Google Analytics.
Dijital pazarlamanın kalbi, web sitenizin performansını anlamanın temel aracı.
Ziyaretçiler nereden geldi? Kaç saniye kaldı? Hangi sayfalarda gezindi? Hangi cihazı kullandı?
Veriyle yönetmek isteyen her işletme için vazgeçilmez bir izleme sistemi.
Ancak bugün geldiğimiz noktada, bu araç göründüğü kadar masum değil.
Özellikle KVKK ve GDPR gibi veri koruma yasaları bağlamında ciddi bir yasal risk taşıyor.
📌 Avrupa’da bazı ülkeler Google Analytics kullanımını yasakladı.
📌 Türkiye’de ise kullanıcıdan açık rıza alınmadan çalışan bu sistemler, KVKK kapsamında ihlal kabul ediliyor.
Peki sizin web siteniz ne durumda?
Google Analytics, çerez izni almadan mı çalışıyor?
IP adresi anonimleştirildi mi?
Kullanıcının izni olmadan davranışları kaydediliyor mu?
Eğer bu sorulara net bir “evet” veremiyorsanız, bu yazı sizin için.
Burada, Google Analytics’in nasıl bir veri işleme aracı olduğunu, neden riskli hale geldiğini ve bu riski İzin, Çerez ve Gizlilik Uyumluluğu Yönetim Modeli ile nasıl bertaraf edebileceğinizi anlatacağız.
KONUNUN BAŞLIK VE BÖLÜMLERİNİN HIZLI MENÜSÜ
Adapte Dijital’in 10 yıllık deneyimiyle geliştirilen bu model, kurumsal web sitenizi sadece tasarlamakla kalmaz;
onu data toplayan, talep yaratan, kurumsal iletişim sağlayan bir dijital yönetim altyapısına dönüştürür.
Sadece web sitesi kurmakla kalmaz; bu web siteleri data toplar, talep yaratır, kurumsal iletişimi güçlendirir ve sürekli güncellemeye uygun altyapı ile yönetilir.
Google Analytics Sadece Bir İzleme Aracı Değil, Bir Veri Toplama Sistemidir
Google Analytics’in yaptığı şey basit bir ziyaret takibi değildir.
Bu sistem, sitenize gelen her kullanıcının dijital izini takip eder:
- IP adresini
- Lokasyon bilgisini
- Ziyaret süresini
- Sayfa gezinme davranışlarını
- Cihaz bilgilerini
- Tarayıcı geçmişini
- Ve çok daha fazlasını
Yani bu araç, kullanıcıdan herhangi bir “kayıt” alınmasa bile kişisel verileri işler.
📌 KVKK’ya göre IP adresi ve davranış bilgileri, doğrudan olmasa bile dolaylı olarak kimliği belirleyebilen veri sayılır.
Ve bir veriyi işliyorsanız, yasal olarak o kişiyi aydınlatmak ve onayını almak zorundasınız.
Avrupa’da Neler Oldu? Yasaklama ve Cezalar Neden Verildi?
Google Analytics tartışması Avrupa’da ilk olarak Avusturya ile başladı.
Avusturya Veri Koruma Kurumu (DSB), 2022 yılında bir web sitesinin Google Analytics kullanarak verileri izinsiz biçimde ABD’ye aktardığını tespit etti.
Sonrasında:
- Fransa: CNIL (Veri Koruma Kurumu), benzer kararlar aldı
- İtalya: Google Analytics kullanımını “yasa dışı” ilan etti
- Hollanda: Google Analytics’in yasal kullanımı askıya alındı
Neden bu kadar sert tepki?
Çünkü Google Analytics, kullanıcı verilerini ABD merkezli sunuculara aktarıyor.
Ve Avrupa Birliği’ne göre, ABD’de bu verilerin yeterince korunmadığı düşünülüyor.
“Kişisel veri Avrupa’dan dışarı çıkıyorsa, özel koruma sağlanmalı”
Bu sağlanmadığında, tüm işlem ihlal sayılıyor.
Türkiye’de Durum Ne? KVKK Açısından Ne Kadar Riskli?
Şu anda Türkiye’de resmi bir yasaklama olmasa da, KVKK kapsamında her veri işleme faaliyetinin belgelenebilir ve onaya dayalı olması zorunlu.
Google Analytics neden riskli?
- Çerezler sayfa yüklenir yüklenmez çalışıyor
Yani kullanıcı daha onay vermeden verisi işlenmeye başlanıyor. - IP anonimleştirme yapılmamışsa doğrudan kişisel veri işleniyor
Anonimleştirme yapılmadan çalışan her analiz aracı, KVKK’ya aykırı. - Aydınlatma metni gösterilmeden veri toplanıyor
Kullanıcıya neyin neden toplandığı anlatılmadan işlem başlıyor. - Veriler ABD’ye aktarılıyor ve Türkiye’den kontrol edilemiyor
Bu da verinin güvenliğini zayıflatıyor ve ihlal anlamına geliyor.
📌 Tüm bu nedenlerle KVKK, analiz sistemlerini doğrudan veri işleyici olarak kabul eder ve açık rıza talep eder.
Adapte Dijital’in 10 yıllık deneyimiyle geliştirilen bu model, kurumsal web sitenizi kurumunuzu/markanızı anlatan, tanıtan, güven yaratan, talep oluşturan bir dijital yönetim platformuna dönüştürür.
Adapte Dijital, bu modelde bir konumlandırma ajansı olarak çalışır. Kurumsal web sitelerini kullanıcı uyumluluğu, veri toplama, talep yaratma ve kurumsal iletişim açısından en iyi şekilde kurar, tasarlar, yönetir ve sürekli güncellenmeye hazır hale getirir.
“Ama Herkes Kullanıyor” Demek Sizi Korur mu?
Hayır.
Çok yaygın olması, bir uygulamayı yasal yapmaz.
Çünkü denetim geldiğinde Kurul sizi değil, sizin sisteminizi inceler.
Ve sorular şunlar olur:
- Google Analytics’i ne zamandır kullanıyorsunuz?
- Kullanıcının iznini aldınız mı?
- Aydınlatma yaptınız mı?
- Kullanıcının tercihine göre çerezleri çalıştırıyor musunuz?
Eğer bu sorulara belge sunamazsanız, “ama herkes kullanıyor” demek sizi korumaz.
Bir kişi bile şikayet etse, sistem denetlenir ve ceza kesilir.
Devamı: Part 2 – Çözüm Ne? Google Analytics’i Yasal Hale Getirmenin Yolu Var mı?
Bu Part 1’de, Google Analytics’in nasıl kişisel veri işlediğini, neden KVKK açısından riskli olduğunu ve Avrupa’daki örnekleri detaylıca aktardık.
✅ Hazırsanız Part 2’de şu konulara geçeceğiz:
- Analytics kullanırken KVKK’ya uygun olmanın yolları
- Açık rıza nasıl alınmalı?
- Çerez tercihi ekranı nasıl olmalı?
- Anonimleştirme ve script kontrolü nasıl yapılır?
- Model bu yapıyı nasıl kurar?
Google Analytics’i Yasal Hale Getirmenin Yolu Var mı?
Evet, Google Analytics yasak değil.
Ama kuralsız da değil.
Yasal kullanımı mümkündür, ancak bazı teknik ve hukuki adımların atılması gerekir.
Kurulum aşamasında değil, kullanım öncesinde rıza alınmalıdır.
Veri işleme başlamadan önce kullanıcı bilgilendirilmelidir.
Ve en önemlisi: Kullanıcının tercihi her şeyden önce gelmelidir.
Bu süreci doğru yönetmek, hem veriyi kaybetmemek hem de ceza yememek için kritik önemdedir.
1. Açık Rıza ve Aydınlatma Süreci Nasıl Olmalı?
Analytics gibi araçlarla kişisel veri işliyorsanız, ilk adım açık rıza sürecini başlatmaktır.
Açık rıza nasıl alınır?
- Ziyaretçi siteye girdiğinde, ekranın altında veya ortasında bir çerez tercihi paneli görünür
- Bu panelde; hangi çerezlerin çalıştığı, neden kullanıldığı ve kime ait olduğu açıkça belirtilir
- Kullanıcı, analiz çerezleri için “kabul ediyorum” demeden hiçbir takip başlatılamaz
- Tıklama anı, IP bilgisi, cihaz tipi gibi veriler kayıt altına alınarak loglanır
📌 Eğer rıza ekranı yalnızca bilgilendirme sunuyorsa ve arka planda çerezler çalışmaya devam ediyorsa, bu bir ihlaldir.
Aydınlatma metni olmazsa?
Aydınlatma metni olmadan alınan her rıza, hukuken geçersiz sayılır.
Kullanıcının neden onay verdiğini bilmesi gerekir.
Bu nedenle analiz çerezleri için özel olarak hazırlanmış ayrıntılı, sade ve erişilebilir aydınlatma metinleri sunulmalıdır.
2. Anonimleştirme Yapılmadan IP Takibi Tehlikelidir
Google Analytics IP adresi üzerinden çalışır.
Ve IP adresi, doğrudan olmasa bile dolaylı yoldan kişiyi tanımlamaya yarayan bir veri olarak kabul edilir.
IP anonimleştirme nedir?
Google Analytics’in gelişmiş ayarları içinde IP anonimleştirme özelliği vardır.
Bu özellik aktif edildiğinde, IP adresinin son hanesi silinir ve kişisel veri olma niteliği kaybolur.
Ancak bu özellik varsayılan olarak kapalı gelir.
📌 Web sitesine Analytics kurulurken bu özelliğin mutlaka aktif edilmesi gerekir.
Aksi halde:
- Ziyaretçinin IP’si doğrudan Google sunucularına gider
- Bu da, kişisel verinin yurt dışına izinsiz aktarımı anlamına gelir
- Ve bu durum KVKK açısından ihlal sayılır
3. Çerezler Kullanıcı Tercihine Göre Çalışmalı
Google Analytics kodu genellikle tüm sayfalarda otomatik olarak çalışacak şekilde yüklenir.
Yani sayfa yüklenir yüklenmez analiz başlar.
Oysa KVKK ve GDPR’ye göre analitik çerezler zorunlu çerezler değildir.
Yani:
- Sayfada gezinme için gerekli değillerdir
- Pazarlama ve analiz amaçlıdırlar
- Bu yüzden açık rızaya tabidirler
Ne yapılmalı?
- Google Analytics kodu, kullanıcı rızası alındıktan sonra çalıştırılmalıdır
- Bu işlem, Tag Manager aracılığıyla “rızaya bağlı tetikleme” şeklinde yapılabilir
- Kullanıcı kabul etmediği sürece hiçbir analiz kodu çalıştırılmamalıdır
📌 Bu sistem kurulmadan yapılan analizlerin tamamı, yasa dışı veri işleme sayılır.
4. Loglama Olmazsa Rızanın Hiçbir Kıymeti Yoktur
Analytics sistemleri, onay alınsa bile bu onayı kanıtlayamazsa, yine yasal değildir.
Çünkü denetim geldiğinde sizden istenecek en önemli şey rıza kayıtlarıdır.
Loglama sisteminde neler olmalı?
- Kullanıcının hangi sayfada, hangi tercihi yaptığı
- Hangi çerezi ne zaman kabul ettiği
- IP ve cihaz bilgisi
- Hangi içeriği görerek karar verdiği
- Kabul etmeme durumunda sistemin nasıl tepki verdiği
Bu loglar sayesinde siz;
- Kullanıcı rızasını gösterebilir
- Aydınlatma metni sunumunu ispat edebilir
- KVKK ve GDPR denetimlerinde savunma yapabilirsiniz
Log yoksa, “rıza var” demenizin hiçbir önemi yoktur.
Modelimiz Bu Süreci Nasıl Kuruyor?
Adapte Dijital’in sunduğu İzin, Çerez ve Gizlilik Uyumluluğu Yönetim Modeli, Google Analytics gibi araçların yasal zemine oturtulmasını sağlayan kapsamlı bir sistemdir.
Modelin sunduğu çözümler:
✅ 1. Analytics kodları kontrol altına alınır
Google Tag Manager üzerinden tüm analiz kodları yeniden düzenlenir.
Zorunlu ve tercihe bağlı kodlar ayrıştırılır.
✅ 2. Kullanıcı rızası alınmadan hiçbir kod çalışmaz
Çerez tercih paneli kurulur.
Kullanıcı kabul edene kadar hiçbir analiz çerezi devreye girmez.
✅ 3. IP anonimleştirme zorunlu hale getirilir
Analytics kodlarının içinde IP maskeleme aktif edilir.
Varsayılan yapı KVKK’ya uygun şekilde değiştirilir.
✅ 4. Tüm kullanıcı seçimleri loglanır
Kullanıcının neyi ne zaman kabul ettiği sistemsel olarak kaydedilir.
Bu kayıtlar, gerektiğinde denetim makamlarına sunulabilir.
✅ 5. Aydınlatma metni sistemiyle entegre çalışır
Her analiz çereziyle ilgili detaylı aydınlatma metni hazırlanır ve görünür şekilde sunulur.
Web sitenizi yasal ve güvenilir hale getirmek için geliştirdiğimiz İzin, Çerez ve Gizlilik Uyumluluğu Yönetim Modelimizi inceleyebilirsiniz.
Sonuç: Performans Takibi Yapmak İsterseniz, Önce Yasal Hale Gelin
Google Analytics’i kapatın demiyoruz.
Ama gelişi güzel kullanmayın.
Her veri; anlamlı, kayıtlı ve rızaya dayalı olduğunda değerli hale gelir.
Aksi halde sizi başarıya götürmez, cezaya götürür.
Adapte Dijital olarak geliştirdiğimiz bu model sayesinde hem ölçümleme yapabilir hem de KVKK’ya tam uyum sağlayabilirsiniz.
Gerçek Bir Örnek: Siteniz Ölçümleme Yaparken Ceza Yemesin
Bir teknoloji firması, 2023 başında web sitesi trafiğini artırmak için agresif pazarlama çalışmaları yapıyordu.
Google Analytics, Facebook Pixel, Hotjar gibi birçok aracı aktif biçimde kullanıyordu.
Ama çerez bildirimi sadece “bilgilendirici” bir kutucuktu.
IP anonimleştirme yapılmamıştı.
Aydınlatma metni görünmüyor, log sistemi yoktu.
Sonuç?
- Bir kullanıcı, verisinin izinsiz işlendiğini düşünerek KVKK’ya şikayette bulundu
- Kurum inceleme başlattı
- Firma hiçbir log, rıza ya da onay kaydı sunamadı
- Google Analytics’in çalıştığı her kullanıcı oturumu yasa dışı veri işleme kabul edildi
Sonuç:
- 195.000 TL para cezası
- Tüm analiz altyapısının kaldırılması
- Web sitesinin geçici süreyle yayından kaldırılması
- Marka algısında ciddi bozulma
- Ve yeniden kurulum süreciyle doğan maliyet
Oysa bu sorunlar, modelin uygulanmasıyla baştan önlenebilirdi.
Modelle Gelen Kazanımlar: Ölçümlemeye Devam, Ama Güvenle
İzin, Çerez ve Gizlilik Uyumluluğu Yönetim Modeli, web sitenizde analiz araçlarını kullanmayı yasaklamaz — onları yasal hale getirir.
Aşağıda modelin size sağladığı stratejik kazançları özetliyoruz:
1. Yasal Analiz Altyapısı
Google Analytics, Facebook Pixel, Hotjar gibi araçlar kurallara uygun çalışır.
Çerez tercihine göre devreye girer.
Yasa dışı veri işleme riski ortadan kalkar.
2. Kayıtlı ve Denetlenebilir Rıza Süreci
Her kullanıcının tercihleri kayıt altına alınır.
Formlar, çerez ekranları ve scriptler arasında kusursuz bir teknik entegrasyon sağlanır.
3. IP Anonimleştirme ile Kişisel Veriden Kaçınma
Analytics sisteminde anonimleştirme aktif edilerek veri hassasiyeti azaltılır.
Böylece analiz verileriyle kişisel kimlik eşleştirme riski en aza indirilir.
4. Kurumsal Bilinç ve İç Süreç Güçlenir
Pazarlama, hukuk ve BT ekipleri artık aynı zeminde buluşur.
Tüm ekipler, veri işlemenin sınırlarını bilir ve ona göre hareket eder.
5. SEO ve Reklam Stratejiniz Korunur
Siteniz analizden vazgeçmeden dönüşüm verilerini toplamaya devam eder.
Aynı zamanda yasal zemin güçlendirilir ve pazarlama güven içinde sürdürülür.
“Yasak Değil, Şartlı Kullanım” Anlayışıyla Dijitalde Sürdürülebilirlik
Birçok işletme şu ikilemi yaşıyor:
- Ya veri toplamayacağım ve performansımı ölçemeyeceğim
- Ya da toplarım ama risk alırım
Bu ikilem yanlış bir çerçeveden bakıldığında doğar.
Çünkü veri toplamak mümkündür — doğru yapı ve sistemle.
Modelimiz bu ayrımı kaldırır:
- Veri toplanır ama rızayla
- Çerez çalışır ama tercihle
- İçerik sunulur ama bilgilendirmeyle
İşte bu yaklaşım, sadece yasaya değil, dijitalin doğasına da uygundur.
Dijitalde Büyümek İstiyorsanız, Önce Güvenlik ve Uyum
Bugün dijitalde büyümek isteyen her kurumun önce şu üç soruya cevap vermesi gerekir:
- Ziyaretçilerimin verisini ne şekilde topluyorum?
- Onlara neden veri topladığımı net şekilde anlatıyor muyum?
- Bu süreci belgeleyebiliyor, yönetebiliyor ve sürdürebiliyor muyum?
Eğer bu sorulara net ve olumlu cevaplar veremiyorsanız, büyüme zemininde çatlak var demektir.
Adapte Dijital’in sunduğu bu model, bu çatlağı kapatır.
Ve sizi sağlam, yasal ve gelişime açık bir yapının üzerine taşır.
Sonuç: Analiz Etmeden Yönetemezsiniz, Ama Yasal Olmadan Da Büyüyemezsiniz
Veri çağında yaşıyoruz.
Ne ölçemiyorsanız, onu yönetemezsiniz.
Ama ölçtüğünüz her şeyi yasal zemine dayandırmak artık bir tercih değil, zorunluluktur.
Google Analytics kullanmak istiyorsanız:
✅ Rıza alın
✅ Anonimleştirme yapın
✅ Çerezleri kullanıcı tercihine göre yönetin
✅ Aydınlatma metni gösterin
✅ Her adımı kayıt altına alın
Bunların hepsini sizin adınıza eksiksiz yöneten tek yapı:
İzin, Çerez ve Gizlilik Uyumluluğu Yönetim Modeli
Web sitenizi yasal ve güvenilir hale getirmek için geliştirdiğimiz İzin, Çerez ve Gizlilik Uyumluluğu Yönetim Modelimizi inceleyebilirsiniz.
Uyumlu sistemin site üzerindeki etkisini görmek için Motto Plus örneğimize göz atın
📞 Şimdi iletişime geçin. Web sitenizi analiz edelim, analizlerinizi yasal hale getirelim.
Veriyle büyüyün, güvenle yönetin.
