⏱️ Okuma süresi: 15 dk · 📁 Kategori: KVKK & Dijital Uyum

E-Ticaret Siteleri İçin KVKK Zorunlulukları (2026 Güncel, Ayrıntılı ve Uygulamalı Rehber)

E-ticaret siteleri KVKK açısından en yüksek risk grubundaki veri sorumluları arasında yer alır.
Çünkü aynı anda; müşteri verisi, ödeme ve teslimat bilgileri, pazarlama verileri, çerezler ve davranışsal veriler
gibi çok sayıda kişisel veri işlenmektedir.

Bu rehber; e-ticaret sahipleri, yöneticiler, pazarlama ekipleri, yazılımcılar ve hukuk/uyum ekipleri için
denetimde birebir savunulabilir, hukuki ve operasyonel yol haritası sunmak amacıyla hazırlanmıştır.

1️⃣ E-Ticaret Siteleri KVKK’ya Tabi midir?

2️⃣ E-Ticaret Sitelerinde İşlenen Kişisel Veriler

• Ad, soyad
• Telefon numarası, e-posta adresi
• Teslimat ve fatura adresleri
• Sipariş ve alışveriş geçmişi
• IP adresi
• Çerez (cookie) ve cihaz verileri
• Kampanya ve pazarlama tepkileri

Bu verilerin tamamı kişisel veri niteliğindedir ve KVKK hükümlerine tabidir.

3️⃣ E-Ticaret Siteleri İçin Temel KVKK Zorunlulukları

Aşağıdaki yükümlülükler zorunludur; tercihe bağlı değildir.

4️⃣ Aydınlatma Yükümlülüğü (KVKK m.10)

E-ticaret sitelerinde aydınlatma metni;

• Üyelik ekranında
• Sipariş oluşturma aşamasında
• Çerez banner’ında

açık ve erişilebilir şekilde yer almalıdır.

❌ “KVKK metni footer’da var” → yeterli değildir
❌ Gizli veya zor ulaşılan metin → ihlaldir

5️⃣ Açık Rıza Zorunluluğu (En Sık Hata Yapılan Alan)

✅ Açık rıza GEREKEN durumlar:

• Pazarlama e-postaları
• SMS kampanyaları
• Kişiselleştirilmiş reklamlar
• Reklam ve izleme çerezleri
• Yeniden pazarlama (remarketing)

❌ Açık rıza GEREKMEYEN durumlar:

• Siparişin teslim edilmesi
• Fatura düzenlenmesi
• Kargo ve işlem bildirimleri

6️⃣ Çerez (Cookie) Yönetimi ve Consent Mode v2

E-ticaret sitelerinde çerez yönetimi yüksek risk alanıdır.

🔹 Zorunlu çerezler:

• Oturum ve sepet çerezleri

🔹 Açık rıza gerektiren çerezler:

• Google Analytics
• Reklam ve remarketing çerezleri
• Davranışsal analiz araçları

❌ “Devam edersen kabul etmiş sayılırsın” → hukuka aykırıdır

7️⃣ Üçüncü Kişilere Veri Aktarımı

E-ticaret siteleri kişisel verileri sıklıkla şu taraflara aktarır:

• Kargo firmaları
• Ödeme altyapıları
• Pazarlama ajansları
• CRM ve e-posta servisleri

8️⃣ Yurt Dışına Veri Aktarımı (En Tehlikeli Alan)

Bulut sunucular, yabancı CRM’ler ve reklam platformları nedeniyle
birçok e-ticaret sitesi fiilen yurt dışına veri aktarımı yapmaktadır.

❌ “Sunucu yurt dışında ama sorun olmaz” → yanlıştır

9️⃣ VERBİS Kayıt Yükümlülüğü

E-ticaret siteleri çoğu durumda VERBİS’e kayıt olmak zorundadır.
Çalışan sayısı, mali bilanço ve faaliyet konusu birlikte değerlendirilir.

VERBİS’te veri kategorileri, saklama süreleri ve aktarımlar doğru ve güncel olmalıdır.

🔟 Veri Güvenliği (KVKK m.12)

E-ticaret siteleri teknik ve idari tedbirleri almakla yükümlüdür:

• SSL ve güvenli iletişim
• Yetkilendirme ve erişim kontrolleri
• Loglama
• Şifreleme
• Sızma ve güvenlik testleri

1️⃣1️⃣ Sipariş Sonrası Pazarlama (En Sık Ceza Alan Senaryo)

Yanlış: Sipariş sonrası otomatik reklam e-postası göndermek ❌
Doğru: Pazarlama için ayrı açık rıza almak ✅

1️⃣2️⃣ Saklama Süreleri (Örnek)

Süresi dolan veriler silinmeli veya anonimleştirilmelidir.

1️⃣3️⃣ En Sık Yapılan KVKK İhlalleri (E-Ticaret)

• Açık rıza olmadan pazarlama
• Çerezleri rıza öncesi çalıştırmak
• Yurt dışı aktarımı gizlemek
• VERBİS’i güncellememek
• Silme ve itiraz taleplerini dikkate almamak

1️⃣4️⃣ KVKK Kurulu’nun E-Ticaret Yaklaşımı (2026)

Kurul, e-ticaret sitelerini yüksek riskli veri sorumluları olarak görmektedir.
Özellikle pazarlama, çerez ve reklam ihlallerine karşı yüksek idari para cezaları uygulanmaktadır.

1️⃣5️⃣ KVKK Uyum Kontrol Listesi

🧠 Uzman Sonuç

E-ticaret siteleri için KVKK, bir “evrak işi” değil; doğrudan ticari risktir.
Doğru kurgu ceza riskini azaltır ve müşteri güvenini artırır;
yanlış kurgu ise idari para cezası, itibar kaybı ve satış performansında düşüş doğurur.

E-Ticaret KVKK Uyum & Denetim Desteği Alın