Güvenlik & SSL

    GDPR Nedir? Türk Siteleri İçin Ne Anlama Gelir?

    GDPR'ın kapsamını, KVKK ile farklarını ve AB'ye hizmet veren Türk siteleri için uyum adımlarını anlatan rehber.

    11 dk okuma Güncellendi: 10 Temmuz 2026

    Bir Türk e-ticaret sitesi işletiyorsunuz, sunucunuz İstanbul'da, müşterilerinizin çoğu Türkiye'de. Derken Almanya'da yaşayan bir müşteri sipariş veriyor ya da Fransa'dan biri bülteninize kaydoluyor. İşte tam bu anda, çoğu site sahibinin hiç beklemediği bir hukuki dünyaya adım atmış oluyorsunuz: GDPR. Kısaca "AB'de sunucum yok, beni ilgilendirmez" diyerek geçiştirilecek bir konu değil bu; çünkü tüzüğü tetikleyen şey sunucunuzun konumu değil, verisini işlediğiniz kişinin nerede bulunduğu.

    Bu rehberde GDPR'ın ne olduğunu, neden Türkiye'deki bir siteyi de bağlayabildiğini, hangi temel ilkeler üzerine kurulduğunu ve KVKK'ya ne kadar benzediğini pratik örneklerle anlatacağım. Amacım hukuk fakültesi dersi vermek değil; yıllardır sunucu ve hosting tarafında çalışan biri olarak, "peki ben ne yapmalıyım" sorusuna somut cevaplar bırakmak. Sonunda uyum için atabileceğiniz adımları, sunucu tarafında alınabilecek teknik önlemleri ve bir veri ihlali yaşandığında izlenmesi gereken yolu bulacaksınız. Baştan bir not düşeyim: aşağıdakiler genel bilgilendirmedir, bağlayıcı hukuki görüş değildir; kritik kararlar öncesi bir avukata danışmak şart.

    GDPR Nedir ve Neden Ortaya Çıktı?#

    GDPR, açılımıyla General Data Protection Regulation (Genel Veri Koruma Tüzüğü), Avrupa Birliği'nin 2018 yılında yürürlüğe koyduğu ve kişisel verilerin işlenmesini düzenleyen kapsamlı bir yasal çerçevedir. Türkçesiyle sıkça "AB Veri Koruma Tüzüğü" olarak geçer. Amacı basittir ama etkisi büyüktür: bireylere kendi verileri üzerinde gerçek bir kontrol vermek ve bu veriyi işleyen şirketlere ciddi sorumluluklar yüklemek.

    GDPR öncesinde her AB üyesi ülkenin kendi veri koruma yasası vardı ve bunlar birbirinden farklıydı. İnternet sınır tanımadığı için bu parçalı yapı hem kullanıcılar hem şirketler için kaos yaratıyordu. GDPR tüm birliği tek bir kural setinde birleştirdi. En dikkat çekici yanı ise cezalarıdır: ihlallerde 20 milyon euroya kadar ya da şirketin yıllık global cirosunun yüzde 4'üne kadar (hangisi yüksekse) para cezası kesilebiliyor. Bu rakamlar, konuyu "iyi olur ama şart değil" kategorisinden çıkarıp yönetim kurulu gündemine taşıyan asıl sebep.

    GDPR'ın koruma altına aldığı "kişisel veri" kavramı sandığınızdan geniştir. Ad soyad ve e-posta bariz örnekler ama IP adresi, çerez kimliği, konum bilgisi, cihaz parmak izi, hatta bir kişiyi dolaylı olarak tanımlayabilen her türlü veri bu kapsama girer. Yani sitenizin sadece ziyaretçi loglarını tutması bile veri işleme sayılabilir.

    GDPR Türk Sitelerini Nasıl Bağlar?#

    İşin can alıcı noktası burası. GDPR'ın 3. maddesi "topraküstü etki" (extraterritorial scope) denen bir ilke tanımlar. Kısaca: nerede kurulu olursanız olun, eğer AB'de bulunan kişilere mal/hizmet sunuyorsanız ya da onların davranışlarını izliyorsanız, GDPR sizi bağlar. Sunucunuzun Ankara'da, şirketinizin İzmir'de olması bu sonucu değiştirmez.

    İki tetikleyici senaryoyu ayırt etmek önemli:

    • Mal veya hizmet sunmak: Siteniz Almanca ya da Fransızca dil seçeneği sunuyorsa, euro ile fiyat gösteriyorsa, AB ülkelerine kargo yapıyorsa ya da açıkça oradaki müşterileri hedefliyorsa bu kapsamdasınız. Sadece sitenizin AB'den erişilebilir olması tek başına yetmez; niyet ve yönelim aranır.
    • Davranış izlemek: AB'deki kullanıcıları çerezlerle takip ediyor, yeniden hedefleme (retargeting) reklamı yapıyor ya da analitik araçlarla profilliyorsanız, tek bir Türkçe arayüzünüz olsa bile bu madde devreye girebilir.

    Pratikte kritik soru şu: "AB'deki bir kişinin verisini bilerek ve isteyerek işliyor muyum?" Cevabınız evetse, GDPR masanın üzerinde demektir. Bu yüzden uluslararası satış yapan, çok dilli hosting üzerinde çalışan ya da AB pazarına açılmak isteyen her Türk sitesinin bu tüzüğü ciddiye alması gerekir. Sunucu ve altyapı tarafında sağlam bir temel için sunucu güvenliği temelleri yazısındaki önlemleri de gözden geçirmenizi öneririm.

    GDPR'ın Temel İlkeleri#

    GDPR birçok kural içerse de günlük hayatta site sahiplerini en çok ilgilendiren dört ilke öne çıkar. Bunları tek tek somutlaştıralım.

    Rıza (Consent): Veri işlemenin en bilinen hukuki dayanağı açık rızadır. GDPR'a göre rıza; özgürce verilmiş, spesifik, bilgilendirilmiş ve tereddütsüz olmalıdır. Yani önceden işaretli onay kutuları, "kaydolarak her şeyi kabul etmiş sayılırsınız" tarzı gizli metinler geçersizdir. Kullanıcı aktif bir eylemle (kutuyu kendisi işaretleyerek) onay vermeli ve bu onayı istediği an aynı kolaylıkla geri çekebilmelidir. Pazarlama izni, analitik çerezleri ve zorunlu olmayan her işlem için ayrı ayrı rıza almak en güvenli yaklaşımdır.

    Unutulma hakkı (Right to erasure): Kullanıcı, belirli koşullarda kendisiyle ilgili tüm verinin silinmesini talep edebilir. Bir müşteri "hesabımı ve tüm verilerimi silin" dediğinde, yasal saklama yükümlülükleri (örneğin fatura kayıtları) dışında elinizdeki her şeyi silmekle yükümlüsünüz. Bu, veritabanınızdan yedeklerinize kadar zincirin tamamını kapsar.

    Veri taşınabilirliği (Data portability): Kullanıcı, size verdiği kişisel veriyi yapılandırılmış, yaygın kullanılan ve makine tarafından okunabilir bir formatta (JSON, CSV gibi) geri isteyebilir ya da başka bir hizmete aktarılmasını talep edebilir. Bu, kullanıcının verisinin sizde "rehin" kalmamasını sağlar.

    İhlal bildirimi (Breach notification): Bir veri ihlali yaşandığında (örneğin veritabanınız sızdı), bunu fark ettikten sonra en geç 72 saat içinde ilgili denetim otoritesine bildirmekle yükümlüsünüz. İhlal, kişiler için yüksek risk taşıyorsa etkilenen kullanıcıları da doğrudan bilgilendirmeniz gerekir. Bu 72 saatlik pencere gerçekten kısadır; bu yüzden ihlal müdahale planınızı sıcak günde değil, önceden hazırlamalısınız.

    KVKK ile GDPR Karşılaştırması#

    Türkiye'de faaliyet gösteriyorsanız zaten 6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) ile tanışıksınızdır. İyi haber şu: KVKK büyük ölçüde GDPR'dan ilham alınarak yazıldı, bu yüzden temel mantık aynı. Ama detaylarda önemli farklar var. Aşağıdaki tablo pratik açıdan en çok işinize yarayacak karşılaştırmayı özetliyor.

    KonuKVKK (Türkiye)GDPR (AB)
    Yürürlük20162018
    Denetim otoritesiKişisel Verileri Koruma Kurumu (KVKK)Her ülkenin kendi otoritesi + EDPB
    Coğrafi kapsamTürkiye'deki veri işlemeAB'deki kişilerin verisi (dünya çapında)
    Ceza üst sınırıİdari para cezaları (görece düşük)20M euro veya cironun %4'ü
    Rıza standardıAçık rızaAçık + özgür + spesifik + geri alınabilir
    İhlal bildirimiEn kısa sürede (24-72 saat pratiği)72 saat içinde
    Veri taşınabilirliğiAçıkça düzenlenmemişNet bir hak olarak tanımlı
    Yurt dışına aktarımSıkı koşullara bağlıYeterlilik kararı / standart sözleşmeler

    Görüldüğü gibi iki çerçeve kavramsal olarak akraba ama GDPR daha katı ve cezaları çok daha ağır. Önemli bir tuzak şudur: KVKK'ya uyumlu olmanız otomatik olarak GDPR'a uyumlu olduğunuz anlamına gelmez. Özellikle veri taşınabilirliği, unutulma hakkının kapsamı ve yurt dışı veri aktarımı konularında GDPR ek yükümlülükler getirir. AB müşterisi olan bir işletmenin her iki çerçeveyi de ayrı ayrı karşılaması gerekir.

    Pratik Uyum Adımları#

    Teoriyi bir kenara bırakıp uygulamaya geçelim. Aşağıdaki adımlar, bir siteyi GDPR açısından ayağa kaldırmak için izlediğim genel yol haritasıdır.

    1. Veri envanteri çıkarın. Hangi veriyi, nereden, neden topladığınızı ve nerede sakladığınızı bilmeden hiçbir şeye uyum sağlayamazsınız. Basit bir tablo bile işe yarar:

    veri_envanteri:
      - alan: email
        kaynak: kayit_formu
        amac: hesap_yonetimi
        saklama_suresi: hesap_aktif_oldukca
        isleme_dayanagi: sozlesme
      - alan: ip_adresi
        kaynak: web_sunucu_logu
        amac: guvenlik
        saklama_suresi: 90_gun
        isleme_dayanagi: mesru_menfaat
      - alan: pazarlama_izni
        kaynak: bulten_kutusu
        amac: eposta_pazarlama
        saklama_suresi: izin_geri_alinana_kadar
        isleme_dayanagi: acik_riza
    

    2. Gizlilik politikası ve çerez metni yazın. Kullanıcıya hangi veriyi neden topladığınızı açık, sade bir dille anlatın. Çerez onay banner'ı, zorunlu olmayan çerezleri ancak kullanıcı onayladıktan sonra yüklemelidir. "Kabul et" kadar görünür bir "reddet" seçeneği sunmak GDPR açısından önemlidir.

    3. Rıza kayıtlarını saklayın. Kim, ne zaman, neye onay verdi bunu ispatlayabilmeniz gerekir. Veritabanınızda basit bir onay tablosu tutun:

    CREATE TABLE consent_log (
        id           BIGINT AUTO_INCREMENT PRIMARY KEY,
        user_id      BIGINT NOT NULL,
        consent_type VARCHAR(50) NOT NULL,   -- pazarlama, analitik, vb.
        granted      TINYINT(1) NOT NULL,
        ip_address   VARCHAR(45),
        created_at   DATETIME NOT NULL DEFAULT CURRENT_TIMESTAMP,
        INDEX idx_user (user_id, consent_type)
    );
    

    4. Veri sahibi taleplerini karşılayacak bir süreç kurun. Erişim, silme ve taşınabilirlik taleplerine bir ay içinde cevap vermeniz beklenir. Kullanıcıya verisini dışa aktaran basit bir uç nokta, bu talepleri manuel çile olmaktan çıkarır. Bir kullanıcının tüm verisini toplayan örnek bir sorgu:

    # Bir kullanıcının verisini JSON olarak dışa aktar (taşınabilirlik hakkı)
    mysql -N -e "SELECT JSON_OBJECT( \
      'profil', (SELECT JSON_OBJECT('email', email, 'ad', name) FROM users WHERE id=42), \
      'siparisler', (SELECT JSON_ARRAYAGG(JSON_OBJECT('no', id, 'tutar', total)) FROM orders WHERE user_id=42) \
    );" shopdb > kullanici_42_verileri.json
    

    5. Yurt dışı aktarımı ve alt yüklenicileri gözden geçirin. Kullandığınız e-posta servisi, analitik aracı veya bulut deposu veriyi AB dışına taşıyor olabilir. Her bir tedarikçiyle veri işleme sözleşmesi (DPA) imzalamak ve verinin nereye gittiğini bilmek zorundasınız. Verilerinizi düzenli yedeklemek ve bu yedekleri de aynı koruma standardında tutmak için yedekleme çözümlerimizi inceleyebilirsiniz.

    Sunucu ve Altyapı Tarafında Teknik Önlemler#

    GDPR sadece hukuk metni değildir; "uygun teknik ve idari tedbirleri al" der ve bunun sorumluluğunu size yükler. Sunucu tarafında atacağınız somut adımlar, bir ihlal yaşandığında hem cezayı hafifletir hem de zaten ihlali önler.

    Her yerde şifreleme. Kullanıcı verisi ağ üzerinde açık gitmemeli. TLS/SSL artık pazarlık konusu değil; sitenizin tamamı HTTPS üzerinden çalışmalı ve HTTP istekleri zorunlu yönlendirilmelidir. SSL'in nasıl çalıştığını ve neden kritik olduğunu SSL sertifikası nedir yazısında detaylıca anlattım. Nginx tarafında güvenli bir başlangıç:

    server {
        listen 443 ssl http2;
        server_name ornek-siteniz.com;
    
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;
    
        add_header Strict-Transport-Security "max-age=63072000" always;
        add_header X-Content-Type-Options "nosniff" always;
    }
    
    server {
        listen 80;
        server_name ornek-siteniz.com;
        return 301 https://$host$request_uri;  # tüm trafiği HTTPS'e zorla
    }
    

    Log'larda kişisel veriyi maskeleyin. Web sunucusu ve uygulama log'ları çoğu zaman IP adresi ve e-posta gibi verileri barındırır. Log saklama süresini kısaltın ve gerektiğinde IP'yi anonimleştirin. PHP tarafında basit bir örnek:

    ; php.ini — hataların üretim ortamında dosyaya loglanması,
    ; ekrana kişisel/hassas veri sızmaması için
    display_errors = Off
    log_errors = On
    error_log = /var/log/php/app-errors.log
    

    Erişimi sınırlandırın ve güncel kalın. Veritabanına yalnızca ihtiyacı olan servisler erişebilmeli, yönetim panelleri IP kısıtlı olmalı, sistem paketleri düzenli güncellenmelidir. Otomatik güvenlik yamaları ve güvenlik duvarı bu tablonun ayrılmaz parçasıdır. Kötü niyetli trafiği daha kapıda durdurmak için bir WAF ve DDoS koruması katmanı eklemek, hem güvenliği hem de erişilebilirliği ciddi biçimde artırır. Sunucu yönetimini kendiniz üstlenmek istemiyorsanız yönetimli sunucu hizmetimiz bu yükü sizden alır.

    Bir Veri İhlali Yaşandığında Ne Yapmalı?#

    En iyi önlemlere rağmen ihlal olabilir. GDPR'ın 72 saat kuralı burada devreye girer ve bu süre fark ettiğiniz andan itibaren işler, "her şeyi çözdükten sonra" değil. Panik anında doğaçlama yapmamak için önceden bir müdahale planı hazırlayın. Genel akış şöyledir:

    • Tespit ve kapsama: İhlali doğrulayın, saldırının devam edip etmediğini anlayın ve etkilenen sistemleri izole edin. Sızıntı kaynağını kapatmadan bildirime geçmeyin.
    • Değerlendirme: Hangi veri, kaç kişi, ne düzeyde risk? Şifreler hash'li miydi, veri şifreli miydi? Bu sorular hem bildirim yükümlülüğünüzü hem de kullanıcıları uyarma zorunluluğunuzu belirler.
    • Bildirim: İlgili denetim otoritesine 72 saat içinde bildirin. Yüksek riskli ihlallerde etkilenen kullanıcıları da açık ve dürüst bir dille bilgilendirin. Örtbas etmek, cezayı katlar.
    • İyileştirme ve belgeleme: Açığı kapatın, benzer olayı önleyecek dersleri çıkarın ve tüm süreci belgeleyin. Denetim otoritesi "ne yaptınız" diye sorduğunda elinizde kayıt olmalı.

    İhlal sonrası temiz bir yedekten hızla dönebilmek, itibar kaybını en aza indirmenin en etkili yoludur. Bu yüzden düzenli, sürüm bazlı ve test edilmiş yedekler almak sadece iyi bir alışkanlık değil, GDPR'ın beklediği "veri kurtarılabilirliği" ilkesinin de karşılığıdır.

    Sıkça Sorulan Sorular#

    AB'de müşterim yoksa GDPR beni yine de bağlar mı?#

    Hayır, GDPR yalnızca AB'de bulunan kişilerin verisini işlediğinizde devreye girer. Eğer siteniz tamamen Türkiye'ye yönelikse, Türkçe hizmet veriyorsa ve AB'deki kişileri hedeflemiyor ya da izlemiyorsanız GDPR yükümlülüğünüz doğmaz. Ancak bu durumda bile Türkiye'deki KVKK'ya uymanız gerektiğini unutmayın; yani "hiçbir veri koruma kuralı beni bağlamaz" diyebileceğiniz bir senaryo pratikte yoktur.

    KVKK'ya uyumluysam GDPR'a da otomatik uyumlu olur muyum?#

    Maalesef hayır. İki çerçeve aynı felsefeyi paylaşsa da GDPR bazı konularda daha katıdır. Özellikle veri taşınabilirliği hakkı, rızanın geri alınabilirliği, yurt dışına veri aktarımının koşulları ve 72 saatlik ihlal bildirimi gibi başlıklarda GDPR ek adımlar ister. KVKK uyumu sağlam bir başlangıçtır ama AB müşterisi olan bir işletmenin GDPR'ı ayrıca ele alması gerekir.

    GDPR ihlalinde gerçekten milyonluk cezalar kesiliyor mu?#

    Teoride üst sınır 20 milyon euro veya global cironun yüzde 4'üdür, ama pratikte cezanın büyüklüğü ihlalin ciddiyetine, etkilenen kişi sayısına ve şirketin iş birliğine göre değişir. Küçük bir işletmenin ilk ve iyi niyetli bir hatası genellikle bu rakamlara ulaşmaz. Yine de örtbas etme, tekrarlanan ihmal ve hassas veri sızıntısı gibi durumlar cezayı hızla ağırlaştırır. Önemli olan, ihlal anında dürüst ve hızlı davrandığınızı belgeleyebilmenizdir.

    Google Analytics ve reklam çerezleri kullanıyorum, ne yapmalıyım?#

    Bu araçlar kullanıcıyı izlediği için GDPR kapsamına girer ve zorunlu olmayan çerezler ancak kullanıcı açıkça onayladıktan sonra yüklenmelidir. Yani sayfa açılır açılmaz analitik ve reklam çerezlerini bırakmak yerine, çerez banner'ında kullanıcı "kabul et" dediğinde bunları devreye sokmalısınız. Ayrıca bu araçların veriyi AB dışına taşıyıp taşımadığını kontrol edin ve gizlilik politikanızda hangi üçüncü tarafları kullandığınızı açıkça belirtin.

    Verilerimi Türkiye'deki bir sunucuda tutmam yeterli mi?#

    Sunucunun Türkiye'de olması güzel bir başlangıçtır ve veri egemenliği açısından avantaj sağlar, ancak tek başına GDPR uyumu için yeterli değildir. GDPR sunucunun fiziksel konumundan çok, verinin nasıl işlendiğiyle, kimin eriştiğiyle ve hangi güvenlik tedbirlerinin alındığıyla ilgilenir. Şifreleme, erişim kontrolü, rıza yönetimi ve ihlal planı gibi teknik ve idari önlemleri de tamamlamanız gerekir. Türkiye'de barındırma için hosting ve sunucu seçeneklerimiz, bu güvenlik katmanlarını kurmanız için sağlam bir zemin sunar.

    Küçük bir kişisel blogum var, bunlarla uğraşmak zorunda mıyım?#

    Yalnızca kendi içeriğinizi yayınlayan, ziyaretçi verisi toplamayan gerçekten basit bir blog için yük hafiftir. Ancak yorum formu, bülten kaydı, analitik ya da iletişim formu eklediğiniz an kişisel veri işlemeye başlarsınız ve temel yükümlülükler devreye girer. İyi haber şu ki küçük ölçekte uyum da basittir: sade bir gizlilik metni, çerez onayı ve topladığınız veriyi gerçekten koruma. Ölçek büyüdükçe süreçleri de büyütmek en sağlıklı yaklaşımdır.

    Kapanış#

    GDPR ilk bakışta korkutucu bir bürokrasi yığını gibi görünse de özünde makul bir talep barındırır: insanların verisini saygıyla, şeffaflıkla ve güvenle işlemek. AB'ye tek bir müşteri bile hizmet veriyorsanız bu tüzük sizi ilgilendirir ve iyi haber, uyumun büyük kısmının aslında zaten iyi bir işletmenin yapması gereken şeyler olduğudur: net bir gizlilik politikası, dürüst rıza yönetimi, güçlü şifreleme ve hazır bir ihlal planı. Bu adımları bugün atmak, yarın bir sorunla karşılaştığınızda sizi hem hukuki hem itibari açıdan korur. Son bir kez hatırlatayım: bu yazı genel bilgilendirmedir; işletmenize özel kritik kararlar için mutlaka bir hukuk danışmanıyla çalışın.

    Teknik tarafta yalnız değilsiniz. Clou.TR olarak SSL, WAF, DDoS koruması ve otomatik yedekleme gibi GDPR'ın beklediği güvenlik katmanlarını hazır sunan bir altyapı sağlıyoruz. Güvenli bir başlangıç için hosting paketlerimizi inceleyebilir, tam kontrol isterseniz sanal ve VDS sunucularımıza göz atabilir, sunucu yönetimini bize bırakmak isterseniz yönetimli sunucu hizmetimizle yükü omuzlarınızdan alabilirsiniz. Sitenizi hem hukuka hem saldırılara karşı sağlam bir zemine taşımak için bugün ilk adımı atın.

    UyumlulukGDPRHukuk

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.