Web Sitenizde Çerez Politikası Zorunlu mu? KVKK Çerez Uyumu Rehberi
Web sitenize bir ziyaretçi girdiği anda devreye giren küçük metin dosyaları, yani çerezler, çoğu zaman fark edilmeden kişisel veri toplar. Peki bu durumda çerez politikası zorunlu mu, yoksa isteğe bağlı bir nezaket gösterisi mi? Kısa yanıt: Türkiye'de çerezleri doğrudan düzenleyen ayrı bir kanun yok, ancak çerezler aracılığıyla kişisel veri işleyen her web sitesi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamına girer. Bu da pratikte çerez politikası ile çerez aydınlatma metnini, ziyaretçi alan neredeyse her kurumsal site için fiilen zorunlu hale getirir. Bu rehberde KVKK'nın güncel çerez yaklaşımını, hangi çerezin onay gerektirdiğini ve uyumsuzluğun işletmenize maliyetini sade bir dille açıklıyoruz.
Çerez Politikası Gerçekten Zorunlu mu?
KVKK metninde "çerez politikası bulundurmak zorunludur" diyen tek bir madde aramak yanıltıcı olur. Türkiye'de, Avrupa Birliği'ndeki ePrivacy Direktifi gibi yalnızca çerezlere özgü bir mevzuat yoktur. Ancak Kanun'un 10. maddesi, kişisel veri işleyen tüm veri sorumlularına aydınlatma yükümlülüğü getirir. Çerezler aracılığıyla IP adresi, cihaz bilgisi, gezinme davranışı gibi veriler işlendiğinde bu yükümlülük doğrudan tetiklenir.
Kişisel Verileri Koruma Kurumu'nun yayımladığı ve güncellediği Çerez Uygulamaları Hakkında Rehber, bu yükümlülüğün çerezlere nasıl uygulanacağını ayrıntılandırır. Rehbere göre, açık rıza gerektirmeyen çerezler kullanılsa bile kullanıcıyı bilgilendirme zorunluluğu ortadan kalkmaz. Yani uygulamada, ziyaretçi alan bir kurumsal web sitesi için çerez politikası bir tercih değil, uyumun temel taşıdır.
Kimler İçin Daha Kritik?
- E-ticaret ve üyelik siteleri: Sepet, oturum ve ödeme süreçleri yoğun çerez kullandığından risk yüksektir.
- Analitik ve reklam kullananlar: Google Analytics, Meta Pixel gibi araçlar açık rıza gerektiren çerezler çalıştırır.
- Yalnızca zorunlu çerez kullananlar: Onay gerekmese de bilgilendirme yükümlülüğü yine de sürer; tamamen muaf değilsiniz.
Zorunlu Çerez ve Açık Rıza: Kritik Ayrım
KVKK çerez rehberinin kalbinde basit bir mantık yatar: Her çerez aynı muameleyi görmez. Bir çerez aşağıdaki iki kriterden en az birini karşılıyorsa "kesinlikle gerekli" sayılır ve açık rıza alınmadan kullanılabilir:
- Teknik iletim kriteri: Çerezin tek amacı, iletişimin bir elektronik haberleşme ağı üzerinden teknik olarak sağlanmasıdır.
- Hizmetin gerekliliği kriteri: Çerez, kullanıcının açıkça talep ettiği bir hizmet için (örneğin alışveriş sepetini görüntüleme veya siteye giriş yapma) kesinlikle gereklidir.
Bu iki kritere girmeyen her çerez için önceden alınmış açık rıza şarttır. Kurul, özellikle analitik çerezleri ve davranışsal reklamcılık çerezlerini bu kapsamda görür. Reklam amaçlı hiçbir kullanım, "kullanıcının açıkça talep ettiği hizmet" sayılmadığından, bu çerezler ziyaretçi onay vermeden çalışamaz.
Açık Rıza Nasıl Alınmalı?
Açık rıza, pasif bir kabul değildir. KVKK rehberine göre rıza mekanizmasının hukuka uygun olması için:
- Aktif eylem şartı: Sadece siteye girmek rıza sayılmaz; kullanıcının açık bir tıklama ile onay vermesi gerekir.
- Eşit seçenek: "Kabul Et", "Reddet" ve "Tercihler" seçenekleri eşit görünürlükte sunulmalıdır. Reddet butonunu silikleştirmek veya gizlemek hukuka aykırı bulunur.
- Varsayılan kapalı (opt-in): Zorunlu olmayan çerezler, rıza alınana kadar kapalı kalmalı; ziyaretçi onayladığında devreye girmelidir.
Çerez Aydınlatma Metni, Çerez Politikası ve Açık Rıza Farkı
İşletme sahiplerinin en sık karıştırdığı nokta budur. Üç farklı kavram, üç farklı amaca hizmet eder:
- Çerez aydınlatma metni: Kanun'un 10. maddesi gereği, hangi verinin neden işlendiğini ziyaretçiye bildirir. Amaç bilgilendirmektir.
- Çerez politikası: Sitenizde kullanılan tüm çerez türlerini, sürelerini ve üçüncü tarafları sade bir dille açıklayan, her sayfadan erişilebilir kapsamlı belgedir.
- Açık rıza (çerez onayı): Rıza gerektiren çerezler için kullanıcının verdiği hukuki izindir; bir veri işleme şartıdır.
Kurul'un 18 Şubat 2026 tarihli ve 2026/347 sayılı İlke Kararı bu ayrımı daha da keskinleştirdi. Bu karara göre aydınlatma metni ile açık rıza metni iç içe geçmiş, tek onayla sunulan birleşik bir metin olarak verilemez; her biri ayrı hukuki niteliğe sahip olduğundan ayrı düzenlenmelidir. Yani "hepsini tek kutuda toplayan" eski yaklaşım artık riskli kabul ediliyor.
Uyumsuzluğun Bedeli: Cezalar ve Emsal Karar
Bu konunun ticari ağırlığını anlamak için somut bir örneğe bakalım. Kurul, 23/12/2022 tarihli ve 2022/1358 sayılı kararında, bir oyun platformunun zorunlu olmayan çerezler için onay almaması ve eksik aydınlatma yapması nedeniyle 300.000 TL idari para cezası uyguladı. Tespit edilen ihlaller arasında opt-in mekanizmasının kullanılmaması ve aydınlatma metninin kanuni unsurları taşımaması yer alıyordu.
2026 yılı için güncellenen tutarlar ise tabloyu daha da netleştiriyor. Aydınlatma yükümlülüğünün yerine getirilmemesi halinde ceza alt sınırı yaklaşık 85.000 TL'den başlayıp 1.700.000 TL'yi aşan üst sınırlara ulaşabiliyor. Üstelik cezalar her ihlal için ayrı ayrı uygulanabildiğinden, eksik aydınlatma ile veri güvenliği ihlali bir arada görülürse toplam tutar hızla katlanabilir.
Korkutmak değil, gerçeği göstermek istiyoruz: Bu cezalar yeniden değerleme oranıyla her yıl otomatik artıyor ve Kurul, internet sitelerindeki eksik çerez uygulamalarına özel olarak odaklanıyor.
KVKK ile GDPR Arasındaki Fark
Yurt dışına hizmet veren işletmeler için bir not: KVKK Türkiye sınırları içinde, GDPR ise AB sınırlarında uygulanır. GDPR daha kapsamlı ve çerez onayında daha katı bir çerçeve sunar. Google Analytics gibi araçların verileri yurt dışına aktarması, KVKK'nın yurt dışı aktarım kurallarını da gündeme getirir. Avrupalı kullanıcılara da hitap eden sitelerin her iki çerçeveye birden uyumlu olması gerekir.
Çerez Uyumu İçin Pratik Yol Haritası
Teorinin uygulamaya dönüşmesi için izlenecek adımlar nettir:
- Çerez envanteri çıkarın: Sitenizde hangi çerezlerin çalıştığını, hangisinin zorunlu hangisinin rıza gerektirdiğini tespit edin.
- Uyumlu banner kurun: Eşit butonlar, opt-in mantığı ve tercih yönetimi içeren bir çerez onayı çözümü ekleyin.
- Metinleri ayrı hazırlayın: Aydınlatma metni ile açık rıza metnini ayrı, çerez politikasını ise her sayfadan erişilebilir konumda sunun.
- Teknik altyapıyı doğru seçin: Sitenizin web sitesi altyapısı, çerezlerin rıza alınmadan engellenebilmesine olanak tanımalıdır.
- Düzenli güncelleyin: Yeni eklenen reklam veya analitik araçları envantere işleyin; mevzuat değişikliklerini takip edin.
Doğru kurgulanmış bir çerez uyumu yalnızca cezadan korumaz; kullanıcı güvenini artırır ve uzun vadede SEO performansınıza dolaylı katkı sağlar. Şeffaf bir site, hem ziyaretçi hem arama motorları nezdinde daha güvenilirdir.
Sonuç: Çerez Politikası Bir Lüks Değil, Zorunluluktur
Toparlarsak: KVKK'da çerezlere özel tek bir kanun bulunmasa da, kişisel veri işleyen her site için çerez politikası, aydınlatma metni ve gerektiğinde açık rıza fiilen zorunludur. 2026/347 sayılı İlke Kararı ve güncel ceza tutarları, bu konunun ertelenemez bir uyum başlığı olduğunu gösteriyor. Çerez uyumu, web sitenizi en baştan doğru kurmakla başlar.
Eğer KVKK ve çerez gerekliliklerini düşünmeden, mevzuata uygun bir kurumsal site kurmak istiyorsanız, Yassmedya olarak çerez banner kurulumundan ayrı aydınlatma ve açık rıza metinlerine kadar uyumlu bir altyapıyı projenizin parçası olarak tasarlıyoruz. Sitenizi yenilemeyi planlıyorsanız, uyumu sonradan eklenen bir yama değil, en baştan gelen bir standart haline getirebiliriz.
Bursa'da Dijital Çözüm Ortağınız
Projeniz için profesyonel hizmetlerimizi keşfedin.