Gizlilik Politikasi Hazirlama: Veri Gizliligi Rehberi
Web siteniz icin kapsamli ve yasal uyumlu gizlilik politikasi hazirlayarak kullanici guvenini artirin.
Gizlilik Politikasi Hazirlama: Sablon ve Rehber
Gizlilik politikasi, web sitenizin veya uygulamanizin kullanicilarina kisisel verilerinin nasil toplandigi, islendigi, saklandigi ve paylasildigi hakkinda bilgi veren yasal bir belgedir. Turkiye'de 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK), her veri sorumlusunun ilgili kisileri veri isleme faaliyetleri hakkinda bilgilendirmesini zorunlu kilmaktadir. Iyi hazirlanmis bir gizlilik politikasi, yasal uyumlulugun otesinde kullanici guvenini insa eden onemli bir araçtır.
Bu rehberde, KVKK uyumlu bir gizlilik politikasinin nasil hazirlanacagini, icermesi gereken tum bolumleri ve kullanabilecegüniz sablon yapisini detayli sekilde ele alacagiz. Hem web siteleri hem de mobil uygulamalar icin gecerli olan bu kilavuz, 2026 yili guncel mevzuatina uygun olarak hazirlanmistir.
Gizlilik Politikasi Neden Zorunludur?
Gizlilik politikasi bulundurmak bircok farkli acidan zorunluluk tasimaktadir:
- KVKK Zorunlulugu: 6698 sayili kanunun 10. maddesi, veri sorumlusunun aydinlatma yukumlulugunu acikca duzenler.
- 6563 Sayili E-Ticaret Kanunu: E-ticaret sitelerinin kisisel veri isleme politikalarini kullanicilara sunmasi gerekmektedir.
- GDPR Uyumlulugu: AB vatandaslarina hizmet veriyorsaniz, GDPR gerekliliklerini de karsilamaniz gerekir.
- Platform Gereklilikleri: Google Play, App Store, Google Ads ve Facebook Ads gibi platformlar gizlilik politikasi bulundurmayi zorunlu kilar.
- Kullanici Guveni: Seffaf veri uygulamalari, marka guvenilirligini arttirir ve donusum oranlarini olumlu etkiler.
Gizlilik Politikasinda Bulunmasi Gereken Bolumler
KVKK uyumlu kapsamli bir gizlilik politikasi asagidaki bolumleri icermelidir. Her bir bolumu detayli olarak incelıyelim:
1. Veri Sorumlusunun Kimligi
Gizlilik politikanizin baslangicinda, veri sorumlusu olarak kimliginizi acikca belirtmelisiniz:
- Sirket/gercek kisi tam adi ve ticaret unvani
- Merkez adresi
- Iletisim bilgileri (e-posta, telefon)
- Vergi kimlik numarasi veya MERSİS numarasi
- Varsa veri koruma gorevlisinin (DPO) iletisim bilgileri
2. Toplanan Kisisel Veriler
Hangi kisisel verileri topladiginizi kategorize ederek aciklayın:
| Veri Kategorisi | Ornekler | Toplama Yontemi |
|---|---|---|
| Kimlik Bilgileri | Ad, soyad, T.C. kimlik no | Kayit formu, siparis formu |
| Iletisim Bilgileri | E-posta, telefon, adres | Iletisim formu, uyelik |
| Finansal Bilgiler | Kredi karti, banka hesabi, fatura bilgileri | Odeme islemi |
| Dijital Izler | IP adresi, cerez verileri, cihaz bilgisi | Otomatik toplama |
| Davranis Verileri | Sayfa goruntulenme, tiklamalar, arama gecmisi | Analitik araclari |
| Konum Verileri | GPS, IP bazli konum | Mobil uygulama, tarayici |
3. Veri Isleme Amaclari
KVKK'nin 10. maddesi geregince, kisisel verilerin hangi amaclarla islendigini acikca belirtmeniz gerekmektedir:
- Urun ve hizmetlerin sunulmasi, siparis islemlerinin yürütülmesi
- Musteri iletisimi ve destek hizmetleri
- Pazarlama ve reklam faaliyetleri (acik riza ile)
- Yasal yukumluluklerin yerine getirilmesi
- Web sitesi performansinin analizi ve iyilestirilmesi
- Kisisellestirilmis icerik ve oneriler sunulmasi
- Guvenlik ve dolandiricilik onleme
- Istatistiksel analiz ve raporlama
4. Veri Islemenin Hukuki Dayanaklari
KVKK'nin 5. maddesinde belirtilen hukuki isleme sartlarindan hangilerine dayandiginizi belirtmelisiniz:
- Acik Riza: Ilgili kisinin belirli bir konuya iliskin, bilgilendirilmeye dayanan ve ozgur iradeyle aciklanan rizasi.
- Kanuni Zorunluluk: Kanunlarda acikca ongorulmu olmasi.
- Sozlesmenin Ifasi: Bir sozlesmenin kurulmasi veya ifasiyla dogrudan ilgili olmasi.
- Hukuki Yukumluluk: Veri sorumlusunun hukuki yukumlulugunun yerine getirilmesi.
- Mesru Menfaat: Ilgili kisinin temel hak ve ozgurlukleri zarar gormemek kaydiyla, veri sorumlusunun mesru menfaati.
5. Ucuncu Taraflarla Veri Paylasimi
Kisisel verilerin kimlerle ve hangi amaclarla paylasildigini seffaf sekilde aciklamaniz gerekmektedir:
- Is Ortaklari: Kargo firmalari, odeme kuruluslari, bakim ve destek saglayicilari
- Analitik Saglayicilari: Google Analytics, Meta Pixel, Hotjar gibi araclarin veri toplamalari
- Bulut Hizmeti Saglayicilari: AWS, Google Cloud, Azure gibi veri depolama hizmetleri
- Reklam Platformlari: Google Ads, Meta Ads, LinkedIn gibi reklam aglari
- Resmi Kurumlar: Yasal zorunluluk halinde yetkili kamu kurum ve kuruluslari
Yurt disina veri aktarimi yapiliyorsa, KVKK'nin 9. maddesi kapsaminda ek onlemler alinmasi ve bu durumun gizlilik politikasinda acikca belirtilmesi gerekmektedir.
6. Cerez Politikasi
Cerez kullaniminiz hakkinda detayli bilgi vermelisiniz. Birçok isletme cerez politikasini ayri bir sayfa olarak da düzenler, ancak gizlilik politikasinda da ozetlenmelidir:
- Zorunlu Cerezler: Sitenin duzgun calismasi icin gerekli cerezler. Onay gerektirmez.
- Analitik Cerezler: Ziyaretci davranislarini analiz eden cerezler. Onay gerektirir.
- Pazarlama Cerezleri: Reklam hedefleme icin kullanilan cerezler. Acik onay gerektirir.
- Islevsel Cerezler: Dil tercihi, tema secimi gibi kullanici tercihlerini saklayan cerezler.
Her cerez turu icin amaci, saglayicisi, suresi ve kullanicinin onay/ret secenekleri aciklanmalidir.
7. Veri Saklama Sureleri
KVKK, kisisel verilerin isleme amacinin gerektirdigi sureden fazla saklanamayacagini belirtir. Gizlilik politikanizda veri saklama surelerinizi aciklamalisiniz:
- Uyelik verileri: Uyelik suresi boyunca + yasal zorunluluk suresi
- Siparis verileri: Yasal saklama suresi (genellikle 10 yil, Turk Ticaret Kanunu)
- Pazarlama verileri: Onay geri cekilene kadar
- Log kayitlari: 5651 sayili kanun geregi en az 2 yil
- Cerez verileri: Cerez tuune gore 30 gun - 2 yil
8. Ilgili Kisinin Haklari
KVKK'nin 11. maddesi, ilgili kisilere onemli haklar tanimlamaktadir. Bu haklari gizlilik politikanizda acikca belirtmeli ve nasil kullanilacagini aciklamalisiniz:
- Kisisel verilerin islenip islenmedigini ogrenme hakki
- Kisisel verileri islenmisse buna iliskin bilgi talep etme hakki
- Kisisel verilerin islenis amacini ve bunlarin amacina uygun kullanilip kullanilmadigini ogrenme hakki
- Yurt icinde veya yurt disinda kisisel verilerin aktarildigi ucuncu kisileri bilme hakki
- Kisisel verilerin eksik veya yanlis islenmis olmasi halinde duzeltilmesini isteme hakki
- KVKK'nin 7. maddesinde ongorulen sartlar cercevesinde kisisel verilerin silinmesini veya yok edilmesini isteme hakki
- Yapilan islemlerin kisisel verilerin aktarildigi ucuncu kisilere bildirilmesini isteme hakki
- Islenen verilerin munhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya cikmasina itiraz etme hakki
- Kisisel verilerin kanuna aykiri olarak islenmesi sebebiyle zarara ugramasi halinde zararin giderilmesini talep etme hakki
9. Basvuru Yontemi
Ilgili kisilerin haklarini nasil kullanabilecegini acikca belirtin:
- Basvuru formu veya serbest format dilekce ile yazili basvuru adresi
- KEP adresi uzerinden basvuru
- Guvenli elektronik imza veya mobil imza ile basvuru
- Daha once veri sorumlusuna bildirilen e-posta adresi üzerinden basvuru
- Basvuru yanit suresi (30 gun)
Gizlilik Politikasi Yazim Ilkeleri
Etkili bir gizlilik politikasi yazarken asagidaki ilkelere dikkat edin:
- Acik ve Anlasilir Dil: Hukuki jargondan kaçının. Siradisi kullanicilarin anlayabilecegi sadelikte yazin.
- Katmanli Yaklasim: Ozetle baslayip detaylara inin. Kullanicilara kisa bir ozet ve detayli belge sunun.
- Guncellik: Veri isleme uygulamalariniz degistiginde politikanizi hemen guncelleyin.
- Erisilebilirlik: Gizlilik politikasina web sitenizin her sayfasindan erisilebildiginden emin olun (footer linki).
- Versiyon Kontrolu: Son guncelleme tarihini belirtin ve eski versiyonlari arsivleyin.
Gizlilik Politikasi Sablonu
Asagida KVKK uyumlu bir gizlilik politikasi icin temel sablon yapisi bulunmaktadir. Bu sablonu isletmenize ozel olarak uyarlayabilirsiniz:
- Giris: Belgenin amaci, veri sorumlusunun kimligi ve iletisim bilgileri
- Tanimlar: Kisisel veri, veri sorumlusu, ilgili kisi gibi temel kavramlarin tanimlari
- Toplanan Veriler: Kategorize edilmis veri turleri ve toplama yöntemleri
- Isleme Amaclari: Her veri kategorisi icin isleme amaclari
- Hukuki Dayanaklar: Her isleme faaliyeti icin hukuki dayanak
- Ucuncu Taraf Paylasimi: Veri paylasilan taraflar ve amaclari
- Yurt Disi Aktarim: Varsa yurt disina veri aktarimi bilgisi
- Cerezler: Cerez kullanimi ve yonetimi
- Veri Guvenligi: Alinan teknik ve idari guvenlik onlemleri
- Saklama Sureleri: Veri kategorilerine gore saklama sureleri
- Haklariniz: KVKK 11. madde kapsamindaki haklar
- Basvuru Yontemi: Hak kullanimi icin basvuru proseduru
- Degisiklikler: Politikadaki degisikliklerin nasil bildirilecegi
- Yururluk Tarihi: Belgenin gecerlilik baslangic tarihi
Sik Yapilan Hatalar
Gizlilik politikasi hazirlirken dikkat edilmesi gereken yaygin hatalar sunlardir:
- Kopyala-Yapistir Yaklasimi: Baska bir sitenin politikasini kopyalamak, isletmenize ozel olmayan ve yaniltici bilgiler icermesine neden olur.
- Guncel Olmayan Bilgiler: Yeni eklenen ucuncu taraf araclari veya degisen veri isleme uygulamalari politikaya yansitilmalidır.
- Asiri Genis Ifadeler: "Verilerinizi her turlu amacla kullanabiliriz" gibi belirsiz ifadeler KVKK'ya aykiridir.
- Basvuru Mekanizmasinin Eksikligi: Kullanicilarin haklarini kullanabilecegi acik bir basvuru yöntemi belirtilmemesi.
- Cerez Bilgisinin Yetersizligi: Kullanilan cerezlerin ve amaclarinin yeterince detayli aciklanmamasi.
Sonuc
Gizlilik politikasi, dijital varliginizin en temel yasal belgelerinden biridir. KVKK uyumlu, kapsamli ve anlasilir bir gizlilik politikasi hazirlamak, yasal yukumluluklerinizi yerine getirmenizin yani sira kullanicilarin guvenini kazanmaniza yardimci olur. Bu rehberdeki bolum yapisini ve sablon cercevesini kullanarak, isletmenize ozel bir gizlilik politikasi olusturabilirsiniz. Politikanizi duzenli olarak gozden gecirmeyi, mevzuat degisikliklerini takip etmeyi ve veri isleme uygulamalarinizdaki her degisikligi belgeye yansitmayi unutmayin.