Türk E-Ticaret İçin KVKK Uyum Kontrol Listesi (2026)
Türk online mağazaları için pratik 12 maddelik KVKK kontrol listesi: VERBİS kaydı, açık rıza akışları, veri işleme envanteri, saklama süreleri ve denetimde gerçekten neye bakılır.
TL;DR. KVKK, Türkiye’nin GDPR muadili. Müşteri verisi (ad, adres, e-posta, telefon) topluyorsanız uymak zorundasınız. 12 olmazsa olmaz: yayınlanmış gizlilik + çerez politikaları, yılda 50’den fazla müşterinin verisi işleniyorsa VERBİS kaydı, belgelenmiş veri işleme envanteri, üyelik ve ödemede önceden işaretsiz açık rıza akışları, çalışan "verimi sil" yolu, saklama süreleri, KVKK uyumlu tedarikçi sözleşmeleri, 72 saat içinde ihlal bildirimi, güvenlik temeli, çalışan eğitimi, düzenli denetim ve AB müşterilerine satıyorsanız Veri Sorumlusu Temsilcisi yayını.
KVKK 2016’dan beri yürürlükte; 2024–2026 döneminde uygulama anlamlı şekilde sıkılaştı. Cezalar ihlal başına 12.000 TL’den başlar, sistematik aksaklıklarda milyonları bulur. Teorik bir risk değil — KVK Kurumu kararlarını yayınlıyor ve modal ihlalci tam olarak çoğu e-ticaret sitesinin hâlâ yaptığı şeyi yapıyor.
KVKK ne ister (kısa özet)
KVKK "kişisel veri"yi düzenler — bir kişiyi doğrudan veya dolaylı olarak tanımlayan her şey. Bir e-ticaret sitesi için bu; ad, adres, e-posta, telefon, IP, fatura bilgileri, gezinme geçmişi ve sipariş verileri. Yasa veri sahibine (müşterinize) yedi hak verir: bilme, erişim, düzeltme, silme, itiraz, veri taşınabilirliği ve otomatik karar bilgilendirmesi.
Veri Sorumlusu olarak yükümlülükleriniz:
- İşinize özel — şablon değil — Türkçe gizlilik politikası ve çerez politikası yayınlayın.
- Kişisel veriyi yalnızca açık ve hukuki amaçlar için, ihtiyacınız kadar toplayın.
- Her farklı işleme amacı için açık rıza alın (pazarlama e-postası, sipariş tamamlamadan farklı bir amaçtır).
- Yılda 50’den fazla müşterinin verisi işleniyorsa VERBİS’e kaydolun (her gerçek e-ticaret işletmesi).
- Belgelenmiş veri işleme envanteri tutun.
- İhlal halinde 72 saat içinde KVK Kurumu ve etkilenen kullanıcılara bildirin.
- Riske uygun teknik ve organizasyonel güvenlik önlemleri uygulayın.
12 maddelik operasyonel kontrol listesi
1. Her sayfada gizlilik politikası ve çerez politikası
Her kamuya açık sayfanın altbilgisinde Türkçe gizlilik politikasına bağlantı: hangi verileri topluyorsunuz, hukuki dayanak (rıza, sözleşme, meşru menfaat), saklama süreleri, üçüncü taraf işleyiciler, veri sahibi hakları ve KVKK talepleri için iletişim e-postası.
2. VERBİS kaydı
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) ulusal veri sorumluları kayıt sistemi. Yılda 50’den fazla müşteri verisi işliyorsanız kayıtlı olmak zorundasınız. Kayıt ücretsiz; kayıt yokluğu 50.000+ TL ceza.
3. Belgelenmiş veri işleme envanteri
Topladığınız her veri türü, depolayan her sistem, dokunan her üçüncü taraf ve saklama süresi listelenmiş bir tablo veya belge. KVK Kurumu denetimde bu envanteri ister — hazır olması denetimi günlerden saatlere indirir.
4. Üyelikte açık, opt-in rıza
KVKK’ya göre önceden işaretli rıza kutusu rıza sayılmaz. Her farklı işleme amacı kendi opt-in’ine ihtiyaç duyar. Sipariş tamamlama pazarlama rızası gerektirmez; ödemede pazarlama rızası ayrı, işaretlenmemiş bir kutudur.
5. Ödemede ayrı açık rıza (siparişten farklı)
"Mesafeli Satış Sözleşmesi’ni okudum ve kabul ediyorum" kutusu sipariş için yeterli. Pazarlama e-posta ve SMS kendi opt-in’lerini ister. Profil çıkarma rızası (ürün öner için davranış kullanmak) üçüncü bir opt-in.
6. Çalışan "verimi sil" yolu
Hesap içi "hesabımı sil" düğmesi ya da kayıtları gerçekten silebilen bir kişiye giden açıkça yayınlanmış e-posta adresi. KVKK veri sahibi talebine 30 gün içinde yanıt zorunluluğu getirir. En sık görülen hata modu: e-posta artık takip edilmeyen bir kutuya gider.
7. Yazılı saklama süreleri
Veriyi sonsuza kadar saklayamazsınız. E-ticaret için tipik saklama süreleri:
| Veri | Saklama |
|---|---|
| Sipariş kayıtları (yasal/vergi) | 10 yıl (Türk Ticaret Kanunu) |
| Aktif müşteri hesapları | Aktifken + son alışveriş sonrası 3 yıl |
| Pazarlama rızası | Verildiği sürece; her zaman geri alınabilir |
| Sepet terk verisi | 30 gün |
| IP / gezinme logları | Maks 1 yıl |
Bunları belgeleyin. Uygulayın. KVK Kurumu politika ile uygulama arasındaki açığı denetler.
8. Tedarikçi sözleşmelerinde KVKK maddeleri
Müşteri verisine dokunan her üçüncü taraf — e-posta servisi (SendGrid, Postmark), SMS (Netgsm, iletimerkezi), CRM, analitik, ödeme — KVKK Madde 12 uyumlu yazılı veri işleme sözleşmesi ister. Şablonlar var; imzalamak iş.
9. İhlal bildirim protokolü
Bir ihlal tespit edildiğinde ne olacağına dair belgelenmiş, prova edilmiş plan. 72 saatlik saat şirkette herhangi biri farkında olduğunda başlar. İletişim şablonu, dahili eskalasyon listesi, KVK Kurumu form bağlantısı, müşteri e-postası — baskı altında değil önceden hazırlanır.
10. Güvenlik temeli
Yasa "uygun" önlemler bekler, mükemmel güvenlik değil. Asgari: tüm site HTTPS, parola hash’leme (bcrypt veya daha güçlü), şifrelenmiş yedekler, çalışanlar için rol bazlı erişim, paylaşılan yönetici şifresi yok, üretimde MFA. Temeli belgeleyin; yıllık gözden geçirin.
11. Çalışan eğitimi
Müşteri verisine erişen her personel yıllık KVKK eğitimi alır ve tutanak imzalar. Eğitim ayrıntılı olmak zorunda değil — 30 dakikalık brifing ve PDF — ama belgelenmek zorunda.
12. Yıllık denetim ve güncelleme
Yılda bir kez envanteri yürüyün, saklamanın uygulanıp uygulanmadığını doğrulayın, veri sahibi yanıtlarını örnekleyin, yeni tedarikçiler için sözleşmeleri gözden geçirin, eğitimi yenileyin. Dış KVKK danışmanı (~10.000–25.000 TL/yıl, küçük mağaza) süreci hızlandırır ama zorunlu değil.
Düzenleyici gerçekte neyi denetler
KVK Kurumu rastgele denetim yapmıyor. Şikayet veya kamuoyu olan bir ihlal sonrası geliyorlar. Karar yazılarının paterni tutarlı:
- Şikayet, veri işleme envanteri talebini tetikler.
- Rıza akışlarının opt-in mi yoksa önceden işaretli mi olduğunu kontrol eder.
- İhlal bildirim logu ister (ve bulamaz).
- Saklamayı politikanıza karşı denetler.
- İhlal kademesi ve şirket gelirine göre ceza düzenler.
En ucuz savunma şikayet gelmeden önce 1–7 maddelerini gerçekten uygulamış olmaktır. 8–12 maddesi şikayet geldiğinde cezayı düşürür.
Sık yapılan hatalar
- GDPR şablonunu doğrudan çevirmek. KVKK ve GDPR benzer ama özdeş değil. VERBİS ve Mesafeli Satış yükümlülüğü GDPR’da yok.
- Tek geniş kapsamlı rıza kutusu. "Tüm şartları kabul ediyorum" KVKK rıza özgüllüğünü karşılamaz.
- Bildirim olmadan veriyi yurtdışı sunucuda saklamak. Sınır ötesi aktarım açık rıza veya KVK Kurumu’nun tanıdığı yeterlilik kararı ister (bunlar nadir).
- Çerezleri yalnızca işlevsel saymak. Pazarlama pikselleri (Meta, Google Ads, TikTok) kişisel veri işliyor ve açık rıza ister.
- Kurucunun DPO işini yarı zamanlı yapıp unutması. "DPO’muz var" ile "DPO bir şey yapıyor" oranı endişe verici.
Ceza tablosu
| İhlal kademesi | Ceza aralığı (TL) |
|---|---|
| Bilgilendirme yapmamak / eksik gizlilik politikası | 12.000 – 250.000 |
| Rıza almamak | 25.000 – 500.000 |
| VERBİS kaydı yokluğu | 50.000 – 1.000.000 |
| Güvenlik tedbiri almamak | 25.000 – 1.000.000 |
| KVK Kurumu kararına uymamak | 50.000 – 1.000.000 |
| Sınır ötesi aktarım ihlali | 50.000 – 1.000.000 |
Bunlar olay başına. 1–7 maddelerinin hiçbirini yapmamış bir e-ticaret sitesi gerçekçi olarak 200.000–500.000 TL birikmiş risk altında.
SSS
Veri Koruma Görevlisi (DPO) atamam gerekir mi? Yalnızca yılda 50’den fazla müşteri verisi işliyorsanız, yüksek hacimli özel nitelikli veri işliyorsanız ya da kamu kurumu olarak belirlendiyseniz. Çoğu KOBİ e-ticaret mağazası için zorunlu değil — ama KVKK’dan sorumlu ve veri sahibi taleplerine yanıt verecek bir kişi olmalı.
Çerez bildirimi yasal olarak zorunlu mu? Zorunlu olmayan çerezler (analitik, pazarlama pikselleri) için evet. Yalnızca işlevsel çerezler (sepet, oturum) için hayır. Açık kabul/reddet seçenekli çerez bildirimi kullanın — ön kabul ihlal.
AB müşterilerine satıyorsam? GDPR’a da tabisiniz. İyi haber: KVKK uyumu GDPR yükümlülüklerinin ~%80’ini kapsar. Kalan %20’de AB temsilcisi atamak ve sınır ötesi aktarım için hukuki dayanak sağlamak var.
VERBİS kaydı ne kadar sürer? Online 1–3 iş günü. Kayıt ücretsiz; süre, beyan edeceğiniz veri işleme kategorilerini hazırlamaya gider.
Tek seferlik KVKK şablon paketi alabilir miyim? Evet — Türk KVKK danışmanları ~5.000–10.000 TL tek seferlik şablon kiti satar. Başlangıç için iyi. Hata, şablonları işin kendisi sanmak; gerçek uyum uygulamada.
KVKK şablon akışları FaStart içine önceden kablolanmıştır: gizlilik politikası, çerez bildirimi, rıza kutuları ve veri ihraç uçları platformla birlikte gelir. Ücretsiz plan ilk günden bunu kapsar.