V
VeriUyum
8 dk okumaVeriUyum Ekibi

KVKK Aydınlatma Metni Nasıl Hazırlanır? Adım Adım Rehber

KVKK m.10 kapsamında zorunlu aydınlatma metni nasıl yazılır? Olması gereken unsurlar, sık yapılan hatalar, adım adım hazırlama süreci ve örnek metin.

KVKKAydınlatma MetniBelgeMevzuat

KVKK uyumluluğunda en sık karşılaşılan ve en sık eksik kalan belge: aydınlatma metni. Kişisel Verilerin Korunması Kurulu'nun yayımladığı kararlara bakıldığında, ceza alan firmaların büyük çoğunluğunda aydınlatma metni ya hiç yok, ya çok genel, ya da zorunlu unsurları içermiyor.

Bu rehber KVKK m.10'a göre aydınlatma metninin ne içermesi gerektiğini, sık yapılan hataları ve sıfırdan adım adım nasıl hazırlanacağını açıklıyor. Sonunda örnek bir metnin temel bölümlerini de bulacaksınız.

Aydınlatma metni nedir?

Aydınlatma metni, kişisel veri toplanırken veri sahibine bilgi verme yükümlülüğünün yazılı karşılığıdır. KVKK m.10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (10.03.2018, R.G. 30356) bu yükümlülüğün çerçevesini çiziyor. Buna göre veri sorumlusu (yani veriyi işleme amacını ve aracını belirleyen şirket) kişisel veriyi toplarken veri sahibini şu konularda bilgilendirmek zorundadır:

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11. maddede sayılan diğer hakları.

Bu beş başlık metnin iskeletidir. Bunlardan biri eksikse Kurul nezdinde metin "aydınlatma" sayılmaz ve para cezasına konu olabilir.

Açık rıza ile aydınlatma karıştırılmamalı

Bu, en sık yapılan hatalardan biri. Kısaca:

  • Aydınlatma metni: Kişisel veriyi işlerken bilgi vermenin yöntemi. Onay gerektirmez — şirketin tek taraflı yükümlülüğüdür. Veri sahibi "okudum" demek zorunda değil; metnin veri toplama anından önce ve veri sahibinin kolayca ulaşabileceği şekilde sunulması yeterli (Aydınlatma Tebliği m.5).
  • Açık rıza metni: İşleme için m.5/2'deki diğer hukuki sebeplerden hiçbiri uygulanamadığında veya kanunen açık rızanın özel olarak gerektiği hallerde ek bir hukuki sebep olarak istenir. Tipik örnekler: ticari elektronik ileti onayı (6563 sayılı E-Ticaret Kanunu m.6 kapsamında, KVKK'dan ayrı bir rejim), pazarlama amaçlı profilleme, çerez tabanlı davranışsal reklamcılık. Açık rıza özgür iradeyle, bilgilendirilmiş ve belirli bir konuya ilişkin olmalı; veri sahibi istediği zaman geri alabilmeli (KVKK m.3/1-a, Açık Rıza Rehberi).

İletişim formuna "KVKK metnini okudum, kabul ediyorum" tek bir kutu eklemek — ikisi arasındaki sınırı çiğnemenin klasik yolu. Aydınlatma için onay almaya gerek yok; gerek olduğu yerde (pazarlama izni gibi) açık rıza için ayrı bir kutu lazım.

Aydınlatma metnine olması gereken 5 unsur

KVKK m.10'un saydığı bilgilerin pratik karşılıkları:

1) Veri sorumlusunun kimliği

Kim veriyi işliyor? Şirket adı, ticaret sicil bilgisi (varsa), MERSİS numarası, iletişim e-postası ve adres. "Web sitemiz tarafından" gibi kişiliksiz ifadeler yetmiyor — somut, tanımlanabilir bir tüzel kişi gerekiyor.

2) İşleme amacı

Veriyi neden topluyorsunuz? "Hizmet sunmak için" gibi tek satırlık ifadeler yetersiz. Her veri kategorisi (iletişim verisi, müşteri verisi, kullanım verisi) için somut amaç yazılmalı: "iletişim formuyla gönderilen e-posta adresi, soruyu yanıtlamak ve takibini yapmak amacıyla işlenir".

3) Aktarılan taraflar ve aktarım amacı

Veriyi başkasıyla paylaşıyor musunuz? Bunu kategori bazında belirtin:

  • "Ödemenin işlenmesi için ödeme hizmeti sağlayıcısı (Iyzico, Stripe vb.)"
  • "Hosting altyapısı için bulut servis sağlayıcısı (AWS, Azure, Vercel vb.)"
  • "E-posta gönderimi için mail servisi sağlayıcısı (Resend, SendGrid vb.)"

Yurt dışına aktarım varsa (Vercel, Stripe, Google Analytics gibi servisler zaten yurt dışı) bunun ayrıca belirtilmesi gerekir. 7499 sayılı Kanun ile 01.06.2024'te değişen KVKK m.9'a göre yurt dışı aktarımın aşağıdaki güvencelerden birine dayanması gerekir:

  • Kurul'un yayımlayacağı yeterli koruma kararı,
  • Kurul tarafından ilan edilen standart sözleşme (m.9/4-c — Karar 04.06.2024, 2024/959 ile dört adet metin yayımlandı),
  • Kurul tarafından onaylanan bağlayıcı şirket kuralları (BŞK),
  • Kurul izinli taahhütname.

m.9/6'daki arızi haller (tek seferlik, açık rıza dahil) yalnızca istisnai durumlar için geçerli — sürekli aktarımın asli yolu değil.

4) Toplama yöntemi ve hukuki sebep

Yöntem: Web sitesi formu mu, çerez mi, çağrı merkezi mi, fiziksel kâğıt mı?
Hukuki sebep: KVKK m.5'in saydığı yedi sebepten hangisi (m.5/1 açık rıza

  • m.5/2'nin a-f bentleri)?
  • Açık rıza (m.5/1),
  • Kanunlarda açıkça öngörülmesi (m.5/2-a),
  • Fiili imkânsızlık halinde kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (m.5/2-b),
  • Sözleşmenin kurulması veya ifası için gerekli olması (m.5/2-c),
  • Veri sorumlusunun hukuki yükümlülüğünün yerine getirmesi (m.5/2-ç),
  • İlgili kişinin alenileştirmesi (m.5/2-d),
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (m.5/2-e),
  • Veri sorumlusunun meşru menfaati (m.5/2-f — ilgili kişinin haklarını ihlal etmemek şartıyla).

Her amaç için en az bir hukuki sebep göstermek gerekiyor. "Açık rıza alındı" demeyi alışkanlık haline getirmek tehlikeli — pek çok işleme zaten sözleşmenin ifası veya meşru menfaat sebebine dayanır.

5) Veri sahibinin hakları (m.11)

Aydınlatma metninin sonunda m.11'de sayılan hakların listelenmesi gerekiyor. Veri sahibi:

  • Kişisel verisinin işlenip işlenmediğini öğrenme,
  • İşleniyorsa bilgi talep etme,
  • Amacı ve aktarım kapsamını öğrenme,
  • Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme,
  • Eksik/yanlış işlenmişse düzeltilmesini isteme,
  • Şartları varsa silinmesini/yok edilmesini isteme,
  • Düzeltme/silme/yok etme talebinin aktarılan üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Hukuka aykırı işlemeden zarar görürse zararın tazminini isteme.

Bunları liste halinde ve iletişim adresi ile birlikte belirtmek metnin sonunu oluşturur.

En sık yapılan 6 hata

Kurul kararlarından derlediğimiz tipik problemler:

  1. Aydınlatma metni hiç olmaması. En kolay tespit, en sık ceza.
  2. Tek bir genel metin. Müşteri, çalışan adayı, ziyaretçi, çalışan — her kategori için ayrı amaç ve hukuki sebep olmalı. Tek bir "üst metin" m.10'u karşılamaz.
  3. Açık rıza ile aydınlatmayı karıştırmak. Yukarıda anlattığımız sınırı çiğnemek.
  4. Yurt dışı aktarımın gizlenmesi. "Üçüncü kişilerle paylaşılır" demek yetmiyor; yurt dışı ise mutlaka belirtilmeli.
  5. Belirsiz "vb." kullanımı. "Pazarlama, analiz, hizmet sunumu vb. amaçlarla" — Kurul'un kabul etmediği bir kalıp. Amaçlar somut ve sınırlı listelenmeli.
  6. Form yakınında metnin görünmemesi. Footer'da olmasının yetmediği, aktif veri toplama noktasında (form, e-bülten kutusu) doğrudan link olması gerektiği yönünde Kurul kararları mevcut.

Adım adım hazırlama

Adım 1: Veri haritasını çıkarın

Hangi noktalarda veri topluyorsunuz?

  • İletişim formu → ad-soyad, e-posta, mesaj
  • E-bülten → e-posta
  • Sipariş → ad-soyad, adres, telefon, ödeme bilgisi
  • Sunucu logları → IP, tarayıcı, ziyaret zamanı
  • Çerezler → analytic ID, tercih bilgisi

Her satır için amaç + hukuki sebep + saklama süresi + aktarılan taraflar sütunlarını doldurun. Bu tabloya kişisel veri işleme envanteri denir (Veri Sorumluları Sicili Hakkında Yönetmelik m.4/1-h); aydınlatma metnine girdi sağlar ve VERBİS bildirimi için zorunludur.

Adım 2: Veri sorumlusu kimliği bölümünü yazın

Şirket adı, ticari unvan, vergi numarası (isteğe bağlı), adres, KEP/e-posta, varsa irtibat kişisi.

Adım 3: Amaçlar ve hukuki sebep bölümünü yazın

Adım 1'den çıkardığınız tabloya bakarak her veri kategorisi için bir paragraf yazın. Şablon:

"[Veri kategorisi], [amaç 1], [amaç 2] ve [amaç 3] amaçlarıyla, [hukuki sebep] hukuki sebebine dayalı olarak işlenmektedir."

Adım 4: Aktarım bölümünü yazın

Hangi servis kategorilerine veri aktarılıyor? Yurt içi mi yurt dışı mı?

Adım 5: Yöntem bölümünü yazın

Web formları, çerezler, çağrı merkezi, fiziksel doküman — hangi yollarla veri topluyorsunuz?

Adım 6: Haklar bölümünü ekleyin

m.11 listesini ve başvuru kanalını (e-posta veya KEP).

Adım 7: Yayınlayın ve link verin

  • Footer'a link.
  • Formların yakınına link.
  • E-bülten kutusunun yakınına link.
  • Açık rıza kutusu olan yerlerde rıza metninin içinde link.

Örnek metin (kısa şablon)

Tamamı değil — yapıyı görmek için kısa bir örnek:

[Şirket Adı] ("Şirket"), [adres] adresinde mukim, [vergi no/sicil no] sicil numaralı veri sorumlusudur.

Web sitemiz üzerinden iletilen iletişim formu verileri (ad, soyad, e-posta, mesaj içeriği), tarafımıza iletilen sorulara yanıt verilmesi ve gerekli hâllerde takibinin yapılması amacıyla, KVKK m.5/2-c (sözleşmenin kurulması veya ifası için gerekli olması) hukuki sebebine dayalı olarak işlenmektedir.

Söz konusu veriler; e-posta gönderim altyapısı için Resend (yurt dışı AB merkezli), barındırma için Vercel Inc. (yurt dışı – ABD) ve oturum izleme için Google Analytics (yurt dışı – ABD) ile paylaşılmaktadır. Yurt dışı aktarımlar, KVKK m.9/4-c kapsamında Kurul tarafından ilan edilen standart sözleşmenin ilgili sağlayıcılarla imzalanması ve 5 iş günü içinde Kurul'a bildirilmesi suretiyle gerçekleştirilmektedir.

Veri sahibi olarak KVKK m.11 kapsamında [haklar listesi] haklarını kullanmak için kvkk@[domain] adresine başvurabilirsiniz.

Bu sadece çatı. Sizin işinize özgü amaçlar ve hukuki sebepler eklendiğinde metnin uzunluğu artar.

Hızlı yol: otomatik üretim

Aydınlatma metnini sıfırdan yazmak — şirketinizdeki tüm veri akışını çıkarmak, hukuki sebepleri eşleştirmek, yurt dışı aktarımları ayrı belirtmek — ortalama 2-3 günlük iş. Hukuk müşaviri ile yaptırılması durumunda maliyet pazarlık ve kapsama bağlı olarak değişir; piyasada genellikle dört haneli rakamlardan başlar.

VeriUyum, KVKK m.10'un saydığı tüm unsurları içeren, şirketinize özgü aydınlatma metnini 5 dakikalık bir anketle üretir. Anket cevaplarınız metne otomatik işlenir; her amaç için doğru hukuki sebep eşleştirilir; yurt dışı aktarımlar otomatik tespit edilir. Sonuç: anında yayınlanabilir, hem PDF hem de barındırılan sayfa olarak.

Ücretsiz hesap açıp aydınlatma metni anketine başlayın — ilk metniniz birkaç dakikada hazır olur. Web sitenizin mevcut KVKK durumunu önce görmek isterseniz ücretsiz tarayıcı iyi bir başlangıçtır.

Bilgilendirme: Bu içerik genel bilgilendirme amaçlıdır, hukuki tavsiye niteliği taşımaz. Somut vakalarınız için lisanslı hukuk müşaviriniz ile çalışmanızı öneririz.