KVKK (Kişisel Verilerin Korunması Kanunu), 2016’da yürürlüğe girdiğinden beri performans pazarlama ekipleri bununla ya tanışmadı ya da sadece şablon cümlelerle geçiştirdi. 2026’da bu lüks bitti: Kurul denetimleri arttı, cezalar dolar bazında yüksek, e-ticaret markaları hedef tahtasında. Bu rehber mühür konusu değil; Meta Pixel, GA4 ve CRM entegrasyonlarınızda bugün neyi düzeltmeniz gerektiğini anlatıyor.
KVKK’nın pazarlama için 4 temel ilkesi
KVKK ile uğraşmadan önce 4 ilkeyi ezberle. Birincisi açık rıza: pazarlama amacıyla işlenen her veri (e-posta, telefon, cookie id, device id) için kullanıcının net ve aktif onayı gerek. Pasif “browser’ı kullanmaya devam etmekle kabul etmiş sayılırsın”lar artık geçersiz. İkincisi amaçla sınırlılık: veri hangi amaçla toplandıysa sadece onun için kullanılabilir; sepet terk e-postası için alınan izinle rekabetsiz partner kampanyasına veri satamazsın. Üçüncüsü veri minimizasyonu: reklam hedefleme için gereksiz alanları (tam adres, TC kimlik) toplamamalısın. Dördüncüsü saklama süresi: her veri kategorisi için bir ömrün olmalı (pazarlama genelde 2 yıl, üyelik 10 yıl ticari kayıt gereği). Bu 4 ilke kontrol edilmezse, sonraki teknik düzenlemeler kozmetiktir.
Çerez banner’ı: “tamam” değil, gerçek onay
Çoğu Türk e-ticaret sitesinde gördüğünüz “çerezleri kullanmamıza izin ver” + tek “Tamam” butonu KVKK’ya aykırı. Doğru banner 4 şartı sağlar. Bir: kategorilere ayırma (zorunlu, analitik, pazarlama, işlevsel) ve her biri için ayrı toggle. İki: reddetme seçeneği kabul kadar kolay olmalı; iki tık derinliğinde olan “Red” seçenek yeterli değil. Üç: onay öncesi çalışmama: Meta Pixel, GA4, TikTok Pixel hiçbir şey onay gelmeden yaya bile çıkmamalı (iframe, script tag, fetch hepsi). Dört: onay kaydı: hangi kullanıcının ne zaman neye onay verdiği log’da olmalı (Cookiebot, OneTrust, Usercentrics gibi CMP’ler zorunlu). Usercentrics’in Türkiye için özel geo-profili var, en temiz entegrasyon.
GA4 Consent Mode v2 ve Meta Conversions API
Google, 2024’ten itibaren Consent Mode v2’yi AB ve şimdi de TR pazarı için zorunlu tutuyor. Pratikte: kullanıcı reddederse GA4 yine yükleniyor ama ad_storage, analytics_storage, ad_user_data, ad_personalization parametreleri “denied” olarak gidiyor. Google bu sinyallerle modelleme yapıp dönüşüm tahmini üretiyor. Consent Mode v2 kurulmamışsa, reddeden kullanıcılar tamamen gözden kaybolur. Meta tarafında Conversions API (CAPI)’ye geçiş de KVKK açısından kritik: server-side gönderimde hangi veriler hash’lenmiş (email, telefon) ve hangi onay durumuyla gönderiliyor detaylı log tutulmalı. CAPI payload’ında data_processing_options alanı ile Meta’ya “bu kullanıcı pazarlama onayı vermedi” sinyali gönderilmeli. Büyük markalar bu alanı boş bırakıp Meta’ya her şeyi gönderiyor; en yaygın ihlal.
CRM veri işleme: Klaviyo, Insider, RelatedDigital
E-posta ve push pazarlama için onay ayrı bir kategori. Site kaydı sırasında “Kampanya e-postaları almak istiyorum” kutucuğu önceden işaretli gelmemeli. Klaviyo, Insider, RelatedDigital gibi CRM platformlarının Türk pazarına sunduğu compliance setleri var ama default’lar zayıf; bilinçli yapılandırman gerek. Kayıt olurken 3 farklı onay ayrı toplanır: üyelik sözleşmesi, KVKK aydınlatma metni, açık rıza (pazarlama). Bu üçüsünü tek checkbox’a sıkıştırmak geçersiz. Abonelikten çıkma (unsubscribe) tek tık, maksimum 2 iş günü içinde işlenmeli; bu süreyi aşan sistemler ihlal yaratıyor. Veri ihracatlarında (segment export, partner integration) hedefin yurt dışı sunucuları KVKK Kurul’una bildirimli olmalı.
Son cezalar, denetim riskleri ve pratik checklist
2024-2025’te pazarlama açısından önemli cezaların büyüklüğü 50K-2.5M TL aralığında. 2026’da yeni yönetmelik ile üst limit ciroya orantılandı; büyük markalar için milyonlarca TL mümkün. En sık denetlenen üç nokta: çerez banner’ı, pazarlama onayı kayıtları, yurt dışı veri aktarımı. Hemen bugün yapabileceğin checklist: (1) CMP kuruldu mu ve reddetme kabul kadar kolay mı? (2) Meta Pixel ve GA4 consent öncesi yükleniyor mu — test et. (3) CAPI data_processing_options geçiyor mu? (4) CRM signup form’da 3 ayrı onay var mı? (5) Unsubscribe link tek tık mı? (6) Veri saklama süreleri tablosu dokümanın var mı? (7) VERBİS kaydı var mı ve güncel mi? Bu 7 maddeden biri eksikse önce onu halledin; reklam ROAS’ı ikinci planda.