Hukuka Uygunluk, Adillik ve Şeffaflık
Veriler yalnızca hukuki dayanak (consent, meşru menfaat vb.) varsa işlenebilir; kullanıcı bilgilendirilmelidir.
GDPR • AVRUPA BİRLİĞİ
GDPR Cookie Consent için Tam Rehber
AB'de satış yapan Türk şirketleri için GDPR + ePrivacy Directive uyumluluğu, CNIL/AEPD karar örnekleri ve Schrems II veri transfer kuralları. Bu sayfa hukuki tavsiye niteliği taşımaz; uzman hukuk danışmanı ile çalışmanız önerilir.
GDPR Nedir?
Genel Veri Koruma Yönetmeliği (General Data Protection Regulation, Yönetmelik 2016/679), Avrupa Birliği'nin kişisel veri işleme ve gizlilik alanındaki temel hukuki düzenlemesidir. 25 Mayıs 2018'den itibaren tüm AB üyesi ülkelerde doğrudan uygulanır; iç hukuka aktarma gerektirmez.
GDPR'ın en kritik özelliği sınır ötesi (extraterritorial) kapsamıdır. Article 3 gereği, şirketin fiziksel olarak AB'de bulunması gerekmez: AB pazarına mal veya hizmet sunan ya da AB vatandaşlarının davranışını izleyen her kuruluş GDPR kapsamındadır. Trendyol Avrupa, Hepsiglobal, Getir UK gibi örnekler bu gruba girer.
Türk şirketleri için pratik sonuç: AB'de e-ticaret, SaaS, mobil uygulama veya dijital içerik hizmeti sunuyorsanız GDPR uyumu zorunludur. Yalnızca Türkiye iç pazarına yönelik faaliyetler için KVKK yeterlidir.
Article 5
GDPR'ın 7 Temel İlkesi
Veri işlemenin her adımında bu ilkeler uygulanır; çerez yönetimi de bu çerçeveye tabidir.
Amaç Sınırlılığı
Toplanan veriler yalnızca belirtilen amaç için kullanılabilir; amaç dışı işleme yasaktır.
Veri Minimizasyonu
Yalnızca işlem için zorunlu veriler toplanmalıdır; gereksiz çerez yüklenmesi bu ilkeyi ihlal eder.
Doğruluk
İşlenen veriler güncel ve doğru olmalıdır; hatalı veriler silinmeli veya düzeltilmelidir.
Depolama Sınırlılığı
Veriler amacın gerektirdiğinden fazla süre saklanamaz. Çerez saklama süreleri amaçla orantılı olmalıdır.
Bütünlük ve Gizlilik
Veriler yetkisiz erişime, kayba veya imhaya karşı teknik/idari tedbirlerle korunmalıdır.
Hesap Verebilirlik
Veri sorumlusu uyumu belgelemek ve kanıtlamak zorundadır. DPO atanması, DPA ve kayıt tutma bu kapsamdadır.
GDPR ve ePrivacy Directive: Hangisi Çerezi Düzenler?
Yaygın bir karışıklık: çerez consent kuralları doğrudan GDPR'dan değil, ePrivacy Directive (2002/58/EC) Article 5(3)'ten gelir. GDPR ise consent'in kalitesini tanımlar (Article 4(11) ve 7).
ePrivacy Directive
"Çerez yüklemeden önce consent al" kuralı buradan gelir (Article 5(3)). Zorunlu çerezler hariç tüm çerezler için açık onay gereklidir.
- Yasal dayanak: 2002/58/EC
- Konu: Elektronik iletişim + çerezler
- Kural: Önceden onay zorunlu
GDPR
Consent'in "özgür, belirli, bilgilendirilmiş ve açık" olmasını şart koşar (Article 4(11) ve 7). Kalite standardı belirler.
- Yasal dayanak: 2016/679
- Konu: Genel kişisel veri işleme
- Kural: Consent kalitesi + geri çekilebilirlik
İkisi birlikte okunduğunda sonuç şudur: çerezleri yüklemeden önce ePrivacy kuralı gereği onay alınmalı; bu onay GDPR kalite standardını karşılamalıdır.
Article 12-22
İlgili Kişi Hakları
GDPR, kullanıcılara sekiz temel hak tanır. Consent geri çekme de bu haklar arasındadır.
Bilgilendirilme Hakkı
Verinin nasıl, neden ve ne kadar süreyle işlendiği şeffaf biçimde aktarılmalıdır (Art. 13-14).
Erişim Hakkı
Kullanıcı, kendine ait hangi verilerin işlendiğini talep edebilir (Art. 15).
Düzeltme Hakkı
Hatalı veya eksik veriler düzeltilmeli ya da tamamlanmalıdır (Art. 16).
Silinme Hakkı
"Unutulma hakkı" olarak da bilinir; belirli koşullarda verilerin silinmesi talep edilebilir (Art. 17).
İşleme Kısıtlama
Kullanıcı, verisinin işlenmesini kısıtlamasını isteyebilir (Art. 18).
Taşınabilirlik Hakkı
Veriler makine okunur formatta kullanıcıya teslim edilmeli ya da başka platforma aktarılmalıdır (Art. 20).
İtiraz Hakkı
Meşru menfaat veya kamu yararı dayanaklı işlemeye itiraz edilebilir (Art. 21).
Consent Geri Çekme
Consent her zaman, verildiği kadar kolay biçimde geri çekilebilmelidir (Art. 7(3)). Bu, banner'da "Geri Al" seçeneğini zorunlu kılar.
GDPR Kapsamında Çerez Yükümlülükleri
GDPR consent hukuki dayanağı (Art. 6(1)(a)) seçildiğinde banner tasarımı aşağıdaki gereksinimleri karşılamalıdır:
- Granular consent: Kullanıcı her çerez kategorisini (analitik, reklam, sosyal medya) ayrı ayrı kabul veya reddedebilmelidir. "Tümünü Kabul Et" tek başına yeterli değildir.
- Eşit kolay red: "Reddet" butonu, "Kabul" butonu ile aynı görünürlükte ve kolaylıkta sunulmalıdır. CNIL 2022 kararları bu konuda belirleyicidir.
- Önceden onay zorunlu: Consent alınmadan hiçbir analitik veya pazarlama çerezi yüklenmemelidir.
- Bilgi kalitesi: Her çerezin adı, sağlayıcısı ve saklama süresi belirtilmelidir.
- Consent kaydı: Verilen ve reddedilen her consent zaman damgasıyla kayıt altına alınmalıdır (ispat yükü).
- Geri çekme kolaylığı: Kullanıcı daha önce verdiği onayı dilediği zaman geri çekebilmelidir.
ePrivacy Regulation: ePrivacy Directive'in güncellenmiş hali olan ePrivacy Regulation, 2026 itibarıyla hala AB Konseyi'nde müzakere aşamasındadır. Yürürlük tarihi belirsizliğini korumaktadır.
Denetim otoriteleri
AB Ülkelerinde Consent Yorumları
Her üye devletin denetim otoritesi farklı katılıkta yorumlar uygular.
| Ülke | Otorite | Katılık | Özel Kural |
|---|---|---|---|
| Almanya | BfDI + Eyalet otoriteleri | Çok Sıkı | TTDSG (2021) ek katman, "Cookie wall" yasak |
| Fransa | CNIL | Çok Sıkı | Reddet butonu = Kabul butonu kadar belirgin (zorunlu) |
| İtalya | Garante | Sıkı | Scroll = consent değil (2022 kararı) |
| İspanya | AEPD | Orta | Esneklik var, ama ihlal cezaları büyük |
| Hollanda | AP | Sıkı | "Cookie wall" kısıtlı izin (paywall hariç) |
| İrlanda | DPC | Orta | Big Tech merkez ülkesi, kararlar görece yavaş |
| Avusturya | DSB | Sıkı | Schrems II için en kapsamlı denetim |
| Polonya | UODO | Esnek | Pratik uygulamada esneklik, ceza nadirdir |
Büyük AB Otoritelerinin Karar Örnekleri
Kamuya açık, resmi kaynaklarda raporlanmış kararlar. Tam metin için cnil.fr ve edpb.europa.eu sitelerini inceleyiniz.
CEZA
150.000.000 €
Ocak 2022
Google LLC + Google Ireland
"Reddet" butonu yoktu, yalnızca "Kabul" ve "Tümünü Yönet" seçenekleri sunuluyordu. CNIL: "Kabul ve reddet aynı kolaylıkta sunulmalıdır."
CEZA
60.000.000 €
Ocak 2022
Meta Platforms (Facebook)
Aynı "reddet butonu" eksikliği. Google ile aynı gün ilan edildi.
CEZA
35.000.000 €
Aralık 2020
Amazon Europe Core
Aydınlatma eksikliği ve çerez yüklenmeden önce consent alınmamış.
IAB TCF v2.2: Mevcut Durum
IAB TCF v2.2, programatik reklam ekosistemi için consent standardıdır. Mayıs 2024'ten itibaren v2.2 geçerlidir. Erişilebilir Çerez'te şu an IAB TCF v2.2 desteği mevcut değildir.
Yayıncılar için not: IAB TCF v2.2 sertifikasyonu Q3 2026'da hedeflenmektedir. Mevcut olarak Google Consent Mode v2 (5 sinyal) ve 3rd-party script blocking (
data-cb-category attribute) sunulmaktadır. Programatik vendor ekosistemi için TCF zorunlu olan büyük yayıncılar için Erişilebilir Çerez şu an uygun değildir.
Mevcut çözümümüz, Google AdSense ve Ad Manager ile Google Consent Mode v2 üzerinden uyumlu çalışır; küçük ve orta ölçekli yayıncılar için yeterlidir.
erisilebilircerez.com
Erişilebilir Çerez ile GDPR Uyumu
Platformumuz hangi adımları otomatikleştirir, hangileri sizin sorumluluğunuzdadır?
Otomatik Çerez Tarama
217+ çerez tanımı ve BFS tarama ile sitenizin çerezleri bulunur, kategorize edilir. GDPR'ın bilgilendirme yükümlülüğünü karşılar.
OtomatikGranular Consent Banner
Kategori bazlı toggle'lar, eşit görünürlükte kabul/red butonları, 3 dil (TR/EN/DE) desteği ve consent geri çekme widget'ı.
OtomatikZaman Damgalı Consent Logu
Her consent kararı (kabul/red/kategori) zaman damgası ve kullanıcı tanımıyla kaydedilir. GDPR ispat yükünü karşılar.
OtomatikDPO Atama ve DPA
DPO atanması ve Veri İşleme Sözleşmesi (DPA) hazırlanması hukuki danışmanlık sürecidir; Erişilebilir Çerez bu süreçleri otomatikleştirmez.
Hukuki danışmanGizlilik Politikası Metni
GDPR uyumlu çerez politikası içeriği için hukuki danışmanlık gereklidir. Erişilebilir Çerez politika şablon önerileri sunar, hukuki onay sizin sorumluluğunuzdadır.
Kısmen desteklenirGoogle Consent Mode v2
5 sinyal (ad_storage, analytics_storage, functionality_storage, ad_user_data, ad_personalization) otomatik iletilir. GA4 ve Ads uyumu sağlanır.
OtomatikSık Sorulan Sorular
Kısa cevap: Evet. AB pazarına mal/hizmet sunan veya AB vatandaşlarının verisini işleyen tüm Türk şirketleri, GDPR Article 3 (extraterritorial scope) gereği kapsam dahilindedir. Trendyol Avrupa, Hepsiglobal, Getir UK bu gruba girer. Yalnızca Türkiye iç pazarı için faaliyet gösteriliyorsa KVKK yeterlidir.
Kısa cevap: GDPR genel veri koruma hukukunu (2018), ePrivacy Directive (2002/58/EC) ise elektronik iletişim ve çerezlere ilişkin özel kuralları düzenler. Çerez consent kuralları doğrudan ePrivacy'den gelir; GDPR yalnızca consent kalitesini (özgür, bilgilendirilmiş, açık, geri çekilebilir) düzenler. ePrivacy Regulation hala AB Konseyi onayı beklemektedir.
Kısa cevap: Google 150M€ (Ocak 2022), Meta 60M€ (Ocak 2022) ve Amazon EU 35M€ (Aralık 2020). Cezaların büyük bölümü "reddet butonu kabul butonu kadar belirgin değil" ihlalinden kaynaklanmaktadır. Resmi karar metinleri için cnil.fr ve edpb.europa.eu kaynaklarını inceleyiniz.
Kısa cevap: Şu an mevcut değildir. Yayıncılar için IAB TCF v2.2 sertifikasyonu Q3 2026'da hedeflenmektedir. Mevcut olarak Google Consent Mode v2 (5 sinyal) ve 3rd-party script blocking sunulmaktadır. Programatik vendor ekosistemi için TCF zorunlu büyük yayıncılar için şu an uygun değildir.
Kısa cevap: Schrems II (Temmuz 2020) AB-ABD veri transferini sıkılaştırdı. Google Analytics 4, Meta Pixel ve HubSpot gibi ABD merkezli servisler için ek koruma önlemleri (SCC + TIA) gerekmektedir. Avusturya DSB ve Fransa CNIL, Google Analytics'i Schrems II ihlali olarak değerlendirdi. Erişilebilir Çerez consent banner'ında bu transferler hakkında bilgilendirme yapılır.
Kısa cevap: Granular consent; kullanıcının çerez kategorilerini (analitik, reklam, sosyal medya) ayrı ayrı kabul veya reddedebilmesidir. GDPR Article 7(2) ve EDPB rehberi gereği zorunludur. Yalnızca "Hepsini Kabul Et" butonu yeterli değildir. Erişilebilir Çerez varsayılan olarak 4 kategori (Zorunlu, Analitik, Reklam, İşlevsellik) sunar ve her kategori için ayrı consent kaydeder.
Kısa cevap: GDPR'da net süre belirlenmemiştir; EDPB rehberi 6-12 ay arası önermektedir. Erişilebilir Çerez varsayılan 365 gündür, domain bazında 90-365 gün arasında ayarlanabilir. Çerez politikasında önemli değişiklik (substantial change) yapıldığında da yeniden consent alınmalıdır.
AB pazarı + Türkiye =
GDPR + KVKK çift uyum, Google Consent Mode v2, otomatik çerez tarama. 5 dakikada kurulum.