KVKK Kapsamında Çerez Politikası Nasıl Hazırlanır? İnternet Siteleri İçin Hukuki Rehber
Giriş
İnternet siteleri artık yalnızca tanıtım yapılan dijital vitrinler değildir. E-ticaret siteleri, hukuk büroları, klinikler, yazılım şirketleri, oteller, eğitim kurumları, haber siteleri, üyelik platformları ve mobil uygulamalar; ziyaretçilerin IP adresi, cihaz bilgisi, konum verisi, oturum bilgisi, kullanıcı tercihleri, alışveriş davranışları, ziyaret edilen sayfalar ve reklam etkileşimleri gibi birçok veriyi işleyebilmektedir. Bu verilerin önemli bir kısmı ise çerezler ve benzeri teknolojiler aracılığıyla toplanmaktadır.
Çerezler, internet sitesinin çalışmasını kolaylaştırabilir, kullanıcının dil tercihlerini hatırlayabilir, sepete eklenen ürünleri koruyabilir, güvenli oturum açılmasını sağlayabilir veya site trafiğini analiz edebilir. Ancak çerezler aynı zamanda kullanıcı davranışlarının takip edilmesi, reklam profili oluşturulması, yeniden pazarlama yapılması, üçüncü taraf reklam ağlarına veri aktarılması ve kullanıcıların farklı siteler arasında izlenmesi için de kullanılabilir. Bu nedenle çerez politikası, yalnızca teknik bir metin değil, doğrudan KVKK uyum sürecinin parçası olan hukuki bir belgedir.
Kişisel Verileri Koruma Kurulu’nun kararlarında, internet sitesinin düzgün çalışması için zorunlu çerezler bakımından her zaman açık rıza aranmayabileceği; buna karşılık reklam, pazarlama ve performans amacıyla çalışan çerezlerin açık rızaya tabi olabileceği belirtilmektedir. Ayrıca zorunlu olmayan çerezlerde, kullanıcının internet sitesine girer girmez aktif bir irade beyanı ile onay vermesini sağlayan ve varsayılan ayar olarak bu çerezlerin çalışmamasını esas alan “opt-in” mekanizmasının aranabileceği kabul edilmektedir.
Bu nedenle “KVKK kapsamında çerez politikası nasıl hazırlanır?” sorusunun cevabı, yalnızca internet sitesine örnek bir metin eklemekten ibaret değildir. Önce kullanılan çerezlerin tespit edilmesi, her çerezin amacının ve hukuki sebebinin belirlenmesi, zorunlu olan ve olmayan çerezlerin ayrıştırılması, açık rıza gereken çerezler için doğru bir rıza yönetim mekanizması kurulması ve kullanıcıya anlaşılır bir aydınlatma yapılması gerekir.
Çerez Nedir?
Çerez, internet sitesini ziyaret eden kullanıcının cihazına veya tarayıcısına yerleştirilen küçük veri dosyalarıdır. Bu dosyalar sayesinde internet sitesi, kullanıcının tercihlerini, oturum bilgisini, sepet bilgilerini, dil seçimini veya önceki ziyaretlerini hatırlayabilir. Çerezler kullanıcı deneyimini kolaylaştırabileceği gibi, kullanıcı davranışlarının ölçülmesi ve reklam hedeflemesi yapılması için de kullanılabilir.
KVKK açısından önemli olan nokta şudur: Çerezler aracılığıyla işlenen her veri otomatik olarak kişisel veri sayılmasa da, kullanıcıyı doğrudan veya dolaylı şekilde belirlenebilir kılan bilgiler kişisel veri niteliği taşıyabilir. IP adresi, kullanıcı kimliği, cihaz tanımlayıcıları, oturum belirteçleri, reklam kimlikleri, davranışsal izleme verileri ve hesapla ilişkilendirilen çerez verileri bu kapsamda değerlendirilebilir.
Bu nedenle internet sitesinde “biz yalnızca çerez kullanıyoruz, kişisel veri işlemiyoruz” demek çoğu zaman doğru değildir. Özellikle çerezler kullanıcı hesabı, IP adresi, reklam kimliği, cihaz bilgisi veya üçüncü taraf takip araçlarıyla ilişkilendiriliyorsa, KVKK kapsamında kişisel veri işleme faaliyeti gündeme gelebilir. Kurul’un e-ticaret sektörüne ilişkin kararında da çerez politikasında hangi kişisel verinin hangi işleme amacı ve hangi hukuki sebep ile ilişkilendirildiğinin açıkça belirtilmemesi eksiklik olarak değerlendirilmiştir.
Çerez Politikası Nedir?
Çerez politikası, internet sitesinde veya mobil uygulamada kullanılan çerezlerin hangi amaçlarla kullanıldığını, hangi tür çerezlerin bulunduğunu, çerezler aracılığıyla hangi verilerin işlendiğini, bu verilerin hangi hukuki sebebe dayandığını, çerezlerin ne kadar süre saklandığını, birinci taraf veya üçüncü taraf çerez olup olmadığını ve kullanıcının çerez tercihlerini nasıl yönetebileceğini açıklayan metindir.
Çerez politikası, genel gizlilik politikasından farklıdır. Gizlilik politikası şirketin genel kişisel veri işleme süreçlerini anlatabilir; ancak çerez politikası özellikle internet sitesi ve mobil uygulama üzerindeki çerez kullanımına odaklanmalıdır. Kurul kararlarında çerezler bakımından aydınlatmanın kolay erişilebilir olması, çerez politikasının Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğü Tebliği’ne uygun şekilde güncellenmesi gerektiği belirtilmektedir.
İyi hazırlanmış bir çerez politikası, kullanıcının yalnızca “bu sitede çerez vardır” bilgisini öğrenmesini sağlamaz. Kullanıcı hangi çerezin neden çalıştığını, bu çerezin zorunlu olup olmadığını, reklam veya analiz amacıyla kullanılıp kullanılmadığını, üçüncü taraflara veri aktarımı yapılıp yapılmadığını ve istemediği çerezleri nasıl kapatabileceğini açıkça görebilmelidir.
Çerez Türleri Nelerdir?
Çerezler farklı kriterlere göre sınıflandırılabilir. Saklama süresine göre oturum çerezleri ve kalıcı çerezler; kaynağına göre birinci taraf ve üçüncü taraf çerezler; kullanım amacına göre ise zorunlu çerezler, işlevsel çerezler, performans-analitik çerezler ve reklam-pazarlama çerezleri şeklinde ayrım yapılabilir.
Zorunlu çerezler, internet sitesinin temel işlevlerini yerine getirmesi için gerekli olan çerezlerdir. Oturum güvenliği, kullanıcı girişi, sepet bilgisinin korunması, ödeme güvenliği, yük dengeleme veya kullanıcının açıkça talep ettiği bir hizmetin sağlanması bu kapsamda değerlendirilebilir. Bu çerezler olmadan site düzgün çalışmayabilir.
İşlevsel çerezler, kullanıcının tercihlerini hatırlayan çerezlerdir. Dil seçimi, bölge tercihi, yazı tipi tercihi, tema tercihi veya kullanıcı arayüzü seçimleri buna örnek gösterilebilir. Ancak her işlevsel çerezin otomatik olarak zorunlu sayılması mümkün değildir. Kullanıcının açıkça talep ettiği hizmet için gerçekten gerekli olup olmadığı ayrıca değerlendirilmelidir.
Performans ve analitik çerezleri, internet sitesinin nasıl kullanıldığını ölçmek, ziyaretçi sayısını analiz etmek, hangi sayfaların daha çok ziyaret edildiğini görmek veya kullanıcı deneyimini iyileştirmek amacıyla kullanılabilir. Ancak bu çerezler kullanıcıyı izliyor, üçüncü taraf hizmet sağlayıcılar aracılığıyla veri topluyor veya reklam profiliyle birleşiyorsa açık rıza ihtimali güçlenir.
Reklam ve pazarlama çerezleri ise kullanıcının ilgi alanlarına göre reklam gösterilmesi, yeniden pazarlama yapılması, farklı siteler arasındaki hareketlerin izlenmesi ve reklam performansının ölçülmesi amacıyla kullanılır. Bu tür çerezler, kullanıcının mahremiyetine daha fazla müdahale ettiği için KVKK bakımından daha sıkı değerlendirilir.
Kurul’un kararlarında, kesinlikle gerekli çerezler dışında kalan işlevsel, performans-analitik ve reklam/pazarlama çerezlerinin çalıştırılması için açık rıza dışında bir veri işleme şartı bulunmuyorsa, kullanıcının aktif onayıyla “opt-in” yöntemiyle açık rıza alınması gerektiği vurgulanmıştır.
Hangi Çerezler İçin Açık Rıza Gerekir?
KVKK kapsamında açık rıza gerekip gerekmediği, çerezin adına değil, kullanım amacına ve hukuki sebebine göre belirlenir. Bir çerezin “analitik” veya “işlevsel” olarak adlandırılması tek başına yeterli değildir. Gerçekte hangi veriyi topladığı, kullanıcıyı takip edip etmediği, üçüncü taraflara aktarım yapıp yapmadığı, reklam profillemesiyle bağlantılı olup olmadığı ve internet sitesinin çalışması için gerçekten gerekli olup olmadığı incelenmelidir.
İnternet sitesinin düzgün çalışması için zorunlu olan çerezler bakımından, KVKK’nın 5. maddesindeki açık rıza dışındaki veri işleme şartlarından biri mevcutsa açık rıza aranmayabilir. Örneğin kullanıcı girişinin sağlanması, sepetin korunması veya güvenlik kontrolleri bakımından zorunlu çerezler kullanılabilir. Ancak reklam, pazarlama, kullanıcı davranış takibi ve performans amacıyla çalışan çerezlerde açık rıza ihtimali çok daha yüksektir. Kurul’un 2022/1358 sayılı karar özetinde, reklam ve pazarlama amacı gibi zorunlu olmayan çerezler vasıtasıyla herhangi bir işleme şartına dayanmadan kişisel veri işlenmesi nedeniyle idari para cezası uygulandığı görülmektedir.
Açık rıza alınırken dikkat edilmesi gereken en önemli nokta, rızanın aktif davranışa dayanmasıdır. Kullanıcı siteye girdiği için çerez kullanımını kabul etmiş sayılamaz. Önceden işaretlenmiş kutular, sessiz kalma, sayfayı kaydırma veya siteyi kullanmaya devam etme gibi pasif davranışlar açık rıza bakımından risklidir. Kurul’un çevrim içi oyun platformu kararında, çerez politikasında “siteyi ziyaret etmek çerez kullanımına onay anlamına gelir” şeklindeki yaklaşımın şikâyete konu edildiği ve çerez yönetiminde aktif onaya dayalı “opt-in” mekanizmasının öneminin vurgulandığı görülmektedir.
Çerez Yönetim Paneli Nasıl Olmalıdır?
KVKK’ya uygun bir çerez politikasının yalnızca metin olarak yayımlanması yeterli değildir. Zorunlu olmayan çerezler kullanılıyorsa, kullanıcıya gerçek tercih imkânı sağlayan bir çerez yönetim paneli kurulmalıdır. Bu panel siteye ilk girişte görünür olmalı ve kullanıcıyı kolayca yönlendirmelidir.
İyi uygulama olarak panelde “kabul et”, “reddet” ve “tercihler” seçeneklerinin eşit derecede görünür sunulması gerekir. Kurul’un 2023/1645 sayılı karar özetinde, çerez yönetim panelinde “kabul et”, “reddet” ve “tercihler” butonlarının renk, büyüklük ve punto açısından eşit derecede sunulmasının iyi uygulama örneği olabileceği belirtilmiştir. Aynı kararda, açık rıza gerektiren her çerez tipi için seçenek sunulması gerektiği ve yalnızca “tüm çerezlere izin ver” gibi toplu rıza yaklaşımının açık rızanın belirli bir konuya ilişkin olması ve özgür iradeyle verilmesi unsurlarını zedeleyebileceği değerlendirilmiştir.
Bu nedenle çerez panelinde kullanıcıya yalnızca “tümünü kabul et” seçeneği sunulması doğru değildir. Kullanıcı zorunlu çerezler dışında analitik çerezleri kabul edip reklam çerezlerini reddedebilmelidir. Aynı şekilde daha sonra tercihlerini değiştirebilmesi için internet sitesinde kolay erişilebilir bir “çerez tercihleri” bağlantısı bulunmalıdır.
Çerez Duvarı Kullanılabilir mi?
Çerez duvarı, internet sitesinin veya hizmetin kullanılmasını zorunlu olmayan çerezlerin kabulü şartına bağlayan uygulamadır. Örneğin kullanıcı reklam çerezlerini kabul etmeden siteye giremiyorsa veya temel hizmetten yararlanamıyorsa, açık rızanın özgür iradeye dayanıp dayanmadığı tartışmalı hale gelir.
KVKK uygulamasında açık rızanın hizmet şartı haline getirilmesi risklidir. Kurul, hizmetin sunulması için gerekli olmayan kişisel veri işleme faaliyetlerinde açık rızanın üyeliğin veya hizmetin koşulu olarak dayatılmasının, açık rızayı sakatlayabileceğini ve hukuka, dürüstlük kurallarına, ölçülülük ilkesine aykırılık oluşturabileceğini değerlendirmiştir.
Bu nedenle internet sitesi sahipleri çerez panelini kullanıcıyı zorlayacak şekilde tasarlamamalıdır. Kullanıcıya gerçek bir tercih hakkı tanınmalı, zorunlu olmayan çerezleri reddetse bile sitenin temel hizmetlerinden yararlanabilmesi mümkün olmalıdır. Özellikle e-ticaret siteleri, üyelik platformları ve hizmet sağlayıcılar açısından bu husus idari yaptırım riskini azaltır.
Çerez Politikasında Hangi Bilgiler Bulunmalıdır?
KVKK’ya uygun bir çerez politikasında öncelikle veri sorumlusunun kimliği yer almalıdır. İnternet sitesini işleten şirketin ticaret unvanı, adresi ve iletişim bilgileri açıkça yazılmalıdır. Kullanıcı, verilerinin kim tarafından işlendiğini ve haklarını kime karşı kullanacağını bilmelidir.
İkinci olarak çerezlerin hangi amaçlarla kullanıldığı açıklanmalıdır. “Kullanıcı deneyimini iyileştirmek” gibi genel ifadeler tek başına yeterli olmayabilir. Hangi çerezin oturum güvenliği, dil tercihi, trafik analizi, reklam hedefleme, sosyal medya entegrasyonu veya yeniden pazarlama amacıyla kullanıldığı ayrı ayrı belirtilmelidir.
Üçüncü olarak her çerezin hukuki sebebi gösterilmelidir. Zorunlu çerezler bakımından sözleşmenin ifası, hukuki yükümlülük, meşru menfaat veya kullanıcının açıkça talep ettiği hizmet için gereklilik gibi sebepler değerlendirilebilir. Zorunlu olmayan reklam, pazarlama ve bazı analitik çerezlerde ise açık rıza gerekebilir. Burada “işleme amacı” ile “hukuki sebep” karıştırılmamalıdır. Aydınlatma Yükümlülüğü Tebliği, veri sorumlusunun kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda ilgili kişiyi bilgilendirmesi gerektiğini düzenlemektedir.
Dördüncü olarak çerezlerin saklama süreleri belirtilmelidir. Oturum çerezleri tarayıcı kapandığında sona erebilir; kalıcı çerezler ise belirli süre cihazda kalabilir. Kullanıcı, hangi çerezin ne kadar süreyle saklandığını bilmelidir.
Beşinci olarak çerezin birinci taraf mı üçüncü taraf mı olduğu açıklanmalıdır. Birinci taraf çerezler doğrudan ziyaret edilen internet sitesi tarafından yerleştirilir. Üçüncü taraf çerezler ise reklam ağları, sosyal medya platformları, analiz araçları veya dış hizmet sağlayıcılar tarafından yerleştirilebilir. Kurul’un 2023/1645 sayılı karar özetinde, üçüncü taraf çerezlerde hem internet sitesi sahibi hem de üçüncü tarafın kullanıcıları çerezler hakkında açık şekilde bilgilendirmesi ve gerekli rızaları alması gerektiği; yurt dışına veri aktarımı varsa Kanun’un 9. maddesi şartlarına uyulması gerektiği belirtilmiştir.
Altıncı olarak kullanıcıya çerez tercihlerini nasıl değiştirebileceği açıklanmalıdır. Tarayıcı ayarlarıyla çerezleri yönetme bilgisi verilebilir; ancak bu tek başına yeterli kabul edilmemelidir. Çünkü kullanıcı siteye girdiği anda zorunlu olmayan çerezler çalışmışsa, sonradan tarayıcı ayarına yönlendirme gerçek bir ön kontrol sağlamaz. Bu nedenle site içinde çalışan bir tercih yönetim mekanizması daha güvenli bir yöntemdir.
Çerez Aydınlatma Metni ile Açık Rıza Metni Aynı Şey midir?
Hayır. Çerez aydınlatma metni, kullanıcıya çerezler aracılığıyla hangi kişisel verilerin işlendiğini açıklayan bilgilendirme metnidir. Açık rıza ise kullanıcının belirli bir çerez kategorisi veya belirli bir veri işleme faaliyeti için özgür iradesiyle verdiği onaydır.
Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı ilke kararına ilişkin duyurusunda, açık rıza metni ile aydınlatma metninin iç içe sunulmasının Kuruma intikal eden ihbar ve şikâyetlerde sık görülen hukuka aykırılıklardan biri olduğu belirtilmiştir. Duyuruda ayrıca aydınlatma yapıldığına dair ilgili kişilerden onay veya rıza talep edilmesi ve başka veri sorumlularının metinlerinin birebir kullanılması da sorunlu uygulamalar arasında sayılmıştır.
Bu nedenle çerez politikasında “Çerez aydınlatma metnini okudum ve tüm çerezlere açık rıza veriyorum” şeklinde tek bir kutucuk kullanılması risklidir. Aydınlatma ve açık rıza birbirinden ayrılmalı; açık rıza gerekiyorsa her kategori bakımından ayrı tercih imkânı sunulmalıdır.
Üçüncü Taraf Çerezler ve Yurt Dışına Veri Aktarımı
İnternet siteleri çoğu zaman analiz, reklam, harita, sosyal medya eklentisi, canlı destek, ödeme altyapısı veya performans ölçümü için üçüncü taraf hizmetlerden yararlanır. Bu hizmetlerin bir kısmı yurt dışında yerleşik şirketler tarafından sunulur. Bu durumda çerezler aracılığıyla toplanan kişisel verilerin yurt dışına aktarılması gündeme gelebilir.
Yurt dışına veri aktarımı, KVKK bakımından ayrıca değerlendirilmesi gereken hassas bir konudur. Bir internet sitesinin çerez politikasında yalnızca “üçüncü taraf çerezler kullanılabilir” demesi yeterli değildir. Hangi üçüncü taraf sağlayıcının hangi çerezi yerleştirdiği, hangi amaçla veri topladığı, verilerin yurt dışına aktarılıp aktarılmadığı ve bu aktarımın hangi hukuki mekanizmaya dayandığı açıklanmalıdır.
Kurul’un e-ticaret sektörüne ilişkin kararında, kesinlikle gerekli olmayan çerezler vasıtasıyla Kanun’un 5 ve 6. maddelerinde yer alan şartlardan herhangi birine dayanılmaksızın veri işlenmesi ve Kanun’un 9. maddesindeki aktarım usullerinden herhangi birine dayanılmaksızın kişisel veri aktarılması nedeniyle veri sorumlusu hakkında idari para cezası uygulanmıştır.
Bu nedenle özellikle Google Analytics, Meta Pixel, reklam ağları, sosyal medya eklentileri, harita servisleri ve benzeri araçlar kullanılırken çerez envanteri ve yurt dışı aktarım analizi birlikte yapılmalıdır. Aksi halde çerez politikası şeklen mevcut olsa dahi fiili kullanım KVKK’ya aykırı olabilir.
KVKK’ya Uygun Çerez Politikası Hazırlama Adımları
KVKK’ya uygun çerez politikası hazırlamak için ilk adım, internet sitesindeki tüm çerezlerin teknik olarak tespit edilmesidir. Bu işlem yalnızca hukuk metni yazılarak yapılamaz. Site taranmalı, kullanılan çerezler, piksel kodları, üçüncü taraf scriptler, analiz araçları, reklam araçları ve sosyal medya eklentileri belirlenmelidir.
İkinci adım, çerezleri kategorilere ayırmaktır. Hangi çerez zorunlu, hangisi işlevsel, hangisi analitik, hangisi reklam veya pazarlama amacıyla kullanılıyor tespit edilmelidir. Bu ayrım yapılırken çerez sağlayıcısının beyanına değil, çerezin gerçek işlevine bakılmalıdır.
Üçüncü adım, her çerez için hukuki sebep belirlemektir. Zorunlu çerezler için açık rıza dışındaki işleme şartları değerlendirilebilir. Zorunlu olmayan çerezlerde ise açık rıza, meşru menfaat veya başka bir hukuki sebebin uygulanabilirliği somut olay bakımından incelenmelidir. Reklam, davranışsal izleme ve üçüncü taraf takip çerezlerinde açık rıza yaklaşımı daha güvenli kabul edilir.
Dördüncü adım, çerez yönetim paneli kurmaktır. Panelde kullanıcıya kabul, reddet ve tercihler seçenekleri eşit ve anlaşılır şekilde sunulmalıdır. Zorunlu olmayan çerezler varsayılan olarak kapalı olmalı; kullanıcı aktif olarak seçim yapmadan çalışmamalıdır.
Beşinci adım, çerez politikasını yayımlamaktır. Politika internet sitesinde kolay erişilebilir olmalı, çerez panelinden doğrudan bağlantı verilmelidir. Kullanıcı her zaman bu metne ulaşabilmeli ve tercihlerini değiştirebilmelidir.
Altıncı adım, düzenli kontrol yapmaktır. İnternet sitesine yeni reklam kodu eklenmiş, yeni analiz aracı kurulmuş, canlı destek hizmeti entegre edilmiş veya sosyal medya pikseli yerleştirilmiş olabilir. Bu durumda çerez politikası ve çerez paneli güncellenmelidir. Aksi halde yayımlanan metin ile fiili çerez kullanımı arasında uyumsuzluk oluşur.
Şirketlerin En Sık Yaptığı Hatalar
Şirketlerin en sık yaptığı hata, internet sitesine yalnızca genel bir “gizlilik ve çerez politikası” koyarak süreci tamamladığını düşünmesidir. Oysa çerezlerin tek tek tespit edilmediği, saklama sürelerinin yazılmadığı, üçüncü taraf sağlayıcıların belirtilmediği ve açık rıza yönetiminin kurulmadığı bir metin çoğu zaman yeterli değildir.
İkinci hata, zorunlu olmayan çerezleri siteye giriş anında otomatik çalıştırmaktır. Kullanıcı çerez panelinde tercih yapmadan reklam ve analitik çerezlerin aktif hale gelmesi KVKK bakımından risklidir. Kurul kararlarında, varsayılan ayar olarak zorunlu olmayan çerezlerin çalışmamasını esas alan “opt-in” mekanizması özellikle vurgulanmaktadır.
Üçüncü hata, “siteyi kullanmaya devam ederek çerezleri kabul etmiş sayılırsınız” yaklaşımıdır. Açık rıza belirli, bilgilendirmeye dayalı ve özgür iradeyle verilmelidir. Pasif davranışların açık rıza yerine geçirilmesi hukuken risklidir.
Dördüncü hata, kullanıcıya “tümünü kabul et” seçeneği sunup “reddet” seçeneğini gizlemektir. Reddetme butonunun küçük, soluk, zor bulunur veya çok aşamalı hale getirilmesi kullanıcı iradesini etkileyebilir. Çerez yönetim panelinde kabul, reddet ve tercihler seçeneklerinin eşit görünürlükte sunulması daha sağlıklı bir uygulamadır.
Beşinci hata, üçüncü taraf çerezlerin görmezden gelinmesidir. İnternet sitesi sahibi, “bu çerezleri reklam şirketi koyuyor, ben sorumlu değilim” şeklinde sorumluluktan kaçınamaz. Siteye üçüncü taraf çerez yerleştiriliyorsa, kullanıcının bu konuda bilgilendirilmesi ve gerekli rızaların alınması gerekir.
Altıncı hata, başka bir internet sitesinden kopyalanan çerez politikasını kullanmaktır. Her sitenin altyapısı, kullandığı reklam araçları, analiz sistemleri, üçüncü taraf sağlayıcıları ve saklama süreleri farklıdır. Kopyalanan metin, fiili çerez kullanımını yansıtmayacağı için aydınlatma yükümlülüğünü eksik bırakabilir.
Kullanıcıların Hakları Nelerdir?
Çerezler aracılığıyla kişisel verisi işlenen kullanıcı, KVKK kapsamında ilgili kişi sıfatına sahiptir. Kullanıcı, veri sorumlusuna başvurarak kişisel verilerinin işlenip işlenmediğini öğrenebilir, işlenmişse buna ilişkin bilgi talep edebilir, işleme amacını öğrenebilir, verilerinin kimlere aktarıldığını sorabilir, hukuka aykırı işlenen verilerin silinmesini veya yok edilmesini isteyebilir ve zarara uğramışsa zararın giderilmesini talep edebilir.
Bu nedenle internet sitesi sahiplerinin çerez politikasında başvuru yöntemini açıkça göstermesi gerekir. Kullanıcı hangi e-posta adresine, KEP adresine, fiziki adrese veya başvuru kanalına başvuracağını bilmelidir. Ayrıca çerez tercihlerini değiştirmek isteyen kullanıcı için site üzerinde kolay erişilebilir bir tercih yönetim alanı bulunmalıdır.
Sonuç
KVKK kapsamında çerez politikası, internet siteleri ve mobil uygulamalar için vazgeçilmez bir hukuki uyum belgesidir. Ancak bu belge yalnızca standart bir metin olarak görülmemelidir. Doğru çerez politikası; sitede kullanılan çerezlerin teknik envanterine dayanmalı, her çerezin amacı, sağlayıcısı, saklama süresi, birinci veya üçüncü taraf niteliği, hukuki sebebi ve kullanıcı tercih yönetimi açıkça gösterilmelidir.
Zorunlu çerezler ile reklam, pazarlama, analitik ve davranışsal takip çerezleri birbirinden ayrılmalıdır. Zorunlu olmayan çerezler bakımından açık rıza gerekiyorsa, kullanıcıya aktif seçim hakkı tanıyan, varsayılan olarak bu çerezleri kapalı tutan ve kabul, reddet, tercihler seçeneklerini dengeli biçimde sunan bir çerez yönetim paneli kurulmalıdır.
İnternet sitesi sahipleri açısından en büyük risk, çerez politikasının kağıt üzerinde bulunmasına rağmen fiili çerez kullanımının metinle uyumsuz olmasıdır. Üçüncü taraf reklam ve analiz araçları, yurt dışına veri aktarımı, otomatik çalışan pazarlama çerezleri ve kullanıcıya gerçek reddetme imkânı tanınmaması KVKK şikâyetlerine ve idari yaptırımlara neden olabilir.
Sonuç olarak, KVKK’ya uygun çerez politikası hazırlamak için hukuk ve teknik analiz birlikte yürütülmelidir. İnternet sitesinin hangi çerezleri kullandığı tespit edilmeli, her çerez için hukuki sebep belirlenmeli, açık rıza gereken çerezler için doğru rıza yönetim altyapısı kurulmalı ve kullanıcıya sade, anlaşılır, erişilebilir bir aydınlatma sunulmalıdır. Bu şekilde hazırlanan bir çerez politikası, hem kullanıcı güvenini artırır hem de şirketin KVKK kapsamındaki idari para cezası, şikâyet ve tazminat risklerini önemli ölçüde azaltır.