Giriş: "gizlilik sayfası var" savunma değil#
KVKK uyumu 2026'da sadece "gizlilik politikası sayfası" değil; aydınlatma + açık rıza + veri envanteri + teknik kontrol + 3rd party uyum + ihlal yönetimi + AI uyumluluğu bütünü. KVK Kurulu denetimi de bu yedi başlığı sorguluyor.
Bu yazıda KVKK uyumlu web sitesini 8 başlık altında inceliyoruz: aydınlatma + açık rıza, cookie banner + tracking, veri işleme envanteri, teknik kontroller, 3rd party + DPA, kullanıcı hakları + veri silme, ihlal yönetimi + 72 saat kuralı, AI + LLM uyumu (2026 yeni alan).
2026 referans: KVKK + GDPR uyum hatası ortalama 100K-2M TL ceza (TR). GDPR 4% global ciro veya 20M EUR (EU). Veri ihlali maliyeti ortalama 165K USD/incident (IBM Cost of Data Breach Report). "Önlemek tedaviden ucuz" — kurumsal sitelerde uyum bütçesi 100-500K TL bir defalık + 30-100K TL/yıl bakım.
1. Aydınlatma metni + açık rıza: temel hukuki taban#
Aydınlatma metni (KVKK Madde 10): kişisel verilerin kim tarafından, hangi amaçla, hangi hukuki dayanağa göre, ne kadar süre, kimlerle paylaşılarak işlendiğini anlatan zorunlu metin. Veri sahibinin haklarını da listelemeli.
Açık rıza (KVKK Madde 5): aydınlatma metnine ek, kullanıcının belirli bir amaca açık + özgür + bilgilendirilmiş izin vermesi. Pre-checked checkbox ASLA olmamalı (bunun cezası yüksek).
Aydınlatma vs açık rıza farkı: aydınlatma her durumda zorunlu (sadece bilgilendirme). Açık rıza yalnızca özel hukuki dayanak yoksa gerekli — örn: pazarlama, profilleme.
Pratik uygulama: form altında "Aydınlatma metnini okudum + Pazarlama iletişimine açık rıza veriyorum" iki ayrı checkbox. "Tüm şartları kabul ediyorum" tek checkbox YASAK.
Avukat danışmanlığı: sektöre özgü aydınlatma metni 5-25K TL bir defalık. Hazır şablon kullanmak risk (sektör + iş modeli kalemleri eksik).
2. Cookie banner + tracking + analitik#
Cookie kategorileri: (1) Zorunlu (session, auth) — onay gerekmez. (2) Performans/analitik (Google Analytics) — açık rıza zorunlu. (3) Pazarlama/reklam (Meta Pixel, Google Ads) — açık rıza zorunlu. (4) Sosyal medya (Facebook embed) — açık rıza.
Banner zorunlulukları: reddet butonu kabul ile aynı görünürlükte. "Sadece zorunlu" ve "Tüm cookie'leri kabul" iki opsiyon. Pre-checked checkbox YASAK.
Granüler kontrol: kullanıcı kategori bazlı seçim yapabilmeli ("sadece analitik kabul, pazarlama reddet"). Tek tık "hepsini reddet" mecburi.
Cookie consent management: Cookiebot, OneTrust, Iubenda, Termly — aylık 30-200 USD. Türkiye uyumlu çözüm Iubenda + custom KVKK metni.
Tracking before consent: kullanıcı onay vermeden GA, Meta Pixel, HotJar yüklenmemeli. "Cookie banner var ama tracking onay öncesi başlıyor" en yaygın ihlal.
Analitik anonimizasyon: IP anonymization (GA:
anonymizeIp), user-id hash, retention 14-26 ay (azaltılmış).3. Veri işleme envanteri (VERBIS) + retention#
VERBIS kaydı: KVKK Madde 16 — yıllık cirosu 25M+ TL veya 50+ çalışanı olan veri sorumluları VERBIS'e kayıt zorunlu. Kayıt sürecinde tüm veri işleme faaliyetleri envanterlenir.
Veri envanteri içeriği: her veri kategorisi için (örn: müşteri form verisi) — amaç, hukuki sebep, alıcı grubu, saklama süresi, güvenlik tedbiri. Excel formatında 50-500 satırlık doküman.
Retention politikası: her veri tipi için saklama süresi tanımlı + otomatik silme prosedürü. Form verisi (lead) → 6 ay sonra sil. Müşteri faturalama → 10 yıl (vergi mevzuatı). Sohbet kayıt → 2 yıl.
Veri minimizasyonu: formdan sadece amaç için gerekli alanları sor. "Doğum tarihi" e-bültene kayıt için gereksiz; sorma.
Pseudonymization + encryption: hassas veri (ödeme, sağlık, kimlik) DB'de şifreli. Pseudonymization (gerçek kimlik ↔ takma ad mapping) raporlama için.
4. Teknik kontroller: "güvenlik tedbirleri"#
HTTPS zorunlu (TLS 1.2+): tüm site + alt domain'ler HTTPS. HTTP isteği otomatik HTTPS'e redirect. HSTS header. Free SSL (Let's Encrypt) yeterli.
Şifre hashleme: bcrypt veya Argon2 (asla MD5/SHA-1/plain text). Salt zorunlu. "Şifremi unuttum" akışı şifreyi e-mail ile göndermez (token + reset link).
Yetki kontrolü: role-based access control (RBAC). Admin paneli rate limiting + 2FA. Audit log her admin işlemi için.
Backup + DR: günlük otomatik backup (off-site veya farklı bölge). Restore prosedürü 6 ayda bir test. RTO (recovery time) <4 saat, RPO (recovery point) <24 saat.
Monitoring + log: başarısız giriş denemeleri, anormal trafik, SQL injection denemeleri log'lanmalı. SIEM (Security Information and Event Management) — Datadog, Splunk, ELK.
WAF + DDoS koruması: Cloudflare, AWS Shield, Sucuri. Bot trafiği filtrele, OWASP Top 10 saldırılarını engelle.
Penetration test: yıllık 1-2 kez bağımsız security firma ile pentest. 30-150K TL/test.
5. 3rd party + DPA + uluslararası transfer#
Veri işleyen sözleşmesi (DPA): hosting, CRM, e-mail marketing, analytics, payment processor — her veri işleyen ile yazılı DPA (Data Processing Agreement). KVKK Madde 12.
Standart DPA maddeleri: veri amaç, kategori, kategori, saklama süresi, alt-işleyen yasak/izinli, ihlal bildirim süresi, denetim hakkı, veri silme prosedürü.
Uluslararası transfer: KVKK Madde 9 — yurtdışı transfer (AWS US, Vercel US, OpenAI US, Stripe US) için (1) açık rıza veya (2) Kurul tarafından yeterli koruma sağlandığına karar verilen ülke veya (3) standart sözleşme.
2026 trend: Türkiye'den AWS Frankfurt (EU) veya AWS İstanbul region tercih ediliyor. EU + Türkiye verisi yurtiçi. ABD transferi için açık rıza + standart sözleşme.
Yaygın 3rd party'ler: Google Analytics (yurtdışı), Meta Pixel (yurtdışı), HubSpot, Mailchimp, Stripe — hepsi için DPA + transfer mekanizması.
Vendor risk assessment: 3rd party'in kendi güvenlik sertifikaları (SOC 2, ISO 27001) kontrol edilmeli. Sertifikası olmayan vendor riskli.
6. Kullanıcı hakları + veri silme + portabilite#
KVKK Madde 11 — veri sahibi hakları: (1) Kişisel verisinin işlenip işlenmediğini öğrenme. (2) İşlenmiş ise bilgi talep etme. (3) İşlenme amacını öğrenme. (4) Yurtiçi/dışı 3. kişileri öğrenme. (5) Eksik/yanlış veriyi düzelttirme. (6) Silinmesini/yok edilmesini isteme. (7) Düzeltme/silmenin 3. kişilere bildirilmesini isteme. (8) Kişisel veriden zarar görme durumunda tazminat.
Başvuru yöntemi: site üzerinden form veya KEP/iadeli taahhütlü posta. 30 gün içinde yanıt zorunlu. Ücretsiz (sınırlı durumlar dışında).
Veri silme prosedürü: kullanıcı talep ettiğinde — uygulama DB + analytics + e-mail listesi + CRM + chatbot logs + backup'lardan silme. Audit log: "X tarihinde Y verisi silindi".
Portabilite hakkı (GDPR): kullanıcı verisini makineyle okunabilir format'ta (JSON, CSV) talep edebilir. Türkiye'de KVKK'da explicit yok ama best practice.
Otomasyon: Acquia, OneTrust, Iubenda gibi platformlar veri silme talep yönetimini otomatize ediyor.
7. İhlal yönetimi + 72 saat kuralı#
72 saat bildirim: KVKK Madde 12/5 + GDPR Madde 33 — veri ihlali tespit edildiğinde 72 saat içinde Kurul'a bildirim. Geç bildirim ek ceza.
Bildirimde olması gerekenler: ihlal tarihi + tespit tarihi, etkilenen veri kategorileri + kişi sayısı, olası sonuçlar, alınan + alınacak tedbirler, iletişim için sorumlu kişi.
Veri sahibi bildirimi: yüksek risk varsa kullanıcıya da bildirim (e-mail, anasayfa duyuru). Genelde "şifrelerinizi sıfırlayın" tarzı uyarı.
Incident response plan: önceden yazılmış prosedür — kim haber alır, kim eskale eder, kim Kurul bildirimi yazar, kim avukatla iletişimi kurar. Şirket-içi tatbikat (yılda 1).
Forensic + log analizi: ihlal sonrası kim/ne/ne zaman/nasıl analizi. Log retention 12+ ay (forensic için zorunlu).
Sigorta: cyber insurance 50-500K TL/yıl. İhlal maliyetinin (forensik + bildirim + ceza + tazminat) %60-80'ini karşılar. KOBİ + kurumsal için tavsiye.
8. AI + LLM + chatbot uyumu (2026 yeni alan)#
Sohbet kayıt + LLM: kullanıcının chatbot ile sohbeti kişisel veridir. Aydınlatma + açık rıza + saklama süresi + LLM provider DPA gerekli.
PII redaction: kullanıcı T.C. kimlik, kart no, telefon paylaştığında LLM'e gönderilmeden önce maskele. Logs'larda da maskeli kalmalı.
3rd party LLM (OpenAI, Anthropic, Google): data processing agreement. "Default opt-out training" (Anthropic, Enterprise OpenAI) tercih edilmeli. Free ChatGPT API yasak (data Anthropic/OpenAI'ye gidiyor).
EU AI Act 2026: AB AI Act yürürlükte. "High-risk AI" kategorisi (kredi skorlama, işe alım, sağlık) ek dokümantasyon + audit gerektiriyor. Türkiye benzer regulasyon hazırlıyor.
Algoritmik karar açıklanabilirliği: AI tarafından alınan kararlar (kredi reddi, otomatik content moderation) kullanıcıya açıklanabilmeli. "Black box" karar yasal sorun.
Otomasyona itiraz hakkı: kullanıcı tamamen AI kararına karşı insan müdahalesi talep edebilir. Müşteri hizmetleri chatbot'ta "insanla görüşmek istiyorum" otomatik insanla bağlantı.
RAG + vector DB uyumu: şirket dokümanlarındaki kişisel veri vector DB'ye embed edilirken anonim olmalı. Audit + retention policy + delete-on-request.
Sonuç: KVKK "bir defalık proje" değil sürekli operasyon#
KVKK uyumu sitenin lansmanında biten değil, sitenin yaşam döngüsünde sürekli yenilenen disiplin. Yeni form + yeni entegrasyon + yeni vendor + yeni AI tool eklenince uyum dosyası tekrar gözden geçirilmeli.
Sağlıklı yaklaşım: Faz 1 — temel uyum (4-8 hafta). Faz 2 — VERBIS kaydı + DPA'lar (4-6 hafta). Faz 3 — AI/LLM uyumu (2-4 hafta). Faz 4 — yıllık audit + güncellemeler.
Sorumluluk dağılımı: hukuk (avukat) + IT (teknik kontrol) + ürün (ürün uyumu) + yönetim (DPO atama). Bu üçlü olmadan KVKK denetiminde sıkıntı çıkar.
KVKK uyumlu web sitesi geliştirme + hukuki danışmanlık + teknik audit için web yazılım sayfamız üzerinden iletişime geçebilirsiniz; sektörünüze özel 4 fazlı KVKK uyum yol haritası hazırlarız.
İlgili yazılar
Aynı kararı destekleyen diğer yazılar
Rehber
AI Agent Nedir? 2026 Türkçe Detaylı Rehber
Chatbot vs agent farkı, mimari, tool use, memory, planning, observability, kurumsal use case. 8 başlıkta veriyle agent rehberi.
Rehber
RAG (Retrieval Augmented Generation) Nedir, Nasıl Kurulur? 2026 Detaylı Rehber
Vector DB, embedding, chunking, retrieval, re-ranking, evaluation, güvenlik. 8 başlıkta production-ready RAG kurma rehberi.
Rehber
MCP (Model Context Protocol) Nedir?
Anthropic'in 2024'te yayınladığı MCP, kurumsal AI'ın "USB-C" standardı. Tool calling vs MCP, mimari, kullanım senaryoları, kendi server'ınızı yazma, güvenlik. 8 başlıkta kapsamlı rehber.
Sonraki adım
Benzer bir proje planlıyorsanız, bağlamınızı netleştirip teklif akışını birlikte kurabiliriz.
Proje talebi oluştur