top of page
Ara

KVKK ve “Çerezleri Kabul Et” Butonu: Rızasız Veri İşleme Riski

  • Yazarın fotoğrafı: Harun Emre Şentürk
    Harun Emre Şentürk
  • 3 gün önce
  • 5 dakikada okunur

Dünya üzerindeki uydulardan veri akışını gösteren bir görsel

İnternette gezinirken neredeyse her sitede karşımıza çıkan “Çerezleri kabul et” uyarısı, dijital dünyanın en görünür ama en az anlaşılan hukuki bildirimlerinden biridir. Bu basit görünen buton, aslında kişisel verilerin işlenmesine ilişkin bir rıza beyanı anlamına gelir.

Ancak çoğu durumda, kullanıcılar bu butona neye onay verdiklerini tam olarak bilmeden tıklamaktadır. Bu durum, Kişisel Verilerin Korunması Kanunu (KVKK) açısından ciddi bir rıza geçerliliği ve veri işleme hukuka uygunluğu tartışmasını doğurur.

KVKK uyarınca kişisel verilerin işlenmesi, yalnızca bilgilendirilmiş, özgür iradeye dayanan ve belirli bir amaçla verilmiş açık rıza ile mümkündür. Dolayısıyla “çerezleri kabul et” uyarısı, yalnızca teknik bir kullanıcı tercihi değil; doğru şekilde kurgulanmadığında rıza dışı veri işleme riskini doğuran hukuki bir eylemdir.



Çerezler Nedir ve Neden Kullanılır?

Çerezler, bir internet sitesine girildiğinde kullanıcının tarayıcısına kaydedilen küçük veri dosyalarıdır. Temel amaç, kullanıcının tercihlerini hatırlamak, oturum sürekliliğini sağlamak ve site deneyimini geliştirmektir. Ancak bu teknolojinin kapsamı yalnızca teknik kolaylıkla sınırlı değildir; çerezler aynı zamanda kullanıcı davranışlarının izlenmesi ve kişisel verilerin toplanması anlamına da gelir.

Çerezler genel olarak dört ana kategoriye ayrılır:

  • Zorunlu çerezler: Web sitesinin temel işlevleri için gereklidir. Giriş yapma, sepet yönetimi veya güvenlik doğrulaması gibi işlemleri mümkün kılar.

  • Performans çerezleri: Kullanıcıların siteyi nasıl kullandığını analiz ederek teknik geliştirmelere katkı sağlar.

  • Pazarlama çerezleri: Kullanıcının ilgi alanlarına göre reklam gösterilmesini sağlar; en yüksek veri işleme riski bu tür çerezlerde ortaya çıkar.

  • Üçüncü taraf çerezleri: Site dışı platformlar (örneğin Google, Meta, TikTok) tarafından yerleştirilen çerezlerdir. Bu veriler çoğu zaman yurt dışına aktarılır ve KVKK m.9 kapsamında açık rıza gerektirir.

Çerezler aracılığıyla toplanan bilgiler genellikle IP adresi, cihaz kimliği, konum verisi, gezinme geçmişi, tıklama davranışları gibi kişisel verileri içerir. Bu nedenle, web sitelerinin çerez kullanımı yalnızca teknik değil, aynı zamanda hukuki bir veri işleme faaliyeti olarak değerlendirilir.

Yanlış kurgulanmış bir çerez politikası ya da açık rıza alınmadan çalışan çerez mekanizmaları, doğrudan rıza dışı veri işleme sonucunu doğurabilir.



“Çerezleri Kabul Et” Uyarısı Hukuken Ne Anlama Geliyor?


Bir web sitesinde karşımıza çıkan “çerezleri kabul et” bildirimi, kullanıcıdan kişisel verilerinin işlenmesine dair açık rıza talep edilmesi anlamına gelir. Bu rıza, Kişisel Verilerin Korunması Kanunu’nun (KVKK) 5. ve 10. maddeleri kapsamında geçerli sayılabilmesi için belirli şartlara bağlıdır.

KVKK’ya göre bir rızanın geçerli olabilmesi için üç temel unsur bulunur:

  1. Bilgilendirilmiş olması: Kullanıcı, hangi verilerin hangi amaçla işleneceğini, kimlerle paylaşılacağını ve ne kadar süreyle saklanacağını öğrenmelidir.

  2. Özgür iradeye dayanması: Kullanıcının rıza vermemesi halinde siteyi kullanmaya devam etmesinin engellenmemesi gerekir. “Kabul etmezsen siteye giremezsin” uyarısı, özgür irade ilkesini ortadan kaldırır.

  3. Belirli bir amaca yönelik olması: “Tüm çerezleri kabul et” gibi genel ifadeler, rızayı belirsiz hâle getirir. Rıza, her veri işleme amacı için ayrı ayrı alınmalıdır.

Ne yazık ki birçok sitede bu koşullar yerine getirilmeden çerez bildirimi gösterilmektedir. Kullanıcıya yalnızca “çerezleri kabul et” veya “devam et” seçenekleri sunulmakta; “reddet” veya “tercihlerimi yönet” gibi alternatifler bulunmamaktadır. Bu durumda rıza, görünürde alınmış olsa da hukuken geçerli kabul edilmez.

Ayrıca, rıza verilmeden çerezlerin tarayıcıya yüklenmesi ya da kullanıcı reddettikten sonra bile veri toplamaya devam edilmesi, rıza dışı veri işleme anlamına gelir. Bu durum hem KVKK’ya hem de Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) aykırıdır ve veri sorumlusu açısından idari para cezası riskini doğurur.



Rızasız Veri İşleme Riski: En Sık Karşılaşılan Hatalar


Web sitelerinde kullanılan çerez politikalarının büyük kısmı, görünürde “rıza alıyor” gibi görünse de aslında KVKK’nın açık rıza şartlarını karşılamaz. Bu durum, sitelerin bilmeden rızasız veri işleme riskine girmesine yol açar. Özellikle küçük işletmeler ve e-ticaret siteleri, teknik bilgi eksikliği nedeniyle farkında olmadan ciddi hukuki ihlaller yapmaktadır.

Aşağıda, Rekabet Kurulu ve KVKK kararlarında en sık karşılaşılan tipik hatalar özetlenmiştir:

  • Aydınlatma metni olmadan çerez kullanımı: Kullanıcıya hangi verilerin işlendiği, hangi amaçla toplandığı ve kimlerle paylaşıldığı açıklanmadan çerez yerleştirilmesi, açık rızayı geçersiz kılar.

  • Önceden işaretli onay kutuları: Kullanıcının aktif bir tercih yapmadan “kabul etmiş” sayılması, özgür irade şartına aykırıdır.

  • Zorunlu çerezlerin dışındaki çerezlerin otomatik çalışması: Kullanıcı reddetse bile istatistik veya pazarlama çerezlerinin devreye girmesi, doğrudan rızasız veri işleme anlamına gelir.

  • Tek seçenekli bildirimler: “Siteyi kullanmaya devam ederek çerezleri kabul etmiş sayılırsınız” şeklindeki ibareler, açık rıza değil örtülü onay oluşturur ve KVKK kapsamında geçersizdir.

  • Üçüncü taraf çerezlerinin kontrolsüz kullanımı: Reklam platformları veya analitik servisler aracılığıyla verilerin yurt dışına aktarılması, çoğu zaman veri sorumlusu tarafından fark edilmeden gerçekleşir ve m.9 kapsamındaki açık rıza şartını ihlal eder.

Bu tür ihlaller yalnızca para cezası riski yaratmakla kalmaz; aynı zamanda veri sorumlusunun itibarını zedeleyen kamuoyu açıklamalarına da neden olabilir. Kişisel Verileri Koruma Kurumu (KVKK), rızasız çerez kullanımı tespit edildiğinde yalnızca idari yaptırım uygulamakla kalmamakta, kararı resmi internet sitesinde duyurarak kamuoyunu bilgilendirmektedir.

Bu nedenle, “çerezleri kabul et” butonunun yalnızca bir formalite değil, hukuken geçerli bir rıza alma mekanizması olarak tasarlanması gerekir.



KVKK’ya Göre Uyumlu Bir “Çerezleri Kabul Et” Butonu Nasıl Olmalı?


Bir web sitesinde yer alan “çerezleri kabul et” bildirimi, yalnızca kullanıcıya yöneltilen bir bilgilendirme değil; KVKK’ya uygun şekilde rıza alınmasını sağlayan bir araç olmalıdır. Bu nedenle, çerez bildirim ekranı hem teknik hem de hukuki olarak belirli kriterleri karşılamalıdır.


1. Katmanlı Aydınlatma Yaklaşımı

Kullanıcıya ilk ekranda kısa bir bilgilendirme yapılmalı, ancak detaylı açıklamalara kolayca ulaşabileceği bir bağlantı (“Daha fazla bilgi”, “Aydınlatma Metni”) sunulmalıdır. Bu yaklaşım, Kişisel Verileri Koruma Kurulu’nun 2024 tarihli “Çerez Uygulamaları Rehberi” ile uyumludur.


2. Eşit Seçenekler Sunulmalı

“Çerezleri kabul et” butonunun yanında mutlaka “reddet” veya “tercihlerimi yönet” seçeneği bulunmalıdır. Kullanıcıya yalnızca onay verme imkânı sunulması, özgür irade unsurunu ortadan kaldırır.


3. Çerez Türleri Ayrı Ayrı Seçilebilir Olmalı

Kullanıcının yalnızca zorunlu çerezlere onay verip, istatistik veya pazarlama çerezlerini reddedebilmesi gerekir. Bunun için çok katmanlı veya kategori bazlı bir çerez yönetim arayüzü kullanılmalıdır.


4. Teknik Altyapı Uyumlu Olmalı

Google Consent Mode, Cookiebot veya IAB TCF 2.2 gibi uluslararası standartlarla uyumlu çerez yönetim araçları, KVKK açısından da güvenli çözümler sunar. Bu sistemler, kullanıcı tercihlerini tarayıcıya kaydederek rıza ispat yükümlülüğünü veri sorumlusu lehine kolaylaştırır.


5. Veri Saklama Süresi ve Silme Politikası

Rıza alındıktan sonra çerez verileri süresiz olarak saklanmamalıdır. Kullanıcı tercihleri belirli aralıklarla yenilenmeli, çerez kayıtları KVKK m.7 uyarınca silinmeli veya anonimleştirilmelidir.



İhlal Durumunda Uygulanan Cezalar ve Kurul Kararları


“Çerezleri kabul et” bildirimlerinin yanlış kurgulanması ya da rıza alınmadan çerezlerin çalıştırılması, Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından doğrudan rıza dışı veri işleme olarak değerlendirilir. Bu tür ihlallerde uygulanan yaptırımlar yalnızca para cezasıyla sınırlı değildir; aynı zamanda Kurul tarafından verilen kararlar kamuoyuyla paylaşılır ve veri sorumlusunun itibarı üzerinde olumsuz etki yaratır.


KVKK Kapsamındaki Cezalar

6698 sayılı Kanun’un 18. maddesine göre:

  • Aydınlatma yükümlülüğünün ihlali durumunda 2025 yılı itibarıyla yaklaşık 150.000 TL’ye kadar,

  • Açık rıza alınmadan veri işlenmesi hâlinde 3 milyon TL’ye kadar,

  • Kurul kararlarına aykırı hareket edilmesi durumunda ise 5 milyon TL’ye kadar idari para cezası uygulanabilmektedir.

Bu rakamlar, her yıl yeniden değerleme oranına göre güncellenmektedir.

Dolayısıyla, web sitesinde küçük bir çerez banner’ının bile yanlış yapılandırılması, veri sorumlusu açısından ciddi mali ve itibari riskler doğurabilir.


Kurul Kararlarından Örnekler

  • 2022/134 Kararı: Kişisel Verileri Koruma Kurulu, TikTok’un açık rıza almadan ve yetersiz bilgilendirmeyle kişisel veri işlediği gerekçesiyle 1.750.000 TL idari para cezası uygulanmasına karar vermiştir.

  • 2023/787 Kararı: KVKK Kurulu, bir hastanenin hastalara ait sağlık verilerini reklam/tanıtım için “açık rıza” ile işlemesini hukuka aykırı bularak 250.000 TL ceza verdi; bu verilerin işlenmesinin durdurulmasına ve imhasına karar verdi


Sonuç: Kullanıcı Rızası Gerçekten Rıza Olmalı


“Çerezleri kabul et” bildirimi, dijital dünyanın en sade görünen ancak en hassas hukuki işlemlerinden biridir. Kullanıcıya sadece bir tıklama mesafesinde sunulan bu seçenek, doğru kurgulanmadığında rıza dışı veri işleme, yani KVKK ihlali anlamına gelir.

Rızanın geçerliliği, yalnızca “butona basıldı mı?” sorusuyla ölçülmez. Kullanıcı gerçekten bilgilendirildiyse, özgür iradesiyle seçim yapabildiyse ve tercihini dilediği zaman değiştirebiliyorsa, o rıza hukuken geçerlidir. Aksi durumda, alınan her veri, farkında olunmadan yasa dışı bir işlem haline gelir.

Web siteleri için bu konu yalnızca mevzuata uyum değil, aynı zamanda itibar, kullanıcı güveni ve marka sadakati meselesidir. Şeffaflık ve veri güvenliği politikaları, bir şirketin dijital ortamda güvenilir bir profil oluşturmasının temel unsurlarıdır.

Kişisel verilerin korunmasına dair farkındalık, hem bireyler hem işletmeler açısından büyüyen bir zorunluluk halini almıştır. Doğru çerez politikasıyla hareket eden web siteleri yalnızca cezadan kaçınmakla kalmaz, aynı zamanda kullanıcılarının güvenini kazanır.



Yazının sonu... Bu yazıda verdiğimiz bilgiler hukuki mütalaa ya da tavsiye niteliği taşımamaktadır. Verilen bilgiler yazılma tarihinde tarihinde yürürlükte olan kanunlara göre verilmiş olup, sizin yazıyı okuduğunuz tarihte güncel olmayabilir!

Bu sebeple; EĞER AMACINIZ HUKUKİ YARDIM ALMAK İSE BİR AVUKATA DANIŞMANIZI TAVSİYE EDERİZ.



 
 
 

Yorumlar

bottom of page