KVKK ve Çerez Yönetimi
📌 Nereden Geliyoruz?
1.6 GTM Nedir? ve 1.7 GA4 Nedir? derslerinde takip kodlarını ve veri toplamayı öğrenmiştik. Şimdi bu verilerin yasal boyutunu ele alıyoruz: KVKK gereklilikleri, çerez onay mekanizmaları ve kullanıcı gizliliği.
💡 Basit Anlatım
KVKK = kişisel verilerin korunması kanunu. Basitçe: kullanıcıdan izin almadan verilerini toplayamazsın. Web sitesinde çerez banner'ı görürsün — "çerezleri kabul edin" diyen kutu. O kutu aslında yasal bir zorunluluk: kullanıcıya "seni takip edeceğiz, onay veriyor musun?" diye sormak.
1. Neden Bu Konu Önemli?
- Dijital pazarlamada topladığımız her veri (çerez, IP, e-posta, telefon) kişisel veridir
- Türkiye'de KVKK (Kişisel Verilerin Korunması Kanunu), AB'de GDPR geçerlidir
- Yanlış veri toplama = yasal ceza riski + müşteri güven kaybı
- Ajans olarak müşterinin sitesindeki veri toplama uygulamalarından biz de sorumluyuz
⚠️ Kritik Uyarı
Çerez bildirimi olmayan sitede GA4 ve Pixel çalıştırmak KVKK ihlalidir. Müşteriye bunu anlatıp çerez yönetimi kurulmasını sağla.
🚫 Yaygın Yanılgı
❌ Yanlış: "Çerez banner'ı koydum = KVKK'ya uygun oldum."
✅ Doğru: Banner koymak ilk adımdır ama yeterli değildir. Banner'ın gerçekten çalışması gerekir: kullanıcı onay vermeden analitik ve reklam çerezleri yüklenmemeli (Consent Mode), çerez politikası sayfası mevcut olmalı ve çerez kategorileri ayrı ayrı onaylanabilir olmalıdır.
2. Web Sitesine Çerez Bildirimi (Cookie Banner)
Her web sitesi çerez kullanan her aracı (GA4, Google Ads tag, Meta Pixel) kullanıcıya bildirmelidir. Kullanıcı onay vermeden analitik ve reklam çerezleri ÇALIŞMAMALIDIR.
a) Çerez Kategorileri
| Kategori | Örnekler | Onay Gerekir mi? |
|---|---|---|
| Zorunlu çerezler | Login, sepet, oturum yönetimi | Hayır — site çalışması için gerekli |
| Analitik çerezler | GA4, site analizi | Evet — onay gerekir |
| Pazarlama çerezler | Google Ads, Meta Pixel, remarketing | Evet — onay gerekir |
b) Banner Kuralları
- Çerez banner'ı net olmalı: "Kabul Et" ve "Reddet" seçenekleri eşit büyüklükte
- Kullanıcıyı "Kabul Et"e yönlendiren karanlık desenler (dark patterns) kullanılmamalı
- Popüler çerez yönetim araçları: CookieBot, OneTrust, Complianz, CookieYes
3. GA4 Consent Mode v2
💡 Basit Anlatım
Consent Mode = Google'a "kullanıcı izin verdi mi vermedi mi" bilgisini iletmek. Kullanıcı çerez onayı verdiyse → tüm veriler normal toplanır. Vermezse → Google bazı verileri tahmin eder (modeling), ama kişisel veri toplamaz.
Google'ın çerez izni yönetim sistemidir. Kullanıcı çerezi reddederse GA4 tam veri toplamaz — ama "modelleme" ile tahmin üretir.
a) Temel İzin Türleri
| İzin Türü | Açıklama |
|---|---|
| analytics_storage | GA4 çerezleri — izin verilirse tam veri, reddedilirse modellenmiş veri |
| ad_storage | Reklam çerezleri — Google Ads remarketing, dönüşüm takibi |
b) İleri İzin Türleri (2024+ zorunlu)
| İzin Türü | Açıklama |
|---|---|
| ad_user_data | Kullanıcı verisinin reklam amacıyla Google'a gönderilmesi |
| ad_personalization | Kişiselleştirilmiş reklam gösterimi |
graph LR
subgraph IZIN["4 İzin Türü"]
AS["analytics_storage
GA4 çerezleri"] AD["ad_storage
Reklam çerezleri"] AUD["ad_user_data
Veri gönderimi"] AP["ad_personalization
Kişisel reklam"] end AS --> GA4["📊 GA4 Tam Veri"] AD --> ADS["📢 Remarketing +
Dönüşüm Takibi"] AUD --> EC["🔄 Enhanced
Conversions"] AP --> PERS["🎯 Kişiselleştirilmiş
Reklam"] style IZIN fill:#E8F6FC,stroke:#29ABE2 style GA4 fill:#DCFCE7,stroke:#22C55E style ADS fill:#FEF3C7,stroke:#F59E0B style EC fill:#FEF3C7,stroke:#F59E0B style PERS fill:#FEF3C7,stroke:#F59E0B
GA4 çerezleri"] AD["ad_storage
Reklam çerezleri"] AUD["ad_user_data
Veri gönderimi"] AP["ad_personalization
Kişisel reklam"] end AS --> GA4["📊 GA4 Tam Veri"] AD --> ADS["📢 Remarketing +
Dönüşüm Takibi"] AUD --> EC["🔄 Enhanced
Conversions"] AP --> PERS["🎯 Kişiselleştirilmiş
Reklam"] style IZIN fill:#E8F6FC,stroke:#29ABE2 style GA4 fill:#DCFCE7,stroke:#22C55E style ADS fill:#FEF3C7,stroke:#F59E0B style EC fill:#FEF3C7,stroke:#F59E0B style PERS fill:#FEF3C7,stroke:#F59E0B
c) Düzgün Yapılandırmazsak Ne Olur?
- Google Ads Enhanced Conversions çalışmaz
- Remarketing kitleleri oluşturulamaz
- GA4 verisi eksik kalır (modelleme de çalışmaz)
- Google AB ülkelerindeki reklamları engelleyebilir
4. GTM ile Consent Mode Kurulumu (Genel Akış)
- CMP (Consent Management Platform) seç (ör: CookieBot)
- GTM'de CMP'nin tag'ını ekle
- GA4 ve Google Ads tag'larını "Built-in Consent Checks" ile yapılandır
- Default consent state: denied (kullanıcı onay verene kadar çerez yok)
- Kullanıcı "Kabul Et" tıklayınca → consent state: granted → tag'lar çalışmaya başlar
- Kullanıcı "Reddet" tıklarsa → consent state: denied kalır → Google modellenmiş veri üretir
graph TD
U["👤 Kullanıcı siteye gelir"] --> B["🍪 Çerez banner çıkar"]
B --> K{"Kullanıcı kararı?"}
K -->|"Kabul Et"| G["✅ Tüm tag'lar çalışır
GA4, Google Ads, Meta Pixel
tam veri toplama"] K -->|"Reddet"| R["🚫 Sadece zorunlu çerezler
Analitik ve reklam çerezleri
çalışmaz"] R --> M["📊 Google modelleme yapar
Consent Mode v2 ile
tahmini veri üretilir"] style U fill:#E8F6FC,stroke:#29ABE2,stroke-width:2px style B fill:#FEF3C7,stroke:#F59E0B,stroke-width:2px style G fill:#DCFCE7,stroke:#22C55E,stroke-width:2px style R fill:#FEE2E2,stroke:#EF4444,stroke-width:2px style M fill:#F5F7FA,stroke:#64748B,stroke-width:2px
GA4, Google Ads, Meta Pixel
tam veri toplama"] K -->|"Reddet"| R["🚫 Sadece zorunlu çerezler
Analitik ve reklam çerezleri
çalışmaz"] R --> M["📊 Google modelleme yapar
Consent Mode v2 ile
tahmini veri üretilir"] style U fill:#E8F6FC,stroke:#29ABE2,stroke-width:2px style B fill:#FEF3C7,stroke:#F59E0B,stroke-width:2px style G fill:#DCFCE7,stroke:#22C55E,stroke-width:2px style R fill:#FEE2E2,stroke:#EF4444,stroke-width:2px style M fill:#F5F7FA,stroke:#64748B,stroke-width:2px
graph TD
A["1. CMP Seç
CookieBot, OneTrust..."] --> B["2. GTM'de CMP Tag Ekle"] B --> C["3. Default State: DENIED"] C --> D["4. GA4 + Ads Tag'larında
Consent Check Aktif"] D --> E{"Kullanıcı Kararı"} E -->|"Kabul"| F["✅ granted
Tag'lar çalışır"] E -->|"Reddet"| G["🚫 denied
Tag'lar duraklar"] G --> H["📊 Google modelleme
ile tahmini veri"] style A fill:#E8F6FC,stroke:#29ABE2,stroke-width:2px style C fill:#FEE2E2,stroke:#EF4444 style F fill:#DCFCE7,stroke:#22C55E,stroke-width:2px style G fill:#FEE2E2,stroke:#EF4444 style H fill:#F5F7FA,stroke:#64748B
CookieBot, OneTrust..."] --> B["2. GTM'de CMP Tag Ekle"] B --> C["3. Default State: DENIED"] C --> D["4. GA4 + Ads Tag'larında
Consent Check Aktif"] D --> E{"Kullanıcı Kararı"} E -->|"Kabul"| F["✅ granted
Tag'lar çalışır"] E -->|"Reddet"| G["🚫 denied
Tag'lar duraklar"] G --> H["📊 Google modelleme
ile tahmini veri"] style A fill:#E8F6FC,stroke:#29ABE2,stroke-width:2px style C fill:#FEE2E2,stroke:#EF4444 style F fill:#DCFCE7,stroke:#22C55E,stroke-width:2px style G fill:#FEE2E2,stroke:#EF4444 style H fill:#F5F7FA,stroke:#64748B
⚠️ Gerçek Ceza Örnekleri
KVKK ihlalleri soyut bir tehdit değil — gerçek cezalar kesiliyor:
- 2023: Bir e-ticaret sitesine, kullanıcıların açık rızası olmadan pazarlama çerezi kullanıldığı gerekçesiyle KVKK tarafından 1.750.000 TL idari para cezası kesildi.
- AB / GDPR: Meta (Facebook), Avrupa'da kullanıcı rızası almadan veri işleme nedeniyle 1,2 milyar Euro ceza aldı (2023).
- Türkiye'de KVKK cezaları: 50.000 TL ile 5.000.000 TL arasında değişebilir — ihlalin kapsamına göre.
Kısacası: çerez banner'ı koymamak veya düzgün çalıştırmamak, müşterinin cebinden ciddi para çıkmasına neden olabilir. Bu yüzden "sonra hallederiz" dememeli, projenin ilk adımında kurulmalı.
5. Müşteriye Ne Söylersin?
📌 Hazır Cümle
"Web sitenizde KVKK uyumlu çerez bildirimi olması yasal zorunluluktur. Biz CookieBot/Complianz gibi bir araç kurarak kullanıcılardan izin alıyoruz. Bu sayede GA4 ve reklam takibi yasal çerçevede çalışıyor. İzin vermeyenler için Google modellenmiş veri üretiyor — yani veri kaybı minimum."
🎯 Bu Dersten Öğrenmen Gerekenler
- KVKK/GDPR kapsamında çerez bildirimi ve consent yönetiminin neden zorunlu olduğunu açıklarsın.
- GA4 Consent Mode v2'nin temel ve ileri izin türlerini bilirsin.
- GTM ile Consent Mode kurulumunun genel akışını kavramış olursun.
- Müşteriye çerez yönetiminin gerekliliğini ve Google'ın modellenmiş veri yaklaşımını anlatabilirsin.