← Blog Listesine Dön
2026-07-07

CDP ile Consent Management: Teknik Mimari Nasıl Kurulur?

Consent Bir Checkbox Değil, Bir Veri Akışıdır

Çoğu şirket consent yönetimini şöyle görür: siteye bir cookie banner eklenir, kullanıcı "kabul et" veya "reddet" tıklar, iş biter. Oysa bu bakış açısı tam anlamıyla yanlıştır — ve hem KVKK hem GDPR ihlallerine kapı aralıyor.

Gerçek consent yönetimi, kullanıcının tercihinin bir kere toplanıp sonsuza dek geçerli sayılması değil; bu tercihın sistemler arasında sürekli ve tutarlı bir şekilde yayılması demektir. Türkiye'deki şirketlerin veri denetimlerinde karşılaştığımız en yaygın bulgu şu: CMP (Consent Management Platform) çalışıyor, ama CDP entegrasyonu yok. Kullanıcı "pazarlama e-postası istemiyorum" demiş, ama 3 gün sonra e-posta kampanyası gönderilmiş.


Consent'in Üç Boyutu

Teknik olarak consent yönetimini üç ayrı katmanda ele almak gerekir:

1. Collection (Toplama) Kullanıcıdan rızanın alındığı an. Cookie banner, form onay kutusu, SMS tercih merkezi — bunların her biri bir collection noktasıdır. KVKK'da bu rızanın "belirli, açık ve özgür irade" ile verilmiş olması zorunludur. Önceden işaretli kutular veya "siteyi kullanmaya devam ederek kabul etmiş sayılırsınız" gibi ifadeler geçersizdir.

2. Storage (Saklama) Alınan rızanın kayıt altına alındığı yer. Hangi kullanıcı, hangi kategori için, hangi kanaldan, hangi tarihte, ne için rıza verdi — tüm bunlar kanıtlanabilir şekilde saklanmalıdır. GDPR Madde 7/1 açıkça "veri sorumlusu, veri sahibinin rıza verdiğini ispat edebilmelidir" diyor. Sadece "checkbox tıklandı" kaydı yetmez; rızanın içeriği de kayıt altında olmalıdır.

3. Propagation (Yayılım) Saklanan rızanın tüm downstream sistemlere iletildiği katman. Bu, consent yönetiminin teknik olarak en karmaşık ve en sık atlanan boyutudur.


En Yaygın Hata: CMP ile CDP Arasında Kopuk Bağlantı

Şöyle bir senaryo düşünün: kullanıcı sitenize giriş yapıyor, cookie banner'da "yalnızca zorunlu çerezler" seçiyor. CMP bu tercihi kaydediyor. Ancak CDP, bu bilgiden habersiz. CDP'deki mevcut profil "marketing = true" olarak duruyor çünkü kullanıcı 6 ay önce form doldururken izin vermişti ve o tercih güncellenmemişti.

Sonuç: CDP, GA4'e ve e-posta platformuna bu kullanıcıyı pazarlama segmentine dahil ediyor. Reklam platformuna audience olarak gönderiyor. Kullanıcı hâlâ "reddetmiş" olduğu kanallardan veri bombardımanına maruz kalıyor.

Bu senaryo KVKK Madde 11 ve GDPR Madde 7 kapsamında doğrudan ihlal. Türkiye'de KVKK ihlali başına cezalar, GDPR'a kıyasla daha düşük görünse de Kurul'un işleme durdurma kararı vermesi operasyonel açıdan çok daha ağır sonuçlar doğurabilir.


Google Consent Mode v2: Varsayılan Düzeni Değiştiren Güncelleme

Google, Mart 2024 itibarıyla EEA ve UK'daki tüm advertiser'lar için Consent Mode v2'yi zorunlu kıldı. Bu güncellemenin CDP mimarisine doğrudan etkisi var:

  • Default deny: GTM konfigürasyonunda artık varsayılan durum analytics_storage: denied ve ad_storage: denied olmalıdır. Kullanıcı rıza vermeden önce herhangi bir veri gönderilmez.
  • Update akışı: Kullanıcı rıza verdiğinde, CMP bir gtm.consent.update eventi tetikler. Bu event CDP'nin de dinlemesi gereken bir sinyal.
  • Modeled conversions: Google, consent vermemiş kullanıcılar için istatistiksel modelleme yapıyor. Ama bu modelleme ancak doğru consent sinyali gönderildiğinde çalışır.

CDP'de Consent Propagation Mimarisi

Teknik olarak önerdiğimiz akış şöyle çalışır:

Kullanıcı Tercihi
      ↓
    CMP
      ↓
  Event Bus (Kafka veya benzeri)
      ↓
  CDP Profil Güncellemesi
  (consent_history[] array'ine yeni kayıt eklenir)
      ↓
Aktivasyon Katmanı
(Segment: marketing_consent = true olanlar)
      ↓
E-posta / Reklam / Analitik Platformları

Bu mimaride her profil güncellemesinde consent durumu kontrol edilir. Aktivasyon katmanı, segment tanımını her zaman anlık consent durumuna göre hesaplar. Kullanıcı rızasını geri çektiğinde, bu bilgi saniyeler içinde tüm downstream sistemlere yayılır.


KVKK Madde 11 Hakları: Teknik Altyapı Olmadan Yerine Getirilmez

KVKK Madde 11, veri sahiplerine şu hakları tanıyor:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme
  • İşlenen veriler hakkında bilgi talep etme
  • Verilerin silinmesini veya yok edilmesini isteme
  • Yanlış verilerin düzeltilmesini talep etme
  • Verilerin aktarıldığı üçüncü kişilere bildirim yapılmasını isteme

Bu hakların yerine getirilmesi için CDP şu teknik kapasitelere sahip olmalıdır:

  1. Bir kullanıcı ID'sine bağlı tüm verileri tek noktadan dışa aktarabilme
  2. Tüm sistemlerdeki veriyi kademeli olarak silme ve bu silme işlemini log'layabilme
  3. Veri aktarılan üçüncü tarafların kaydını tutma (data lineage)

Bu altyapı olmadan Madde 11 haklarını yasal sürede (30 gün içinde) yerine getirmek pratikte mümkün değildir.


Consent Akışınızda Teknik Boşluklar Var mı?

Yüzlerce şirketin veri mimarisini inceledikten sonra şunu gördük: çoğu şirketin CMP'si var, ama consent propagation'ı eksik. Kampanyalar rıza durumuna bakılmadan çalışıyor, silme talepleri manuel olarak işleniyor ve Google Consent Mode yanlış konfigüre edilmiş.

ONMARTECH'in 4 haftalık denetimi CMP-CDP entegrasyonunuzu, consent propagation akışlarınızı ve KVKK Madde 11 uyum altyapınızı haritalar. Boşlukları belirler, önceliklendirilmiş teknik yol haritası sunarız.

Consent akışınızı gözden geçirmek için bugün bizimle iletişime geçin.

Önerilen Okumalar

2026-07-18

Composable CDP vs CXDP: Why the "Pipes & Engage" Split is the Key to Modern Data Architecture in 2026

The rise of Composable CDPs on Snowflake and Databricks, and the CDP claims of CXDPs like Braze and Dengage, have created architectural chaos in 2026. Let's look beyond the brand names to understand why ingestion (Pipes) and activation (Engage) must share the same identity graph.

Okumaya Devam Et →
2026-07-18

10-Day Live Traffic Analysis: Why Cloudflare and GA4 Tell Different Stories (And How to Recover Ad Signals with Consent Mode v2)

In the first 10 days post-launch, Cloudflare reports thousands of visits while GA4 stays in the double digits. In this case study, we examine how Advanced Consent Mode v2, ads_data_redaction, and gtagSendEvent bridge the gap between user privacy and ad optimization.

Okumaya Devam Et →
WhatsApp ile Bize Ulaşın