KVKK Web Sitesi Uyumluluk: Kisisel Verilerin Korunmasi
Web sitenizi KVKK'ya uyumlu hale getirerek kisisel veri koruma yukumluluklerinizi yerine getirin.
KVKK ve Web Sitesi Uyumlulugu: Kapsamli Rehber
6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK), Turkiye'de faaliyet gosteren tum gercek ve tuzel kisilerin kisisel veri isleme faaliyetlerini duzenleyen temel yasal cercevedir. 2016 yilinda yururluge giren bu kanun, web sitesi sahipleri icin onemli yukumlulukler getirmektedir. Bir web sitesi isletiyorsaniz, ziyaretcilerinizin kisisel verilerini topluyor, isliyor ve sakliyorsunuz demektir. Bu durum sizi KVKK karsisinda veri sorumlusu konumuna getirmektedir.
2026 yilinda Kisisel Verileri Koruma Kurumu'nun (KVKK Kurumu) denetim faaliyetleri artmis, idari para cezalari yuklenmis ve tuketicilerin veri gizliligi bilinci onemli olcude yukselmistir. Web sitenizin KVKK'ya uyumlu olmasi, yasal bir zorunluluk olmasinin otesinde, kullanici guvenini insa eden stratejik bir avantajdir. Bu rehberde, web sitenizi KVKK ile uyumlu hale getirmek icin bilmeniz gereken her seyi detayli sekilde ele alacagiz.
Veri Sorumlusu Olarak Yukumluluklerniz
KVKK'ya gore veri sorumlusu, kisisel verilerin isleme amaclarini ve vasitalarini belirleyen, veri kayit sisteminin kurulmasindan ve yonetilmesinden sorumlu olan gercek veya tuzel kisidir. Bir web sitesi sahibi olarak asagidaki yukumlulukleriniz bulunmaktadir:
- Aydinlatma Yukumlulugu:KVKK'nin 10. maddesi geregince, kisisel verileri islenen kisileri veri isleme faaliyetleri hakkinda bilgilendirmek zorundasiniz. Web sitenizde acik ve anlasilir bir aydinlatma metni bulunmalidir.
- Acik Riza Alma Yukumlulugu: Kanunun 5. ve 6. maddelerinde belirtilen istisnalar disinda, kisisel verilerin islenmesi icin ilgili kisiden acik riza alinmasi gerekmektedir.
- Veri Guvenligi Yukumlulugu: Kisisel verilerin hukuka aykiri olarak islenmesini ve erisimini onlemek, verilerin muhafazasini saglamak icin gerekli teknik ve idari tedbirleri almak zorundasiniz.
- VERBİS Kayit Yukumlulugu:Yillik calisan sayisi veya yillik mali bilanco buyuklugu belirlenen esikleri asan veri sorumlulari, Veri Sorumlulari Sicili'ne (VERBİS) kayit olmak zorundadir.
- Veri Ihlali Bildirim Yukumlulugu:Kisisel veri ihlali durumunda, en kisa surede ve her halukarda 72 saat icinde Kurul'a bildirim yapmaniz gerekmektedir.
Web Sitesinde Toplanan Kisisel Veriler
Cogu web sitesi sahibi, sitesinin ne kadar cok kisisel veri topladiginin farkinda degildir. Asagida web sitelerinde yaygin olarak toplanan kisisel veri turleri listelenmiştir:
- Iletisim Formlari: Ad, soyad, e-posta adresi, telefon numarasi, mesaj icerigi
- Uyelik ve Giris Sistemleri: Kullanici adi, sifre, profil bilgileri
- E-ticaret Islemleri: Adres, odeme bilgileri, siparis gecmisi
- Cerezler (Cookies): IP adresi, tarayici bilgisi, ziyaret gecmisi, konum verisi
- Analitik Araclar: Google Analytics, Facebook Pixel gibi ucuncu taraf araclari araciligiyla toplanan davranis verileri
- Bulten Aboneligi: E-posta adresi, tercihler
- Canli Destek ve Chatbot: Sohbet kayitlari, iletisim bilgileri
Acik Riza Mekanizmalari
KVKK'ya gore acik riza, belirli bir konuya iliskin, bilgilendirilmeye dayanan ve ozgur iradeyle aciklanan rizadir. Web sitenizde acik riza mekanizmalarini dogru sekilde uygulamaniz kritik onem tasimaktadir.
Acik Rizanin Gecerlilik Kosullari
- Belirli bir konuya iliskin olmali: Genel ve belirsiz rizalar gecerli degildir. Her veri isleme amaci icin ayri riza alinmalidir.
- Bilgilendirmeye dayanmali: Ilgili kisi, verilerinin ne amacla islenecegi konusunda onceden bilgilendirilmis olmalidir.
- Ozgur iradeyle aciklanmali: Riza, herhangi bir baskiya maruz kalmaadan, gonullu olarak verilmelidir. On isaretli kutucuklar KVKK'ya uygun degildir.
- Geri alinabilir olmali: Ilgili kisi verdigi rizayi her zaman geri alabilmelidir.
Web Sitesinde Riza Toplama Yontemleri
- Onay Kutucuklari (Checkboxes): Iletisim formlari, uyelik formlari ve siparis sureclerinde bos onay kutucuklari kullanin. Kutucuklar onceden isaretli olmamalidir.
- Cerez Onay Banneri: Ziyaretcilerin cerez tercihlerini yonetmelerine olanak taniyan detayli bir cerez onay mekanizmasi kullanin.
- Cift Onay (Double Opt-in): E-posta bulten aboneliklerinde, aboneligi e-posta ile dogrulama yontemi kullanin.
- Katmanli Riza: Farkli veri isleme amaclarini ayri ayri onaylatarak kullanicilara granüler kontrol saglayin.
Gizlilik Politikasi ve Aydinlatma Metni
Web sitenizde mutlaka bulunmasi gereken iki temel belge vardir: gizlilik politikasi ve aydinlatma metni. Bu iki belge birbirinden farkli amaclar tasir.
| Ozellik | Gizlilik Politikasi | Aydinlatma Metni |
|---|---|---|
| Amac | Genel veri isleme uygulamalarini aciklar | KVKK md.10 geregince zorunlu bilgilendirme |
| Kapsam | Kapsamli, tum veri uygulamalarini icerir | Belirli veri isleme faaliyetine ozgu |
| Yasal Dayanak | Genel en iyi uygulama | KVKK madde 10, zorunlu |
| Konum | Web sitesi alt bilgisinde (footer) | Veri toplama noktalarinda |
Gizlilik politikanizda su bilgiler yer almalidir: veri sorumlusunun kimligi ve iletisim bilgileri, islenen kisisel veri kategorileri, veri isleme amaclari ve hukuki dayanaklari, verilerin aktarilacagi ucuncu taraflar, veri saklama sureleri, ilgili kisinin haklari ve basvuru yontemleri.
Cerez Banneri ve Cerez Politikasi
Web sitenizde cerez kullaniyorsaniz (ki hemen hemen her modern web sitesi kullaniyor), ziyaretcilerinizi bu konuda bilgilendirmek ve gerekli durumlarda onay almak zorundasiniz. Etkili bir cerez yonetimi icin sunlari yapmalisiniz:
- Cerez Envanteri Cikartin: Web sitenizde kullanilan tum cerezleri tespit edin ve kategorilere ayirin: zorunlu cerezler, islevsel cerezler, analitik cerezler ve pazarlama cerezleri.
- Cerez Onay Platformu (CMP) Kurun: Kullanicilarin cerez tercihlerini yonetmelerine olanak taniyan bir cerez onay banneri uygulayin. CookieBot, OneTrust veya acik kaynakli cozumler kullanilabilir.
- Onay Oncesi Engelleme Yapin: Zorunlu cerezler disindaki tum cerezler, kullanici onay vermeden once engellenmeli ve calismamalidir.
- Cerez Politikasi Sayfasi Olusturun: Her cerezin adi, amaci, suresi ve ucuncu taraf bilgisini iceren detayli bir cerez politikasi sayfasi hazirlayın.
- Tercih Degistirme Imkani Sunun: Kullanicilar verdikleri cerez onayini istedikleri zaman degistirebilmelidir.
Teknik Guvenlik Onlemleri
KVKK'nin 12. maddesi, veri sorumlularinin kisisel verilerin guvenligini saglamak icin gerekli teknik tedbirleri almalarini zorunlu kilmaktadir. Web siteniz icin uygulamaniz gereken temel teknik guvenlik onlemleri sunlardir:
- SSL/TLS Sertifikasi: Web siteniz mutlaka HTTPS protokolunu kullanmalidir. Bu, veri iletimini sifreler ve guvenligi saglar.
- Guclu Sifre Politikasi: Uyelik sisteminiz varsa, kullanicilardan guclu sifre olusturmalarini isteyin ve sifreleri hashlenerek saklayin.
- Duzenli Yedekleme: Veritabaninizi duzenli olarak yedekleyin ve yedeklerin guvenli bir sekilde saklandiginden emin olun.
- Guvenlik Duvari (WAF): Web uygulama guvenlik duvari kullanarak SQL injection, XSS gibi saldirilara karsi koruma saglayin.
- Erisim Kontrolu: Kisisel verilere erisimi yalnizca yetkili personelle sinirlandirin ve erisim loglarini tutun.
- Yazilim Guncellemeleri: CMS, eklentiler ve sunucu yazilimlarinizi duzenli olarak guncelleyerek guvenlik acıklarini kapatin.
Ilgili Kisinin Haklari ve Basvuru Sureci
KVKK'nin 11. maddesi, kisisel verileri islenen kisilere onemli haklar tanimaktadir. Web sitenizde bu haklarin kullanimini kolaylastiran bir basvuru mekanizmasi olusturmalisiniz:
- Kisisel verilerinin islenip islenmedigini ogrenme
- Islenmisse buna iliskin bilgi talep etme
- Isleme amacini ve bunlarin amacina uygun kullanilip kullanilmadigini ogrenme
- Yurt icinde veya yurt disinda aktarildigi ucuncu kisileri bilme
- Eksik veya yanlis islenmisse duzeltilmesini isteme
- KVKK'nin 7. maddesindeki kosullar cercevesinde silinmesini veya yok edilmesini isteme
- Islenen verilerin munhasiran otomatik sistemler vasitasiyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya cikmasina itiraz etme
- Kanuna aykiri olarak islenmesi sebebiyle zarara ugramasi halinde zararin giderilmesini talep etme
KVKK Uyumluluk Kontrol Listesi
Web sitenizin KVKK'ya uyumluligunu saglamak icin asagidaki kontrol listesini kullanabilirsiniz:
- Veri envanteri cikartin: hangi verileri, neden ve nasil topladiginizi belirleyin.
- Aydinlatma metni hazirlayın ve veri toplama noktalarinda konumlandirin.
- Gizlilik politikasi olusturun ve web sitesi alt bilgisine ekleyin.
- Cerez onay mekanizmasi kurun ve cerez politikasi sayfasi hazirlayın.
- Iletisim formlarinda acik riza onay kutucuklari ekleyin.
- E-posta abonelik surecinde cift onay (double opt-in) uygulayin.
- SSL sertifikasinin aktif oldugunu dogrulayin.
- Ilgili kisi basvuru formu veya e-posta adresi tanimlayın.
- Veri isleme envanteri ve kayitlarini duzenli olarak guncelleyin.
- Ucuncu taraf hizmetleri ile veri isleme sozlesmesi imzalayin.
- VERBİS kayit yukumlulugunuzu kontrol edin ve gerekirse kayit olun.
- Veri ihlali bildirim proseduru olusturun.
Idari Para Cezalari
KVKK'ya uyumsuzluk durumunda Kisisel Verileri Koruma Kurulu tarafindan onemli miktarlarda idari para cezasi uygulanabilmektedir. 2026 yili itibariyle guncel ceza miktarlari su sekildedir:
- Aydinlatma yukumlulugunu yerine getirmeme: 47.303 TL ile 946.308 TL arasi
- Veri guvenligini saglama yukumlulugunu yerine getirmeme: 141.934 TL ile 9.463.213 TL arasi
- Kurul kararlarini yerine getirmeme: 236.570 TL ile 9.463.213 TL arasi
- VERBİS kayit yukumlulugunu yerine getirmeme: 94.638 TL ile 1.893.066 TL arasi
Bu cezalar her yil yeniden degerleme oraninda arttirilmaktadir. Ayrica, KVKK'ya aykiri veri isleme fiillerinin Turk Ceza Kanunu'nun 135-140. maddeleri kapsaminda hapis cezasini gerektiren suclar da olusturabilecegini unutmamaniz gerekmektedir.
Onemli: KVKK uyumlulugu tek seferlik bir proje degil, surekli bir surecitir. Kanun degisiklikleri, Kurul kararlari ve teknolojik gelismeler dogrultusunda web sitenizin veri koruma uygulamalarini duzenli olarak gozden gecirmelisiniz. Megis olarak, musterilerimizin web sitelerini KVKK ve uluslararasi veri koruma standartlarina uygun sekilde tasarliyor ve yonetiyoruz.