Çerezler Neden Kişisel Veridir

1. Çerez Nedir? Temel Kavramlar

İnternet siteleri, kullanıcı deneyimini iyileştirmek, oturum yönetmek, analitik veriler toplamak, tercihlere uygun içerik sunmak gibi amaçlarla **çerez (cookie)** kullanır. Çerezler küçük metin dosyalarıdır ve kullanıcının cihazında saklanır. Bu metin dosyaları, tek başına bir kimlik bilgisi içermez — ancak oluşturdukları iz, takip algoritmalarıyla bir kişiyi tanımlamaya yönlendirebilir.

Örneğin; bir kullanıcı site içinde belirli sayfaları ziyaret ederse, bu ziyaret geçmişiyle bağlantılı olarak profil çıkarılabilir. Bu profil, kişinin ilgi alanları, davranış eğilimleri gibi özellikler içerir. Bu özellikler, tek başına olmasa da dolaylı olarak bireyi tanımlamaya katkı sağlayabilir.

2. Kişisel Veri Kavramı ve KVKK Çerçevesi

**Kişisel veri**, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanır. KVKK’ya (Kişisel Verilerin Korunması Kanunu) göre, doğrudan olmasa bile bir bireyi dolaylı yoldan tanımlayan veriler kişisel veri kapsamındadır.

Çerezler, kullanıcıyı anonim bırakmaya yönelik gibi görünse de, birçok çerez türü IP adresi, cihaz kimliği, oturum kimliği, davranışsal veriler gibi bileşenleri içerir. Bu veriler, bir kişiyle ilişkilendirilebildiğinde, “kişisel veri” niteliği kazanır.

Dolayısıyla, pazarlama, analitik, kişiselleştirme gibi amaçlarla kullanılan çerezler, **kişisel veri işleme faaliyeti** olarak değerlendirilir ve KVKK kapsamında ele alınmalıdır.

3. Çerez Türleri ve Kişisel Veri İlişkisi

3.1 Oturum Çerezleri (Session Cookies)

Bu çerezler geçicidir ve tarayıcı kapandığında silinir. Örneğin; bir e-ticaret sitesinde sepet işlemlerini hatırlama, oturum açma bilgisi tutma gibi işlevlerde kullanılır. Kısa ömürlü olsa bile, oturum tanımlayıcısı üzerinden kullanıcı izleme yapılabilir.

3.2 Kalıcı Çerezler (Persistent Cookies)

Belirli bir süre boyunca (örneğin 30 gün, 1 yıl veya daha uzun) cihazda kalır. Kullanıcı tercihlerini hatırlama, dil seçimi, site temasını kaydetme gibi işlevlerde kullanılır. Kalıcı çerezler, kullanıcı davranışları izlenerek profil çıkarımı yapılmasına imkân tanır.

3.3 Üçüncü Taraf Çerezler (Third-Party Cookies)

Sitenin kendisi tarafından değil, dış bir reklam, analiz ya da izleme servisi tarafından yerleştirilen çerezlerdir. Örneğin reklam sağlayıcılarının yerleştirdiği çerezler, çoklu site ziyareti verilerini birleştirerek kişi profili oluşturabilir. Böylelikle bir kişi birçok farklı etkileşimde “tanınabilir” hâle gelir.

3.4 İlk Taraf Çerezler (First-Party Cookies)

Site doğrudan kendi alan adı üzerinden çerez yerleştiriyorsa bu birinci taraf çerezidir. Bu çerezler, site içi deneyimi iyileştirme amacını taşır. Ancak yine de eğer davranışsal takip içeriyorsa kişisel veri ölçütü taşıyabilir.

4. Çerezlerin Kişisel Veri Sayılma Nedenleri

Aşağıdaki nedenler, çerezlerin neden “kişisel veri” olarak kabul edilmesi gerektiğini açıklar:

• Tanımlama Potansiyeli: Tek başına bir çerez girdisi bireysel kimlik taşımasa da; IP, cihaz kimliği, coğrafi konum, ziyaret geçmişi gibi verilerle birleştirildiğinde kişi tanınabilir hâle gelir.
• Profil Çıkarımı Yapabilmesi: Kullanıcının davranışları, ilgi alanları, tercihleri izlenerek dijital profil oluşturulabilir. Bu profil, reklam hedefleme ve kişiselleştirme amacıyla kullanılabilir.
• Veri Eşleştirme Kabiliyeti: Çerez verisi ile başka veritabanlarındaki bilgiler karşılaştırılıp eşleştirilebilir. Bu sayede anonim veriler, kimliği belirli verilere dönüşebilir.
• Veri Sürekliliği: Kalıcı çerezler uzun süre cihazda kalarak, uzun vadeli izleme imkânı sağlar. Bu da kişi hakkında daha kapsamlı bilgi toplama fırsatı yaratır.

Bu nedenlerle, çerez verileri doğrudan olmasa bile dolaylı olarak bireyin kimliğiyle bağ kurulabilecek veriler içerdiğinden **kişisel veri kapsamında değerlendirilmelidir**.

5. KVKK Uyumunda Çerez Politikası ve Aydınlatma Metni

Çerezlerin kişisel veri olarak kabul edilmesi, sitelerin uyum sürecinde dikkat etmesi gereken yükümlülükleri de beraberinde getirir. Bu yükümlülüklerden biri **çerez politikası ve aydınlatma metni** hazırlamaktır.

İyi bir çerez politikası ve aydınlatma metninde aşağıdaki unsurlar mutlaka yer almalıdır:

• Hangi çerez türleri kullanılıyor (oturum, kalıcı, birinci taraf, üçüncü taraf vb.),
• Her çerez türünün amacı ve ne kadar süreyle saklanacağı,
• Kişisel veri işleme kapsamı ve hukuki dayanak (örneğin açık rıza, meşru menfaat gibi),
• Kullanıcının çerez tercihlerini yönetme ya da reddetme olanağı,
• Veri paylaşımı yapılacak üçüncü tarafların kimler olduğu ve paylaşımın sınırları,
• Kullanıcının KVKK kapsamındaki hakları (erişim, düzeltme, silme, itiraz vb.),
• İletişim bilgileriniz ve çerez politikasının güncelleme koşulları.

Ayrıca, kullanıcı rızasının alınması ve rızanın geçerli olması (örneğin bilgilendirilmiş, özgürce verilmiş ve ispatlanabilir olması) çok önemlidir. Çerez rızası yönetimi (Consent Management) çözümleri burada devreye girer.

6. Pratik Uyumluluk Önerileri

Aşağıda, web sitenizi KVKK açısından daha güvenli ve uyumlu hâle getirmek için pratik öneriler yer alıyor:

1. Açık Rıza Alın: Çerez kullanımına ilişkin açık, net ve kolay anlaşılır rıza formu sunun. İstenmeyen çerezlerin pasif gelmesini sağlayın.
2. Minimal Veri Kullanımı: Mümkünse yalnızca en gerekli çerezleri kullanın; yüksek riskli davranışsal izleme çerezlerinden kaçının.
3. Rıza Güncellemeleri: Rızanın yenilenme süresi olsun (örneğin yılda bir veya 6 ayda bir). Kullanıcıya rızasını geri çekme olanağı tanıyın.
4. Çerez Denetim Paneli Sağlayın: Kullanıcıların hangi çerezleri kabul edip etmediğini görmesine ve ayarlamasına imkân verin.
5. Gizlilik ve Çerez Politikalarını Güncel Tutun: Marka değişikliği, iş ortakları değişimi, teknoloji güncellemesi gibi durumlarda metinlerinizi yenileyin.
6. İzleme ve Denetim: Çerez kullanımını düzenli olarak denetleyin, üçüncü taraf hizmet sağlayıcılarını değerlendirin.

7. Özet ve Sonuç

Çerezler, tek başına bir kimlik bilgisi içermese bile; IP adresi, cihaz kimliği, davranışsal veriler gibi unsurlarla kombine edildiğinde bir kullanıcıyı tanımlayabilir hâle gelir. Bu yüzden KVKK kapsamında “kişisel veri” olarak kabul edilmelidir. Web siteleri, çerez kullanımını planlarken hem teknik hem hukuki açıdan dikkatli olmalı; açık rıza mekanizmaları, çerez politikaları, kullanıcı kontrol panelleri gibi araçları kullanarak uyum sağlamalıdır.

Uyumluluğu sağlamak sadece hukuki gereklilik değil, aynı zamanda kullanıcı güvenini artıran bir stratejidir. Çerez yönetimini doğru şekilde yapmak hem sitenizin itibarını korur hem de veri ihlali risklerini azaltır.