Pillar Rehber

Uyum · KVKK, GDPR, rıza kaydı, RoPA

KVKK / GDPR uyumlu çerez izni nasıl olmalı?

8 temel şart, rıza kayıtları, VERBİS / RoPA / veri talebi ayrımı, TR + AB pazarda iki yasal çerçeveyi aynı banner'da yönetmek.

9 dakika okumaSon güncelleme: 25 Nisan 2026

Minimum şartlar

Banner'ın karşılaması gereken 8 şart

Aşağıdakiler, denetimde "mevcut" diye işaretlenmesi gereken çekirdek noktalar. Eksiği varsa banner var ama "uyum tamam" demiyoruz.

  1. 1Açık metinli rıza talebi. "Çerezler kullanıyoruz, kabul ediyor musunuz?" net biçimde sorulmalı.
  2. 2Granular seçim. Zorunlu / fonksiyonel / analiz / pazarlama gibi kategorilere ayrılmış, kullanıcı tek tek seçebilmeli.
  3. 3Kabul ve red eşit ağırlıklı. "Kabul Et" kocaman buton, "Reddet" küçük link → KVKK ihlal sayılabilir. İkisinin de görünür ve eşit kontrastta olması gerek.
  4. 4Ön-onaylı kutucuk yok. Kategoriler varsayılan olarak kapalı gelmeli (zorunluluk hariç). Önceden işaretli "rıza" GDPR Madde 7 ihlali.
  5. 5Geri çekme yolu açık. Kullanıcı "rızayı geri çek" butonu (genelde footer'da bir link) bulabilmeli.
  6. 6Rıza ispatı kayıt. IP, zaman, hangi metin sürümü, hangi seçenek — denetimde gösterilebilir olmalı.
  7. 7Versiyon takibi. Rıza metni değişirse eski + yeni versiyonun farkı kayıt edilmeli, yeni rıza alınmalı.
  8. 8Üçüncü taraf araçların kontrolü. GA, Meta Pixel vs. kullanıcı reddedince yüklenmemeli (İzin sinyalleri).

Rıza ispatı

Denetimde "rıza ispatı" nasıl gösterilir?

KVKK Kurumu yetkili olduğunda sana "şu kullanıcının rıza kaydını göster" diyebilir. Bunun için banner ürününün her etkileşim için rıza kaydı tutması gerekiyor.

Rıza kaydı'da olması gerekenler

  • user_id (varsa anonim hash)
  • ip_address (KVKK için zorunlu, GDPR için anonimleştirilmiş öneriliyor)
  • country, device, browser
  • zaman (UTC, ms hassasiyetinde)
  • metin_sürümü (banner metninin hangi sürümünü görmüş)
  • Hangi kategoriler accept / reject (granular liste)
  • Banner görünme sebebi (yeni ziyaret, versiyon değişimi, manuel açma)

Saklama süresi

KVKK Madde 7 — silme talebi gelene kadar tut. GDPR uygulaması için 3-5 yıl tipik. Saklama süresi kararını yazılı tutman iyi olur.

İki çerçeve

TR + AB pazarda iki yasal çerçeveyi yönetmek

AB ziyaretçilerine GDPR şartları, TR ziyaretçilerine KVKK şartları uygulanır. İdeali: ülkeyi tespit et, banner'ın metnini ve seçeneklerini ona göre değiştir.

Bölge × yasal çerçeve eşleşmesi

Kriter
Ziyaretçi
Yasal çerçeve
Banner dili / metni
TR'den TR konuşanKVKKTürkçe + KVKK Aydınlatma linki
TR'den İngilizce konuşanKVKK (yine)İngilizce, KVKK metni çevrilmiş
AB'den herhangiGDPRDil tespiti + Gizlilik Politikası linki
ABD'denCCPA opt-outİngilizce + opt-out toggle
Diğer (varsayılan)GDPR (güvenli taraf)İngilizce

Üç farklı yükümlülük

VERBİS / RoPA / veri talebi — sıkça karıştırılıyor

VERBİS hazırlığı (KVKK)

Veri sorumlusu sicil sistemi. Yıllık ciron 25M TL üstüyse veya 50+ kişiyle çalışıyorsan zorunlu. Veribenim panelden bilgileri dışa aktarıp VERBİS portalına hazırlık yapıyorsun.

RoPA (GDPR Madde 30)

Hangi veriyi neden işlediğinin yazılı kaydı. AB'de zorunlu, TR'de iyi pratik. Veribenim panelden hazır şablon + dışa aktarma.

Veri talepleri (KVKK 11 + GDPR 15-22)

Veri sahibi "verilerimi göster / sil / düzelt" diyebilir. 30 gün içinde dönüş zorunlu. Veribenim'de /dsar formu otomatik akış kuruyor — başvuru, doğrulama, yanıt, rıza kaydı.

Sık görülen

Yaygın 5 hata

  • Banner var ama "analiz" varsayılan olarak açık. KVKK + GDPR ihlali. Default kapalı, kullanıcı bilinçli olarak açmalı.
  • Reddet butonu yok veya görünmez. Sadece "X" ile kapatma sayılmıyor — açık "Reddet" butonu olmalı.
  • Rıza kaydı tutulmuyor. Kullanıcı "rıza vermedim" dediğinde ispatlayamıyorsun.
  • Banner versiyonu izlenmiyor. Metin değişti, eski rıza kayıtları "hangi metni gördü" sorusunu cevaplamıyor.
  • Üçüncü taraf script'ler reddedince de yükleniyor. İzin sinyalleri entegre değil, kullanıcı reddedip de GA çalışıyor.

Checklist

Kendi banner'ını test et

Aşağıdakileri tek tek geç. Hepsi yeşilse temel uyum kabul edilebilir. 1+ kırmızı ise risk var.

8 maddelik denetim kontrolü

Kriter
Şart
Beklenen davranış
Kendi durumun
Açık metinli rıza"Çerezler kullanıyoruz..." net cümlekontrol et
Granular kategoriZorunlu / Fonksiyonel / Analiz / Pazarlama ayrı
Kabul/Red eşitAynı boyut + aynı kontrast
Ön-onay yokKategoriler varsayılan olarak kapalı
Geri çekme yoluFooter'da "rızayı geri çek" linki
Rıza kaydıIP + zaman + metin sürümü + seçenek
Versiyon takibiMetin değişince yeni rıza alınıyor
İzin sinyalleriGA / Pixel / GTM kontrol altında

Aksiyon

Ne yapmalı?

  • 1+ kırmızı varsa: banner ürününün ayar paneline bak, varsa düzelt. Düzeltilemiyorsa banner ürünü "temel uyum" gereksinimini karşılamıyor demektir.
  • Rıza kaydı yoksa: en kritik eksik. Denetimde direkt sorun. Öncelik 1.
  • Versiyon takibi yoksa: metin değiştiğin anda eski rıza kayıtları geçersizleşir, yeni rıza alman gerekir.
  • Veribenim'e geçişi düşünüyorsan: yukarıdaki 8 madde Veribenim'de varsayılan olarak aktif. Sen sadece banner metnini sitenle uyumlu hale getiriyorsun.

Bu rehberin uygulanmış halini canlı gör

Yukarıda saydığımız 8 minimum şart Veribenim'de varsayılan olarak aktif. VERBİS hazırlığı, RoPA, veri talebi formu — hepsi panelin içinde.