WhatsApp Sipariş Hattı KVKK’ya Aykırı mı? (Kişisel Veri, Açık Rıza, Loglama ve 2026 Uygulaması)
“WhatsApp’tan sipariş almak yasal mı?”, “Müşteri WhatsApp’tan yazdıysa KVKK sorumluluğu bize mi ait?”,
“WhatsApp mesajlarını saklamak zorunda mıyız?” soruları, özellikle WhatsApp sipariş hattı kullanan işletmelerde
en sık KVKK riski doğuran başlıklar arasındadır.
Bu rehber, WhatsApp sipariş hattının KVKK’ya aykırı olup olmadığını senaryo senaryo ve
denetimde savunulabilir şekilde ele alır.
1️⃣ Kısa ve Net Cevap
🔴 Ancak: WhatsApp üzerinden kişisel veri işleniyor, saklanıyor veya başka amaçlarla kullanılıyorsa
KVKK tüm ağırlığıyla devreye girer.
Özet: Mesele “WhatsApp kullanmak” değil, WhatsApp üzerinden ne yaptığınızdır.
2️⃣ WhatsApp Sipariş Hattında Hangi Veriler İşlenir?
WhatsApp üzerinden sipariş alındığında tipik olarak şu veriler işlenir:
- Telefon numarası
- Ad–soyad
- Adres (teslimat/fatura)
- Sipariş içeriği (ürün/hizmet tercihleri)
- Ödeme bilgisi (dolaylı olarak)
- Mesaj geçmişi (iletişim içeriği ve zaman bilgisi)
Bunların tamamı kişisel veri niteliğindedir.
Telefon numarası, kişiyi doğrudan belirlediği için doğrudan kişisel veridir.
3️⃣ WhatsApp’ta Veri Sorumlusu Kimdir?
- Siparişi alan işletme → Veri sorumlusu
- WhatsApp altyapısı → teknik hizmet sağlayıcı (çoğu senaryoda veri işleyen benzeri konum)
❗ Kritik: “WhatsApp bizim değil” savunması sorumluluğu ortadan kaldırmaz.
Veri sorumlusu olarak amaç ve kullanım kararını işletme verir.
4️⃣ SENARYO 1 — “Müşteri Bize Kendisi WhatsApp’tan Yazdı”
Örnek: Müşteri, web sitenizdeki WhatsApp butonuna tıklayıp
“Merhaba, sipariş vermek istiyorum” diye yazdı.
Bu senaryo görece daha güvenlidir çünkü veri, ilgili kişinin kendi iradesiyle iletilmiştir ve sipariş süreci
çoğu durumda sözleşmenin kurulması/ifası kapsamında değerlendirilir.
⚠️ Sınır: Veri sadece sipariş amacıyla kullanılabilir. Pazarlama için otomatik “serbest” değildir.
5️⃣ SENARYO 2 — “Sipariş Aldık, Sonra Kampanya Mesajı Attık”
Örnek: Müşteri WhatsApp’tan sipariş verdi. Bir hafta sonra indirim/kampanya mesajı gönderildi.
Sipariş süreci “sözleşme” kapsamındadır; kampanya mesajı ise “pazarlama/ticari ileti” niteliğindedir.
Sonuç: Ayrı açık rıza yoksa ihlâl riski çok yüksektir.
❌ “Zaten numarasını verdi”
❌ “Daha önce yazışmıştık”
Bu tür gerekçeler, pazarlama iletişimi açısından genellikle savunulabilir bir dayanak oluşturmaz.
6️⃣ SENARYO 3 — “WhatsApp Mesajlarını Kaydediyoruz / Arşivliyoruz”
Örnekler: WhatsApp konuşmalarını CRM’e aktarmak, Excel’e almak, süresiz arşivlemek.
WhatsApp mesajlarının saklanması teknik olarak mümkün olsa da KVKK açısından:
amaç, süre ve silme/imhâ yönetimi olmadan arşivleme,
yüksek uyumsuzluk riski doğurur.
Saklama amacı net olmalı, saklama süresi belirlenmeli, süre dolunca veri silinmeli/anonimleştirilmeli.
7️⃣ SENARYO 4 — “WhatsApp Business API Kullanıyoruz”
WhatsApp Business API; şablon mesajlar, otomatik akışlar, CRM entegrasyonları ve daha kapsamlı loglama altyapısı sağlayabilir.
Bu, operasyonu profesyonelleştirir; ancak veri işleme hacmini artırdığı için uyum yükünü de artırır.
Aydınlatma, pazarlama için ayrı rıza, saklama–imha politikası ve loglama kurgusu daha kritik hale gelir.
8️⃣ Açık Rıza Ne Zaman Gerekir?
✅ Açık rıza GEREKMEYEN (tipik) durumlar:
- Siparişi almak ve işlemek
- Teslimat/kargo bilgisi paylaşmak
- Siparişin durumuna ilişkin bilgilendirme yapmak
🔴 Açık rıza GEREKEN (yüksek riskli) durumlar:
- Kampanya / indirim / promosyon mesajları
- Yeni ürün/hizmet tanıtımı
- Tekrar satış (cross-sell/upsell) amaçlı pazarlama
- WhatsApp numarasını CRM’e pazarlama amacıyla eklemek
İkisini aynı kanalda yapmak mümkündür; fakat hukuki dayanakları ve kayıtları ayrıştırmak gerekir.
9️⃣ Loglama ve İspat Yükü (Denetimde Ana Dosya)
Denetimde sorulan soru genellikle şudur: “Bu numaraya pazarlama mesajını hangi dayanakla attınız?”
Bu nedenle WhatsApp sipariş hattında asgari loglama kurgusu önerilir.
| Log Alanı | Ne İçin Gerekli? | Örnek |
|---|---|---|
| Sipariş başlatma zamanı | İşleme başlangıcı ispatı | 05.02.2026 14:12 |
| İşleme amacı | Amaçla sınırlılık | Sipariş ve teslimat |
| İletişim türü | Sipariş mi pazarlama mı? | Sipariş bilgilendirme |
| Pazarlama rızası | Kampanya mesajı dayanağı | Var/Yok + tarih |
| Saklama süresi kuralı | İmha yönetimi | 30 gün / 6 ay vb. |
| Silme/İmha kaydı | Uyum ispatı | İmha log no / tarih |
🔟 Yurt Dışı Veri Aktarımı Riski
WhatsApp altyapısı, teknik olarak yurt dışı sunucular ve çok uluslu veri işleme mimarileri kullanabilir.
Bu da WhatsApp üzerinden veri işleme faaliyetlerinde yurt dışına aktarım riski doğurabilir.
- Veri akışını anlamak ve riskleri dokümante etmek
- Aydınlatma metninde WhatsApp kanalının kullanılmasını ve ilgili riskleri şeffafça belirtmek
- Gerekli senaryolarda pazarlama amaçlı kullanım için açık rıza kurgusunu ayrı yürütmek
1️⃣1️⃣ WhatsApp Sipariş Hattı İçin Zorunlu Dokümantasyon
- ✅ WhatsApp sipariş hattı için aydınlatma metni (kanal bazlı)
- ✅ Pazarlama iletişimi için ayrı açık rıza metni ve kayıtları
- ✅ Saklama–imha kuralı (WhatsApp mesajları/sipariş kayıtları için)
- ✅ Loglama düzeni (sipariş/pazarlama ayrımı + rıza/itiraz kayıtları)
1️⃣2️⃣ En Sık Yapılan KVKK Hataları
- ❌ Sipariş sonrası kampanya mesajı atmak (ayrı rıza yok)
- ❌ WhatsApp konuşmalarını süresiz saklamak
- ❌ Aydınlatma yapmamak (WhatsApp kanalını gizlemek)
- ❌ “Müşteri yazdıysa her şey serbest” varsayımı
- ❌ WhatsApp numarasını pazarlama listesine otomatik eklemek
✅ Güvenli WhatsApp Sipariş Modeli (Operasyonel Özet)
- Müşteri yazarsa sipariş al (amaç: sözleşme/teslimat).
- Veriyi yalnızca sipariş için kullan.
- Pazarlama için ayrı rıza al ve logla.
- Mesajları süresiz saklama; süre belirle ve imha et.
- Şeffaf ol; WhatsApp kanalını ve kullanım amacını aydınlatmada belirt.
🧠 Uzman Sonuç (Net)
WhatsApp sipariş hattı yasak değildir.
Ancak kontrolsüz kullanım (özellikle sipariş verisini pazarlamaya çevirmek ve süresiz arşivlemek)
KVKK açısından en hızlı ihlal üreten pratiklerdendir.
