Yasal·
2 Nisan 2026
Türkiye'den Avrupa'daki bir müşteriye tek bir pazarlama e-postası gönderdiğinizde, aynı anda iki ayrı hukuki sistemin kapsamına girebilirsiniz: Türkiye'deki 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği'nin 2016/679 sayılı Genel Veri Koruma Tüzüğü (GDPR). Bu iki düzenleme yüzeysel olarak birbirine benzese de uyumluluk yükümlülükleri, yaptırımlar ve rıza standartları açısından kritik farklar barındırır. Yanlış adım, yüz binlerce euro'ya varan para cezasına ya da kara listeye girmek suretiyle teslim edilebilirlik sorununa yol açabilir.
Türkiye, 6698 sayılı KVKK'yı 7 Nisan 2016'da yürürlüğe koydu; Resmi Gazete'de 07.04.2016 tarih ve 29677 sayısıyla yayımlandı. Kanun, büyük ölçüde AB Direktifi 95/46/EC'yi model almıştır. GDPR ise 25 Mayıs 2018'de yürürlüğe girdi ve söz konusu direktifi yürürlükten kaldırdı. GDPR, AB üye devletlerinde doğrudan uygulanabilir bir tüzük statüsündedir; ulusal parlamentolardan ayrıca onay almaksızın bağlayıcıdır. KVKK ise ulusal bir kanun olup uygulama usulleri Kişisel Verileri Koruma Kurumu (KVKK Kurumu) tarafından çıkarılan ikincil mevzuatla şekillenir.
Ticari elektronik ileti boyutunda Türkiye'de öne çıkan ikinci kanun, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun'dur (ETK, Resmi Gazete: 05.11.2014, 29166). ETK, 1 Mayıs 2015'te yürürlüğe girmiş; ticari e-posta, SMS ve diğer elektronik ticari iletişimlerin gönderilmesine ilişkin temel çerçeveyi belirlemiştir. Bilgi Teknolojileri ve İletişim Kurumu (BTK), bu kanuna dayanarak "Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik"i yayımlamıştır (Resmi Gazete: 15.07.2015, 29417).
GDPR'ın 3. maddesi, "yer bakımından kapsam" başlığı altında iki ayrı kriter belirler. Birincisi, AB'de kurulan bir veri sorumlusunun ya da işleyenin faaliyetleri kapsamında kişisel veri işlenmesidir. İkincisi ise AB'de yerleşik kişilere mal veya hizmet teklif etmek ya da bu kişilerin davranışlarını izlemek amacıyla AB dışından veri işlenmesidir. İkinci kriter Türk şirketleri doğrudan ilgilendirir: Avrupa'daki bir kullanıcıya Türkçe ya da İngilizce e-posta gönderdiğinizde GDPR'ın 3(2) maddesi kapsamına girersiniz.
KVKK'nın 2. maddesi ise Türkiye'de faaliyet gösteren veya Türkiye'den veri işleyen gerçek ve tüzel kişileri kapsar. Yani bir Türk şirketi hem KVKK'ya (Türkiye'deki müşteriler için) hem de GDPR'a (AB'deki alıcılar için) aynı anda tabi olabilir.
| Kriter | GDPR (AB — 2016/679) | KVKK (Türkiye — 6698 sk.) |
|---|---|---|
| Yürürlük tarihi | 25 Mayıs 2018 | 7 Nisan 2016 |
| Coğrafi kapsam | AB'deki kişilerin verisi işleniyorsa küresel kapsam (Madde 3) | Türkiye'deki veri sorumluları ve işleyenler (Madde 2) |
| Ticari e-posta rızası | Önceden, açık, özgür ve ayrıştırılmış onay (Recital 32; Madde 7) | ETK Madde 6 uyarınca önceden onay; KVKK meşru menfaat istisnası sınırlı |
| Rıza geri alma | Alma kadar kolay; tek tıkla abonelik iptali zorunlu (Madde 7/3) | ETK: ret hakkı her iletide belirtilmeli; ücretsiz ve kolay olmalı |
| Veri ihlali bildirimi | 72 saat içinde denetim otoritesine bildirim (Madde 33) | En kısa sürede KVKK Kurumu'na bildirim; kesin süre yönetmelikle belirlenir |
| Veri işleme hukuki dayanakları | 6 hukuki dayanak (Madde 6); meşru menfaat geniş kapsamlı | Madde 5 ve 6; meşru menfaat GDPR'a kıyasla daha dar yorumlanır |
| Yurt dışına veri aktarımı | Yeterlilik kararı, SCC, BCR mekanizmaları (Madde 44–49) | KVKK Madde 9; yeterli korumaya sahip ülke listesi veya açık rıza |
| Denetim otoritesi | Üye devlet Veri Koruma Otoriteleri (DPA); EDPB koordinasyonu | Kişisel Verileri Koruma Kurumu (KVKK Kurumu) |
| İdari para cezası üst sınırı | 20 milyon euro veya global cirosunun %4'ü (Madde 83) | KVKK Madde 18: 2024 itibarıyla yeniden değerleme sonucu güncellenen TL bazlı cezalar |
| Veri sorumlusu temsilcisi | AB'de yerleşik temsilci zorunlu (Madde 27) | Türkiye'de yerleşik temsilci yükümlülüğü yok; VERBİS kaydı zorunlu |
GDPR'ın 7. maddesi ve Recital 32'si, geçerli bir rızanın dört koşulunu sıralar: (1) özgür — verenden herhangi bir yaptırım ya da koşul olmaksızın verilmiş, (2) belirli — hangi amaç için verildiği açıkça tanımlanmış, (3) bilgilendirilmiş — veri sahibi kimin verilerini ne amaçla kullanacağını biliyor, (4) açık onay eylemi — önceden işaretli kutular, susma veya hareketsizlik geçerli rıza sayılmaz. Bu koşullar ticari e-posta için özellikle belirleyicidir: AB'li bir kullanıcının "Ürünlerimizi almak istiyorum" kutucuğuna tıklaması, ona sonraki ay tanıtım bülteni göndermeniz için yeterli değildir; tanıtım bültenine ayrıca onay almak zorundasınız.
Türk hukuku açısından ETK'nın 6. maddesi de önceden onay ilkesini benimser, ancak uygulama pratiği ve mahkeme içtihadı GDPR'daki kadar katı bir "ayrıştırılmış onay" yorumunu henüz yerleştirmemiştir. Bununla birlikte 6563 sayılı Kanun'un 6/4. fıkrası, alıcının her ticari iletide "ret" hakkını kullanabileceğini ve bu ret talebinin en geç 3 iş günü içinde yerine getirilmesi gerektiğini düzenler. GDPR'da ise ret talebinin anında işleme alınması beklenir.
AB Komisyonu, Türkiye için henüz GDPR kapsamında bir "yeterlilik kararı" vermemiştir. Bu durum, Avrupa'dan Türkiye'ye kişisel veri aktarımını otomatik yasal hale getiren bir mekanizmanın bulunmadığı anlamına gelir. Veri aktarımını yasal kılmak için AB tarafındaki veri sorumlusu tipik olarak AB Komisyonu'nun standart sözleşme maddelerine (Standard Contractual Clauses — SCC, 2021/914/EU kararıyla güncellenmiş) başvurur. Bağlayıcı şirket kuralları (Binding Corporate Rules — BCR) da bir seçenektir; ancak bu mekanizma büyük çok uluslu şirketler için daha uygundur.
Türk hukukunda KVKK'nın 9. maddesi, kişisel verilerin yurt dışına aktarılabilmesini iki koşuldan birine bağlar: ya veri aktarılacak ülkenin yeterli koruma sağladığının KVKK Kurumu tarafından tespit edilmiş olması ya da açık rızanın alınması. KVKK Kurumu, yeterli koruma sağlayan ülkeler listesini zaman zaman günceller; listenin güncel halini resmi internet sitesinden takip etmek gerekir.
Avrupa'ya gönderim yapacak bir kampanya kurmadan önce aşağıdaki adımları sırasıyla kontrol edin:
List-Unsubscribe başlığı ekleyerek e-posta istemcisi düzeyinde anında abonelik iptali desteği sunun.GDPR kapsamında AB veri koruma otoriteleri tarafından verilen cezalar kamuya açık biçimde yayımlanır. Avrupa Veri Koruma Kurulu (EDPB) ve enforcement.pdpecho.com gibi bağımsız takip siteleri bu kararları derler. Meta Ireland, 2023 yılında yalnızca veri işleme hukuki dayanağına ilişkin ihlaller nedeniyle 1,2 milyar euro ceza almıştır; ancak bu oran tek seferlik ve istisnai bir örüktür. Pazarlama e-postasına özgü ihlallerde cezalar genellikle 50.000–500.000 euro bandında seyreder.
Türkiye'de KVKK Kurumu, kamuoyuna yönelik kararlarında veri ihlali bildirimi yapmamanın ve açık rıza almadan ticari ileti göndermenin sıklıkla yaptırıma konu olduğunu göstermektedir. BTK ise ETK kapsamında ticari elektronik ileti ihlalleri için ayrıca idari para cezası uygular; 2023–2024 dönemine ait güncellenen ceza tarifelerini BTK'nın resmi sitesinden takip etmek gerekir.
Evet. GDPR Madde 3(2)(a) kapsamında AB'de yerleşik kişilere —tüketici ya da profesyonel fark etmeksizin— mal veya hizmet teklif ediyorsanız GDPR uygulanır. Bununla birlikte B2B e-postalarında meşru menfaat (Madde 6/1(f)) hukuki dayanağı daha kolay savunulabilir hale gelebilir; yine de bu değerlendirmeyi dökümante etmeniz gerekir.
Olabilir; ancak üç koşulun karşılanması gerekir: (1) Meşru menfaatin varlığı, (2) işlemenin bu menfaat için gerekli olması, (3) veri sahibinin temel hak ve özgürlüklerinin söz konusu menfaatin önüne geçmemesi. Bu "denge testi"ni yazılı olarak belgelemeniz ve denetimde ibraz edebilmeniz beklenir. Birçok AB DPA'sı, geniş kitleye gönderilen pazarlama e-postalarında meşru menfaate itirazla yaklaşmaktadır.
Hayır. 6563 sayılı ETK'nın 6. maddesi, ticari elektronik ileti göndermek için alıcının önceden onayını zorunlu kılar. Onaysız gönderim ETK ihlali oluşturur ve BTK tarafından idari para cezasıyla sonuçlanabilir.
GDPR metni çift onayı açıkça zorunlu kılmaz; ancak ispatın sorumluluğu veri sorumlusuna aittir (Madde 7/1). Alman, Avusturya ve İsviçre DPA'larının kararlarında çift onay, rızanın geçerliliğini kanıtlamak için güvenilir yöntem olarak defalarca anılmıştır. Risk yönetimi açısından çift onay uygulamak en iyi pratik olarak değerlendirilir.
GDPR Madde 5(1)(e) veri minimizasyonu ve depolama sınırlaması ilkesini getirir: amacın gerektirdiğinden fazla süre saklayamazsınız. Pazarlama listesinden çıkan biri için ticari ileti gönderme amacı sona ermiştir. Ancak gelecekteki olası şikayetlere karşı "rıza ve ret kaydı"nı belirli bir süre (genel kabul görmüş uygulama 3–5 yıl) saklayabilirsiniz; bu kayıt işleme amaçlı değil, hukuki yükümlülük kapsamındadır.
Hayır. VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK'nın 16. maddesi kapsamında Türkiye'deki veri sorumlularının yükümlülüğüdür ve yalnızca Türk hukukuna yöneliktir. GDPR uyumu için AB üye devletinde yetkili Veri Koruma Otoritesi'ne (DPA) bildirim ya da AB temsilcisi ataması gibi ayrı mekanizmalar gerekir.
GDPR Madde 27 gereği AB'de yerleşik bireylerin verilerini işleyen ve AB'de kuruluşu bulunmayan her şirket, bir AB temsilcisi atamak zorundadır. Bu yükümlülüğün ihlali başlı başına idari para cezasına yol açar; üstelik DPA'lar bu temsilci aracılığıyla size ulaşabilir; temsilci yoksa doğrudan e-posta kampanyanızı durdurmanızı emreden bir ihtiyati tedbir kararı gündeme gelebilir.
Türkiye AB üyesi olsaydı KVKK, GDPR ile doğrudan çatışan hükümler bakımından AB tüzüğünün önceliği nedeniyle uygulanamaz hale gelirdi. Ancak Türkiye'nin AB üyeliği süreci günümüz itibarıyla askıya alınmış durumdadır; bu nedenle iki sistemin eş zamanlı uygulandığı mevcut tablo öngörülebilir gelecekte değişmeyecektir.
Evet; eğer ihlalin kapsadığı veriler hem Türk hem AB'li bireylere aitse her iki otoriteye de ayrı bildirim yapmanız gerekir. GDPR Madde 33 ihlali öğrenmekten itibaren 72 saat içinde ilgili DPA'ya bildirmeyi zorunlu kılar. KVKK ise "en kısa sürede" ifadesini kullanır; KVKK Kurumu'nun kamuoyu kararları 3–5 gün içinde bildirimi standart olarak benimsemiştir.
Evet. GDPR Madde 28 kapsamında e-postalarınızı gönderen her ESP bir veri işleyendir ve sizinle yazılı bir Veri İşleme Sözleşmesi (Data Processing Agreement — DPA) imzalamalıdır. Bu sözleşme işlemenin kapsamını, süresini, güvenlik önlemlerini ve alt işleyen kullanım koşullarını içermelidir. KVKK açısından da benzer bir düzenleme Madde 12 çerçevesinde öngörülmektedir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.