Web sitenizde küçücük bir iletişim formu bile var mı? O hâlde kişisel veri işliyorsunuz ve KVKK karşısında sorumlusunuz. Çoğu işletme bunu "bana bir şey olmaz" diye geçiştirir; ta ki bir şikâyet ya da denetim kapıya gelene kadar.

Web sitesi KVKK uyumu; ziyaretçiden form, çerez veya üyelikle veri toplayan her sitenin aydınlatma, çerez politikası ve gerektiğinde açık rıza ile yasaya uygun hâle getirilmesidir. Aydınlatma ile açık rıza ayrı sunulmalı, tüm çerezler için bilgilendirme yapılmalıdır; aksi hâlde ciddi idari para cezaları doğar.

Aşağıda hangi belgelerin zorunlu olduğunu, aydınlatma ile açık rızanın neden ayrı durması gerektiğini, çerez yönetimini, VERBİS kaydını ve adım adım uyum yolunu açıklıyoruz. Bu yazı hukuki danışmanlık değil, web sitesi sahibi için pratik bir uyum rehberidir.

Web sitenizde hangi belgeler (aydınlatma, açık rıza, çerez) zorunlu?
Aydınlatma metni ile açık rıza arasındaki kritik fark
Çerez politikası ve çerez onay yönetimi nasıl olmalı?
VERBİS kaydı kimler için zorunlu, kimler istisna?
Uyumu adım adım sağlama ve sık yapılan hatalar

Web Sitesi İçin KVKK Uyumu Neden Gerekli?

KVKK uyumu gereklidir; çünkü 6698 sayılı kanun, kişisel veri işleyen herkesi (form dolduran ziyaretçi, çerezle toplanan veri, üyelik kaydı dâhil) "veri sorumlusu" sayar ve belirli yükümlülükler getirir. Bu yükümlülükleri yerine getirmemek hem yüksek idari para cezası riski hem de müşteri güveninin kaybı demektir.

Uygulamada KVKK sadece bir yasal zorunluluk değil, bir güven sinyalidir. Verisinin neden ve nasıl işlendiğini şeffaf biçimde gören ziyaretçi, formu daha rahat doldurur. Tersine, "kişisel verileriniz alınır" yazan ama nasıl korunduğunu anlatmayan bir site, bilinçli kullanıcıda güvensizlik yaratır. Yani uyum, riskten kaçınmanın yanında bir dönüşüm aracıdır.

Kim "veri sorumlusu" sayılır diye merak edebilirsiniz: yanıt neredeyse herkes. Bir berber online randevu formuyla, bir emlakçı ilan talep formuyla, bir e-ticaret sitesi üyelik ve ödeme verisiyle kişisel veri işler. İşletmenin küçük olması yükümlülüğü ortadan kaldırmaz; yalnızca bazı kayıt istisnalarını etkiler. Yani "ben küçük bir işletmeyim, beni ilgilendirmez" yaklaşımı yanlıştır.

Web Sitenizde Hangi Belgeler Zorunludur?

KVKK uyumlu bir sitede birkaç temel metin bulunmalı ve bunlar kolay erişilebilir olmalıdır. Her biri farklı bir işlevi karşılar; birini diğerinin yerine koymak hatalıdır.

Web sitesinde KVKK için zorunlu belgeler: aydınlatma, açık rıza, çerez politikası, gizlilik — Her metin ayrı bir yükümlülüğü karşılar.

Aydınlatma: veri sorumlusunun kimliği, işleme amaçları, hukuki sebep, aktarılan taraflar, toplama yöntemi, ilgili kişinin hakları ve saklama süresini açıklar.
Açık rıza metni: yalnızca rıza gerektiren işlemler için, aydınlatmadan ayrı ve ayrı onaylanan bir metin.
Çerez politikası: sitedeki tüm çerezleri (zorunlu olanlar dâhil) açıklayan, kolay erişilebilir ayrı bir belge.
Gizlilik politikası: verilerin genel olarak nasıl işlendiğini ve korunduğunu anlatan üst metin.
İptal/iade ve mesafeli satış metinleri: e-ticaret yapan sitelerde ayrıca zorunludur.

Bu metinlerin teknik altyapıyla (form, çerez onayı, SSL) birlikte doğru kurulması, ALFA Dizayn'ın web tasarım ve hosting hizmetlerinin parçasıdır.

Bu metinlerin yeri de önemlidir: aydınlatma, çerez ve gizlilik politikası genellikle sitenin alt kısmında (footer) her sayfadan erişilebilir bir bağlantıyla sunulur; formların yanında ise kısa bir aydınlatma ve ayrı bir onay kutusu bulunur. Erişilemeyen bir metin hukuken "sunulmamış" sayılabilir. Kurumsal bir sitede bu yapının nasıl kurulduğunu kurumsal web sitesi yazımızda da ele aldık.

Aydınlatma Metni ile Açık Rıza Farkı Nedir?

Bu, KVKK'nın en çok karıştırılan ve en çok ceza çıkaran konusudur. Aydınlatma ve açık rıza birbirinden farklıdır ve aynı metinde, tek bir onay kutusuyla sunulamaz.

KVKK aydınlatma metni ile açık rıza arasındaki farkın karşılaştırması — Aydınlatma bilgilendirmedir; açık rıza ayrı bir onaydır.

Kriter	Aydınlatma Metni	Açık Rıza
Amaç	Bilgilendirme (tek yönlü)	İzin alma (onay)
Her zaman gerekli mi?	Veri işleyen her sitede evet	Yalnızca rıza gereken işlemlerde
Onay kutusu	Gerekmez	Ayrı, işaretlenmemiş kutu
Sunum	Açık, erişilebilir metin	Aydınlatmadan ayrı belge/bölüm

Kurulun yerleşik yaklaşımına göre, aydınlatma ve açık rıza ayrı belgeler ya da açıkça ayrılmış bölümler olarak sunulmalıdır. "Aydınlatma metnini okudum ve onaylıyorum" gibi tek bir kutu, açık rızayı geçersiz kılabilir. Resmi çerçeve için KVKK'nın aydınlatma yükümlülüğü sayfasına bakabilirsiniz.

Çerez Politikası ve Çerez Onayı Nasıl Olmalı?

Çerezler KVKK uyumunun en sık atlanan ayağıdır. Bazı çerezler (örneğin sitenin çalışması için zorunlu olanlar) açık rıza gerektirmez; ancak istisnasız tüm çerezler için kullanıcıyı bilgilendirme zorunluluğu vardır. Yani "zorunlu çerez var, bir şey yapmama gerek yok" varsayımı yanlıştır.

KVKK uyumlu çerez yönetimi: çerez politikası, bilgilendirme, kategori bazlı onay — Bilgilendirme, çerez rızasından ayrı bir yükümlülüktür.

Doğru kurguda site, ziyaretçi girdiğinde bir çerez bilgilendirme bandı gösterir; zorunlu olmayan (analitik, pazarlama) çerezler için kategori bazlı onay alır ve reddetme seçeneğini de sunar. Çerezlerin tamamı, karmaşık bir gizlilik politikasının içine gömülmek yerine, "Çerez Politikası" adıyla kolay erişilebilir ayrı bir belgede açıklanmalıdır. Önceden işaretlenmiş onay kutuları ve "kabul etmeden devam edilemez" dayatması, geçerli bir rıza sayılmaz.

Sık sorulan bir konu da Google Analytics gibi araçlardır. Analitik ve pazarlama çerezleri zorunlu kabul edilmez; bu yüzden ziyaretçi onay vermeden bu çerezlerin çalıştırılmaması gerekir. Pratikte bu, çerez onay bandında "analitik çerezleri" ayrı bir kategori olarak sunmak ve yalnızca onaylandığında yüklemek anlamına gelir.

VERBİS Kaydı Kimler İçin Zorunlu?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı, belirli eşikleri aşan veri sorumluları için zorunludur. Kayıt, hangi verinin hangi amaçla, hangi hukuki dayanakla ve ne kadar süreyle işlendiğini beyan etmeyi gerektirir ve kamuya açıktır.

Genel kural olarak; yıllık çalışan sayısı 50'den az ve yıllık mali bilanço toplamı belirlenen eşiğin altında olan ve ana faaliyeti özel nitelikli veri işlemek olmayan işletmeler VERBİS kaydından istisna tutulur. Yani küçük bir işletmenin sitesi çoğu zaman kayıttan muaf olsa da, aydınlatma ve çerez yükümlülükleri muafiyet kapsamında değildir; bunlar her boyuttaki site için geçerlidir. İşletmenizin durumunu netleştirmek için güncel eşikleri KVKK'nın resmi sitesinden teyit etmek en doğrusudur.

Web Sitesi KVKK Uyumu Adım Adım Nasıl Sağlanır?

Uyum karmaşık görünse de, doğru sırayla ilerlendiğinde yönetilebilir bir süreçtir:

Web sitesi KVKK uyumu adımları: envanter, metinler, teknik kurulum, onay yönetimi — Önce neyi topladığınızı bilin, sonra belgelendirin.

Veri envanteri çıkarın: sitenizde hangi verinin (form, çerez, üyelik) hangi amaçla toplandığını listeleyin.
Metinleri hazırlayın: aydınlatma, çerez politikası, gizlilik politikası ve gerekiyorsa açık rıza metni.
Saklama sürelerini belirleyin (örneğin verileri 1 yıl tutmak gibi) ve süre dolunca silme/yok etme kuralı tanımlayın.
Teknik kurulum: SSL, güvenli form, çerez onay bandı ve ayrı onay kutuları ekleyin.
Gerekiyorsa VERBİS kaydını yapın ve metinleri güncel tutun.

Bu adımların teknik tarafı (SSL, form güvenliği, çerez onayı), güvenli bir altyapı gerektirir; konunun güvenlik ayağını SSL rehberimizde ele aldık.

KVKK'ya Uymamanın Cezası Nedir?

KVKK yükümlülüklerine uymamanın yaptırımı ciddidir ve caydırıcıdır. Aydınlatma yükümlülüğünü yerine getirmeme, veri güvenliğini sağlamama ve VERBİS kaydını yaptırmama gibi ihlaller için ayrı ayrı idari para cezaları öngörülür.

Bu cezalar, 2025 değerleriyle yüz binlerce liradan başlayıp milyonlara ulaşabilir ve her yıl yeniden değerleme oranıyla güncellenir; bu nedenle güncel tutarı resmi kaynaktan teyit etmek gerekir. Ancak asıl maliyet çoğu zaman ceza değildir: bir veri ihlali ya da "verimi kötüye kullandılar" algısı, markanın yıllarca kurduğu güveni bir anda zedeler. KVKK uyumu, bu yüzden bir gider değil, bir sigortadır.

Özellikle e-ticarette bu denge daha da kritiktir; çünkü ödeme ve adres gibi hassas veriler işlenir. Bir e-ticaret sitesi kurarken KVKK metinleri, mesafeli satış sözleşmesi ve güvenli ödeme altyapısı baştan birlikte kurgulanmalıdır; sonradan eklemek hem zor hem risklidir.

Sık Yapılan KVKK Hataları Nelerdir?

Sahada en çok karşılaşılan hatalar, çoğu zaman kötü niyetten değil bilgi eksikliğinden kaynaklanır:

Web sitelerinde sık yapılan KVKK hataları — En sık hatalar bilgi eksikliğinden doğar.

Aydınlatma ve açık rızayı tek kutuda birleştirmek: en yaygın ve en riskli hata; rızayı geçersiz kılar.
Çerezleri hiç bilgilendirmemek veya sadece "kabul et" butonu koymak.
Hazır/kopyalanmış metinleri kendi sürecine uyarlamadan kullanmak.
Veri toplayıp saklama süresi ve silme kuralı tanımlamamak.
SSL olmadan form üzerinden veri toplamak.

Buradaki karşı-sezgisel nokta şudur: başka bir siteden kopyalanan "mükemmel görünen" bir KVKK metni, sizin sürecinizi yansıtmadığı için çoğu zaman uyumsuzdur ve sizi koruyacağına yanıltıcı bir güven verir. Metinler sitenizin gerçek veri akışına göre hazırlanmalıdır.

Sıkça Sorulan Sorular

Web sitemde KVKK uyumu zorunlu mu?

Eğer siteniz form, çerez, üyelik veya başka bir yolla kişisel veri topluyorsa evet. Aydınlatma metni ve çerez bilgilendirmesi, küçük işletme siteleri dâhil veri işleyen her sitede gereklidir.

Aydınlatma metni ile açık rıza aynı şey mi?

Hayır. Aydınlatma bir bilgilendirmedir ve veri işleyen her sitede gerekir; açık rıza ise yalnızca rıza gereken işlemler için alınan ayrı bir onaydır. İkisi tek bir kutuda birleştirilemez.

Çerez kullanıyorsam ne yapmam gerekir?

Tüm çerezler için bir çerez politikasıyla bilgilendirme yapmanız gerekir. Zorunlu olmayan (analitik, pazarlama) çerezler için kategori bazlı onay almalı ve reddetme seçeneği sunmalısınız.

VERBİS kaydı yaptırmak zorunda mıyım?

Belirli çalışan sayısı ve mali eşiğin altında kalan, ana faaliyeti özel nitelikli veri işlemek olmayan küçük işletmeler genelde istisnadır. Ancak istisna olsanız bile aydınlatma ve çerez yükümlülükleri devam eder. Güncel eşikleri KVKK'nın sitesinden teyit edin.

Hazır KVKK metni kullanabilir miyim?

Şablon başlangıç noktası olabilir ama olduğu gibi kullanmak risklidir. Metinler sitenizin gerçek veri akışına (hangi veri, hangi amaç, hangi süre) göre uyarlanmalıdır; aksi hâlde uyumsuz kalır.

KVKK'ya uymazsam ne olur?

Aydınlatma, veri güvenliği ve VERBİS ihlalleri için ayrı ayrı idari para cezaları öngörülür; tutarlar her yıl güncellenir ve milyonları bulabilir. Ayrıca veri ihlali, marka güvenini ciddi biçimde zedeler.

SSL sertifikası KVKK için yeterli mi?

SSL gerekli ama tek başına yeterli değildir. Verinin güvenli iletimi için SSL şart; ancak uyum için aydınlatma, çerez yönetimi, saklama/silme kuralları ve gerekiyorsa VERBİS kaydı da gerekir.

E-ticaret sitemde ek olarak ne gerekiyor?

Aydınlatma ve çerez yükümlülüklerine ek olarak mesafeli satış sözleşmesi, iptal-iade koşulları ve gizlilik politikası gibi metinler de zorunludur; ödeme verisi işlendiği için güvenlik daha da kritiktir.

KVKK uyumunu kim hazırlamalı?

Teknik kurulum (SSL, çerez onayı, güvenli form) web ekibinizce yapılır; metinlerin hukuki içeriği için bir hukukçudan destek almak en sağlıklısıdır. ALFA Dizayn teknik altyapıyı kurar; hukuki metin için danışmanınızla birlikte çalışır.

KVKK uyumu, bir ceza korkusundan çok ziyaretçinize "verin bende güvende" diyebilmenin yoludur. Sitenizin teknik altyapısını (SSL, güvenli form, çerez onayı) uyumlu kurmak için kapsamı birlikte çıkaralım: ücretsiz teklif alabilirsiniz.

KVKK ve Web Sitesi Uyumu: Çerez ve Aydınlatma Rehberi