KVKK Açısından Çerez Politikası ve Cookie Wall Yasağı (2026)
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Çerez (cookie), web sitesinin kullanıcı cihazına yerleştirdiği küçük metin dosyasıdır ve çoğu durumda kişisel veri işleme aracıdır.
KVKK açısından çerezler kişisel veri işleme faaliyetidir; aydınlatma yükümlülüğü ve çerez türüne göre açık rıza zorunludur.
Cookie wall (çerez duvarı — "tüm çerezleri kabul etmeden siteyi kullanamazsınız" modeli) KVKK'nın özgür irade ilkesine aykırıdır.
Zorunlu (teknik) çerezler açık rıza gerektirmez; analitik ve pazarlama çerezleri açık rıza gerektirir.
"Tümünü Kabul Et" düğmesi ile "Reddet" düğmesi eşit görünürlükte olmalıdır; reddi kasıtlı zorlaştırmak hukuka aykırıdır.
Google Analytics, KVKK ve GDPR açısından tartışmalı bir konumdadır; IP anonimleştirme ve sunucu konumu kritik değişkenlerdir.
KVKK Kurumu'nun güncellenmiş Çerez Uygulamaları Hakkında Rehberi bu alandaki temel referans belgesidir.
Çerez Neden Kişisel Veri Sayılıyor?
Bir çerez tek başına ad-soyad gibi doğrudan kimlik bilgisi içermez. Ancak KVKK'nın kişisel veri tanımı **"kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi"**dir. Belirlenebilirlik ölçütü burada kritiktir.
Bir çerez; IP adresi, tarayıcı parmak izi, oturum bilgisi, cihaz tanımlayıcısı veya davranışsal profil verisi taşıdığında, bu bilgiler birleştirilerek kişi belirlenebilir hale gelir. Bu nedenle çerezler — özellikle analitik ve pazarlama amaçlı olanlar — KVKK kapsamında kişisel veri işleme aracı olarak değerlendirilir.
Çerez (cookie) nedir? Web sunucusunun kullanıcı cihazına (bilgisayar, telefon, tablet) yerleştirdiği küçük metin dosyalarıdır. Oturum yönetimi, tercih hatırlama, trafik analizi ve reklam hedefleme gibi çeşitli amaçlarla kullanılır.
Çerez Türleri ve Hukuki Durumları
Tüm çerezler aynı hukuki muameleye tabi değildir. KVKK ve Kurum Rehberi açısından çerezler işlevlerine göre ayrılır ve her kategorinin hukuki rejimi farklıdır.
Zorunlu (Teknik) Çerezler
Sitenin temel işlevlerinin çalışması için mutlaka gerekli olan çerezlerdir. Oturum yönetimi, güvenlik doğrulaması, alışveriş sepeti işlevi, dil tercihi bu kategoridedir.
Hukuki durum: Açık rıza gerekmez. Hukuki dayanak, KVKK m. 5/2-f (meşru menfaat) veya m. 5/2-c (sözleşmenin ifası) olabilir. Ancak aydınlatma yükümlülüğü devam eder; kullanıcı bu çerezlerin varlığından haberdar edilmelidir.
Analitik (İstatistik) Çerezler
Ziyaretçi sayısı, sayfa görüntüleme, trafik kaynağı ve kullanım davranışı gibi istatistiksel verileri toplayan çerezlerdir. Google Analytics, Matomo, Hotjar bu kategoridedir.
Hukuki durum: Kurum Rehberi, analitik çerezlerin zorunlu çerez olmadığını ve açık rıza gerektirdiğini açıkça belirtmektedir. IP anonimleştirme yapılmış olsa bile çerez cihaza yerleştirildiği için rıza gerekir.
Pazarlama (Reklam) Çerezleri
Kullanıcının ilgi alanlarına göre hedefli reklam göstermek, retargeting kampanyaları yürütmek ve reklam performansını ölçmek amacıyla kullanılan çerezlerdir. Facebook Pixel, Google Ads çerezleri, LinkedIn Insight Tag bu kategoridedir.
Hukuki durum: Açık rıza kesinlikle zorunludur. Bu çerezlerin site işlevselliği ile hiçbir ilişkisi yoktur; tamamen ticari amaçlıdır.
İşlevsellik (Tercih) Çerezleri
Kullanıcının daha önceki tercihlerini hatırlayan çerezlerdir. Yazı tipi boyutu, tema tercihi, bölge seçimi gibi özelleştirmeler bu kategoridedir.
Hukuki durum: Zorunlu çerez olarak değerlendirilip değerlendirilemeyeceği tartışmalıdır. Site bu çerezler olmadan da temel işlevini sürdürebiliyorsa açık rıza gerekir; sitenin temel işlevi bu tercihlere bağlıysa zorunlu çerez kapsamında değerlendirilebilir.
Çerez Kategorileri Karşılaştırma Tablosu
Çerez Türü | Açık Rıza | Aydınlatma | Örnek |
|---|---|---|---|
Zorunlu (teknik) | Gerekmez | Zorunlu | Oturum, sepet, CSRF |
Analitik | Gerekir | Zorunlu | Google Analytics, Hotjar |
Pazarlama | Gerekir | Zorunlu | Facebook Pixel, Google Ads |
İşlevsellik | Duruma göre | Zorunlu | Dil tercihi, tema |
Cookie Wall Yasağı: "Kabul Et Yoksa Giremezsin" Modeli
Cookie wall, kullanıcının tüm çerezleri kabul etmeden web sitesine erişimini engelleyen mekanizmadır. Pratikte kullanıcı siteye girdiğinde tam ekran bir panel belirir ve "Tüm çerezleri kabul et" dışında bir seçenek sunmaz veya reddetme seçeneğini kasıtlı biçimde gizler.
Cookie Wall Neden Hukuka Aykırı?
KVKK'nın açık rıza tanımındaki özgür irade unsuru, cookie wall'u doğrudan geçersiz kılar. İçeriğe veya hizmete erişimin çerez onayına bağlanması, kullanıcının "ya kabul et ya da çık" durumuna düşmesi anlamına gelir. Bu durumda verilen rıza özgür iradeyle verilmiş sayılmaz.
EDPB (Avrupa Veri Koruma Kurulu) Rehber 05/2020'de bu konuyu açıkça ele almıştır: hizmete erişimin çerez kabulüne bağlanması, rızanın özgür iradeyle verilmediğini gösterir.
CNIL'in (Fransa Veri Koruma Otoritesi) Google ve Facebook'a verdiği toplam €210 milyon ceza da büyük ölçüde çerez reddi mekanizmasının yeterince kolay olmamasından kaynaklanmıştır. Google, kullanıcılara çerezleri kabul etmeyi tek tıkla sunmuş; reddetmeyi ise birden fazla adım ve alt menü gerektiren bir yapıda tutmuştu.
Türkiye'de Cookie Wall Durumu
KVKK Kurumu'nun Çerez Uygulamaları Hakkında Rehberi, cookie wall'u açıkça yasaklamamakla birlikte açık rızanın özgür iradeyle verilmesi gerektiğini vurgular. Siteye erişimin çerez onayına bağlanması bu şartı fiilen ortadan kaldırır.
"Tümünü Kabul Et / Reddet" Düğme Dengesi
Çerez banner'ının tasarımı yalnızca bir UX sorunu değil; aynı zamanda bir hukuki uyum sorunudur.
Hukuka Aykırı Tasarım Kalıpları
Pratikte sıkça karşılaşılan hukuka aykırı tasarımlar şunlardır.
Asimetrik düğme boyutu: "Tümünü Kabul Et" büyük, renkli ve dikkat çekici; "Reddet" veya "Ayarları Yönet" küçük, soluk renkli veya gri metin. Bu tasarım, kullanıcıyı kabule yönlendiren bir manipülasyondur.
Reddi gizleme: "Tümünü Kabul Et" düğmesi ilk ekranda görünürken, reddetme seçeneği "Çerez Ayarları" alt menüsünün içinde, 2-3 tıklama arkasında bulunur.
Karanlık desen (dark pattern): Kabul seçeneği canlı yeşil veya mavi renkte, reddetme seçeneği ise gri veya arka planla aynı renkte tasarlanır. Kullanıcı reddetme seçeneğini görmekte zorlanır.
Varsayılan olarak açık toggle'lar: Çerez tercih panelinde tüm kategoriler önceden "açık" konumda sunulur; kullanıcının tek tek kapatması beklenir.
Hukuka Uygun Banner Tasarımı
KVKK ve GDPR uyumlu bir çerez banner'ı şu özellikleri taşımalıdır.
Eşit görünürlük: "Tümünü Kabul Et" ve "Tümünü Reddet" düğmeleri aynı boyutta, aynı renk ailesinde ve aynı konumda olmalıdır.
İlk katmanda reddetme imkânı: Kullanıcı, alt menüye girmeden ilk ekranda tüm zorunlu olmayan çerezleri reddetme imkânına sahip olmalıdır.
Varsayılan olarak kapalı: Zorunlu çerezler dışındaki tüm kategoriler varsayılan olarak kapalı konumda sunulmalıdır.
Kategori bazlı seçim: Kullanıcı, analitik çerezleri kabul edip pazarlama çerezlerini reddedebilmelidir. "Ya hepsini kabul et ya hiçbirini" modeli hukuka aykırıdır.
Tercih değiştirme kolaylığı: Kullanıcı daha sonra tercihlerini değiştirebilmelidir. Bu seçenek site footer'ında veya kolay erişilebilir bir yerde bulunmalıdır.
Google Analytics'in KVKK Durumu
Google Analytics, web sitelerinin ziyaretçi trafiğini analiz etmek için en yaygın kullandığı araçtır. Ancak KVKK ve GDPR açısından tartışmalı bir konumdadır.
Sorunun Kaynağı
Google Analytics, kullanıcı verilerini Google'ın sunucularında işler. Bu sunucuların önemli bir kısmı ABD'de konumludur. Schrems II kararı (2020) sonrası AB-ABD veri transferi hukuki belirsizlik alanına girmiş ve çeşitli Avrupa veri koruma otoriteleri Google Analytics kullanımını ihlal olarak değerlendirmiştir.
Avusturya Veri Koruma Otoritesi (DSB) Ocak 2022'de, Fransa CNIL Şubat 2022'de ve İtalya Garante Haziran 2022'de Google Analytics kullanımını GDPR'a aykırı buldu. Bu kararların ortak gerekçesi, ABD'ye yapılan veri aktarımında yeterli güvencelerin sağlanamadığıydı.
Google Analytics 4 (GA4) ve IP Anonimleştirme
Google, bu kararlar üzerine Google Analytics 4'ü (GA4) varsayılan olarak IP anonimleştirmesiyle çalışacak şekilde güncelledi. Ayrıca AB bölgesindeki kullanıcılar için verilerin AB sunucularında işlenmesi seçeneği sundu.
Ancak IP anonimleştirme tek başına sorunu çözmez. GA4 yine de çerez kimliği, cihaz tanımlayıcısı ve kullanıcı profili oluşturabilecek davranışsal veriler toplar. Bu veriler birleştirildiğinde kişi belirlenebilir hale gelebilir.
KVKK Açısından Google Analytics Kullanım Koşulları
KVKK kapsamında Google Analytics kullanımı tamamen yasak değildir; ancak şu koşulların sağlanması gerekir.
1. Çerez aydınlatması ve açık rıza: Google Analytics çerezleri analitik kategoridedir ve açık rıza gerektirir. Kullanıcı rıza vermeden çerez yerleştirilmemelidir.
2. Yurt dışı veri aktarımı güvencesi: Google ile veri işleme sözleşmesi (DPA) yapılmalı ve 7499 sayılı Kanun sonrası yurt dışı aktarım mekanizmalarından biri kullanılmalıdır. Google'ın standart sözleşme hükümleri bu kapsamda değerlendirilmelidir.
3. IP anonimleştirme: GA4'te varsayılan olarak aktif olmakla birlikte, yapılandırmanın doğru yapıldığından emin olunmalıdır.
4. Veri saklama süresinin kısıtlanması: GA4'te veri saklama süresi 2 ay veya 14 ay olarak ayarlanabilir. KVKK'nın ölçülülük ilkesi gereği mümkün olan en kısa süre tercih edilmelidir.
Alternatif Çözümler
Google Analytics'in KVKK/GDPR risklerinden tamamen kaçınmak isteyen şirketler için sunucu taraflı (self-hosted) analitik araçlar alternatif oluşturur. Matomo (self-hosted), Plausible Analytics ve Fathom Analytics bu kategoridedir. Bu araçlar verileri şirketin kendi sunucusunda işleyerek yurt dışı aktarım sorununu ortadan kaldırır.
Çerez Politikası Nasıl Hazırlanır?
Çerez politikası, web sitesindeki çerez uygulamalarına ilişkin kapsamlı bilgilendirme belgesidir. Aydınlatma metninin çerezlere özel bir uzantısı olarak düşünülebilir.
Politikada Yer Alması Gereken Unsurlar
1. Çerez tanımı: Çerezin ne olduğu, ne işe yaradığı genel bir dille açıklanmalıdır.
2. Kullanılan çerez türleri: Her çerez kategorisi (zorunlu, analitik, pazarlama, işlevsellik) ayrı ayrı listelenmeli ve her kategoride hangi çerezlerin kullanıldığı, kimin tarafından yerleştirildiği (birinci taraf / üçüncü taraf) ve saklama süresi belirtilmelidir.
3. Hukuki dayanak: Her çerez kategorisinin hangi hukuki dayanağa tutunduğu açıklanmalıdır.
4. Üçüncü taraf çerezleri: Google, Facebook, LinkedIn gibi üçüncü tarafların yerleştirdiği çerezler ayrıca belirtilmeli ve bu tarafların gizlilik politikalarına link verilmelidir.
5. Rıza yönetimi: Kullanıcının çerez tercihlerini nasıl değiştirebileceği açıklanmalıdır.
6. Erişilebilirlik: Politika, site footer'ında veya kolay ulaşılabilir bir konumda yer almalıdır.
Sık Sorulan Sorular
Cookie wall yasal mı?
KVKK'nın açık rıza tanımındaki özgür irade unsuru açısından cookie wall uygulaması hukuka aykırıdır. Siteye erişimin tüm çerezlerin kabulüne bağlanması, kullanıcının rızasının özgür iradeyle verilmediğini gösterir. EDPB rehberleri ve Avrupa veri koruma otoritelerinin kararları da bu yöndedir.
Zorunlu çerezler için açık rıza almam gerekir mi?
Hayır. Sitenin temel işleyişi için mutlaka gerekli olan çerezler (oturum, güvenlik, sepet) açık rıza gerekmeksizin kullanılabilir. Ancak bu çerezlerin varlığı hakkında kullanıcıya aydınlatma yapılması zorunludur.
Google Analytics kullanmak KVKK'ya aykırı mı?
Tek başına aykırı değildir; ancak koşullu bir uyumdur. Açık rıza alınmadan çerez yerleştirmemek, Google ile DPA yapmak, IP anonimleştirmeyi aktif tutmak ve yurt dışı aktarım güvencesini sağlamak zorunludur. Bu koşullar sağlanmadığında kullanım hukuka aykırı hale gelir.
Çerez banner'ı olmadan site yayınlayabilir miyim?
Yalnızca zorunlu çerez kullanıyorsanız banner yerine aydınlatma metniyle yetinmek teknik olarak mümkündür. Ancak pratikte çoğu site en azından analitik çerez kullandığı için banner zorunlu hale gelir.
"Tümünü Reddet" düğmesi zorunlu mu?
KVKK'da açıkça "reddet düğmesi koyun" yazmaz; ancak özgür irade ilkesi gereği kullanıcıya kolay ve etkili bir reddetme imkânı sunulmalıdır. İlk ekranda "Tümünü Reddet" düğmesi bulunması en güvenli uygulamadır.
Çerez tercihleri ne kadar süre saklanmalıdır?
Kullanıcının çerez tercihi genellikle 6 ay ile 12 ay arasında saklanır. Bu süre dolduğunda yeniden rıza alınmalıdır. Kurum Rehberi kesin bir süre belirtmemiş olmakla birlikte 12 ayı aşan sürelerin ölçülülük ilkesine aykırı değerlendirilebileceği kanaatindeyiz.
Okuyucular Bunları da Soruyor
Çerez politikası aydınlatma metninin yerini tutar mı?
Hayır. Çerez politikası yalnızca çerezlerle işlenen verilere ilişkin bilgilendirmedir. Sitede iletişim formu, üyelik sistemi veya alışveriş işlevi varsa bunlar için ayrı aydınlatma metni gerekir. Çerez politikası, genel aydınlatma metninin bir parçası veya eki olabilir; ancak tek başına yeterli değildir.
Mobil uygulamada çerez banner'ı gerekli mi?
Mobil uygulamalar genellikle çerez yerine cihaz tanımlayıcısı (advertising ID) ve SDK aracılığıyla veri toplar. Bu durumda çerez banner'ı yerine uygulama içi izin ekranları ve aydınlatma metni kullanılır. Ancak uygulama içinde web görünümü (WebView) kullanan bölümler varsa o bölümlerde çerez kuralları geçerlidir.
Çerez onayı vermeyen kullanıcıya farklı içerik gösterebilir miyim?
Siteye erişimi engellemek veya içeriği kasıtlı olarak kısıtlamak cookie wall sayılır ve hukuka aykırıdır. Ancak çerez tercihleri nedeniyle bazı işlevlerin (örneğin kişiselleştirilmiş öneriler veya hatırlatma bildirimleri) kullanılamaması doğal bir teknik sonuçtur ve ihlal oluşturmaz.
Üçüncü taraf çerezlerinin kaldırılması (Chrome'un cookie deprecation planı) KVKK uyumunu etkiler mi?
Google, üçüncü taraf çerezlerini Chrome'dan kaldırma planını birkaç kez ertelemiş olmakla birlikte bu yöndeki eğilim devam etmektedir. Üçüncü taraf çerezleri kaldırıldığında şirketlerin birinci taraf veri stratejilerine geçmesi gerekecek; bu durum KVKK uyum yükümlülüklerini azaltmayacak aksine birinci taraf veri toplama süreçlerinin hukuki altyapısını güçlendirme ihtiyacını artıracaktır.
Sonuç
Çerez yönetimi, bir web sitesinin KVKK uyumundaki en görünür ve en sık denetlenen alanıdır. Cookie wall uygulamaları, asimetrik düğme tasarımları ve rıza almaksızın çerez yerleştirme pratiği hem Türkiye'de hem de Avrupa'da ağır yaptırımlarla karşılanmaktadır.
Google Analytics başta olmak üzere üçüncü taraf analitik ve pazarlama araçlarının hukuki durumu sürekli değişen bir alan olduğundan, çerez uygulamalarının yılda en az bir kez gözden geçirilmesi ve güncel mevzuata uygunluğunun değerlendirilmesi gerekir.
Güneş Partners olarak web sitesi KVKK uyumu, çerez politikası hazırlığı, banner tasarımının hukuki değerlendirmesi ve üçüncü taraf araçların veri koruma analizi konularında şirketlere hukuki destek sağlıyoruz. Çerez uygulamalarınızı değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK, KVKK Kurumu Çerez Uygulamaları Hakkında Rehberi, EDPB Rehber 05/2020, CNIL'in Google ve Facebook çerez kararları, Avusturya DSB ve İtalya Garante'nin Google Analytics kararları temelinde hazırlanmıştır. Web sitesi KVKK uyumu ve çerez politikası süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.