Güvenlik··11 dk okuma

Çerez (Cookie) Yönetimi ve Yasal Uyumluluk

Çerez yönetimi rehberi: cookie türleri, açık rıza, çerez politikası hazırlama ve KVKK ile GDPR uyumlu bir consent altyapısı kurmanın pratik yolları.

Bir web sitesi açtığınızda karşınıza çıkan "Çerezleri kabul ediyor musunuz?" kutucuğu artık internetin standart bir parçası. Ancak bu küçük bildirim penceresinin arkasında, hem teknik hem de hukuki açıdan oldukça katmanlı bir dünya yatıyor. Doğru kurgulanmamış bir çerez yönetimi altyapısı, kullanıcı güvenini zedelemekle kalmaz; aynı zamanda ciddi yaptırımlara, veri ihlallerine ve marka itibarının zarar görmesine yol açabilir. Site sahipleri için çerezler artık göz ardı edilebilecek bir teknik detay değil, doğrudan yasal sorumluluk doğuran bir konu.

Çerezler, kullanıcı deneyimini iyileştirmekten reklam hedeflemeye, oturum yönetiminden istatistiksel analize kadar pek çok amaçla kullanılır. Fakat aynı çerezler, kişisel verilerin işlenmesi anlamına geldiği için hem ulusal hem de uluslararası mevzuatın kapsamına girer. Türkiye'de KVKK, Avrupa Birliği'nde GDPR ve ePrivacy düzenlemeleri, çerezlerin nasıl kullanılacağına dair net kurallar koyar. Bu yazıda, çerezlerin teknik temellerinden başlayıp doğru bir çerez politikası oluşturmaya ve uyumlu bir cookie consent (rıza) mekanizması kurmaya kadar her adımı pratik bir şekilde ele alacağız.

Amacımız size hem "ne yapmalısınız" hem de "neden yapmalısınız" sorularının cevaplarını vermek. İster küçük bir kurumsal site işletin, ister yüksek trafikli bir e-ticaret platformu yönetin, burada anlatılan ilkeler doğrudan uygulanabilir niteliktedir. Hadi temellerden başlayalım.

Çerez Nedir ve Nasıl Çalışır?

Çerez (cookie), bir web sitesini ziyaret ettiğinizde tarayıcınıza kaydedilen küçük metin dosyalarıdır. Bu dosyalar, sitenin sizi tekrar tanıması, tercihlerinizi hatırlaması veya davranışlarınızı analiz etmesi için kullanılır. Teknik olarak bir çerez, isim-değer çiftlerinden oluşur ve genellikle bir son kullanma tarihi, alan adı (domain) ve güvenlik bayrakları gibi ek bilgiler taşır.

Bir kullanıcı siteye girdiğinde sunucu, tarayıcıya Set-Cookie başlığı gönderir. Tarayıcı bu çerezi saklar ve aynı siteye yapılan sonraki isteklerde otomatik olarak geri gönderir. Bu mekanizma sayesinde HTTP gibi durumsuz (stateless) bir protokol üzerinde oturum bilgisi korunabilir. Örneğin alışveriş sepetinizin dolu kalması veya bir kez giriş yaptıktan sonra her sayfada yeniden parola sormaması, çerezler sayesinde gerçekleşir.

Çerezlerin teknik olarak nasıl çalıştığını anlamak, onları yönetmenin de ilk adımıdır. Çünkü hangi çerezin ne amaçla, ne kadar süreyle ve hangi tarafça oluşturulduğunu bilmeden doğru bir rıza akışı kurmak mümkün değildir.

Birinci Taraf ve Üçüncü Taraf Çerezler

Çerezler kaynaklarına göre ikiye ayrılır. Birinci taraf çerezler, doğrudan ziyaret ettiğiniz alan adı tarafından oluşturulur. Bunlar genellikle oturum yönetimi, dil tercihi veya tema seçimi gibi temel işlevler için kullanılır ve görece düşük gizlilik riski taşır.

Üçüncü taraf çerezler ise siteye gömülü harici kaynaklar (reklam ağları, analiz araçları, sosyal medya butonları) tarafından oluşturulur. Bu çerezler, kullanıcının birden fazla site arasındaki davranışını takip edebildiği için gizlilik açısından çok daha hassastır. Modern tarayıcılar, gizliliği güçlendirmek amacıyla üçüncü taraf çerezleri giderek daha fazla kısıtlamakta veya tamamen engellemektedir. Bu nedenle reklam ve takip stratejilerinizi yalnızca üçüncü taraf çerezlere dayandırmak orta vadede sürdürülebilir bir yaklaşım değildir.

Çerez Türleri ve Sınıflandırma

Sağlıklı bir cookie yönetimi için çerezleri amaçlarına göre sınıflandırmak şarttır. Yasal düzenlemeler, farklı çerez kategorilerine farklı rıza gereksinimleri uygular. Genel kabul gören sınıflandırma şu şekildedir:

  • Zorunlu (kesinlikle gerekli) çerezler: Sitenin temel işlevlerini yerine getirmesi için vazgeçilmez olan çerezlerdir. Oturum açma, güvenlik doğrulaması, sepet işlemleri bu gruba girer. Bunlar için genellikle açık rıza gerekmez, ancak bilgilendirme yapılması beklenir.
  • İşlevsel (tercih) çerezleri: Dil seçimi, bölge, yazı tipi boyutu gibi kullanıcı tercihlerini hatırlayan çerezlerdir. Deneyimi iyileştirir ancak zorunlu değildir.
  • Performans ve analitik çerezler: Ziyaretçilerin siteyi nasıl kullandığını ölçen, hangi sayfaların popüler olduğunu gösteren çerezlerdir. Bu çerezler için kullanıcının önceden onayı gerekir.
  • Hedefleme ve reklam çerezleri: Kullanıcı davranışına göre kişiselleştirilmiş reklam sunmak için kullanılan, en yüksek gizlilik riski taşıyan çerezlerdir. Bunlar açık ve özgür iradeyle verilmiş rıza olmadan çalıştırılamaz.

Bu sınıflandırmayı çerez politikası belgenizde net biçimde tablolaştırmanız hem şeffaflık sağlar hem de denetim anında size güçlü bir savunma sunar.

Oturum Çerezleri ve Kalıcı Çerezler

Çerezleri yaşam sürelerine göre de ayırabiliriz. Oturum çerezleri yalnızca tarayıcı açık kaldığı sürece var olur ve siz tarayıcıyı kapattığınızda silinir. Kalıcı çerezler ise belirli bir son kullanma tarihine kadar cihazınızda kalır; bu süre birkaç dakikadan birkaç yıla kadar değişebilir. Veri minimizasyonu ilkesi gereği, kalıcı çerezlerin son kullanma süresini gerçekten ihtiyacınız olan en kısa süreyle sınırlamanız önerilir.

Çerezlere İlişkin Yasal Çerçeve

Çerez yönetiminin teknik kısmı kadar hukuki boyutu da kritiktir. Türkiye ve dünyada çerez kullanımını düzenleyen birden fazla mevzuat bulunur ve bu düzenlemelerin ortak paydası kullanıcıyı korumak, şeffaflığı sağlamak ve veri işlemeyi rızaya bağlamaktır.

KVKK ve Türkiye'deki Durum

Türkiye'de kişisel verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenir. Çerezler, kullanıcının kimliğini doğrudan veya dolaylı olarak belirlenebilir hale getirdiğinde kişisel veri olarak kabul edilir. Bu durumda KVKK'nın temel ilkeleri devreye girer: verilerin hukuka uygun işlenmesi, belirli ve meşru amaçlarla sınırlı tutulması, gerektiği kadar saklanması ve kullanıcının aydınlatılması.

İlgili kurumun yayımladığı rehberler, zorunlu olmayan çerezler için kullanıcıdan açık rıza alınması gerektiğini vurgular. Yani analitik ve reklam çerezlerini, kullanıcı henüz onay vermeden çalıştıramazsınız. Aydınlatma yükümlülüğü kapsamında ise kullanıcıya hangi verilerin, hangi amaçla işlendiğini açık ve anlaşılır bir dille bildirmeniz gerekir.

GDPR ve ePrivacy Düzenlemeleri

Avrupa Birliği vatandaşlarına hizmet veren veya AB'den ziyaretçi alan sitelerin GDPR (Genel Veri Koruma Tüzüğü) ve ePrivacy direktiflerine uyması gerekir. GDPR, rızanın "özgür iradeyle verilmiş, belirli, bilgilendirilmiş ve açık" olmasını şart koşar. Bu, önceden işaretlenmiş onay kutucuklarının veya "siteyi kullanmaya devam ederek kabul etmiş sayılırsınız" tarzı pasif onayların geçersiz olduğu anlamına gelir.

Bir noktayı vurgulamak gerekir: coğrafi konumunuz ne olursa olsun, eğer AB'den ziyaretçi alıyorsanız bu düzenlemeler sizi de bağlar. İnternetin sınır tanımayan yapısı, çoğu site için en sıkı standarda göre hareket etmeyi en güvenli yaklaşım haline getirir.

Düzenlemelerin Karşılaştırması

Özellik KVKK (Türkiye) GDPR (Avrupa Birliği)
Rıza temeli Açık rıza (zorunlu olmayan çerezler) Açık, özgür ve bilgilendirilmiş rıza
Önceden işaretli kutu Geçersiz Geçersiz
Rızanın geri alınması Mümkün olmalı Vermek kadar kolay olmalı
Aydınlatma yükümlülüğü Var Var
Kapsam Türkiye'deki veri işleme AB sakinlerinin verileri (coğrafyadan bağımsız)

Bu tablo, iki düzenlemenin temelde benzer ilkelere dayandığını gösteriyor. Pratikte en sıkı gerekliliklere göre tasarlanmış bir consent sistemi, çoğu durumda her iki çerçeveyle de uyumlu olacaktır.

Cookie Consent Mekanizması Nasıl Kurulur?

Cookie consent, yani çerez rıza mekanizması, kullanıcıdan hangi çerez kategorilerine izin verdiğini açık biçimde sormanın ve bu tercihi kaydetmenin yoludur. İyi tasarlanmış bir rıza akışı, hem yasal uyumluluğu sağlar hem de kullanıcı deneyimini bozmaz.

Etkili bir cookie consent çözümü şu özelliklere sahip olmalıdır:

  1. Açık ve dengeli seçenekler: "Kabul Et" butonu kadar görünür ve erişilebilir bir "Reddet" seçeneği sunulmalı. Reddetmeyi zorlaştırmak (dark pattern) hem etik dışıdır hem de yasalara aykırıdır.
  2. Kategori bazlı tercih: Kullanıcı, analitik çerezlere izin verirken reklam çerezlerini reddedebilmeli. Tek bir "hepsini kabul et" düğmesi tek başına yeterli değildir.
  3. Önceden engelleme: Kullanıcı onay vermeden zorunlu olmayan hiçbir çerez veya takip betiği yüklenmemeli. Bu, en sık atlanan ama en kritik kurallardan biridir.
  4. Rızanın kaydı: Kullanıcının verdiği onay, zaman damgasıyla birlikte kanıt olarak saklanmalı. Denetim durumunda bu kayıtlar size dayanak oluşturur.
  5. Kolay geri alma: Kullanıcı, daha önce verdiği onayı dilediği an aynı kolaylıkla geri çekebilmeli. Genellikle sayfa altında sabit bir "Çerez Tercihleri" bağlantısı bunun için idealdir.

Çerez Betiklerini Onaya Göre Yükleme

Teknik açıdan en önemli nokta, üçüncü taraf betiklerinin koşullu yüklenmesidir. Geliştirme aşamasında analitik ve reklam betiklerini doğrudan sayfaya gömmek yerine, bunları yalnızca ilgili kategoriye onay verildikten sonra çalıştıran bir yapı kurmalısınız. Modern consent yönetim platformları (CMP) bu işi kolaylaştırır; betikleri type="text/plain" gibi nötr bir tipe alıp, onay sonrası etkinleştiren yaklaşımlar yaygındır. Kendi çözümünüzü geliştiriyorsanız, betik yükleyicilerinizi onay durumunu kontrol eden bir kapı arkasına almanız gerekir.

Çerez Politikası Belgesi Nasıl Hazırlanır?

Çerez politikası, sitenizin hangi çerezleri kullandığını, bunların amaçlarını ve kullanıcının haklarını açıklayan resmi bir belgedir. Gizlilik politikasından ayrı veya onun içinde bir bölüm olarak yer alabilir. İyi bir çerez politikası, hukuki bir zorunluluk olmanın ötesinde, kullanıcıya saygı duyduğunuzu gösteren bir şeffaflık aracıdır.

Kapsamlı bir çerez politikası şu unsurları içermelidir:

  • Çerezin tanımı ve sitenizin neden çerez kullandığı
  • Kullanılan çerezlerin tam listesi: adı, sağlayıcısı, amacı, türü ve saklama süresi
  • Birinci taraf ve üçüncü taraf çerezlerin ayrımı
  • Kullanıcının çerezleri nasıl yönetebileceği ve reddedebileceği
  • Tarayıcı ayarları üzerinden çerez silme veya engelleme rehberi
  • Veri sorumlusunun iletişim bilgileri ve kullanıcı hakları
  • Politikanın güncellenme tarihi ve değişiklik bildirimi

Çerez listesini güncel tutmak kolay görünse de pratikte zorlayıcıdır. Sitenize eklenen her yeni araç, yeni çerezler getirebilir. Bu nedenle düzenli aralıklarla bir çerez taraması (cookie audit) yapmanız önerilir.

Düzenli Çerez Denetimi

Çerez denetimi, sitenizde gerçekte hangi çerezlerin çalıştığını tespit etme sürecidir. Tarayıcının geliştirici araçlarındaki "Application" sekmesi veya özel tarama araçları bu iş için kullanılabilir. Denetim sırasında beklenmedik üçüncü taraf çerezleri keşfetmek oldukça yaygındır; özellikle gömülü video, harita veya sosyal paylaşım bileşenleri sessizce çerez ekleyebilir. Bu çerezleri tespit edip politikanıza eklemek ve onay akışına dahil etmek, uyumluluğun sürekliliği açısından kritiktir.

Sık Yapılan Hatalar ve Kaçınma Yolları

Çerez yönetiminde teorik bilgi ile pratik uygulama arasında çoğu zaman bir uçurum oluşur. Aşağıdaki hatalar, denetimlerde en sık karşılaşılan ve en kolay önlenebilen sorunlardır.

İlk ve en yaygın hata, çerezleri onaydan önce yüklemektir. Pek çok site, görünürde şık bir consent banner'ı sunarken arka planda analitik ve reklam betiklerini kullanıcı tıklamadan çoktan çalıştırmış olur. Bu, banner'ı dekoratif bir süs haline getirir ve hukuki açıdan hiçbir koruma sağlamaz.

İkinci hata, reddetme seçeneğini gizlemek veya zorlaştırmaktır. Büyük ve renkli bir "Hepsini Kabul Et" butonunun yanında, soluk ve küçük bir "Ayarlar" bağlantısı koymak manipülatif kabul edilir. Rıza, baskı altında değil özgür iradeyle verilmelidir.

Üçüncü hata, çerez politikasını güncel tutmamaktır. Yıllar önce yazılmış, sitenin mevcut çerezleriyle örtüşmeyen bir politika, hiç politika olmamasından daha riskli olabilir; çünkü beyan ettiğiniz ile gerçekte yaptığınız arasındaki tutarsızlık güvenilirliğinizi zedeler.

  • Onay alınmadan çerez yüklemekten kaçının.
  • Reddetme seçeneğini kabul etme kadar erişilebilir yapın.
  • Çerez listenizi düzenli olarak denetleyin ve güncelleyin.
  • Rıza kayıtlarını kanıt olarak saklayın.
  • Üçüncü taraf entegrasyonlarının gizlilik etkisini değerlendirin.
  • Kullanıcıya rızasını geri alma yolunu her zaman açık tutun.

Çerezsiz Geleceğe Hazırlık

Tarayıcı geliştiricilerinin üçüncü taraf çerezlere yönelik kısıtlamaları arttıkça, dijital pazarlama ve analiz dünyası "çerezsiz gelecek" kavramına yöneliyor. Bu, çerezlerin tamamen ortadan kalkacağı anlamına gelmiyor; daha çok, takip amaçlı üçüncü taraf çerezlerin yerini gizlilik dostu alternatiflerin alacağı bir dönüşümü ifade ediyor.

Bu geçişe hazırlanmak için birinci taraf veriye dayalı stratejiler geliştirebilirsiniz. Kullanıcıların açık rızasıyla topladığınız veriler, hem daha güvenilir hem de daha sürdürülebilirdir. Sunucu taraflı izleme, gizliliği koruyan analitik çözümler ve toplulaştırılmış ölçüm yöntemleri, bireysel takip yapmadan değerli içgörüler elde etmenizi sağlar. Çerez yönetimi altyapınızı bugünden esnek tasarlamak, bu değişime uyum sağlamanızı kolaylaştırır.

Unutmayın ki gizliliği önceleyen bir yaklaşım yalnızca yasal bir zorunluluk değil, aynı zamanda rekabet avantajıdır. Verilerine saygı duyulduğunu hisseden kullanıcılar, markanıza daha fazla güvenir ve daha sadık hale gelir.

Sıkça Sorulan Sorular

Çerez kullanmak için her zaman onay almak zorunda mıyım?

Hayır, her çerez türü için onay gerekmez. Sitenin temel işlevleri için zorunlu olan çerezler (oturum yönetimi, güvenlik, sepet gibi) için açık rıza şart değildir; ancak bunlar hakkında kullanıcıyı bilgilendirmeniz gerekir. Analitik, performans ve reklam gibi zorunlu olmayan çerezler için ise kullanıcının önceden ve açık onayını almanız gerekir.

Cookie consent banner'ı tasarlarken nelere dikkat etmeliyim?

Banner'ınızda kabul ve reddetme seçeneklerinin eşit görünürlükte ve erişilebilir olmasına özen gösterin. Kategori bazlı tercih sunun, kullanıcıyı yönlendiren manipülatif tasarımlardan (dark pattern) kaçının ve onay alınmadan zorunlu olmayan hiçbir çerezi yüklemeyin. Ayrıca kullanıcının verdiği onayı dilediğinde geri alabileceği bir yol sağlayın.

Çerez politikası ile gizlilik politikası aynı şey mi?

Hayır, farklı belgelerdir ancak birbirini tamamlarlar. Gizlilik politikası, kişisel verilerin genel olarak nasıl işlendiğini açıklayan kapsamlı bir belgedir. Çerez politikası ise özel olarak çerezlere odaklanır: hangi çerezlerin kullanıldığı, amaçları ve yönetim yöntemleri. Çerez politikası, gizlilik politikasının içinde bir bölüm olarak da yer alabilir.

Üçüncü taraf çerezler kalkınca takip ve ölçüm yapamayacak mıyım?

Üçüncü taraf çerezlerin kısıtlanması ölçümün biteceği anlamına gelmez; yöntemlerin değişeceği anlamına gelir. Birinci taraf veriye dayalı stratejiler, sunucu taraflı izleme ve gizliliği koruyan toplulaştırılmış ölçüm çözümleri ile değerli içgörüler elde etmeye devam edebilirsiniz. Asıl gereken, takip altyapınızı bu yeni döneme göre yeniden tasarlamaktır.

Çerezleri ne sıklıkla denetlemeliyim?

Sitenizin yapısına bağlı olmakla birlikte, en az üç ayda bir çerez denetimi yapmanız önerilir. Ayrıca siteye yeni bir araç, eklenti veya gömülü içerik (video, harita, sosyal medya bileşeni) eklediğinizde mutlaka kontrol etmelisiniz. Bu entegrasyonlar çoğu zaman sessizce yeni çerezler ekleyerek politikanızla uyumsuzluk yaratabilir.

Kullanıcı çerezleri reddederse sitem çalışmaya devam eder mi?

Evet, doğru tasarlanmış bir sitede zorunlu çerezler her durumda çalışmaya devam ettiği için temel işlevler korunur. Kullanıcı analitik veya reklam çerezlerini reddettiğinde yalnızca bu kategorilere bağlı işlevler devre dışı kalır. İyi bir uygulama, sitenin reddetme durumunda da kullanılabilir ve işlevsel kalmasını garanti eder.

Sonuç

Çerez yönetimi, bir web sitesinin hem teknik sağlığı hem de hukuki güvenliği açısından göz ardı edilemeyecek bir konudur. Çerezlerin nasıl çalıştığını anlamak, doğru sınıflandırmayı yapmak, şeffaf bir çerez politikası hazırlamak ve özgür iradeye dayalı bir cookie consent mekanizması kurmak; hepsi birbirini tamamlayan adımlardır. KVKK ve GDPR gibi düzenlemeler, bu sürecin çerçevesini çizerken aslında ortak bir hedefe işaret eder: kullanıcının verisi üzerindeki kontrolünü ona geri vermek.

Uyumlu bir yapı kurmak için en güvenli yol, en sıkı standarda göre tasarlamak ve gizliliği baştan itibaren bir tasarım ilkesi olarak benimsemektir. Onay alınmadan çerez yüklememek, reddetmeyi kolaylaştırmak, kayıtları saklamak ve politikanızı güncel tutmak; bunların hepsi hem yasal riskleri azaltır hem de kullanıcı güvenini güçlendirir. Çerezsiz geleceğe hazırlanırken birinci taraf veriye ve gizlilik dostu yöntemlere yatırım yapmak, hem bugünü hem de yarını güvence altına alır.

Sonuç olarak çerez yönetimini bir yük değil, kullanıcılarınıza saygının ve markanıza duyulan güvenin bir göstergesi olarak görün. Şeffaf, dürüst ve uyumlu bir çerez yaklaşımı, uzun vadede sizi rakiplerinizin önüne taşıyacak en sağlam temellerden biridir.

Etiketler

çerez yönetimicookieçerez politikasıcookie consent
(İlgili)Bunları da okuyun
Güvenlik

Web Sitesi Güvenliği: Temel Önlemler ve SSL

14 dk okumaGüvenlik

Web Sitesi Bakımı: Düzenli Yapılması Gerekenler

10 dk okumaGüvenlik

Alan Adı (Domain) ve Hosting Seçimi Rehberi

12 dk okuma

Web projeniz için profesyonel destek

Hızlı, mobil uyumlu ve SEO dostu bir web sitesi mi istiyorsunuz? Fikrinizi konuşalım.

İletişime geç
← Tüm yazılar