (Opt-in) ve Tercih Yönetimi 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Çerez: Tarayıcı üzerinden cihaza kaydedilen tanımlama dosyasıdır.
Çerez Politikası: Çerezleri, amaçlarını, süreleri ve paylaşımları şeffaf biçimde açıklar.
Uyum: Zorunlu çerezler dışında çoğu çerez için açık rıza (opt-in) ve kolay geri alma gerekir.
Üçüncü taraf: Analiz/reklam çerezlerinde üçüncü taraf aktarımı ve amaçlar ayrıca belirtilmelidir.

Kurumsal ölçekte, çerez yönetimi sadece banner’dan ibaret değil; envanter, saklama süresi, paylaşım ve denetim kurgusudur.

Çerez Envanteri Opt-in Rıza Tercih Yönetimi

Not: Aşağıdaki içerik genel bilgilendirme niteliğindedir. Her web sitesinin çerez seti, altyapısı ve üçüncü taraf entegrasyonları farklı olduğundan, kurumunuza özel çerez envanteri çıkarılması ve buna bağlı çerez metinlerinin uyumlu şekilde kurgulanması önerilir.

1. Çerez (Cookie) Nedir? Temel Kavramlar

Çerez; web tarayıcınız aracılığıyla bir web sayfasına girdiğinizde bilgisayarınıza veya mobil cihazınıza kaydedilen, genellikle küçük boyutlu tanımlama dosyalarıdır. Çerezler; siteyi tekrar ziyaret ettiğinizde sizi “tanıyan” bir referans üretir ve site fonksiyonlarının daha verimli çalışmasına katkı sağlar.

Çerezler Ne İşe Yarar?

Oturum yönetimi: Kullanıcının giriş durumunun korunması, sepetin hatırlanması, güvenlik kontrolleri.
Tercihlerin hatırlanması: Dil, bölge, tema, görüntüleme tercihleri gibi ayarlar.
Analitik/istatistik: Ziyaretçi trafiği, sayfa performansı, kullanıcı davranışları (ölçümleme).
Pazarlama ve reklam: İlgi alanına göre reklam gösterimi, kampanya performansı ölçümü.

Kritik nokta: Çerezlerin bir kısmı doğrudan kimlik tespiti yapmasa bile, cihaz tanımlayıcıları veya çevrimiçi davranış kalıpları üzerinden kişisel veri niteliği doğurabilecek sonuçlar üretir. Bu nedenle “çerez yönetimi”, KVKK uyumunda doğrudan risk alanıdır.

2. Çerez Politikası Nedir ve Neden Gereklidir?

Çerez politikası; internet sitesinde kullanılan çerezlere ilişkin olarak, kullanıcıları bilgilendiren ve çerezlerin kullanımına dair şeffaflık sağlayan metindir. Çerez politikası ile hedeflenen; hangi çerezlerin hangi amaçlarla kullanıldığının, saklama sürelerinin, üçüncü taraf paylaşımlarının ve kullanıcı tercih mekanizmasının açık ve anlaşılır şekilde ortaya konulmasıdır.

Çerez Politikası Kurumsal Olarak Ne Sağlar?

Şeffaflık: Kullanıcının hangi verisinin hangi amaçla işlendiğini anlamasını sağlar.
Rıza yönetimi: Zorunlu olmayan çerezler için açık rıza kurgusunu destekler.
Denetim kolaylığı: Çerez envanteri ve metinler üzerinden iç denetim/uyum kontrolü yapılabilir.
Risk azaltımı: Üçüncü taraf çerezleri ve reklam teknolojilerinde hukuki riskleri düşürür.

Uygulama notu: Çerez politikası tek başına yeterli değildir; “banner/panel” üzerinden tercih yönetimi, loglama ve geri alma (opt-out) akışı ile birlikte tasarlanmalıdır.

3. KVKK, GDPR ve e-Gizlilik Direktifi Perspektifi

KVKK veya ikincil düzenlemelerde çerez politikasını “isim olarak” zorunlu kılan tekil bir hüküm bulunmamakla birlikte, internet siteleri aracılığıyla kişisel veri işlenmesi halinde aydınlatma yükümlülüğü ve (gerekli hallerde) açık rıza gerekliliği devreye girer. Bu nedenle çerez politikası; aydınlatma yükümlülüğünün web ortamında yerine getirildiği temel metinlerden biridir.

GDPR kapsamında da “çerez politikası” tek başına isimlendirilmiş bir zorunluluk olarak düzenlenmemiştir. Ancak Avrupa Birliği’nde çerez yönetimi, GDPR ile birlikte e-Gizlilik Direktifi (e-Privacy) yaklaşımıyla pratikte şekillenmektedir. AB’den erişim sağlanabilen web sitelerinde, özellikle takip/reklam/analitik çerezleri söz konusu olduğunda, kullanıcı bilgilendirmesi ve rıza yönetimi kritik hale gelir.

Uyumun Pratik Sonuçları

Opt-in yaklaşımı: Zorunlu olmayan çerezler varsayılan olarak kapalı olmalı; kullanıcı aktif seçimle onay vermelidir.
Kolay geri alma: Onayın geri alınması, onay verme kadar kolay ve erişilebilir olmalıdır.
Amaçla sınırlılık: “Siteyi iyileştirme” gibi genel ifadeler yerine somut amaçlar (analitik, reklam, kişiselleştirme vb.) belirtilmelidir.
Aktarım şeffaflığı: Üçüncü taraflara aktarım varsa, kimlere ve hangi amaçla paylaşıldığı açıklanmalıdır.

Kurumsal mesaj: Çerez uyumu, yalnızca metin yazımı değil; rızanın alınması, kaydı, yönetimi ve geri alınması süreçlerinin uçtan uca tasarlanmasıdır.

4. Çerez Kategorileri ve Örnek Kullanım Senaryoları

Çerezler; amaçlarına göre sınıflandırılarak kullanıcıya açık biçimde sunulmalıdır. Bu sınıflandırma, hem anlaşılabilirlik sağlar hem de rıza yönetimini operasyonel hale getirir.

Çerez Kategorisi	Tipik Amaç	Örnek Kullanım
Zorunlu Çerezler	Sitenin temel fonksiyonlarının çalışması	Oturum yönetimi, güvenlik, sepet işlemleri
İşlevsellik Çerezleri	Tercihlerin hatırlanması	Dil/ülke seçimi, tema tercihleri
Analitik / İstatistik Çerezleri	Performans ölçümü ve kullanıcı davranışı analizi	Google Analytics, Yandex Metrica benzeri ölçümleme
Pazarlama / Reklam Çerezleri	Kişiselleştirilmiş reklam ve kampanya ölçümü	Reklam gösterimi, dönüşüm ölçümü, yeniden hedefleme

Üçüncü Taraf Çerezleri Neden Ayrı Ele Alınır?

Analitik ve reklam çerezleri çoğu zaman üçüncü taraf servis sağlayıcılar (ör. reklam ağları/ölçümleme platformları) ile veri paylaşımı doğurur. Bu durumda; hangi çerezlerle hangi veri setlerine erişildiği, kimlere aktarıldığı ve paylaşım amaçları çerez politikasında şeffaf şekilde açıklanmalı; gerekli hallerde kullanıcıdan açık rıza alınmalıdır.

Örnek senaryo: Reklamların kişiselleştirilmesi amacıyla kullanılan üçüncü taraf çerezleri, kullanıcı davranışlarını profilleyebileceğinden “tercihe bağlı” kategoride ele alınmalı ve varsayılan olarak kapalı kurgulanmalıdır.

5. Uyum Rehberi: Aydınlatma, Açık Rıza (Opt-in) ve Tercih Yönetimi

Uyumlu bir çerez politikasının temel amacı; kullanıcıya açık, anlaşılır ve yönetilebilir bir tercih deneyimi sunmaktır. Bu kapsamda çerez politikası, aşağıdaki başlıklarda netlik sağlamalıdır:

1. Çerez Envanteri ve Amaçların Netleştirilmesi

Web sitesinde kullanılan çerezlerin adı, sağlayıcısı, amacı ve kategorisi açıkça belirtilmelidir.
“İstatistik” veya “pazarlama” gibi genel başlıklar yanında, somut kullanım açıklaması verilmelidir (örn. “site trafiğini ölçmek”, “kampanya performansını analiz etmek”).

2. İşlenen Veri Türleri ve Saklama Süreleri

Çerezler vasıtasıyla erişilebilecek veri türleri (örn. cihaz tanımlayıcı, IP benzeri çevrimiçi tanımlayıcılar, tercih bilgileri, davranışsal veriler) açıklanmalıdır.
Her çerez için saklama süresi veya kalıcılık bilgisi (oturum çerezi/kalıcı çerez) şeffaf biçimde sunulmalıdır.

3. Zorunlu ve Tercihe Bağlı Çerez Ayrımı

Zorunlu çerezler siteyi çalışır halde tutan çerezlerdir; bu çerezler olmadan hizmet sunumu sekteye uğrayabilir.
Analiz, istatistik, kişiselleştirme, pazarlama gibi çerezler çoğu durumda tercihe bağlı kurgulanmalı ve kullanıcı seçimine bırakılmalıdır.

4. Açık Rıza ve “Opt-in” Kurgusu

Zorunlu olmayan çerezlerde seçimler varsayılan olarak seçili gelmemelidir.
Kullanıcı, kategorileri aktif bir eylemle seçerek rıza vermelidir (opt-in).
“Siteyi kullanmaya devam ederek kabul etmiş sayılırsınız” gibi yaklaşımlar, açık rıza standardı ile uyumsuz risk üretir.

5. Rızanın Geri Alınması (Opt-out) ve Erişilebilirlik

Kullanıcı, verdiği onayı istediği zaman geri alabilmeli; geri alma süreci onay verme kadar kolay olmalıdır.
Web sitesinde kalıcı bir “Çerez Tercihlerini Değiştir” bağlantısı ile panele tekrar erişim sağlanmalıdır.

6. Üçüncü Taraf Paylaşımları ve Aktarım Şeffaflığı

Üçüncü taraf çerezleri kullanılıyorsa; alıcı grupları, aktarım amaçları ve ilgili çerezlerin bu aktarımı nasıl tetiklediği açıklanmalıdır.
Reklam/pazarlama çerezlerinde kullanıcıdan açık rıza alınmadan etkinleştirme yapılmamalıdır.

Çerez politikası KVKK çerez uyumu GDPR opt-in e-Gizlilik Direktifi Çerez envanteri Üçüncü taraf çerezler

Uygulama önerisi: Kurumsal uyum için asgari paket; (1) çerez envanteri çıkarımı, (2) çerez banner/panel tasarımı (opt-in), (3) çerez politikası + aydınlatma metni entegrasyonu, (4) rıza kayıtlarının saklanması ve raporlanması, (5) düzenli periyodik kontrol şeklinde kurgulanmalıdır.

6. Sık Sorulan Sorular (SSS)

Çerez politikası tek başına KVKK uyumu sağlar mı?

Hayır. Çerez politikası şeffaflığı sağlar; ancak zorunlu olmayan çerezler için tercih yönetimi (banner/panel), açık rıza (opt-in) ve rızanın geri alınması (opt-out) süreçleri de işletilmelidir.

Zorunlu çerezler için açık rıza almak şart mı?

Zorunlu çerezler, sitenin temel fonksiyonları için gerekli olduğundan uygulamada çoğu senaryoda tercih dışı yürütülür; ancak kullanıcı yine de bu çerezlerin varlığı konusunda bilgilendirilmelidir.

Analitik çerezler (örn. ölçümleme) mutlaka rıza gerektirir mi?

Analitik çerezler çoğu durumda tercihe bağlı kategoride değerlendirilir. Kurumsal risk yönetimi açısından, kullanıcıya açık tercih sunulması ve varsayılan kapalı (opt-in) kurgulanması önerilir.

“Kabul et” butonu kadar kolay bir “reddet” seçeneği olmalı mı?

Evet. Kullanıcıya seçim özgürlüğü tanınmalı; reddetme veya onayı geri alma, onay verme kadar kolay ve erişilebilir olmalıdır.

Üçüncü taraf çerezlerde hangi bilgiler metinde yer almalı?

Kullanılan çerezlerin sağlayıcısı, aktarımın kimlere yapılacağı (alıcı grubu), aktarım amacı ve saklama süresi net şekilde belirtilmeli; gerekli hallerde açık rıza alınmalıdır.

Çerez envanteri neden kritik?

Metinlerin doğruluğu, kullanılan çerez seti ile birebir uyumlu olmalıdır. Envanter; hangi çerezlerin çalıştığını, hangi amaçla kullanıldığını, saklama süresini ve üçüncü taraf paylaşımlarını doğrulamak için temel kaynaktır.