Kurumsal bir web sitesi artık yalnızca bir vitrin değil. Teklif formları, insan kaynakları başvuruları, canlı destek kayıtları, bülten abonelikleri, analitik araçları ve reklam pikselleri üzerinden kişisel veri işliyor. Bu da tasarım kararlarını doğrudan hukuki uyumun parçası haline getiriyor. KVKK uyumlu web sitesi yaklaşımı da tam bu noktada başlıyor: yalnızca bir aydınlatma metni eklemekle değil, veri toplama mantığını, çerez akışını ve kullanıcı onay mekanizmasını en baştan doğru kurgulamakla.

Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında web sitelerinde en sık yapılan hata, “çerez banner’ı var, o halde uyumluyuz” varsayımıdır. Oysa iletişim formunda gereğinden fazla alan istemek, açık rıza gerektiren çerezleri varsayılan olarak çalıştırmak ya da üçüncü taraf script’leri sayfa yüklenir yüklenmez devreye almak ciddi risk yaratır. Tasarım, yazılım ve içerik ekiplerinin aynı çerçevede hareket etmesi gerekir.

Bu rehber, kurumsal sitelerde KVKK ve çerez yönetiminin nasıl ele alınması gerektiğini teknik ve pratik yönleriyle özetliyor. Amaç korku yaratmak değil; ölçülebilir, uygulanabilir ve sürdürülebilir bir yapı kurmak.

KVKK uyumlu web sitesi neyi kapsar?

Bir kurumsal sitenin KVKK açısından değerlendirilebilmesi için önce hangi veri temas noktalarının bulunduğu ortaya çıkarılmalıdır. Çoğu projede bu envanter 1-2 sayfalık bir listeyle netleşir. Örnek alanlar şunlardır:

  • İletişim formu: ad, e-posta, telefon, mesaj içeriği
  • Kariyer sayfası: özgeçmiş, eğitim bilgisi, referans bilgileri
  • Bülten aboneliği: e-posta adresi, tercih kayıtları
  • Canlı destek: IP adresi, konuşma kayıtları, oturum zamanı
  • Analitik ve reklam araçları: çerez kimlikleri, davranış verileri, cihaz bilgileri

Bu envanter çıkarılmadan yapılan tasarım güncellemeleri eksik kalır. Örneğin yalnızca “Bize Ulaşın” formu olan bir sitede 3 alan yeterliyken, gereksiz yere doğum tarihi ya da açık adres istemek veri minimizasyonu ilkesine aykırı olabilir. Benzer şekilde bir harita eklentisi ya da video gömme alanı, kullanıcı tıklamadan üçüncü taraf çerezi bırakıyorsa mesele sadece UX değil, aynı zamanda bir uyum problemidir.

İyi bir başlangıç sorusu şudur: “Bu alanı toplamak için iş gerekçemiz nedir?” Bu soruya net bir yanıt verilemiyorsa, alanı kaldırmak çoğu zaman en doğru çözümdür.

Web tasarımında veri minimizasyonu nasıl uygulanır?

Veri minimizasyonu, sitenin arayüzünde somut karşılığı olan bir ilkedir. Tasarım ekibi bunu soyut bir hukuk başlığı gibi değil, form ve akış tasarımı problemi olarak ele almalıdır. Pratik bir örnek verelim. Teklif talep formunda 9 alan varsa ve kullanıcıların %60’ı formu yarıda bırakıyorsa mesele yalnızca dönüşüm oranı değildir; aynı zamanda gereksiz veri toplama riskidir. İlk temas için çoğu B2B sitede ad-soyad, kurumsal e-posta ve mesaj alanı yeterli olabilir.

Form alanlarında dikkat edilmesi gerekenler

  • Zorunlu alan sayısını sınırlayın. Her alan için iş amacı tanımlayın.
  • Serbest metin kutularında hassas veri paylaşılmaması için kısa bir yönlendirme ekleyin.
  • CV yükleme alanlarında dosya türünü ve maksimum boyutu belirtin. Örnek: PDF, DOCX; 10 MB sınırı.
  • Açık rıza ile sözleşme veya meşru menfaat dayanaklarını birbirine karıştırmayın.

Buradaki ince ayrım önemlidir. Bir kullanıcı iletişim formunu doldurduğunda, ona dönüş yapılması için verinin işlenmesi çoğu durumda hizmet ilişkisiyle bağlantılı şekilde değerlendirilebilir. Ancak aynı veriyi sonradan pazarlama listesine aktarmak ayrı bir amaçtır ve ayrı bir bilgilendirme, bazı senaryolarda da ayrıca açık rıza gerektirebilir.

Çerez banner’ı tek başına yeterli değildir

Kurumsal sitelerde en görünür katman çerez bildirimidir; ancak teknik açıdan en çok hata yapılan alan da burasıdır. Sık görülen yanlışlar bellidir: “Tümünü kabul et” düğmesi belirgindir, “Reddet” gizlenir; kullanıcı tercih yapmadan analitik script’leri yüklenir; banner kapanınca onay verilmiş sayılır. Bu yaklaşım ne güven oluşturur ne de sağlıklı kayıt tutar.

Sağlıklı bir çerez yönetimi için çerezleri kategorilere ayırmak gerekir. En azından şu ayrım net olmalıdır:

  • Zorunlu çerezler: oturum yönetimi, güvenlik, yük dengeleme gibi temel işlevler
  • Analitik çerezler: trafik ölçümü, davranış analizi
  • Pazarlama çerezleri: yeniden hedefleme, reklam ölçümü, üçüncü taraf piksel yapıları
  • Tercih çerezleri: dil seçimi, kullanıcı tercihleri

Buradaki kritik nokta şudur: zorunlu olmayan kategoriler, kullanıcı tercih yapmadan devreye girmemelidir. Teknik ekip bunu “önce script’i yükleyelim, sonra kullanıcı reddederse kapatırız” mantığıyla çözemaz. Doğru yöntem, etiketleri veya script’leri baştan bloklamak ve tercih sonrası tetiklemektir.

Basit bir teknik yaklaşım

Örneğin analitik kodunu sayfaya doğrudan gömmek yerine, rıza durumunu kontrol eden bir katman kullanılabilir:

<script>
  if (window.consent && window.consent.analytics === true) {
    loadAnalytics();
  }
</script>

Burada kritik konu yalnızca kodun çalışması değildir; rıza kaydının zaman damgası, tercih kategorisi ve politika versiyonu ile birlikte tutulmasıdır. 1 banner tasarlamak kolaydır; 1 yıl sonra hangi tercihin hangi metin versiyonu ile alındığını gösterebilmek ise daha zordur.

Aydınlatma metni, açık rıza ve tercih merkezi nasıl konumlandırılmalı?

Kullanıcının karşısına çıkan metinler hem anlaşılır olmalı hem de ekranda kaybolan küçük linkler halinde saklanmamalıdır. Masaüstünde footer bağlantısı yeterli gibi görünse de mobilde ekranın altına gömülen bir yapı çoğu zaman işlevsiz kalır. İyi bir uygulamada en az 3 görünür temas noktası bulunur: form yanında kısa bilgilendirme, footer’da detaylı politika linki, çerez banner’ından tercih merkezine erişim.

Aydınlatma metninde şu başlıklar açık olmalıdır: veri sorumlusunun kimliği, işlenen veri kategorileri, işleme amacı, hukuki sebep, aktarım durumu, saklama yaklaşımı, ilgili kişinin hakları. Açık rıza gerekiyorsa bu kutucuk önceden işaretli olmamalı ve başka bir onayla birleştirilmemelidir. Örneğin “formu gönderiyorum, aynı zamanda ticari ileti kabul ediyorum” şeklinde tek kutu kullanmak problemli olabilir.

Tercih merkezi ise yalnızca ilk ziyarette değil, her sayfadan erişilebilir olmalıdır. Footer’da “Çerez Tercihlerini Yönet” bağlantısı bu iş için pratik bir çözümdür.

Tasarım kadar altyapı da önemlidir: log, saklama ve üçüncü taraflar

KVKK uyumlu web sitesi yalnızca görünen arayüzden ibaret değildir. Sunucu log’ları, güvenlik kayıtları, form verilerinin iletildiği e-posta kutuları, CRM bağlantıları ve CDN servisleri de bu kapsamın içindedir. Bir iletişim formu doldurulduğunda veri akışı bazen 4 farklı noktadan geçer: web sunucusu, form işleme servisi, kurumsal e-posta, CRM. Her adım haritalanmalıdır.

Altyapı tarafında kontrol listesi

  • Form verileri TLS ile iletiliyor mu? HTTPS artık temel şarttır.
  • Veriler e-posta içinde düz metin olarak mı dolaşıyor, yoksa güvenli bir panelde mi tutuluyor?
  • Başvuru formları için saklama süresi tanımlı mı? Örneğin 6 ay, 12 ay gibi operasyonel süreler kurum politikasıyla belirlenmeli.
  • Üçüncü taraf servisler için veri işleyen ilişkisi ve teknik rol net mi?
  • Yedeklerde yer alan kişisel veriler için silme/anonymization yaklaşımı tanımlı mı?

Özellikle kariyer sayfaları risklidir. CV havuzu yıllarca sistemde kaldığında “birikir ama kullanılmaz” türünde bir veri stoku oluşur. Oysa saklama süresi, iş amacı ve silme prosedürü en baştan yazılmalıdır. Bu noktada insan kaynakları ekibi ile yazılım ekibinin aynı süreçte çalışması gerekir.

UX ile uyum arasındaki denge nasıl kurulur?

Bazı kurumlar çerez ve KVKK katmanlarını kullanıcı deneyiminin önünde bir engel gibi görür. Oysa iyi bir tasarım bunu avantaja dönüştürebilir. Açık, sade ve dürüst bir tercih ekranı güven yaratır. Karanlık tasarım kalıpları ise kısa vadede daha yüksek kabul oranı getirse bile marka algısını zedeler.

Örnek bir tercih ekranında 2 eşdeğer aksiyon yer alabilir: “Tümünü kabul et” ve “Zorunlu olanlarla devam et”. Altında her kategori için kısa bir açıklama bulunur. Analitik çerez açıklaması, 1 cümlede ne toplandığını anlatır. Kullanıcı 20 satırlık bir hukuk metni okumaya zorlanmaz. İkinci katmanda ise detaylı tablo yer alır: sağlayıcı adı, çerez süresi, amaç.

Mobil tarafta da aynı yaklaşım geçerlidir. 360 px genişliğinde bir ekranda banner tüm içeriği kapatmamalı; ama reddetme seçeneği de gizlenmemelidir. Erişilebilirlik burada ek bir gerekliliktir: klavye ile gezinme, ekran okuyucu etiketleri ve kontrast oranları düşünülmelidir.

Kurumsal siteler için uygulanabilir bir uyum süreci

Sıfırdan başlamak yerine 30 günlük bir planla ilerlemek daha gerçekçidir. Tipik bir kurumsal site için uygulanabilir akış şu şekilde kurgulanabilir:

  1. 1. hafta: veri envanteri çıkarılır. Formlar, script’ler, çerezler, üçüncü taraf servisler listelenir.
  2. 2. hafta: hukuk ve iş birimleriyle metinler netleştirilir. Aydınlatma, açık rıza ve saklama yaklaşımı gözden geçirilir.
  3. 3. hafta: banner, tercih merkezi ve script bloklama mekanizması geliştirilir. Test ortamında ölçüm yapılır.
  4. 4. hafta: loglama, kayıt saklama, erişilebilirlik ve mobil görünüm kontrolleri tamamlanır. Ardından canlıya alınır.

Canlıya geçişten sonra iş bitmez. Yeni bir canlı destek aracı, reklam platformu ya da heatmap servisi eklendiğinde süreç yeniden değerlendirilmelidir. Uyum, tek seferlik bir tasarım teslimi değil; ürün yaşam döngüsünün parçasıdır.

Sonuç: Uyumlu yapı, güvenilir dijital deneyimin parçasıdır

KVKK uyumlu web sitesi oluşturmak, yalnızca hukuki riskten kaçınmak için yapılan savunmacı bir iş değildir. Aynı zamanda veri minimizasyonu, temiz arayüz, kontrollü entegrasyon ve şeffaf iletişim anlamına gelir. İyi kurgulanmış çerez yönetimi, doğru form tasarımı ve kayıt altına alınan tercih mekanizması kurumsal sitenin kalitesini yükseltir.

En sağlıklı yaklaşım, hukuk metinlerini son aşamada siteye yapıştırmak değil; tasarım, yazılım ve operasyon ekiplerini ilk sprintten itibaren aynı masada buluşturmaktır. Böylece hem kullanıcı deneyimi korunur hem de uyum süreci sürdürülebilir hale gelir.