İçeriğe atla
Ücretsiz başlayın
KVKK & GDPR

KVKK Çerez Rehberi 2026 — Kim, Ne Zaman, Nasıl Uyumlu Olmalı

KVKK Kurulu çerez rehberini 2024'te güncelledi. 2026 itibariyle hangi sitenin neye uyması gerektiğini, açık rıza ile meşru menfaat ayrımını ve idari para cezalarını adım adım anlatıyoruz.

11 dakika okuma
30 okuma
Güncellendi:

KVKK Çerez Rehberi 2026 — Kim, Ne Zaman, Nasıl Uyumlu Olmalı

Kısa cevap: Türkiye'de faaliyet gösteren her web sitesi, çerez kullanmadan önce ziyaretçiden açık rıza almak zorundadır. Yalnızca "zorunlu" çerezler (oturum, güvenlik, dil tercihi) bu kuraldan muaftır. Açık rızasız reklam ve analitik çerezi yerleştirmek, KVKK madde 18 uyarınca 1.000.000 TL'ye varan idari para cezasına yol açar. 2024 yılında güncellenen Kurul rehberi, "kabul et" butonu kadar belirgin bir "reddet" butonu zorunluluğunu netleştirmiştir.

Aşağıda bu rehberin tüm detaylarını — kim kapsama giriyor, hangi çerez hangi kategoriye düşüyor, KVKK ile GDPR arasındaki farklar ve pratik uyum adımları — bulacaksınız.

İçindekiler

KVKK çerez nedir, ne için kullanılır?

KVKK çerez yönetimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde çerezlerin kullanımını düzenleyen yasal yükümlülüklerin bütünüdür. Çerezler, ziyaretçinin tarayıcısında saklanan ve onu tanımlayabilen küçük metin dosyalarıdır. Bu dosyalar IP adresi, cihaz kimliği veya tarama davranışı ile ilişkilendirildiğinde kişisel veri statüsüne girer.

Kişisel Verileri Koruma Kurulu'nun 2022 tarihli "Çerez Uygulamaları Hakkında Rehber" belgesi, 2024'te güncellenmiş ve 2026 itibariyle aktif olarak denetim aracı olarak kullanılmaktadır. Rehbere göre çerezler dört amaca hizmet edebilir:

  1. Teknik gereklilik (sepet, oturum, güvenlik)
  2. Tercih saklama (dil, tema, font boyutu)
  3. Performans ve analiz (Google Analytics, Hotjar)
  4. Reklam ve pazarlama (Google Ads, Meta Pixel, retargeting)

Bu dört kategoriden yalnızca ilki ziyaretçi rızası gerektirmez. Diğer üçü için açık rıza zorunludur.

KVKK kapsamı: Hangi sitelere uygulanır?

KVKK madde 2, kanunun Türkiye'de yerleşik gerçek ve tüzel kişiler ile Türkiye'deki kişisel verileri işleyen yabancı veri sorumlularına uygulandığını belirtir. Pratikte bu şu anlama gelir:

  • Türkiye'deki KOBİ, e-ticaret, blog, kurumsal site — kapsamdadır
  • Yurt dışında kurulu ama Türkiye'ye hizmet veren site (örn. Türkçe arayüz, TL fiyat) — kapsamdadır
  • Yalnızca yurt dışına satış yapan, Türkiye'yi hedeflemeyen site — kapsam dışı sayılabilir

Önemli: "Kapsam dışıyım" yorumunu yapmadan önce Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıt zorunluluğunuzu kontrol ediniz. VERBİS kayıt eşikleri (çalışan sayısı, yıllık ciro vb.) KVKK Kurulu tarafından güncellenmektedir; güncel eşikler ve istisnalar için kvkk.gov.tr duyurularını inceleyiniz.

Açık rıza ve meşru menfaat ayrımı

KVKK madde 5, kişisel veri işlemenin altı hukuki sebebini sayar. Çerezler bağlamında en sık iki tanesi gündeme gelir:

Açık rıza (madde 5/1-a)

  • Ziyaretçinin özgür iradesiyle, belirli bir konuda ve bilgilendirilmiş olarak verdiği onaydır
  • "Kabul et" butonuna basılması gerekir — pasif onay (sayfada gezmek, sayfayı kapatmamak) geçerli değildir
  • "Reddet" seçeneği aynı görünürlükte sunulmalıdır
  • Geri alınabilir olmalıdır (re-consent widget zorunluluğu)

Meşru menfaat (madde 5/2-f)

  • Sadece temel hak ve özgürlüklere zarar vermemek kaydıyla geçerlidir
  • Reklam ve profilleme çerezleri için geçerli kabul edilmez
  • Yalnızca dolandırıcılık önleme, güvenlik logu gibi zorunlu kullanım alanları için kullanılabilir

KVKK çerez yönetimi uygulamalarınızda reklam ve analitik için meşru menfaate dayanmayı düşünüyorsanız: bu yaklaşım Kurul tarafından kabul görmemekte ve idari para cezasına neden olmaktadır.

Çerez kategorileri ve örnekler

Kategori Örnek Çerez Rıza Gerektirir mi?
Zorunlu PHPSESSID, XSRF-TOKEN, laravel_session Hayır
Tercih language, theme, currency Tartışmalı (önerilen: opt-in)
Analitik _ga, _gid, _hjid (Hotjar) Evet
Reklam _fbp, _gcl_au, IDE (DoubleClick) Evet
Sosyal bcookie (LinkedIn), datr (Meta) Evet

Bir çerezin hangi kategoriye düştüğünden emin değilseniz, Erişilebilir Çerez ücretsiz çerez tarayıcımız ile sitenizi tarayarak 217+ bilinen çerez veritabanından otomatik kategorilendirme alabilirsiniz.

Çerez aydınlatma metni nasıl yazılır?

KVKK madde 10 ve "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" uyarınca çerez aydınlatma metni şu bilgileri içermelidir:

  1. Veri sorumlusunun kimliği (firma unvanı, MERSİS no, adres)
  2. Veri işleme amacı (analitik, reklam, kişiselleştirme)
  3. Hangi verilerin işlendiği (IP, çerez ID, tarama geçmişi)
  4. Aktarılan üçüncü taraflar (Google, Meta, Hotjar — yurt dışına aktarım varsa açıkça belirtilmeli)
  5. Saklama süresi (her çerez için ayrı süre)
  6. Veri sahibinin hakları (KVKK madde 11 — erişim, düzeltme, silme talepleri)
  7. Başvuru kanalı (e-posta, KEP, posta adresi)

Ücretsiz çerez politikası şablonumuzu kullanarak 5 dakikada uyumlu bir aydınlatma metni oluşturabilirsiniz.

Denetim cezaları ve emsal kararlar

KVKK madde 18 uyarınca idari para cezalarının üst sınırları yıllık yeniden değerleme oranı ile güncellenir. Güncel rakamlar için kvkk.gov.tr duyurularını inceleyiniz.

KVKK Kurulu son dönemde aşağıdaki türde ihlallerde yüksek tutarlı idari para cezaları uygulamıştır:

  • Dark pattern kullanımı (reddetme butonunun gizlenmesi veya zorlaştırılması)
  • Açık rıza alınmadan üçüncü taraf reklam/analitik çerezlerinin yüklenmesi
  • Yetersiz aydınlatma metni veya çerez politikası
  • Yurt dışı veri aktarımı için açık rıza alınmadan ABD merkezli servislerin kullanılması
  • VERBİS kayıt yükümlülüğünün yerine getirilmemesi

Spesifik karar numaraları, gerekçeler ve tutarlar için KVKK Kurulu Kararları sayfasını ve Resmi Gazete duyurularını inceleyebilirsiniz.

Uyumluluk için 8 adımlık kontrol listesi

  1. Sitenizdeki tüm çerezleri tarayın ve kategorize edin
  2. Açık rıza banner'ı yerleştirin (kabul + reddet eşit görünürlükte)
  3. Çerez aydınlatma metni yazıp ayrı bir sayfada yayınlayın
  4. Üçüncü taraf scriptleri rıza alınana kadar bloklayın
  5. Google Consent Mode v2'yi aktif edin
  6. Rıza loglarını KVKK Madde 12/3 ispat yükümlülüğü için makul süre saklayın (Erişilebilir Çerez varsayılan 365 gün — domain bazında 90-365 gün arası ayarlanabilir; uygulamada 3 yıl yaygın)
  7. Re-consent widget ekleyin (kullanıcı rızasını geri alabilsin)
  8. Yılda bir kez çerez envanterinizi güncelleyin

Erişilebilir Çerez bu 8 adımın tamamını 15 dakikada otomatikleştirir. Ücretsiz planımız 10.000 pageview/ay'a kadar kullanıcı için yeterlidir.

Sıkça Sorulan Sorular

KVKK çerez uyumluluğu için açık rıza yeterli mi?

Açık rıza tek başına yeterli değildir. KVKK madde 10 uyarınca aydınlatma yükümlülüğü de yerine getirilmelidir. Yani önce ziyaretçi bilgilendirilmeli, sonra açık rıza alınmalıdır. Erişilebilir Çerez banner içinde her iki yükümlülüğü birlikte karşılar.

Reddet butonu olmazsa ne olur?

2024 Kurul rehberi sonrası bu durum dark pattern sayılmakta ve idari para cezası uygulanmaktadır. Reddet butonu, kabul et butonu ile aynı boyut, renk ve görünürlükte olmalıdır.

KVKK ile GDPR aynı mı?

Temel mantık aynıdır (açık rıza + aydınlatma), ancak farklar vardır: GDPR madde 7 daha katıdır, KVKK'da yurt dışı veri aktarımı için Kurul izni veya açık rıza zorunludur, idari para cezası tavanları farklıdır.

Sadece Google Analytics kullanıyorum, çerez banner gerekli mi?

Evet. Google Analytics _ga çerezi analitik kategorisindedir ve açık rıza gerektirir. Ayrıca veri ABD'ye aktarıldığı için ek aydınlatma yükümlülüğü vardır.

Çerez bilgisi açık rıza ne kadar saklanmalı?

KVKK madde 12/3 uyarınca, veri sorumlusunun ispat yükümlülüğü vardır. Pratikte rıza logları en az 3 yıl saklanır (uygulamada yaygın). Erişilebilir Çerez consent log'ları varsayılan 365 gün saklar; domain bazında 90-365 gün arası ayarlanabilir. Daha uzun saklama süreleri için Enterprise sözleşmede karşılıklı belirlenebilir.

KVKK denetim cezasından nasıl korunurum?

Üç temel kural: (1) Açık rıza alın, (2) Rıza loglarını saklayın, (3) Çerez envanterini güncel tutun. Bu üçünü yerine getiren bir sitenin denetimde sorun yaşama ihtimali çok düşüktür.

KVKK çerez uyumluluğunuzu 15 dakikada tamamlayın. Erişilebilir Çerez'i ücretsiz deneyin — 10.000 pageview/aya kadar tamamen bedava, kredi kartı gerektirmez. Detaylı plan karşılaştırması için fiyatlandırma sayfamıza göz atabilirsiniz.

Kaynaklar:

Etiketler #kvkk #çerez #consent #gdpr #açık rıza
Bu Yazıyı Paylaş X'te Paylaş LinkedIn

Bu makale faydalı oldu mu?

Yazar

Erişilebilir Çerez içerik ekibi; KVKK, GDPR, WCAG 2.2 ve EAA uyumluluk uzmanı. Erişilebilir Çerez, Balıkesir merkezli Türkiye'nin uyumluluk platformu.

Hakkımızda İletişim Tüm Yazılar
Türkiye'nin Uyumluluk Platformu

Bu makaledeki uyumluluğu hemen sağlayın

Erişilebilir Çerez ile 5 dakikada KVKK, GDPR, WCAG 2.2 ve EAA uyumlu olun. 14 gün Pro deneme, kredi kartı gerekmez.

Ücretsiz Başlayın Fiyatları Görün

Kredi kartı yok · Türkiye'de barındırılan veriler · Türkçe destek · KVKK güvencesi

Devamını Oku

İlgili Yazılar

KVKK & GDPR kategorisinden seçtiklerimiz

KVKK & GDPR

Çerez Politikası Nasıl Yazılır? — KVKK + GDPR Uyumlu Ücretsiz Şablon

Çerez politikası şablonu KVKK ve GDPR uyumlu — 8 zorunlu bölüm, hazır metin örnekleri ve sık yapılan hatalar ile ücretsiz rehber...

9 dk · 14 okuma Oku
Tüm Akademi Yazılarını Gör

Bu konuyu tartışmak ister misiniz?

Yorum sistemimiz yok; bunun yerine LinkedIn'de profesyonel topluluğumuza katılın.

Erişilebilir Çerez'yı LinkedIn'de Takip Et Soru Sor Daha Fazla Yazı

⚡ YASAL ZORUNLULUK 2025/10 Cumhurbaşkanlığı Genelgesi: Kamu, belediye, banka, üniversite, hastane, okullar için 21 Haziran 2026'ya WCAG 2.2 A zorunlu · Ceza: 5.000–25.000 TL/tespit
Detay →