MAKALE
Çerez (Cookie) Hukuku: KVKK Çerçevesinde Web Sitesi İzleme Verilerinin Hukuki Rejimi
Çerezlerin KVKK kapsamındaki konumu, AB ePrivacy Direktifi ile paraleller, KVKK Kurulu'nun yerleşik yaklaşımı ve web sitesi sahibinin yükümlülükleri.
Çerezler (cookies); web sitelerinin ziyaretçi tarayıcısına yerleştirdiği ve ziyaretçinin davranışını, tercih ve oturum durumunu izlemeye yarayan küçük metin dosyalarıdır. Türk hukukunda çerezlere müstakil bir mevzuat ayrılmamıştır; ancak 6698 sayılı KVKK hükümleri ile Kişisel Verileri Koruma Kurulu rehberleri, çerez kullanımının hukuki çerçevesini biçimlendirir. Bu makale; çerezlerin Türk hukukundaki konumunu, AB ePrivacy Direktifi ile paralelleri ve operasyonel uyum gerekliliklerini analiz eder1.
I. Çerezin KVKK Açısından Niteliği
KVKK md. 3/1-d kişisel veriyi; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlar. Çerez verisi; tek başına anonim görünse de, ziyaretçinin tarayıcı parmak izi (browser fingerprint), IP adresi ve davranışsal örüntüleriyle birleştirildiğinde kimliği belirlenebilir kılar. Doktrinde hâkim görüş; reklam ve performans çerezlerini kişisel veri kapsamında değerlendirir2.
KVKK Kurulu'nun rehber niteliğindeki yerleşik yaklaşımı; çerezlerin türüne göre üç gruba ayrılır.
İlk grup: zorunlu çerezler. Web sitesinin temel teknik işlevini sağlayan, oturum yönetimi ve güvenlik amaçlı çerezlerdir. Bu grup; KVKK md. 5/2 hukuki temelleri kapsamında (sözleşmenin ifası veya veri sorumlusunun meşru menfaati) onay aranmaksızın işlenebilir.
İkinci grup: performans/analitik çerezler. Ziyaretçi davranışı analizi amacıyla kullanılır. KVKK Kurulu yaklaşımında bu grup; meşru menfaat temeline dayanabilir ancak veri sahibinin reddetme (opt-out) hakkı sağlanmalıdır. Doktrinde aynı zamanda önceden bilgilendirme + opt-out yaklaşımı tartışılır.
Üçüncü grup: reklam, profilleme ve pazarlama çerezleri. Bu grup; veri sahibinin tanımlanmasını ve davranışsal profilinin oluşturulmasını mümkün kılar. KVKK md. 5/1 hükmü uyarınca açık rıza aranır.
II. AB ePrivacy Direktifi ile Karşılaştırma
AB Directive 2002/58/EC (ePrivacy Direktifi) md. 5/3; çerez yerleştirilmesinden önce açık ve net bilgilendirme ile açık rızayı şart koşar. ePrivacy yaklaşımı; tüm gayri-zorunlu çerezleri tek bir kategoride toplar ve önceden onay ilkesini bunların tümü için uygular.
Türk hukukundaki yaklaşım; ePrivacy ile kavramsal paralel taşır ancak müstakil bir kanun bulunmadığından; uygulama KVKK Kurulu rehberleri ve idari kararları üzerinden biçimlenir. Pratikte birçok büyük ölçekli işletme; GDPR + ePrivacy uyumu için ürettiği çerez banner'ını Türkiye operasyonunda da kullanmaktadır.
III. Çerez Banner'ının Hukuki Asgari Kapsamı
Çerez banner'ı (veya consent management platform — CMP); aşağıdaki dört asgari kapsamı taşımalıdır.
İlk kapsam: bilgilendirme. Çerezlerin türü, amacı, sağlayıcısı, saklama süresi ve aktarım tarafları açık biçimde bildirilmelidir. Bu bilgilendirme; banner'ın ilk görünür yüzeyinde özet, alt linkte detay olarak iki katmanlı biçimde sunulabilir.
İkinci kapsam: seçim. Ziyaretçi; zorunlu olmayan çerez kategorilerini ayrı ayrı kabul veya reddetme imkânına sahip olmalıdır. "Hepsini kabul et" tek tıklı seçenek; "ayar yap" linkiyle birlikte sunulmalıdır.
Üçüncü kapsam: eşdeğer reddetme imkânı. "Hepsini reddet" seçeneği; "hepsini kabul et" seçeneğiyle aynı görsel ağırlıkta ve aynı tıklama eşiğinde sunulmalıdır. Reddetmenin kabule kıyasla zorlaştırıldığı banner'lar; KVKK Kurulu yaklaşımında geçersiz sayılma riski taşır.
Dördüncü kapsam: önceden engelleme. Ziyaretçi onay verene kadar zorunlu olmayan çerezler tarayıcıya yerleştirilmemelidir. Banner ekranda görünmeden çerez yerleşmesi; önceden onay ilkesinin ihlalidir.
IV. Yerleşik Karar Mantığı
KVKK Kurulu, çerez uyumsuzlukları nedeniyle çeşitli kararlar üretmiştir. Bu kararların ortak akıl yürütme çizgisi; veri sorumlusunun aydınlatma yükümlülüğünü (KVKK md. 10) ve hukuki temel seçimini (KVKK md. 5) titizlikle uygulamasını gerektirir. Eksik aydınlatma metni, zorunlu olmayan çerezler için açık rıza eksikliği ve geri çekme imkânının kolaylaştırılmaması; tipik ihlal kalıplarıdır.
Bütünleşik dijital pazarlama uyumu için dijital pazarlama KVKK uyum rehberini ve aydınlatma metninin operasyonel hazırlığı için KVKK aydınlatma metni rehberini inceleyebilirsiniz.
V. Üçüncü Taraf Çerezleri ve Reklam Ağları
Web sitesinin kendi çerezleri (first-party cookies) dışında; Google Ads, Meta Pixel, TikTok Pixel gibi reklam ağlarına ait üçüncü taraf çerezleri (third-party cookies) de tipik olarak yerleştirilir. Bu çerezler; ziyaretçi davranışını birden fazla site arası izleyerek davranışsal profil oluşturur.
KVKK bakımından; web sitesi sahibi veri sorumlusu, reklam ağı birlikte veri sorumlusu veya veri işleyen konumunda olabilir. Hukuki niteleme; somut işleme akışına ve sözleşmesel ilişkiye göre belirlenir. Veri sorumlusu; reklam ağı ile veri işleme sözleşmesi veya birlikte sorumluluk düzenlemesi akdetmek ve aydınlatma metninde bu ilişkiyi şeffaf biçimde açıklamak zorundadır.
Profilleme ve otomatik karar verme rejimi için dijital profilleme ve otomatik karar verme makalesini inceleyebilirsiniz.
VI. Sınır Ötesi Veri Transferi Boyutu
Üçüncü taraf reklam çerezlerinin önemli bir kısmı; veriyi yurt dışı sunucularda işler. KVKK md. 9; yurt dışına aktarımı yeterli korumaya sahip ülkeler listesi, taahhütname veya açık rıza gibi temellere bağlar. ABD merkezli platformlar için Schrems II sonrası AB-ABD ilişkilerinde getirilen ek güvencelerin Türk hukuku karşısındaki konumu; doktrinde tartışmalıdır.
KVKK ve dijital reklamın bütüncül çerçevesi için KVKK dijital reklam genel çerçeve makalesini inceleyebilirsiniz.
VII. Pratik Yedi Adımlı Uyum Kontrol Listesi
Web sitesi sahibinin çerez uyumu için izlemesi gereken yedi adım vardır.
İlk adım: çerez envanteri. Site üzerinde kullanılan tüm çerezlerin türü, amacı, sağlayıcısı, saklama süresi ve aktarım tarafları envantere alınmalıdır.
İkinci adım: kategori sınıflandırması. Çerezler; zorunlu, performans/analitik, reklam/profilleme kategorilerine ayrılmalıdır.
Üçüncü adım: banner tasarımı. Önceden engelleme, eşdeğer reddetme imkânı ve katmanlı bilgilendirme ilkelerine uygun banner üretilmelidir.
Dördüncü adım: aydınlatma metni. Çerez politikası, ana KVKK aydınlatma metnine entegre edilmeli veya bağımsız bir alt sayfada erişilebilir kılınmalıdır.
Beşinci adım: onay kaydı. Ziyaretçinin yaptığı seçim; tarih, IP, tarayıcı bilgisi ve seçim ayrıntısı ile birlikte kayda alınmalıdır.
Altıncı adım: geri çekme imkânı. Ziyaretçi; daha önce verdiği onayı, banner'a benzer kolaylıkta geri çekebilmelidir. Çoğu CMP; "çerez ayarları" linkini sayfa alt bilgisinde tutar.
Yedinci adım: yıllık inceleme. Çerez envanteri; reklam ağlarının ve üçüncü taraf araçların değişimi nedeniyle yıllık olarak güncellenmelidir.
Sonuç
Çerez hukuku; Türkiye'de müstakil bir mevzuatla değil, KVKK çerçevesinde ve Kurul rehberleriyle biçimlenir. Pratikte AB ePrivacy uyumu için tasarlanan çözümler; Türk hukuku karşısında da büyük ölçüde geçerli bir uyum temeli sunar. Banner tasarımı, kategori sınıflandırması, önceden engelleme ve eşdeğer reddetme imkânı; uyumun teknik temelidir. Aydınlatma metni, onay kaydı ve geri çekme imkânı; hukuki temelidir.
Pratik bir kullanıcı sorusu için müşteriye SMS göndermenin yasallığı soru sayfasını inceleyebilirsiniz.
Kaynakça
Mevzuat
6698 sayılı KVKK md. 3, 4, 5, 9, 10, 11, 18. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun md. 6. 5651 sayılı İnternet Kanunu md. 5 vd.
İçtihat
Yargıtay 11. Hukuk Dairesi, 01.10.2025, E. 2025/1043 K. 2025/5854 sayılı karar (reklam dürüstlüğü standardı; çerez tabanlı reklam analizine kıyasen uygulanır).
Doktrin ve Uluslararası Belgeler
Şükrü KIZILOT / Mehmet ATALAY, Kişisel Verilerin Korunması Hukuku. Regulation (EU) 2016/679 (GDPR), m. 6. Directive 2002/58/EC on Privacy and Electronic Communications (ePrivacy), m. 5. Avrupa Birliği Adalet Divanı, Planet49, C-673/17 (önceden onay ilkesi).