⏱️ Okuma süresi: 11 dk · 📁 Kategori: KVKK & Dijital Uyum

Yıl Sonu KVKK Uygunluk Kontrol Listesi: Dijital Reklam, Çerez ve Takip Teknolojileri

Yıl sonu dönemleri, şirketlerin KVKK uyumluluğunu yeniden değerlendirmesi ve dijital altyapılarını güncel mevzuata göre kontrol etmesi için kritik bir zaman dilimidir.
Özellikle dijital reklam stratejileri, çerez (cookie) yönetimi ve takip teknolojileri; hem KVKK hem de global regülasyonlar (GDPR, ePrivacy) açısından en yoğun risk barındıran alanlardır.

Bu blog yazısı; Consent Mode v2 gerekliliklerini, çerez kategorilerini, log saklama yükümlülüklerini ve yıl sonu KVKK kontrol listesini detaylı ve uygulanabilir bir formatta sunar.

B10 Digital’in KVKK & Dijital Uyum metodolojisi, teknik araçlar ile hukuki gereklilikleri birleştirerek şirketlere net bir yol haritası sağlar.

1. Consent Mode v2: 2025’te Zorunlu Hale Gelen Yeni Model

Google’ın Consent Mode v2 güncellemesi, çerez ve takip teknolojileri için kullanıcı rızasının nasıl yönetilmesi gerektiğini kökten değiştirdi. Bu model artık yalnızca reklam performansını değil; **KVKK açısından veri işleme hukuka uygunluk temelini** doğrudan etkiliyor.

Consent Mode v2’de dikkat edilmesi gereken başlıca noktalar:

• Kullanıcı rızası olmadan reklam çerezlerinin tetiklenmemesi
• Anonimleştirilmiş ping sinyalleri ile sınırlı veri iletimi
• Google Ads ve Analytics entegrasyonlarında zorunlu etiketleme
• Reklam kişiselleştirme ayarlarının rızaya göre dinamik yönetimi
• Rıza değişikliklerinin gerçek zamanlı senkronize edilmesi

2. Çerez Kategorileri: KVKK Açısından Sınıflandırma

Çerezlerin doğru kategorize edilmesi, hem aydınlatma yükümlülüğü hem de açık rıza mekanizmasının geçerliliği açısından zorunludur.

KVKK’ya uyumlu çerez kategorileri aşağıdaki yapı üzerinden belirlenir:

• Zorunlu (Essential) Çerezler Oturum yönetimi, güvenlik, alışveriş sepeti gibi temel fonksiyonlar. Açık rıza gerekmez.
• İşlevsel (Functional) Çerezler Kullanıcı tercihlerini hatırlayan çerezler. Açık rıza gerektirebilir.
• Performans / Analitik Çerezler Google Analytics dahil tüm ölçümleme araçları. Açık rıza alınmalıdır.
• Reklam / Hedefleme Çerezleri Remarketing, kullanıcı segmentasyonu, kişiselleştirme. Açık rıza zorunludur.
• Üçüncü Taraf Çerezleri Meta Pixel, TikTok Pixel, LinkedIn Insight Tag vb. Açık rıza gerektirir.

3. Takip Teknolojileri: KVKK Perspektifi

Kurumlar; piksel tabanlı izleme, fingerprinting, session replay araçları ve ısı haritaları gibi yeni nesil takip teknolojilerini kullanırken KVKK’nın “açık rıza, veri minimizasyonu ve amaçla bağlılık” ilkelerine uygun hareket etmelidir.

Dikkat edilmesi gereken teknik–hukuki birleşik gereklilikler:

• Meta Pixel ve TikTok Pixel’de rıza olmadan tetikleme yapılmamalı
• Session replay araçları (Hotjar, FullStory) için açık rıza şarttır
• IP maskleme ve veri anonimleştirme mekanizmaları aktif kullanılmalı
• Üçüncü taraflara aktarılan veriler kayıt altına alınmalı

4. Log Saklama Yükümlülükleri

Dijital reklam ve çerez mekanizmaları yalnızca rıza ile değil, aynı zamanda log yönetimi ile denetlenebilir hale gelir. KVKK ve 5651 sayılı kanun kapsamında kurumların log saklama sorumluluğu bulunmaktadır.

Aşağıdaki log türleri yıl boyunca güvenli şekilde saklanmalıdır:

• Rıza kayıtları (consent logs)
• Çerez tetikleme logları
• Piksel tetikleme logları
• Kullanıcı tercih değişiklikleri
• Veri aktarım logları
• İhlal bildirim kayıtları

5. Yıl Sonu KVKK Uygunluk Kontrol Listesi (Checklist)

Aralık ayında yapılması gereken kapsamlı KVKK denetimi için aşağıdaki kontrol listesi uygulanabilir bir çerçeve sunar:

A) Çerez ve Rıza Yönetimi

• Çerez kategorileri doğru tanımlandı mı?
• Rıza yönetimi aracı Consent Mode v2 ile tam uyumlu mu?
• Kullanıcı rızası olmadan piksel çalışıyor mu?
• Çerez politikası güncel mi, kapsamı doğru mu?

B) Dijital Reklam Teknolojileri

• Google, Meta, TikTok tag’leri rızaya göre dinamik çalışıyor mu?
• Conversion API kullanılıyorsa veri aktarım izinleri tanımlı mı?
• Third-party vendor sözleşmeleri güncel mi?

C) Log Yönetimi

• Consent log’ları saklanıyor mu?
• İşlenen veriye ilişkin zaman damgalı kayıt tutuluyor mu?
• İhlal bildirimleri arşivlendi mi?

D) Aydınlatma ve Veri Envanteri

• Aydınlatma metinleri güncellendi mi?
• Veri envanteri çerez ve piksel süreçleriyle uyumlu mu?
• Veri sorumlusu temsilcisi bilgileri doğru mu?

E) Güvenlik Önlemleri

• Sunucu logları düzenli yedekleniyor mu?
• IP maskeleme uygulanıyor mu?
• Yetkisiz erişim testleri yapıldı mı?

B10 Digital’in KVKK & Dijital Uyum Yaklaşımı

• Consent Mode v2 tam uyum analizi
• Çerez kategorisi denetimi
• Piksel tetikleme analizi
• Rıza loglarının yapılandırılması
• Dijital reklam teknolojilerinde risk tespiti
• KVKK + global regülasyon uyum raporlaması

KVKK & Dijital Uyum Danışmanlığı