E-Ticaret'te KVKK Uyumu: Çerez Politikası, Pazarlama İzni ve İşlem Kaydı
E-ticaret ve dijital pazarlamada KVKK uyumunun pratik rehberi: çerez yönetimi, elektronik ticari ileti izni, müşteri verilerinin işlenmesi ve Kurul kararları.
E-ticarette veri işleme
E-ticaret işletmeleri, hizmetlerinin doğası gereği yoğun kişisel veri işler:
- Kullanıcı kaydı: Ad, soyad, adres, telefon, e-posta,
- Ödeme: Kart bilgileri veya ödeme geçmişi (bankada saklanır),
- Davranışsal veri: Tıklama, arama, satın alma geçmişi,
- Konum verisi: Teslimat takibi, konum tabanlı kampanyalar,
- Çerezler: Oturum, tercih, reklam hedefleme.
Bu verilerin her biri için KVKK kapsamında ayrı hukuki dayanak belirlenmeli; aydınlatma yapılmalı; gerektiğinde rıza alınmalıdır.
Çerezler ve CMP (Consent Management Platform)
Çerez türleri ve hukuki dayanak
| Çerez Türü | Hukuki Dayanak |
|---|---|
| Zorunlu çerezler (oturum, güvenlik) | Meşru menfaat veya sözleşme zorunluluğu |
| İşlevsellik çerezleri (dil tercihi) | Meşru menfaat veya açık rıza |
| Analitik çerezler (Google Analytics) | Açık rıza |
| Pazarlama/hedefleme çerezleri | Açık rıza (zorunlu) |
Çerez banner tasarımı
Kurul kararları, çerez banner'larının şu özellikleri taşımasını gerektirir:
- Kabul et / Reddet seçenekleri eşit şekilde sunulmalı,
- Yalnızca "Kabul Et" düğmesi büyük gösterilemez,
- "Tümünü Kabul Et" kadar kolay "Tümünü Reddet" seçeneği bulunmalı,
- Banner kapatıldığında rıza alınmış sayılmaz.
Elektronik ticari ileti (ETİ) izni — 6563 sayılı Kanun
E-ticaret işletmelerinin en sık yaptığı hatalardan biri: KVKK açık rızasının ETİ izninin yerini tuttuğunu sanmak.
Bunlar iki farklı yasal düzenlemedir:
- KVKK açık rızası: Kişisel verinin pazarlama amacıyla işlenmesi için,
- 6563 sayılı ETİK izni: E-posta, SMS ve telefon yoluyla ticari ileti göndermek için.
Her ikisi de ayrı ayrı alınmalıdır. ETİK izni, İYS (İleti Yönetim Sistemi) üzerinden yönetilir.
İYS zorunluluğu
Ticari elektronik ileti gönderen tüm işletmeler izin kayıtlarını İYS'de tutmak zorundadır. Alıcı, İYS üzerinden gelen tüm ticari mesajları tek noktadan yönetebilir ve reddedebilir.
Müşteri verilerinin işlenmesi — hukuki dayanak haritası
| İşleme Faaliyeti | Hukuki Dayanak |
|---|---|
| Sipariş işleme, teslimat | Sözleşme zorunluluğu |
| Müşteri hizmetleri | Meşru menfaat / sözleşme |
| Yasal saklama yükümlülükleri (fatura vb.) | Kanuni yükümlülük |
| Pazarlama e-postası | Açık rıza |
| Profilleme / kişiselleştirme | Açık rıza |
| Çerez tabanlı reklam hedefleme | Açık rıza |
| Fraud (dolandırıcılık) önleme | Meşru menfaat |
Üçüncü taraf entegrasyonları
E-ticaret platformlarının kullandığı ödeme sistemleri, kargo entegrasyonları, pazarlama araçları ve analitik sistemler; kişisel veri aktarımı gerçekleştirir.
Her aktarım için:
- Veri işleyen sözleşmesi (DPA) hazırlanmalı,
- Aktarım amacı ve kapsamı belirtilmeli,
- Yurt dışı ise yurt dışı aktarım güvencesi sağlanmalı.
Saklama süreleri
| Veri Kategorisi | Önerilen Saklama Süresi |
|---|---|
| Sipariş ve fatura bilgileri | 10 yıl (TTK + VUK) |
| Müşteri hesabı verileri | Hesap aktif olduğu sürece + 3 yıl |
| Pazarlama izinleri | İzin alındığı tarihten rıza geri alınana kadar |
| Analitik veriler | Genellikle 13-26 ay |
| Çerez verileri | Çerez türüne göre (oturum, 1 yıl vb.) |
Kurul kararlarından e-ticaret örnekleri
Karar 2022/1031: Büyük bir e-ticaret platformu, çerez banner'ında reddetme seçeneğini gizlemişti. Kurul, ayrımcı tasarım nedeniyle ceza uyguladı.
Karar 2023/456: Bir e-ticaret şirketi, müşteri e-posta listesini ETİK izni olmadan pazarlama amaçlı kullandı. Hem KVKK hem 6563 sayılı Kanun kapsamında yaptırım verildi.
Pratik uyum kontrol listesi
| Kontrol | Durum |
|---|---|
| Çerez politikası yayında ve güncel mi? | Zorunlu |
| CMP (çerez banner) reddetme seçeneği eşit mi? | Zorunlu |
| ETİ izni ve İYS kaydı var mı? | Zorunlu |
| KVKK aydınlatma metni güncel mi? | Zorunlu |
| Üçüncü taraflarla DPA imzalandı mı? | Zorunlu |
| Yurt dışı aktarım güvencesi sağlandı mı? | Zorunlu |
| Müşteri veri silme mekanizması var mı? | Zorunlu |
Sık yapılan 5 hata
1. KVKK rızasıyla ETİK iznini aynı checkbox'ta toplamak — ikisi farklı kanunlar; ayrı ayrı alınmalı.
2. Çerez banner'ını "kabul" odaklı tasarlamak — Kurul, reddetmenin kadar kolay erişilebilir olmasını şart koşar; asimetrik tasarım ceza gerektirir.
3. Üçüncü taraf ödeme/kargo entegrasyonlarını veri aktarımı saymamak — bu entegrasyonlar kişisel veri aktarımıdır; DPA şart.
4. Analitik araçların yurt dışı aktarım oluşturduğunu görmezden gelmek — Google Analytics, Hotjar gibi araçlar ABD'ye veri aktarır; standart sözleşme veya güvence mekanizması gerekli.
5. Müşteri silme/unutulma taleplerini karşılamamak — KVKK m.11 kapsamında silme/yok etme talebine 30 gün içinde yanıt zorunlu; teknik altyapı hazır olmalı.
Kapanış
E-ticaret ve dijital pazarlamada KVKK uyumu; çerez yönetimi, pazarlama izni ve veri aktarım güvencesi olmak üzere birbirine bağlı üç kritik alan üzerine kuruludur. Bu alanların birinde yapılan hata genellikle diğerlerini de etkiler. Avukatın görevi e-ticaret altyapısını veri akış haritasıyla incelemek ve her işleme faaliyeti için doğru hukuki dayanağı belirlemektir.
KVKK alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.