KVKK Uyumlu Web Sitesi Nasıl Kurulur? 2026 Rehberi
Web sitenizi KVKK ve GDPR ile uyumlu hale getirin. Aydınlatma metni, çerez politikası, açık rıza ve VERBİS kaydı için adım adım rehber.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar. Web siteniz kullanıcı verisi topluyorsa - ki çoğu site toplar - KVKK'ya uyum sağlamak zorundasınız.
Bu rehberde web sitenizi KVKK ile uyumlu hale getirmek için gereken tüm adımları, hazırlamanız gereken belgeleri ve teknik gereksinimleri bulacaksınız.
KVKK Nedir ve Kimleri Kapsar?
KVKK, 7 Nisan 2016'da yürürlüğe giren ve kişisel verilerin işlenmesini düzenleyen temel kanundur. Avrupa Birliği'nin GDPR'ı ile paralel hazırlanmıştır.
KVKK'nın Kapsamı
Kişisel veri nedir? Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi:
- Ad, soyad, TC kimlik numarası
- E-posta adresi, telefon numarası
- IP adresi, konum bilgisi
- Çerez verileri, cihaz bilgileri
- Fotoğraf, video kayıtları
- Sağlık bilgileri, biyometrik veriler
Kim "veri sorumlusu" sayılır? Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişi veya kuruluş. Web sitesi sahibi olarak siz veri sorumlusunuz.
KVKK Yaptırımları
| İhlal Türü | Ceza (2026) |
|---|---|
| Aydınlatma yükümlülüğü ihlali | 85.437 - 1.709.200 TL |
| Veri güvenliği ihlali | 256.357 - 17.092.242 TL |
| VERBİS kayıt ihlali | 341.809 - 17.092.242 TL |
| Kurul kararına uymama | 427.263 - 17.092.242 TL |
2026 yılı cezaları %25,49 oranında artırılmıştır (Resmi Gazete, 27 Kasım 2025).
Ayrıca itibar kaybı ve hukuki sorumluluk riski de bulunmaktadır.
Web Sitesi KVKK Uyum Kontrol Listesi
Web sitenizin KVKK'ya uyumu için aşağıdaki adımları tamamlayın:
1. Aydınlatma Metni
Kullanıcıları kişisel verilerinin nasıl işlendiği hakkında bilgilendiren metin. Her web sitesi için zorunludur.
Aydınlatma metninde bulunması gerekenler:
- Veri sorumlusunun kimliği ve iletişim bilgileri
- Hangi kişisel verilerin toplandığı
- Verilerin hangi amaçlarla işlendiği
- Verilerin kimlere aktarılabileceği
- Veri toplama yöntemi ve hukuki sebebi
- İlgili kişinin hakları
Örnek aydınlatma metni yapısı:
# Kişisel Verilerin Korunması Aydınlatma Metni
## 1. Veri Sorumlusu
[Şirket Adı], [Adres] adresinde mukim olup,
işbu aydınlatma metni ile 6698 sayılı KVKK kapsamında
veri sorumlusu sıfatıyla bilgilendirme yapmaktadır.
## 2. Toplanan Kişisel Veriler
- Kimlik bilgileri (ad, soyad)
- İletişim bilgileri (e-posta, telefon)
- İşlem güvenliği bilgileri (IP adresi, çerez verileri)
## 3. Veri İşleme Amaçları
- Hizmet sunumu ve sözleşme ifası
- İletişim taleplerinin yanıtlanması
- Yasal yükümlülüklerin yerine getirilmesi
## 4. Veri Aktarımı
Kişisel verileriniz, hizmet sağlayıcılarımıza ve
yasal zorunluluk halinde yetkili kurumlara aktarılabilir.
## 5. Haklarınız
KVKK'nın 11. maddesi kapsamında;
- Verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse bilgi talep etme
- Düzeltme veya silme talep etme
- Üçüncü kişilere aktarımı durdurma
haklarına sahipsiniz.
## 6. İletişim
Haklarınızı kullanmak için: kvkk@sirket.com
Aydınlatma metninin konumu:
- Footer'da sabit link
- Form sayfalarında görünür bağlantı
- Kayıt/üyelik formlarında onay kutusu yanında
2. Gizlilik Politikası
Aydınlatma metninden daha kapsamlı, web sitesinin tüm veri işleme faaliyetlerini açıklayan belge.
Gizlilik politikası içeriği:
- Giriş: Şirket tanıtımı ve politikanın amacı
- Tanımlar: Kişisel veri, veri sorumlusu, ilgili kişi
- Toplanan veriler: Kategoriler halinde liste
- Veri işleme amaçları: Detaylı açıklama
- Hukuki sebepler: KVKK 5. ve 6. madde referansları
- Veri aktarımı: Yurt içi ve yurt dışı aktarımlar
- Veri saklama süreleri: Kategori bazlı süreler
- Veri güvenliği: Alınan teknik ve idari önlemler
- Çerez politikası: Ayrı bölüm veya ayrı sayfa referansı
- Haklar: KVKK 11. madde hakları
- Başvuru yöntemi: İletişim bilgileri ve form
- Güncellemeler: Politika değişiklik bildirimi
3. Çerez Politikası
Web sitenizde kullanılan çerezleri açıklayan ve kullanıcı onayı alan sistem.
Çerez türleri:
| Çerez Türü | Açıklama | Onay Gerekli mi? |
|---|---|---|
| Zorunlu | Site çalışması için gerekli | Hayır |
| İşlevsel | Kullanıcı tercihlerini hatırlar | Evet |
| Analitik | Ziyaretçi istatistikleri | Evet |
| Pazarlama | Reklam hedefleme | Evet |
Çerez banner gereksinimleri:
<!-- Çerez onay banner'ı -->
<div id="cookie-banner" class="cookie-consent">
<div class="cookie-content">
<p>
Bu web sitesi, deneyiminizi geliştirmek için çerezler kullanır.
<a href="/cerez-politikasi">Çerez Politikası</a>
</p>
<div class="cookie-buttons">
<button id="accept-all">Tümünü Kabul Et</button>
<button id="customize">Özelleştir</button>
<button id="reject-optional">Sadece Zorunlu</button>
</div>
</div>
</div>
Çerez yönetim kuralları:
- Sayfa yüklendiğinde zorunlu olmayan çerezler yüklenmemeli
- Kullanıcı onay verene kadar analitik/pazarlama çerezleri çalışmamalı
- "Reddet" seçeneği her zaman mevcut olmalı
- Tercihler kaydedilmeli ve hatırlanmalı
- Tercihleri değiştirme imkanı sunulmalı
Google Analytics KVKK uyumu:
// Çerez onayı olmadan GA yükleme
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Varsayılan olarak reddedilmiş
gtag('consent', 'default', {
'analytics_storage': 'denied',
'ad_storage': 'denied'
});
// Kullanıcı onay verirse
function grantConsent() {
gtag('consent', 'update', {
'analytics_storage': 'granted'
});
}
4. İletişim Formları
Formlar aracılığıyla toplanan veriler için özel dikkat gerekir.
Form KVKK gereksinimleri:
<form action="/api/contact" method="POST">
<div>
<label for="name">Ad Soyad *</label>
<input type="text" id="name" name="name" required>
</div>
<div>
<label for="email">E-posta *</label>
<input type="email" id="email" name="email" required>
</div>
<div>
<label for="message">Mesajınız *</label>
<textarea id="message" name="message" required></textarea>
</div>
<!-- KVKK Onay Kutusu -->
<div class="consent-checkbox">
<input type="checkbox" id="kvkk-consent" name="kvkk" required>
<label for="kvkk-consent">
<a href="/aydinlatma-metni" target="_blank">Aydınlatma Metni</a>'ni
okudum ve kişisel verilerimin işlenmesini kabul ediyorum. *
</label>
</div>
<!-- Pazarlama İzni (Opsiyonel) -->
<div class="marketing-checkbox">
<input type="checkbox" id="marketing-consent" name="marketing">
<label for="marketing-consent">
Kampanya ve duyurulardan haberdar olmak istiyorum.
</label>
</div>
<button type="submit">Gönder</button>
</form>
Önemli kurallar:
- KVKK onayı zorunlu alan olmalı
- Pazarlama izni ayrı ve opsiyonel olmalı
- Önceden işaretli kutular kullanılmamalı
- Onay metni açık ve anlaşılır olmalı
5. E-posta Pazarlama
Ticari elektronik ileti göndermek için açık rıza gerekir.
İzin alma kuralları:
- Çift onay (double opt-in) önerilir
- İzin tarihi ve kaynağı kayıt altına alınmalı
- Abonelikten çıkma linki her e-postada olmalı
- İzinsiz liste satın alma/kullanma yasaktır
İzin kaydı örneği:
{
"email": "kullanici@example.com",
"consent_date": "2026-12-26T10:30:00Z",
"consent_source": "website_newsletter_form",
"consent_text": "Kampanya ve duyurulardan haberdar olmak istiyorum",
"ip_address": "192.168.1.1",
"double_optin_confirmed": true,
"confirmed_date": "2026-12-26T10:35:00Z"
}
6. VERBİS Kaydı
Veri Sorumluları Sicili'ne (VERBİS) kayıt yükümlülüğü belirli şartlarda zorunludur.
VERBİS'e kayıt zorunlu olanlar:
- Yıllık çalışan sayısı 50'den fazla olan şirketler
- Yıllık mali bilanço toplamı 100 milyon TL üzeri
- Ana faaliyet konusu özel nitelikli veri işleme olanlar
VERBİS'e kayıt zorunlu olmayanlar:
- Yıllık çalışan sayısı 50'den az VE bilanço 100 milyon TL altı
- Dernekler, vakıflar, sendikalar (üye verileri için)
- Noterler, avukatlar, mali müşavirler (mesleki faaliyetler için)
VERBİS kayıt bilgileri:
- Veri sorumlusu kimlik bilgileri
- Veri kategorileri
- İşleme amaçları
- Veri aktarımı yapılan taraflar
- Yurt dışı aktarımlar
- Veri güvenliği önlemleri
- Saklama süreleri
7. Teknik Güvenlik Önlemleri
KVKK, veri güvenliği için teknik ve idari tedbirler alınmasını zorunlu kılar.
Zorunlu teknik önlemler:
## SSL/TLS Sertifikası
- Tüm sayfalar HTTPS üzerinden sunulmalı
- TLS 1.2 veya üzeri kullanılmalı
- HSTS header aktif olmalı
## Erişim Kontrolü
- Güçlü şifre politikaları
- İki faktörlü kimlik doğrulama
- Rol bazlı erişim kontrolü
## Veri Şifreleme
- Hassas veriler veritabanında şifreli
- Yedekler şifreli saklanmalı
- İletim sırasında şifreleme
## Güvenlik Duvarı
- Web Application Firewall (WAF)
- DDoS koruması
- Saldırı tespit sistemleri
## Günlük Kayıtları
- Erişim logları tutulmalı
- Değişiklik logları
- Minimum 2 yıl saklama
SSL sertifikası rehberimizde güvenlik detaylarını bulabilirsiniz.
8. Veri İhlali Prosedürü
Veri ihlali durumunda 72 saat içinde KVKK Kurulu'na bildirim zorunludur.
Veri ihlali müdahale planı:
- Tespit: İhlali fark et ve dokümante et
- Durdurma: Devam eden sızıntıyı durdur
- Değerlendirme: Etkilenen verileri ve kişileri belirle
- Bildirim: 72 saat içinde Kurul'a bildir
- İlgili kişilere bildirim: Gerekiyorsa etkilenen kişilere haber ver
- Düzeltme: Güvenlik açığını kapat
- İnceleme: Olayı analiz et, önlem al
KVKK ve GDPR Farkları
Avrupa pazarına hizmet veriyorsanız GDPR'a da uyum gerekir.
| Özellik | KVKK | GDPR |
|---|---|---|
| Yürürlük | 2016 | 2018 |
| Kapsam | Türkiye | AB + AB vatandaşları |
| Açık rıza | Yazılı/elektronik | Açık eylem yeterli |
| DPO zorunluluğu | Yok | Belirli durumlarda zorunlu |
| Ceza üst sınırı | 3 milyon TL | 20 milyon EUR veya ciro %4 |
| Veri taşınabilirliği | Sınırlı | Geniş kapsamlı |
| Unutulma hakkı | Var | Daha kapsamlı |
Her iki düzenlemeye uyum için:
- GDPR standartlarını benimsemek genellikle KVKK'yı da karşılar
- Türkiye'deki veriler için VERBİS kaydı ayrıca gerekli
- Her iki düzenleme için ayrı iletişim kanalları belirleyin
E-Ticaret Siteleri İçin Ek Gereksinimler
E-ticaret siteleri ek yükümlülükler taşır.
Sipariş sürecinde:
- Fatura bilgileri için açık rıza gerekmez (sözleşme ifası)
- Pazarlama için ayrı onay gerekir
- Ödeme bilgileri PCI DSS uyumlu saklanmalı
Müşteri hesapları:
- Hesap silme imkanı sunulmalı
- Veri indirme (portability) seçeneği
- Sipariş geçmişi saklama süreleri belirtilmeli
Kargo ve teslimat:
- Kargo firmalarına aktarım aydınlatma metninde belirtilmeli
- Minimum veri paylaşımı prensibi
E-ticaret sitesi kurma rehberimizde detaylı bilgi bulabilirsiniz.
Üçüncü Parti Araçlar ve KVKK
Web sitenizde kullandığınız üçüncü parti araçlar için dikkat edilmesi gerekenler:
Google Analytics:
- Çerez onayı sonrası yükleyin
- IP anonimleştirme aktif edin
- Veri saklama süresini sınırlayın
- Veri işleme sözleşmesi imzalayın
Facebook Pixel:
- Çerez onayı gerektirir
- Aydınlatma metninde belirtin
- Veri işleme sözleşmesi gerekli
Canlı destek/Chatbot:
- Sohbet başlangıcında bilgilendirme
- Kayıtlar için saklama süresi belirleyin
- AB dışı veri aktarımını kontrol edin
E-posta servisleri (Mailchimp, SendGrid):
- Veri işleyen sözleşmesi imzalayın
- AB-ABD veri aktarım mekanizmalarını kontrol edin
- Abonelik yönetimi KVKK uyumlu olmalı
Sıkça Sorulan Sorular
Her web sitesi KVKK'ya tabi mi?
Evet, kişisel veri toplayan her web sitesi KVKK kapsamındadır. İletişim formu, analitik araçları veya çerezler kullanan her site kişisel veri işler.
Aydınlatma metni ve gizlilik politikası aynı şey mi?
Hayır. Aydınlatma metni KVKK'nın zorunlu kıldığı, veri işleme hakkında bilgilendirme metnidir. Gizlilik politikası daha kapsamlı, tüm veri uygulamalarını anlatan belgedir. İkisi de gereklidir.
Çerez banner'ı kullanmak zorunlu mu?
Evet. Zorunlu çerezler dışındaki çerezler için kullanıcıdan önceden onay almanız gerekir. "Siteyi kullanmaya devam ederek kabul etmiş sayılırsınız" ifadesi geçerli değildir.
KVKK için şirket kurmak gerekir mi?
Hayır, gerçek kişiler de veri sorumlusu olabilir. Ancak VERBİS kaydı ve diğer yükümlülükler şirket veya şahıs fark etmeksizin geçerlidir.
Yurt dışı hosting KVKK'ya uygun mu?
Evet, ancak yurt dışı veri aktarımı kurallarına uymalısınız. Hosting sağlayıcısıyla veri işleme sözleşmesi yapın ve aydınlatma metninde yurt dışı aktarımı belirtin.
KVKK uyum maliyeti ne kadar?
Temel uyum (metin hazırlama, çerez banner) web sitesi maliyetine dahil edilebilir. VERBİS kaydı, danışmanlık ve sürekli uyum için yıllık 5.000-50.000 TL arası bütçe öngörülebilir.
KVKK Uyum Kontrol Listesi
Web siteniz için hızlı kontrol:
- Aydınlatma metni hazır ve erişilebilir
- Gizlilik politikası sayfası mevcut
- Çerez politikası ve banner aktif
- Çerez onayı olmadan analitik yüklenmiyor
- İletişim formlarında KVKK onay kutusu var
- Pazarlama izni ayrı olarak alınıyor
- SSL sertifikası aktif (HTTPS)
- VERBİS kaydı yapıldı (gerekiyorsa)
- Veri işleme sözleşmeleri imzalı
- Veri ihlali prosedürü hazır
- Veri silme/düzeltme talebi işleme süreci var
Sonuç
KVKK uyumu, web sitesi sahipleri için yasal zorunluluktur. Uyumsuzluk ciddi para cezaları ve itibar kaybına yol açabilir. Ancak doğru planlama ile uyum sağlamak zor değildir.
Öncelikli adımlar:
- Aydınlatma metni ve gizlilik politikası hazırlayın
- Çerez onay sistemi kurun
- Formları KVKK uyumlu hale getirin
- SSL sertifikası kullanın
- VERBİS kaydını kontrol edin
KVKK uyumlu web sitesi tasarımı için iletişime geçin veya proje teklif formumuzu doldurun. Yasal gereksinimleri karşılayan, güvenli ve profesyonel web siteleri tasarlıyoruz.
