Bir web sitesi açtığınız andan itibaren, farkında olmasanız bile kişisel veri işlemeye başlarsınız. Ziyaretçinin IP adresi, iletişim formundan gelen e-posta, çerezlerle toplanan davranış kayıtları... Bunların hepsi 6698 sayılı KVKK kapsamında "kişisel veri" sayılır. Web sitesi KVKK uyumu da işte bu noktada teknik bir detay olmaktan çıkıp yasal bir zorunluluğa dönüşür. İyi haber şu: çoğu küçük ve orta ölçekli site için uyum, birkaç düzenlenebilir adımdan ibarettir.
Bu yazıda konuyu "hukuk metni" gibi değil, web sitesi sahibinin masasındaki yapılacaklar listesi gibi ele alacağız. Dört temel parçayı tek tek açacağız ve sonunda barındırma tercihinizin denetim anında neden fark yarattığına bakacağız.
KVKK uyumu kimi ilgilendirir?
Sıkça duyulan bir yanlış var: "Ben sadece tanıtım sitesi yapıyorum, veri toplamıyorum." Gerçekte, sunucu erişim kayıtları (log), Google Analytics çerezleri, bir iletişim formu ya da bülten kaydı bile veri işleme faaliyetidir. Dolayısıyla kişisel veri işleyen hemen her web sitesi KVKK kapsamına girer.
İşletmenizin yıllık çalışan sayısı veya cirosu belirli eşikleri aşıyorsa ayrıca VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı da gerekebilir. VERBİS yükümlülüğü her siteyi kapsamaz; ama aydınlatma yükümlülüğü ve güvenlik tedbirleri, sicile kayıt zorunluluğu olmasa bile geçerlidir. Yani "küçüğüm, beni ilgilendirmez" mantığı çoğu durumda yanlıştır.
1. Aydınlatma metni: kim, neyi, neden işliyor?
Aydınlatma metni KVKK'nın 10. maddesinden doğan en temel yükümlülüktür. Amacı basittir: ziyaretçiye, verisini kimin hangi amaçla işlediğini şeffafça anlatmak. İyi bir aydınlatma metninde şunlar bulunmalı:
- Veri sorumlusunun kimliği (firma unvanı, varsa temsilci)
- Hangi kişisel verilerin işlendiği (ad, e-posta, IP, çerez verisi vb.)
- İşleme amaçları (talebe yanıt, sipariş yönetimi, güvenlik)
- Verilerin kimlere, hangi amaçla aktarılabileceği
- Toplama yöntemi ve hukuki sebebi
- Veri sahibinin 11. maddedeki hakları (erişim, düzeltme, silme talebi)
Aydınlatma metni genellikle sitenin alt menüsünde (footer) ayrı bir sayfa olarak yayımlanır ve veri toplanan her noktada (form, kayıt ekranı) bağlantı verilir. Önemli bir ayrım: aydınlatma bilgilendirmedir, onay almak zorunda değildir. Onay konusu bir sonraki maddede.
2. Çerez politikası ve banner: onayı doğru yerden alın
Çerezler, KVKK uyumunun en çok hata yapılan kısmıdır. Birçok site, sadece "Bu sitede çerez kullanılıyor, Tamam" yazan bir kutu koyup işin bittiğini sanır. Oysa Kişisel Verileri Koruma Kurumu'nun yayımladığı çerez rehberine göre, zorunlu olmayan çerezler için ziyaretçinin açık onayı alınmadan çalıştırılmamalıdır.
Çerezleri pratikte iki gruba ayırmak gerekir:
| Çerez türü | Örnek | Onay gerekir mi? |
|---|---|---|
| Zorunlu / teknik | Oturum, sepet, güvenlik, dil tercihi | Hayır (ama bilgilendirme yapılmalı) |
| Analitik | Google Analytics, ısı haritası | Evet, önceden onay |
| Pazarlama / reklam | Yeniden hedefleme, sosyal medya pikseli | Evet, önceden onay |
Doğru kurgulanmış bir çerez banner'ı şu özelliklere sahip olmalı:
- "Kabul Et" kadar görünür bir "Reddet" seçeneği sunmak
- Çerez türlerini tek tek açıp kapatabilen bir ayar paneli
- Onay verilene kadar analitik/pazarlama çerezlerini yüklememek
- Ayrı bir çerez politikası sayfasına bağlantı
Burada en sık yapılan hata, analitik kodunu sayfa açılır açılmaz çalıştırıp banner'ı sadece dekoratif amaçla göstermektir. Bu, teknik olarak onaysız veri işlemedir ve denetimde sorun çıkarır.
3. Açık rıza: her şey için değil, gerektiğinde
KVKK'da veri işlemenin birçok hukuki sebebi vardır; açık rıza bunlardan yalnızca biridir. Örneğin bir sözleşmenin ifası için (sipariş, fatura) ya da meşru menfaat kapsamında veri işliyorsanız ayrıca rıza almanıza gerek yoktur. Açık rıza özellikle şu durumlarda devreye girer:
- Pazarlama amaçlı e-posta/SMS gönderimi (ETK ile birlikte)
- Zorunlu olmayan çerezler
- Verinin başlangıçtaki amaç dışında kullanılması
Geçerli bir açık rızanın üç şartı vardır: belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle verilmesi. Bu yüzden formlardaki onay kutucukları önceden işaretli (pre-checked) olmamalı; ziyaretçi kutuyu kendi tıklamalıdır. Ayrıca aydınlatma onayı ile ticari ileti (ETK) onayını ayrı kutucuklarda tutmak, "her şeyi tek tıkla kabul ettir" yaklaşımından çok daha güvenlidir.
4. İletişim formu verileri: en sık gözden kaçan nokta
Hemen her sitede bir iletişim formu vardır ve çoğu zaman KVKK açısından düşünülmeden eklenir. Oysa ziyaretçi formu doldurduğunda adını, e-postasını, bazen telefonunu paylaşır — bunların hepsi kişisel veridir. İletişim formunuzu uyumlu hâle getirmek için:
- Formun yanına kısa bir aydınlatma notu + tam metne bağlantı koyun
- Yalnızca gerçekten gereken alanları isteyin (veri minimizasyonu)
- Form verilerini sınırsız süre saklamayın; belirli bir saklama süresi tanımlayın
- Form gönderimlerinin iletildiği e-posta kutusu ve sunucuyu güvenli tutun
- Mümkünse basit spam korumaları (honeypot, zaman tuzağı) ile kötüye kullanımı azaltın
Bu son madde önemlidir: KVKK yalnızca "metin koy" demez, aynı zamanda veri güvenliğini sağlamayı (madde 12) zorunlu kılar. Yani form verilerinin gittiği e-posta hesabı zayıf bir parolayla korunuyorsa ya da sunucunuz güncel değilse, metniniz kusursuz olsa bile yükümlülüğünüzü tam karşılamamış olursunuz.
Yurt içi barındırmanın denetimdeki avantajı
KVKK uyumu yalnızca metinlerle bitmez; verinin nerede ve nasıl saklandığı da kritik bir başlıktır. Verilerinizi yurt dışındaki bir sunucuda barındırıyorsanız, çoğu durumda bu bir yurt dışına veri aktarımı anlamına gelir ve KVKK'nın aktarım kuralları (yeterlilik, taahhütname veya açık rıza gibi koşullar) devreye girer. Bu da uyum yükünüzü artırır.
Yurt içi barındırma, bu tabloyu önemli ölçüde sadeleştirir:
| Konu | Yurt içi barındırma | Yurt dışı barındırma |
|---|---|---|
| Veri aktarımı koşulu | Genellikle gerekmez | Çoğu durumda ek koşul gerekir |
| Hukuki erişim | Türk hukukuna tabi | Yabancı mevzuat etkili olabilir |
| Destek ve dil | Türkçe, aynı saat dilimi | Çoğunlukla yabancı dil |
| Denetimde ispat | Daha kolay belgelenir | Aktarım gerekçesi gerekir |
Özellikle .tr uzantılı kurumsal siteler, e-ticaret ve kamuya hizmet veren platformlar için verilerin Türkiye sınırları içinde tutulması, hem denetimde ispat kolaylığı hem de müşteri güveni açısından belirgin bir avantaj sağlar. Bu konuyu daha derinlemesine ele aldığımız ayrı bir yazımız da var; ancak özet şudur: doğru lokasyon seçimi, sonradan üstesinden gelmek zorunda kalacağınız hukuki yükü en baştan azaltır.
Hızlı uyum kontrol listesi
Aşağıdaki maddeleri tek tek geçtiyseniz, web sitenizin KVKK uyumunda sağlam bir temel atmışsınız demektir:
- Footer'da erişilebilir bir aydınlatma metni
- Reddet seçeneği ve ayar paneli olan bir çerez banner'ı
- Ayrı bir çerez politikası sayfası
- Onaysız çalışmayan analitik/pazarlama kodları
- Önceden işaretli olmayan, ayrı rıza/ETK kutucukları
- Aydınlatma notu ve minimum alan içeren iletişim formu
- Güçlü parola, güncel yazılım, yedekleme gibi veri güvenliği tedbirleri
- Gerekiyorsa VERBİS kaydı
Sonuç
KVKK uyumu, korkulduğu kadar karmaşık değildir; düzenli adımlara bölündüğünde çoğu site bunu kısa sürede tamamlayabilir. Temel mantık nettir: ziyaretçiye dürüst olun, sadece gerekli veriyi toplayın, onay gereken yerde onayı doğru alın ve verileri güvenli bir yerde saklayın.
Bu güvenli "yer" konusunda fark, çoğu zaman barındırma tercihinizde gizlidir. Sitenizi yurt içinde, Türkçe destek ve güncel altyapıyla barındırmak istiyorsanız hosting paketlerimize göz atabilir ya da SSL ve güvenlik durumunuzu hızlıca kontrol etmek için ücretsiz web araçlarımızı kullanabilirsiniz. Uyum sürecinde takıldığınız bir nokta olursa bilgi bankamız ve destek ekibimiz yanınızda.