KVKK (Kişisel Verilerin Korunması Kanunu), performans pazarlama ekipleri için yalnızca hukuk metni değildir; reklam pikseli, CRM izni, çerez banner'ı, yurt dışı veri aktarımı ve raporlama altyapısını doğrudan etkiler. Bu rehber hukuki danışmanlık değil; onay, çerez, açık rıza ve pazarlama verisi risklerini özetler. Consent Mode v2 burada teknik kurulum rehberi değil, KVKK ve reklam ölçümü arasındaki onay katmanı olarak ele alınır.
KVKK’nın pazarlama için 4 temel ilkesi
KVKK ile uğraşmadan önce 4 ilkeyi ezberle. Birincisi açık rıza: pazarlama amacıyla işlenen her veri (e-posta, telefon, cookie id, device id) için kullanıcının net ve aktif onayı gerek. Pasif “browser’ı kullanmaya devam etmekle kabul etmiş sayılırsın”lar artık geçersiz. İkincisi amaçla sınırlılık: veri hangi amaçla toplandıysa sadece onun için kullanılabilir; sepet terk e-postası için alınan izinle rekabetsiz partner kampanyasına veri satamazsın. Üçüncüsü veri minimizasyonu: reklam hedefleme için gereksiz alanları (tam adres, TC kimlik) toplamamalısın. Dördüncüsü saklama süresi: her veri kategorisi için bir ömrün olmalı (pazarlama genelde 2 yıl, üyelik 10 yıl ticari kayıt gereği). Bu 4 ilke kontrol edilmezse, sonraki teknik düzenlemeler kozmetiktir.
Aşağıdaki tablo 4 ilkenin pratik anlamını ve pazarlama uygulamasını özetliyor.
| İlke | Pratik anlamı | Pazarlama uygulaması |
|---|---|---|
| Açık rıza | Net, aktif, bilgilendirilmiş onay | Önceden işaretli kutucuk yasak; her veri kategorisi için ayrı onay |
| Amaçla sınırlılık | Veri toplandığı amaç dışında kullanılamaz | Sepet terk için alınan onayla satış e-postası gönderme; partner data sharing yasak |
| Veri minimizasyonu | Sadece amaç için gerekli minimum | Hedefleme için TC kimlik veya tam adres toplama; e-posta + tercih yeterli |
| Saklama süresi | Her veri kategorisi için tanımlı ömür | Pazarlama genelde 2 yıl, üyelik 10 yıl ticari kayıt; süre sonunda otomatik silme |
KVKK uyumlu çerez banner’ı nasıl olmalı?
Çoğu Türk e-ticaret sitesinde görülen “çerezleri kullanmamıza izin ver” + tek “Tamam” butonu pazarlama izni için güvenli bir zemin oluşturmaz. Doğru banner 4 şartı sağlar. Bir: kategorilere ayırma (zorunlu, analitik, pazarlama, işlevsel) ve her biri için ayrı seçim. İki: reddetme seçeneği kabul kadar kolay olmalı. Üç: onay öncesi çalışmama: Meta Pixel, GA4, TikTok Pixel gibi pazarlama/analitik etiketleri onay durumu netleşmeden tetiklenmemeli. Dört: onay kaydı: hangi kullanıcının ne zaman neye onay verdiği kanıtlanabilir olmalı. CMP araçları bu kanıtı yönetmek için en pratik yoldur.
Banner denetimi (audit) için 4 şartın detaylı kontrol listesi:
| Şart | Olması gereken | Yaygın hata |
|---|---|---|
| Kategorilere ayırma | Zorunlu / Analitik / Pazarlama / İşlevsel; her biri için ayrı toggle | Tek "Tüm çerezleri kabul et" butonu |
| Red kolaylığı | "Reddet" butonu "Kabul et" kadar görünür ve tek tık | Red için "Ayarları yönet" → 2-3 tık derinlik |
| Onay öncesi çalışmama | Meta Pixel, GA4, TikTok Pixel onay gelmeden hiç tetiklenmez | Script'ler defer ile yüklenir ama onaydan önce fetch atar |
| Onay kaydı (audit log) | Kullanıcı × zaman × onay verilen kategoriler log'da | CMP yok, manuel onay; denetimde kanıtlanamaz |
GA4 Consent Mode v2 ve Meta Conversions API
Google reklam ürünleri ve AB/AEA trafiği olan markalarda Consent Mode v2 ölçüm kalitesi açısından kritik hale geldi. Pratikte kullanıcı reddederse ad_storage, analytics_storage, ad_user_data, ad_personalization parametreleri “denied” olarak yönetilir. Meta tarafında Conversions API (CAPI) kullanılıyorsa server-side gönderimde hangi verilerin hash'lendiği ve hangi onay durumuyla gönderildiği kayıt altına alınmalı. CAPI pazarlama performansını iyileştirebilir ama KVKK sorumluluğunu ortadan kaldırmaz.
CRM veri işleme: Klaviyo, Insider, RelatedDigital
E-posta ve push pazarlama için onay ayrı bir kategori. Site kaydı sırasında “Kampanya e-postaları almak istiyorum” kutucuğu önceden işaretli gelmemeli. Klaviyo, Insider, RelatedDigital gibi CRM platformlarının Türk pazarına sunduğu compliance setleri var ama default’lar zayıf; bilinçli yapılandırman gerek. Kayıt olurken 3 farklı onay ayrı toplanır: üyelik sözleşmesi, KVKK aydınlatma metni, açık rıza (pazarlama). Bu üçüsünü tek checkbox’a sıkıştırmak geçersiz. Abonelikten çıkma (unsubscribe) tek tık, maksimum 2 iş günü içinde işlenmeli; bu süreyi aşan sistemler ihlal yaratıyor. Veri ihracatlarında (segment export, partner integration) hedefin yurt dışı sunucuları KVKK Kurul’una bildirimli olmalı.
Denetim riskleri ve pratik kontrol listesi
KVKK idari para cezaları Kanun'un 18. maddesi kapsamındaki TL tutarları üzerinden ve yeniden değerleme oranlarıyla güncellenir; bu nedenle GDPR'daki gibi genel bir “gelirin yüzdesi” yaklaşımıyla anlatılmamalıdır. Pazarlama ekipleri için en kritik üç risk alanı çerez/onay yönetimi, ticari ileti onayı kayıtları ve yurt dışı veri aktarımı mekanizmasıdır.
| Risk kategorisi | Kontrol edilmesi gereken | Sık görülen senaryo |
|---|---|---|
| Çerez banner'ı uyumu | Kategori, red kolaylığı, onay kaydı | Onaysız tracker yüklenmesi veya red seçeneğinin saklanması |
| Ticari ileti onayı | Açık rıza, kayıt kanıtı, tek tık çıkış | Onay alınmadan toplu e-posta/SMS gönderimi |
| Yurt dışı aktarım | Yeterlilik, uygun güvence veya istisna mekanizması | Yurt dışı sunuculu araca mekanizma belirlemeden veri aktarımı |
| VERBİS durumu | Kayıt yükümlülüğü ve güncellik | Yükümlülük doğduğu halde kayıt/güncelleme yapılmaması |
| Veri ihlali süreci | İhlal tespiti, iç bildirim, Kurum bildirimi | Olay müdahale planının olmaması |
Güncel idari para cezası tutarları için KVKK'nın resmi idari para cezası tablosu esas alınmalıdır. Aşağıdaki 10 maddelik kontrol listesi pazarlama ekibinin hukuk ve teknik ekiplerle birlikte iç denetim yapması için pratik başlangıçtır.
10 maddelik KVKK pazarlama uyum checklist'i
- CMP (Cookiebot, OneTrust, Usercentrics) kurulu ve reddetme kabul kadar kolay
- Meta Pixel, GA4, TikTok Pixel onay öncesi tetiklenmiyor (Network tab ile test)
- CAPI ve sunucu-yan event'lerde
data_processing_optionsparametresi geçiyor - Signup form'da en az 3 ayrı onay (KVKK aydınlatma, ticari ileti, çerez)
- Unsubscribe link tek tıkla çalışıyor; ekstra form veya doğrulama yok
- Veri saklama süreleri tablosu güncel (her kategori için tanımlı ömür)
- VERBİS kaydı tamam ve son 12 ay içinde güncellendi
- Yurt dışı veri aktarımı için uygun mekanizma belirlendi (yeterlilik, uygun güvence veya istisna)
- Veri ihlali müdahale planı dokümante (72 saat bildirim hazırlığı)
- İç KVKK politika dokümanı tüm pazarlama ekibine eğitim verildi
Kaynaklar / Sources
- KVKK: Açık rıza alırken dikkat edilecek hususlar
- KVKK: Aydınlatma yükümlülüğünün yerine getirilmesi rehberi
- KVKK: 6698 sayılı Kanun kapsamında idari para cezası tutarları
- KVKK: Yurt dışına aktarım
- Google: Consent Mode documentation
- Meta: Conversions API best practices
KVKK uyumlu pazarlama hakkında sıkça sorulanlar
KVKK ile GDPR arasındaki fark nedir?
İkisi de açık rıza, amaç sınırlılığı, veri minimizasyonu ve ilgili kişi hakları gibi benzer ilkeler taşır; ancak idari süreçler, para cezası rejimi ve yurt dışı aktarım mekanizmaları farklıdır. Türkiye odaklı bir pazarlama ekibi KVKK gerekliliklerini ayrıca değerlendirmelidir.
Çift onay (double opt-in) KVKK'da zorunlu mu?
Her senaryoda açıkça zorunlu değildir; ancak ticari ileti ve pazarlama izni kanıtını güçlendiren güvenli bir uygulamadır. Özellikle e-posta listesi büyüten markalarda onay kaydını saklamak ve abonelikten çıkışı kolay tutmak gerekir.