KVKK Çerez Yönetiminde Açık Rıza Nasıl Alınmalıdır?
Dijital dünyada kişisel verilerin korunması, web sitesi sahipleri için yasal bir zorunluluktur. KVKK hükümleri uyarınca, istisnai durumlar haricinde kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Web sitelerinde veri işleme faaliyetinin kalbi olan çerezler için de bu sürecin kanuni bir yükümlülük olarak doğru yönetilmesi gerekir.
💡 İpucu: Bu rehbere geçmeden önce çerezlerin teknik temellerini öğrenmek isterseniz Çerez Nedir ve Çerez Türleri Nelerdir? başlıklı yazımıza göz atabilirsiniz.
Geçerli Bir Açık Rızanın 3 Temel Unsuru
Kişisel Verileri Koruma Kurulu’nun güncel yaklaşımları ışığında, bir rızanın hukuken geçerli sayılabilmesi için şu üç unsuru eksiksiz taşıması gerekir:
- Belirli Bir Konuya İlişkin Olma: Rızanın konusu belirsiz ve sınırsız olamaz. Örneğin kullanıcıya hangi çerez kategorilerinin hangi amaçla veri işleyeceği net belirtilmelidir. Rızanın konusu belirsiz ve sınırsız olamaz.
- Bilgilendirmeye Dayanması: Açık rıza alınmadan önce hangi konuda rıza vereceği açısından ilgili kişi bilgilendirilmelidir. İşbu bilgilendirme yükümlülüğü aydınlatma metinleri ile sağlanmalıdır. Çerez Aydınlatma Metni; veri sorumlusunun kimliği, işleme amacı ve veri sahibi haklarını içermelidir.
- Özgür İradeyle Açıklanması: Kullanıcı rızasını baskı altında kalmadan vermeli ve istediği zaman geri alabilmelidir. KVKK’ya uygun bir açık rıza için kullanıcı her an vermiş olduğu açık rızasını aynı kolaylıkla geri alabilmelidir.
Çerez Pop-up Tasarımı ve Uygulama Standartları
Hukuki uyum sadece metinle değil, tasarımla (UX) da sağlanır. İşte "Uyum Rehberi" standartlarında bir pop-up mimarisi:
- Eşit Tercih Hakkı: "Kabul Et" ve "Reddet" butonları görsel olarak (renk, boyut) aynı belirginlikte olmalıdır. Çerez yönetiminde birbirinden farklı amaçlar için açık rıza talep edildiğinden “Seçenekleri Ayarla” butonu da sunulmalıdır.
- Varsayılan Ayarlar: Zorunlu olmayan çerez kutucukları, kullanıcı etkileşime girmeden önce işaretsiz/pasif gelmelidir.
- Erişilebilirlik: Çerez tercihleri paneli, sayfanın bir köşesinde (ikon veya küçük bir bant şeklinde) her an ulaşılabilir olmalıdır.
| Pop-up Unsuru | KVKK Uyumlu (Doğru) | Riskli Uygulama (Hatalı) |
| Buton Dengesi | Kabul Et / Reddet eşit. | "Kabul Et" daha parlak/büyük. |
| Seçim Hakkı | Her kategoriye ayrı seçim. | "Tümünü Kabul Et" zorunluluğu. |
| Geri Alma | Kolay erişilebilir ikon. | Gizlenmiş ayarlar sayfası. |
Çerez Duvarları (Cookie Walls) Hakkında Uyarı
Çerez duvarları, kullanıcı çerezleri kabul etmedikçe site içeriğine erişimi engelleyen mekanizmalardır. Bu yöntem, kullanıcının özgür iradesini kısıtladığı için KVKK'ya uygun bir açık rıza yöntemi olarak kabul edilmez. Kullanıcı, reklam çerezlerini reddetse dahi sitenizin içeriğine erişebilmelidir.
Açık Rıza ve Çerez Yönetimi Hakkında Sıkça Sorulan Sorular (SSS)
1. Kullanıcının çerez rızası ne kadar süreyle hatırlanmalıdır?
Hukuken net bir süre olmasa da, teknik olarak kullanıcının tercihini 6 ay ile 1 yıl arasında hatırlamak ve sonrasında tercihi tazelemek iyi bir uygulamadır.
2. "Reddet" butonu koymak zorunda mıyım?
Evet. KVKK rehberlerine göre kullanıcıya reddetme hakkı, kabul etme hakkıyla aynı kolaylıkta sunulmalıdır.
3. Açık rıza kayıtları (Log) neden tutulur?
İspat yükümlülüğü veri sorumlusundadır. Bir denetimde, rızanın hangi tarihte ve hangi IP/ID ile alındığını kanıtlamanız gerekebilir.
4. Zorunlu çerezler için rıza gerekir mi?
Sitenin çalışması için teknik olarak elzem olan çerezler için rıza gerekmez, ancak aydınlatma metninde bilgi verilmesi şarttır.
KVKK Çerez Uyumu İçin 5 Maddelik Kontrol Listesi
[ ] Aydınlatma metni pop-up'tan ayrı olarak ulaşılabilir mi?
[ ] "Reddet" butonu mevcut ve "Kabul Et" ile aynı görsel ağırlıkta mı?
[ ] Çerez ayarlarını değiştirmek için sabit bir ikonunuz var mı?
[ ] Açık Rıza Gerektiren Çerezler onay alınana kadar bloklanıyor mu?
[ ] Çerez duvarı (erişim engeli) uygulamasından kaçınıldı mı?
