KVKK ve Web Siteniz: Çerez (Cookie) Politikanız Gerçekten Uyumlu mu?
Metin Oktay DENİZ
Çoğu web sitesinde gördüğümüz "bu site çerez kullanır, kabul ediyorum" bandı, aslında KVKK'nın aradığı uyumu sağlamıyor. Kişisel Verileri Koruma Kurumu'nun resmi çerez rehberine göre neyin doğru neyin eksik olduğunu, sade bir dille anlatıyoruz.
Neredeyse her web sitesinde aynı şeyi görürsünüz: sayfanın altında beliren bir bant, "Bu site çerez kullanmaktadır" yazısı ve tek bir "Kabul Et" butonu. Çoğu işletme sahibi bunu ekleyip işin bittiğini düşünür. Oysa Kişisel Verileri Koruma Kurumu'nun (KVKK) yayımladığı resmi çerez rehberine göre, bu basit bant çoğu durumda yeterli değil — hatta hiç uyumlu olmayabilir. Bu yazıda, gerçek uyumluluğun neye benzediğini sade bir dille anlatıyoruz.
Her Çerez İçin Rıza Gerekmiyor — Ama Çoğu İçin Gerekiyor
KVKK'nın rehberine göre bir çerezin kullanıcıdan onay almadan kullanılabilmesi için iki kriterden birine uyması gerekiyor:
- Kriter A: Çerezin tek amacı, elektronik haberleşme ağı üzerinden iletişimi teknik olarak sağlamaktır.
- Kriter B: Çerez, kullanıcının açıkça talep ettiği bir hizmetin sunulması için kesinlikle gereklidir (örneğin oturum açma, sepet bilgisinin hatırlanması).
Bu iki kritere uymayan her çerez — yani analitik çerezler (Google Analytics gibi), reklam/pazarlama çerezleri, sosyal medya eklenti çerezleri — kullanıcının önceden, özgürce verdiği açık rızasını gerektiriyor. Yani "sadece zorunlu olmayan bir bant koyup geçmek" çoğu sitede yeterli değil.
"Kabul Et" Butonu Tek Başına Yeterli Değil
KVKK rehberine göre geçerli bir rıza mekanizmasının taşıması gereken temel özellikler var:
- Opt-in ilkesi: Pazarlama/analitik çerezler varsayılan olarak kapalı gelmeli, kullanıcı kendisi açmalı.
- Eşit görünürlük: "Tümünü Kabul Et", "Tümünü Reddet" ve "Tercihleri Yönet" seçenekleri banner üzerinde eşit derecede görünür olmalı — sadece büyük yeşil bir "Kabul Et" butonu, küçük gri bir "Reddet" linkiyle değil.
- Çerez duvarı yasağı: Siteyi kullanabilmeyi, tüm çerezleri kabul etme şartına bağlayamazsınız.
- Kolay geri çekme: Kullanıcı rızasını verdiği kadar kolay bir şekilde geri çekebilmeli.
Aydınlatma Metni, Rıza Almaktan Ayrı Bir Yükümlülük
Rıza almak yeterli değil; kullanıcıyı önceden bilgilendirmek de ayrı bir zorunluluk. Rehbere göre bu bilgilendirme, karmaşık bir gizlilik politikasının içine gömülmemeli, ayrı ve kolay ulaşılabilir bir çerez politikası belgesi olarak sunulmalı. Bu metinde en az şunlar yer almalı:
- Kullanılan her çerezin adı ve amacı
- Çerezin birinci taraf mı, üçüncü taraf mı olduğu
- Verinin ne kadar süre saklandığı
Uyumsuzluğun Bedeli Ne?
KVKK'nın aydınlatma yükümlülüğüne aykırılık durumunda uygulanabilecek idari para cezaları, 2025 yılı itibarıyla yüz bin liradan iki milyon liranın üzerine kadar çıkabiliyor. Kurul bu cezaları hem şikayet üzerine hem kendiliğinden (resen) uygulayabiliyor. Yani bu, sadece "iyi bir uygulama" değil, gerçek bir yasal risk.
Sitenizde Kontrol Etmeniz Gereken 5 Şey
- Sitenizde ayrı bir "Çerez Politikası" sayfası var mı, yoksa gizlilik politikasının içine mi gömülü?
- Analitik/reklam çerezleri, kullanıcı onay vermeden önce çalışıyor mu? (Çalışıyorsa bu bir sorun.)
- "Reddet" seçeneği, "Kabul Et" kadar görünür ve kolay mı?
- Kullanıcı daha sonra fikrini değiştirip çerez tercihlerini kolayca güncelleyebiliyor mu?
- Çerez politikanız, sitenizde gerçekten kullanılan çerezleri (üçüncü taraf araçlar dahil) doğru şekilde listeliyor mu?
VENVA Yazılım Olarak Yaklaşımımız
Kurumsal web sitesi projelerimizde çerez yönetimini işin bir "detayı" değil, sürecin gerekli bir parçası olarak ele alıyoruz. Analitik ve pazarlama çerezlerinin doğru şekilde varsayılan kapalı gelmesi, aydınlatma metninin ayrı ve erişilebilir olması gibi noktaları proje teslimatının içine dahil ediyoruz.
Sonuç
Çerez bandı eklemek, KVKK uyumu sağlamak için atılacak ilk adım, ama tek adım değil. Sitenizin gerçekten uyumlu olup olmadığından emin değilseniz, bizimle iletişime geçebilirsiniz.
Not: Bu yazı genel bilgilendirme amaçlıdır, hukuki danışmanlık niteliği taşımaz. Sitenizin KVKK uyumluluğuyla ilgili kesin değerlendirme için bir hukuk danışmanına başvurmanızı öneririz.