TR EN DE

Çerez Politikaları

Web sitelerinde kullanılan çerezler, kişisel veri işleme faaliyeti niteliğinde olup KVKK kapsamındadır. Bu yazıda çerez türleri, rıza mekanizmaları ve uyumlu bir çerez politikası hazırlama konuları ele alınmaktadır.

Summary in English

Overview

This article examines cookie policies under Turkish Personal Data Protection Law No. 6698 (KVKK). Cookies used on websites constitute personal data processing and fall under KVKK scope.

Key Points

  • Cookie Types: Essential, functional, analytics, and marketing cookies have different consent requirements under KVKK.
  • Consent Mechanisms: Non-essential cookies require explicit opt-in consent through active user action.
  • Cookie Banners: Must provide clear information, equal visibility for accept/reject options, and no pre-checked boxes.
  • Third-Party Cookies: Services like Google Analytics require additional considerations for cross-border data transfers.
  • Documentation: Cookie consent records must be maintained with timestamps and version information.
Full article in Turkish below

Überblick

Dieser Artikel untersucht Cookie-Richtlinien nach dem türkischen Datenschutzgesetz Nr. 6698 (KVKK). Auf Websites verwendete Cookies stellen eine Verarbeitung personenbezogener Daten dar und fallen unter den KVKK-Anwendungsbereich.

Kernpunkte

  • Cookie-Arten: Notwendige, funktionale, Analyse- und Marketing-Cookies haben unterschiedliche Einwilligungsanforderungen nach KVKK.
  • Einwilligungsmechanismen: Nicht-notwendige Cookies erfordern eine ausdrückliche Opt-in-Einwilligung durch aktive Nutzerhandlung.
  • Cookie-Banner: Müssen klare Informationen, gleiche Sichtbarkeit für Akzeptieren/Ablehnen-Optionen und keine vorausgewählten Kontrollkästchen bieten.
  • Drittanbieter-Cookies: Dienste wie Google Analytics erfordern zusätzliche Überlegungen für grenzüberschreitende Datenübertragungen.
  • Dokumentation: Cookie-Einwilligungsnachweise müssen mit Zeitstempeln und Versionsinformationen geführt werden.
Vollständiger Artikel auf Türkisch unten

1. Giriş

Web sitelerinde kullanılan çerezler, dijital pazarlama ve kullanıcı deneyimi açısından kritik araçlar olmakla birlikte, kişisel veri işleme faaliyeti niteliğindedir ve KVKK kapsamına girmektedir. Özellikle e-ticaret ve dijital hizmet sunan işletmeler için çerez yönetimi, hukuki uyumun önemli bir boyutunu oluşturmaktadır.

Karşılaştırmalı Hukuk
AB (GDPR + e-Privacy): Çerezler hem GDPR hem de e-Privacy Direktifi (Cookie Law) kapsamındadır. Zorunlu olmayan çerezler için önceden rıza şarttır. e-Privacy Yönetmeliği (henüz kabul edilmedi) kuralları daha da sıkılaştıracaktır.

ABD: Federal düzeyde kapsamlı çerez yasası yoktur. California CCPA opt-out hakkı verir. Sektörel öz düzenleme yaygındır.

Almanya: Telekom-Datenschutzrecht çerez kuralları içerir. BGH kararları GDPR'ı destekler şekilde yorumlar.

Türkiye: KVKK genel çerçeve sağlar. E-Ticaret Yönetmeliği ticari elektronik ileti kapsamında çerezlere değinir.

2. Çerez Nedir?

Çerezler (cookies), web siteleri tarafından kullanıcıların cihazlarına yerleştirilen küçük metin dosyalarıdır. Bu dosyalar, kullanıcı tercihleri, oturum bilgileri, ziyaret istatistikleri gibi verileri saklar ve sonraki ziyaretlerde kullanılmak üzere muhafaza eder.

Çerez Türleri

Çerez Türü Amaç Rıza Gereksinimi
Zorunlu çerezler Web sitesinin temel işlevleri (oturum, güvenlik) Rıza gerekmez
İşlevsel çerezler Kullanıcı tercihleri (dil, tema) Rıza gerekir
Analitik çerezler Ziyaret istatistikleri, performans ölçümü Rıza gerekir
Pazarlama çerezleri Hedefli reklamcılık, profilleme Rıza gerekir
Üçüncü taraf çerezleri Sosyal medya, reklam ağları Rıza gerekir
KARŞILAŞTIRMALI HUKUK
AB ePrivacy Direktifi ve GDPR
AB'de çerez kullanımı hem ePrivacy Direktifi (2002/58/EC) hem de GDPR kapsamında değerlendirilir. ePrivacy Direktifi, zorunlu çerezler dışındaki tüm çerezler için önceden alınmış açık rıza (opt-in) gerektirir. Türkiye'de benzer bir özel düzenleme bulunmadığından KVKK'nın genel hükümleri uygulanır.

3. KVKK Kapsamında Çerezler

Çerezler aracılığıyla toplanan veriler (IP adresi, tarayıcı bilgileri, ziyaret geçmişi vb.) kişisel veri niteliğinde olup KVKK'ya tabidir. Bu nedenle çerez kullanımı, KVKK'nın temel ilkelerine ve işleme şartlarına uygun olmalıdır.

Çerezlerde Hukuki Dayanak

Çerez Türü Olası Hukuki Dayanak
Zorunlu çerezler Meşru menfaat (m.5/2-f) veya sözleşmenin ifası (m.5/2-c)
İşlevsel çerezler Açık rıza (m.5/1) veya meşru menfaat değerlendirmesi
Analitik çerezler Açık rıza (m.5/1)
Pazarlama çerezleri Açık rıza (m.5/1)
KURUL KARARI
Çerez Banner'ı ve Rıza
Kurul, 2020/966 sayılı kararında, "Sitemizi kullanmaya devam ederek çerez politikamızı kabul etmiş olursunuz" şeklindeki pasif bildirimlerin geçerli açık rıza olmadığını belirlemiştir. Kullanıcının aktif bir eylem (tıklama, seçim yapma) ile rıza vermesi gerekmektedir.

4. Çerez Rıza Mekanizmaları

KVKK uyumlu bir çerez yönetimi için kullanıcılara seçim imkanı sunan bir rıza mekanizması kurulmalıdır.

Rıza Alınması İçin Gereksinimler

Gereksinim Uygulama
Bilgilendirme Hangi çerezlerin, hangi amaçlarla kullanıldığı açıklanmalı
Seçim imkanı Kullanıcı, çerez kategorilerini kabul/reddetebilmeli
Aktif eylem Ön seçili kutucuklar kullanılmamalı (opt-in)
Kolay ret Reddetme, kabul etme kadar kolay olmalı
Tercih değiştirme Kullanıcı tercihlerini sonradan değiştirebilmeli
Kayıt tutma Verilen rızaların kaydı tutulmalı

Çerez Banner Tasarımı

Doğru Uygulama Yanlış Uygulama
"Kabul Et" ve "Ayarlar" butonları eşit görünürlükte "Kabul Et" büyük, "Reddet" gizli veya küçük
Tüm çerez kutucukları başlangıçta seçili değil Tüm çerezler ön seçili (opt-out)
Çerez kategorileri açıkça listeleniyor "Tümünü kabul et" tek seçenek
Rıza verilmeden çerezler yüklenmiyor Banner açılmadan çerezler zaten yüklenmiş
Footer'da "Çerez Ayarları" bağlantısı var Tercih değiştirme imkanı yok
UYGULAMA ÖNERİSİ
Consent Management Platform (CMP)
Çerez rızası yönetimi için hazır CMP çözümleri (Cookiebot, OneTrust, Usercentrics vb.) kullanılabilir. Bu platformlar, çerez taraması, kategorize etme, banner oluşturma ve rıza kaydı tutma işlevlerini otomatize eder. Seçilen platformun KVKK gereksinimlerini karşıladığından emin olunmalıdır.

5. Çerez Politikası İçeriği

Web sitesinde yayınlanacak çerez politikası, kullanıcılara kapsamlı bilgi sunmalıdır.

Politikada Bulunması Gereken Bilgiler

Bölüm İçerik
Çerez tanımı Çerezlerin ne olduğuna dair genel açıklama
Kullanılan çerezler Her çerezin adı, türü, amacı, süresi, sağlayıcısı
Üçüncü taraf çerezleri Üçüncü taraf hizmetler ve bunların çerezleri
Hukuki dayanak Her çerez kategorisi için hukuki dayanak
Rıza yönetimi Nasıl rıza verileceği ve geri alınacağı
Tarayıcı ayarları Tarayıcı üzerinden çerez yönetimi bilgisi
Veri aktarımı Çerez verilerin yurt dışına aktarılması durumu
İletişim Sorular için iletişim bilgileri
Güncelleme tarihi Politikanın son güncellenme tarihi

6. Üçüncü Taraf Çerezleri

Google Analytics, Facebook Pixel, reklam ağları gibi üçüncü taraf hizmetler, kendi çerezlerini kullanıcıların cihazlarına yerleştirir. Bu durumda hem veri sorumlusu (web sitesi sahibi) hem de üçüncü taraflar için ayrı değerlendirme yapılması gerekir.

Üçüncü Taraf Hizmeti Dikkat Edilmesi Gerekenler
Google Analytics IP anonimizasyonu, veri işleme sözleşmesi, rıza öncesi yükleme engelleme
Facebook/Meta Pixel Yurt dışı aktarım, profilleme amaçlı kullanım, açık rıza gereksinimi
Google Ads Remarketing için açık rıza, yurt dışı aktarım
YouTube (embed) Gizlilik modu kullanımı, önizleme gösterimi
Sosyal medya butonları Çerez yüklemeden önce rıza, iki aşamalı tıklama
KURUL KARARI
Google Analytics ve Yurt Dışı Aktarım
Kurul, Google Analytics gibi yurt dışı sunucularda veri işleyen hizmetlerin kullanılmasının KVKK m.9 kapsamında yurt dışına aktarım teşkil ettiğini belirtmiştir. Bu nedenle ya açık rıza alınmalı ya da taahhütname mekanizması kurulmalıdır.

7. Teknik Uygulama

Çerez Yükleme Kontrolü

Rıza alınmadan zorunlu olmayan çerezlerin yüklenmemesi için teknik önlemler alınmalıdır.

Çerez Kayıt Tutma

Verilen rızaların kanıtlanabilmesi için kayıt tutulmalıdır.

Kaydedilmesi Gereken Bilgi Açıklama
Zaman damgası Rızanın verildiği tarih ve saat
Rıza versiyonu Hangi çerez politikası versiyonuna rıza verildiği
Seçimler Hangi çerez kategorilerinin kabul/reddedildiği
Kullanıcı tanımlayıcı Anonim veya benzersiz tanımlayıcı

8. KVKK ve E-Ticaret Mevzuatı

6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili yönetmelikler de çerez kullanımıyla ilgili hükümler içermektedir.

6563 SAYILI KANUN VE ÇEREZLERİN BİLDİRİMİ
E-Ticaret Kanunu'nun 5. maddesi, hizmet sağlayıcıların, elektronik iletişim araçlarıyla veri depolamak veya depolanmış veriye erişmek için alıcıyı önceden bilgilendirmesini ve onay almasını zorunlu kılmaktadır. Bu düzenleme, KVKK ile birlikte değerlendirildiğinde çerezler için hem bilgilendirme hem de rıza gereksinimini güçlendirmektedir.

9. Sonuç

Çerez uyumu, web sitesi işletenleri için KVKK uyumunun önemli bir parçasıdır. Zorunlu çerezler dışındaki tüm çerezler için açık rıza alınması, kullanıcılara şeffaf bilgi sunulması ve tercih değiştirme imkanı tanınması gerekmektedir.

Teknik olarak, rıza alınmadan çerezlerin yüklenmemesi sağlanmalı ve rıza kayıtları tutulmalıdır. Üçüncü taraf hizmetlerin çerezleri konusunda özellikle dikkatli olunmalı ve yurt dışı aktarım boyutu değerlendirilmelidir.

KVKK Makale Serisi 12 / 15
Veri Sorumlusu ve Veri İşleyen Silme ve Anonimleştirme

Bu çalışma yalnızca bilgilendirme amacıyla hazırlanmış olup hukuki tavsiye niteliği taşımaz. Mevzuat ve içtihatlarda meydana gelebilecek değişiklikler nedeniyle içerik zamanla geçerliliğini yitirebilir. İçeriğin somut olaylara uygulanması veya bu içeriğe dayanılarak alınan kararlar nedeniyle doğabilecek sonuçlardan sorumluluk kabul edilmez.