Gizlilik ve Çerez Yönetimi: Kumar Siteleri İçin KVKK/GDPR Rehberi

Özet: Bu rehber, kumar ve bahis siteleri için net bir çerez planı sunar. Banner tasarımından kayıt tutmaya, KVKK ve GDPR uyumunu adım adım anlatır.

Hukuki uyarı: Bu metin genel bilgi sağlar. Hukuki tavsiye değildir. Kendi durumunuz için bir uzmana danışın.

Soğuk Açılış: 30 Saniyelik Senaryo

Bir ziyaretçi sitenize girer. Üstte bir çerez banneri çıkar. “Kabul Et” büyük, “Reddet” gizli. Ziyaretçi kararsızdır. Siz A/B test yaparsınız. Kabul oranı artar ama risk de artar. Çünkü bazı tag’ler rıza olmadan çalışır. Regülatör bir şikayet alırsa, ceza ve itibar kaybı kapıdadır. Çerez, sadece pazarlama aracı değildir. Çerez, hukuk, güven ve gelir dengesidir.

Hızlı Gerçeklik Kontrolü: Veri Akışı Haritası

İlk bakışta basit görünür. Ama veri, birden çok yere akar. Kendinize şu beş soruyu bugün sorun:

Kısa Vaka: Neden Bir Banner Ceza Riski Yarattı?

Bir operatör, yeni bir banner yayına aldı. Zorunlu olmayan analitik ve reklam pikselleri sayfa yüklenince çalıştı. “Reddet” butonu ikinci katmandaydı. Aydınlatma metni kısa ve eksikti. Kullanıcı rıza vermeden çerezler bırakıldı. Şikayet geldi. İncelemede, meşru menfaat gerekçesi analitik için zayıf bulundu. Ayrıca rıza alma şekli “adil seçim” sunmadı. Sonuç: değişiklik emri ve uyum takvimi, ciddi maliyet ve zaman kaybı.

Çıkarım net: Rıza açık ve önceden olmalı. Zorunlu olmayan hiçbir çerez önceden yüklenmemeli. Aydınlatma ve saklama bilgisi görünür olmalı.

Temeller: KVKK, GDPR ve ePrivacy Mantığı

Temel terimler kısaca: Veri Sorumlusu, Veri İşleyen, Aydınlatma Metni, Açık Rıza, VERBİS, Kurul Kararları. Çerezler çoğu zaman kişisel veriyle ilişkilidir. Bu yüzden rıza veya sağlam bir hukuki dayanak gerekir.

GDPR’ın kapsam ve ilkeleri için Avrupa Komisyonu’nun GDPR özeti net bir çerçeve sunar. Rıza şartının nasıl olması gerektiğini EDPB’nin rıza rehberi açıklar. Türkiye tarafında yükümlülükler için KVKK resmi sitesi ana kaynaktır. Derin okuma isterseniz IAPP’nin kaynakları da faydalıdır.

Genel kural: Zorunlu çerezler hariç, analitik ve reklam çerezleri için açık rıza gerekir. Rıza, özgür, belirli, bilgilendirilmiş ve açık bir eylemle verilir. Ön işaretleme olmaz. Reddetme seçeneği, kabul kadar görünür olmalıdır.

Atölye: 7 Adımda Uyumlu Çerez Yönetimi

1) Envanter Çıkarın

Teknik kılavuz için MDN web çerezleri kılavuzu pratik bilgiler içerir.

2) Sınıflandırın

3) Hukuki Dayanak EÅŸleÅŸtirin

Uygulama farkları için ICO’nun çerez rehberi pratik örnekler verir.

4) Banner Tasarlayın (Adil Seçim)

İyi uygulamalar için CNIL’in önerileri nettir.

5) CMP ve IAB TCF 2.2 Kullanın (Gerekirse)

Ayrıntılar için IAB Europe TCF politika dokümanlarına bakın.

6) Saklama ve Silme Kurun

7) Kayıt Tutun ve Denetime Hazır Olun

Çerçeve için NIST Privacy Framework referans olabilir.

Bu bölümde ne yapmalısınız?

Pratik Tablo: Çerez Türü x Dayanak x Saklama

Aşağıdaki örnek tablo, kendi tablo’nuz için bir şablondur. Değerleri ürününüze göre değiştirin.

Zorunlu session_id (ilk taraf) Oturum ve güvenlik Sözleşme / Meşru menfaat Oturum süresi Yok Hayır Site çalışmaz
Zorunlu lb_route (ilk taraf) Yük dengeleme Meşru menfaat 24 saat Yok Hayır Yavaşlama olur
İşlevsel lang_pref (ilk taraf) Dil tercihi Meşru menfaat 6 ay Yok Bazen Varsayılan dil açılır
Analitik _ga (Google) Ziyaret ölçümü Açık rıza 13 ay AB/ABD bölgesel Evet Sınırlı rapor
Reklam IDE (Google) Yeniden hedefleme Açık rıza 13 ay AB/ABD bölgesel Evet Kişiselleştirme kapanır
Reklam _fbp (Meta) Dönüşüm takibi Açık rıza 3 ay AB/ABD bölgesel Evet Atıf eksilir

Reklam ve Analitik: Özel Notlar

Google ürünleri için rıza yoksa, ölçüm sınırlıdır. Consent Mode v2, rıza sinyaline göre veri akışını ayarlar. Dönüşüm modelleme ile bazı boşluklar kapatılır, ama kişiselleştirme yine kapalı kalır.

Ülke bazlı uyum gerekir. Bazı bölgelerde analitik için dahi açık rıza istenir. TCF 2.2 ile satıcılar ve amaçlar daha net görünür. Güvenlik tarafında, çerez bütünlüğünü koruyun. HttpOnly, Secure, SameSite bayraklarını doğru ayarlayın. OWASP pratikleri bu konuda iyi bir liste sunar.

Bu bölümde ne yapmalısınız?

Affiliate ve İnceleme Ekosistemi: Şeffaf Paylaşım

Kumar ekosistemi, afiliye ve inceleme siteleriyle yaşar. Tıklama sırasında yönlendirme parametreleri (ör. click_id) işlenir. Bu akışı açık anlatın. Yönlendirme linklerinde hangi verilerin işlendiğini, kimlerin görebileceğini, ne kadar süre ile saklandığını belirtin. Sınır ötesi aktarım varsa, riskleri ve korumayı yazın. Faydalı bir genel çerçeve için ENISA veri koruma kaynaklarına bakabilirsiniz.

İyi bir şeffaflık örneği, kullanıcıya kısa ve net bilgi vermektir. Mesela, dış bir inceleme kaynağına giderken “hangi veriler paylaşılıyor, çerez tercihin nasıl taşınır” gibi sorulara yanıt vermek güveni artırır. Bu yaklaşım, afiliye gelirini de korur çünkü vazgeçişleri azaltır. Sektör pratiği hakkında görüşlere, volgens BesteRecensies.com tarzı tarafsız değerlendirmelerde sıkça rastlanır.

Üçüncü taraflarla sözleşmelerinizde veri işleme hükümleri olsun. Amaç, süre, güvenlik, alt işleyenler, silme ve denetim haklarını net yazın.

Sık Yapılan 8 Hata ve Hızlı Düzeltmeler

  1. Ön yüklenen pikseller: Rıza gelmeden tetiklenmesin. Tag manager’da rıza tetikleyicisi kurun.
  2. Koyu desenler: “Reddet” gizli kalmasın. İlk katmanda eşit görünür olsun.
  3. Eksik saklama bilgisi: Tabloya süre ekleyin. Politika ile uyumlu yapın.
  4. Dil-uyum çakışması: Banner dili ve aydınlatma dili aynı olsun. Hukuki terimler sade olsun.
  5. Log yok: Consent ID ve zaman damgası saklayın. Denetime hazır olun.
  6. Çocuklara uygunluk: 18 yaş altı için daha sıkı kurallar. Ek onay süreçleri kurun.
  7. Sınır ötesi aktarım: AB dışına aktarımda sözleşmesel korumaları kontrol edin (SCCs gibi).
  8. Geri alma eksikliği: Kullanıcı her an tercihini değiştirebilsin. Süreç ve buton hazır olsun.

Bu bölümde ne yapmalısınız?

Mini Test: 6 Soruda Durumunuzu Puanlayın

Evet=1, Hayır=0. Toplam 0–6.

  1. İlk katmanda “Kabul / Reddet / Yönet” butonlarım eşit görünür mü?
  2. Zorunlu olmayan tag’ler, rızadan önce tetiklenmiyor mu?
  3. Çerez envanterimde amaç, süre ve ülke bilgisi tam mı?
  4. Rıza kayıtlarımda ID ve zaman damgası var mı?
  5. Kullanıcı tercihini her an değiştirebiliyor mu?
  6. Afiliye yönlendirmelerinde aydınlatma net mi?

Skor 0–2: Acil plan. 3–4: Hedefli düzeltme. 5–6: İyi, periyodik test yapın.

SSS

Analitik çerezler için meşru menfaat yeter mi?

Birçok bölgede hayır. Açık rıza gerekir. Kendi risk analizinizi yapın ve resmi rehberlere uyun.

Çerez verisini ne kadar saklamalıyım?

Amaca uygun en kısa süre. Tablo’da yazın. Süre dolunca otomatik silin.

Cookie wall kullanabilir miyim?

Koşullar sıkıdır. Erişim tamamen engellenirse rıza özgür olmayabilir. Yerel rehberleri izleyin.

Çocuk kullanıcılar için ne farklı?

Standart daha sıkıdır. Ek yaş doğrulama ve veli onayı gerekebilir.

Hangi standardı baz alayım?

Bir çerçeve arıyorsanız ISO/IEC 27701 iyi bir başlangıçtır. Ancak tek başına yeterli değildir; yerel hukuka da uyun.

Görsel Örnekler (Yer Tutucu)

Sonuç ve 3 Adımlık Eylem Planı

Çerez, risk ve gelir dengesidir. Net bir plan, güven ve büyüme getirir. Yarın başlayın:

  1. Envanteri çıkarın ve tabloyu doldurun.
  2. Banner’ı eşit seçeneklere göre güncelleyin.
  3. Rıza tetikleyicilerini ve logları test edin.

Ek kaynak arıyorsanız, GDPR ilkeleri için resmi özet, rıza detayları için EDPB rehberi iyi birer başlangıçtır. Teknik uygulama içinse Consent Mode v2 dokümanı ve TCF 2.2 şarttır.

Editoryal ve Uyum Notları

Kaynaklar ve Faydalı Linkler

Uygulama Kontrol Listesi (Kısa)