Türkiye'de Web Sitesi Uyumu: KVKK, Çerezler ve Analytics İçin Pratik Rehber
Bir şirket sitesi, e-ticaret sitesi ya da SaaS ürünü fark etmiyor: Türkiye'de faaliyet gösteren hemen her web sitesi bugün aynı sorularla karşılaşıyor. Çerez banner'ı gerçekten gerekli mi? Google Analytics kullanmak sorun yaratır mı? Ziyaretçi davranışlarını ölçmek için hangi veriler açık rıza gerektirir? Bu yazı, konuyu hukuk diliyle karmaşıklaştırmadan temel çerçeveyi netleştirmek için hazırlandı. Amaç, teknik ekiplerin ve iş birimlerinin aynı sayfada buluşmasını sağlamak.
Bir şirket sitesi, e-ticaret sitesi ya da SaaS ürünü fark etmiyor: Türkiye'de faaliyet gösteren hemen her web sitesi bugün aynı sorularla karşılaşıyor. Çerez banner'ı gerçekten gerekli mi? Google Analytics kullanmak sorun yaratır mı? Ziyaretçi davranışlarını ölçmek için hangi veriler açık rıza gerektirir?
Bu yazı, konuyu hukuk diliyle karmaşıklaştırmadan temel çerçeveyi netleştirmek için hazırlandı. Amaç, teknik ekiplerin ve iş birimlerinin aynı sayfada buluşmasını sağlamak.
Türkiye'de bir web sitesi için temel uyum başlıkları nelerdir?
Çoğu ekip “KVKK uyumu” denince sadece bir aydınlatma metni yayınlamayı yeterli sanıyor. Oysa pratikte web sitesi uyumu genelde şu dört alanın birlikte ele alınmasını gerektirir:
Hangi kişisel verilerin toplandığını bilmek
Bu verilerin hangi amaçla işlendiğini açıkça anlatmak
Çerezler ve benzeri takip teknolojileri için doğru izin modelini kurmak
Verilen izinleri kayıt altına almak ve gerektiğinde kanıtlayabilmek
Yani mesele yalnızca bir hukuk metni koymak değil, sitedeki veri akışını gerçekten kontrol edebilmektir.
Hangi veriler risk yaratır?
Birçok ekip yalnızca ad, soyad, telefon ya da e-posta gibi verileri “kişisel veri” sanıyor. Oysa web sitesi tarafında risk çoğu zaman daha erken başlar.
Örneğin şu veriler tek başına veya bir kullanıcıyla eşleştirildiğinde uyum konusu haline gelir:
IP adresi
Çerez kimlikleri
cihaz ve tarayıcı bilgileri
sayfa görüntüleme ve tıklama akışları
form gönderimleri
yeniden pazarlama piksel verileri
Özellikle analytics ve reklam araçları birlikte kullanıldığında, “anonim trafik ölçümü” ile “kişi bazlı takip” arasındaki çizgi hızla bulanıklaşır. Bu yüzden yalnızca hangi aracı kullandığınız değil, onu nasıl yapılandırdığınız da önemlidir.
Cookie banner her site için gerekli mi?
Kısa cevap: Çoğu modern site için evet, ama banner'ın kendisi tek başına çözüm değildir.
Eğer sitenizde yalnızca zorunlu çerezler çalışıyorsa, yaklaşım farklı olabilir. Ancak çoğu şirkette durum böyle değildir. Genellikle şu araçlardan en az biri devrededir:
Google Analytics veya benzeri analytics araçları
Meta Pixel, LinkedIn Insight Tag, TikTok Pixel gibi reklam etiketleri
Hotjar, Clarity, session replay ve heatmap araçları
A/B test veya kişiselleştirme scriptleri
Bu tür teknolojiler devreye girdiğinde, kullanıcıya açık bir tercih sunmak ve tercihe göre script davranışını değiştirmek gerekir. Sadece “Bu site çerez kullanır” demek yeterli değildir. Kullanıcıya kabul etme, reddetme ve tercihini yönetme imkanı verilmelidir.
Analytics kullanmak yasak mı?
Hayır. Asıl soru “analytics kullanılıyor mu” değil, “hangi veri hangi ayarla toplanıyor” sorusudur.
Web analytics birçok şirket için meşru bir ihtiyaçtır. Trafik kaynaklarını görmek, dönüşüm oranlarını ölçmek veya teknik performansı anlamak doğaldır. Ancak bu ihtiyaç, sınırsız takip hakkı vermez.
Pratikte daha güvenli yaklaşım şudur:
mümkün olan yerde veri minimizasyonu uygulamak
reklam ve analytics amaçlarını birbirinden ayırmak
açık rıza gerektiren etiketleri varsayılan olarak kapalı başlatmak
IP maskeleme, veri saklama süresi ve paylaşım ayarlarını gözden geçirmek
Başka bir deyişle, ölçüm yapılabilir; ama ölçüm katmanı “önce topla, sonra bakarız” mantığıyla kurulamaz.
Ziyaretçi takibi ile analytics arasındaki fark neden önemli?
Bu ayrım çoğu zaman gözden kaçıyor.
Basit trafik ölçümü, örneğin toplam ziyaret, popüler sayfa veya temel performans takibi, daha sınırlı bir risk profiline sahip olabilir. Buna karşılık kullanıcıyı oturumlar arasında izleyen, farklı platformlarla eşleştiren veya reklam hedeflemede kullanan yapı çok daha yüksek uyum riski taşır.
Özellikle şu senaryolar dikkat ister:
reklam yeniden hedefleme
session replay kayıtları
form doldurmadan önceki kullanıcı davranışlarının profil çıkarma amacıyla kullanılması
analytics verisinin CRM veya reklam platformlarıyla eşleştirilmesi
Burada kritik soru şudur: “Bu veri yalnızca siteyi anlamak için mi kullanılıyor, yoksa kullanıcıyı tanımak ve hedeflemek için mi?”
Türkiye'de şirketler en çok hangi hataları yapıyor?
Sahada en sık görülen hatalar genelde teknik kurulum kaynaklıdır:
Banner görünmesine rağmen tüm scriptlerin sayfa açılır açılmaz çalışması
“Kabul et” butonunun belirgin, “Reddet” seçeneğinin ise gizli olması
Aydınlatma metni ile gerçek veri akışının uyuşmaması
Pazarlama ve analytics çerezlerinin tek kategoride toplanması
Kullanıcı tercihlerinin loglanmaması
Onay geri alındığında etiketlerin gerçekten durmaması
Bu yüzden uyum konusu yalnızca tasarım ya da hukuk ekibine bırakılamaz. Ürün, pazarlama ve yazılım ekiplerinin aynı veri modelinde buluşması gerekir.
CMP seçerken nelere bakılmalı?
Cookie banner arayışı çoğu şirkette “uygun fiyatlı bir pop-up aracı bulalım” seviyesinde kalıyor. Oysa iyi bir consent management platformu yalnızca banner göstermez; tercihleri uygulamaya da geçirir.
Bir CMP veya consent aracı değerlendirirken şu sorular faydalıdır:
Scriptleri kategori bazında gerçekten bloklayabiliyor mu?
Kullanıcı tercihini saklayıp kanıt olarak gösterebiliyor mu?
Türkçe deneyimi ve yerel hukuk metinlerini destekliyor mu?
Bölge bazlı kurgu yapabiliyor mu? Örneğin Türkiye ve AB ziyaretçilerini ayırabiliyor mu?
Google Consent Mode, GTM veya benzeri sistemlerle entegre çalışıyor mu?
Rıza geri çekildiğinde daha önce çalışan etiketleri durdurabiliyor mu?
Kısacası, görsel olarak iyi duran bir banner ile operasyonel olarak güvenilir bir consent altyapısı aynı şey değildir.
Türk şirketleri için neden yerel bağlam önemli?
Türkiye'deki şirketlerin önemli bir kısmı hem KVKK çerçevesine tabi hem de AB kullanıcılarına hizmet verdiği için GDPR beklentileriyle karşı karşıya kalabiliyor. Bu nedenle yalnızca “global bir tool” kullanmak bazen yeterli olmaz.
Yerel bağlam şu nedenlerle önemlidir:
Türkçe aydınlatma ve izin metinlerinin açık olması gerekir
Şirket içi ekipler teknik değilse panelin anlaşılır olması gerekir
Saklama, loglama ve denetime hazırlık süreçlerinin operasyonel olarak yönetilebilmesi gerekir
Yurtdışı araçlar kullanıldığında veri paylaşımı ve tedarikçi ilişkileri ayrıca değerlendirilmelidir
Özellikle orta ölçekli Türk şirketlerinde ihtiyaç genelde şudur: karmaşık olmayan, teknik entegrasyonu net, hukuki beklentiyi görünür hale getiren bir sistem.
Pratik bir başlangıç kontrol listesi
Eğer mevcut sitenizin durumunu hızlıca görmek istiyorsanız, aşağıdaki kontrol listesi iyi bir başlangıçtır:
Sitede çalışan tüm script ve üçüncü taraf servisleri envanterleyin.
Bunları zorunlu, analytics, pazarlama ve tercih çerezleri olarak ayırın.
Açık rıza gerektiren araçların varsayılan davranışını kontrol edin.
Banner ile gerçek script davranışının uyumlu olup olmadığını test edin.
Aydınlatma metnini sitenin gerçek veri akışına göre güncelleyin.
Kullanıcı tercihlerini ispatlanabilir şekilde kaydettiğinizden emin olun.
Rıza geri alma akışını da en az kabul etme akışı kadar görünür yapın.
Sonuç
Türkiye'de web sitesi uyumu, sadece hukuki bir formalite değil; doğrudan ürün mimarisi ve pazarlama operasyonu konusudur. Doğru kurgu ile analytics kullanmaya, performans ölçmeye ve pazarlama yapmaya devam edebilirsiniz. Ama bunun yolu, hangi verinin ne zaman ve hangi izinle işlendiğini netleştirmekten geçer.
İyi bir kurulumun hedefi şu olmalıdır: kullanıcıyı gereksiz yere yormadan, şirketi de görünmez bir uyum riskinin içinde bırakmadan veri toplamak.
Bu denge kurulduğunda cookie banner bir formalite olmaktan çıkar, veri yönetişiminin çalışan parçası haline gelir.
Sonraki Adım
Veribenim'in bu sektör için sunduğu çözümleri görmek ve KVKK/GDPR uyumlu pazarlama başlamak için aşağıdaki butona tıklayın.
Ücretsiz Hesap Oluştur