Websitelerde Gizlilik Sözleşmeleri: Hukuksal Boyutta Detaylı Bir İnceleme

Q: Web sitem için gizlilik politikası hazırlarken hangi kişisel veri kategorilerini tek tek yazmalıyım?

KVKK aydınlatma metninde, web sitenizde fiilen topladığınız verileri “kategori” bazında açıkça yazın (muğlak/genel ifadelerden kaçının). Genelde şu başlıklar kullanılır: Kimlik / İletişim: ad-soyad, e‑posta, telefon (varsa) Müşteri işlem: form başvurusu, talep/şikâyet içerikleri İşlem güvenliği: IP, log kayıtları, cihaz/oturum bilgileri Pazarlama / Çerez: çerez tercihleri, analiz-ölçüm verileri Görsel-işitsel / Özel nitelikli: kamera kaydı veya özel nitelikli veri varsa mutlaka ayrıca belirtin

Q: Çerez banner’ında açık rıza almak zorunda mıyım, hangi çerezlerde rıza şart olur?

KVKK’ya göre çerez banner’ında her zaman “açık rıza” almak zorunda değilsiniz : sitenin çalışması için zorunlu (“kesinlikle gerekli”) çerezlerde uygun bir işleme şartına dayanarak rıza aranmadan kullanılabilir; ancak aydınlatma yine yapılmalıdır. Buna karşılık reklam/pazarlama, performans-analitik/ölçüm ve çoğu işlevsel/tercih çerezi için kural olarak önceden (opt‑in) açık rıza gerekir; ziyaretçinin sadece siteye girmesi rıza sayılmaz.

Q: Gizlilik politikasında veri sorumlusu ve iletişim bilgilerini nasıl ve nerede göstermeliyim?

Gizlilik politikanız/aydınlatma metninizin en başında “Veri Sorumlusu” başlığıyla açıkça gösterin: ticari unvan (ve varsa temsilci), açık adres ve ulaşılabilir iletişim kanalı (e‑posta/KEP/telefon) . Bu bilgi, kişisel veri ilk kez toplanırken ilgili kişinin kolayca göreceği yerde olmalı (faaliyet bazlı ve anlaşılır şekilde). Web sitesi: kayıt/iletişim/başvuru formlarının hemen yanında ve kalıcı menü/altbilgide Mobil uygulama: üyelik ekranı öncesi ve “Ayarlar > Gizlilik/KVKK” içinde Fiziki ortam: formun üst kısmında veya form ekinde aydınlatma metni olarak

Q: Aydınlatma metni ile gizlilik politikası aynı şey mi, ikisini ayrı ayrı yayınlamam gerekir mi?

Hayır, aynı şey değil. Aydınlatma metni , KVKK m.10 kapsamındaki zorunlu bilgilendirme dir; veri sorumlusu kimliği, amaç, aktarım/alıcı grubu, yöntem–hukuki sebep ve ilgili kişi hakları gibi asgari unsurları açık ve anlaşılır şekilde içermeli ve kişisel veri elde edilirken sunulmalıdır. Gizlilik politikası ise genelde daha geniş bir “site/kurum politikası” metnidir; tek başına şart değildir. Gizlilik politikanız bu asgari unsurları tam karşılıyorsa ayrı ayrı yayımlamak zorunlu değildir, ancak pratikte ayrı sunmak uyumu kolaylaştırır.

Q: Yurt dışına veri aktarımı yapıyorsam gizlilik politikasında bunu nasıl belirtmeliyim ve hangi şartlar aranır?

Gizlilik politikanızda (aydınlatma metninde) yurt dışına aktarım olduğunu; aktarılacak veri kategorilerini , amaçları, alıcı/alıcı gruplarını (örn. bulut hizmeti sağlayıcısı), aktarılacak ülke/uluslararası kuruluşu ve hukuki dayanağı açıkça belirtin. KVKK m.9 (01.06.2024 sonrası) uyarınca, ayrıca KVKK m.5/6’daki bir işleme şartı da bulunmak kaydıyla aktarım için kural olarak: (i) Kurulun yeterlilik kararı veya (ii) uygun güvence (örn. standart sözleşme, bağlayıcı şirket kuralları). Standart sözleşme imzalanırsa 5 iş günü içinde Kuruma bildirim gerekir.

Q: Üyelik sistemi olan sitelerde hesap silme talebi gelirse hangi verileri ne kadar süre saklayabilirim?

Hesap silme talebinde (KVKK m.11-13), işleme şartı kalkmış verileri saklamayı bırakıp silme/yok etme/anonimleştirme yapmalısınız; talebi en geç 30 gün içinde sonuçlandırıp bildirirsiniz. Saklama–imha politikanız varsa imha ilk periyodik imhada yapılır (aralık en çok 6 ay); politikanız yoksa yükümlülük doğduktan sonra 3 ay içinde imha edilir. Silme sonrası yalnızca hukuki yükümlülük/uyuşmazlık için zorunlu asgari veriyi tutabilirsiniz: ör. vergisel defter-belgeler 5 yıl (VUK m.253) ; tacirseniz ticari defter/belgeler 10 yıl (TTK m.82). Ayrıca imha işlemi kayıtlarını en az 3 yıl saklayın.

Q: E-ticaret sitesinde fatura ve sipariş kayıtları için gizlilik politikasında saklama süresini nasıl kurgulamalıyım?

Gizlilik politikasında saklama süresini veri türüne göre yazın ve “mevzuatta öngörülen süre / amaç için gerekli azami süre” mantığını kurun. Fatura ve muhasebe dayanakları için, tacirlerin kayıt dayanaklarını 10 yıl saklama yükümlülüğü bulunduğundan pratikte 10 yıl belirlemek güvenlidir; süre, belgenin oluştuğu yılın bitiminden itibaren işlemeye başlar. Vergi mevzuatı bakımından ayrıca 5 yıl muhafaza ödevi vardır (daha kısa olduğundan politika süresini kısaltmaz). Amaç ortadan kalkınca verileri silme/yok etme/anonimleştirme süreç ve periyodunu da ekleyin.

Q: Çocuklara yönelik bir web sitem varsa ebeveyn onayı ve yaş doğrulama konusunu nasıl ele almalıyım?

Çocuklara yönelik bir sitede KVKK gereği, çocuktan kişisel veri toplayacaksanız aydınlatmayı (kim, hangi amaçla, hukuki sebep, aktarım, haklar) ilk temas anında sunun; açık rıza gerekiyorsa, pratikte bunu çocuğun yasal temsilcisinden (veli/vasi) alın ve geri alınabilir kılın. Yaş doğrulamada “doğum tarihi sor–geç” yaklaşımına güvenmeyin: yaş beyanı + risk bazlı ek doğrulama (ör. ebeveyn e‑posta/SMS onayı) kullanın. Ayrıca veri minimizasyonu, reklamsal profillemeden kaçınma ve güçlü veri güvenliği tedbirleri uygulayın.

Avukatistan

1 yıl önce

9 dakika

İnternet üzerinde gezinirken birçok siteye girip çıkıyor, çeşitli hizmetlerden faydalanıyoruz. Peki, sizce bu sitelere verdiğimiz bilgiler ne kadar güvenli? İşte, tam da burada devreye websitelerdeki gizlilik sözleşmeleri giriyor. Bu yazıda, çoğumuzun gereksiz bir detay olarak gördüğü ve genellikle okumadan kabul ettiği bu sözleşmelerin önemine ve hukuksal boyutuna dikkat çekmek istiyoruz. Gizlilik sözleşmeleri, verilerimizin ne şekilde kullanıldığını ve bizlere ne tür haklar sağladığını bilmenin bir aracıdır. Kim bilir belki de bu yazıyı okuduktan sonra bir sonraki siteye bilgilerinizi verirken daha dikkatli olabilirsiniz. Yazının devamında sizleri bekleyen bilgilendirici ve ilginç konulara hazır olun!

Gizlilik Sözleşmelerinin Amacı

Gizlilik sözleşmelerinin temel amacı, kişilerin özel bilgilerini korumaktır. Internet çağında yaşadığımız bu dönemde, bilgi güvenliğiyle doğrudan alakalı olan bu konu, kullanıcılar kadar hizmet veren şirketler için de büyük önem taşıyor.

Gizlilik ve Veri Koruma

Kişisel Verilerin Korunması

Bilgimizin korunması hükmü, Websitelerdeki gizlilik sözleşmeleri ve hukuksal boyutu konusunda merkezi bir role sahiptir. Kişisel verilerin korunması, bilgi güvenliğiyle eş değerdedir ve tüm kullanıcılar, verilerinin gizli kalacağı ve üçüncü tarafların kötüye kullanmayacağı garantisini ararlar. İlgili yasalar, veri sahibinin izni olmadan veri toplanmasını ve paylaşılmasını yasaklar.

Veri Toplama ve Kullanımı

Websitelerdeki gizlilik sözleşmeleri veri toplama ve kullanım politikalarını ayrıntılı bir şekilde ortaya koymalıdır. Şirketlerin, müşterilerinden topladıkları verileri hangi amaçlarla kullanacakları net bir şekilde belirtilmelidir. Örneğin, veri analizi, hizmet iyileştirmeleri, pazarlama stratejileri gibi amaçlar genellikle belirtilir.

Kullanıcı Güvenliği ve Hakları

Kullanıcı İzinleri

Kullanıcının kişisel verilerinin nasıl kullanılacağına dair kararlarının bulunması, websitelerdeki gizlilik sözleşmeleri ve hukuksal boyutu tartışmalarının bir parçasıdır. Websiteler ve hizmetler, kullanıcılardan verilerini toplamak, saklamak ve işlemek için açık izin almalıdırlar.

Veri Erişim Hakları

Gizlilik sözleşmeleri kapsamında, kullanıcıların kendi verilerine erişim hakkı tanınmalıdır. Bu hak kapsamında kullanıcı, hangi bilgilerin toplandığını, bu bilgilerin nasıl kullanıldığını ve verinin paylaşıldığı tarafları öğrenme hakkına sahiptir. Bu, kişiye veri erişimi hakları kapsamında veri düzeltme, silme, itiraz etme ve veri kullanımına itiraz etme seçenekleri sunar.

Desteklenen bu bilgi koruma uygulamaları, gizlilik sözleşmelerinin temel amacını teşkil eder ve güvenli bir dijital ortam oluşturmak için kritik bir öneme sahiptir.

Gizlilik Sözleşmelerinin Hukuki Alt Yapısı

Gizlilik sözleşmeleri, kullanıcılardan gelen verilerin nasıl toplandığı, işlendiği ve korunduğu hakkında nihai bilgileri sağlamasının önemi nedeniyle hem hukuki hem de etik bir gerekliliktir.

Mevzuat ve Yasal Çerçeve

Gizlilik sözleşmelerini düzenleyen ve yürürlükte olan çeşitli yasalar ve yönetmelikler bulunmaktadır. Bu kapsamda önemli olan iki ana yasal çerçeve vardır: KVKK ve GDPR.

Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi ile ilgili temel prensipleri belirler. Türkiye'deki bütün kuruluşları kapsayan KVKK, kişisel veri sahiplerinin haklarını güvence altına almanın yanında, veri sorumlularına da bazı yükümlülükler getirir.

Avrupa Genel Veri Koruma Yönetmeliği (GDPR) ise Avrupa Birliği üyesi ve Avrupa Birliği içerisinde hizmet veya ürün satan şirketlerin uyduğu veri koruma yasasıdır. GDPR, dünya genelinde birçok şirketi doğrudan veya dolaylı olarak etkileyen bir yönetmeliktir ve nadiren üst üste örülmüş KVKK ile bazı ortak noktaları paylaşır.

Türk Ceza Kanunu ve Elektronik Haberleşme Yasası

Türk Ceza Kanunu ve Elektronik Haberleşme Yasası da veri koruma ve gizlilik hakkında önemli hükümler içerir. Bu yasalar, bireylerin özel hayatlarının gizliliğini ve verilerinin güvenliğini sağlamak amaçlanmıştır. KVKK ve GDPR ile birlikte, bu yasaların üçlüsü, kişisel verilerin işlenme şekillerini belirler ve düzenler.

Hukuka Uygunluk ve Yükümlülükler

Gizlilik sözleşmelerinin hukuka uygunluğu önemlidir. Doğru bir gizlilik sözleşmesi, kullanıcılara veri toplamanın nedenlerini, nasıl kullanılacağını ve nasıl korunacağını açıklar.

Veri Sorumlularının Yükümlülükleri

Veri sorumluları, yani kişisel verileri toplayıp işleyen kuruluşlar, KVKK ve GDPR başta olmak üzere mevzuatlarda belirtilen yükümlülükleri yerine getirmek zorundadırlar. Bunlar arasında; kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işlemek, verinin toplandığı kişiye bilgi vermek, verileri doğru ve gerektiğinde güncel tutmak gibi yükümlülükler bulunur.

Yasal Başvuru ve Şikayet Yolları

Kişiler, kişisel verilerinin korunması hakkındaki kanunlar ve yönetmelikler kapsamında haklarının ihlal edildiğini düşünürlerse, belirli bir süre içinde yasal başvuru yöntemlerini kullanabilirler. KVKK kapsamında Türkiye'deki kişiler, kişisel verilerini koruma Kurumu'na (KVKK) başvurabilirler. Benzer şekilde, GDPR kapsamında Avrupa'da kişiler, ilgili veri koruma otoritesine başvurabilirler.

Bu yolla, verilerin ihlal edilmesinin önlenmesine yardımcı olmak ve ihlallerin tekrar meydana gelmesini engellemek amacıyla gerekli adımlar atılabilir. Gizlilik sözleşmeleri, kullanıcıya hangi haklara sahip olduğunu ve bu hakları nasıl kullanabileceğini belirten maddeler içermeli ve bu konuda rehber olmalıdır.

Websiteleri İçin Gizlilik Sözleşmesi Hazırlama

Gizlilik Sözleşmesi Unsurları

Toplanan Bilgilerin Türleri

Gizlilik sözleşmesi hazırlarken göz önüne alınması gereken ilk unsur, toplanan bilgilerin türleridir. Kullanıcının kimliğini belirleme, iletişim kurma, hizmet sunma veya reklam sunma amacıyla toplanabilecek olan veriler arasında ad, soyad, e-posta adresi, telefon numarası, kullanıcı adı, yaş, cinsiyet, meslek vb. bilgiler bulunabilir. Ayrıca, hizmetleri veya ürünleri kişiselleştirmek için toplanan kullanıcı tercihleri verileri, kullanıcılar hakkında ek bilgiler sunabilir. 🕵️👥

Her ne kadar bu bilgiler çoğu zaman zararsız gibi görünse de, kişisel veri kategorisi altında toplanır ve bu nedenle bunlar üzerinde özel bir dikkat ve özen gerektirir.

Veri Saklama ve Güvenlik Tedbirleri

Veri saklama ve güvenlik tedbirleri, gizlilik sözleşmesi hazırlarken önemli bir diğer unsurdur. Gizlilik sözleşmeleri genellikle, toplanan kişisel verilerin ne kadar süreyle saklanacağını, hangi güvenlik tedbirlerinin alındığını ve bu verilerin üçüncü taraflarla nasıl paylaşılacağını belirtmelidir.

Bu durumda, veri saklama süresi genellikle belirli hukuki gerekliliklere dayanırken, güvenlik tedbirleri veriye erişimi sınırlamak ve veri ihlallerini önlemek için alınır. 🔒⏳

Kullanıcı Bilgilendirme ve Rıza

Açık Rıza Alınması

Gizlilik sözleşmesi hazırlarken, kullanıcıların bilgilerin nasıl toplandığı, kullanıldığı ve paylaşıldığı konusunda bilgilendirilmesi ve bu konuda açık rızalarının alınması gerekmektedir. Açık rıza, genellikle bir onay kutucuğu veya benzeri bir mekanizma ile alınır ve bu durum kişisel verilerin korunması kanunu'na (KVKK) uygun olmalıdır. 👤💭

Sözleşmenin Güncellenmesi

Son olarak, gizlilik sözleşmeleri dinamik belgelerdir ve periyodik olarak gözden geçirilmeli ve güncellenmelidir. Kullanıcıların, bu güncellemeler hakkında bilgilendirilmesi ve gerekli durumlarda yeni rızalarının alınması önemlidir. Güncelleme süreci, bir veri koruma uygulamasının işleyişinin önemli bir parçasıdır ve sürekli olarak yönetilmesi ve izlenmesi gerekmektedir. 😇🔄

Türkiye'deki Gizlilik Sözleşmeleri ve Hukuki Durum

Türkiye'deki gizlilik sözleşmeleri ile ilgili hukuksal duruma genel bir bakış attığımızda, ilk olarak yerel yasal gerekliliklerin ve KVKK'nın etkilerinin dikkate alınması gerektiğini görürüz. Daha sonrasında ise bu gerekliliklerin uluslararası standartlarla karşılaşılabilme durumu incelenerek, Türk hukukuyla ne kadar uyumlu olduğu ve hangi nedenlerle uluslararası veri aktarımı ile ilgili sorunlar yaşanabileceği değerlendirilir.

Yerel Yasal Gereklilikler

KVKK'nın Etkileri

Kişisel Verileri Koruma Kanunu (KVKK), Türkiye'de 2016 yılında yürürlüğe girmiştir. KVKK'nın asıl amacı, kişisel verilere sahip olan tüm gerçek ve tüzel kişilerin veri güvenliği ve işleme faaliyetlerini düzenlemektir. KVKK, veri sahiplerinin haklarını korumayı ve bunun için gerekli tedbirleri almayı zorunlu kılar. Websitelerdeki gizlilik sözleşmelerinin önemli bir parçası olan KVKK'nın etkileri, hem veri sahipleri hem de veri sorumluları için belirleyici olmaktadır.

Türkiye'de KVKK İhlalleri ve Cezaları

Türkiye'deki KVKK ihlalleri ve bu ihlallerin sonucunda verilen cezalar, hem hukuki boyutuyla hem de finansal boyutuyla önemlidir. KVKK'ya aykırı davranan veri sorumluları, hem idari para cezası ile karşı karşıya kalabilir hem de hapis cezasına çarptırılabilirler. Bu nedenle, websitelerdeki gizlilik sözleşmeleri ve bu sözleşmelerin hukuki alt yapısının sağlam olması, işletmelerin mevcut ve potansiyel riskler karşısında korunabilmelerini sağlar.

Uluslararası Standartlarla Karşılaştırma

Türk Hukukunda Uyumluluk

KVKK, Avrupa Birliği'ndeki Genel Veri Koruma Yönetmeliği (GDPR)'ne oldukça benzer şekilde düzenlenmiştir. Bununla birlikte, GDPR ile uyuşmazlık gösteren noktaların olması, Türk hukukunun uluslararası standartlarla uyumluluğunu sorgulatabilir. Ancak, Türk hukukunun websitelerdeki gizlilik sözleşmeleri konusunda uluslararası standartlara ne kadar yakın olduğunu değerlendirebilmek için ayrıntılı bir analiz gereklidir.

Uluslararası Veri Aktarımı

Uluslararası veri aktarımı, globalleşen dünyada büyüyen bir öneme sahip olurken, bu konuda da gerekli düzenlemelerin yerel ve uluslararası hukukta ne derece uygulanabilir olduğu önemli olmaktadır. Websiteler üzerinden toplanan kişisel verilerin, farklı ülkelerdeki sunuculara aktarılması ve bu verilerin nasıl korunacağı sorusu, uluslararası veri aktarımına büyük bir önem kazandırmaktadır.

Sıkça Sorulan Sorular

Soru Sor

Web sitem için gizlilik politikası hazırlarken hangi kişisel veri kategorilerini tek tek yazmalıyım?

KVKK aydınlatma metninde, web sitenizde fiilen topladığınız verileri “kategori” bazında açıkça yazın (muğlak/genel ifadelerden kaçının). Genelde şu başlıklar kullanılır:

Kimlik / İletişim: ad-soyad, e‑posta, telefon (varsa)
Müşteri işlem: form başvurusu, talep/şikâyet içerikleri
İşlem güvenliği: IP, log kayıtları, cihaz/oturum bilgileri
Pazarlama / Çerez: çerez tercihleri, analiz-ölçüm verileri
Görsel-işitsel / Özel nitelikli: kamera kaydı veya özel nitelikli veri varsa mutlaka ayrıca belirtin

Çerez banner’ında açık rıza almak zorunda mıyım, hangi çerezlerde rıza şart olur?

KVKK’ya göre çerez banner’ında her zaman “açık rıza” almak zorunda değilsiniz: sitenin çalışması için zorunlu (“kesinlikle gerekli”) çerezlerde uygun bir işleme şartına dayanarak rıza aranmadan kullanılabilir; ancak aydınlatma yine yapılmalıdır.

Buna karşılık reklam/pazarlama, performans-analitik/ölçüm ve çoğu işlevsel/tercih çerezi için kural olarak önceden (opt‑in) açık rıza gerekir; ziyaretçinin sadece siteye girmesi rıza sayılmaz.

Gizlilik politikasında veri sorumlusu ve iletişim bilgilerini nasıl ve nerede göstermeliyim?

Gizlilik politikanız/aydınlatma metninizin en başında “Veri Sorumlusu” başlığıyla açıkça gösterin: ticari unvan (ve varsa temsilci), açık adres ve ulaşılabilir iletişim kanalı (e‑posta/KEP/telefon). Bu bilgi, kişisel veri ilk kez toplanırken ilgili kişinin kolayca göreceği yerde olmalı (faaliyet bazlı ve anlaşılır şekilde).

Web sitesi: kayıt/iletişim/başvuru formlarının hemen yanında ve kalıcı menü/altbilgide
Mobil uygulama: üyelik ekranı öncesi ve “Ayarlar > Gizlilik/KVKK” içinde
Fiziki ortam: formun üst kısmında veya form ekinde aydınlatma metni olarak

Aydınlatma metni ile gizlilik politikası aynı şey mi, ikisini ayrı ayrı yayınlamam gerekir mi?

Hayır, aynı şey değil. Aydınlatma metni, KVKK m.10 kapsamındaki zorunlu bilgilendirmedir; veri sorumlusu kimliği, amaç, aktarım/alıcı grubu, yöntem–hukuki sebep ve ilgili kişi hakları gibi asgari unsurları açık ve anlaşılır şekilde içermeli ve kişisel veri elde edilirken sunulmalıdır. Gizlilik politikası ise genelde daha geniş bir “site/kurum politikası” metnidir; tek başına şart değildir. Gizlilik politikanız bu asgari unsurları tam karşılıyorsa ayrı ayrı yayımlamak zorunlu değildir, ancak pratikte ayrı sunmak uyumu kolaylaştırır.

Google Analytics ve benzeri ölçüm araçları kullanıyorsam gizlilik politikasında hangi bilgileri vermeliyim?

Google Analytics gibi ölçüm araçları kullanıyorsanız gizlilik politikası/aydınlatma metninde en az şunlar açıkça yer almalı:

Veri sorumlusu kimliği/iletişim ve (varsa) temsilci
İşlenen veriler ve amaç (örn. çerez/cihaz tanımlayıcıları, IP; trafik-analiz/raporlama)
Toplama yöntemi ve hukuki sebep (çerez/SDK; analitik/3. taraf çerezlerde çoğunlukla açık rıza)
Aktarım/alıcı grupları (örn. Google) ve yurt dışına aktarım varsa buna ilişkin bilgi

Yurt dışına veri aktarımı yapıyorsam gizlilik politikasında bunu nasıl belirtmeliyim ve hangi şartlar aranır?

Gizlilik politikanızda (aydınlatma metninde) yurt dışına aktarım olduğunu; aktarılacak veri kategorilerini, amaçları, alıcı/alıcı gruplarını (örn. bulut hizmeti sağlayıcısı), aktarılacak ülke/uluslararası kuruluşu ve hukuki dayanağı açıkça belirtin.

KVKK m.9 (01.06.2024 sonrası) uyarınca, ayrıca KVKK m.5/6’daki bir işleme şartı da bulunmak kaydıyla aktarım için kural olarak: (i) Kurulun yeterlilik kararı veya (ii) uygun güvence (örn. standart sözleşme, bağlayıcı şirket kuralları). Standart sözleşme imzalanırsa 5 iş günü içinde Kuruma bildirim gerekir.

Web sitemde iletişim formu varsa KVKK kapsamında hangi hukuki sebebe dayanarak veri işleyebilirim?

İletişim formunda (ad-soyad, e‑posta, mesaj vb.) veriyi genellikle açık rıza almadan, talebi yanıtlamak ve iletişimi yürütmek için “meşru menfaat” (KVKK m.5/2-f) veya talep bir teklif/sipariş/üyelik sürecine bağlıysa “sözleşmenin kurulması/ifası için gerekli olması” (m.5/2-c) hukuki sebebine dayanarak işleyebilirsiniz.

Form üzerinden ticari elektronik ileti/pazarlama yapacaksanız ayrıca açık rıza (ve ilgili mevzuat) gerekir; her hâlde formda toplama anında aydınlatma yapılmalıdır (KVKK m.10).

Üyelik sistemi olan sitelerde hesap silme talebi gelirse hangi verileri ne kadar süre saklayabilirim?

Hesap silme talebinde (KVKK m.11-13), işleme şartı kalkmış verileri saklamayı bırakıp silme/yok etme/anonimleştirme yapmalısınız; talebi en geç 30 gün içinde sonuçlandırıp bildirirsiniz. Saklama–imha politikanız varsa imha ilk periyodik imhada yapılır (aralık en çok 6 ay); politikanız yoksa yükümlülük doğduktan sonra 3 ay içinde imha edilir.

Silme sonrası yalnızca hukuki yükümlülük/uyuşmazlık için zorunlu asgari veriyi tutabilirsiniz: ör. vergisel defter-belgeler 5 yıl (VUK m.253) ; tacirseniz ticari defter/belgeler 10 yıl (TTK m.82). Ayrıca imha işlemi kayıtlarını en az 3 yıl saklayın.

E-ticaret sitesinde fatura ve sipariş kayıtları için gizlilik politikasında saklama süresini nasıl kurgulamalıyım?

Gizlilik politikasında saklama süresini veri türüne göre yazın ve “mevzuatta öngörülen süre / amaç için gerekli azami süre” mantığını kurun. Fatura ve muhasebe dayanakları için, tacirlerin kayıt dayanaklarını 10 yıl saklama yükümlülüğü bulunduğundan pratikte 10 yıl belirlemek güvenlidir; süre, belgenin oluştuğu yılın bitiminden itibaren işlemeye başlar. Vergi mevzuatı bakımından ayrıca 5 yıl muhafaza ödevi vardır (daha kısa olduğundan politika süresini kısaltmaz). Amaç ortadan kalkınca verileri silme/yok etme/anonimleştirme süreç ve periyodunu da ekleyin.

Çocuklara yönelik bir web sitem varsa ebeveyn onayı ve yaş doğrulama konusunu nasıl ele almalıyım?

Çocuklara yönelik bir sitede KVKK gereği, çocuktan kişisel veri toplayacaksanız aydınlatmayı (kim, hangi amaçla, hukuki sebep, aktarım, haklar) ilk temas anında sunun; açık rıza gerekiyorsa, pratikte bunu çocuğun yasal temsilcisinden (veli/vasi) alın ve geri alınabilir kılın. Yaş doğrulamada “doğum tarihi sor–geç” yaklaşımına güvenmeyin: yaş beyanı + risk bazlı ek doğrulama (ör. ebeveyn e‑posta/SMS onayı) kullanın. Ayrıca veri minimizasyonu, reklamsal profillemeden kaçınma ve güçlü veri güvenliği tedbirleri uygulayın.

Gizlilik politikasını kopyala-yapıştır kullanmanın hukuki riskleri nelerdir?

Gizlilik politikasını kopyala‑yapıştır kullanmak; metnin sizin veri işleme faaliyetlerinizi gerçekte yansıtmaması nedeniyle KVKK’daki aydınlatma yükümlülüğünü eksik/yanlış yerine getirme ve buna bağlı idari yaptırım/şikâyet riskini doğurur. Ayrıca başkasının hazırladığı metin, yeterli özgünlük taşıyorsa telif (FSEK) kapsamında eser sayılabilir; izinsiz kullanımı hak ihlali ve tazminat tartışmalarına yol açabilir. Bunun yanında, metinde taahhüt edilen ama fiilen uygulanmayan hükümler yanıltıcı beyan ve itibar kaybı riski yaratır.

Gizlilik politikasını güncellediğimde kullanıcılara nasıl bildirim yapmalıyım ve yeniden onay gerekir mi?

Gizlilik politikası/aydınlatma metni güncellendiğinde, değişiklikler yürürlüğe girmeden kullanıcılara uygulama içi bildirim, e‑posta veya web sitesi bildirimiyle; sürüm–tarih, özet değişiklik ve metne erişim bilgisi vererek yeniden aydınlatma yapın. KVKK’ya göre aydınlatma, kişisel veriler elde edilirken yapılmalı ve asgari unsurları içermelidir.

Yeniden onay (açık rıza) ise her güncellemede gerekmez; ancak veri işleme amacı/kapsamı değişiyor ve dayanak olarak açık rıza kullanılıyorsa (veya yeni rıza gerektiren işlem başlıyorsa) rıza yeniden alınmalıdır.

Veri ihlali yaşarsam web sitesi kullanıcılarına ve Kuruma bildirim sürecinde hangi adımları izlemeliyim?

Veri ihlalini öğrendiğiniz anda olayı durdurun/izole edin, kapsamı (hangi veri, kaç kişi, riskler) belirleyip kayıt altına alın. Ardından gecikmeksizin ve en geç 72 saat içinde Kuruma “Kişisel Veri İhlali Bildirim Formu” ile bildirim yapın; tüm bilgiler hazır değilse mevcut verilerle gönderip sonradan güncelleyin. İhlalden etkilenen kullanıcıları tespit edince makul olan en kısa sürede doğrudan (ulaşılamıyorsa web sitenizden duyuru gibi) bilgilendirin; geç bildirim idari yaptırıma yol açabilir.

Kullanıcı e-posta ile ‘verilerimi silin’ derse kimlik doğrulamasını nasıl yapmalıyım?

E-posta ile gelen “verilerimi silin” talebini kimlik doğrulaması açısından ancak şu hâllerde işleme alın: Talep, sizin sisteminizde ilgili kişi adına kayıtlı ve daha önce bildirilmiş e-posta adresinden geliyorsa (Tebliğ m.5/1) ve başvuruda asgari kimlik bilgileri bulunuyorsa.

E-posta adresi kayıtlı değilse, kişiyi KEP / güvenli e-imza / mobil imza ile ya da imzalı yazılı başvuru yöntemlerine yönlendir; ayrıca “sadece noter/e-imza” gibi Kanunda/tebliğde olmayan külfetler dayatma.

Gizlilik politikasında üçüncü taraf hizmet sağlayıcılarını (kargo, ödeme, CRM) nasıl listelemeliyim ve hangi bilgileri açıklamalıyım?

Gizlilik politikası/aydınlatma metninde üçüncü tarafları “alıcı grubu + mümkünse firma unvanı” şeklinde net yazın (örn. kargo firmaları, ödeme kuruluşları/bankalar, CRM ve çağrı merkezi tedarikçileri). Her grup için en az şu bilgileri açıkça belirtin: hangi veri kategorilerinin (kimlik/iletişim/sipariş/ödeme vb.) hangi amaçla aktarıldığı, yurtiçi–yurtdışı aktarım olup olmadığı ve dayanılan hukuki sebep (KVKK m.5/6 ve aktarım için m.8/9). Muğlak ifadelerden kaçının.

Danışmanlık

Profesyonel hukuki danışmanlık mı arıyorsunuz?

Avukatistan üzerinden kolayca hukuki danışmanlık talebi oluşturup, sisteme kayıtlı binlerce avukattan teklif alabilirsiniz.

Lütfen unutmayın

Avukatistan, avukatlardan alınan hizmetler için herhangi bir ücret ya da komisyon talep etmez.
Hizmetlerimiz yalnızca avukatlarla iletişim kurmanıza yardımcı olmak içindir; avukatlar tarafından verilen hizmetlerden Avukatistan sorumlu tutulamaz.

Danışmanlık Talebi Oluştur

İlginizi Çekebilir

Sosyal Medya'da Özel Hayatın Gizliliğini Nasıl Koruruz?

Sosyal medyanın özel hayatın gizliliği üzerindeki etkisini ele alan bu makale, gizlilik ayarlarını yönetme ve güvende kalma stratejilerini detaylarıyla açıklıyor.
Telif Hakları İhlalleri: İnternette İçerik Üretenler İçin Kılavuz

Telif hakları ihlali nedir ve içerik üretenler nasıl korunur? İhlal tespiti, koruma yöntemleri ve yasal adımlar hakkında bilgi edinin.
Siber Zorbalık ve Hukuki Yaptırımları

Siber zorbalıkla mücadelede hukuki yaptırımları keşfedin: Ceza davaları, korunma yöntemleri ve Türkiye'deki yasal düzenlemeler.
Kişisel Verilerin Korunması Kanunu (KVKK) Nedir?

KVKK (6698) nedir? Kişisel Verilerin Korunması Kanunu’nun amacı, kapsamı, açık rıza, aydınlatma yükümlülüğü, VERBIS, veri sorumlusu, haklar cezalar ve uyum
Genetik Verilerin Güvenliği

Genetik verilerin güvenliği, kişisel veri koruma yasaları kapsamında önemli bir konudur. Genetik verilerin işlenmesi ve korunması için gereken önlemleri öğrenin.
Bilişim Teknolojileri Kullanımında Kişisel Verilerin Korunması

Kişisel verilerinizi korumada bilişim teknolojilerinin rolünü keşfedin. GDPR ve KVKK gibi standartları öğrenin, veri ihlallerine karşı önlemleri inceleyin.
Sosyal Medya Hesaplarının Mirası

Sosyal medya hesaplarının miras statüsü ve yönetimi, Türkiye yasaları ve platform politikaları ile inceleniyor.
Yapay Zeka Teknolojilerinin Hukuk Pratiklerine Etkisi

Yapay zeka ve hukukun kesiştiği noktaları, hukuki süreçlerde yapay zekanın rolünü ve gelecek projeksiyonlarını detaylıca ele alın.
Avukatlar İçin Websitesi Neden Önemlidir?

Avukatlar için web sitesi, dijital görünürlüğü artırır, müvekkillerle etkili iletişim sağlar ve profesyonellik sunar. Hukukta rekabet avantajı için şart!
Sosyal Medya Kayıtları Delil Olarak Sunulabilir Mi?

Sosyal medya kayıtlarının delil olarak kullanılabilirliğini ve Türkiye hukukundaki statüsünü detaylıca ele alınmaktadır.

Profesyonel Danışmanlık

Size En Uygun Avukatı Bulalım!

Danışmanlık almak istediğiniz konuyu kısaca anlatın. Avukatistan sizin için en uygun avukatları bulsun!

Ücretsiz Başvur

İnternet Üzerinden Evden İş İsteğinde Bulunanlara Hakkımda Dava Açabilirler mi?

Hastalığım nedeniyle normal bir işte çalışamıyorum. Evden çalışabileceğim bir iş ararken bir site buldum ve paketleme işine başvurdum. İlk önce benden kapora istediler ve 400-500 TL civarı bir ödeme yaptım. Ardından kargo ücreti için ödeme yaptım ama neyse finans müdürüyle görüşerek geri ödeme yapacaklarını söylediler. Vergi ve fatura işleminden sonra paranı geri göndereceğiz dediler ve vergi ücretini de ödedim. Ancak, borç aldığım kişiden paranın geri ödenmesi sorun olacak dedim. Nihayetinde, son olarak yüksek miktarda fatura ücreti çıktı, fakat bunu ödeyemem dedim. Bunun üzerine, fatura ödemesi yapılmazsa avukata başvurularak firma zarara uğratacağım gerekçesiyle dava açılacağını söylediler. Bilgilerim onlarda olduğu için endişeleniyorum. Benden tazminat alabilirler mi, böyle bir şey mümkün mü?

İşbirliği Daveti İçin Ticari Elektronik İleti Gönderme İzni Gerekli Mi?

Merhabalar. Çalıştığım şirketin e-posta adresinden özel okul ve otel gibi kurumlara işbirliği davetinde bulunmak istiyorum. Bunun için herhangi bir izin ya da benzer bir şeye ihtiyaç duyuyor muyum? Sıradan vatandaşa değil, doğrudan şirketin halka açık olarak paylaştığı e-posta adreslerine yapmayı düşünüyorum daveti. E-postamın içeriğinde olması gereken şeyler var mı? Çalıştığım şirket bir halı saha şirketi.

Instagram ve Facebook Hesaplarım Neden Çocuk İstismarı Sebebiyle Kapandı?

Instagram'da hiçbir görsel paylaşım olmaksızın sadece mesajlaşma yolu ile karşılıklı iletişim halindeyken kullandığım hesabım ve buna paralel olarak gerçek Facebook ve Instagram hesaplarım kapandı. Gelen bildirimde, hesabımın, çocuk istismarı ve çıplaklıkla topluluk kurallarına aykırı olduğu belirtildi. Ancak hesaplarımda bu kuralsız durumu destekleyecek herhangi bir paylaşım ya da görsel materyal bulunmamaktadır. Bu duruma karşı nasıl bir eylem planı uygulamalıyım ve hangi adımı ilk olarak atmalıyım?

Arkadaşlık Sitesinde Yaşadığım Dolandırıcılık Durumu Ne Yapmalıyım?

Merhabalar, kolay gelsin. 2024 yılında bir arkadaşlık sitesinden tanıştığım bir kişiyle normal bir şekilde konuşup ondan sonra bu kişinin yönlendirmesi ile cinsel içerikli konuşmalara geçildi. Daha sonra bu kişi beni engelledi. Ertesi gün beni arabulucu uzlaştırmacı sıfatında bir avukat aradı ve belirli bir para yatırmam gerektiğini söyledi. Bu uzlaştırmacı ve arabulucu sıfatında olan avukatlar beni yoğun bir şekilde baskı altına alıp, acil ödeme yapmazsam yakalama kararımın çıkarılacağını söylediler. Ben bunun üzerine numaralarını engelledim. Ancak 2025 yılına geldiğimiz halde, hala avukatlık bürosu ve hukuk bürosu adı altında cinsel istismar ile ilgili mesajlar almaktayım farklı numaralardan. Ne yapacağımı bilmiyorum, bu konuda bilgi verebilir misiniz rica etsem?

E-ticaret sitesinde yaşadığım sorunlar hakkında hukuki yardım

Merhaba, yabancı bir arkadaşımın yardımıyla sözde bir e-ticaret sayfasına üye oldum ve kimlik bilgilerimi de verdim. Bir miktar yükleme yaptım ve mağaza açtım. Ürünler ekledim ve siparişler gelmeye başladı. İlk 200 dolarnımla işler güzel ilerledi ve 800 dolara ulaştı. Ardından 200 dolarlık bir sipariş daha geldi. Söyledikleri gibi bu siparişi karşılamazsam paramı alamayacağımı ve hesap kapama işleminin gerçekleştirilemeyeceğini belirttiler. Ancak elimde başka para yoktu ve paramı alıp çıkmak istediğimi belirttim. Ancak söylediler ki, çıkmam mümkün değil. Bunun üzerine son kez 200 doları karşıladım ve hesabımı şu anda kapatılması gerektiğini belirttiler. Ancak daha sonra benden 100 dolar daha talep etmeye başladılar, sikkeleme bedeli olarak. Hesabımdan veya mağazamdan alabileceğimizi söyledim ancak olmayacağını belirttiler. Bu yüzden, ekstra 100 doları odemedim. Sözde hesabımda karla beraber 1.056 dolar var. Şimdi bir sipariş daha geldi, 1.080 dolar değerinde. Ancak, bu siparişi karşılamazsam hesabımı kapatamayacaklarını ve beni mahkemeye vereceklerini söylüyorlar. Bu durumda ne yapmalıyım?

Online oyunlarda özel mesajların okunması ve yasal durumu

Türkiye'de işletilen bir online oyunda arkadaşımla özel olarak mesajlaşarak birine hakaret/küfürde bulundum ve ertesi gün hesabım geçici yasaklama aldı. Oyun yöneticilerinin özel mesajlarımı okuyup işlem yapabilmesi hakkı var mıdır? Böyle bir yasal hakları var mıdır? İlerleyen süreçte yasal işleme girersem kendimi nasıl savunabilirim?

Kişisel Videolarımın Üçüncü Kişiye İletilmesi ile İlgili Yaptırım Var Mı?

Merhaba, tanıştığım ve boşandığını söyleyen bir kişiye ait evlilik şüphelerimden dolayı ilişkimi sonlandırdım. Daha sonra yeni tanıştığım, ilişki içerisinde olduğum kişiye kişisel video ve resimlerimin gönderildiğini öğrendim. Önceki ilişkimde paylaştığım bu materyallerin kontrolüm dışında dağıtılması, zor bir durum yaratıyor ve beni tedirgin ediyor. Bu konuda hukuki bir yaptırım olup olmadığını merak ediyorum. İhtarname çekme veya suç duyurusunda bulunma gibi seçeneklerim var mı? Teşekkür ederim.

Instagram Hesabım Çalındığında Yapılan Taciz Nedeniyle Dava Açılır mı?

Merhaba, benim Instagram adresim çalınmışken bir başka kişiye 'gecelik ne kadar' diye yorum yapılmış. Karşı taraf, taciz gerekçesiyle şikayetçi olmuş ve ben ifade vermek için çağrıldım. Tanımadığım bir kişiye yönelik bu yorumun benimle hiçbir ilgisi olmadığını, hesapta aile ve akrabalarımın olduğunu belirttim. Hesabımın çalındığını ve bir ilgisi olmadığımı ifade ettim. Bu durumdan dolayı çok üzgünüm. Acaba ifade sonunda dava açılır mı, yoksa 'kovuşturmaya gerek yoktur' kararı verilir mi? Bu konuda bilgi alabilir miyim? Kendimi savunabilmek için telefonumun incelenmesini bile önerdim.

İnternet Üzerinden Beni Takip Eden Kişiye Nasıl Karşı Şikayetçi Olabilirim?

Merhaba, şirketimin kapısına bırakılan bir notla karşılaştım ve bu durum beni rahatsız ediyor. Bu durumu şikayet etsem sonuç alabilir miyim, ne yapmalıyım? Bir kişi, kendisini tanıdığımı belirterek, geçmişte bir ilişkimiz olduğunu iddia ediyor. Ancak bu durum şahsen beni rahatsız ediyor ve dolayısıyla nasıl hareket etmeliyim bilmiyorum. Bu kişi, benimle iletişime geçmek istediği belirtmiş ve belirli bir tarihte belirli bir yerde buluşmayı teklif ediyor. Kişisel bilgilerimi fark etmemem için kağıda yazdığı belirtmiş. Bu durumda nasıl bir yol izlemeliyim?

IP Adresi Iftira Suçunda Kesin Delil Mi?

Sanık Derya F. hakkında 155'e yapılan asılsız ihbarların IP adreslerinin tespiti gerekçesiyle iftira suçundan iddianame düzenlenmiştir. Gönderilen telekom yazısını incelediğimizde, IP adresleriyle ilgili tespitlerin saat, dakika, saniye ayrımı yapılmadan ve sadece saat ve dakika olarak yer aldığını; hedef IP ve hedef port bilgilerinin ise yer almadığını görmekteyiz. Sanık Derya F. bu duruma dayanarak IP tespitlerinin yetersiz bilgiyle yapıldığı ve bu yüzden kesin delil olamayacağı savunmasını yapabilir mi?

Avukata Soru Sor