Single Blog Title

This is a single blog caption

KVKK Kapsamında İnternet Sitelerinin Yükümlülükleri

Giriş

İnternet siteleri, günümüzde şirketlerin, e-ticaret işletmelerinin, avukatlık bürolarının, sağlık kuruluşlarının, eğitim kurumlarının, derneklerin, platformların ve bireysel girişimlerin en önemli dijital varlıklarıdır. Bir internet sitesi yalnızca tanıtım aracı değildir; aynı zamanda ziyaretçilerden, müşterilerden, üyelerden, abonelerden, başvuru sahiplerinden ve kullanıcılarından çeşitli kişisel verilerin toplandığı bir dijital temas noktasıdır.

Bir internet sitesinde iletişim formu bulunması, e-bülten üyeliği alınması, kullanıcı hesabı oluşturulması, sipariş verilmesi, ödeme yapılması, çerez kullanılması, reklam ve analiz araçlarının çalıştırılması, canlı destek hizmeti sunulması veya kullanıcı davranışlarının takip edilmesi kişisel veri işleme faaliyeti oluşturabilir. Bu nedenle internet sitesi sahiplerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yükümlülüklerini bilmesi ve yerine getirmesi gerekir.

KVKK’nın temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyen gerçek veya tüzel kişilerin yükümlülüklerini düzenlemektir. Kanun, kişisel verileri otomatik yollarla veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. Bu nedenle internet sitesi aracılığıyla veri toplayan şirketler, e-ticaret işletmeleri, profesyonel hizmet sağlayıcıları ve platform sahipleri çoğu durumda KVKK anlamında veri sorumlusu veya veri işleyen sıfatıyla hukuki yükümlülük altına girer.

İnternet Sitelerinde Hangi Kişisel Veriler İşlenir?

KVKK açısından kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. İnternet sitelerinde işlenen kişisel veriler yalnızca ad, soyad, telefon ve e-posta adresinden ibaret değildir. IP adresi, cihaz bilgisi, kullanıcı hareketleri, çerez kayıtları, konum verisi, sipariş geçmişi, ödeme bilgisi, mesaj içerikleri, başvuru formu bilgileri, kullanıcı adı, şifre, müşteri numarası, yorumlar, ürün tercihleri ve canlı destek kayıtları da kişisel veri niteliği taşıyabilir.

Örneğin bir avukatlık bürosunun internet sitesindeki “bize ulaşın” formunda ad, soyad, telefon, e-posta ve konu açıklaması alınması kişisel veri işleme faaliyetidir. Bir e-ticaret sitesinin müşteriden adres, sipariş, fatura ve ödeme bilgisi alması kişisel veri işleme faaliyetidir. Bir sağlık kliniğinin internet sitesi üzerinden randevu talebi alması, sağlık verisi veya sağlıkla bağlantılı özel nitelikli kişisel veri işleme riskini doğurabilir. Bir internet sitesinin reklam, analiz veya hedefleme çerezleriyle ziyaretçi davranışlarını takip etmesi de KVKK kapsamında değerlendirilmelidir.

Bu nedenle “sadece tanıtım sitesi” düşüncesi çoğu zaman yanlıştır. İnternet sitesinde herhangi bir form, çerez, analiz aracı, bülten üyeliği, canlı destek, üyelik sistemi veya üçüncü taraf izleme aracı varsa KVKK uyumu mutlaka değerlendirilmelidir.

İnternet Sitesi Sahibi Veri Sorumlusu mudur?

KVKK bakımından veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişidir. Bir internet sitesinde hangi verilerin hangi amaçla alınacağına, verilerin nerede saklanacağına, kimlerle paylaşılacağına ve ne kadar süre tutulacağına site sahibi karar veriyorsa, site sahibi çoğu durumda veri sorumlusu olarak kabul edilir.

Örneğin bir şirket, internet sitesinde iletişim formu oluşturmuş ve buradan gelen başvuruları kendi müşteri yönetim sistemine aktarıyorsa veri sorumlusudur. Bir e-ticaret sitesi üyelik ve sipariş süreçlerini yönetiyorsa veri sorumlusudur. Bir klinik, randevu formu ile hasta adaylarından bilgi alıyorsa veri sorumlusudur.

Buna karşılık hosting firması, yazılım geliştirici, ajans, CRM hizmet sağlayıcısı, e-posta pazarlama platformu, ödeme altyapısı sağlayıcısı veya canlı destek yazılımı sunan şirket, somut duruma göre veri işleyen olabilir. Ancak bu ayrım sözleşmede yazılan unvana göre değil, fiili duruma göre yapılır. Verinin işlenme amacını kim belirliyorsa ve veri üzerindeki karar yetkisi kimdeyse o kişi veya kurum veri sorumlusu kabul edilir.

Aydınlatma Metni Hazırlama Yükümlülüğü

İnternet siteleri bakımından en temel KVKK yükümlülüklerinden biri aydınlatma yükümlülüğüdür. Aydınlatma yükümlülüğü, kişisel verisi işlenen kişiye; verilerinin kim tarafından, hangi amaçla, hangi hukuki sebebe dayanılarak işlendiğinin, kimlere aktarılabileceğinin ve ilgili kişinin haklarının bildirilmesidir.

Kişisel Verileri Koruma Kurumu’nun 2026 tarihli duyurusunda da vurgulandığı üzere aydınlatma yükümlülüğü, ilgili kişinin talebine veya onayına bağlı değildir. Veri sorumlusu, kişisel veri işlerken açık rıza alsa da almasa da aydınlatma yükümlülüğünü yerine getirmelidir. Ayrıca aydınlatma metinlerinde açık, sade ve anlaşılır bir dil kullanılmalı; muğlak, eksik, yanıltıcı veya genel ifadelerden kaçınılmalıdır.

Bu nedenle internet sitesine sadece “Gizlilik Politikası” başlığı altında uzun ve genel bir metin koymak her zaman yeterli değildir. Aydınlatma metni, işleme faaliyetine uygun olmalıdır. İletişim formu için ayrı, üyelik sistemi için ayrı, çerez kullanımı için ayrı, e-bülten ve ticari elektronik ileti süreçleri için ayrı veya katmanlı bilgilendirme yapılması gerekebilir.

Örneğin iletişim formu altında kısa bir bilgilendirme yapılabilir ve ayrıntılı aydınlatma metnine bağlantı verilebilir. Ancak bu yönlendirme yapılırken kişi, daha ilk aşamada veri sorumlusunun kim olduğunu ve verisinin hangi amaçla işlendiğini anlayabilmelidir. Sadece sayfanın en altına küçük puntolu bir “KVKK metni” bağlantısı koymak uygulamada yeterli ve sağlıklı bir aydınlatma yöntemi sayılmayabilir.

Aydınlatma Metninde Hangi Bilgiler Yer Almalıdır?

Bir internet sitesi aydınlatma metninde temel olarak şu unsurlar bulunmalıdır: veri sorumlusunun kimliği, işlenen kişisel veri kategorileri, kişisel verilerin hangi amaçlarla işlendiği, kişisel verilerin hangi hukuki sebeplere dayanılarak işlendiği, verilerin kimlere ve hangi amaçlarla aktarılabileceği, veri toplama yöntemi ve ilgili kişinin KVKK kapsamındaki hakları.

Burada özellikle “işleme amacı” ile “hukuki sebep” birbirine karıştırılmamalıdır. Örneğin “başvuruların alınması amacıyla kişisel verileriniz işlenmektedir” bir işleme amacıdır. Buna karşılık “KVKK m.5/2-f kapsamında meşru menfaat” veya “KVKK m.5/2-c kapsamında sözleşmenin kurulması veya ifası” hukuki sebep olabilir. Kurum’un 2026 tarihli açıklamasında da aydınlatma metinlerinde işleme amacı ile hukuki sebebin ayrı unsurlar olduğu ve hukuki sebep ifadesiyle Kanun’un 5 ve 6. maddelerinde belirtilen işleme şartlarından hangisine dayanıldığının anlaşılması gerektiği belirtilmiştir.

Dolayısıyla “kişisel verileriniz KVKK’ya uygun şekilde işlenmektedir” veya “kişisel verileriniz kanuni sebeplerle işlenmektedir” gibi genel ifadeler yeterli değildir. İnternet sitesi, hangi veri kategorisini hangi nedenle işlediğini açıkça göstermelidir.

Açık Rıza ve Aydınlatma Metni Ayrı Olmalıdır

İnternet sitelerinde en sık yapılan hatalardan biri, açık rıza metni ile aydınlatma metninin aynı metin içinde karıştırılmasıdır. Aydınlatma, veri sorumlusunun yerine getirmesi gereken bilgilendirme yükümlülüğüdür. Açık rıza ise belirli veri işleme faaliyetleri için ilgili kişinin özgür iradesiyle verdiği onaydır. Bu iki kavram birbirinden farklıdır.

Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı’na ilişkin duyurusunda, veri sorumluları tarafından açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği özellikle vurgulanmıştır. Aynı duyuruda metinlerde açık, anlaşılır ve sade dil kullanılması, muğlak ifadelerden kaçınılması, işlenen veriler ile işleme amacı ve hukuki sebebin açık şekilde ifade edilmesi gerektiği belirtilmiştir.

Bu nedenle internet sitesindeki formlarda “KVKK metnini okudum, açık rıza veriyorum” şeklindeki tek kutucuklu uygulamalar risklidir. Kişi önce aydınlatılmalı; açık rıza gerekiyorsa ayrıca, belirli ve açık bir konu için rıza vermelidir. Açık rıza kutucuğu önceden işaretli olmamalı, kullanıcı aktif davranışla onay vermelidir.

Çerez Politikası Hazırlama Yükümlülüğü

İnternet sitelerinin KVKK kapsamında en önemli yükümlülüklerinden biri çerez yönetimidir. Çerezler; oturum yönetimi, güvenlik, dil tercihi, sepet bilgisi, performans ölçümü, kullanıcı davranışı analizi, reklam hedefleme ve yeniden pazarlama gibi amaçlarla kullanılabilir.

Çerezler aracılığıyla kişisel veri işleniyorsa, kullanıcıların bu konuda aydınlatılması gerekir. Çerez politikasında çerezin adı, amacı, sağlayıcısı, süresi, birinci taraf mı üçüncü taraf mı olduğu ve hangi hukuki sebebe dayanılarak kullanıldığı açıkça belirtilmelidir. Kişisel Verileri Koruma Kurulu’nun çerezlere ilişkin karar özetlerinde de çerez tablolarının tutarlı, anlaşılır ve aydınlatma yükümlülüğüne uygun olması gerektiği vurgulanmaktadır.

Zorunlu çerezler için her zaman açık rıza gerekmeyebilir. Örneğin sitenin güvenli çalışması, kullanıcının sepetinin korunması veya oturumun sürdürülebilmesi için gerekli çerezler hizmetin sağlanması bakımından zorunlu olabilir. Ancak analiz, reklam, pazarlama, hedefleme, profilleme veya üçüncü taraf izleme çerezleri bakımından açık rıza ihtiyacı gündeme gelir.

Çerezlerde Açık Rıza Nasıl Alınmalıdır?

Çerezlerde açık rıza alınırken kullanıcıya gerçek bir tercih imkânı sunulmalıdır. Sitede yalnızca “kabul et” butonu bulunması, “siteyi kullanmaya devam ederek çerezleri kabul etmiş sayılırsınız” denilmesi veya reddetme seçeneğinin gizlenmesi hukuken risklidir.

Kişisel Verileri Koruma Kurulu’nun karar özetlerinde, zorunlu olmayan çerezler için kullanıcının aktif eylemine dayanan “opt-in” yönteminin esas olduğu, “kabul et”, “reddet” ve “tercihler” seçeneklerinin dengeli şekilde sunulmasının iyi uygulama örneği olabileceği belirtilmiştir. Ayrıca gerekli çerezler dışındaki çerezler için topluca açık rıza alınması ve kullanıcıya kategori bazında tercih imkânı verilmemesi açık rızanın “belirli bir konuya ilişkin olma” ve “özgür iradeyle verilme” unsurlarını sakatlayabilir.

Bu nedenle iyi bir çerez panelinde kullanıcı; zorunlu çerezleri görebilmeli, performans/analitik çerezlerini, reklam/pazarlama çerezlerini ve işlevsel çerezleri ayrı ayrı yönetebilmelidir. Reddetme seçeneği kolay erişilebilir olmalı; kullanıcı rızasını daha sonra geri çekebilmelidir.

Üçüncü Taraf Araçlar ve Yurt Dışına Veri Aktarımı

İnternet siteleri çoğu zaman üçüncü taraf hizmetlerden yararlanır. Analitik araçları, reklam pikselleri, sosyal medya eklentileri, harita servisleri, canlı destek yazılımları, e-posta pazarlama platformları, ödeme altyapıları, CDN hizmetleri, bulut depolama sistemleri ve CRM araçları bunlara örnektir.

Bu araçların önemli bir kısmı yurt dışı merkezli şirketler tarafından sağlanmaktadır. Bu durumda internet sitesi aracılığıyla toplanan kişisel verilerin yurt dışına aktarımı söz konusu olabilir. Özellikle üçüncü taraf reklam ve analiz çerezleri, IP adresi, cihaz bilgisi ve davranışsal verileri yurt dışındaki hizmet sağlayıcılara aktarabilir.

KVKK’nın yurt dışına veri aktarımı rejimi 2024 yılında önemli şekilde değişmiştir. 7499 sayılı Kanun ile KVKK m.9’da yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girmiş; standart sözleşmeler ve bağlayıcı şirket kuralları, yurt dışına kişisel veri aktarımında kullanılabilecek uygun güvence yöntemleri arasında düzenlenmiştir. Kurum, standart sözleşmelerin imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi gerektiğini ve bu bildirimlerin Standart Sözleşme Bildirim Modülü üzerinden yapılabileceğini duyurmuştur.

Bu nedenle internet sitesi sahipleri, “Google Analytics kullanıyoruz”, “Meta Pixel ekledik”, “yabancı canlı destek uygulaması kullanıyoruz” veya “veriler bulut sistemde tutuluyor” derken yalnızca teknik entegrasyon yapmış olmaz; KVKK m.9 kapsamında yurt dışına aktarım analizini de yapmak zorunda kalabilir.

İletişim Formları ve Başvuru Formları

İnternet sitelerindeki iletişim formları, KVKK açısından en basit görünen ama en çok ihmal edilen alanlardan biridir. Formda hangi bilgilerin istendiği ölçülü olmalıdır. Ad, soyad, e-posta, telefon ve mesaj alanı her durumda gerekli olmayabilir. Örneğin sadece bilgi talebi alınacaksa T.C. kimlik numarası istemek ölçüsüz olabilir. Bir hukuk bürosu veya sağlık kuruluşu gibi hassas alanlarda ise kişi, mesaj kutusuna özel nitelikli kişisel veri yazabilir. Bu durumda veri sorumlusunun daha dikkatli bir form tasarımı yapması gerekir.

İletişim formunun yanında veya altında kısa aydınlatma yapılmalı, ayrıntılı aydınlatma metnine yönlendirme verilmelidir. Formun amacı açıkça belirtilmelidir. “Talebinizin alınması, tarafınıza dönüş yapılması ve iletişim süreçlerinin yürütülmesi amacıyla verileriniz işlenmektedir” gibi somut ifade kullanılmalıdır. Ayrıca form verilerinin kimler tarafından görüleceği, CRM sistemine aktarılıp aktarılmayacağı, e-posta olarak kime düşeceği ve ne kadar süre saklanacağı belirlenmelidir.

İletişim formuna “reklam ve kampanyalardan haberdar olmak istiyorum” gibi bir seçenek eklenmişse, bu ticari elektronik ileti ve açık rıza süreçlerinden ayrı değerlendirilmelidir. Kişi sadece başvurusuna yanıt verilmesini istiyorsa, kendisine pazarlama mesajı gönderilmesi için ayrıca onay alınmalıdır.

E-Bülten ve Ticari Elektronik İleti Yükümlülükleri

İnternet sitelerinde sık kullanılan uygulamalardan biri de e-bülten aboneliğidir. Kullanıcının e-posta adresini girerek bültene abone olması, kişisel veri işleme faaliyetidir. Ayrıca bültenin içeriği reklam, kampanya, tanıtım veya ticari ileti niteliğindeyse 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ticari elektronik ileti mevzuatı da devreye girer.

Ticaret Bakanlığı’nın açıklamalarına göre ticari elektronik ileti onaylarının alınması ve reddetme hakkının kullanılmasına imkân tanıyan İleti Yönetim Sistemi kurulmuş; bu sistemle alıcıların verdikleri onayları tek noktadan görebilmesi, kontrol edebilmesi ve ret hakkını kullanabilmesi amaçlanmıştır.

Bu nedenle internet sitesinde e-bülten, kampanya bildirimi, SMS onayı veya pazarlama izni alınırken KVKK ve ticari elektronik ileti mevzuatı birlikte değerlendirilmelidir. Kişisel verinin işlenmesi için KVKK hukuki sebebi ayrı; ticari elektronik ileti gönderimi için ileti onayı ayrı bir konudur. Kullanıcıya ret imkânı sunulmalı, onayın ne zaman ve hangi kanaldan alındığı ispatlanabilir şekilde kayıt altına alınmalıdır.

E-Ticaret Sitelerinin KVKK Yükümlülükleri

E-ticaret siteleri, KVKK açısından en yoğun kişisel veri işleyen internet siteleri arasındadır. Üyelik, sipariş, ödeme, kargo, fatura, iade, müşteri hizmetleri, ürün yorumları, kampanya bildirimleri, çerezler ve pazaryeri entegrasyonları nedeniyle çok sayıda veri işleme faaliyeti oluşur.

E-ticaret sitesinde kullanıcıdan alınan veriler, sadece satış işlemiyle sınırlı tutulmalıdır. Sipariş için gerekli olmayan bilgiler zorunlu alan yapılmamalıdır. Ödeme bilgileri güvenli ödeme altyapılarıyla işlenmeli; kart bilgilerinin gereksiz şekilde saklanmasından kaçınılmalıdır. Kargo firması, ödeme kuruluşu, fatura/muhasebe hizmet sağlayıcısı, çağrı merkezi, pazar yeri ve reklam sağlayıcılarıyla veri paylaşımı yapılıyorsa, bu aktarımlar aydınlatma metninde belirtilmelidir.

Ticaret Bakanlığı’nın güncel mevzuat sayfasında 6563 sayılı Kanun’un elektronik ticaretin hukuki altyapısını oluşturduğu ve e-ticaret hizmet sağlayıcıları ile aracı hizmet sağlayıcıların bilgi verme ve diğer yükümlülüklerine ilişkin ikincil düzenlemelerin bulunduğu belirtilmektedir. Bu nedenle e-ticaret sitesi sahipleri, KVKK uyumunu tüketici hukuku, elektronik ticaret mevzuatı ve ticari elektronik ileti kurallarıyla birlikte yürütmelidir.

Veri Güvenliği Yükümlülüğü

KVKK uyumu yalnızca metin hazırlamak değildir. İnternet sitesi sahipleri, kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Kurum’un veri güvenliğine ilişkin açıklamalarında, veri sorumlusunun uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu belirtilmektedir.

İnternet siteleri için başlıca teknik tedbirler arasında SSL sertifikası kullanımı, güçlü parola politikası, yönetim panelinde çok faktörlü kimlik doğrulama, düzenli güvenlik güncellemeleri, erişim yetkilendirme, log kayıtlarının tutulması, veri tabanı güvenliği, güvenli yedekleme, zararlı yazılım taraması, güvenlik duvarı, sızma testi ve yetkisiz erişimlerin izlenmesi yer alır.

İdari tedbirler ise çalışan gizlilik taahhütleri, veri işleyen sözleşmeleri, saklama ve imha politikası, yetki matrisi, veri envanteri, veri ihlali müdahale planı, çalışan eğitimi ve tedarikçi denetimlerini içerir. Özellikle web yazılım ajansı, hosting firması, reklam ajansı ve CRM sağlayıcısı gibi üçüncü taraflarla çalışılıyorsa, bu tarafların veri güvenliği sorumlulukları sözleşmeyle açıkça düzenlenmelidir.

Veri İhlali Durumunda Bildirim Yükümlülüğü

İnternet sitesinin hacklenmesi, veri tabanının sızdırılması, kullanıcı hesap bilgilerinin ele geçirilmesi, formlardan gelen başvuruların yanlış kişilere gitmesi, admin paneline yetkisiz giriş yapılması veya müşteri verilerinin üçüncü kişilerce elde edilmesi veri ihlali oluşturabilir.

KVKK m.12/5 uyarınca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle yükümlüdür. Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarihli ve 2019/10 sayılı kararına ilişkin duyurusunda “en kısa sürede” ifadesinin 72 saat olarak yorumlandığı; veri sorumlusunun ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapması gerektiği belirtilmiştir.

Bu nedenle internet sitesi sahipleri veri ihlali yaşandığında sadece teknik ekibe “siteyi düzeltin” demekle yetinmemelidir. Hangi verilerin etkilendiği, kaç kişinin etkilendiği, ihlalin devam edip etmediği, hangi önlemlerin alındığı, ilgili kişilere bildirim gerekip gerekmediği ve Kurula bildirim yapılıp yapılmayacağı hızla değerlendirilmelidir.

Saklama ve İmha Yükümlülüğü

İnternet siteleri üzerinden toplanan kişisel veriler süresiz olarak saklanamaz. Kişisel veri, işlenmesini gerektiren amaç ortadan kalktığında silinmeli, yok edilmeli veya anonim hâle getirilmelidir. Örneğin iletişim formu üzerinden gelen basit bir bilgi talebi, yıllarca veri tabanında tutulmamalıdır. E-bülten aboneliğinden çıkan kişinin pazarlama listesinde tutulmaya devam edilmesi de hukuka aykırılık doğurabilir.

Kurum’un kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin açıklamalarında, verilerin anonim hâle getirilmiş sayılabilmesi için kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemez hâle gelmesi gerektiği; veri sorumlusunun bu konuda gerekli teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmektedir.

Bu nedenle internet sitesi sahipleri hangi verinin ne kadar süre saklanacağını önceden belirlemelidir. Başvuru formları, üyelik verileri, sipariş kayıtları, fatura bilgileri, çerez kayıtları, log kayıtları ve pazarlama izinleri farklı saklama sürelerine tabi olabilir. Bu süreler mevzuat, zamanaşımı, sözleşme ilişkisi ve veri işleme amacı dikkate alınarak belirlenmelidir.

İlgili Kişi Başvurularının Yönetimi

KVKK kapsamında kişiler, verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işleme amacını öğrenme, aktarıldığı kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, şartları varsa silinmesini veya yok edilmesini talep etme gibi haklara sahiptir.

İnternet sitesi sahipleri, bu başvuruların nasıl yapılacağını açıkça göstermelidir. Aydınlatma metninde başvuru yöntemi belirtilmeli; e-posta, KEP, yazılı başvuru veya güvenli elektronik imza gibi yöntemler somutlaştırılmalıdır. Gelen başvurular kayıt altına alınmalı ve süresinde cevaplanmalıdır.

Uygulamada yapılan hatalardan biri, internet sitesinde “KVKK başvuruları için bize ulaşın” gibi genel bir ifade koymak ancak içeride başvuruları yönetecek bir süreç kurmamaktır. Oysa başvuruların kim tarafından alınacağı, nasıl inceleneceği, hangi birimlerden bilgi toplanacağı ve cevabın nasıl verileceği önceden belirlenmelidir.

VERBİS, Envanter ve Politika Yükümlülükleri

Her internet sitesi otomatik olarak VERBİS’e kayıt olmak zorunda değildir. Ancak veri sorumlusunun faaliyet alanı, çalışan sayısı, mali bilanço toplamı, işlenen özel nitelikli veriler ve ilgili istisnalar dikkate alınarak VERBİS yükümlülüğü ayrıca değerlendirilmelidir.

Kurum’un KVKK uyum sürecine ilişkin açıklamasında, veri sorumlularının hukuka uygun veri işleme, VERBİS’e kayıt, kişisel veri işleme envanteri, saklama ve imha politikası hazırlama ve veri güvenliğine ilişkin teknik ve idari tedbirleri alma gibi yükümlülükleri bulunduğu belirtilmiştir.

Bu nedenle internet sitesi sahibi bir şirket, yalnızca web sitesine metin koyarak KVKK uyumunu tamamlamış sayılmaz. Şirketin genel veri işleme faaliyetleri, web sitesi süreçleriyle birlikte envantere işlenmeli; hangi verinin nereden toplandığı, hangi amaçla işlendiği, kimlere aktarıldığı, yurt dışına aktarılıp aktarılmadığı ve ne kadar süre saklandığı belirlenmelidir.

Sonuç

KVKK kapsamında internet sitelerinin yükümlülükleri, yalnızca siteye bir “KVKK metni” ve “çerez politikası” eklemekten ibaret değildir. İnternet sitesi üzerinden kişisel veri toplayan her veri sorumlusu; aydınlatma yükümlülüğünü yerine getirmeli, açık rıza gereken durumlarda ayrı ve geçerli açık rıza almalı, çerezleri hukuka uygun yönetmeli, üçüncü taraf araçları ve yurt dışına veri aktarımını analiz etmeli, iletişim formlarını ölçülü tasarlamalı, e-bülten ve ticari elektronik ileti süreçlerini mevzuata uygun yürütmeli, veri güvenliği tedbirlerini almalı ve veri ihlali durumunda gerekli bildirimleri yapmalıdır.

İnternet sitesinin KVKK’ya uygun olması için öncelikle sitede hangi veri işleme faaliyetlerinin bulunduğu tespit edilmelidir. İletişim formu, üyelik, sipariş, ödeme, çerezler, canlı destek, sosyal medya eklentileri, reklam pikselleri, analitik araçları, e-bülten ve başvuru formları ayrı ayrı incelenmelidir. Her faaliyet için işlenen veriler, işleme amacı, hukuki sebep, aktarım yapılan taraflar, saklama süresi ve güvenlik tedbirleri belirlenmelidir.

Özellikle çerezler ve üçüncü taraf araçlar bakımından uygulamada ciddi riskler bulunmaktadır. Zorunlu olmayan çerezler için gerçek bir tercih mekanizması kurulmalı; kullanıcıya kabul, ret ve tercih yönetimi imkânı sunulmalı; çerez politikası güncel, tutarlı ve anlaşılır olmalıdır. Yurt dışı merkezli hizmet sağlayıcılar kullanılıyorsa KVKK m.9 kapsamındaki yurt dışına aktarım şartları ayrıca değerlendirilmelidir.

Sonuç olarak internet sitesi KVKK uyumu, hem hukuki metin hem teknik altyapı hem de idari süreç gerektiren bütüncül bir çalışmadır. Doğru hazırlanmış aydınlatma metinleri, geçerli açık rıza mekanizmaları, uyumlu çerez paneli, güvenli veri altyapısı, ölçülü veri toplama prensibi, başvuru yönetimi ve veri ihlali müdahale planı bulunmayan internet siteleri idari yaptırım, itibar kaybı, müşteri güveni kaybı ve tazminat talepleriyle karşı karşıya kalabilir. Bu nedenle internet sitesi sahiplerinin KVKK uyumunu tasarım aşamasından itibaren dikkate alması ve düzenli aralıklarla güncellemesi büyük önem taşır.

Leave a Reply

Call Now Button