2024 yılında bir Türk e-ticaret firması, KVKK ve GDPR uyumu konusunda ciddi bir hata yaptı. Yönetim kuruluna büyüme raporunu sunarken Kişisel Verileri Koruma Kurumu kapıya dayanmıştı. Şirketin kullanıcı kayıt formundaki açık rıza ifadesi geçersiz sayıldı ve 1,2 milyon TL idari para cezası kesildi. Ne bir veri ihlali, ne bir saldırı, ne de kullanıcı zararı söz konusuydu. Sadece formun altındaki onay kutusu KVKK standartlarını karşılamıyordu.
Bu senaryo istisna değil, giderek yaygınlaşan bir tablo. Kişisel Verileri Koruma Kurumu, 2022’den bu yana kararlarını hızlandırdı ve ceza miktarları artıyor. İyi haber şu: KVKK ve GDPR uyumu karmaşık göründüğü kadar zor değil. Doğru sırayla uygulanan adımlar hem yasal riski ortadan kaldırır hem de müşteri güvenini somut bir rekabet avantajına dönüştürür.
Bu rehberde açık rıza kurallarından çerez yönetimine, GDPR’ın Türk markalar üzerindeki etkisinden 7 adımlık uyum planına kadar Türkiye’deki firmalar için gerçekten bilmeniz gereken her şeyi bulacaksınız.
KVKK ve GDPR: Temel Farklar, Ortak Yükümlülükler
KVKK (Kişisel Verilerin Korunması Kanunu) 2016 yılında yürürlüğe girdi. GDPR (General Data Protection Regulation) ise Avrupa Birliği’nde 2018’de uygulamaya başladı. Her iki düzenleme de kişisel veri işlemeyi kısıtlıyor; ancak kapsam, hukuki dayanak ve yaptırım güçleri açısından önemli farklar var.
| KVKK | GDPR | |
|---|---|---|
| Kapsam | Türkiye’de faaliyet gösteren tüm veri sorumluları | AB sakinlerinin verilerini işleyen tüm firmalar, coğrafi konum fark etmez |
| Azami para cezası | 1 milyon TL | Global yıllık cironun %4’ü veya 20 milyon Euro |
| Denetleyici kurum | Kişisel Verileri Koruma Kurumu | Her AB üyesinin yerel veri koruma otoritesi (DPA) |
| Açık rıza koşulu | Gerekli; meşru menfaat istisnası çok sınırlı | 6 hukuki dayanak; meşru menfaat, sözleşme, yasal yükümlülük gibi seçenekler var |
Türkiye’deki bir firmanın GDPR’dan muaf olduğunu düşünmesi ciddi bir hata. AB ülkelerinden kullanıcı alıyorsanız, AB sakinlerine ürün veya hizmet sunuyorsanız ya da Avrupalı kullanıcıların davranışlarını izliyorsanız GDPR da zorunlu. Bu, yurt dışına satış yapan e-ticaret firmalarını, SaaS ürünlerini ve uluslararası dijital pazarlama kampanyalarını doğrudan etkiliyor.
Türkiye’de KVKK İhlalinin Gerçek Maliyeti
Kurum’un yayımladığı KVKK karar özetleri incelendiğinde, en sık karşılaşılan ihlal türleri şunlar:
- Açık rızanın geçerli biçimde alınmaması (önceden işaretli kutular, toplu onay ifadeleri)
- Aydınlatma metninin hiç bulunmaması veya eksik olması
- SMS ve email pazarlama için onay kaynağının belgelenememesi
- Üçüncü taraf araçlara (Google Analytics, Meta Pixel) veri aktarımında yasal dayanak yokluğu
- Kullanıcı taleplerine 30 gün içinde yanıt verilmemesi
Para cezası, bu sürecin görünür boyutu. Gizli maliyet ise uyum sürecini sonradan yürütmenin bedeli: tüm formların yeniden tasarlanması, teknik altyapının güncellenmesi, avukatlık ücretleri ve itibar kaybı. Önceden yapılandırılmış bir KVKK ve GDPR uyumu sistemi, bu maliyeti onlarda birine indirgeyebilir.
Firmalar İçin 8 Temel KVKK ve GDPR Yükümlülüğü
1. Açık Rıza: Geçerli Formun Kriterleri
KVKK ve GDPR uyumu açısından en çok tartışılan konu açık rızanın geçerli biçimde alınmasıdır. Geçerli rıza üç koşulun aynı anda sağlanmasını gerektirir: özgür irade, bilgilendirilmiş onay, belirli konu kapsamı.
Geçersiz sayılan uygulamalar:
– Varsayılan olarak işaretli kutular
– “Devam ederek koşulları kabul ediyorum” ifadeleri
– Tek kutuyla birden fazla amaç için onay toplama
– Hizmet kullanımını rızaya bağlamak (bağlı rıza yasağı)
Geçerli rıza şu gibi görünür: Her işleme amacı için ayrı, boş onay kutusu. “Kampanya ve promosyon emaili almak istiyorum” ifadesiyle net amaç tanımı. Onayın ne zaman, hangi kanalda alındığının kayıt altında olması.
2. Aydınlatma Yükümlülüğü
Veri toplanmadan önce kullanıcıya şunlar iletilmeli:
- Veri sorumlusunun adı ve iletişim bilgileri
- Hangi verilerin hangi amaçla toplandığı
- Verilerin paylaşılacağı üçüncü taraflar
- Veri saklama süresi
- Kullanıcının hakları: erişim, düzeltme, silme, itiraz, aktarım
“Aydınlatma Metni” ile “Gizlilik Politikası” aynı belge değil. Aydınlatma metni işlem bazında sunulmalı; kayıt formu, satın alma akışı, iletişim formu gibi her veri toplama noktasında ayrıca yer almalı.
3. Veri Minimizasyonu
Sadece ihtiyaç duyduğunuz veriyi toplayın. Her veri alanı için “bu veriyi neden topluyoruz?” sorusuna net bir cevabınız olmalı. “İleride lazım olabilir” gerekçesiyle toplanan veri, yasal dayanak eksikliği yaratır ve denetimde açık oluşturur.
4. Teknik ve İdari Güvenlik Önlemleri
KVKK Madde 12, veri sorumlusunun kişisel verilerin güvenliği için gerekli önlemleri almasını zorunlu kılıyor. Pratikte bu şu anlama geliyor:
- Veritabanında kişisel verilerin şifrelenmesi
- Çalışan erişim seviyeleri ve log kaydı
- Yıllık güvenlik değerlendirmesi ve penetrasyon testi
- Veri ihlali durumunda iç bildirimsürecinin yazılı hale getirilmesi
5. Üçüncü Taraf Araçlara Veri Aktarımı
Meta Ads, Google Analytics, CRM ve email platformları kullandığınızda, kullanıcı verisi büyük olasılıkla Türkiye dışına aktarılıyor. Bu aktarım için ya veri sahibinin açık rızası ya da Kurul tarafından yeterli veri koruma seviyesi tanınan bir ülkeye aktarım gerekiyor.
Türkiye için AB-ABD Data Privacy Framework’e benzer bir çerçeve henüz mevcut değil. Bu nedenle ABD tabanlı araçlara veri aktarımında açık rıza en güvenli hukuki dayanak olmaya devam ediyor.
6. Veri Saklama Süresi Politikası
İşlenme amacı ortadan kalkan veri silinmeli veya anonim hale getirilmeli. Aktif olmayan kullanıcıların verilerini yıllarca saklayan firmalar, bu uygulamayı yazılı bir politikayla destekleyemediklerinde doğrudan ihlal riski taşıyor.
7. İlgili Kişi Taleplerine Yanıt Süreci
Kullanıcılar verilerinin silinmesini, düzeltilmesini, aktarılmasını veya işlenmesine itiraz edilmesini talep edebilir. Bu taleplere 30 gün içinde yazılı yanıt verilmeli. Talep alınacak bir kanal kurmadan (email adresi veya form) bu süreç işleyemez; kanalın kendisi de yasal yükümlülük kapsamında.
8. VERBİS Kaydı
Yıllık 50 çalışanın üzerindeki veya 25 milyon TL yıllık geliri aşan firmalar, Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olmak zorunda. Kayıtsız veri işleme başlı başına idari yaptırım konusu; ayrıca kayıt olmayan firmalar diğer ihlallerde daha ağır ceza tablosuna giriyor.
Hemen Uygula
Web sitenize şu an girin ve üç şeyi kontrol edin: Kayıt formunda her veri işleme amacı için ayrı, boş onay kutusu var mı? Aydınlatma Metni linki formun yakınında görünür şekilde yer alıyor mu? Üçüncü taraf araçlar (Google Analytics, Meta Pixel) için çerez onayı alınıyor mu? Bu üç sorudan ikisine “hayır” cevabı veriyorsanız, uyum süreci beklemeden başlatılmalı.
Dijital Pazarlamada KVKK: Email, Çerez ve Reklam Hedefleme
Email Pazarlama ve Ticari Elektronik İleti Kuralları
KVKK ve GDPR uyumu dijital pazarlama kanallarını doğrudan etkiliyor; bunların başında email pazarlama geliyor. Email pazarlama stratejisi yürütürken listenizin nasıl oluşturulduğu her şeyden önce geliyor. KVKK kapsamında ticari elektronik ileti (SMS, email, arama) için açık onay zorunlu; onay kaynağının da kayıt altında olması gerekiyor.
KVKK uyumlu email listesi şu özellikleri taşır:
– Her abone, ticari ileti almak için açık onay verdi
– Onayın tarihi, kanalı ve metni belgelendi
– Her emailde abonelikten çıkma linki bulunuyor
– Çıkma talebi en geç 3 iş günü içinde işleniyor
Sedef, İzmir’de bir moda butik işletiyor. 2023 başında Ocak indirim kampanyası için piyasadan hazır email listesi satın aldı. 8.000 kişiye kampanya maili gönderdi, 12 şikayetle karşılaştı. Kurul 6 ay sonra soruşturma başlattı. İdari para cezasına ek olarak, mevcut tüm listesini ve pazarlama altyapısını yeniden yapılandırmak zorunda kaldı. Kampanyadan elde ettiği gelir 45.000 TL, uyum maliyeti 180.000 TL oldu. Satın alınan listeler KVKK kapsamında yasadışı. Bu konuda istisna yok.
Çerez (Cookie) Yönetimi
Zorunlu olmayan çerezler, yani analitik, pazarlama ve kişiselleştirme çerezleri, kullanıcı onayı olmadan yerleştirilemez. Bu şu anlama geliyor:
- Google Analytics ve Meta Pixel, onay verilmeden ateşlenmemeli
- Çerez banner’ı hem “kabul et” hem de “reddet” seçeneği sunmalı
- “Siteye devam ederek çerez kullanımını kabul etmiş sayılırsınız” ifadesi yasal olarak onay sayılmıyor
Bunu çözmek için Cookiebot, OneTrust veya Türkiye’de yaygınlaşan yerli KVKK uyum araçlarından birini kullanabilirsiniz. Kurulum bir kez doğru yapıldığında, çerez yönetimi sonrasında kendiliğinden işliyor.
Reklam Hedefleme ve Google Consent Mode
Meta ve Google Ads üzerinden yürütülen remarketing kampanyaları kullanıcı davranış verisini işliyor. Bu veriler kişisel veri sayıldığı için KVKK kapsamına giriyor.
Uyumlu bir remarketing kurulumu şunları gerektiriyor:
– Çerez banner’ında pazarlama çerezleri için açıkça onay alınması
– Google Tag Manager’ın Google Consent Mode v2 ile yapılandırılması
– Onay vermeyen kullanıcılar için pixel’lerin ateşlenmemesi veya anonimleştirilmesi
– Reklam platformlarında veri saklama sürelerinin ayarlanması
Veri analizi stratejileri ve ölçüm altyapısını KVKK uyumlu tutmak başlangıçta karmaşık görünse de platformların sunduğu Consent Mode araçlarıyla büyük ölçüde otomatize edilebilir.
GDPR ve Türk Markalar: Uluslararası Yükümlülükler
“Biz Türk şirketiyiz, GDPR bize uygulanmaz” düşüncesi yaygın ve tehlikeli bir yanılgı. GDPR’in ülke dışına uzanan kapsamı açık: AB’de bulunan bireylere ürün veya hizmet sunan ya da onların davranışlarını izleyen her firma, coğrafi konumundan bağımsız olarak GDPR’a tabi.
Türk markalar için pratik sonuçlar şunlar:
- AB ülkelerine ürün gönderen e-ticaret siteleri, AB’den gelen müşteriler için GDPR uyumu sağlamalı
- AB sakinlerine SaaS satan firmalar GDPR yükümlülüğü taşıyor
- Web sitesi Almanca, Fransızca veya başka bir AB diline tercüme edilmişse ya da Euro cinsinden fiyatlandırma sunuluyorsa, GDPR kapsamı aktif hale geliyor
AB ülkelerindeki veri koruma otoriteleri 2022-2024 arasında Türk firmalar da dahil pek çok AB dışı şirkete GDPR cezası kesti. Bu cezalar şirketin global cirosunun yüzde dördüne kadar çıkabiliyor. Küçük ölçekli bir marka için bile bu rakam milyonlarca Euro anlamına gelebilir.
Hemen Uygula
GDPR kapsamına girip girmediğinizi test etmek için şu üç soruyu sorun: Web siteniz bir AB diline çevrilmiş mi? Ürünlerinizi Euro veya İngiliz pounduyla fiyatlandırıyor musunuz? AB ülkelerine kargo seçeneği sunuyor musunuz? Birden fazla soruya “evet” cevabı veriyorsanız, GDPR uyumu opsiyonel değil zorunlu. Bir DPA (Veri İşleme Sözleşmesi) hazırlamak ve gizlilik politikanızı AB standartlarına uyarlamak ilk adım.
KVKK ve GDPR Uyum Süreci: 7 Adımlık Eylem Planı
KVKK ve GDPR uyumu tek seferlik bir proje değil, süregelen bir yönetim modelidir. Ancak aşağıdaki 7 adım en kritik temeli oluşturuyor ve büyük çoğunlukla 60-90 günlük bir süreçle tamamlanabiliyor.
1. Veri envanteri: Hangi kişisel verileri nerede, hangi sistemde saklıyorsunuz? Bu adım olmadan diğerleri anlamsız.
2. Hukuki dayanak tespiti: Her veri işleme faaliyeti için KVKK’daki 5 yasal dayanaktan birini eşleştirin. Açık rıza genellikle varsayılan seçenek, ancak her zaman doğru seçenek değil.
3. Aydınlatma metinlerini güncelleme: Web sitesi, mobil uygulama, çağrı merkezi, fiziksel form ve kayıt akışlarının tamamı kapsama alınmalı.
4. Açık rıza formlarını yeniden tasarlama: Önceden işaretli kutular, toplu onay ifadeleri ve bağlı rıza yapıları temizlenmeli.
5. Çerez yönetimi kurulumu: Bir çerez yönetim platformu entegre edin, Google Consent Mode v2’yi aktif hale getirin ve banner’ın gerçek anlamda ret seçeneği sunduğunu doğrulayın.
6. VERBİS kaydı: Kapsam içindeyseniz kayıt yaptırmadan veri işleme başlı başına ihlal sayılıyor.
7. İç politika ve çalışan eğitimi: Veri güvenliği politikasını yazılı hale getirin, veriye erişimi olan çalışanlara KVKK farkındalık eğitimi verin ve ihlalin ne zaman bildirileceğini net bir süreçle tanımlayın.
Pazarlama otomasyonu araçlarınızı bu süreçle entegre ederek uyum yükünü önemli ölçüde azaltabilirsiniz. Bugünkü modern CRM ve email platformlarının büyük bölümü KVKK uyumlu rıza yönetimi modülleri sunuyor; doğru yapılandırmak çoğu manuel adımı ortadan kaldırıyor.
KVKK ve GDPR Uyumu için Ajans ve Yazılım Seçimi
Türkiye’deki birçok firma teknik uygulamayı ajanslarına veya yazılım tedarikçilerine bırakıyor. Bu yaklaşım hem verimli hem de riskli olabilir.
Verimli olan: Teknik entegrasyonu ve platform yapılandırmasını uzmanlara devretmek mantıklı.
Riskli olan: Yasal yükümlülük firmaya ait. Ajansınız çerez banner’ını yanlış yapılandırsa bile cezayı siz ödersiniz.
Ajans veya yazılım tedarikçisi seçerken şu soruları sormak doğru bir başlangıç noktası:
– KVKK/GDPR uyum projesinde deneyiminiz var mı, referans verebilir misiniz?
– Veri İşleme Sözleşmesi (VİS veya DPA) imzalamayı kabul ediyor musunuz?
– Kullandığınız alt işleyicilerin listesini paylaşabilir misiniz?
– Veri ihlali durumunda bildirim süreciniz ve SLA’nız nedir?
Emre, İstanbul’da bir e-ticaret ajansı yönetiyor. 2024 başında yeni bir müşterisi için KVKK uyum danışmanlığı paketi oluşturdu: aydınlatma metni, çerez yönetimi, VERBİS kaydı ve rıza formu revizyonu. Paket maliyeti 40.000 TL. Müşterisi, ajansı devreye almadan önce kurumun tebligatını almış ve 600.000 TL ceza ödemişti. Uyum maliyeti ile ceza arasındaki fark, sektörde giderek daha fazla konuşulan bir kıyaslama haline geliyor.
KVKK ve veri gizliliği konusundaki içeriklerimizde güncel Kurul kararlarının analizini, ajans seçimi rehberini ve sektöre özgü uyum notlarını bulabilirsiniz.
Hemen Uygula
Bu ay yapabileceğiniz en etkili teknik adım: Ajansınız veya teknik ekibinizden Google Consent Mode v2’nin aktif olup olmadığını ve doğru çalışıp çalışmadığını doğrulamasını isteyin. Kapalıysa, pazarlama çerezleriniz şu an onay vermemiş kullanıcılara da ateşleniyordur. Bu hem KVKK hem de GDPR kapsamında açık bir ihlal.
Uyum Bir Yük Değil, Güven İnşasının Aracı
KVKK ve GDPR uyumu doğru kurgulandığında sadece yasal bir zorunluluk olmaktan çıkıyor. Türkiye’de dijital farkındalığın arttığı bu dönemde, şeffaf bir veri gizliliği yaklaşımı müşteri güvenini ve dönüşüm oranlarını olumlu etkiliyor. AB pazarına giren markalar içinse uyum, kapıyı açık tutmanın ön koşulu.
Bu rehberdeki temel çıkarımlar:
– KVKK ve GDPR ihlalleri teknik hatadan çok uygulama boşluklarından kaynaklanıyor
– Email listesi, çerez yönetimi ve aydınlatma metni en kritik üç alan
– AB pazarına açılan Türk markalar için GDPR zorunlu, tercihe bağlı değil
– Ajansınız teknik uygulamayı üstlense de yasal sorumluluk size ait
– Uyum maliyeti, ihlal sonrası katlanılan maliyetin çok altında kalıyor
Dijital strateji planlamanızın ayrılmaz bir parçası olarak KVKK ve GDPR uyumunu ele alırsanız, hem hukuki riski yönetmiş hem de müşteri güvenini ölçülebilir bir değere dönüştürmüş olursunuz.
Nereden başlamalısınız? Bu yazıdaki 7 adımlık eylem planını temel alarak bugün bir veri envanteri toplantısı planlayın. Hangi verilerin nerede tutulduğunu bilmeden diğer adımları atmak mümkün değil. İlk envanter toplantısı genellikle iki saat alıyor ve sürecin tamamını netleştiriyor.
