6698 sayılı KVKK kapsamında veri sorumlusu sıfatıyla hizmet sunan her web sitesi, mobil uygulama ve fiziksel hizmet noktası, aydınlatma metni hazırlamak ve veri sahibine göstermekle yükümlüdür. 2026 yılında KVKK Kurulu kararları ile yorumlanmış güncel hâliyle, eksiksiz bir aydınlatma metninin içermesi gereken 12 maddeyi açıklıyoruz.
1. Veri sorumlusunun kimliği
Şirket unvanı, MERSİS numarası, adres, KEP adresi. Hatta web siteniz bir "etken" tarafından işletiliyorsa (örn: bir holding alt şirketi adına ana şirket veri işliyorsa), bunu da net şekilde yazmalısınız.
2. Hangi kişisel verilerin işlendiği
Spesifik olun: "kimlik, iletişim, müşteri işlem" gibi yüksek kategori değil — "ad-soyad, e-posta, telefon, sipariş geçmişi, ödeme yöntemi (son 4 hane)" gibi madde madde yazın. KVKK Kurulu 2024-12-15 tarihli kararı bu yönde.
3. İşleme amacı
Genel "hizmet sunmak" yetmez. Her amacı ayrı ayrı yazın: sözleşme ifası, müşteri ilişkileri, pazarlama, analitik, yasal yükümlülük. Her birinin yasal dayanağı farklıdır.
4. İşlemenin hukuki sebebi
KVKK m.5 ve m.6 kapsamında 7 hukuki sebep var: kanun, sözleşme, hukuki yükümlülük, hayati menfaat, kamu görevi, meşru menfaat, açık rıza. Hangi amaca hangi sebep dayandığını eşleştirin.
Pratik örnek: "Sipariş işleme amacı = sözleşme ifası (m.5/2-c). Pazarlama bülteni amacı = açık rıza (m.5/1). Vergi yükümlülüğü için fatura saklama = hukuki yükümlülük (m.5/2-ç)."
5. Aktarılacak alıcı grupları
Yasal otoriteler (vergi dairesi, mahkemeler), iş ortakları (kargo şirketi, ödeme sağlayıcı), bulut hizmet sağlayıcı. Yurt dışı aktarım varsa ülke ismini açıkça belirtin.
6. Yurt dışı aktarım
Bulut hizmet sağlayıcınız ABD'de mi? Stripe ödeme sağlayıcısı kullanıyorsanız Hollanda? Mailchimp Almanya? Bunların her biri yurt dışı aktarımdır ve KVKK m.9 uyarınca açık rıza veya yeterli ülke kararı gerektirir.
7. Toplama yöntemi ve hukuki sebebi
Verileri nasıl topluyorsunuz? Form, çerez, otomatik log, üçüncü parti entegrasyon? Her bir yöntem için ayrı belirtmek 2025 sonrasında zorunludur.
8. Veri sahibinin hakları
KVKK m.11'deki 11 hakkı tek tek listeleyin. "Bilgi talep etme, silme isteme, düzeltme talep etme..." Bu hakların nasıl kullanılacağını da yazın: başvuru kanalı (e-posta, KEP, posta), başvurunuza 30 gün içinde dönüş.
9. Çerez ve takip teknolojileri
Web sitelerinde mutlaka çerez politikasına link verin. Üçüncü parti çerezler (Google Analytics, Facebook Pixel) için ayrı açık rıza alın.
10. Otomatik karar verme ve profil oluşturma
Kullanıcının davranışına göre otomatik kararlar veriyorsanız (örn: kredi skoruna göre kredi reddi, fiyat dinamik belirleme), bunu net açıklayın. KVKK m.4/2 kapsamında profil oluşturma için açık rıza gerekiyor.
11. Saklama süresi
Hangi veriyi ne kadar saklayacaksınız? Sipariş bilgisi 10 yıl (Türk Borçlar Kanunu zamanaşımı), pazarlama izni süresi belirsiz (geri alınana kadar), oturum çerezi 24 saat. Süre belirtmeden saklamak yasal değil.
12. İletişim ve değişiklik bildirimi
Aydınlatma metnini güncellediğinizde nasıl bildirileceğini yazın: e-posta, site içi bildirim, "son güncelleme tarihi" alanı.
Pratik checklist
- ✓ MERSİS + KEP yazılı mı?
- ✓ Tüm veri kategorileri spesifik mi?
- ✓ Her amaç için hukuki sebep eşleşti mi?
- ✓ Yurt dışı aktarım ülke ismi yazılı mı?
- ✓ Veri sahibi hakları ve başvuru kanalı net mi?
- ✓ Saklama süreleri belirtildi mi?
Bu maddelerin otomatik kontrolünü Legalitify ile yapabilirsiniz: web sitenizin URL'sini girdiğinizde aydınlatma metnindeki eksiklikler ve Kurul kararlarına göre uyumsuzluklar 30 saniyede tespit edilir.