Türkiye'de 6698 Sayılı KVKK 2016'da yürürlüğe girdi, ama gerçek denetimler 2020 sonrası yoğunlaştı. 2026 itibarıyla KVKK ihlal cezaları işletme tipi başına 50.000 TL ile 5.000.000 TL arasında değişiyor — küçük bir form hatası bile büyük finansal risk doğurabilir.
Bu rehber, web siteniz için KVKK uyumunun "asgari yapılması gerekenler"ini değil, tam ve eksiksiz uyumu kapsar. Avukat değiliz; bu rehber yasal danışmanlık değil, teknik-pratik uygulama rehberidir. Karmaşık durumlarda mutlaka KVKK uzmanı avukatla çalışın.
1. KVKK Nedir, Neden Web Siteleri Etkilenir?
KVKK = Kişisel Verilerin Korunması Kanunu. Türkiye'de kişisel veri toplayan, işleyen, saklayan, aktaran her kuruluş kapsam içinde. Web siteleri özellikle etkilenir çünkü:
- İletişim formundan ad-soyad-telefon-e-posta toplanır
- Çerezlerle ziyaretçi davranışı izlenir (Google Analytics, Facebook Pixel)
- E-ticaret formlarında adres, T.C. kimlik, kart bilgisi alınır
- Online randevu sisteminde sağlık bilgisi (klinikler için) toplanır
- Veliler çocuk bilgisi yükler (eğitim kurumları için)
Tüm bu veri akışları KVKK kapsamında "kişisel veri işleme" sayılır ve uyum gerektirir.
2. Asgari KVKK Belgeleri
Web sitenizde olması zorunlu KVKK belgeleri:
- Aydınlatma Metni — toplanan verinin nedeni, kullanım amacı, hakları açıklayan metin. Her form yanında erişilebilir olmalı.
- Açık Rıza Metni — bazı veri işlemeler için (pazarlama, yurt dışı transfer) ayrı onay metni. Form gönderilmeden önce check-box ile alınmalı.
- Çerez Politikası — sitedeki çerez türleri, kullanım amacı, kullanıcının red etme hakkı.
- KVKK Politikası — şirketin genel veri yönetim politikası.
- Çerez Yönetim Platformu (CMP) — kullanıcı çerezleri kabul/reddedebilen banner.
- İlgili Kişi Başvuru Formu — KVKK 11. Madde haklarını kullanmak isteyen kişiler için form.
- Veri Sorumlusu Sözleşmesi — varsa üçüncü taraflarla (kargo, mali müşavir vb.) yapılan veri paylaşım sözleşmesi.
- VERBİS Kaydı — kapsama girenler için veri sorumluları siciline kayıt.
3. Aydınlatma Metni Nasıl Yazılır?
Aydınlatma metninin temel maddeleri (KVKK 10. Madde):
3.1. Veri Sorumlusunun Kimliği
Şirket adı, ticaret sicil numarası, adres, e-posta, telefon. Tüzel kişi (şirket) veya gerçek kişi (serbest meslek). Örnek: "Protan Bilişim Reklam ve Danışmanlık Hizmetleri Ltd. Şti., 1471 Sok. No:9/9 Alsancak/İzmir, [email protected]".
3.2. Veri İşleme Amacı
Kişinin verisini ne için topluyor, ne için kullanıyorsunuz: müşteri ilişkileri, sözleşmenin yerine getirilmesi, talep yönetimi, pazarlama, hukuki yükümlülükler. Genel ifade ("amaçlarımız doğrultusunda") yetmez; spesifik amaçları say.
3.3. Hukuki Sebep
KVKK 5. Madde'de 7 hukuki sebep listelenmiş. Hangisinden faydalandığınızı belirtin: açık rıza, sözleşme yerine getirilmesi, hukuki yükümlülük, hayati menfaat, kamu yararı, meşru menfaat, yasal yükümlülük.
3.4. Veri Kategorileri
Hangi kategori veri topluyorsunuz: kimlik (ad, soyad, T.C.), iletişim (e-posta, telefon, adres), müşteri işlem (sipariş geçmişi, ödeme), pazarlama (tercihler), teknik (IP, çerez), özel nitelikli (sağlık, dini inanç vb.).
3.5. Aktarım Yapılacak Taraflar
Veriyi kim alacak: hosting şirketi, ödeme sağlayıcı, kargo şirketi, mali müşavir, pazarlama platformu (Mailchimp, vb.), Google (Analytics, Ads). Her birinin adını ve nedenini belirtin.
3.6. Yurt Dışı Transfer
Veri yurt dışına gidiyor mu? AWS (ABD), Stripe (ABD), Mailchimp (ABD), Google (Global) vb. KVKK 9. Madde gereği yurt dışı transferi için ek koşullar var. Bu özel açık rıza gerektirebilir.
3.7. Saklama Süresi
Veriyi ne kadar süre saklayacaksınız: müşteri verisi 10 yıl (Vergi Usul Kanunu), yorum 2 yıl, çerez 1 yıl, telefon kaydı 1 yıl. Süre bitince imha politikası.
3.8. Kişinin Hakları
KVKK 11. Madde — kişinin 7 hakkı vardır: bilgi alma, işlenip işlenmediğini öğrenme, amacını öğrenme, aktarılan üçüncü kişileri öğrenme, eksik/yanlış işlenmişse düzeltilmesini isteme, silinmesini isteme, otomatik karar verme sürecine itiraz. Bu hakları kullanmak için başvuru e-postası/posta adresinizi belirtin.
4. Açık Rıza Akışı
Açık rıza, KVKK'nın en sıkı kuralı. Aydınlatma metni "bilgi verme"dir, açık rıza "izin alma". Bazı veri işlemeler için açık rıza zorunlu:
- Pazarlama amaçlı veri kullanımı (e-bülten, kampanya SMS)
- Yurt dışı veri transferi (AWS, Mailchimp gibi)
- Özel nitelikli veri işleme (sağlık, dini inanç vb.)
- Profilleme ve otomatik karar verme
4.1. Geçerli Açık Rıza Şartları
- Belirli bir konuya ilişkin — "verileri istediğiniz gibi kullanın" gibi genel rıza geçerli değil.
- Bilgilendirilmiş — kişi neye onay verdiğini biliyor olmalı.
- Hür iradeyle — baskı altında alınmamalı. "Tıklamadan formu gönderemezsiniz" baskıdır — geçersiz.
4.2. Form Üzerinde Açık Rıza Uygulaması
İletişim formunda ayrı 2 check-box: (1) "Aydınlatma metnini okudum" (zorunlu, formu göndermeye izin verir), (2) "Pazarlama amaçlı kullanılmasına onay veriyorum" (opsiyonel, sadece pazarlama için). Hiçbir check-box önceden işaretli olmamalı (pre-checked yasak).
5. Çerez Politikası ve CMP
Çerezler ziyaretçi cihazına kaydedilen küçük dosyalar. KVKK + AB Çerez Direktifi'ne göre çerez kullanımı şart koşar.
5.1. Çerez Türleri
- Zorunlu çerezler — site çalışması için gereklidir (login, sepet, dil tercihi). Onay gerekmez.
- Performans/Analytics çerezleri — Google Analytics gibi. Açık rıza gerekli.
- Pazarlama çerezleri — Facebook Pixel, Google Ads. Açık rıza gerekli.
- Üçüncü taraf çerezleri — gömülü içerik (YouTube, Instagram). Açık rıza gerekli.
5.2. Çerez Yönetim Platformu (CMP)
Sitenizde CMP banner zorunlu. Açıldığında ziyaretçi: (1) Tümünü Kabul Et, (2) Sadece Zorunlu Olanları Kabul Et, (3) Tercihler seçenekleri görmeli. "Tümünü kabul et" tek tıkla mevcut olmalı, "Reddet" de aynı zorlukta olmalı (UX'i zor "Reddet" KVKK ihlalidir). Cookiebot, Termly, OneTrust, Iubenda gibi hazır CMP çözümleri var; kendi CMP'nizi de geliştirebilirsiniz.
5.3. Google Analytics ve KVKK
GA4 IP anonimleştirme yapıyor ama yine de kişisel veri sayılıyor. Açık rıza alınmadan yüklemeyin. Çözüm: ziyaretçi onay verene kadar GA4 yüklenmesin (consent mode v2 kullanın). Privacy-first alternatifler: Plausible, Fathom, Umami — bunlarda çerez yok, açık rıza gerekmez.
6. VERBİS Kaydı
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) — KVKK Kurumu'nun kayıt sistemi. Kapsama girenler:
- Yıllık ciro 100M TL üstü
- 50+ çalışanı olan
- Sağlık-finans-eğitim sektörü
- Özel nitelikli veri işleyen tüm işletmeler
- Avukatlar, mali müşavirler, sağlık çalışanları (mesleki gereksinimle)
6.1. VERBİS Kayıt Süreci
verbis.kvkk.gov.tr üzerinden e-Devlet ile giriş, veri sorumlusu kaydı, irtibat kişisi atama, veri kategorileri ve işleme amaçları girişi. Tüm bu bilgiler kamuya açık görüntülenir. Kayıt süresi 1-2 hafta. Yıllık güncelleme zorunlu.
7. Özel Nitelikli Veri (Sağlık, Çocuk)
7.1. Sağlık Verisi
KVKK 6. Madde: sağlık verisi "özel nitelikli kişisel veri" kategorisindedir. Sağlık verisi işlemek için:
- Açık rıza (her hasta için ayrı imzalı/dijital onay)
- Sır saklama yükümlülüğü altındaki sağlık personeli tarafından işlenmeli
- Veri Sorumlusu Sözleşmesi (HBYS sağlayıcısıyla, lab sistemi ile vb.)
- Şifreli saklama zorunlu
- Erişim logları tutulmalı
- Saklama süresi yasal minimum (genelde 20 yıl)
Detay için İzmir Doktor & Klinik Web Tasarım sayfamızı inceleyin.
7.2. Çocuk Verisi (13 Yaş Altı)
13 yaş altı çocuk verisi ek koruma gerektirir. Veli açık rızası şart, çocuk fotoğrafı için ayrı rıza, sosyal medyada paylaşım için ekstra rıza, minimum süre saklama. Eğitim kurumları için detay İzmir Eğitim Web Tasarım sayfamızda.
8. GDPR ile İlişki
AB'deki müşterilere hizmet veriyorsanız (örn. otelinizde Alman misafir, e-ticaret sitenizden AB sipariş) GDPR de geçerli. KVKK ile GDPR çoğunlukla benzer ama farklı yerleri var:
Temel Farklar
- Cezalar: KVKK %2 veya 5M TL; GDPR %4 veya 20M EUR (hangisi yüksekse)
- Veri taşınabilirliği hakkı: GDPR'da var, KVKK'da yok
- İhlal bildirimi: GDPR 72 saat, KVKK "en kısa sürede"
- DPO (Data Protection Officer): GDPR belirli kriterler için zorunlu
- Yurt dışı transfer: GDPR "yeterli koruma" listesi var, KVKK farklı liste
AB'ye satış yapan firmalar her ikisine birden uyum sağlamalı. Aydınlatma metni hem KVKK hem GDPR çerçevesinde hazırlanır.
9. İhlal Cezaları ve Riskler
2026 Ceza Tarifesi
- Aydınlatma yükümlülüğü ihlali: 50.000-1.000.000 TL
- Veri güvenliği yükümlülüğü ihlali: 50.000-2.000.000 TL
- KVKK Kuruluna bilgi verme yükümlülüğü ihlali: 50.000-1.000.000 TL
- Veri sorumlusu siciline kayıt yükümlülüğü ihlali: 200.000-2.500.000 TL
- Toplam üst limit: 5.000.000 TL/ihlal
Cezanın Yanı Sıra Diğer Riskler
- Tazminat davası (kişiler size dava açabilir)
- İtibar zedelenmesi (KVKK Kurumu kararları kamuya açık yayınlanır)
- İş kaybı (büyük müşteriler KVKK uyumlu olmayanı tercih etmez)
- İş ortaklığı kaybı (yurt dışı partner GDPR uyumu istiyor)
10. Sektörel Yaklaşımlar
Her sektörün kendine özgü KVKK ihtiyaçları var:
Sağlık Sektörü
Sağlık verisi özel nitelikli; ek aydınlatma metni, açık rıza, sır saklama. Sağlık Bakanlığı reklam yönetmeliği ile birleşik uyum. Detay: Sağlık Bakanlığı Reklam Yönetmeliği 2026.
Hukuk Sektörü
Avukatlık Kanunu m.36 (sır) + KVKK birlikte uygulanır. Müvekkil verisi mahremiyet kapsamında. Detay: TBB Reklam Yasağı Rehberi 2026.
Eğitim Sektörü
13 yaş altı çocuk verisi ek koruma. MEB mevzuatı ile birleşik uyum. Veli açık rıza, çocuk fotoğrafı ek onay.
E-Ticaret
Mesafeli sözleşme + açık rıza + KVKK üçlüsü. Pazaryeri (Trendyol, Hepsiburada) entegrasyonunda veri paylaşım sözleşmesi.
Otel ve Turizm
Yabancı misafir → GDPR uyum. Çoklu dil aydınlatma metni. Pasaport/ID fotokopisi imha politikası.
Sonuç
KVKK 2026'da daha sıkı ve daha cezalı. Web sitenizin uyumlu olması bir tercih değil zorunluluk. En azından aydınlatma metni + açık rıza + çerez politikası + CMP banner kurulu olmalı. Sektörünüze özel ek gereksinimler için profesyonel destek alın.
Web sitenizin KVKK uyumu için SEO Danışmanlığı hizmetimiz kapsamında teknik kurulum (form, çerez, CMP, schema) sunuyoruz. Sektörel detaylar için ilgili sayfalarımızı inceleyin: Doktor & Klinik, Avukat, Eğitim, Otel.
İlgili rehberler: