KVKK uyumlu web analitik, ziyaretçilerin kişisel verisini yurt dışı sunuculara aktarmadan ve çerez onayı gerektirmeden trafik ölçümü yapan analitik altyapısıdır. 6698 Sayılı Kişisel Verilerin Korunması Kanunu 7. ve 9. maddeleri veri depolama ve yurt dışı aktarım koşullarını düzenliyor. Google Analytics 4 ve benzeri ABD merkezli analitik araçlar bu maddeler kapsamında risk taşıyor; çünkü veriyi Türkiye veya AB’de değil, ABD sunucularında işliyor.
KVKK Web Analitik Neden Sorunlu?
Web analitik araçları IP adresi, cihaz tanımlayıcısı, kullanıcı kimliği ve konum verisi gibi kişisel veri kategorilerini topluyor. KVKK bu verileri işleyen araçların veriyi nasıl sakladığını, nereye aktardığını ve ne kadar süre tuttuğunu düzenliyor. ABD merkezli araçlar için sorun iki noktada yoğunlaşıyor.
Çerez Onayı Olmadan Veri Toplamak
Çerez tabanlı analitik araçlar, kullanıcı sayfayı açtığı anda çerez yerleştiriyor. KVKK 5. maddesi kapsamında kişisel veri işleme için açık rıza veya meşru menfaat gerekiyor. Analytics çerezlerinin meşru menfaat kapsamına girip girmediği tartışmalı; Kişisel Verileri Koruma Kurulu kararları bu konuda net bir çizgi çizmemiş durumda.
Çerez gerektirmeyen araçlar bu sorunu yapısal olarak ortadan kaldırıyor. Plausible Analytics, Fathom ve Simple Analytics; IP adresi veya cihaz parmak izi saklamadan, çerez kullanmadan trafik ölçümü yapıyor. Bu araçlarda kullanıcı rızası gereksiz çünkü kişisel veri tanımı kapsamına giren bir veri toplanmıyor.
ABD’ye Veri Aktarımı ve KVKK
KVKK 9. maddesi kişisel verilerin yurt dışına aktarımını, kural olarak Kurulun belirlediği güvence mekanizmalarından birine bağlıyor. Türkiye AB’nin GDPR yeterlilik kararı sistemine dahil değil; bu yüzden Türk şirketlerin AB veya ABD’ye veri gönderirken geçerli bir hukuki dayanak oluşturması gerekiyor.
YazılımGuru olarak Türkiye’deki veri ihlali kararlarını incelediğimizde, KVKK’nın en sık idari para cezası uyguladığı senaryonun “veri aktarımı için yeterli hukuki dayanak bulunmaması” olduğunu gördük. GA4 ve Hotjar gibi araçlar ABD’de veri işliyor; açık rıza veya standart sözleşme maddeleri olmadan bu aktarım 9. madde ihlali riski taşıyor.
KVKK Uyumlu 3 Araç Karşılaştırması
| Araç | Veri Yeri | Çerez Gereksinimi | Fiyat | Açık Kaynak |
|---|---|---|---|---|
| Plausible Analytics | AB (Almanya/Fransa) | Yok | €9/ay (10K sayfa görüntüleme) | Evet |
| Matomo Cloud | AB (Fransa) veya self-hosted | Opsiyonel | €19/ay (50K istek) veya ücretsiz self-hosted | Evet |
| Microsoft Clarity | ABD | Evet | Ücretsiz | Hayır |
Kaynak: Araçların resmi sitelerindeki Haziran 2026 fiyatları. Fathom Analytics ve Simple Analytics da çerez gerektirmeyen KVKK dostu seçenekler; ancak Türkiye’deki kullanım yaygınlığı düşük.
Dikkat: “KVKK uyumlu” ifadesini bir araçla ilgili kullanmadan önce mutlaka o aracın veri işleme anlaşmasını (Data Processing Agreement) inceleyin. Bir araç AB sunucusu kullanıyor olsa bile kişisel veri tanımı kapsamındaki verileri başka üçüncü taraflarla paylaşıyorsa KVKK riski devam ediyor.
Plausible Analytics: Çerez Yok, KVKK Sorunu Yok
Plausible Analytics, IP adresi saklamadan ve çerez kullanmadan sayfa görüntüleme, tekil ziyaretçi, yönlendirme kaynağı ve hedef tamamlama verilerini ölçüyor. Veri AB sunucularında (Hetzner, Almanya ve Fransa) tutuluyor. Haziran 2026 itibarıyla fiyatlandırma aylık 10.000 sayfa görüntüleme için €9, 100.000 için €19, 1 milyon için €69.
Plausible’ın KVKK açısından avantajı mimari: IP adresi hiçbir zaman kaydedilmiyor, unique ziyaretçi sayısı günlük dönen hash ile hesaplanıyor ve bu hash ertesi gün sıfırlanıyor. Bu yapı kişisel veri tanımına giren kalıcı bir kullanıcı kimliği oluşturmuyor.
Sınırlamaları da net: Hotjar veya Clarity’nin sunduğu ısı haritası ve oturum kaydı Plausible’da yok. E-ticaret huni analizi ve ürün bazlı dönüşüm takibi GA4 kadar ayrıntılı değil. Plausible, “kaç kişi geldi, nereden geldi, hangi sayfalara baktı” sorularını yanıtlıyor; “ne yaptı ve neden vazgeçti” sorularına değil.
YazılımGuru olarak Plausible’ı test ettiğimizde kurulum süresinin GA4’e kıyasla çok daha kısa sürdüğünü gördük: script etiketi sitenin <head> bölümüne yapıştırılıyor, 5 dakika içinde veri akmaya başlıyor. GTM gerektirmiyor, Consent Mode kurulumuna ihtiyaç yok.
Matomo: Kendi Sunucunda Barındırma Seçeneği
Matomo, açık kaynaklı yapısıyla kendi sunucunuza kurulabilen tek analitik platformdur. Self-hosted Matomo ücretsiz; veriyi kendi sunucunuzda tuttuğunuzda KVKK 9. maddesi kapsamındaki yurt dışı aktarım riski ortadan kalkıyor çünkü veri Türkiye’de kalıyor.
Matomo Cloud planları AB sunucusunda barındırılıyor: 50.000 istek için €19/ay, 200.000 istek için €29/ay. Self-hosted için sunucu maliyeti ayrı; bir VPS üzerinde ayda 5-10 dolar ile başlamak mümkün. Matomo Marketplace’te 100’den fazla eklenti var; e-ticaret takibi, form analizi, A/B testi ve heatmap eklentileri mevcut.
Matomo’nun çerez kullanımı yapılandırılabilir. JavaScript izleme kodu varsayılan olarak çerez kullanıyor; ancak Matomo’nun “çerezsiz izleme” modu etkinleştirildiğinde kişisel veri olmaksızın istatistik toplanıyor. Bu mod Plausible’a benzer şekilde KVKK çerez onayı zorunluluğunu kaldırıyor.
İpucu: Self-hosted Matomo kuracaksanız minimum PHP 7.4, MySQL 5.5 ve 128 MB RAM gerekiyor. Günde 10.000 sayfanın altındaki sitelerde standart paylaşımlı hosting yeterli. 100.000 üzerinde ise ayrı bir MySQL sunucusu veya yönetilen veritabanı servisi gerekebilir. Türkiye’de barındırmak istiyorsanız Turhost, Guzel Hosting veya Natro gibi yerel sağlayıcıların VPS planları bu gereksinimlerle uyumlu.
Microsoft Clarity ile KVKK: Risk Nerede?
Microsoft Clarity ücretsiz ısı haritası ve oturum kaydı sunuyor; ancak ABD altyapısında çalışıyor. Veri Microsoft’un Azure ABD bölgelerinde işleniyor. Clarity çerez kullanıyor; bu çerezler davranışsal veri içerdiğinden KVKK kapsamında kişisel veri olarak değerlendirilebilir.
Clarity’nin KVKK riski GA4’ten farklı bir profil taşıyor. GA4 dönüşüm ve trafik verisi toplarken Clarity oturum kayıtlarında kullanıcının tam gezinme davranışını saklıyor; bu veri daha hassas bir kategori. Consent Mode entegrasyonu Clarity için de mümkün; kullanıcı onay vermeden Clarity etiketi tetiklenmiyor.
Clarity kullanmak istiyorsanız minimum gereklilikler:
- Gizlilik politikasında Clarity’nin oturum kaydı ve ısı haritası verisi topladığını açıkça belirtin.
- Çerez banner’ınızda Clarity çerezlerini “Analitik Çerezler” kategorisinde listeleyin.
- Consent Mode ile Clarity etiketinin yalnızca onay sonrası tetiklenmesini sağlayın.
Bu üç adım alındığında Clarity kullanımı KVKK açısından savunulabilir bir konuma geliyor; tam uyum garantisi değil, risk azaltma.
GA4 için Consent Mode v2 ile Uyumlu Hale Getirme
GA4’ü tamamen bırakmak istemeyenler için Consent Mode v2 en erişilebilir ara çözüm. Consent Mode v2, kullanıcı çerez tercihini yapmadan önce GA4’ün kişisel veri içermeyen sinyal (ping) gönderdiği, onay sonrasında ise tam veri toplamaya geçtiği bir mekanizma.
Türkiye’de yaygın kullanılan iki Onay Yönetim Platformu (CMP):
Cookiebot: Tarama motoru sitenizin çerezlerini otomatik olarak tespit ediyor, kullanıcıya kategorize edilmiş onay banner’ı sunuyor. GTM entegrasyonu dokümante edilmiş. Fiyat: €9/ay (0-100 sayfa alan). cookiebot.com
CookieYes: Benzer işlevsellik, daha uygun fiyat noktası. Küçük siteler için ücretsiz plan mevcut (500 sayfa tarama). GTM için hazır şablon var. cookieyes.com
| Araç | Ücretsiz Plan | GTM Entegrasyonu | Türkçe Arayüz | Fiyat (ücretli) |
|---|---|---|---|---|
| Cookiebot | 100 sayfaya kadar | Var | Var | €9/ay |
| CookieYes | 500 sayfaya kadar | Var | Var | €10/ay |
| Iubenda | Yok | Var | Kısmi | €9/ay |
Consent Mode v2 GA4 veri kalitesini etkiliyor. Türkiye’de kullanıcıların yüzde 30-50’si çerez onayı banner’ını reddediyor veya kapatıyor; bu grupta GA4 yalnızca anonim ping topluyor. Sonuçta GA4 raporlarındaki dönüşüm sayısı gerçekten düşük görünüyor; fark modelleme ile telafi ediliyor ama tahmine dayanıyor.
SSS
KVKK kapsamında hangi analitik veriler kişisel veri sayılır?
IP adresi, kullanıcı kimliği (user ID), cihaz parmak izi ve çerez tanımlayıcıları KVKK kapsamında kişisel veri. Anonim istatistikler (sayfa görüntüleme sayısı, ülke bazlı trafik yüzdesi) ise kişisel veri değil. Plausible ve çerezsiz Matomo bu ikinci kategoride çalışıyor.
GA4’ü KVKK uyumlu hale getirmek mümkün mü?
Tamamen uyumlu kılmak garantili değil; ancak riski önemli ölçüde azaltmak mümkün. AB veri bölgesi seçimi, Consent Mode v2 kurulumu ve güncel gizlilik politikası birlikte uygulandığında savunulabilir bir konum oluşuyor. Kesin KVKK uyumu için hukuki danışman görüşü almanız gerekiyor.
Plausible Analytics GA4’ün yerini tutabilir mi?
Trafik izleme ve sayfa analizi için evet. Dönüşüm huni analizi, Google Ads ROAS takibi ve ürün bazlı e-ticaret raporlaması için hayır. Plausible ve GA4’ü paralel kullanmak mümkün; Plausible KVKK uyumlu temel veri sağlar, GA4 daha ayrıntılı dönüşüm takibini karşılar.
Self-hosted Matomo kurmak zor mu?
Teknik bilgi gerektiriyor ama oldukça belgelenmiş. FTP erişimi ve temel PHP/MySQL bilgisi olan biri Matomo’yu 1-2 saat içinde kurabilir. Otomatik kurulum sihirbazı adım adım yönlendiriyor. cPanel veya Plesk barındırma ortamlarında kurulum 30 dakikaya iniyor.
Sonuç
KVKK uyumlu web analitik için 2026’daki en net çözüm, çerez gerektirmeyen araçlar. Plausible Analytics temel trafik verisini AB sunucularında ve kişisel veri toplamadan sunuyor; Matomo self-hosted tüm kontrol sizde kalarak kişisel veri tanımı dışında çalışabiliyor.
GA4’ü tamamen bırakmak istemiyorsanız Consent Mode v2 ve AB veri bölgesi seçimi ile risk azaltma mümkün. Ama veri kalitesi kaybı ve hukuki belirsizlik devam ediyor.
Hangi araçların sitenize uygun olduğunu bütünsel olarak değerlendirmek istiyorsanız ücretsiz analitik araçları karşılaştırmasına göz atın. GA4’ün teknik kurulumunu adım adım yapmak istiyorsanız GA4 kurulum rehberimiz Türkiye özelindeki yapılandırma adımlarını kapsıyor.
Bu sayfadaki bağlantılardan komisyon kazanabiliriz; bu durum değerlendirmelerimizi etkilemez.