{series} serimizin bir parçası
Tam kılavuzu okuyunÇerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
2020'den bu yana, özellikle çerez izni ihlalleri için 400 milyon Euro'nun üzerinde GDPR para cezası uygulandı. Fransız CNIL, çerezleri kabul etmeyi reddetmekten daha kolay hale getirdiği için Google'a 150 milyon Euro ve Facebook'a 60 milyon Euro para cezası verdi. Çerez onayı artık bir onay kutusu uygulaması değil; belirli teknik gereklilikleri olan, yoğun şekilde uygulanan bir gizlilik yasası alanıdır.
Bu kılavuz, web siteleri ve web uygulamaları için çerez izninin yasal gerekliliklerini, teknik uygulamasını ve sürekli yönetimini kapsar.
Önemli Çıkarımlar
- GDPR ve eGizlilik kapsamında, gerekli olmayan çerezlerin ayarlanmasından ÖNCE izin alınmalıdır --- sonra değil
- Onayın verilmesi kadar geri çekilmesi de kolay olmalı (tek tıkla reddetme, ayarlara gömülmemeli)
- Çerez duvarları ("kabul et veya ayrıl") çoğu AB üye ülkesinde yasa dışıdır
- Mart 2024'ten bu yana AEA'da Google Analytics ve Ads için Google İzin Modu v2 gereklidir
Bölgeye Göre Yasal Gereksinimler
Çerez Onay Gereksinimleri Karşılaştırması
| Gereksinim | AB (GDPR + eGizlilik) | Birleşik Krallık (PECR + Birleşik Krallık GDPR) | ABD (CCPA/eyalet yasaları) | Brezilya (LGPD) | Kanada (PIPEDA) |
|---|---|---|---|---|---|
| Gerekli olmayan çerezler için ön izin | Evet (katılma) | Evet (katılma) | Hayır (devre dışı bırakma modeli) | Evet (katılma) | Zımni izne izin veriliyor |
| İzin banner'ı gerekli | Evet | Evet | Gerekli değil (ancak önerilir) | Evet | Önerilen |
| Ayrıntılı seçenekler (kategoriye göre) | Evet | Evet | Gerekli değil | Evet | Önerilen |
| Kabul/ret için eşit önem | Evet | Evet | Yok | Evet | Yok |
| Çerez duvarına izin veriliyor | Hayır (çoğu eyalette) | Hayır | Yok | Hayır | Yok |
| Onay kaydı gerekli | Evet | Evet | Hayır | Evet | Evet |
| Onay yenileme süresi | Maksimum 12 ay | Maksimum 12 ay | Yok | Belirtilmedi | Belirtilmedi |
| Çerez politikası gerekli | Evet (detaylı) | Evet (detaylı) | Evet (izleniyorsa) | Evet | Evet |
Çerez Olarak Neler Önemlidir?
eGizlilik Yönergesi yalnızca HTTP çerezlerini değil, kullanıcının cihazında bilgi depolayan veya bu bilgilere erişen tüm teknolojileri kapsar:
- HTTP çerezleri (birinci taraf ve üçüncü taraf)
- LocalStorage ve SessionStorage
- İndekslenmişDB
- Cihaz parmak izi alma
- Pikselleri / web işaretçilerini izleme
- İzleme için kullanılan ETag'ler
Çerez Sınıflandırması
Standart Kategoriler
| Kategori | Onay Gerekli mi? | Örnekler | Varsayılan Durum |
|---|---|---|---|
| Kesinlikle gerekli | Hayır | Oturum çerezleri, CSRF belirteçleri, yük dengeleyici çerezleri, kimlik doğrulama | Her zaman açık |
| İşlevsel / tercihler | Evet | Dil tercihi, tema tercihi, kayıtlı sepet | Kapalı (izin verilene kadar) |
| Analitik / performans | Evet | Google Analytics, Hotjar, Makul (çerezlerle) | Kapalı (izin verilene kadar) |
| Pazarlama / reklam | Evet | Google Ads, Facebook Pixel, yeniden hedefleme çerezleri | Kapalı (izin verilene kadar) |
Çerezlerinizi Denetleme
Onayı uygulamadan önce web sitenizin ayarladığı her çerezi denetleyin:
// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));
// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com
Her çerezi belgeleyin:
| Çerez Adı | Kategori | Amaç | Süre | Birinci/Üçüncü Taraf |
|---|---|---|---|---|
| KOD0 | Kesinlikle gerekli | Kimlik Doğrulama | Oturum | Birinci taraf |
| KOD0 | Kesinlikle gerekli | Jeton yenileme | 7 gün | Birinci taraf |
| KOD0 | Kesinlikle gerekli | Dil tercihi | 1 yıl | Birinci taraf |
| KOD0 | Analitik | Google Analytics ziyaretçi kimliği | 2 yıl | Üçüncü taraf (Google) |
| KOD0 | Pazarlama | Facebook Piksel takibi | 90 gün | Üçüncü Taraf (Facebook) |
Teknik Uygulama
Seçenek 1: Rıza Yönetimi Platformu (CMP)
| CMP | Ücretsiz Seviye | GDPR Uyumlu | Google CMP Ortağı | IAB TCF 2.2 |
|---|---|---|---|---|
| Kurabiye Robotu | 1 sayfaya kadar | Evet | Evet | Evet |
| OneTrust | Hayır | Evet | Evet | Evet |
| Osano | 5.000'e kadar ziyaretçi | Evet | Evet | Hayır |
| Dönemlik | Temel plan | Evet | Evet | Hayır |
| Çerez Komut Dosyası | En fazla 1 site | Evet | Evet | Hayır |
Seçenek 2: Özel Uygulama
Tam kontrol isteyen takımlar için:
// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';
interface ConsentPreferences {
necessary: true; // Always true, cannot be changed
functional: boolean;
analytics: boolean;
marketing: boolean;
timestamp: string;
version: string;
}
const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days
export function getConsent(): ConsentPreferences | null {
const cookie = document.cookie
.split(';')
.find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));
if (!cookie) return null;
try {
const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
// Invalidate if consent version changed
if (prefs.version !== CONSENT_VERSION) return null;
return prefs;
} catch {
return null;
}
}
export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
const consent: ConsentPreferences = {
necessary: true,
...preferences,
timestamp: new Date().toISOString(),
version: CONSENT_VERSION,
};
const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;
// Apply consent decisions
applyConsent(consent);
return consent;
}
function applyConsent(consent: ConsentPreferences) {
if (consent.analytics) {
// Initialize Google Analytics
loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
}
if (consent.marketing) {
// Initialize marketing pixels
loadScript('https://connect.facebook.net/en_US/fbevents.js');
}
if (!consent.analytics) {
// Remove analytics cookies
deleteCookie('_ga');
deleteCookie('_gid');
}
if (!consent.marketing) {
// Remove marketing cookies
deleteCookie('_fbp');
deleteCookie('_fbc');
}
}
Google İzin Modu v2
Mart 2024'ten bu yana AEA'da Google Analytics ve Google Ads için gereklidir:
<!-- Set default consent state BEFORE loading Google tags -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: deny all until user consents
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted', // Always granted (necessary)
'wait_for_update': 500 // Wait for CMP
});
</script>
<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
Kullanıcı onay verdiğinde:
// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
gtag('consent', 'update', {
'ad_storage': preferences.marketing ? 'granted' : 'denied',
'ad_user_data': preferences.marketing ? 'granted' : 'denied',
'ad_personalization': preferences.marketing ? 'granted' : 'denied',
'analytics_storage': preferences.analytics ? 'granted' : 'denied',
'functionality_storage': preferences.functional ? 'granted' : 'denied',
'personalization_storage': preferences.functional ? 'granted' : 'denied',
});
}
İzin Banner Tasarımı Gereksinimleri
AB Yasal Gereksinimleri
- Banner, gerekli olmayan herhangi bir çerez ayarlanmadan ÖNCE görünür
- "Tümünü kabul et" ve "Tümünü reddet" düğmeleri eşit görsel öneme sahiptir
- Parçalı kategori seçimi mevcuttur (yalnızca ya hep ya hiç değil)
- Gerekli olmayan kategoriler için önceden işaretlenmiş kutular yoktur
- Her kategorinin açık ve sade bir dille açıklaması
- Tam çerez politikasına bağlantı
- Onayın geri çekilmesine her zaman erişilebilir (ör. alt bilgi bağlantısı)
- Çerez duvarı yok (Siteyi izinsiz kullanabilmelisiniz)
- Onay, zaman damgası ve sürümle birlikte kaydedildi
Erişilebilirlik Gereksinimleri
- Banner'da klavyeyle gezinilebilir
- Ekran okuyucu uyumlu (ARIA etiketleri)
- Yeterli renk kontrastı
- Temel içeriği kalıcı olarak engellemez
Çerezsiz Analiz Alternatifi
Çerez izni banner'larından tamamen kaçınmak isteyen web siteleri için:
| Araç | Çerezler | GDPR Onayı Gerekli | Veri Konumu | Fiyat |
|---|---|---|---|---|
| makul | Yok | Hayır | AB | 9$/ay |
| Kulaç | Yok | Hayır | AB/ABD/Kanada | 14$/ay |
| Umami | Yok | Hayır | Kendi kendine barındırılan | Ücretsiz |
| Basit Analitik | Yok | Hayır | AB | 9$/ay |
| Matomo (çerezsiz yapılandırma) | İsteğe bağlı | Hayır (çerezler olmadan) | Kendi kendine barındırılan | Ücretsiz |
Çerezsiz analizlerin kullanılması, analiz izni ihtiyacını ortadan kaldırır ve izin banner'ınızı yalnızca pazarlama çerezlerini (kullanılıyorsa) kapsayacak şekilde basitleştirir.
Sıkça Sorulan Sorular
Hayır. Yalnızca kesinlikle gerekli olan çerezleri (kimlik doğrulama, CSRF, yük dengeleme) kullanıyorsanız, herhangi bir onaya veya banner'a gerek yoktur. Ancak yine de bu çerezleri gizlilik politikanızda açıklamalısınız. Analitik (Google Analytics) veya herhangi bir üçüncü taraf izleme eklediğinizde, AB'de yasal olarak bir izin banner'ı zorunlu hale gelir.
Hayır, GDPR kapsamında değil. Avrupa Veri Koruma Kurulu, devam eden göz atma, kaydırma veya benzeri pasif eylemlerin geçerli bir rıza teşkil etmediğini açıkça belirtmiştir. Onay, açık ve olumlu bir eylem olmalıdır; "Kabul et" veya benzeri bir düğmeyi tıklamak gerekir. Esnek katılım, Planet49'da uyumsuz olarak değerlendirildi (CJEU, 2019).
SPA'lar için, ilk sayfa yüklemesinde ve her rota değişikliğinde izin durumunu kontrol edin. Onay verilmediyse izleme komut dosyalarını başlatmayın. Rıza tercihlerini birinci taraf çerezinde saklayın (izinlerin hatırlanması için kendisi kesinlikle gereklidir). Kullanıcı izin verdiğinde sayfanın yeniden yüklenmesine gerek kalmadan izleme komut dosyalarını başlatın.
Odoo web siteniz AB ziyaretçilerine hizmet veriyorsa ve kesinlikle gerekli olanın ötesinde analizler, pazarlama pikselleri veya işlevsel çerezler kullanıyorsa, evet. Odoo'nun temel bir çerez bildirimi var ancak GDPR standartlarını karşılamıyor. Cookiebot gibi uygun bir CMP uygulayın veya özel bir çözüm oluşturun. ECOSIRE, GDPR uyumlu çerez iznini içeren Odoo web sitesi hizmetleri sağlar.
Sırada Ne Var?
Çerez onayı, web gizliliği uyumluluğunun en görünür yönüdür. Uygulama mimariniz için tasarım gereği gizlilik, tam veri programınız için veri yönetimi ve daha geniş uyumluluk için siber güvenlik düzenlemeleri ile birleştirin.
Çerez izni uygulaması ve gizlilik uyumluluğu danışmanlığı için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin, kullanıcıların güvendiği gizlilik uyumluluğunu uygulamalarına yardımcı oluyor.
Yazan
ECOSIRE Research and Development Team
ECOSIRE'da kurumsal düzeyde dijital ürünler geliştiriyor. Odoo entegrasyonları, e-ticaret otomasyonu ve yapay zeka destekli iş çözümleri hakkında içgörüler paylaşıyor.
İlgili Makaleler
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
Sınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
SCC'ler, yeterlilik kararları, BCR'ler ve GDPR, Birleşik Krallık ve APAC uyumluluğuna yönelik aktarım etki değerlendirmeleriyle sınır ötesi veri aktarımı düzenlemelerinde gezinin.
Bölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
ABD, AB, Birleşik Krallık, APAC ve Orta Doğu'daki siber güvenlik düzenlemelerinde gezinin. NIS2, DORA, SEC kurallarını, kritik altyapı gereksinimlerini ve uyumluluk zaman çizelgelerini kapsar.
{series} serisinden daha fazlası
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
Sınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
SCC'ler, yeterlilik kararları, BCR'ler ve GDPR, Birleşik Krallık ve APAC uyumluluğuna yönelik aktarım etki değerlendirmeleriyle sınır ötesi veri aktarımı düzenlemelerinde gezinin.
Bölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
ABD, AB, Birleşik Krallık, APAC ve Orta Doğu'daki siber güvenlik düzenlemelerinde gezinin. NIS2, DORA, SEC kurallarını, kritik altyapı gereksinimlerini ve uyumluluk zaman çizelgelerini kapsar.
Veri Yönetişimi ve Uyumluluğu: Teknoloji Şirketleri İçin Tam Kılavuz
Teknoloji şirketlerine yönelik uyumluluk çerçevelerini, veri sınıflandırmasını, saklama politikalarını, gizlilik düzenlemelerini ve uygulama yol haritalarını kapsayan eksiksiz veri yönetimi kılavuzu.
Veri Saklama Politikaları ve Otomasyon: İhtiyacınız Olanı Tutun, İhtiyacınız Olanı Silin
GDPR, SOX ve HIPAA için yasal gereklilikler, saklama programları, otomatik uygulama ve uyumluluk doğrulamasıyla veri saklama politikaları oluşturun.
Çalışan Veri Gizliliği Yönetimi: İK İhtiyaçlarını Gizlilik Haklarıyla Dengelemek
Çalışan verilerinin gizliliğini GDPR gereklilikleri, İK veri işleme alanları, izleme politikaları, sınır ötesi aktarımlar ve en iyi saklama uygulamalarıyla yönetin.