İçindekiler

  1. Giriş
  2. Çerez Kavramı ve Çerez Türleri
  3. Avrupa Birliği’nde Çerez Politikaları
    3.1. ePrivacy Directive Madde 5(3)
    3.2. GDPR Madde 4(11) Kapsamında Açık Rıza
    3.3. GDPR Madde 6 Kapsamında Hukuki Dayanak
    3.4. GDPR Madde 7 Kapsamında Rızanın Koşulları
    3.5. GDPR Madde 13 Kapsamında Bilgilendirme Yükümlülüğü
    3.6. Kullanıcı Hakları ve Genel Değerlendirme
  4. Türkiye’de KVKK Kapsamında Çerez Politikaları
    4.1. KVKK Kapsamında Çerezlerin Değerlendirilmesi
    4.2. KVKK Madde 3 Kapsamında Açık Rıza
    4.3. KVKK Madde 5 Kapsamında Kişisel Veri İşleme Şartları
    4.4. KVKK Madde 10 Kapsamında Aydınlatma Yükümlülüğü
    4.5. KVKK Madde 11 Kapsamında İlgili Kişinin Hakları
    4.6. Çerez Rehberi ve Uygulama İlkeleri
  5. GDPR ve KVKK Kapsamında Çerez Politikalarının Karşılaştırılması
  6. Örnek Site İncelemeleri İçin Değerlendirme Yöntemi
  7. Uygulamalı İnceleme: Çevrim İçi Çerez Analiz Araçlarıyla Web Sitesi Değerlendirmesi
  8. Değerlendirme ve Öneriler
  9. Sonuç
  10. Kaynakça
  11. İncelenen Maddeler

Özet

Bu makalede çerez politikaları, açık rıza ve şeffaflık konusu üzerinden incelenmiştir. İnternet sitelerine girerken çoğu zaman çerezleri kabul ederiz. Fakat bu kabulün ne anlama geldiğini her zaman bilmeyiz. Hangi verilerin toplandığı, bu verilerin ne kadar süre saklandığı ve başka kişi ya da kurumlarla paylaşılıp paylaşılmadığı çoğu kullanıcı için açık değildir.

Çalışmada önce Avrupa Birliği tarafındaki ePrivacy Directive ve GDPR hükümlerine bakılmıştır. Özellikle çerez kullanımı, açık rıza, hukuki dayanak ve kullanıcıya bilgi verme yükümlülüğü üzerinde durulmuştur. Türkiye tarafında ise 6698 sayılı Kişisel Verilerin Korunması Kanunu, açık rıza, aydınlatma yükümlülüğü, ilgili kişinin hakları ve KVKK’nın Çerez Uygulamaları Hakkında Rehberi incelenmiştir.

Makalenin karşılaştırma bölümünde GDPR ve KVKK arasında temel amaç bakımından büyük bir fark olmadığı görülmüştür. İki sistem de kullanıcının bilgilendirilmesini ve rızanın bilinçli şekilde alınmasını hedeflemektedir. Fark daha çok bu kuralların hangi düzenlemeler üzerinden açıklandığı ve uygulamada nasıl karşılık bulduğu noktalarında ortaya çıkmaktadır. Uygulama bölümünde ise CookieServe ve Cookiebot gibi çevrim içi çerez analiz araçları kullanılarak web sitelerindeki çerez türleri, takipçi sayıları, önceden onay durumu ve şeffaflık ölçütleri incelenmiştir. Bu çalışma sonucunda çerez politikalarının yalnızca hukuki bir metin olmadığı, kullanıcının bilinçli karar verebilmesi için önemli bir etik bilgilendirme alanı olduğu sonucuna ulaşılmıştır.

1. Giriş

İnternet sitelerine girdiğimizde çoğu zaman karşımıza çerez onay ekranları çıkar. Bu ekranlarda bizden çerezleri kabul etmemiz istenir. Fakat birçok kullanıcı bu onayı verirken tam olarak neye izin verdiğini bilmez. Hangi çerezlerin kullanıldığı, hangi verilerin toplandığı, bu verilerin ne kadar saklandığı ya da üçüncü kişilerle paylaşılıp paylaşılmadığı çoğu zaman açık şekilde anlaşılmaz.

Çerezler her zaman kötü ya da gereksiz değildir. Bazı çerezler sitenin çalışması için gereklidir. Oturumun açık kalması, dil seçiminin hatırlanması veya alışveriş sepetindeki ürünlerin kaybolmaması buna örnek verilebilir. Fakat reklam, pazarlama ve analiz amacıyla kullanılan çerezler farklıdır. Bu tür çerezler kullanıcının davranışlarını takip edebilir ve bu takip bazen kullanıcı farkında olmadan gerçekleşebilir.

Bu noktada açık rıza ve şeffaflık önemli hale gelir. Kullanıcı bir butona tıkladığında neyi kabul ettiğini anlayabilmelidir. Reddetme seçeneği açık biçimde gösterilmiyorsa veya çerez türleri anlaşılır şekilde ayrılmamışsa verilen onayın gerçekten bilinçli olup olmadığı tartışılır.

Bu çalışmada çerez politikaları Avrupa Birliği ve Türkiye uygulamaları üzerinden incelenmiştir. Avrupa Birliği tarafında GDPR ve ePrivacy düzenlemeleri, Türkiye tarafında ise KVKK ve çerez uygulamalarına ilişkin açıklamalar dikkate alınmıştır. Çalışmanın amacı, çerez politikalarını açık rıza, bilgilendirme, veri saklama, üçüncü taraf paylaşımı ve şeffaflık yönünden karşılaştırmaktır.

2. Çerez Kavramı ve Çerez Türleri

Çerezler, internet sitelerinin kullanıcıya ait bazı bilgileri tarayıcıda saklamasını sağlayan küçük veri dosyalarıdır. Bir siteye tekrar girildiğinde dil tercihi, oturum bilgisi veya alışveriş sepetindeki ürünler bu dosyalar sayesinde hatırlanabilir. Bu yüzden çerezler bazı durumlarda sitenin düzgün çalışması için gerekli hale gelir.

Ancak çerezlerin tamamı aynı amaçla kullanılmaz. Sitenin temel işlevlerini yerine getirmesi için kullanılan çerezler zorunlu çerezlerdir. Bunun dışında reklam, pazarlama ve analiz amacıyla kullanılan çerezler de vardır. Bu çerezler sitenin çalışması için zorunlu değildir; daha çok kullanıcı davranışlarını ölçmek veya kişiye özel içerik ve reklam göstermek için kullanılır.

Bu ayrım çerez politikaları açısından önemlidir. Çünkü bir sitenin çalışması için gerekli olan çerez ile kullanıcının davranışlarını takip eden reklam çerezi aynı şekilde değerlendirilmemelidir. Kullanıcı hangi çerezin hangi amaçla kullanıldığını göremiyorsa, verdiği onayın gerçekten bilinçli olup olmadığı tartışmalı hale gelir.

3. Avrupa Birliği’nde Çerez Politikaları

3.1. ePrivacy Directive Madde 5(3)

Avrupa Birliği’nde çerezlerle ilgili konu yalnızca GDPR ile açıklanmaz. Bu alanda ePrivacy Directive de önemli bir yere sahiptir. Özellikle ePrivacy Directive’in 5(3). maddesi, kullanıcının cihazına bilgi kaydedilmesi ya da cihazda bulunan bilgilere erişilmesiyle ilgilidir.Bu maddeye göre bir internet sitesi, kullanıcının cihazına bilgi yerleştirecekse veya cihazda bulunan bilgilere erişecekse kullanıcıyı açık ve kapsamlı şekilde bilgilendirmelidir. Bu bilgilendirme içinde verilerin hangi amaçla işlendiği de yer almalıdır. Ayrıca kullanıcıya bu işlemi reddetme hakkı verilmelidir.Maddede bazı istisnalar da vardır. Elektronik haberleşmenin gerçekleşmesi için teknik olarak gerekli olan depolama veya erişim bu kapsamda engellenmez. Kullanıcının açıkça istediği bir hizmetin sunulması için kesin gerekli olan işlemler de bu istisnaya dahildir.Bu yüzden Avrupa Birliği’nde çerezler sadece teknik bir araç olarak görülmez. Kullanıcının cihazına erişim, bilgilendirme ve tercih hakkı ile birlikte değerlendirilir.

3.2. GDPR Madde 4(11) Kapsamında Açık Rıza

GDPR Madde 4(11), rızanın nasıl anlaşılması gerektiğini açıklar. Buna göre rıza; kişinin kendi verilerinin işlenmesini özgür iradesiyle, belirli bir konu için, bilgi sahibi olarak ve açık bir davranışla kabul etmesidir.Bu tanım çerezler için de önemlidir. Kullanıcı sadece ekranda çıkan bir butona basmış olmamalıdır. Hangi çerezlere izin verdiğini, bu çerezlerin ne için kullanılacağını ve bu iznin ne anlama geldiğini anlayarak karar vermelidir.

3.3. GDPR Madde 6 Kapsamında Hukuki Dayanak

GDPR Madde 6, kişisel verilerin hangi durumlarda hukuka uygun şekilde işlenebileceğini açıklar. Buna göre veri işleme için geçerli bir hukuki dayanak bulunmalıdır.Bu dayanaklardan biri kullanıcının rızasıdır. Bunun dışında sözleşmenin yerine getirilmesi, veri sorumlusunun hukuki yükümlülüğü, hayati menfaatlerin korunması, kamu yararına yürütülen görevler veya meşru menfaat gibi başka dayanaklar da vardır. Meşru menfaat kullanıldığında ise kişinin temel hak ve özgürlükleri göz ardı edilemez. Veri sorumlusunun menfaati, kullanıcının haklarından daha ağır basmamalıdır.

3.4. GDPR Madde 7 Kapsamında Rızanın Koşulları

GDPR Madde 7, rızanın hangi şartlarda geçerli sayılacağını açıklar. Eğer veri işleme rızaya dayanıyorsa, veri sorumlusu bu rızanın gerçekten alındığını gösterebilmelidir.Rıza başka konuların içinde gizlenmemelidir. Kullanıcıdan istenen onay, diğer metinlerden ayrı ve anlaşılır şekilde sunulmalıdır. Dilin açık, sade ve kolay erişilebilir olması gerekir.Kullanıcı verdiği rızayı daha sonra geri çekebilmelidir. Rızanın geri çekilmesi, daha önce rızaya dayanarak yapılan işlemleri geçmişe dönük olarak geçersiz hale getirmez. Ancak kullanıcı bu hakkı olduğunu rıza vermeden önce bilmelidir. GDPR’ye göre rızayı geri çekmek, rıza vermek kadar kolay olmalıdır. Bu durum çerezler için de geçerlidir. Kullanıcı çerezlere izin verdikten sonra bu tercihini zorlanmadan değiştirebilmelidir. Madde 7’de ayrıca rızanın gerçekten özgür iradeyle verilip verilmediğine de dikkat edilir. Bir hizmetin sunulması, o hizmet için gerekli olmayan kişisel verilerin işlenmesine verilen rızaya bağlanmamalıdır. Bu yüzden zorunlu olmayan çerezler kullanıcıya mecbur bırakılmamalıdır.

3.5. GDPR Madde 13 Kapsamında Bilgilendirme Yükümlülüğü

GDPR Madde 13, kişisel veriler doğrudan kullanıcıdan toplandığında hangi bilgilerin verilmesi gerektiğini açıklar. Bu maddeye göre kullanıcıya öncelikle veri sorumlusunun kimliği ve iletişim bilgileri verilmelidir. Varsa veri sorumlusunun temsilcisi ve veri koruma görevlisi hakkında da iletişim bilgisi sunulmalıdır. Böylece kullanıcı, verileriyle ilgili bir konuda kime başvuracağını bilir.

Kullanıcıya verilerinin hangi amaçlarla işlendiği ve bu işlemenin hangi hukuki dayanağa bağlı olduğu da açıklanmalıdır. İşleme faaliyeti meşru menfaate dayanıyorsa, bu menfaatin ne olduğu da belirtilmelidir. Kişisel veriler başka kişi, kurum veya hizmet sağlayıcılarla paylaşılıyorsa, kullanıcı bundan haberdar edilmelidir. Verilerin üçüncü bir ülkeye ya da uluslararası bir kuruluşa aktarılması durumunda da bu aktarım açık şekilde yazılmalıdır.

Madde 13’te saklama süresi de önemli bir başlıktır. Veri sorumlusu, kişisel verilerin ne kadar süreyle saklanacağını kullanıcıya bildirmelidir. Eğer kesin bir süre verilemiyorsa, bu sürenin hangi ölçütlere göre belirlendiği açıklanmalıdır.Çerez politikaları için bu madde oldukça önemlidir. Çünkü kullanıcı yalnızca çerezlerin varlığını değil, bu çerezlerle elde edilen verilerin kim tarafından işlendiğini, ne amaçla kullanıldığını, kimlerle paylaşılabileceğini ve ne kadar süre saklanacağını da görebilmelidir.

3.6. Kullanıcı Hakları ve Genel Değerlendirme

GDPR Madde 13, kullanıcıya hakları hakkında bilgi verilmesini de ister. Kullanıcı kendi kişisel verilerine erişme hakkına sahiptir. Ayrıca yanlış veya eksik verilerin düzeltilmesini, bazı durumlarda silinmesini ya da işlemenin sınırlandırılmasını talep edebilir. Kullanıcının işlemeye itiraz etme ve veri taşınabilirliği hakkı da vardır. Eğer veri işleme rızaya dayanıyorsa, kullanıcı bu rızayı daha sonra geri çekebilir. Bu hakkın kullanıcıya en baştan açık şekilde anlatılması gerekir.

Kullanıcıya ayrıca bir denetim makamına şikâyette bulunabileceği de söylenmelidir. Kişisel veri vermenin yasal bir zorunluluk olup olmadığı da açıklanmalıdır. Kullanıcı veri vermediğinde ne gibi sonuçlarla karşılaşacağını bilmelidir. Eğer otomatik karar verme veya profilleme yapılıyorsa, bunun da açıkça belirtilmesi gerekir. Kullanıcı yalnızca verisinin alındığını değil, bu verinin hangi mantıkla kullanılacağını ve kendisi için ne gibi sonuçlar doğurabileceğini de anlayabilmelidir.

Genel olarak Avrupa Birliği’nde çerez politikalarında birkaç temel başlık öne çıkar. Bunlar; kullanıcının cihazına bilgi kaydedilmesi, açık rıza, hukuki dayanak, rızanın geri çekilmesi, veri sorumlusunun kimliği, iletişim bilgileri, işleme amacı, saklama süresi, üçüncü taraf aktarımı ve kullanıcı haklarıdır. Bu başlıklar, çerez politikasının sadece “onay alındı” demek için hazırlanamayacağını gösterir. Kullanıcı neye izin verdiğini anlayabilmeli, istemediği çerezleri reddedebilmeli ve daha sonra tercihini değiştirebilmelidir.

4. Türkiye’de KVKK Kapsamında Çerez Politikaları

4.1. KVKK Kapsamında Çerezlerin Değerlendirilmesi

Türkiye’de çerez politikaları, 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte ele alınır. Bu noktada açık rıza, aydınlatma yükümlülüğü ve ilgili kişinin hakları öne çıkar. KVKK’da çerezler için ayrı bir madde bulunmaz. Ancak çerezler yoluyla kişisel veri işleniyorsa, bu durumda KVKK hükümleri uygulanır.

4.2. KVKK Madde 3 Kapsamında Açık Rıza

KVKK Madde 3’te açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanır. Çerez kullanımı açık rızaya dayanıyorsa, kullanıcı neye izin verdiğini bilmelidir. Hangi çerezlerin kullanılacağı ve bu çerezlerin hangi amaçla çalışacağı açıkça gösterilmelidir. Rıza genel ifadelerle ya da kullanıcıyı kabul etmeye yönlendiren bir tasarımla alınmamalıdır.

4.3. KVKK Madde 5 Kapsamında Kişisel Veri İşleme Şartları

KVKK Madde 5, kişisel verilerin hangi şartlarda işlenebileceğini açıklar. Genel kural olarak kişisel veriler, ilgili kişinin açık rızası olmadan işlenemez. Fakat Kanun’da bazı istisnalar da vardır. Bu şartlardan biri varsa, açık rıza alınmadan da kişisel veri işlenebilir. Çerezlerde de aynı mantık geçerlidir. Burada önemli olan, çerezin hangi amaçla kullanıldığıdır. Sitenin çalışması için gerekli olan çerezlerle reklam, pazarlama veya kullanıcı takibi için kullanılan çerezler aynı şekilde değerlendirilmemelidir. Zorunlu çerezler farklı, kullanıcıyı izleyen veya reklam amacı taşıyan çerezler farklı ele alınmalıdır.

4.4. KVKK Madde 10 Kapsamında Aydınlatma Yükümlülüğü

KVKK Madde 10, veri sorumlusunun kullanıcıyı bilgilendirme görevini açıklar. Kişisel veriler toplanırken kullanıcıya veri sorumlusunun kim olduğu söylenmelidir. Varsa temsilci bilgisi de verilmelidir. Ayrıca kişisel verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, hangi yöntemle toplandığı ve hangi hukuki sebebe dayandığı açıklanmalıdır. Kullanıcı kendi hakları hakkında da bilgilendirilmelidir. Çerez politikalarında bu bilgiler, kullanıcı çerezlere karar vermeden önce görülebilir olmalıdır. Metin açık ve anlaşılır yazılmalıdır. Kullanıcı hangi çereze neden izin verdiğini kolayca anlayabilmelidir.

4.5. KVKK Madde 11 Kapsamında İlgili Kişinin Hakları

KVKK Madde 11, kişisel verisi işlenen kişinin sahip olduğu hakları açıklar. Kullanıcı, kişisel verilerinin işlenip işlenmediğini öğrenebilir. Eğer verileri işlenmişse, buna ilişkin bilgi talep edebilir. Kullanıcı ayrıca verilerinin hangi amaçla kullanıldığını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme hakkına sahiptir. Veriler üçüncü kişilerle paylaşılmışsa, bunların kimler olduğunu da bilmek isteyebilir.

Eksik veya yanlış işlenen verilerin düzeltilmesini istemek de kullanıcının hakları arasındadır. Kanun’da belirtilen şartlar oluşmuşsa, verilerin silinmesini veya yok edilmesini de talep edebilir. Çerezler açısından bu hakların kullanılabilmesi için kullanıcıya başvuru yolları açıkça gösterilmelidir. Kullanıcı, çerezlerle ilgili bir konuda kime ve nasıl başvuracağını kolayca bulabilmelidir.

4.6. Çerez Rehberi ve Uygulama İlkeleri

Kişisel Verileri Koruma Kurumu’nun yayımladığı Çerez Uygulamaları Hakkında Rehber, çerezlerin KVKK ile nasıl ilişkilendirileceğini açıklayan önemli bir kaynaktır. Bu rehber kanun yerine geçmez. Fakat çerez kullanımında açık rıza ve aydınlatma yükümlülüğünün nasıl uygulanacağı konusunda yol gösterir.

Bu yüzden bir sitede yalnızca genel bir KVKK metninin bulunması yeterli değildir. Kullanıcıya hangi çerezlerin kullanıldığı, bu çerezlerin ne işe yaradığı, hangi hukuki sebebe dayandığı ve ne kadar süre saklandığı gösterilmelidir. Veriler üçüncü taraflarla paylaşılıyorsa, bu bilgi de açıkça yazılmalıdır. Çerez politikasında ilk olarak zorunlu çerezler ile rıza gerektirebilecek çerezler ayrılmalıdır. Sitenin çalışması için gerekli olan çerezlerle reklam, pazarlama, profilleme veya davranışsal takip amacı taşıyan çerezler aynı kategoride gösterilmemelidir.

Kullanıcıya sadece “kabul et” seçeneği sunmak yeterli değildir. Kullanıcı çerezleri reddedebilmeli, tercihlerini ayrı ayrı yönetebilmeli ve daha önce verdiği rızayı sonradan değiştirebilmelidir. Bu bilgiler açıkça sunulduğunda çerez politikası yalnızca zorunlu bir metin olmaktan çıkar. Kullanıcının gerçekten bilinçli tercih yapmasına yardımcı olan bir bilgilendirme alanına dönüşür.

5. GDPR ve KVKK Kapsamında Çerez Politikalarının Karşılaştırılması

5.1. Ortak Yaklaşım

Avrupa Birliği ve Türkiye’deki çerez düzenlemelerine bakıldığında, iki sistemin benzer bir amaca yöneldiği görülür. İkisinde de temel konu kullanıcının bilgilendirilmesi, rızanın geçerli şekilde alınması ve kişisel verilerin hangi amaçla işlendiğinin açıkça gösterilmesidir. Bu yüzden GDPR ve KVKK arasında amaç bakımından çok büyük bir ayrım yoktur. Asıl fark, çerez konusunun hangi hukuki metinler üzerinden açıklandığı ve uygulamada nasıl yorumlandığı noktasında ortaya çıkar.

5.2. Avrupa Birliği Yaklaşımı

Avrupa Birliği’nde çerezler hem ePrivacy Directive hem de GDPR ile birlikte değerlendirilir. ePrivacy Directive daha çok kullanıcının cihazına bilgi kaydedilmesi veya cihazdaki bilgilere erişilmesiyle ilgilidir. GDPR ise rıza, hukuki dayanak, bilgilendirme ve kullanıcı hakları gibi konuları tamamlar. Bu yüzden Avrupa Birliği’nde çerez politikaları yalnızca teknik bir konu değildir. Aynı zamanda cihaz mahremiyeti ve kişisel verilerin korunmasıyla da bağlantılıdır.

5.3. Türkiye Yaklaşımı

Türkiye’de çerezler KVKK’da ayrı bir başlık olarak düzenlenmemiştir. Fakat çerezler yoluyla kişisel veri işleniyorsa KVKK hükümleri devreye girer. Bu noktada açık rıza, kişisel veri işleme şartları, aydınlatma yükümlülüğü ve ilgili kişinin hakları temel alınır. KVKK’nın Çerez Uygulamaları Hakkında Rehberi de bu kuralların çerezler için nasıl uygulanabileceğini açıklayan yol gösterici bir kaynaktır.

5.4. Açık Rıza Karşılaştırması

Açık rıza konusunda iki sistem birbirine oldukça yakındır. GDPR’da rıza; özgür iradeyle verilmiş, belirli, bilgilendirilmiş ve açık bir irade beyanı olarak tanımlanır. KVKK’da da açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak geçer. Yani iki düzenlemede de genel ve belirsiz bir onay yeterli değildir. Kullanıcı hangi çerezlere, hangi amaçlarla izin verdiğini anlayarak karar vermelidir.

5.5. Bilgilendirme ve Aydınlatma Karşılaştırması

Bilgilendirme konusunda da benzer bir yapı vardır. GDPR Madde 13, kullanıcıya veri sorumlusunun kimliği, iletişim bilgileri, işleme amacı, hukuki dayanak, veri alıcıları, saklama süresi ve kullanıcı hakları hakkında bilgi verilmesini ister. KVKK Madde 10’da da benzer şekilde veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplama yöntemi, hukuki sebep ve ilgili kişinin hakları açıklanmalıdır. Bu yüzden her iki sistemde de çerez politikalarının yalnızca genel ifadelerden oluşması yeterli değildir. Kullanıcı, çerezlerle ilgili temel bilgileri açık şekilde görebilmelidir.

5.6. Saklama Süresi, Üçüncü Taraf Paylaşımı ve Tercih Yönetimi

Saklama süresi iki sistemde de önemli bir konudur. GDPR, kişisel verilerin ne kadar süreyle saklanacağının kullanıcıya bildirilmesini ister. Eğer net bir süre verilemiyorsa, sürenin hangi ölçütlere göre belirlendiği açıklanmalıdır. KVKK tarafında da çerezlerle elde edilen verilerin hangi amaçla işlendiği, kimlerle paylaşılabileceği ve hangi hukuki sebebe dayandığı kullanıcıya anlatılmalıdır. Bu durum çerezlerin kullanım süresi ve üçüncü taraf paylaşımı konusunda açık bilgi verilmesi gerektiğini gösterir. Reddetme ve tercih yönetimi de çerez politikalarının önemli parçalarındandır. Kullanıcı yalnızca kabul etmeye yönlendirilmemelidir. Çerezleri reddedebilmeli, tercihlerini değiştirebilmeli ve daha önce verdiği rızayı geri çekebilmelidir.

5.7. Genel Değerlendirme

Genel olarak GDPR ve KVKK, çerez politikalarında aynı temel noktaya odaklanır: kullanıcı neye izin verdiğini bilmelidir. Açık bilgi verilmeden, reddetme hakkı sunulmadan veya tercih yönetimi sağlanmadan alınan onay güçlü bir rıza sayılmaz. Fark daha çok düzenlemelerin yapısındadır. Avrupa Birliği’nde çerez konusu ePrivacy Directive ve GDPR birlikte düşünülerek ele alınır. Türkiye’de ise KVKK hükümleri ve KVKK Çerez Rehberi üzerinden açıklanır. Bu yüzden iki sistemin amacı benzerdir; ayrım daha çok uygulama ve düzenleme yapısında görülür.

6. Örnek Site İncelemeleri İçin Değerlendirme Yöntemi

Bu çalışmada çerez politikaları sadece mevzuat metinleri üzerinden incelenmemiştir. Konunun uygulamada nasıl göründüğünü anlayabilmek için Avrupa Birliği ve Türkiye’den toplam dört web sitesi seçilecektir. Bu sitelerin çerez politikaları ve çerez onay ekranları karşılaştırmalı olarak kontrol edilecektir.

İncelemede siteler “iyi” ya da “kötü” diye etiketlenmeyecektir. Bunun yerine aynı ölçütler kullanılacaktır. Bu ölçütler arasında veri sorumlusunun kimliği ve iletişim bilgileri, çerez türlerinin ayrı ayrı gösterilmesi, kullanım amaçlarının açıklanması, saklama süresi, üçüncü taraf paylaşımı, reddetme seçeneği ve sonradan tercih değiştirme imkânı yer alacaktır. Bu bölümün amacı herhangi bir kurum ya da şirketi hedef göstermek değildir. Amaç, bir kullanıcının çerez ekranına baktığında ne kadar bilgi alabildiğini anlamaktır. Seçilen siteler, GDPR ve KVKK’da yer alan açık rıza, bilgilendirme, şeffaflık ve kullanıcı kontrolü ölçütleriyle birlikte değerlendirilecektir.

7. Uygulamalı İnceleme: Çevrim İçi Çerez Analiz Araçlarıyla Web Sitesi Değerlendirmesi

7.1. Kullanılan Araçlar

Bu çalışmanın uygulama kısmında seçilen web siteleri çevrim içi çerez analiz araçlarıyla incelenmiştir. Bu amaçla CookieServe ve Cookiebot Compliance Test araçlarından yararlanılmıştır. CookieServe, bir web sitesinde bulunan çerezleri kategori, sayı ve kullanım türü bakımından göstermektedir. Cookiebot Compliance Test ise çerez ve izleyicilerin yanında önceden onay, kişisel veri işleme ve veri aktarımı gibi uyumluluk başlıkları hakkında da bilgi vermektedir.

Bu araçlar, tek başına kesin bir hukuki karar vermez. Yani bir sitenin hukuka aykırı olup olmadığını doğrudan söylemez. Ancak çerezlerin nasıl kullanıldığına dair teknik bir görünüm sunar. Bu görünüm, çerez politikasını ve çerez onay ekranını değerlendirmek için yararlı bir başlangıç noktası oluşturur.

7.2. Uygulama Süreci

Uygulama sürecinde önce incelenecek web sitesinin bağlantısı çerez analiz aracına girilmiştir. Daha sonra araç tarafından verilen sonuçlar kontrol edilmiştir. Bu sonuçlarda sitede kaç çerez veya izleyici bulunduğuna bakılmıştır. Ayrıca bu çerezlerin zorunlu, pazarlama, analitik ya da sınıflandırılmamış çerezler olup olmadığı incelenmiştir. Bunun yanında sitenin kendi çerez onay ekranı da ayrıca kontrol edilmiştir. Çünkü yalnızca teknik tarama sonucu yeterli değildir. Kullanıcıya çerez bildirimi gösterilip gösterilmediği, reddetme seçeneğinin bulunup bulunmadığı ve tercihlerin ayrı ayrı yönetilip yönetilemediği de önemlidir.

7.3. Araç Sonuçlarının Yorumlanması

CookieServe ile yapılan taramada çerezlerin sayısı ve kategorileri görülmüştür. Bu sonuçlar, sitede hangi tür çerezlerin bulunduğunu anlamak için kullanılmıştır. Cookiebot Compliance Test ise daha geniş bir değerlendirme sunmuştur. Bu araçta zorunlu olmayan çerezler için önceden onay alınıp alınmadığı, kişisel verilerin işlenmesine yönelik rıza durumu, takipçi sayısı ve veri aktarımı gibi başlıklar incelenmiştir.

Elde edilen sonuçlar kesin bir ihlal tespiti olarak yorumlanmamıştır. Bunun yerine, GDPR ve KVKK’da yer alan açık rıza, bilgilendirme, saklama süresi, üçüncü taraf paylaşımı ve kullanıcı kontrolü ölçütleriyle birlikte değerlendirilmiştir.

7.4. Ekran Görüntüleriyle Destekleme

Uygulama bölümünde yapılan taramalar ekran görüntüleriyle desteklenmiştir. Böylece yalnızca teorik açıklama yapılmamış, aynı zamanda çerez analiz araçlarının web siteleri üzerinde nasıl sonuçlar verdiği de gösterilmiştir. Şekil 1’de CookieServe aracıyla yapılan çerez tarama sonucunda tespit edilen çerez kategorileri ve toplam çerez sayısı yer almaktadır. Şekil 2’de ise Cookiebot Compliance Test aracının çerezler, izleyiciler, önceden onay ve kişisel veri işleme başlıklarına ilişkin değerlendirme sonucu gösterilmiştir.

Bu ekran görüntüleri, kullanıcıların bir siteye girdiklerinde yalnızca “kabul et” seçeneğine basmak yerine hangi çerezlerin kullanıldığını sorgulaması gerektiğini göstermektedir.

7.5. Uygulamanın Amacı

Bu uygulamanın amacı, çerez politikalarının günlük internet kullanımında nasıl incelenebileceğini göstermektir. Kullanıcılar çoğu zaman çerez ekranlarını hızlıca geçmektedir. Ancak analiz araçları kullanıldığında bir sitede kaç çerez bulunduğu, bunların hangi amaçla kullanıldığı ve bazı durumlarda hangi ülkelere veri aktarımı yapıldığı görülebilmektedir. Bu nedenle uygulama bölümü, makaledeki açık rıza ve şeffaflık konularını somut hale getirmektedir. Çalışma yalnızca mevzuat anlatımıyla sınırlı kalmamış, kullanıcıların kendi karşılaştıkları web sitelerini daha bilinçli değerlendirebilmesi için pratik bir yöntem de sunmuştur.

 

Şekil 1. Cookiebot Compliance aracı ile yapılan çerez tarama sonucunda incelenen web sitesinde tespit edilen çerez kategorileri ve toplam çerez sayısı.

 

Şekil 2. Cookiebot Compliance Test aracı ile yapılan uyumluluk taramasında çerezler, izleyiciler, önceden onay ve kişisel veri işleme başlıklarına ilişkin değerlendirme sonuçları.

8. Değerlendirme ve Öneriler

8.1. Bilgilendirme ve Şeffaflık

Çerez politikalarında en önemli noktalardan biri kullanıcının gerçekten bilgilendirilmesidir. Kullanıcı, hangi verilerinin hangi amaçla toplandığını anlayabilmelidir. Bu yüzden çerez politikaları sadece sitede bulunması gereken uzun hukuki metinler gibi düşünülmemelidir. Kullanıcı bu metne baktığında hangi çerezlere izin verdiğini, bu çerezlerin ne için kullanıldığını ve verilerinin nasıl işlendiğini görebilmelidir.

8.2. Veri Sorumlusu Bilgisi

Şeffaf bir çerez politikasında veri sorumlusunun kim olduğu açık şekilde yazılmalıdır. Kullanıcı, çerezler aracılığıyla toplanan verilerden kimin sorumlu olduğunu bilmelidir. Ayrıca bu kişiye ya da kuruma nasıl ulaşılacağı da gösterilmelidir. Çünkü kullanıcı haklarını kullanmak istediğinde nereye başvuracağını kolayca bulabilmelidir.

8.3. Çerez Türleri ve Kullanım Amaçları

Çerez türleri birbirinden ayrılmalıdır. Zorunlu çerezler, analitik çerezler, reklam ve pazarlama çerezleri tek bir genel başlık altında verilmemelidir.

Kullanıcı hangi çerezin sitenin çalışması için gerekli olduğunu görebilmelidir. Aynı şekilde hangi çerezin analiz, reklam veya pazarlama amacıyla kullanıldığını da anlayabilmelidir. Bu ayrım yapılmadığında kullanıcı zorunlu olmayan çerezlere de zorunluymuş gibi onay verebilir. Bu da açık rızanın gerçekten bilinçli verilip verilmediği konusunda sorun oluşturur.

8.4. Hukuki Dayanak ve Saklama Süresi

Çerez politikasında hukuki dayanak bilgisi de bulunmalıdır. Bir çerez açık rızaya dayanıyorsa bu durum açıkça yazılmalıdır. Eğer çerez sitenin temel işlevleri için kullanılıyorsa, neden gerekli olduğu belirtilmelidir.

Saklama süresi de kullanıcı için önemli bir bilgidir. Kullanıcı, çerezlerin cihazında ne kadar süre kalacağını bilmelidir. Kesin bir süre verilemiyorsa, bu sürenin hangi ölçütlere göre belirlendiği açıklanmalıdır. Bu bilgiler verilmediğinde kullanıcı, verdiği iznin sınırlarını tam olarak anlayamaz.

8.5. Üçüncü Taraflarla Paylaşım

Çerezler aracılığıyla elde edilen veriler bazen reklam, analiz veya farklı hizmet sağlayıcılarla paylaşılabilir. Böyle bir durum varsa kullanıcı bundan haberdar edilmelidir. Sadece “iş ortaklarımızla paylaşılabilir” gibi genel ifadeler yeterli değildir. Kullanıcı, verilerinin kimlerle ve hangi amaçla paylaşılabileceğini anlayabilmelidir. Üçüncü taraf paylaşımı ne kadar açık gösterilirse, çerez politikası da o kadar şeffaf hale gelir.

8.6. Reddetme ve Tercih Yönetimi

Açık rıza gerektiren çerezlerde kullanıcıya gerçek bir seçim hakkı verilmelidir. Çerez ekranında yalnızca “kabul et” seçeneğinin öne çıkarılması doğru bir yaklaşım değildir. Kullanıcı çerezleri kabul edebilmeli, reddedebilmeli ve çerez türlerini ayrı ayrı yönetebilmelidir. Ayrıca daha önce verdiği rızayı sonradan değiştirebilmelidir. Rızayı geri çekmek, rıza vermek kadar kolay olmalıdır. Kullanıcı kabul ettiği çerezleri daha sonra değiştirmek istediğinde uzun ve karmaşık adımlarla karşılaşmamalıdır.

8.7. Genel Öneriler

İyi hazırlanmış bir çerez politikasında bazı temel bilgiler mutlaka yer almalıdır. Bunlar; veri sorumlusunun kimliği, iletişim bilgileri, çerez türleri, kullanım amaçları, hukuki dayanaklar, saklama süreleri, üçüncü taraf paylaşımı, kullanıcı hakları ve rızayı geri çekme yöntemidir. Bu bilgiler sade ve anlaşılır bir dille yazılmalıdır. Kullanıcı, aradığı bilgiyi uzun metinlerin içinde bulmaya çalışmamalıdır. Genel olarak şeffaf bir çerez politikası yalnızca mevzuata uyum için hazırlanmaz. Aynı zamanda kullanıcının bilinçli karar vermesine yardımcı olur. Kullanıcı neye onay verdiğini anlayabiliyorsa ve istemediği çerezleri reddedebiliyorsa, çerez yönetimi hem hukuki hem de etik açıdan daha doğru hale gelir.

9. Sonuç

Çerez politikaları, internet sitelerinin kullanıcı verilerini nasıl topladığını ve bu verileri hangi amaçlarla kullandığını gösteren önemli metinlerdir. Bu yüzden çerezler yalnızca teknik bir ayrıntı gibi görülmemelidir. Kullanıcı hangi verilerinin toplandığını, bu verilerin ne kadar süre saklandığını ve kimlerle paylaşılabileceğini bilmelidir.

Avrupa Birliği’nde çerez konusu ePrivacy Directive ve GDPR ile birlikte ele alınır. Türkiye’de ise KVKK ve KVKK’nın Çerez Uygulamaları Hakkında Rehberi üzerinden açıklanır. İki sistem de kullanıcıya bilgi verilmesini, açık rızanın geçerli şekilde alınmasını ve kullanıcının haklarını korumayı hedefler. Bu yüzden amaç bakımından büyük bir fark yoktur. Fark daha çok kuralların hangi metinlerde yer aldığı ve uygulamada nasıl yorumlandığıyla ilgilidir.

Çerez politikalarının şeffaf olabilmesi için kullanıcı yalnızca “kabul et” seçeneğine yönlendirilmemelidir. Reddetme, tercihleri yönetme ve verilen rızayı sonradan geri çekme seçenekleri açık şekilde sunulmalıdır. Ayrıca veri sorumlusunun kim olduğu, çerezlerin hangi amaçla kullanıldığı, hukuki dayanak, saklama süresi ve üçüncü taraflarla paylaşım bilgileri anlaşılır biçimde yazılmalıdır.

Sonuç olarak iyi hazırlanmış bir çerez politikası, kullanıcının gerçekten bilinçli tercih yapmasına yardımcı olur. Kullanıcı neye onay verdiğini anlayabiliyorsa, istemediği çerezleri reddedebiliyorsa ve kararını daha sonra değiştirebiliyorsa, çerez yönetimi hem hukuki hem de etik açıdan daha doğru bir yapıya ulaşır.

10. Kaynakça

Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector. (2002). Official Journal of the European Communities, L 201, 37–47. https://eur-lex.europa.eu/eli/dir/2002/58/oj/eng

Directive 2002/58/EC of the European Parliament and of the Council: Consolidated version of 19 December 2009. (2009). EUR-Lex. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02002L0058-20091219

Kişisel Verileri Koruma Kanunu, Kanun No. 6698, Resmî Gazete Sayısı: 29677. (2016). Kişisel Verileri Koruma Kurumu. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/ca752cda-c3df-4645-8d5e-e2a507e63200.pdf

Kişisel Verileri Koruma Kurumu. (2022). Çerez uygulamaları hakkında rehber. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf

Kişisel Verileri Koruma Kurumu. (2023). Çevrim içi mahremiyet ve çerezler. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/c4cb3fce-4c4d-40af-9410-fe3bdcfae8e9.pdf

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. (2016). Official Journal of the European Union, L 119, 1–88. https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng

CookieYes Limited. (n.d.). Cookieserve: Free online cookie checker for websites. Retrieved June 4, 2026, from https://www.cookieserve.com/

Usercentrics A/S. (n.d.). Compliance test for GDPR and ePrivacy regulations. Cookiebot. Retrieved June 4, 2026, from https://www.cookiebot.com/en/compliance-test/

11.İncelenen Maddeler

ePrivacy Directive kapsamında incelenen madde: Article 5(3).

GDPR kapsamında incelenen maddeler: Article 4(11), Article 6, Article 7 ve Article 13.

KVKK kapsamında incelenen maddeler: Madde 3, Madde 5, Madde 10 ve Madde 11.

Creative Commons Lisansı
Bu eser Büşra Albayrak tarafından Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

Yapay Zekâ ve Özgünlük Raporları

Bu makale 03.06.2026 tarihinde benzerlik incelemesinden geçirilmiştir.

İntihal (Plagiarism) Oranı: %2
Araç: Dupli Checker – https://www.duplichecker.com 

Bu makale 03.06.2026 tarihinde yapay zekâ içerik incelemesinden geçirilmiştir.

Yapay Zekâ (AI) Üretimi Benzerlik Oranı: %9,7
Araç: TextGuard – https://textguard.ai 

Elde edilen sonuçlara göre çalışma, özgünlük ve yapay zekâ üretimi benzerliği bakımından kabul edilebilir düzeyde değerlendirilmiştir.