Bir iletişim formu, bir üyelik alanı ya da yalnızca ziyaretçi istatistiği tutan bir Google Analytics kodu; bunların hepsi teknik olarak kişisel veri işleme faaliyetidir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) açısından bakıldığında, "biz sadece küçük bir işletmeyiz, bize bir şey olmaz" cümlesi maalesef geçerli bir savunma değil. Web sitesi üzerinden bir e-posta adresi, bir telefon numarası ya da bir IP adresi topluyorsanız, veri sorumlusu sıfatını çoktan kazanmışsınız demektir ve kanunun getirdiği yükümlülükler sizin için de işliyor.
Bu rehberde işi hukuk diliyle korkutmadan, kıdemli bir sistem yöneticisinin müşterisine anlattığı sadelikte ilerleyeceğiz. Aydınlatma metninden açık rızaya, çerez politikasından VERBİS kaydına ve en çok ihmal edilen kısım olan teknik güvenlik tedbirlerine kadar somut adımları tek tek göreceğiz. Baştan bir uyarı: burada anlatılanlar uyum yolculuğunuzun teknik altyapısını kurar, ancak metinlerin nihai hukuki geçerliliği için mutlaka bir hukukçudan destek almalısınız. Amacımız işin altyapı ve güvenlik tarafını doğru kurmanız, hukuki metinleri ise sağlam bir zemin üzerine oturtmanız.
KVKK Web Sitesi Sahiplerine Hangi Yükümlülükleri Getirir?#
KVKK'nın çıkış noktası basit: kişisel veri, kişinin kontrolünde olmalı. Web sitesi sahibi olarak siz bu verinin "sorumlusu" konumundasınız ve kanun size dört ana başlıkta ödev yükler. Birincisi şeffaflık, yani insanlara verilerini neden ve nasıl işlediğinizi açık açık anlatmanız. İkincisi hukuka uygunluk, yani her veri işleme faaliyetinin ya bir açık rızaya ya da kanunda sayılan başka bir hukuki sebebe dayanması. Üçüncüsü güvenlik, yani topladığınız veriyi yetkisiz erişime, sızıntıya ve kayba karşı korumanız. Dördüncüsü ise hesap verebilirlik, yani bu tedbirleri aldığınızı belgeleyebilmeniz.
Pratikte bir web sitesinin uyumu şu bileşenlerin toplamıdır: erişilebilir bir aydınlatma metni, gerektiği yerde alınan açık rıza, bir çerez politikası ve çerez bilgilendirme çubuğu, ölçülebilir teknik güvenlik tedbirleri ve varsa VERBİS kaydı. Bunların hiçbiri tek başına yeterli değil; eksik bir tanesi bile denetimde sizi zayıf bırakır. Şimdi bu bileşenleri sırayla ele alalım.
Aydınlatma Metni Nasıl Hazırlanır?#
Aydınlatma metni, KVKK'nın en temel ve pazarlık payı olmayan yükümlülüğüdür. Kişisel veriyi topladığınız her noktada, verisini aldığınız kişiyi bilgilendirmek zorundasınız. Bu metin bir formaliteden ibaret değil; içinde bulunması gereken asgari başlıklar kanunda net olarak sayılıyor.
İyi bir aydınlatma metni şu soruların cevabını içermeli: Veri sorumlusu kim (unvan, adres, iletişim bilgisi)? Hangi kişisel veriler işleniyor (ad, e-posta, IP, sipariş geçmişi vb.)? Verinin işlenme amacı nedir? Hangi hukuki sebebe dayanılıyor? Veri kimlerle, hangi amaçla paylaşılıyor (ödeme kuruluşu, kargo firması, bulut sağlayıcı)? Yurt dışına aktarım var mı? Ve son olarak ilgili kişinin hakları neler ve bu hakları nasıl kullanabilir?
Metnin sadece "gizlilik-politikasi" sayfasında durması yeterli değil; verinin toplandığı anda erişilebilir olması gerekir. İletişim formunun hemen altına bir bağlantı koymak buna örnektir:
İletişim formu göndererek Aydınlatma Metni'ni okuduğunuzu kabul edersiniz.
Metni statik bir sayfa olarak yayınlayıp footer'dan ve ilgili formlardan bağlantı vermek en temiz yöntemdir. Aydınlatma metni bilgilendirme amaçlıdır ve onay kutusu gerektirmez; bilgilendirmenin ötesine geçip izin istediğiniz durumlar açık rızanın konusudur ki bir sonraki başlıkta bunu netleştiriyoruz.
Açık Rıza ile Diğer Hukuki Sebepler Arasındaki Fark#
En sık yapılan hata, her şey için "açık rıza" almaya çalışmaktır. Oysa KVKK açık rızayı yalnızca son çare olarak konumlandırır. Kanun, veri işlemenin dayanabileceği başka hukuki sebepler de sayar: bir sözleşmenin kurulması veya ifası, bir kanuni yükümlülük, veri sorumlusunun meşru menfaati gibi. Örneğin bir müşteri sizden ürün satın aldığında, siparişi teslim etmek için adres bilgisini işlemeniz "sözleşmenin ifası" kapsamındadır ve ayrıca açık rıza almanıza gerek yoktur.
Açık rıza asıl olarak pazarlama gibi zorunlu olmayan işlemler için gereklidir. Örneğin kampanya e-postası (ticari elektronik ileti) göndermek istiyorsanız, bunun için ayrı ve özgür iradeye dayalı bir onay almalısınız. Açık rızanın üç şartı vardır: belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması. Bu yüzden onay kutusu asla önceden işaretli gelmemeli ve bir başka işlemin zorunlu koşuluna bağlanmamalıdır.
Aşağıdaki tablo, sık karşılaşılan senaryolarda hangi hukuki sebebin geçerli olduğunu özetliyor.
| Senaryo | Uygun hukuki sebep | Açık rıza gerekir mi? |
|---|---|---|
| Sipariş teslimatı için adres işleme | Sözleşmenin ifası | Hayır |
| Fatura kesip yasal saklama | Kanuni yükümlülük | Hayır |
| Zorunlu (teknik) çerezler | Meşru menfaat / zorunluluk | Hayır |
| Pazarlama e-postası gönderimi | Açık rıza | Evet |
| Analitik ve reklam çerezleri | Açık rıza | Evet |
| Bültene kayıt | Açık rıza | Evet |
Onay kaydını da saklamanız gerekir; denetimde "rızayı ne zaman, hangi metinle aldınız" sorusuna cevap verebilmelisiniz. Basit bir veritabanı tablosu bu iş için yeterlidir:
CREATE TABLE acik_riza_kayitlari (
id BIGINT PRIMARY KEY AUTO_INCREMENT,
eposta VARCHAR(255) NOT NULL,
riza_konusu VARCHAR(120) NOT NULL, -- ornek: 'ticari_ileti'
metin_surumu VARCHAR(20) NOT NULL, -- ornek: 'v2.1'
ip_adresi VARCHAR(45),
onay_tarihi DATETIME NOT NULL DEFAULT CURRENT_TIMESTAMP
);
Rıza her zaman geri alınabilir olmalı; kullanıcı "aboneliği iptal et" bağlantısına tıkladığında ilgili kaydı pasife çekmeniz gerekir.
Çerez Politikası ve Çerez Aydınlatması#
Çerezler KVKK ve elektronik gizlilik açısından ayrı bir başlık hak eder çünkü çoğu site burada hem eksik hem de yanlış davranır. En yaygın iki hata şunlardır: analitik ve reklam çerezlerini kullanıcı onay vermeden önce yüklemek, ve "siteyi kullanmaya devam ederek çerezleri kabul etmiş olursunuz" gibi zımni onay ifadelerine güvenmek. Zorunlu olmayan çerezler için açık ve aktif bir onay gerekir.
Doğru yaklaşım çerezleri kategorilere ayırmaktır: zorunlu (oturum, güvenlik, sepet), işlevsel (dil tercihi), analitik (ziyaretçi istatistiği) ve pazarlama (reklam takibi). Zorunlu çerezler onaysız çalışabilir; diğerleri kullanıcı onay verene kadar yüklenmemelidir. Çerez bilgilendirme çubuğunuzda en azından "kabul et", "reddet" ve "tercihleri yönet" seçeneklerinin bulunması beklenir; sadece "kabul et" düğmesi olan bir çubuk gerçek bir seçim sunmaz.
Analitik betiğini onaya bağlı yüklemenin basit bir örneği aşağıdadır:
// Analitik betigi yalnizca kullanici onay verdiyse yuklenir
if (localStorage.getItem("cerez_analitik") === "kabul") {
const s = document.createElement("script");
s.src = "/js/analytics.js";
s.defer = true;
document.head.appendChild(s);
}
Ayrıca bir "Çerez Politikası" sayfası yayınlayarak hangi çerezi, ne süreyle, hangi amaçla kullandığınızı listelemelisiniz. Bu politika, aydınlatma metninden ayrı ama onu tamamlayan bir belgedir. Çerez altyapısını kurarken, üçüncü taraf betiklerinin kötüye kullanılan bir vektör olduğunu da unutmayın; siteye enjekte edilen zararlı kodların nasıl çalıştığını ve bundan nasıl korunulacağını phishing ve zararlı içeriklerden korunma rehberimizde ayrıntılı ele alıyoruz.
Teknik ve İdari Veri Güvenliği Tedbirleri#
KVKK'nın en çok ihmal edilen ama denetimde en çok sorulan tarafı budur: veri güvenliğini sağlamak için "her türlü teknik ve idari tedbiri" almak. Kişisel Verileri Koruma Kurumu, bu tedbirler için ayrıntılı bir rehber yayınlamıştır ve bir veri ihlali yaşandığında ilk bakılan şey, bu tedbirlerin alınıp alınmadığıdır. Metinler ne kadar mükemmel olursa olsun, sunucunuz şifresiz HTTP üzerinden veri taşıyorsa uyumdan söz edilemez.
İlk ve tartışmasız adım, tüm site trafiğinin şifrelenmesidir. Yani geçerli bir SSL/TLS sertifikası ve tüm HTTP isteklerinin HTTPS'e yönlendirilmesi. Sertifikanın ne olduğu ve neden şart olduğu konusunda derinleşmek isterseniz SSL sertifikası nedir başlıklı yazımıza göz atabilirsiniz. Nginx tarafında HTTP'yi HTTPS'e yönlendiren ve modern protokolleri zorlayan asgari yapılandırma şöyledir:
server {
listen 80;
server_name ornek.com www.ornek.com;
return 301 https://$host$request_uri; # tum trafigi HTTPS'e tasi
}
server {
listen 443 ssl http2;
server_name ornek.com www.ornek.com;
ssl_certificate /etc/ssl/ornek.com/fullchain.pem;
ssl_certificate_key /etc/ssl/ornek.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3; # eski protokolleri kapat
ssl_ciphers HIGH:!aNULL:!MD5;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}
İkinci başlık erişim kontrolüdür. Kişisel veriye kimin, hangi yetkiyle eriştiği kayıt altında olmalı; herkese admin yetkisi vermek KVKK açısından ciddi bir zafiyettir. Veritabanı kullanıcılarını en az yetki ilkesiyle tanımlayın; uygulama kullanıcısına DROP veya GRANT yetkisi vermeyin:
-- Uygulama yalnizca kendi veritabaninda okuma/yazma yapabilsin
CREATE USER 'uygulama'@'10.0.0.%' IDENTIFIED BY 'guclu-parola';
GRANT SELECT, INSERT, UPDATE, DELETE ON site_db.* TO 'uygulama'@'10.0.0.%';
FLUSH PRIVILEGES;
Üçüncü başlık şifreleme ve parola politikasıdır. Kullanıcı parolaları asla düz metin saklanmamalı, mutlaka güçlü bir algoritmayla (bcrypt, Argon2) hash'lenmelidir. PHP tarafında bu tek satırdır:
$hash = password_hash($parola, PASSWORD_ARGON2ID);
Dördüncü başlık yedekleme ve süreklilik. Veriyi kaybetmek de bir ihlal biçimidir; düzenli, şifreli ve sitenin dışında tutulan yedekler almalısınız. Basit bir gecelik yedek betiği:
#!/usr/bin/env bash
set -euo pipefail
TARIH=$(date +%F)
mysqldump --single-transaction site_db | gzip > /yedek/site_db-$TARIH.sql.gz
# Sifreli olarak uzak depolamaya kopyala
gpg --encrypt -r [email protected] /yedek/site_db-$TARIH.sql.gz
Bu tedbirlerin çoğunu tek tek kurmak yerine yönetimli bir altyapıyla üstlenmek isterseniz, SSL çözümlerimiz, otomatik yedekleme hizmetimiz, web uygulama güvenlik duvarı (WAF) ve sunucu yönetimi paketlerimiz bu teknik tedbirlerin büyük bölümünü sizin adınıza standartlaştırır. Aşağıdaki tablo, tedbirleri hızlıca gözden geçirmeniz için bir kontrol listesi sunuyor.
| Tedbir | Ne işe yarar | Minimum beklenti |
|---|---|---|
| HTTPS / TLS | Veriyi taşırken şifreler | TLS 1.2+, HTTP'den yönlendirme |
| Parola hash'leme | Sızıntıda parolaları korur | bcrypt veya Argon2 |
| Erişim kontrolü | Yetkisiz erişimi engeller | En az yetki, rol bazlı |
| Güncel yazılım | Bilinen açıkları kapatır | Otomatik güvenlik yamaları |
| Şifreli yedek | Veri kaybını önler | Günlük, site dışı, şifreli |
| Log ve izleme | İhlali tespit eder | Erişim ve hata logları |
| WAF / DDoS koruma | Saldırıyı filtreler | Uygulama katmanı koruması |
VERBİS Kaydı Zorunlu mu?#
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının işledikleri veri kategorilerini beyan ettiği kamuya açık bir sicildir. Herkes VERBİS'e kaydolmak zorunda değildir; muafiyet kriterleri yıllık çalışan sayısı, yıllık mali bilanço ve işlenen verinin niteliğine göre belirlenir. Örneğin ana faaliyeti özel nitelikli kişisel veri işlemek olmayan ve belirli eşiklerin altında kalan küçük işletmeler kayıt yükümlülüğünden muaf tutulabilir.
Ancak muafiyet, KVKK'nın diğer yükümlülüklerinden muafiyet anlamına gelmez. VERBİS'e kaydolmasanız bile aydınlatma metni hazırlamak, güvenlik tedbirlerini almak ve ilgili kişi başvurularını yanıtlamak zorundasınız. Muafiyet yalnızca sicile kayıt işleminden bağışıklık sağlar. Kayıt yükümlülüğünüz varsa, süresi geçmeden başvurmanız önemlidir çünkü gecikmenin idari para cezası vardır. İşletmenizin muafiyet kapsamında olup olmadığını netleştirmek, bir hukukçu veya mali müşavirle görüşmenizi gerektiren tipik bir konudur; eşikler zamanla güncellenebildiği için güncel kriterleri KVKK Kurumu'nun resmi kaynağından teyit edin.
Veri İhlali ve İlgili Kişi Başvuruları#
Uyum sadece önlem almak değil, bir şeyler ters gittiğinde nasıl davranacağınızı da bilmektir. KVKK, bir veri ihlali (sızıntı, yetkisiz erişim) öğrenildiğinde bunu makul süre içinde Kurul'a bildirmeyi ve etkilenen kişileri bilgilendirmeyi zorunlu kılar. Bu yüzden bir olay müdahale planınız olmalı: kim haberdar edilecek, loglar nasıl incelenecek, etkilenen kayıtlar nasıl belirlenecek. Loglama altyapınız yoksa, bir ihlalin kapsamını dahi ölçemezsiniz.
Diğer taraf ise ilgili kişi başvurularıdır. Bir kullanıcı size başvurup "hakkımda hangi verileri tutuyorsunuz", "verilerimi silin" ya da "verilerimi düzeltin" diyebilir. Bu başvurulara kanunda belirtilen süre içinde ve ücretsiz olarak cevap vermek zorundasınız. Bunun için sitenizde net bir başvuru kanalı (KEP adresi, başvuru formu veya belirlenmiş bir e-posta) bulundurmalı ve gelen talepleri kayıt altında yönetmelisiniz. İyi kurgulanmış bir başvuru süreci, hem yasal riskinizi azaltır hem de kullanıcı güvenini artırır.
Uygulamalı Uyum Yol Haritası#
Şimdiye kadar anlatılanları somut bir sıraya koyalım. Yeni bir siteyi uyumlu hale getirirken şu adımları izlemek işi dağıtmadan ilerlemenizi sağlar. Önce envanter çıkarın: hangi formlar, hangi çerezler, hangi üçüncü taraf servisleri (ödeme, analitik, kargo) veri topluyor. Envanteri bilmeden hazırlanan metin eksik kalır.
Ardından hukuki metinleri yazın veya bir hukukçuya yazdırın (aydınlatma metni, açık rıza metinleri, çerez politikası). Sonra bunları teknik olarak sitenize doğru noktalara yerleştirin: form altları, footer, çerez çubuğu. Bu adımdan sonra güvenlik tedbirlerini uygulayın: HTTPS, parola hash'leme, erişim kontrolü, yedekleme, güncelleme rutini. En son VERBİS muafiyetinizi değerlendirin ve gerekiyorsa kaydınızı tamamlayın. Son olarak tüm bunları belgeleyin; hesap verebilirlik ilkesi, aldığınız tedbirleri kanıtlayabilmenizi ister. Bu yol haritasını uygularken güvenli ve güncel bir altyapıya ihtiyaç duyarsanız, WordPress hosting ve genel web hosting paketlerimiz güncel PHP, ücretsiz SSL ve otomatik yedeği hazır olarak sunar; büyüyen projeler için VDS sunucularımız tam erişim ve izolasyon sağlar.
Sıkça Sorulan Sorular#
Küçük bir kişisel blog da KVKK'ya tabi mi?#
Ziyaretçiden hiçbir kişisel veri toplamayan tamamen statik bir blog için yükümlülük oldukça sınırlıdır. Ancak yorum bölümü, iletişim formu, bülten kaydı ya da ziyaretçiyi tanımlayan analitik çerezler kullanıyorsanız veri işliyorsunuz demektir ve en azından aydınlatma yükümlülüğü sizin için de doğar. Blog kişisel bile olsa, e-posta topladığınız anda kural devreye girer.
Aydınlatma metni ile açık rıza metni aynı şey mi?#
Hayır, bunlar farklı amaçlara hizmet eder ve karıştırılmaları en sık yapılan hatalardan biridir. Aydınlatma metni bilgilendirme amaçlıdır, onay gerektirmez ve verinin toplandığı her durumda sunulur. Açık rıza ise yalnızca zorunlu olmayan işlemler için (örneğin pazarlama) alınan aktif bir izindir. Birini diğerinin yerine koyamazsınız; ikisini de ayrı ayrı hazırlamanız gerekir.
Çerez onay çubuğu koymam yeterli mi?#
Tek başına bir çerez çubuğu koymak yeterli değildir; asıl mesele o çubuğun gerçek bir seçim sunması ve onay verilmeden zorunlu olmayan çerezlerin yüklenmemesidir. Yalnızca "kabul et" düğmesi olan, reddetme seçeneği bulunmayan ve arka planda analitik betiğini zaten çalıştıran bir çubuk uyumlu sayılmaz. Ayrıca bir çerez politikası sayfasıyla bu çubuğu tamamlamalısınız.
VERBİS'e kaydolmazsam ceza yer miyim?#
Kayıt yükümlülüğünüz varsa ve süresinde kaydolmazsanız idari para cezasıyla karşılaşabilirsiniz. Ancak önce muafiyet kapsamında olup olmadığınızı belirlemeniz gerekir; belirli eşiklerin altındaki işletmeler kayıttan muaf olabilir. Muaf olsanız dahi aydınlatma, güvenlik ve başvuru yanıtlama yükümlülükleriniz devam eder. Muafiyet durumunuzu bir uzmana teyit ettirmeniz en sağlıklısıdır.
Sadece HTTPS kullanmam KVKK uyumu için yeter mi?#
HTTPS uyumun olmazsa olmaz bir parçasıdır ama tek başına yeterli değildir. Trafiği şifrelemek veriyi taşırken korur; ancak parolaların hash'lenmesi, erişim kontrolü, güncel yazılım, yedekleme ve loglama gibi diğer teknik tedbirleri de almanız gerekir. Ayrıca teknik güvenlik, hukuki metinlerin (aydınlatma, rıza, çerez) yerini tutmaz. Uyum, bu bileşenlerin tamamının birlikte çalışmasıdır.
Verileri yurt dışındaki bir sunucuda tutabilir miyim?#
Kişisel verinin yurt dışına aktarılması KVKK'da özel kurallara tabidir ve dikkat gerektirir; her durumda serbest değildir. Aktarımın hukuki bir dayanağı olmalı ve bunu aydınlatma metninizde ilgili kişiye açıkça bildirmelisiniz. Bu riski en aza indirmenin pratik yolu, veriyi Türkiye'de barındıran bir altyapı kullanmaktır. Yurt içi barındırma tercih ediyorsanız bu, uyum tarafında sizi rahatlatan önemli bir seçimdir.
Kapanış#
KVKK uyumu, tek seferlik bir "belge doldurma" işi değil, sürekli işleyen bir düzenin adıdır. Aydınlatma metni ve açık rıza ile şeffaflığı, çerez politikası ile bilinçli seçimi, teknik tedbirlerle güvenliği ve VERBİS ile hesap verebilirliği bir araya getirdiğinizde hem yasal riskinizi azaltır hem de kullanıcılarınızın güvenini kazanırsınız. Unutmayın: metinlerin hukuki geçerliliği için bir hukukçuya, altyapının doğru kurulması için ise sağlam bir teknik zemine ihtiyacınız var.
Clou.TR olarak işin teknik tarafını sizin için hazır hale getiriyoruz. Türkiye'de barındırılan web hosting ve WordPress hosting paketlerimiz ücretsiz SSL, güncel yazılım ve otomatik yedeği standart sunar; daha fazla kontrol isteyenler için sanal ve VDS sunucularımız, üzerine WAF, DDoS koruma ve yönetimli sunucu hizmetlerimizle KVKK'nın istediği teknik tedbirleri tek çatı altında topluyoruz. Uyum yolculuğunuzun güvenli altyapı adımını bugün atmak için ürün sayfalarımıza göz atın; siz metinlerinizi hukukçunuzla netleştirin, sunucu ve güvenlik tarafını bize bırakın.