Çerez Politikamız

Çerez Politikamız

Dijital ekosistemin hızla gelişmesi, kullanıcı verilerinin toplanması ve işlenmesi süreçlerinde şeffaflığı yasal bir zorunluluk haline getirmiştir. Kurumsal düzeyde web platformları işleten kurumlar, ziyaretçi deneyimini optimize ederken aynı zamanda kişisel verilerin mahremiyetini korumakla mükelleftir.

2020 yılında kurulan, kökleri 15 yılı aşkın sektör tecrübesine dayanan ve İstanbul, Recife, Rio de Janeiro lokasyonlarında faaliyet gösteren ZyrexUI Web & Grafik Tasarım Ajansı olarak, yenilikçi ve güvenli altyapıların inşasında hukuki uyumluluğu temel bir prensip kabul ediyoruz. Kurumsal ve modern tasarım anlayışımızın ayrılmaz bir parçası olan veri güvenliği, işletmelerin itibar yönetimi açısından kritik bir parametredir. İnternet sitelerindeki çerez (cookie) uygulamaları, hem yerel mevzuat hem de uluslararası standartlar çerçevesinde katı kurallara bağlanmıştır.

Mevzuatın Dayanağı ve Hukuki Çerçeve

Türkiye Cumhuriyeti sınırları içerisinde faaliyet gösteren veya Türkiye'deki kullanıcılara hizmet sunan tüm dijital platformlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hükümlerine tabidir. Kişisel Verileri Koruma Kurulu tarafından yayımlanan rehberler ışığında, çerezler aracılığıyla elde edilen ve bireyi doğrudan veya dolaylı olarak tanımlanabilir kılan her türlü log kaydı, IP adresi ve tarayıcı bilgisi "kişisel veri" statüsünde değerlendirilmektedir.

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve e-Gizlilik Direktifi (e-Privacy Directive), küresel çapta hizmet veren platformlar için ek yükümlülükler getirmektedir. Çok uluslu yapılarda, çapraz sınır veri transferleri özel veri koruma sözleşmelerine dayandırılmalıdır.

Veri Sorumlusu sıfatını taşıyan işletmeler, Kanun'un 10. maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmek zorundadır. Kullanıcılar, platforma ilk giriş yaptıkları anda, hangi verilerin, hangi amaçlarla, ne kadar süreyle ve kimlerle paylaşılacağı konusunda şeffaf, anlaşılır ve erişilebilir bir şekilde bilgilendirilmelidir.

💡 İpucu: Katmanlı Aydınlatma Stratejisi

Kurul kararları doğrultusunda, çerez bilgilendirmeleri "katmanlı" bir yapıda sunulmalıdır. İlk katmanda (banner/pop-up) temel bilgiler ve tercih butonları yer almalı, ikinci katmanda ise (detaylı aydınlatma metni sayfası) teknik detaylara, çerez isimlerine ve saklama sürelerine yer verilmelidir.

Çerezlerin Sınıflandırılması ve Teknik Analiz

Platformların mimarisinde kullanılan takip ve optimizasyon araçları, işlevlerine ve saklama sürelerine göre farklı kategorilere ayrılmaktadır. Yasal yükümlülüklerin kapsamı, kullanılan çerezin türüne göre doğrudan değişiklik göstermektedir.

Çerez Kategorisi Kullanım Amacı Hukuki Dayanak (Rıza Durumu) Örnek Kullanım Senaryosu
Zorunlu (Kesinlikle Gerekli) Çerezler Platformun temel fonksiyonlarının çalışabilmesi, güvenlik açıklarının önlenmesi ve oturum yönetiminin sağlanması. Açık Rıza Gerekmez (Meşru Menfaat / Sözleşmenin İfası) Kullanıcının sepete eklediği ürünlerin sayfa geçişlerinde hafızada tutulması.
Performans ve Analitik Çerezleri Ziyaretçi trafiğinin ölçümlenmesi, hata oranlarının tespiti ve sayfa yüklenme sürelerinin optimizasyonu. Açık Rıza Gereklidir Google Analytics veya benzeri araçlarla sayfa görüntüleme istatistiklerinin anonimleştirilerek toplanması.
İşlevsel (Fonksiyonel) Çerezler Kullanıcı tercihlerinin (dil, bölge, tema) hatırlanarak kişiselleştirilmiş bir deneyim sunulması. Açık Rıza Gereklidir Uluslararası bir platformda seçilen dil tercihinin sonraki ziyaretlerde otomatik uygulanması.
Hedefleme ve Reklam Çerezleri Kullanıcı davranışlarının profillenmesi, ilgi alanlarına uygun reklam gösterimi ve yeniden pazarlama faaliyetleri. Açık Rıza Gereklidir Ziyaret edilen ürün kategorisine dayalı olarak farklı web sitelerinde ilgili banner reklamlarının gösterilmesi.

İşletmelerin Dijital Yükümlülükleri

Kişisel veri işleme süreçlerinde uyulması gereken temel ilkeler doğrultusunda, platform sahiplerinin uygulaması gereken teknik ve idari tedbirler şunlardır:

  • Açık Rıza Mekanizmasının Kurulması: Zorunlu çerezler dışındaki tüm araçlar için kullanıcının aktif, özgür iradeye dayalı ve bilgilendirilmiş rızası alınmalıdır. Rıza alınmadan önce reklam veya analitik çerezleri tarayıcıya yerleştirilmemelidir (Opt-in prensibi).
  • Rızanın Geri Alınabilirliği: Kullanıcılara, rıza verdikleri çerez tercihlerini istedikleri an, rıza verdikleri kolaylıkta değiştirebilecekleri veya iptal edebilecekleri bir arayüz (Çerez Yönetim Paneli) sunulmalıdır.
  • Zımni Rıza İhlalinin Önlenmesi: Ziyaretçinin sayfada gezinmeye devam etmesi (scroll down) hukuken "açık rıza" olarak kabul edilmemektedir. Kutucukların önceden işaretlenmiş (pre-ticked) olarak sunulması mevzuata aykırıdır.
  • Aydınlatma Metninin Erişilebilirliği: İlgili metin, ana sayfanın alt kısmından (footer) her zaman ulaşılabilir olmalı ve dil bilgisi kurallarına uygun, hukuki terim boğulmasından uzak, net bir dille kaleme alınmalıdır.
⚠️ Riskler ve Cezai Yaptırımlar

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, aydınlatma yükümlülüğünün usulüne uygun yerine getirilmemesi veya açık rıza şartlarına uyulmaksızın hukuka aykırı veri işlenmesi durumunda ciddi idari para cezaları öngörülmüştür.

Kurul tarafından yapılan denetimler veya kullanıcı şikayetleri sonucunda, ihlalin boyutuna, işletmenin ekonomik büyüklüğüne ve kusur oranına bağlı olarak milyonlarca Türk Lirasına varan idari para cezaları uygulanabilmektedir. Ayrıca, hukuka aykırı veri işleme faaliyeti tespit edildiğinde kurumun dijital platformlarındaki veri işleme faaliyetlerinin durdurulması kararı da verilebilir. Bu durum işletmeler için telafisi güç itibar kayıplarına yol açmaktadır.

Kullanıcı Hakları ve Veri Güvenliği Standartları

Veri sahipleri, Kanun'un 11. maddesi uyarınca; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme haklarına sahiptir. Eksik veya yanlış işlenen verilerin düzeltilmesini isteme ve yasal şartlar oluştuğunda verilerin silinmesini veya yok edilmesini (Unutulma Hakkı) talep etme hakkı yasal bir güvencedir.

ZyrexUI mimarisiyle tasarlanan sistemlerde, güvenlik katmanları bu hakların hızlı ve eksiksiz bir şekilde kullandırılmasına olanak tanıyacak altyapılarla donatılır. Tarayıcı tabanlı engelleme yöntemlerinin yanı sıra, sunucu taraflı rıza kayıt (consent log) tutma mekanizmaları kurularak hukuki ispat yükümlülüğü güvence altına alınır.

Yasal Sorumluluk Reddi (Tavsiye Niteliğindedir)

Bu döküman, web platformlarındaki çerez uygulamaları ve genel yasal yükümlülükler hakkında farkındalık yaratmak amacıyla, sektörel tecrübeler ışığında bilgilendirme amaçlı hazırlanmıştır. İçerikte yer alan hususlar resmi bir hukuki mütalaa veya bağlayıcı hukuki danışmanlık teşkil etmez. Mevzuatın dinamik yapısı ve her işletmenin kendi süreçlerine özgü operasyonları gereği, resmi aydınlatma metinlerinizin hazırlanması ve uyumluluk süreçlerinizin yönetimi için mutlaka uzman hukukçulardan ve kayıtlı veri koruma danışmanlarından profesyonel destek almanız tavsiye edilmektedir.

Sıkça Sorulan Sorular

Çerezler, bir web sitesini ziyaret ettiğinizde tarayıcınız aracılığıyla bilgisayarınıza veya mobil cihazınıza kaydedilen, genellikle harf ve rakamlardan oluşan küçük boyutlu metin dosyalarıdır. Platformun verimli çalışmasını, kullanıcı tercihlerinin hatırlanmasını ve analiz süreçlerinin yürütülmesini sağlarlar.

Evet, kesinlikle zorunludur. Google Analytics performans ve analiz amaçlı çerezler kullanır. Bu çerezler ziyaretçilerin IP adresleri ve davranış verilerini işlediği için KVKK kapsamında kişisel veri statüsündedir ve hem aydınlatma yapılması hem de ziyaretçinin açık rızasının alınması gerekir.

Hayır. Bilgi toplumu hizmetinin talep edilmesi için kesinlikle gerekli olan çerezler (örneğin sepet yönetimi, oturum güvenliği) Kanun'daki 'sözleşmenin ifası' veya 'meşru menfaat' istisnalarına dayandığı için açık rızaya tabi değildir. Ancak, bu çerezler hakkında da aydınlatma metninde bilgi verilmesi yasal bir yükümlülüktür.

Hayır, mevzuata aykırıdır. Kişisel Verileri Koruma Kurulu kararlarına göre, açık rıza aktif bir eylem gerektirir. Kullanıcının rıza vereceği seçenekler (örneğin pazarlama çerezleri) varsayılan olarak kapalı (işaretsiz) gelmeli, ziyaretçi kendi iradesiyle işaretleyerek onay vermelidir.

Kullanıcı rıza vermedikçe veya tercihlerini belirtmeden sayfada gezinmeye devam ettikçe, zorunlu çerezler dışındaki hiçbir çerez (analitik, reklam vb.) cihazına yerleştirilmemelidir. Sessiz kalmak veya sayfayı kaydırmak rıza olarak kabul edilemez.

İhlalin niteliğine göre cezalar değişmekle birlikte, aydınlatma yükümlülüğünün yerine getirilmemesi ve hukuka aykırı kişisel veri işlenmesi (veri güvenliği ihlali) durumlarında Kurul tarafından belirlenen alt ve üst limitler çerçevesinde yüz binlerce liradan milyonlarca liraya ulaşan idari para cezaları uygulanabilmektedir.

Metin, platformun her sayfasından kolayca erişilebilir olmalıdır. Genel kabul gören uygulama, sitenin en alt kısmındaki 'Footer' bölümüne 'Çerez Aydınlatma Metni' veya 'Çerez Politikası' adıyla açık, okunabilir bir bağlantı eklenmesidir.

Ziyaret ettiğiniz platformun alan adı dışında, farklı bir alan adı (örneğin reklam ağları, sosyal medya eklentileri, analitik sağlayıcılar) tarafından oluşturulan ve yönetilen çerezlerdir. Genellikle kullanıcıları farklı sitelerde takip etmek ve profillemek için kullanılırlar.

Evet. Kanun gereği rızanın geri alınması, rızanın verilmesi kadar kolay olmalıdır. Sitenizde, kullanıcıların istedikleri zaman tıklayıp tercihlerini değiştirebilecekleri (örneğin 'Çerez Tercihlerini Yönet' butonu) sabit bir panel bulunmalıdır.

E-ticaret siteleri yapıları gereği çok sayıda hedefleme ve yeniden pazarlama çerezi barındırır. Sepet işlemleri zorunlu sayılırken, 'Bunu alanlar şunu da aldı' tarzı takipler veya sepette terk edilen ürün için e-posta atmak üzere kurulan çerez mekanizmaları kesinlikle açık rıza protokolüne bağlanmalıdır.

Aykırı değildir ancak ekstra yükümlülük getirir. Eğer kullanılan çerez altyapısı verileri yurtdışındaki sunuculara aktarıyorsa, KVKK Madde 9 kapsamında yurtdışına veri aktarımı kuralları devreye girer. Bu durum aydınlatma metninde açıkça belirtilmeli ve gerekiyorsa Kurul onaylı taahhütnameler veya açık rıza ile süreç yürütülmelidir.

ZyrexUI, kurumsal mimari tasarım süreçlerinde estetik ve performansı hukuki uyumlulukla birleştirir. Geliştirdiğimiz platformlara, KVKK ve GDPR gereksinimlerini karşılayan, log kayıtlarını güvenli tutan ve opt-in/opt-out fonksiyonlarını kusursuz çalıştıran gelişmiş çerez yönetim entegrasyonları kuruyoruz.