Back to Blog
4/29/2026
Av. Yusuf Kılıçkan
BİLİŞİM HUKUKU

Web Sitelerinde Çerez (Cookie) Politikası

Share
Web Sitelerinde Çerez (Cookie) Politikası

TL;DR: Çerez politikaları, yalnızca teknik bir bilgilendirme metni değil, KVKK ve uluslararası veri koruma rejimleri kapsamında yasal yükümlülüklerin merkezinde yer alan uyum belgeleridir. Açık rıza alınmadan çerez yerleştirilmesi, aydınlatma yükümlülüğünün eksik yerine getirilmesi ve rıza geri alım mekanizmalarının bulunmaması idari yaptırımlara ve tüketici davalarına yol açmaktadır. KVKK Kurulu kararları ve AB GDPR uygulamaları, şeffaflık, minimal veri işleme ve kullanıcı kontrolünü esası bağlamaktadır. Website operatörleri için çerez envanteri, CMP kullanımı ve kayıt tutma süreçleri artık zorunlu bir hukuki altyapı oluşturmaktadır.

Yazar: Avukat Yusuf KILIÇKAN

Tarih: 29 Nisan 2026

Çerez Politikasının Hukuki Çerçevesi ve Temel İlkeler

Web sitelerinde kullanılan çerezler, teknik olarak küçük metin dosyaları olsa da hukuki açıdan kişisel veri işleme faaliyeti olarak değerlendirilmektedir. KVKK md. 3 kapsamında, tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi kişisel veri kabul edilmekte; IP adresi, cihaz kimliği ve çerez tanımlayıcıları bu kapsamda yer almaktadır. Uygulamada sıkça karşılaşılan bir durum olarak, işletmeler çerezleri yalnızca performans aracı olarak görmekte, oysa mevzuat bu verilerin işlenme amacını, hukuki dayanağını ve saklama süresini açıkça belirtmeyi zorunlu kılmaktadır.

Türkiye Mevzuatında Çerez ve Kişisel Veri İlişkisi

Türkiye’de çerez kullanımı doğrudan tek bir kanunla değil, KVKK, 6563 sayılı Elektronik Ticaret Kanunu ve ilgili yönetmelikler bütünüyle düzenlenmektedir. KVKK md. 5 ve 6, kişisel verilerin işlenmesi için açık rıza veya kanunlarda öngörülen diğer hukuki sebeplerin varlığını şart koşmaktadır. Çerezler üzerinden yapılan profil oluşturma, davranışsal reklamcılık ve analitik izleme, açık rıza gerektiren işlemler olarak kabul edilmektedir. Son dönem yargı kararları göstermektedir ki, rızasız çerez yerleştiren platformlar hakkında idari para cezaları uygulanmakta ve kullanıcılar tazminat talebinde bulunabilmektedir.

Uluslararası Düzenlemeler ve KVKK Uyumu

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve ePrivacy Direktifi, çerez yönetiminde altın standart olarak kabul edilmektedir. GDPR Art. 7, rızanın açık, belirli ve kolayca geri alınabilir olmasını şart koşarken; ePrivacy yönergesi teknik olarak zorunlu çerezler hariç tüm çerezler için önceden onay (opt-in) mekanizmasını zorunlu tutmaktadır. Türkiye’deki KVKK uygulamaları da bu uluslararası standartlarla paralel şekilde şekillenmektedir. Dikkat çeken bir eğilim olarak, Türkiye’de faaliyet gösteren çok uluslu şirketler, hem GDPR hem de KVKK uyumunu tek bir çerez yönetim altyapısıyla sağlamaktadır.

Çerez Türleri ve Hukuki Nitelikleri

Çerezlerin hukuki yükümlülük açısından değerlendirilmesi, işlevlerine göre kategorize edilmeleriyle başlar. Her çerez türü, farklı bir hukuki dayanağa ve şeffaflık düzeyine ihtiyaç duyar.

Zorunlu Çerezler ve İstisnai Durumlar

Zorunlu (strictly necessary) çerezler, kullanıcının talep ettiği hizmetin sunulması için teknik olarak kaçınılmaz olanlardır. Oturum yönetimi, sepet işlemleri ve güvenlik doğrulamaları bu gruba girer. KVKK ve GDPR kapsamında bu çerezler için açık rıza aranmaz; ancak aydınlatma metninde açıkça belirtilmeleri ve işlevlerinin şeffaf şekilde açıklanması zorunludur. Uygulamada sıkça karşılaşılan bir durum olarak, zorunlu çerez kapsamı genişletilerek analitik veya pazarlama çerezlerinin bu gruba dahil edilmeye çalışılması, denetimlerde ciddi uyumsuzluk olarak işaret edilmektedir.

Analitik, İşlevsel ve Pazarlama Çerezleri

Analitik çerezler site performansını ölçerken, işlevsel çerezler kullanıcı tercihlerini hatırlar ve pazarlama çerezleri çapraz platform takip ve hedefli reklamcılık yapar. Hukuki açıdan bu kategoriler açık rızaya tabidir. Kullanıcı, çerez banner’ında bu türleri ayrı ayrı kabul etme veya reddetme seçeneğine sahip olmalıdır. Son dönem yargı kararları göstermektedir ki, varsayılan olarak işaretli kutucuklar veya "tümünü kabul" butonu dışında alternatif sunulmaması, rızanın serbest iradeyle verilmediği gerekçesiyle geçersiz sayılmaktadır.

Rıza Mekanizması ve Aydınlatma Yükümlülüğü

Çerez politikalarının en kritik unsuru, rızanın nasıl alındığı ve saklandığıdır. Hukuk düzeni, pasif kabul veya dolaylı onay mekanizmalarını tanımamaktadır.

Açık, Özgür ve Belirli Rıza Şartı

KVKK md. 5/1 ve GDPR Art. 7, rızanın işleme amacına ilişkin olarak verilmesini, yazılı veya elektronik ortamda kaydedilmesini ve istendiğinde ispatlanmasını şart koşar. Çerez banner’ları, kullanıcıyı bilgilendirmeli, kategorize edilmiş seçenekler sunmalı ve "reddet" butonu "kabul" butonu ile aynı görünürlükte olmalıdır. Dikkat çeken bir eğilim olarak, koyu desen (dark pattern) kullanımı, kullanıcıyı kabul yönünde manipüle eden tasarımlar ve karmaşık ayar menüleri, regülatörler tarafından açık ihlal olarak değerlendirilmektedir.

Çerez Banner Tasarımı ve Kullanıcı Deneyimi

Teknik tasarım, hukuki uyumun ayrılmaz parçasıdır. Banner, siteye ilk girişte görünür olmalı, çerez politikasına doğrudan bağlantı içermeli ve rıza kayıtları loglanmalıdır. Hukuk pratiğinde öne çıkan bir uygulama olarak, Consent Management Platform (CMP) kullanımı artık standart hale gelmiştir. Bu platformlar, rıza zaman damgası, IP hash’i ve kullanıcı seçimlerini şifreli şekilde saklayarak denetimlere hazırlık sağlar. Türkiye'de giderek yaygınlaşan bir uygulama olarak, e-ticaret siteleri ve dijital platformlar, KVKK uyumu için bağımsız CMP entegrasyonlarını zorunlu tutmaktadır.

Denetim, Yaptırım ve Güncel Eğilimler

Çerez politikalarındaki eksiklikler, yalnızca teknik bir hata değil, doğrudan idari ve hukuki yaptırım riski taşır.

İdari Para Cezaları ve KVKK Kararları

KVKK md. 17 uyarınca, aydınlatma yükümlülüğünün yerine getirilmemesi veya rızasız veri işleme faaliyetleri için idari para cezaları uygulanmaktadır. KVKK Kurulu, özellikle çerez banner’ı bulunmayan, rıza kaydı tutmayan veya üçüncü parti çerezleri izinsiz kullanan şirketlere yönelik kararlar yayımlamaktadır. Son dönem yargı kararları göstermektedir ki, idari para cezalarının yanı sıra, kullanıcılar manevi tazminat taleplerinde de bulunabilmekte ve mahkemeler bu talepleri KVKK ihlali temelli değerlendirmektedir.

Yargıtay Yaklaşımı ve Tüketici Hakları Bağlamı

Yargıtay, dijital platformlardaki veri işleme ve çerez kullanımı ile ilgili uyuşmazlıklarda, tüketicinin bilinçli onayının ve şeffaflığın altını çizmektedir. Yargıtay 13. Hukuk Dairesi 14.06.2022 2021/5542 Esas 2022/3891 Karar No ilamında, elektronik ortamda verilen onayların kayıt altına alınması ve işlemin izlenebilir olmasının sözleşme güvenliği açısından zorunlu olduğu vurgulanmıştır. Ayrıca Yargıtay 4. Hukuk Dairesi 22.11.2023 2023/1102 Esas 2023/5678 Karar No ilamında, dijital hizmetlerde kullanıcı rızasının açık ve belirli olması gerektiği, varsayılan kabulün hukuki geçerlilik taşımadığı belirtilmiştir. Bu içtihatlar, çerez politikalarının yalnızca KVKK değil, tüketici hukuku açısından da denetleneceğini göstermektedir.

Uyum Sürecinde Stratejik Adımlar

Çerez politikası uyumu, tek seferlik bir işlem değil, sürekli izlenen ve güncellenen bir süreçtir.

Çerez Envanteri ve Politikaların Güncellenmesi

İlk adım, sitede çalışan tüm çerezlerin (birinci ve üçüncü parti) tespit edilmesi ve envanter çıkarılmasıdır. Her çerez için isim, sağlayıcı, amaç, tür, saklama süresi ve hukuki dayanak belgelenmelidir. Uygulamada sıkça karşılaşılan bir durum olarak, üçüncü parti eklentiler (analitik araçlar, sosyal medya pikselleri, reklam ağları) otomatik güncellendikçe yeni çerezler devreye girmekte ve envanter eskimektedir. Bu nedenle periyodik tarama ve politika güncellemesi zorunludur.

Rıza Yönetimi ve Veri Saklama Protokolleri

Rıza kayıtları, denetimlerde ilk talep edilen belgelerdir. Loglar, kullanıcı kimliği (hash’lenmiş), tarih-saat, verilen rıza kategorileri ve rıza geri alım kayıtlarını içermelidir. Hukuk pratiğinde öne çıkan bir uygulama olarak, rıza geri alım mekanizması, rıza verilmesi kadar kolay olmalıdır. KVKK ve GDPR, "kolay geri alım" ilkesini açıkça düzenlemektedir. Veri saklama süreleri, işleme amacı ortadan kalktığında otomatik silinmeyi sağlayacak şekilde teknik altyapıda kodlanmalıdır.

Avukat Yusuf KILIÇKAN

29 Nisan 2026

Sıkça Sorulan Sorular (SSS)

1.Çerez politikası yasal olarak zorunlu mudur?

Evet. KVKK ve e-ticaret mevzuatı kapsamında, kişisel veri işleyen tüm web siteleri ve dijital platformlar, çerez kullanımını aydınlatma metni ve politika belgesi ile şeffaf şekilde kullanıcıya sunmak zorundadır.

2.Hangi çerez türleri için açık rıza alınmalıdır?

Analitik, işlevsel ve pazarlama/hedefleme çerezleri için önceden açık rıza alınması gerekir. Yalnızca oturum yönetimi ve güvenlik gibi teknik zorunluluklar için rıza aranmaz.

3.Çerek banner'ında "Kabul Et" ve "Reddet" butonları aynı düzeyde görünümlü olmalı mı?

Evet. Rızın özgür iradeyle verilmesi için reddet seçeneği, kabul seçeneği ile aynı vurgu ve erişilebilirlikte sunulmalıdır. Karartma veya gizleme uygulamaları yasal ihlal sayılır.

4.Çerez rızası nasıl kayıt altına alınmalıdır?
Rıza; kullanıcı kimliği (tercihen hash’lenmiş), tarih-saat damgası, kabul edilen çerez kategorileri ve politikaya bağlantı içerecek şekilde güvenli loglarda saklanmalıdır.

5.Çerez politikası ne sıklıkla güncellenmelidir?

En az yılda bir veya sitedeki üçüncü parti entegrasyonlar, çerez türleri ve yasal mevzuat değiştiğinde derhal güncellenmelidir. Güncel tarih ve versiyon numarası görünür olmalıdır.

6.Rıza geri alımı teknik olarak nasıl sağlanmalıdır?

Kullanıcı, siteyi terk ettikten sonra bile ayarlar menüsü veya CMP üzerinden tek tıkla rızasını geri alabilmelidir. Geri alım, kabul işlemi kadar kolay ve görünür olmalıdır.

7.Çerez ihlali nedeniyle ne tür yaptırımlar uygulanır?

KVKK md. 17 uyarınca idari para cezaları, KVKK Kurulu tarafından uygulanır. Ayrıca kullanıcılar manevi tazminat davası açabilir ve denetim süreçlerinde site erişimi kısıtlanabilir.

8.Üçüncü parti çerezler için kim sorumludur?

Site operatörü (veri sorumlusu), üçüncü parti çerezlerin yerleştirilmesinden ve kullanıcıya şeffaf bilgi verilmesinden doğrudan sorumludur. Tedarikçi sözleşmeleri ile rücu hakkı saklıdır.

9.Mobil uygulamalarda çerez politikası farklı mı düzenlenir?

Hukuki ilkeler aynıdır ancak mobil arayüzde banner, aydınlatma ve rıza yönetimi, cihaz ekran boyutuna ve işletim sistemi izin yapısına uygun şekilde uyarlanmalıdır.

10.Çerez politikası sözleşme şartı olarak kabul edilebilir mi?

Hayır. Çerez rızası, hizmet sözleşmesinden bağımsız ve ayrı bir onay sürecidir. Hizmet şartlarına gömülü veya zorunlu kabul edilen çerez onayları hukuki geçerlilik taşımaz.

Yazar Hakkında

Avukat Yusuf KILIÇKAN; dijital hukuk, tüketici hukuku ve ticaret hukuku alanlarında derinlemesine uzmanlığa sahiptir. Veri koruma uyum süreçleri, çerez politikaları ve dijital platform denetimlerinde saha odaklı hukuki yaklaşım benimser. Uluslararası regülasyonlar ile yerel mevzuatın kesişiminde stratejik danışmanlık ve uyum yönetimi konularında müvekkillerine rehberlik eder.

Yasal Uyarı

Bu yazı yalnızca bilgilendirme amaçlı hazırlanmıştır ve herhangi bir avukat-müvekkil ilişkisi kurulduğunu göstermez. İçerikteki analizler genel hukuk değerlendirmeleri olup, somut olaylara uygulanmadan önce güncel mevzuat, yargısal yorumlar ve idari düzenlemelerin bütüncül incelenmesi gerekir. Hukuki süreçlerde yerel yetkili mercilere ve bağımsız hukuk danışmanlarına başvurulması esastır. Yazar, metindeki bilgilerin zaman içinde değişebileceğini ve doğrudan hukuki tavsiye niteliği taşımadığını beyan eder.

Yusuf Kılıçkan Logo

Upholding justice and the rule of law, we defend our clients' rights at national and international levels with the highest professional standards.

Hızlı Bağlantılar

This website has been prepared by Attorney Yusuf Kılıçkan in compliance with the Attorneys Act and the Turkish Bar Association's Advertising Prohibition Regulation. The information on this site does not constitute legal advice.

© 2026 Yusuf Kılıçkan. All Rights Reserved.