V
VeriUyum
6 dk okumaVeriUyum Ekibi

Web Siteniz KVKK'ya Uyumlu mu? 2 Dakikada Ücretsiz Kontrol Edin

Web sitenizin KVKK uyumluluğunu kendiniz nasıl kontrol edersiniz? Manuel 5 hızlı test, otomatik tarayıcının ne fark yarattığı ve ücretsiz raporun adımları.

KVKKWeb sitesiTaramaÇerez

Bir web sitesi açmak, kişisel veri işlemeye başlamak demek. İletişim formundan gelen bir mesaj, Google Analytics'in toparladığı oturum verisi, kullanıcının IP adresinin sunucu loglarına yazılması — hepsi kişisel veri. KVKK m.5'e göre bu işlemenin meşru bir hukuki sebebi olmak zorunda; m.10'a göre kullanıcı bunun nasıl ve neden yapıldığını bilmek zorunda.

İyi haber: web sitenizin temel KVKK uyumluluğunu kabaca kendiniz, 5 dakikada test edebilirsiniz. Daha iyi haber: araba motorunun ne olduğunu öğrenmek için mekanik olmaya gerek olmadığı gibi, KVKK uyumluluğunu görmek için de avukat olmaya gerek yok. Bu yazıda manuel kontrol listesini ve ardından otomatik taramanın neden çok daha derine indiğini göstereceğiz.

5 hızlı manuel kontrol

Sitenizi açın, aşağıdaki beş kontrolü sırayla yapın. Her birinde "Hayır" cevabı çıkıyorsa orada bir uyumluluk açığı var demektir.

1) Aydınlatma metni linki var mı?

Genellikle footer'da "Aydınlatma Metni", "KVKK", "Gizlilik Politikası" gibi isimlerle bulunur. Yoksa KVKK m.10 ihlali — veri sorumlusu, kişisel veri toplarken kimliği, işleme amacını, hukuki sebebini, aktarılan tarafları ve veri sahibinin haklarını açıklamak zorundadır.

2) Çerez bannerı çıkıyor mu — ve doğru çıkıyor mu?

İlk ziyarette pazarlama / analitik çerezler kullanıcıdan rıza alınmadan yüklenmemeli. Çoğu siteyi ele veren tipik hata: banner gösteriliyor ama arka planda Google Analytics zaten yüklenmiş oluyor. Tarayıcının geliştirici araçlarında Network sekmesini açın, sayfayı yenileyin — banner tıklanmadan önce googletagmanager.com, google-analytics.com veya facebook.net çağrısı görüyorsanız bu, hem m.5 (hukuki sebebe dayanmayan işleme) hem de m.10 (aydınlatma yükümlülüğü) ihlali demektir.

3) Çerez bannerında "Reddet" düğmesi var mı?

KVKK m.3/1-a uyarınca açık rıza özgür iradeyle, bilgilendirilmiş ve belirli bir konuya ilişkin olmak zorunda. Kurul'un Haziran 2022'de yayımladığı Çerez Uygulamaları Hakkında Rehber ve 10.03.2022 tarih 2022/229 sayılı kararı, pazarlama ve performans çerezlerinin açık rıza ile yüklenmesi gerektiğini vurguluyor; rehberde "reddet" seçeneğinin "kabul" kadar erişilebilir olması iyi uygulama olarak gösteriliyor. Sadece "Kabul Et" sunan ya da "Reddet" düğmesi gizli/zor erişilebilir olan bir banner — özgür irade şartını karşılamadığı için Kurul tarafından geçerli açık rıza olarak değerlendirilmez.

4) HTTPS aktif mi?

Tarayıcının adres çubuğunda kilit simgesi olmalı. HTTPS olmadan iletilen veriler — örneğin iletişim formundaki ad-soyad, e-posta — KVKK m.12'nin gerektirdiği "veri güvenliği" tedbirine uymuyor demektir. 2026'da hâlâ HTTPS'siz çalışan ticari bir web sitesi, neredeyse kasıtlı bir ihmal.

5) İletişim formunun yanında "açık rıza" beyanı var mı?

KVKK Kurumu'nun Açık Rıza Rehberi'ne göre rızanın geçerli sayılabilmesi için kullanıcının bilinçli, özgür irade ile, belirli bir konuda onay vermesi gerekiyor. Bu yüzden iletişim formu otomatik onay kutusu ile (önceden işaretli) gönderilmemeli; veri sahibinin işaretlenmemiş kutuyu kendisi işaretlemesi ve metnin formun yakınında okunabilir olması gerekiyor. "Mesaj göndererek KVKK metnini kabul etmiş sayılırsınız" şeklindeki ifadeler — Rehber'in açıkça reddettiği "zımni rıza" modeli.

Manuel kontrolün yetmediği yerler

Beş hızlı kontrol size kabaca bir his verir. Ama gerçek hayatta KVKK ihlalleri çok daha derinde gizlenir. Manuel olarak göremeyeceğiniz yaygın açıklar:

  • Üçüncü taraf script'leri. Google Maps, YouTube embed, Stripe, Hotjar, TikTok Pixel — her biri ziyaretçi verisi toplar ve çoğu zaman site sahibinin haberi bile yoktur.
  • Form alanlarının fazlalığı. İhtiyaç dışı alan toplama (örneğin sadece iletişim için TC kimlik istemek) KVKK m.4/2-ç'deki "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesini (uygulamada "veri minimizasyonu") ihlal eder.
  • Sunucu güvenlik başlıkları. Strict-Transport-Security, Content-Security-Policy, X-Frame-Options gibi başlıklar yoksa veri güvenliği yükümlülüğü zayıftır.
  • Yorgun WordPress eklentileri. Eski, güncellenmeyen eklentiler veri sızıntısının en sık kapısı. Manuel olarak fark etmek neredeyse imkânsız.
  • Yurt dışı CDN, analytics veya hosting kullanımı. Ziyaretçi IP, log ve oturum verileri yurt dışı sunucularda işlendiği anda KVKK m.9 yurt dışı aktarım rejimine giriyor; uygun güvence (Kurul standart sözleşmesi, bağlayıcı şirket kuralları, taahhütname vb.) gerekiyor.

Otomatik tarama: neden daha derine iniyor?

VeriUyum'un ücretsiz tarayıcısı bu noktada devreye giriyor. Bir URL girersiniz, tarayıcı gerçek bir tarayıcı (headless Chromium) açar, sayfayı yükler, kullanıcı davranışını taklit eder. Şunları otomatik yakalar:

  • Tüm yüklenen çerezleri ve domain'lerini. "Hangi şirketin çerezi yüklendi" tablosu — ad-soyad eşleştirmesiyle.
  • Çerez bannerı çalışıyor mu testi. Banner tıklanmadan önce ve sonra hangi network çağrısının yapıldığını ölçer. "Banner kozmetik mi gerçek mi" sorusuna kanıtlı yanıt.
  • Tüm üçüncü taraf script'lerini. 200+ servisi tanıyan bir kütüphaneyle eşleştirme yapar — TikTok, Hotjar, Mixpanel, Sentry, Segment.
  • Güvenlik başlıklarını. HTTPS, HSTS, CSP, X-Content-Type-Options, Referrer-Policy — KVKK m.12 kapsamındaki teknik tedbirlerin görünür yüzü.
  • Olası SSRF / form açıkları. Otomatik yapılabilen güvenlik testleri.

Sonunda elinizde önceliklendirilmiş bir bulgu listesi olur: "Kritik / Yüksek / Orta / Bilgi" düzeyinde, her birinin hangi KVKK maddesine denk geldiği yazılı. Tek seferlik fotoğraf yerine eylem listesi.

Tarayıcıyı kullanmanın 4 adımı

  1. URL'nizi girin. sirket.com.tr formatı yeterli — https:// eklemenize gerek yok.
  2. 2 dakika bekleyin. Site arka planda yüklenir, tüm sayfa kaynakları, çerezler ve başlıklar analiz edilir.
  3. Raporu inceleyin. Bulgular kategori ve önem sırasına göre listelenir. Her bulgunun yanında KVKK maddesi referansı ve önerilen çözüm bulunur.
  4. (Opsiyonel) Belgelerinizi oluşturun. Aydınlatma metni, çerez politikası, açık rıza metni — Pro plana geçerek dakikalar içinde üretebilirsiniz.

Kayıt gerekmez. Sonuçlar sizinle kalır. Ücretsiz plan ayda 3 tarama hakkı verir — küçük bir site için yeterli.

Sık sorulan sorular

Tarayıcı sitemize zarar verir mi? Hayır. Sadece görüntüleyen kullanıcının yapacağı işlemleri taklit eder — herhangi bir form göndermez, login denemez, veritabanını test etmez. Tek bir kullanıcının sayfa yüklemesinden farksız trafik üretir.

Tarama sonuçları nereye kaydediliyor? Tarama anonim çalışır; sonuç sadece talep eden kullanıcıya gösterilir. Pro planda geçmiş takibi için kullanıcının hesabına bağlanır.

Manuel olarak da yapılabilir mi? Evet, ancak yukarıda saydığımız "üçüncü taraf script'leri" ve "güvenlik başlıkları" gibi kontroller geliştirici aletleri olmadan oldukça zaman alır. Otomatik tarama 2 dakikada yapılan iş, manuel olarak 1-2 saatlik bir denetim demek.

Pro plan zorunlu mu? Hayır. Tarama sonsuza kadar ücretsiz. Pro plan, belge üretimi, AI destekli çözüm önerileri ve barındırılan uyumluluk sayfaları için gerekli.

Sıradaki adım

Eğer sitenizin KVKK durumunu hiç görmemişseniz, başlamanın en hızlı yolu ücretsiz taramaktır. 17 milyon TL'ye kadar çıkan cezaları ve hangi davranışın hangi madde altında değerlendirildiğini detaylı incelemek için 2026 KVKK cezaları rehberini okuyabilirsiniz; aydınlatma metni eksikliklerini ve nasıl düzeltileceğini görmek için aydınlatma metni rehberi faydalı bir başlangıç noktası.

Bilgilendirme: Bu içerik genel bilgilendirme amaçlıdır, hukuki tavsiye niteliği taşımaz. Somut vakalarınız için lisanslı hukuk müşaviriniz ile çalışmanızı öneririz.