Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunÇerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
2020'den bu yana, özellikle çerez izni ihlalleri için 400 milyon Euro'nun üzerinde GDPR para cezası uygulandı. Fransız CNIL, çerezleri kabul etmeyi reddetmekten daha kolay hale getirdiği için Google'a 150 milyon Euro ve Facebook'a 60 milyon Euro para cezası verdi. Çerez onayı artık bir onay kutusu uygulaması değil; belirli teknik gereklilikleri olan, yoğun şekilde uygulanan bir gizlilik yasası alanıdır.
Bu kılavuz, web siteleri ve web uygulamaları için çerez izninin yasal gerekliliklerini, teknik uygulamasını ve sürekli yönetimini kapsar.
Önemli Çıkarımlar
- GDPR ve eGizlilik kapsamında, gerekli olmayan çerezlerin ayarlanmasından ÖNCE izin alınmalıdır --- sonra değil
- Onayın verilmesi kadar geri çekilmesi de kolay olmalı (tek tıkla reddetme, ayarlara gömülmemeli)
- Çerez duvarları ("kabul et veya ayrıl") çoğu AB üye ülkesinde yasa dışıdır
- Mart 2024'ten bu yana AEA'da Google Analytics ve Ads için Google İzin Modu v2 gereklidir
Bölgeye Göre Yasal Gereksinimler
Çerez Onay Gereksinimleri Karşılaştırması
| Gereksinim | AB (GDPR + eGizlilik) | Birleşik Krallık (PECR + Birleşik Krallık GDPR) | ABD (CCPA/eyalet yasaları) | Brezilya (LGPD) | Kanada (PIPEDA) |
|---|---|---|---|---|---|
| Gerekli olmayan çerezler için ön izin | Evet (katılma) | Evet (katılma) | Hayır (devre dışı bırakma modeli) | Evet (katılma) | Zımni izne izin veriliyor |
| İzin banner'ı gerekli | Evet | Evet | Gerekli değil (ancak önerilir) | Evet | Önerilen |
| Ayrıntılı seçenekler (kategoriye göre) | Evet | Evet | Gerekli değil | Evet | Önerilen |
| Kabul/ret için eşit önem | Evet | Evet | Yok | Evet | Yok |
| Çerez duvarına izin veriliyor | Hayır (çoğu eyalette) | Hayır | Yok | Hayır | Yok |
| Onay kaydı gerekli | Evet | Evet | Hayır | Evet | Evet |
| Onay yenileme süresi | Maksimum 12 ay | Maksimum 12 ay | Yok | Belirtilmedi | Belirtilmedi |
| Çerez politikası gerekli | Evet (detaylı) | Evet (detaylı) | Evet (izleniyorsa) | Evet | Evet |
Çerez Olarak Neler Önemlidir?
eGizlilik Yönergesi yalnızca HTTP çerezlerini değil, kullanıcının cihazında bilgi depolayan veya bu bilgilere erişen tüm teknolojileri kapsar:
- HTTP çerezleri (birinci taraf ve üçüncü taraf)
- LocalStorage ve SessionStorage
- İndekslenmişDB
- Cihaz parmak izi alma
- Pikselleri / web işaretçilerini izleme
- İzleme için kullanılan ETag'ler
Çerez Sınıflandırması
Standart Kategoriler
| Kategori | Onay Gerekli mi? | Örnekler | Varsayılan Durum |
|---|---|---|---|
| Kesinlikle gerekli | Hayır | Oturum çerezleri, CSRF belirteçleri, yük dengeleyici çerezleri, kimlik doğrulama | Her zaman açık |
| İşlevsel / tercihler | Evet | Dil tercihi, tema tercihi, kayıtlı sepet | Kapalı (izin verilene kadar) |
| Analitik / performans | Evet | Google Analytics, Hotjar, Makul (çerezlerle) | Kapalı (izin verilene kadar) |
| Pazarlama / reklam | Evet | Google Ads, Facebook Pixel, yeniden hedefleme çerezleri | Kapalı (izin verilene kadar) |
Çerezlerinizi Denetleme
Onayı uygulamadan önce web sitenizin ayarladığı her çerezi denetleyin:
// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));
// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com
Her çerezi belgeleyin:
| Çerez Adı | Kategori | Amaç | Süre | Birinci/Üçüncü Taraf |
|---|---|---|---|---|
| KOD0 | Kesinlikle gerekli | Kimlik Doğrulama | Oturum | Birinci taraf |
| KOD0 | Kesinlikle gerekli | Jeton yenileme | 7 gün | Birinci taraf |
| KOD0 | Kesinlikle gerekli | Dil tercihi | 1 yıl | Birinci taraf |
| KOD0 | Analitik | Google Analytics ziyaretçi kimliği | 2 yıl | Üçüncü taraf (Google) |
| KOD0 | Pazarlama | Facebook Piksel takibi | 90 gün | Üçüncü Taraf (Facebook) |
Teknik Uygulama
Seçenek 1: Rıza Yönetimi Platformu (CMP)
| CMP | Ücretsiz Seviye | GDPR Uyumlu | Google CMP Ortağı | IAB TCF 2.2 |
|---|---|---|---|---|
| Kurabiye Robotu | 1 sayfaya kadar | Evet | Evet | Evet |
| OneTrust | Hayır | Evet | Evet | Evet |
| Osano | 5.000'e kadar ziyaretçi | Evet | Evet | Hayır |
| Dönemlik | Temel plan | Evet | Evet | Hayır |
| Çerez Komut Dosyası | En fazla 1 site | Evet | Evet | Hayır |
Seçenek 2: Özel Uygulama
Tam kontrol isteyen takımlar için:
// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';
interface ConsentPreferences {
necessary: true; // Always true, cannot be changed
functional: boolean;
analytics: boolean;
marketing: boolean;
timestamp: string;
version: string;
}
const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days
export function getConsent(): ConsentPreferences | null {
const cookie = document.cookie
.split(';')
.find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));
if (!cookie) return null;
try {
const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
// Invalidate if consent version changed
if (prefs.version !== CONSENT_VERSION) return null;
return prefs;
} catch {
return null;
}
}
export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
const consent: ConsentPreferences = {
necessary: true,
...preferences,
timestamp: new Date().toISOString(),
version: CONSENT_VERSION,
};
const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;
// Apply consent decisions
applyConsent(consent);
return consent;
}
function applyConsent(consent: ConsentPreferences) {
if (consent.analytics) {
// Initialize Google Analytics
loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
}
if (consent.marketing) {
// Initialize marketing pixels
loadScript('https://connect.facebook.net/en_US/fbevents.js');
}
if (!consent.analytics) {
// Remove analytics cookies
deleteCookie('_ga');
deleteCookie('_gid');
}
if (!consent.marketing) {
// Remove marketing cookies
deleteCookie('_fbp');
deleteCookie('_fbc');
}
}
Google İzin Modu v2
Mart 2024'ten bu yana AEA'da Google Analytics ve Google Ads için gereklidir:
<!-- Set default consent state BEFORE loading Google tags -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: deny all until user consents
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted', // Always granted (necessary)
'wait_for_update': 500 // Wait for CMP
});
</script>
<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
Kullanıcı onay verdiğinde:
// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
gtag('consent', 'update', {
'ad_storage': preferences.marketing ? 'granted' : 'denied',
'ad_user_data': preferences.marketing ? 'granted' : 'denied',
'ad_personalization': preferences.marketing ? 'granted' : 'denied',
'analytics_storage': preferences.analytics ? 'granted' : 'denied',
'functionality_storage': preferences.functional ? 'granted' : 'denied',
'personalization_storage': preferences.functional ? 'granted' : 'denied',
});
}
İzin Banner Tasarımı Gereksinimleri
AB Yasal Gereksinimleri
- Banner, gerekli olmayan herhangi bir çerez ayarlanmadan ÖNCE görünür
- "Tümünü kabul et" ve "Tümünü reddet" düğmeleri eşit görsel öneme sahiptir
- Parçalı kategori seçimi mevcuttur (yalnızca ya hep ya hiç değil)
- Gerekli olmayan kategoriler için önceden işaretlenmiş kutular yoktur
- Her kategorinin açık ve sade bir dille açıklaması
- Tam çerez politikasına bağlantı
- Onayın geri çekilmesine her zaman erişilebilir (ör. alt bilgi bağlantısı)
- Çerez duvarı yok (Siteyi izinsiz kullanabilmelisiniz)
- Onay, zaman damgası ve sürümle birlikte kaydedildi
Erişilebilirlik Gereksinimleri
- Banner'da klavyeyle gezinilebilir
- Ekran okuyucu uyumlu (ARIA etiketleri)
- Yeterli renk kontrastı
- Temel içeriği kalıcı olarak engellemez
Çerezsiz Analiz Alternatifi
Çerez izni banner'larından tamamen kaçınmak isteyen web siteleri için:
| Araç | Çerezler | GDPR Onayı Gerekli | Veri Konumu | Fiyat |
|---|---|---|---|---|
| makul | Yok | Hayır | AB | 9$/ay |
| Kulaç | Yok | Hayır | AB/ABD/Kanada | 14$/ay |
| Umami | Yok | Hayır | Kendi kendine barındırılan | Ücretsiz |
| Basit Analitik | Yok | Hayır | AB | 9$/ay |
| Matomo (çerezsiz yapılandırma) | İsteğe bağlı | Hayır (çerezler olmadan) | Kendi kendine barındırılan | Ücretsiz |
Çerezsiz analizlerin kullanılması, analiz izni ihtiyacını ortadan kaldırır ve izin banner'ınızı yalnızca pazarlama çerezlerini (kullanılıyorsa) kapsayacak şekilde basitleştirir.
Sıkça Sorulan Sorular
Yalnızca gerekli çerezleri kullanırsak çerez başlığına ihtiyacımız var mı?
Hayır. Yalnızca kesinlikle gerekli olan çerezleri (kimlik doğrulama, CSRF, yük dengeleme) kullanıyorsanız, herhangi bir onaya veya banner'a gerek yoktur. Ancak yine de bu çerezleri gizlilik politikanızda açıklamalısınız. Analitik (Google Analytics) veya herhangi bir üçüncü taraf izleme eklediğinizde, AB'de yasal olarak bir izin banner'ı zorunlu hale gelir.
"Geçici katılım" (göz atmaya devam etme = izin) kullanmak yasal mıdır?
Hayır, GDPR kapsamında değil. Avrupa Veri Koruma Kurulu, devam eden göz atma, kaydırma veya benzeri pasif eylemlerin geçerli bir rıza teşkil etmediğini açıkça belirtmiştir. Onay, açık ve olumlu bir eylem olmalıdır; "Kabul et" veya benzeri bir düğmeyi tıklamak gerekir. Esnek katılım, Planet49'da uyumsuz olarak değerlendirildi (CJEU, 2019).
Tek sayfalı başvurulara ilişkin onayı nasıl ele alıyoruz?
SPA'lar için, ilk sayfa yüklemesinde ve her rota değişikliğinde izin durumunu kontrol edin. Onay verilmediyse izleme komut dosyalarını başlatmayın. Rıza tercihlerini birinci taraf çerezinde saklayın (izinlerin hatırlanması için kendisi kesinlikle gereklidir). Kullanıcı izin verdiğinde sayfanın yeniden yüklenmesine gerek kalmadan izleme komut dosyalarını başlatın.
Odoo web sitemiz için çerez iznine ihtiyacımız var mı?
Odoo web siteniz AB ziyaretçilerine hizmet veriyorsa ve kesinlikle gerekli olanın ötesinde analizler, pazarlama pikselleri veya işlevsel çerezler kullanıyorsa, evet. Odoo'nun temel bir çerez bildirimi var ancak GDPR standartlarını karşılamıyor. Cookiebot gibi uygun bir CMP uygulayın veya özel bir çözüm oluşturun. ECOSIRE, GDPR uyumlu çerez iznini içeren Odoo web sitesi hizmetleri sağlar.
Sırada Ne Var?
Çerez onayı, web gizliliği uyumluluğunun en görünür yönüdür. Uygulama mimariniz için tasarım gereği gizlilik, tam veri programınız için veri yönetimi ve daha geniş uyumluluk için siber güvenlik düzenlemeleri ile birleştirin.
Çerez izni uygulaması ve gizlilik uyumluluğu danışmanlığı için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin, kullanıcıların güvendiği gizlilik uyumluluğunu uygulamalarına yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.