Giriş

Dijital dünyanın vazgeçilmez parçası haline gelen çerezler (cookies), web sitelerinin kullanıcı deneyimini iyileştirmek, ziyaretçi tercihlerini hatırlamak ve hedefli reklamlar sunmak için yaygın olarak kullandığı küçük veri dosyalarıdır. Ne var ki bu masum görünümlü dosyalar; IP adresi, konum, gezinme alışkanlıkları ve cihaz bilgileri gibi birçok kişisel veriyi toplayabilir. Bu durum, çerez yönetimini yalnızca teknik bir konu olmaktan çıkarıp ciddi bir hukuki sorumluluk haline getirmektedir. Özellikle 2025 itibariyle Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gibi düzenlemeler kapsamında çerezlerin nasıl kullanıldığı sıkı denetim altındadır. Hem KOBİ’lerin hem de büyük şirketlerin, açık rıza ve çerez politikası yükümlülüklerine uygun hareket etmesi artık bir tercih değil zorunluluktur. Bu makalede, 2025 yılı perspektifinden çerez yönetiminin yasal çerçevesini, doğru banner tasarımı ilkelerini ve iyi/kötü uygulama örneklerini ele alacağız.

Çerezler, Kişisel Veriler ve Açık Rıza Gerekliliği

Çerezler, ziyaret edilen site tarafından tarayıcınıza bırakılan ve cihazınızda saklanan mini dosyalardır. Tarama geçmişinizden alışveriş sepetinize kadar çeşitli bilgileri tutabilirler. Kişisel veri kavramı, bir gerçek kişiyi tanımlanabilir kılan her türlü bilgiyi içerir. Bu bağlamda çerezler aracılığıyla toplanan IP adresi, cihaz modeli, tarayıcı türü, konum veya sayfa gezinme verileri gibi veriler kişisel veri sayılabilir. Dolayısıyla, çerez kullanımı çoğu zaman kişisel veri işleme faaliyeti anlamına gelir ve veri koruma mevzuatına tabi olur.

Hem KVKK hem de GDPR gibi yasalar uyarınca, açık rıza olmadan zorunlu olmayan çerezlerin çalıştırılması hukuka aykırıdır. Başka bir deyişle, teknik olarak gerekli olmayan (örneğin analiz veya pazarlama amacı taşıyan) çerezler, kullanıcının önceden alınmış bilgilendirilmiş onayı olmadan tarayıcıya yerleştirilemez. Aksi takdirde şirketler hem kullanıcı güvenini zedeleme riskiyle karşılaşır hem de yasal yaptırımlarla yüzleşebilir. Nitekim KVKK, 2023 ve 2024 yıllarında birçok şirkete açık rıza almadan çerez kullanıldığı gerekçesiyle 500.000 TL ila 2.000.000 TL arasında idari para cezaları uygulamıştır. Bu yaptırımların gerekçeleri incelendiğinde, en sık rastlanan ihlallerin kullanıcıdan hiç rıza alınmaması, yanıltıcı/eksik bilgilendirme yapılması ve rıza kayıtlarının tutulmaması olduğu görülmüştür.

Açık rıza, veri koruma hukukunda bireyin belirli bir konuya ilişkin, özgür iradesine dayalı ve bilgilendirmeye dayanan onayı anlamına gelir. KVKK md.3 ve GDPR md.4 uyarınca geçerli bir rıza; özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir irade beyanı olmalıdır. Bu standart, çerezler için de geçerlidir. Kullanıcı, kendisine doğru ve anlaşılır bilgi sunulduktan sonra, tercihlerini aktif bir eylemle belirtmelidir. Örneğin: Sitede “Bu site çerez kullanır, devam ederseniz kabul etmiş sayılırsınız” gibi bir ibareyle kullanıcıları pasif onaya zorlamak geçerli bir rıza oluşturmaz – bu tür “varsayılan kabul” yaklaşımları hukuken geçersizdir. Aynı şekilde, sadece “Tümünü Kabul Et” seçeneğinin sunulup “Reddet” seçeneğinin verilmemesi veya kolay görülmemesi, kullanıcının özgür iradesini sakatlar ve rızayı hükümsüz kılar. Kısacası rıza, açık bir “opt-in” mekanizmasıyla alınmalı; kullanıcıyı çerezlere zorla onay vermeye mecbur bırakan tasarımlardan kaçınılmalıdır.

Türkiye’de Çerez Mevzuatı ve KVKK Rehberi

Türkiye’de 6698 sayılı KVKK, çerezler konusunda doğrudan bir madde içermese de, çerezler vasıtasıyla kişisel veri işlenmesini genel veri koruma ilkeleri çerçevesinde değerlendirir. Kişisel Verileri Koruma Kurumu (KVKK Kurumu) Aralık 2022’de yayımladığı “Çerez Uygulamaları Hakkında Rehber” ile bu konuda önemli ilke ve tavsiyeler ortaya koymuştur. Bu rehbere göre web sitesi operatörleri, çerez kullanırken aşağıdaki kriterlere dikkat etmelidir:

Zorunlu Çerez Kriterleri (İstisnalar): Bir çerezin açık rıza olmadan kullanılabilmesi için iki kriterden en az birini karşılaması gerekir:

Kriter A: Çerezin tek amacının, elektronik haberleşme ağının üzerinde iletişimi teknik olarak sağlamak olması.

Kriter B: Çerezin, kullanıcının açıkça talep ettiği bir bilgi toplum hizmetini sunabilmek için kesinlikle gerekli olması.

Bu kriterler pratikte “zorunlu çerezler” kavramına işaret eder. Örneğin, alışveriş sepetindeki ürünleri oturum boyunca hatırlayan bir çerez veya güvenli giriş yapıldıktan sonra oturumun devamlılığını sağlayan bir çerez bu kapsamdadır. Kullanıcının siteyi kullanmak için açıkça talep ettiği işlevleri yerine getiren ve oturum süresince çalışan bu tür çerezler için rıza aranmaksızın kullanım mümkündür. Ancak site işletmesi için faydalı olsa da kullanıcı açısından zorunlu olmayan hiçbir çerez “kesinlikle gerekli” sayılmaz.

Açık Rıza Gerektiren Çerezler: Kriter A veya B kapsamına girmeyen tüm çerezler, önceden alınmış açık rızaya tabi olmalıdır. Rehber, özellikle performans/analitik çerezler ile reklam/pazarlama çerezlerine dikkat çekmektedir. Standart web analiz araçları (örneğin Google Analytics) ve kullanıcı davranışlarını izleyip reklam gösteren tüm üçüncü taraf çerezleri, kesinlikle gerekli kabul edilmez ve kullanıcının aktif onayı olmadan çalıştırılamaz. Zira bu araçlar genellikle verileri üçüncü taraf şirketlere aktarır, ticari amaçlarla (profil çıkarma gibi) kullanır ve siteler arası takip imkânı yaratır. Dolayısıyla bir web sitesinde Google Analytics, Facebook Pixel gibi üçüncü taraf analitik/pazarlama çerezleri kullanılacaksa, ziyaretçiden açık rıza alınması zorunludur.

Çerez Duvarı Yasağı: KVKK’nın rehberi, “çerez duvarı” uygulamalarının hukuka aykırı olduğunu özellikle vurgulamıştır. Kullanıcının site içeriklerine erişimini, tüm çerezleri kabule zorlayan bir duvar arkasına almak (örneğin “Sitemizi kullanmak için çerezleri kabul etmelisiniz” dayatması) rızanın özgür iradeyle verilmediğini gösterir ve geçersizdir. Hizmetin ön koşulu olarak rıza talep edilemeyeceği, hem Türk hukuku hem de uluslararası uygulamalarda kabul görmüş bir ilkedir.

Aydınlatma Yükümlülüğü (Çerez Politikası): Çerez kullanımı konusunda, rıza alınsa da alınmasa da, her koşulda kullanıcıların bilgilendirilmesi şarttır. KVKK md.10 ve Aydınlatma Yükümlülüğü Tebliği uyarınca, sitede kullanılan tüm çerezlere ilişkin kullanıcıya kolay erişilebilir bir Çerez Politikası/Aydınlatma metni sunulmalıdır. Bu metin, gizlilik politikasının içine gömülmüş karmaşık ifadeler şeklinde değil, ayrı bir “Çerez Politikası” sayfası olarak basit bir dille hazırlanmalıdır. Politika içinde her bir çerezin adı, amacı, sağlayıcı tarafı (birinci taraf mı üçüncü taraf mı, üçüncü ise hangi firma) ve saklama süresi gibi bilgiler asgari olarak yer almalıdır. Böylece kullanıcı, hangi çerez ne işe yarıyor ve verisini ne kadar tutuyor açıkça görebilmelidir.

Açık Rızanın Usulüne Uygun Alınması: Rehber, geçerli bir çerez rızası almak için kullanıcı arayüzlerinde uyulması gereken tasarım ilkelerini detaylandırmıştır. Opt-in prensibine uygun olarak, rıza gereken çerez kategorilerinin (analitik, pazarlama vb.) varsayılan kapalı olması; kullanıcının tercihlerini kendisinin aktif eylemle açması gerekir. Önceden işaretli onay kutucukları kullanmak hukuka aykırıdır. Çerez banner’ı, kullanıcıya eşit derecede belirgin “Hepsini Kabul Et” ve “Hepsini Reddet” butonları ile tercihler için ayrıntılı seçenekler sunmalıdır. “Kabul Et” seçeneğini görsel olarak öne çıkarmak, diğerini gizlemek veya kullanıcıyı kabul etmeye yönlendirecek tasarım oyunları (dark pattern) kullanmak, rızanın özgür iradeyle verilmediği sonucunu doğurabilir. Ayrıca kullanıcı, verdiği rızayı daha sonra kolaylıkla geri alabilmelidir; bu amaçla sitenin her sayfasında görünen kalıcı bir “çerez ayarları” butonu veya benzeri bir mekanizma bulundurulması tavsiye edilir.

Yurt Dışına Veri Aktarımı Riski: Özellikle vurgulanması gereken bir diğer husus, üçüncü taraf çerezlerin yurt dışına veri aktarımı teşkil etmesidir. Örneğin siteye entegre edilen Google, Facebook, Microsoft gibi şirketlerin çerezleri, kullanıcı verilerini doğrudan yurt dışındaki sunuculara iletir. KVKK md.9 gereği, kişisel verilerin yurt dışına aktarımı çok sıkı şartlara bağlıdır (alıcı ülkede yeterli koruma bulunması veya resmi izinler gibi). Bu koşullar çoğu zaman zorlayıcı olduğundan, şirketlerin popüler analiz/reklam çerezlerini kullanmadan önce bunun getireceği uluslararası veri transferi yükümlülüklerini dikkatlice değerlendirmesi gerekir. Aksi halde, kullanıcıdan alınan rıza Türkiye içinde geçerli olsa bile, verinin örneğin ABD’deki sunuculara gitmesi ayrı bir hukuki ihlal konusu yaratabilir.

Sonuç olarak, Türkiye’de web siteleri KVKK çerez rehberine uyarak: tüm çerezlerini envanterleyip sınıflandırmalı, zorunlu olanlar dışındakiler için mutlaka önceden rıza almalı, uygun bir rıza banner’ı ve çerez politikası yayımlamalı, üçüncü taraf araçlar kullanıyorsa bunun getirdiği ek yükümlülüklere hazır olmalı ve çerez uygulamalarını düzenli aralıklarla gözden geçirip güncellemelidir.

Uluslararası Düzenlemeler: AB, UK ve Diğerleri

Çerez yönetimine ilişkin kurallar, küresel düzeyde veri koruma mevzuatlarının önemli bir parçası haline gelmiştir. Özellikle Avrupa Birliği düzenlemeleri, dünya genelinde standartları belirleyen bir etkiye sahiptir:

Avrupa Birliği (GDPR ve ePrivacy): AB’de çerezlere dair temel kural, 2002/58/EC sayılı ePrivacy Yönergesi (Elektronik Haberleşme Gizliliği Direktifi) ile getirilmiştir. Bu direktifin 5(3). maddesi, kullanıcı cihazında kesinlikle gerekli olmayan çerezlerin depolanması veya cihaza erişimi için önceden kullanıcı onayı alınmasını şart koşar. “Kesinlikle gerekli” kavramı, tıpkı KVKK rehberindeki gibi dar yorumlanır; yalnızca iletişimin sağlanması veya kullanıcının talep ettiği bir hizmetin çalışması için zorunlu teknik çerezler bu kapsama girer. Bunun dışındaki tüm amaçlar (izleyici kitle ölçümü, kişiselleştirme, reklam, sosyal medya eklentileri vb.) için önceden rıza şarttır. 2018 yılında yürürlüğe giren Genel Veri Koruma Tüzüğü (GDPR) ise, çerez kullanımıyla toplanan veriler kişisel veri niteliğindeyse (ki çoğunlukla böyledir), bu verilerin işlenmesine ilişkin yüksek standartlı koşullar getirir. GDPR kapsamında bir rızanın geçerli sayılması için özgür iradeye dayalı, belirli, bilgilendirilmiş ve açık bir beyan olması gerektiği için, ePrivacy kapsamındaki çerez onayları da aynı yüksek çıtayı sağlamak zorundadır. Özetle AB’de: ePrivacy kuralları çerezin cihazda depolanmasına/erişimine odaklanırken, GDPR bu çerezle toplanan verilerin işlenmesine odaklanır; ikisi bir arada çalışarak çerez kullanımına çift katmanlı bir yasal çerçeve oluşturur.

2025 yılına gelindiğinde AB’de önemli bir gelişme yaşanmıştır: Yıllardır üzerinde çalışılan yeni ePrivacy Tüzüğü (Regulation) teklifi, üye ülkeler arasında uzlaşma sağlanamadığı için Şubat 2025’te Avrupa Komisyonu tarafından geri çekilmiştir. Bu, yakın gelecekte AB çapında doğrudan uygulanan tek tip bir çerez yasası olmayacağı anlamına geliyor. Bunun yerine her ülke, mevcut ePrivacy Direktifi’ni kendi ulusal mevzuatında uygulamaya devam edecek. Bu durum hukuki parçalanmışlığı bir süre daha sürdürse de pratikte AB genelinde ortak bazı uygulamalar yerleşmiş durumdadır. Özellikle son yıllarda ulusal denetim otoriteleri (Fransa CNIL, Almanya BfDI, Hollanda AP, Belçika DPA gibi) verdikleri kararlar ve rehberlerle geçerli bir çerez rızasının nasıl olması gerektiğine dair tutarlı bir vizyon ortaya koymaktadır. Örneğin Fransa’da CNIL, çerez banner’larında “Kabul Et” ve “Reddet” seçeneklerinin eşit ölçüde sunulması gerektiğini vurgulamış; yalnızca “kabul” seçeneğini öne çıkarıp “reddi” zorlaştıran arayüzlerin geçersiz sayılacağını belirtmiştir. Hollanda Veri Koruma Otoritesi, banner metinlerinin yalın ve şeffaf olmasını, önemli bilgilerin gizlenmemesini istemiş; ön işaretli onay kutularını yasaklamıştır. Belçika DPA, toplu rıza (bundled consent) uygulamalarını reddetmiş ve kullanıcıların aynı kolaylıkla çerezleri reddedebilmesi gerektiğini karara bağlamıştır. Almanya’da BfDI ise, siteye girişte kullanıcıyı engelleyip karar verene dek bekleten “engel çıkaran” banner tasarımlarını eleştirerek bunların rızayı gönüllü olmaktan çıkardığını duyurmuştur. Bu örnekler, AB genelinde koyu desen (dark pattern) sayılan kötü tasarımların artık müsamaha görmediğini göstermektedir.

Ayrıca AB adli içtihadı da çerez konusunda yol göstericidir. Özellikle CJEU (Avrupa Adalet Divanı)’nun meşhur Planet49 kararı (2019), çerez rızasına dair bazı belirsizlikleri netleştirmiştir. Bu davada mahkeme, bir web sitesinin önceden tiklenmiş bir onay kutusuyla kullanıcıdan sözde rıza almasının geçerli olmadığına hükmetmiştir. Rıza, kullanıcı tarafından aktif olarak belirtilmelidir; pasif kalan ya da işlem yapmayan kullanıcıdan rıza alınmış sayılamaz. Planet49 kararının bir diğer önemli yönü, çerezlerle ilgili kullanıcıya verilecek bilginin kapsamıdır: Kullanıcıya çerezin ömrü (saklama süresi) ve üçüncü tarafların erişimi konusunda da önceden açık ve tam bilgi sunulması gerektiği karara bağlanmıştır. Bu karar sonrasında AB genelinde birçok şirket çerez politikalarını güncelleyerek, her bir çerezin tarayıcıda ne kadar kalacağını ve hangi taraflarca kullanılabileceğini detaylı şekilde listelemeye başlamıştır.

Birleşik Krallık (İngiltere): Brexit sonrası kendi veri koruma rotasını çizen İngiltere’de, 2025 yılında çerezlere ilişkin bazı değişiklik sinyalleri belirdi. Hâlihazırda İngiltere’nin 2003 tarihli Privacy and Electronic Communications Regulations (PECR) mevzuatı, AB ePrivacy kurallarına paralel şekilde çerezler için rıza şartı öngörmekteydi. Ancak Haziran 2025’te kabul edilen Data (Use and Access) Act 2025 ile hükümet, “düşük riskli çerezler” için rıza zorunluluğunu esnetme yetkisini getirdi. İngiltere Veri Koruma Otoritesi ICO, Temmuz 2025’te yayınladığı bir öneri ile dolandırıcılık önleme, istatistiksel analiz veya site görünümünü kişiselleştirme gibi düşük mahremiyet riski taşıyan çerezler için önceden rıza aranmamasını gündeme aldı. Amaç, her çerez için “tek tip herkese rıza” uygulamasının yarattığı onay yorgunluğunu azaltmak ve işletmeleri daha az istilacı yöntemlere teşvik etmekti. Bu kapsamda istatistiksel (analitik) çerezlerin ve basit özelleştirme çerezlerinin kullanıcı deneyimine büyük zarar vermeden rıza muafiyeti tanınabileceği konuşulmaktadır. Ancak ICO’nun bu yaklaşımı henüz taslak aşamasındadır ve 2025 sonuna dek istişare süreci devam etmektedir. Öte yandan, AB’nin katı duruşunu değiştirmeyeceği düşünülürse, hem AB hem İngiltere pazarında faaliyet gösteren şirketlerin bu iki farklı rejime uyum sağlaması gerekecektir. Uzmanlar, İngiltere’nin esnek tavrına rağmen küresel şirketlerin AB’deki sıkı kurallar nedeniyle pratikte yine geniş kapsamlı rıza bantları kullanmaya devam edeceğini öngörmektedir.

Amerika Birleşik Devletleri ve Diğer Ülkeler: ABD’de federal düzeyde çerezlere özgü bir zorunlu onay mekanizması bulunmamaktadır. Bunun yerine, Kaliforniya başta olmak üzere bazı eyalet yasaları (CCPA/CPRA gibi) kullanıcıya veri satışının veya paylaşımının opt-out hakkını vermektedir. Bu kapsamda Amerikan şirketleri, sitelerine “Do Not Sell My Personal Information” (Kişisel Verilerimi Satma) bağlantıları ekleyerek veya Global Privacy Control gibi tarayıcı sinyallerini tanıyarak kullanıcıların reklama dayalı çerezleri reddetme isteklerini yerine getirmektedir. Yani ABD’de yaklaşım, AB’nin önceden onay modelinden ziyade, isteyen kullanıcıya sonradan vazgeçme imkânı tanımak şeklindedir. Bununla birlikte, birçok uluslararası şirket, farklı ülkelerde tutarlı bir deneyim sunmak amacıyla ABD’li ziyaretçilere de AB tarzı çerez banner’ları göstermektedir. Avrupa dışında, Brezilya (LGPD), Kanada (PIPEDA), Güney Kore (PIPA) gibi ülkelerin genel veri koruma kanunları da çerezler yoluyla toplanan tanımlayıcı bilgiler için rıza veya açık bilgilendirme gerektirmektedir. Avrupa Konseyi’nin 108+ No’lu Sözleşmesi gibi uluslararası sözleşmeler ise, taraf ülkelere genelde kişisel verilerin işlenmesinde rıza ve şeffaflık ilkelerine uyma yükümlülüğü getirmektedir. Sonuç itibariyle, gerek ulusal kanunlar gerek uluslararası normlar, kullanıcıların çevrim içi izlenme konusunda söz sahibi olmasını güvence altına alan bir yönde evrilmektedir.

Çerez Onay Banner’ı Tasarımı ve En İyi Uygulamalar

Kullanıcıdan açık rıza almak, yalnızca hukuki bir kutucuğu işaretletmek meselesi değil; aynı zamanda kullanıcı deneyimi (UX) ve güven meselesidir. İyi tasarlanmış bir çerez onay mekanizması, hem yasal gereklilikleri karşılar hem de ziyaretçilerin siteye duyduğu güveni pekiştirir. İşte 2025 itibariyle en iyi uygulama standartları:

Önceden Çerez Yerleştirmeme (Privacy by Default): Teknik olarak mümkün olduğu ölçüde, kullanıcının tercihini belirtmesinden önce hiçbir analitik, reklam veya benzeri çerezi çalıştırmamak temel kuraldır. Çerez banner’ı gösterilirken arka planda çoktan çerezleri bırakmış olmak ciddi bir ihlal olarak değerlendirilebilir. Kullanıcı “Kabul et” demeden çerezleri aktif etmek, KVKK ve GDPR gözünde izinsiz veri toplama anlamına gelir. Bu nedenle, sitenizde bir tag manager veya benzeri araç kullanıyorsanız, varsayılan tetikleyicileri rıza durumuna göre ayarlamalısınız (örneğin Google Tag Manager, “rıza olmadan bu etiketi ateşleme” şeklinde konfigüre edilmelidir).

Görsel ve İşlevsel Simetri: Çerez banner’ınız, “Hepsini Kabul Et” ve “Hepsini Reddet” seçeneklerini eşit derecede görünür ve erişilebilir biçimde sunmalıdır. Tasarımda bir seçeneğin diğerinden daha belirgin olması, örneğin kabul butonunun parlak renkte, reddet butonunun soluk ve gizli bir link halinde verilmesi, GDPR’nın “özgürce verilme” şartını ihlal eder. Kullanıcı bir tercihte bulunurken kendini baskı altında hissetmemelidir. CNIL gibi otoriteler, bir seçeneğin görsel olarak daha cazip hale getirilmesini rızayı sakatlayan bir etken saymaktadır. Dolayısıyla butonların metin boyutu, rengi ve konumu açısından dengeli olması ideal yaklaşımdır.

Açık ve Yalın Dil: Onay isteme metinlerinde kullanıcıyı yanıltıcı, belirsiz ifadeler kullanılmamalıdır. Örneğin “Sitemizi geliştirmek için bazı çerezler kullanıyoruz, kabul ediyor musunuz?” gibi muğlak cümleler yerine “Size daha iyi bir deneyim sunmak ve reklamları kişiselleştirmek için X ve Y amaçlı çerezler kullanıyoruz” şeklinde spesifik ve anlaşılır ifadeler tercih edilmelidir. Ayrıca detaylı bilgi isteyen kullanıcılar için banner üzerinde “Çerez Politikasını Oku” veya “Detayları Görüntüle” gibi bağlantılar bulundurulmalıdır. Önemli bilgiler küçük yazılarla dipnotlara veya “daha fazla oku” bağlantılarının arkasına gizlenmemelidir. Kullanıcı, neyi kabul edip etmediğini ilk bakışta kavrayabilmelidir.

Ön Tanımlı Tercih Yok: Opt-in ilkesi gereği, tercih yönetim panelindeki kategoriler varsayılan “kapalı” olmalıdır. Hiçbir çerez kategorisi (zorunlu olanlar hariç) kullanıcı onay vermeden aktif konumda gelmemelidir. Onay kutuları veya kaydırma düğmeleri, kullanıcı aksiyonuna kadar etkin olmamalıdır. Önceden işaretli onay kutusu kullanımı, Planet49 kararıyla da yasaklandığı üzere, kesinlikle kaçınılması gereken bir uygulamadır.

Granüler Tercih İmkânı: İyi bir çerez yönetimi, kullanıcının sadece “ya hep ya hiç” şeklinde seçim yapmasına mecbur bırakmaz. Banner üzerinde “Tercihleri Yönet” veya “Çerez Ayarları” gibi bir butonla, kullanıcıya kategori bazında onay verme olanağı tanıyın. Örneğin kullanıcı, istemiyorsa pazarlama çerezlerini tümüyle reddedip buna karşın sitenin performansını ölçmeye yarayan istatistik çerezlerine izin verebilmelidir. Tabi burada da dikkat edilmesi gereken, amaçların ayrı ayrı sunulması ve kullanıcının her bir amaca ayrı rıza verebilmesidir. Farklı amaçları tek bir onayda birleştirmek (örn. “İstatistik ve pazarlama çerezlerini kabul et” gibi) toplu rıza anlamına gelir ve geçerli sayılmaz.

İzin İptali ve Değişiklik Kolaylığı: Kullanıcı bir kez tercihini belirledikten sonra, bu tercihi kolayca değiştirebilmelidir. İyi uygulamalarda sitenin footer bölümünde veya köşesinde her zaman görünen bir “🍪 Çerez Tercihleri” simgesi yer alır. Kullanıcı dilediği an bu simgeye tıklayarak paneli yeniden açabilir ve isterse daha önce verdiği rızaları geri alabilir. KVKK rehberi de “rıza geri alma mekanizmasının, rıza vermek kadar kolay olması gerektiğini” vurgulamaktadır. Ayrıca, kullanıcı rızasını geri çektiğinde bunu teknik olarak da uygulamak (cihazdaki ilgili çerezleri silmek veya etkisiz hale getirmek) gerekir.

Kayıt Tutma ve Versiyonlama: Gerek denetim otoriteleri gerek kullanıcı şikâyetleri durumunda, şirketlerin verdikleri sözleri tutup tutmadığı kontrol edilebilir. Bu yüzden, kullanılan çerez banner’ının ve politikalarının versiyonlarını arşivlemek faydalıdır. Hangi tarihte hangi metinlerin gösterildiği, banner’ın o tarihte nasıl göründüğü, varsa onay kayıtları (loglar) saklanmalıdır. Örneğin bir kullanıcı “ben aslında reddetmiştim ama bana çerez yerleştirildi” iddiasında bulunursa, şirket o kullanıcının ID’siyle zaman damgalı rıza kaydını sunarak kendini savunabilir. AB’de bazı otoriteler, organizasyonlardan geçmişe dönük banner ve rıza mekanizması değişiklik kayıtlarını tutmalarını istemektedir. Türkiye’de de KVKK denetimlerinde kurumlardan çerez politikası versiyonları, kullanıcı tercih logları, gösterilen banner ekran görüntüleri gibi belgeler istenebilmektedir. Dolayısıyla, bir Consent Management Platform (CMP) kullanıyorsanız, bunların kayıt tutma özelliğini etkinleştirmek veya manuel olarak bu verileri güvenli biçimde saklamak önemlidir.

Düzenli Gözden Geçirme: Web sitenize eklediğiniz yeni bir üçüncü taraf araç (örneğin bir chat widget’ı veya sosyal medya eklentisi), arka planda yeni çerezler getirebilir. Zamanla, başlangıçta aldığınız rıza kapsamı dışına çıkan çerezler çalışmaya başlayabilir. Bu nedenle çerez envanterinizi periyodik olarak (örneğin her 6 ayda bir) gözden geçirin. Yeni eklenen çerezler varsa çerez politikanızı güncelleyin ve rıza metinlerinizi buna göre uyarlayın. Kullanıcıların belirli aralıklarla rızalarını yenilemek de iyi bir uygulamadır – örneğin her 12 ayda bir banner’ı tekrar gösterip tercihleri teyit etmek, hem yasal belirsizlikleri önler hem de kullanıcıya kontrolünün devam ettiği hissini verir.

Kötü ve İyi Uygulama Örnekleri

Yukarıda prensipleriyle ele aldığımız konuyu, somut örneklerle pekiştirelim. İşte çerez yönetiminde sıkça görülen bazı iyi ve kötü uygulamalar:

İyi Uygulamalar (Best Practices)

Dengeli Banner Tasarımı: Örneğin, bir e-ticaret sitesinin çerez banner’ı açıldığında “Hepsini Kabul Et” ve “Hepsini Reddet” butonları yan yana, aynı büyüklük ve renkte gösteriliyor. Ortalarında ise “Tercihleri Düzenle” seçeneği bulunuyor. Kullanıcı, isterse tek tıkla reddedip alışverişe devam edebiliyor. Bu tasarım, kullanıcıya gerçek bir tercih sunarak özgür irade ilkesine uygun davranır.

Kategori Bazlı İzin: Bir haber portalı, çerez panelinde çerezleri “Zorunlu, İstatistik, Pazarlama, Fonksiyonel” gibi kategorilere ayırmış. Varsayılan olarak zorunlular dışındakiler kapalı ve yanında kısa açıklamalar var (“İstatistik: Site trafiğimizi anlamamızı sağlar” gibi). Kullanıcı, her kategori için ayrı ayrı onay verebiliyor. Bu sayede kontrol tamamen kullanıcıda oluyor ve bilgilendirilmiş onam sağlanıyor.

Kolay Erişilebilir Politika: Bir blog sitesi, sayfanın en altında “Çerez Politikası” linkini sürekli tutuyor. Çerez banner’ında da “Detaylı bilgi için çerez politikamıza göz atın” şeklinde bir cümleyle bu linke yönlendirme yapıyor. Bu politika sayfasında tüm çerezlerin listesi ve açıklaması şeffaf biçimde yer alıyor. Kullanıcı dilerse her an bu bilgilere ulaşabiliyor.

Log ve Kanıt Yönetimi: Profesyonel hizmet sunan bir şirketin web sitesi, entegre bir CMP kullanıyor ve alınan her rızayı anonim bir ID ile kaydediyor. Kullanıcı rıza verdikten sonra, bu ID ve zaman damgası güvenli bir veri tabanına atılıyor. Olası denetim durumunda şirket, “şu kullanıcı şu tarihte şu kategoriler için onay verdi” diye ispat sunabiliyor. Bu, regülatörlerin gözünde şirketin proaktif uyum çabasını gösteren bir artı puandır.

Rıza Olmayınca İzlememe: İyi bir örnek olarak, bir içerik platformu kullanıcı çerezleri reddettiğinde Google Analytics’i devreye sokmuyor ve reklam network’lerine veri göndermiyor. Sayfaların altında “Reklamları özelleştirmeyi reddettiğiniz için genel (kişiselleştirilmemiş) reklamlar gösteriliyor” gibi bir notla, kullanıcının tercihine saygı duyulduğu belirtiliyor. Bu şeffaflık, kullanıcı güvenini artırır.

Kötü Uygulamalar (Kaçınılması Gerekenler)

Sadece “Tamam” Butonu: Kimi siteler hâlâ sayfanın altında “Bu site çerez kullanmaktadır, OK” şeklinde tek bir buton içeren banner’lar gösteriyor. Bu banner’larda kullanıcıya başka seçenek sunulmadığı için ya mecburen “OK” deyip geçiyor ya da banner’ı kapatamadan siteyi terk ediyor. Sadece onay seçeneği vermek, açık rıza şartını sağlamaz ve denetimlerde bu uygulama açık ihlal olarak görülür.

Gizli Reddet Seçeneği: Kötü niyetli tasarımlarda “Kabul Et” butonu büyük ve belirgin, “Reddet” ise metin linki olarak banner’ın köşesine gizlenmiş olabilir. Hatta bazı durumlarda reddetmek için kullanıcıyı 2-3 tıkla ayarlar ekranına yönlendirip uğraştırırlar. Örneğin bir moda sitesinin önce “Tercihleri Yönet” demenizi, sonra alt menülerde “hayır”ları tek tek seçmenizi gerektiren karmaşık bir süreç sunduğunu düşünün. Bu tür karanlık desenler (dark patterns), özellikle Avrupa’da ciddi para cezalarına konu olmuştur. Nitekim Fransa’da 2022 yılında CNIL, “Reddet” seçeneğini birkaç tık arkada bırakan Google ve Facebook’a toplamda 210 milyon Euro ceza vermiştir (Google’a 150M€, Facebook’a 60M€) – eşitliğe aykırı banner tasarımının bedeli çok ağır olabilmektedir.

Ön Tıklanmış Onay Kutuları: Kullanıcı siteye girer girmez, ayarlar panelinde pazarlama ve analiz çerezlerinin onay kutularının zaten işaretli olduğunu varsayalım. Bu, kullanıcı fark etmese bile çerezleri kabul etmiş durumuna düşmesine yol açar. Avrupa Adalet Divanı’nın Planet49 kararından bu yana bunun kesinlikle geçersiz bir yöntem olduğu açıktır. Hâlâ bu yola başvuran siteler, hem yasal riske davetiye çıkarır hem de kullanıcı gözünde güvenilirlik kaybeder.

Çerez Duvarı: Bazı web siteleri, içeriğe erişmeden önce kullanıcının “kabul ediyorum” demesini şart koşar; aksi takdirde site içeriğini bulanıklaştırıp engeller. Bu yaklaşıma “çerez duvarı” deniyor. Açık rızanın özgür iradeyle verilmesi ilkesini ihlal ettiği için hem KVKK Kurulu hem de Avrupa otoriteleri tarafından hukuka aykırı kabul edilmektedir. Kötü bir örnek olarak, bir haber sitesinin “Sitemizi ziyaret etmek için lütfen çerezleri kabul edin” şeklinde bir ekranla kullanıcıyı mecbur bırakması gösterilebilir. Bu durumda kullanıcı aslında haber okumak gibi anayasal bir hakkını kullanmak için kişisel verilerinden vazgeçmeye zorlanıyor ki böylesi bir rıza geçerli olmaz.

Devam Etmek = Rıza: Hâlâ bazı sitelerde “Siteyi kullanmaya devam ederek çerezlere izin vermiş olursunuz” şeklinde küçük bir banner çıktığını görebilirsiniz. Kullanıcı herhangi bir butona basmadan sayfada gezinmeye devam ettiği için sanki rıza göstermiş sayılıyor. Bu örtük/varsayılan rıza modeli, günümüz mevzuatında kabul görmemektedir. Kullanıcının açık bir onay eylemi göstermesi zorunludur; salt sayfada kalmaya devam etmek onay teşkil etmez. Dolayısıyla bu uygulama da kaçınılması gereken, şirketi riske atan kötü bir pratiktir.

Kayıt Tutmama: Kötü uygulamalar sadece kullanıcıya dönük arayüzle sınırlı değil, arka planda da olabiliyor. Örneğin bir şirket, aslında güzel bir banner kurmuş ve rıza alıyor olsun. Fakat aldığı rızaları hiçbir yerde kaydetmiyor veya hangi kullanıcı neyi reddetmiş takip etmiyor. Sonuçta hem kullanıcı tercihine uygun davranıldığından emin olamaz (sistemde açık varsa reddeden kullanıcıya yanlışlıkla çerez atılabilir) hem de denetimde kanıt sunamaz. Bu nedenle log tutmamak, uyum eksikliği olarak değerlendirilen bir hatadır.

2025 ve Ötesi: Trendler ve Sonuç

Çerez yönetimi alanı, 2025 yılında hem teknolojik yenilikler hem de yasal gelişmeler ışığında dönüşüm geçiriyor. Teknoloji cephesinde, üçüncü taraf çerezlerin sonu yaklaştı: Safari ve Firefox halihazırda 3. parti çerezleri büyük ölçüde engellerken, Google Chrome da 2024 sonu itibarıyla üçüncü taraf çerez desteğini kaldırma planını duyurdu. Bu değişim, dijital reklamcılık ekosistemini kökten etkiliyor. Şirketler, kullanıcı takibini çerez dışında yöntemlerle (ör. tarayıcı fingerprinting, Google’ın Privacy Sandbox/Topics API girişimi vb.) yapmanın yollarını arıyor. Ancak unutulmamalıdır ki; kullanılan teknik ne olursa olsun, eğer kullanıcı cihazında bilgi depolama/erişim söz konusuysa (çerez, localStorage veya başka yöntemle), ePrivacy mantığı gereği onay gerekmeye devam eder. Örneğin çerez yerine localStorage kullanılması da hukuki yükümlülükleri değiştirmez – KVKK Kurumu ve EDPB bu konuda kullanılan teknolojiden bağımsız olarak kullanıcı rızasının aranacağını belirtiyor.

Öte yandan Google, reklam ve analiz ürünlerinde Consent Mode adını verdiği bir yapıyı 2024 itibarıyla zorunlu hale getirdi. Bu mod, sitenizde Google Ads veya Analytics kodları olsa bile, kullanıcının rızası yoksa veri toplamamalarını sağlıyor. Başka bir deyişle, kullanıcı izin vermezse Google’ın scriptleri çalışsa dahi raporlar boş geliyor, reklam optimizasyonları devre dışı kalıyor. Bu, pazarlama ekipleri için dönüşüm oranlarında düşüş gibi zorluklar getirirken, bir yandan da firmaları kullanıcıdan gerçekten onay almaya teşvik ediyor. Eskiden pek çok site, kullanıcı reddetse de arka planda yine de kısmen izleme yapmaya çalışırken (gölge teknikler), artık bu giderek güçleşiyor. Büyük teknoloji sağlayıcıları bile, regülasyonlarla uyum için araçlarını değiştirmek zorunda kalıyor.

Sonuç olarak, 2025’te çerez yönetimi hem yasal bir zorunluluk hem de kurumsal itibarı etkileyen kritik bir unsur haline gelmiştir. Uyum sağlamayanları çok ciddi yaptırımlar beklemektedir: Avrupa’da yüz milyonlarca Euro’luk cezalar artık manşet olmaktan çıkıp sıradanlaşmaya başladı. Fransa’nın 2025’te Google’a kestiği 325 milyon €’luk rekor ceza, “Reddet” seçeneğini kullanıcıya yeterince kolay sunmamasından kaynaklandı. Benzer şekilde global şirketler tekrar tekrar cezalarla karşılaşmakta, yetkililer cepleri yakarak ders vermeye çalışmaktadır. Türkiye’de de KVKK, ilk yıllardaki uyarılarını geride bırakıp yaptırım dozajını arttırmıştır – yakın gelecekte milyon TL’lik cezaların yanı sıra itibar kaybı, müşteriler nezdinde güven erozyonu gibi dolaylı zararlar da söz konusu olabilir.

Şirketler için tavsiye, çerez politikasını bir defaya mahsus “kağıt üstünde” halledilecek bir iş olarak görmemektir. Aksine, canlı bir uyum süreci olarak ele alıp düzenli güncellemeler yapmak, kullanıcı geri bildirimlerini takip etmek ve mümkün olduğunca şeffaf olmak gereklidir. İyi tasarlanmış bir çerez yönetimi, kullanıcı deneyimini aşırı bölmeden de yapılabilir ve uzun vadede müşteri sadakatini artırabilir. Unutmayalım: Günümüzün internet kullanıcıları mahremiyet konusunda her zamankinden daha bilinçli. Açık rızaya gerçekten değer veren ve bunu kullanıcısına hissettiren şirketler, rakiplerine karşı güven avantajı elde edecektir. Hem hukuka uygunluk sağlamak hem de dijital itibarınızı korumak için, çerez yönetiminizi 2025 standartlarına uygun hale getirmek artık ertelenemez bir önceliktir.

Av. Deniz YEŞİLOĞLU

İlgili Mevzuat

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) – Türkiye’nin veri koruma kanunu, açık rıza ve aydınlatma yükümlülüğü gibi genel hükümleriyle çerez kullanımlarını kapsar.

Kişisel Verileri Koruma Kurumu, Çerez Uygulamaları Hakkında Rehber (2022) – KVKK Kurumu’nun yayımladığı, çerez kullanımına ilişkin uyulması gereken ilkeleri ve iyi/kötü örnekleri içeren kılavuz.

5809 sayılı Elektronik Haberleşme Kanunu, m.51(3) – Elektronik haberleşme hizmeti sunan işletmeciler için abone cihazlarında bilgi saklama koşulunu düzenler (AB ePrivacy Direktifi’ne paralel hüküm).

AB Elektronik Haberleşme Gizliliği Direktifi (2002/58/EC) – Çerezler için önceden izin şartını getiren Avrupa Birliği direktifi (ePrivacy Directive olarak bilinir).

AB Genel Veri Koruma Tüzüğü (2016/679 GDPR) – Kişisel verilerin işlenmesinde rıza standartlarını ve yaptırımları belirleyen, AB genelinde uygulanır; çerezlerle toplanan kişisel verilere de uygulanır.

Birleşik Krallık Privacy and Electronic Communications Regulations (PECR) (2003) – ePrivacy kurallarını Birleşik Krallık’ta düzenleyen yönetmelik; 2025’te Data (Use and Access) Act ile değişiklik hazırlıkları gündemdedir.

California Consumer Privacy Act (CCPA) & California Privacy Rights Act (CPRA) – ABD/California eyaletinde geçerli, kullanıcıya takip ve satışları reddetme hakkı veren ve dolaylı olarak çerez kullanımını etkileyen yasalar.

Avrupa Konseyi 108+ No’lu Sözleşme – Kişisel verilerin otomatik işlenmesinde bireylerin korunmasına dair uluslararası sözleşme; taraf ülkelerde temel prensip olarak rızaya ve hukuka uygunluğa vurgu yapar.

Kaynakça

Esenyel Partners Hukuk – “KVKK Çerez Rehberi Uyarınca Web Siteleri İçin Uyum Yol Haritası” (Blog, 15 Ağu 2025) esenyelpartners.comesenyelpartners.com

VeraSafe – “EU Cookie Consent: What’s Changing and How to Stay Ahead” (Blog, 15 May 2025) verasafe.comverasafe.com

Osborne Clarke – “Planet49: CJEU rules on consent requirements for cookies” (Insight, 7 Eki 2019) osborneclarke.comosborneclarke.com

Skadden – “Cookie Consent: Unpacking the UK ICO’s Proposed New Approach” (Insight, 6 Ağu 2025) skadden.comskadden.com

Cerezgo – “Çerez Yönetiminde 2025 Standartları: KVKK, Açık Rıza ve Dijital Uyum Rehberi” (Blog, 2025) cerezgo.com.trcerezgo.com.tr

Captain Compliance – “France’s CNIL Slams Google and Shein with Record Fines for Cookie Violations” (Blog, 3 Eyl 2025) captaincompliance.comcaptaincompliance.com

DLA Piper Privacy Matters – “FRANCE: Cookies – new record sanctions for tech giants” (Blog, Ocak 2022) – CNIL’in Google’a €150M, Facebook’a €60M ceza karar haberi.

Avrupa Adalet Divanı – Planet49 Kararı C‑673/17 (1 Ekim 2019) – Çerez rızası hakkında ön karar.

ICO UK – “Data Protection and Digital Information Act 2023” ve ilgili rehber taslakları (İngiltere düşük riskli çerez istisnaları).