Mobil Uygulamalarda SDK Rıza Yönetimi: Cerezgo ile Web’den Mobile Uçtan Uca Uyum
Mobil uygulamalarda çerez yoksa risk de yok mu?
Mobil uygulamalarda klasik anlamda web çerezi bulunmayabilir. Ancak bu, mobil uygulamalarda kullanıcı takibi, davranış analitiği, reklam hedefleme veya üçüncü taraf veri aktarımı olmadığı anlamına gelmez.
Bugün birçok mobil uygulama; analitik, reklam, attribution, crash reporting, push notification, session recording, kullanıcı deneyimi analizi ve pazarlama otomasyonu için üçüncü taraf SDK’lar kullanıyor. Firebase, Meta SDK, AppsFlyer, Adjust, Branch, OneSignal, AdMob, Mixpanel, Amplitude, Crashlytics, Sentry ve benzeri araçlar çoğu zaman uygulama açılır açılmaz devreye giriyor.
Sorun da burada başlıyor.
Kullanıcı henüz herhangi bir tercih belirtmeden SDK’lar initialize oluyor, cihaz bilgileri okunuyor, Advertising ID veya benzeri tanımlayıcılar işleniyor, event’ler gönderiliyor ve bazı durumlarda üçüncü taraf platformlara veri aktarımı başlıyor. Bu nedenle mobil uygulamalarda “çerez yok” yaklaşımı, veri koruma uyumu açısından eksik ve riskli bir değerlendirme olarak kalıyor.
KVKK perspektifinden mesele çerezin teknik formatı değil; kişisel verinin hangi amaçla, hangi hukuki sebebe dayanılarak, kimlerle paylaşılarak ve kullanıcıya ne kadar kontrol alanı tanınarak işlendiğidir. KVKK’nın mobil uygulamalara yönelik tavsiyeleri de mobil uygulamalarda işlenen veriler, uygulama aktörleri, veri sorumlusu/veri işleyen rolleri ve kullanıcıya kontrol imkânı sağlanması başlıklarını ayrıca ele alıyor.
Cerezgo Mobil SDK Rıza Yönetimi Nedir?
Cerezgo Mobil SDK Rıza Yönetimi, mobil uygulamalarda kullanılan üçüncü taraf SDK’ların kullanıcı rızasına göre kontrol edilmesini sağlayan bir rıza yönetimi altyapısıdır.
Web sitelerinde çerezler için kurulan rıza yönetimi mantığı, mobil uygulama tarafında SDK’lara uyarlanır. Kullanıcı uygulamayı açtığında, Cerezgo rıza ekranı üzerinden hangi amaç kategorilerine izin verip vermediğini belirler. Analitik, reklam, attribution, tercih, push veya benzeri kategoriler için verilen kararlar kayıt altına alınır ve yalnızca izin verilen kategorilerdeki SDK’lar çalıştırılır.
Cerezgo’nun yayınlanmış ürün sayfasında çözüm; “web’de çerezleri nasıl yönetiyorsanız, mobilde SDK’ları da aynı şekilde kontrol edin” yaklaşımıyla konumlandırılıyor. Ürün sayfasına göre Cerezgo Mobil; SDK’ların rıza alınana kadar bloklanmasını, her SDK’nın amaç bazında kontrol edilmesini, “reddet” kararının teknik olarak uygulanmasını, rıza geri alımının anında devreye alınmasını ve web + mobil rıza yönetiminin tek platformdan yürütülmesini hedefliyor.
Neden Sadece Rıza Popup’ı Yeterli Değil?
Mobil uygulamalarda en sık karşılaşılan uyum problemi, kullanıcıya bir rıza ekranı gösterilmesine rağmen SDK’ların teknik olarak çoktan çalışmaya başlamış olmasıdır.
Bu durumda kullanıcı “reddet” dese bile:
- SDK daha önce initialize olmuş olabilir,
- cihaz bilgileri üçüncü tarafa gönderilmiş olabilir,
- Advertising ID veya benzeri tanımlayıcılar işlenmiş olabilir,
- ilk açılış event’i veya install event’i attribution platformuna gitmiş olabilir,
- rıza tercihi yalnızca görsel bir kayıt olarak kalmış olabilir.
Bu tablo, denetim anında “rıza aldık” savunmasını zayıflatır. Çünkü geçerli rıza sadece metin göstermekle değil, tercihin teknik olarak uygulanmasıyla anlam kazanır.
KVKK’nın mobil uygulamalar üzerinden anlık bildirimlere ilişkin kamuoyu duyurusunda da benzer bir mimari yaklaşım dikkat çekiyor. Kurum, mobil uygulama mimarisinin hukuki gereklilikleri destekleyecek şekilde yapılandırılması gerektiğini; kullanıcıya bildirim türleri bakımından tercih yönetimi imkânı verilmemesinin, kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik teknik ve idari tedbir yükümlülüğüyle ilişkilendirilebileceğini belirtiyor. Bu yaklaşım SDK rıza yönetimi için de güçlü bir uyum referansı oluşturuyor.
Cerezgo Bu Problemi Nasıl Çözer?
1. SDK’lar rıza öncesinde bloklanır
Cerezgo Mobil SDK, uygulama açıldığında üçüncü taraf SDK’ların kontrolsüz şekilde çalışmasını engelleyecek bir rıza yönetimi katmanı oluşturur. Ürün sayfasında Cerezgo’nun SDK yaşam döngüsüne müdahale ederek sadece kullanıcının izin verdiği SDK’ları aktif hale getirdiği belirtiliyor.
Bu yapı, mobil uygulamalarda en kritik uyum ihtiyacını karşılar: non-essential SDK’lar rıza alınmadan çalışmamalıdır.
2. Her SDK amaç kategorisine atanır
Cerezgo’da SDK’lar kullanım amaçlarına göre kategorize edilir. Örneğin:
- Analitik SDK’lar,
- reklam ve hedefleme SDK’ları,
- attribution SDK’ları,
- crash ve hata izleme SDK’ları,
- push ve mesajlaşma SDK’ları,
- session recording ve UX analiz SDK’ları,
- özel veya kurum içi SDK’lar.
Nesil Teknoloji’nin Cerezgo Mobil ürün sayfasında; analitik, reklam, attribution, crash & hata, push & mesajlaşma, session & UX ve özel SDK entegrasyonu gibi kategoriler altında çok sayıda SDK’nın desteklendiği belirtiliyor. Listede olmayan veya kurum içi geliştirilen SDK’ların da basit bir API ile rıza yönetim sistemine dahil edilebildiği ifade ediliyor.
3. Kullanıcıya kategori bazlı tercih ekranı sunulur
Cerezgo Mobil SDK, web banner mantığına benzer şekilde mobil uygulama içinde kategori bazlı rıza ekranı gösterir. Kullanıcı analitik, pazarlama veya tercih gibi kategoriler için ayrı ayrı karar verebilir.
Bu ayrıştırma önemli; çünkü KVKK bakımından farklı amaçların tek bir genel onaya bağlanması sağlıklı değildir. Reklam, analitik, kişiselleştirme, push bildirim ve attribution gibi faaliyetler ayrı amaçlara hizmet eder. Bu nedenle rıza deneyimi de amaç bazlı tasarlanmalıdır.
4. Rıza kararları kayıt altına alınır
Cerezgo Mobil çözümünde rıza kararları yalnızca cihaz üzerinde değil, merkezi panelde de takip edilebilir. Kullanım kılavuzuna göre kullanıcı kararları cihazda güvenli biçimde depolanır ve Cerezgo merkezi sunucusuna zaman damgasıyla iletilir; rıza geri çekildiğinde veya değiştirildiğinde güncelleme anında kaydedilir.
Yayınlanmış ürün sayfasında da her rıza işleminin kanıtlanabilir şekilde kayıt altına alındığı; rıza verilen amaç ve kategoriler, gösterilen aydınlatma metni versiyonu, kullanıcının seçtiği opsiyonlar, değişiklik ve geri alım geçmişi gibi unsurların tutulduğu belirtiliyor.
5. Rıza geri alındığında SDK davranışı güncellenir
Geçerli rıza yönetiminde yalnızca ilk onay anı değil, rızanın geri alınması da önemlidir. Cerezgo ürün sayfasında, rıza geri alımının anında uygulandığı ve SDK durumunun gerçek zamanlı yönetildiği ifade ediliyor.
Bu özellik, denetim savunusu açısından kritik değer taşır. Çünkü kullanıcı rızasını geri çektiğinde sadece panelde tercih güncellemek yeterli değildir; ilgili SDK’nın veri işleme faaliyeti de teknik olarak durdurulmalıdır.
Cerezgo Mobil SDK’nın Öne Çıkan Özellikleri
Teknik seviyede rıza kontrolü
Cerezgo’nun temel farkı, rıza yönetimini yalnızca bilgilendirme ekranı seviyesinde bırakmamasıdır. SDK’ların yaşam döngüsüne müdahale ederek hangi SDK’nın hangi koşulda çalışacağını kullanıcı tercihine bağlar.
Bu, özellikle reklam, attribution ve davranışsal analitik SDK’larında önemli bir ayrışma yaratır.
Web ve mobil tek panelden yönetim
Cerezgo halihazırda web çerez yönetimi yapan kurumlara mobil uygulama tarafını aynı platform mantığıyla genişletme imkânı verir. Ürün sayfasında web’de tanımlanan rıza amaçlarının mobil uygulamada da kullanılabildiği, aydınlatma metinlerinin kanallar arasında tutarlı yönetilebildiği ve web + mobil rıza oranlarının tek dashboard üzerinden analiz edilebildiği belirtiliyor.
Bu yapı, çok kanallı müşteri deneyimi olan kurumlar için önemli bir operasyonel avantaj sağlar.
iOS ve Android native destek
Cerezgo ana web sitesinde mobil uygulamalar için native SDK çözümünden bahsediliyor; iOS ve Android uygulamalarda kullanıcı rızalarının yönetilebildiği, cross-platform destek, özelleştirilebilir arayüz ve kolay entegrasyon özellikleri öne çıkarılıyor.
Cerezgo Mobil ürün sayfasında ayrıca iOS tarafında App Tracking Transparency ile koordineli çalışma, IDFA kontrolü ve App Store gizlilik etiketleri için destek; Android tarafında Google Play Data Safety, Advertising ID kontrolü ve Android izinleriyle koordinasyon başlıkları yer alıyor.
React Native, Flutter ve özel SDK desteği
Cerezgo Mobil ürün sayfasında iOS Native, Android Native, React Native ve Flutter desteği öne çıkarılıyor. Ayrıca özel SDK entegrasyonu ile listede olmayan veya kurum içinde geliştirilen SDK’ların da amaç kategorilerine atanarak rıza yönetim sistemine dahil edilebildiği belirtiliyor.
Denetim izi ve kanıtlanabilirlik
KVKK denetimlerinde “rıza alındı” demek tek başına yeterli değildir. Hangi kullanıcıya, hangi metinle, hangi tarihte, hangi amaçlar için, hangi uygulama versiyonunda ve hangi teknik ortamda rıza ekranı gösterildiği ispatlanabilir olmalıdır.
Cerezgo ürün sayfasında; UTC zaman damgası, işlem tipi, ilişkili SDK ve amaç bilgisi, hash doğrulama, uygulama ve SDK versiyonları, işletim sistemi ve cihaz bilgisi gibi teknik bağlam kayıtlarının tutulduğu belirtiliyor.
KVKK Açısından Neden Kritik?
Mobil SDK’lar çoğu zaman kişisel veri işleme faaliyeti doğurur. IP adresi, cihaz bilgisi, reklam tanımlayıcısı, uygulama içi davranış, lokasyon, push token, crash log veya attribution event’i gibi veriler doğrudan veya dolaylı olarak kullanıcıyla ilişkilendirilebilir.
KVKK Kurulu’nun mobil uygulama üzerinden tanıtım iletisi gönderilmesine ilişkin 2021/361 sayılı kararında; Kanun’un m.4 genel ilkeleri, m.5 kişisel veri işleme şartları ve m.12 teknik/idari tedbir yükümlülüğü birlikte değerlendirilmiştir. Kararda, açık rıza alınmaksızın mobil uygulama üzerinden tanıtım iletisi gönderilmesi hukuka aykırı kişisel veri işleme faaliyeti olarak ele alınmıştır.
Bu kararın SDK rıza yönetimi açısından mesajı nettir: Mobil uygulama içinde pazarlama, reklam, hedefleme veya kullanıcı tercihine bağlı veri işleme süreçleri teknik olarak kontrol edilebilir şekilde tasarlanmalıdır.
Cerezgo ile Kurumsal Kazanımlar
Uyum ekipleri için
Cerezgo Mobil SDK, web ve mobil rıza yönetimini tek çatı altında konsolide ederek KVKK, GDPR ve ePrivacy perspektifinde daha yönetilebilir bir yapı sunar. Hukuk ve uyum ekipleri; aydınlatma metinlerini, rıza amaçlarını, kategori açıklamalarını ve rıza kayıtlarını merkezi olarak takip edebilir.
Teknik ekipler için
Geliştirici ekipler açısından Cerezgo, SDK’ların hangi rıza durumunda çalışacağını merkezi politikaya bağlar. Böylece her SDK için ayrı ayrı manuel rıza kontrolü tasarlamak yerine, amaç bazlı ve sürdürülebilir bir entegrasyon modeli oluşturulur.
Pazarlama ekipleri için
Pazarlama ve büyüme ekipleri için en kritik konu, reklam ve attribution faaliyetlerini hukuki zeminde sürdürebilmektir. Cerezgo, kullanıcı tercihlerini dikkate alan, kayıt altına alınabilir ve güncellenebilir bir rıza mimarisiyle reklam teknolojilerinin daha güvenli kullanılmasına katkı sağlar.
Yönetim ekipleri için
Cerezgo, mobil uygulama kaynaklı veri koruma risklerini ölçülebilir ve raporlanabilir hale getirir. Rıza oranları, ret oranları, kategori bazlı tercihler, uygulama versiyonu kırılımları ve denetim kayıtları yönetim seviyesinde izlenebilir.

