Dijital Uyum & KVKK • 2025 Rehberi
Dijital ajanslar, kampanya yönetimi, CRM entegrasyonu ve remarketing süreçlerinde çok sayıda kişisel veriyle temas eder. Bu nedenle, KVKK açısından genellikle “veri işleyen” sıfatına sahip olurlar. Ancak birçok ajans, farkında olmadan veri sorumlusu rolüne geçerek hukuki risk üstlenmektedir.
1. Kampanya Verileri ve KVKK Kapsamı
- Form toplama: Web formları üzerinden alınan ad, e-posta, telefon gibi veriler KVKK kapsamındadır.
- Remarketing: Piksel ve cookie bazlı takiplerde IP ve davranış verisi kişisel veri sayılır.
- Analitik platformları: Google Ads, Meta, LinkedIn gibi araçlarda işlenen veriler; veri aktarımı ve paylaşımı yönünden kontrol edilmelidir.
- Ajansın panel erişimi: Müşteri sistemlerine erişim varsa, veri işleme faaliyetinin kayıt altına alınması gerekir.
“Her tıklama bir veridir; her veri bir yükümlülük doğurur.”
2. Ajansların “Veri İşleyen” Rolü
| Alan | Ajansın Rolü | Yükümlülük |
|---|---|---|
| Kampanya Yönetimi | Veri sorumlusunun talimatıyla hareket eder | DPA (Veri İşleme Sözleşmesi) imzalamak |
| CRM Entegrasyonu | Veriyi işler ama sahip değildir | Erişim loglarını saklamak |
| Analitik & Raporlama | Toplanan veriyi işleyip raporlar | Anonimleştirme / maskleme uygulamak |
3. Form ve Kampanya Süreçlerinde Uyum Noktaları
- Kampanya başında müşteriden yazılı talimat alınmalı,
- Veri işleme protokolü (DPA) taraflarca imzalanmalı,
- Formlarda aydınlatma metni ve açık rıza kutusu yer almalı,
- Veriler kampanya bitiminde silinmeli veya müşteriye teslim edilmelidir.
“Veriyi silmek, güvenli kampanya yönetiminin son adımıdır.”
4. B10 Uyum Protokolü Örneği
B10 Digital Agency, tüm kampanya iş birliklerinde standart “Veri İşleme Uyum Protokolü” uygular. Bu protokol, ajans–marka ilişkisini şeffaf biçimde tanımlar:
| Bölüm | İçerik |
|---|---|
| 1. Tanımlar | Veri sorumlusu, veri işleyen, özel nitelikli veri tanımları |
| 2. Amaç | Kampanya süreçlerinde veri işleme faaliyetlerinin sınırlandırılması |
| 3. Yükümlülükler | Ajansın veri güvenliği tedbirleri ve silme yükümlülüğü |
| 4. Denetim | Markanın ajans süreçlerinde denetim hakkı |
| 5. İhlal Bildirimi | 72 saat içinde veri sorumlusuna bilgilendirme zorunluluğu |
5. Uyumlu Ajans Kültürü Nasıl Oluşturulur?
- Tüm ekipler KVKK farkındalık eğitimi almalı,
- Yeni müşteri onboarding sürecinde veri politikası imzalanmalı,
- Paylaşılan veriler yalnızca yetkilendirilmiş kişilerce erişilebilir olmalı,
- Cloud hizmetlerinde veri saklama politikaları düzenli olarak gözden geçirilmelidir.
Ajansınızı KVKK uyumlu hale getirin.
B10 Digital Agency, dijital ajanslara özel KVKK uyum protokolleri, rıza metni tasarımları ve DPA sözleşmeleriyle sürdürülebilir veri güvenliği sağlar.
Ajans olarak veri sorumlusu olabilir miyiz?
Evet, ancak yalnızca veriyi kendi amaçlarınız için işliyorsanız (örneğin pazarlama analitiği hizmeti sunuyorsanız). Müşteri adına işleme yapıyorsanız veri işleyen statüsündesiniz.
Form verilerini kampanya sonunda silmek zorunda mıyız?
Evet. KVKK 7. maddeye göre veriler, işleme amacı sona erdiğinde silinmeli, yok edilmeli veya anonimleştirilmelidir.
Remarketing verileri kişisel veri midir?
Evet. IP adresi, çerez kimliği veya kullanıcı davranış verisi kişisel veri sayılır. Bu nedenle, çerez politikasında açık şekilde belirtilmelidir.
