Bu rehber, Kişisel Verilerin Korunması Kurumu (KVKK) tarafından yayımlanan ve 61 sayfadan oluşan "Çerez Uygulamaları Hakkında Rehber" belgesini esas alarak hazırlanmıştır.

Temel amaç, veri sorumlularının web siteleri üzerindeki veri işleme faaliyetlerini pratik ve eyleme geçirilebilir bir uyum planına dönüştürmeleridir.

1. Altın Kural: Hangi Çerezler İçin Açık Rıza Gerekmez?

KVKK, bir çerezin kullanıcıdan açık rıza alınmadan kullanılabilmesi için çok net iki istisnai kriter belirlemiştir. Eğer bir çerez, bu iki kriterden en az birini karşılamıyorsa, kullanımı için mutlaka kullanıcının önceden alınmış özgür iradeli rızası gerekir.

Kriter A: Çerezin tek amacının, bir elektronik haberleşme ağı üzerinden iletişimin teknik olarak sağlanması olması.

Kriter B: Çerezin, kullanıcının açıkça talep ettiği bir hizmetin (örneğin; alışveriş sepetini görüntüleme, web sitesi giriş işlemleri) sunulabilmesi için "kesinlikle gerekli" olması.

Kritik Not: Bir çerezin işletmeniz için “faydalı” veya “önemli” olması, onu hukuken “kesinlikle gerekli” kılmaz. Değerlendirme, tamamen kullanıcının talep ettiği hizmetin perspektifinden yapılmalıdır.

2. Açık Rıza Gerektirmeyen Çerez Türleri

Aşağıdaki tablo, Kriter A ve B kapsamında rızadan muaf tutulan yaygın çerezleri özetlemektedir. Bu tür kişisel verilerin işlenmesi için rıza gerekmese de, kullanıcıyı aydınlatma metni (çerez politikası) aracılığıyla bilgilendirme yükümlülüğü devam etmektedir. Aşağıda bu çerez türleri hakkında bilgi verilmiştir.

Çerez Türü Amacı Kritik Not (KVKK Uyumu) Alışveriş Sepeti Çerezleri Ürünlerin ödeme adımına kadar hafızada tutulmasını sağlar. Zorunlu: Genellikle oturum bazlıdır, rıza almadan kullanılabilir. Kimlik Doğrulama Çerezleri Kullanıcının her sayfada tekrar giriş yapmasını engeller. Zorunlu: Ancak “Beni Hatırla” gibi kalıcı özellikler rıza gerektirir. Güvenlik Çerezleri Kötü niyetli girişimleri (brute-force vb.) engeller. Zorunlu: Kullanıcının talep ettiği güvenli hizmet için gereklidir. Yük Dengeleme Çerezleri Sunucu trafiğini dağıtarak sitenin çökmesini önler. Teknik Zorunluluk: Kişisel veri takibi yapmaz, rıza gerektirmez. Arayüz Kişiselleştirme Çerezleri Dil ve tema (dark mode) tercihlerini kaydeder. İşlevsel: Kullanıcının aktif seçimi olduğu için genellikle rıza aranmaz. Analitik Çerezler Ziyaretçi trafiğini ve site içi davranışları analiz eder. Rıza Şart: Üçüncü tarafa veri aktarımı olduğu için mutlaka onay alınmalıdır.

3. Açık Rıza Gerektiren Çerezler ve Yönetimi

Aşağıdaki faaliyetler için kullanılan tüm çerezler, istisnasız olarak kullanıcının aktif ve bilgilendirilmiş rızasını gerektirir:

Reklam ve Pazarlama Çerezleri: Yeniden hedefleme (remarketing) dahil, davranışsal reklamcılık amaçlı tüm işlemler.

Sosyal Medya Eklentileri: "Beğen" veya "Paylaş" butonları üzerinden kullanıcı takibi yapılıyorsa açık rıza şarttır.

“Beğen” veya “Paylaş” butonları üzerinden kullanıcı takibi yapılıyorsa şarttır. Çerez Yönetimi: Kullanıcıya, hangi çerez kategorilerine izin vereceğini seçebileceği bir panel sunulmalıdır.

4. Hukuka Uygun Açık Rıza Nasıl Alınır?

Geçerli bir rıza, sadece bir “kabul et” butonundan ibaret değildir. Rıza mekanizmanız KVKK standartlarıyla uyumlu şu özelliklere sahip olmalıdır:

Opt-in Prensibi: Pazarlama çerezleri varsayılan olarak “kapalı” gelmelidir. Eşit ve Net Seçenekler: Çerez bannerı; “Hepsini Kabul Et”, “Hepsini Reddet” ve “Tercihleri Yönet” seçeneklerini eşit görünürlükte sunmalıdır. Çerez Duvarı Yasağı: Hizmetin kullanımı, tüm çerezlerin kabul edilmesi şartına bağlanamaz. Kolay Geri Alma: Kullanıcı verdiği rızayı, en az verdiği kadar kolay bir şekilde geri alabilmelidir.

5. Aydınlatma Yükümlülüğü: Çerez Politikası ve Metni

Bilgilendirme ve aydınlatma, rıza almaktan tamamen ayrı ve zorunlu bir görevdir.

Ayrı Bir Belge: Aydınlatma, kapsamlı bir çerez politikası olarak sunulmalı; karmaşık gizlilik politikaları içine gömülmemelidir.

Minimum İçerik: Hazırlanan aydınlatma metni, her bir kişisel veri işleme faaliyeti için; çerezin adı, kullanım amacı, tarafı (üçüncü taraf olup olmadığı) ve saklama süresini içermelidir.

6. Özel Hususlar ve Riskler (Yurt Dışı Aktarımı)

Web siteleri üzerinde Google, Facebook veya Microsoft gibi sunucuları yurt dışında bulunan şirketlere ait çerezlerin kullanılması, hukuken “kişisel verilerin yurt dışına aktarılması” anlamına gelir. Bu durum, 6698 Sayılı Kişisel Verilerin Korunması Kanunu Madde 9 kapsamında ek hukuki mekanizmalar (taahhütname veya standart sözleşme maddeleri) gerektirmektedir.

7. Uyum İçin Pratik Kontrol Listesi

Çerez Denetimi Yapın: Sitenizdeki tüm aktif çerezleri tespit edin. Sınıflandırın ve Envanteri Oluşturun: Her bir çerezi “zorunlu” veya “rıza gerektiren” olarak ayırarak bir envanteri güncel tutun. Rıza Mekanizmasını Kurun: Banner ve çerez yönetimi panellerini aktif edin. Aydınlatma Metninizi Hazırlayın: Şeffaf bir çerez politikası yayımlayın. Üçüncü Taraf Risklerini Değerlendirin: Veri aktarımı yapılan tarafların uyumluluğunu denetleyin.

Bu adımları izleyerek, kurumun güncel rehberine tam uyum sağlayabilir ve olası idari yaptırımların önüne geçebilirsiniz.

