Zeki DemirciFikri Mülkiyet Hukuku

MAKALE

KVKK ve Dijital Reklam: Türk Hukukunda Veri Korumalı Pazarlamanın Genel Çerçevesi

Kişisel verilerin dijital pazarlama ve reklam amacıyla işlenmesinin Türk hukuku karşısındaki çerçevesi; KVKK, ETK, Ticari Reklam Yönetmeliği ve İYS kesişimindeki temel kurallar.

·kisisel-verilerin-korunmasi·KVKK ve Dijital Reklam
Hukuk editör nişanı
ZD
Av. Zeki DemirciFikri ve Sınai Mülkiyet Hukuku

Dijital reklam ve dijital pazarlama, müşteriye ulaşmak için kişisel verinin kullanımına dayanır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK); bu kullanımın hukuki çerçevesini belirler. Bu makale; KVKK, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK), Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği ve İleti Yönetim Sistemi (İYS) düzenlemelerinin dijital reklam alanındaki kesişim noktalarını sistematik biçimde analiz eder1.

I. Düzenleyici Çerçevenin Üç Katmanı

Dijital reklam hukuku üç düzenleyici katmandan oluşur. Birinci katman KVKK: kişisel verinin işlenmesinin hukuki temelini, ilkelerini ve veri sahibi haklarını düzenler. İkinci katman ETK: elektronik ticari iletilerin gönderim kurallarını ve İYS sistemini düzenler. Üçüncü katman Ticari Reklam Yönetmeliği: reklamın dürüstlük, doğruluk ve tüketici aydınlatması bakımından maddi içerik kurallarını belirler. Bu üç katman, dijital reklam dosyasında paralel olarak uygulanır; biri diğerinin yerine geçmez.

II. KVKK'nın Reklam Bağlamındaki Temel Hükümleri

Reklam ve dijital pazarlama bağlamında KVKK'nın dört merkezi hükmü vardır.

KVKK md. 4 genel ilkeleri belirler: hukuka uygunluk, doğruluk, belirli ve meşru amaç, ilgili, sınırlı ve ölçülü olma, gerekli süreyle muhafaza. Reklam amacıyla işlenen verinin tüm bu ilkelere uyması gerekir; veri sahibinden alınan onayın sınırsız ve süresiz olduğu varsayımı geçersizdir.

KVKK md. 5 işleme şartlarını sıralar: açık rıza, kanunda öngörülme, sözleşmenin ifası, hukuki yükümlülük, alenileştirme, hakkın tesisi/kullanılması ve meşru menfaat. Dijital pazarlama bağlamında en sık kullanılan iki hukuki temel; açık rıza ve meşru menfaattir. Hangi temele dayanılacağı; işleme amacının niteliğine ve veri sahibinin makul beklentilerine göre belirlenir2.

KVKK md. 6 özel nitelikli verilerin işlenmesini düzenler. Sağlık, din, cinsel yaşam, biyometrik ve genetik veriler kural olarak yalnızca açık rıza ile işlenebilir. Dijital pazarlamada bu kategoriler özel dikkat gerektirir.

KVKK md. 11 veri sahibi haklarını listeler. Profilleme ve otomatik karar verme bakımından md. 11/g hükmü, GDPR md. 22 ile paralel niteliktedir; veri sahibi, kendisini olumsuz etkileyen otonom kararlara itiraz hakkına sahiptir. Konunun ayrıntısı için dijital profilleme ve otomatik karar verme makalesini inceleyebilirsiniz.

III. Açık Rıza ve Meşru Menfaat: Hangi Hâlde Hangisi?

Açık rıza; özgür iradeyle, bilgilendirilerek ve belirli bir konuya ilişkin verilen onaydır (KVKK md. 3/1-a). Meşru menfaat; veri sorumlusunun temel hak ve özgürlüklerine zarar vermeyen, makul beklentiler dâhilindeki işleme temelidir (KVKK md. 5/2-f).

Dijital pazarlama bağlamında açık rıza, kişiye özel reklam ileti gönderimi için zorunludur (ETK md. 6 ile birlikte değerlendirildiğinde). Meşru menfaat ise genel pazar araştırması, segmentasyon analizi ve site içi davranışsal analitik gibi veri sahibini doğrudan tanımlamayan veya makul beklentileri aşmayan işleme amaçları için kullanılabilir3.

Pratikte üç adımlı bir test uygulanır: (i) veri sahibinin makul beklentisi içinde mi, (ii) işleme amacı ölçülü mü, (iii) veri sahibinin hak ve özgürlüklerinden daha ağır basan bir menfaat var mı. Bu test, KVKK Kurulu'nun yerleşik yaklaşımıyla paralel niteliktedir.

IV. ETK ve İleti Yönetim Sistemi (İYS)

ETK md. 6; elektronik ticari iletilerin gönderilmesinin ön şartı olarak alıcının önceden onayını arar. Bu onay; özgür, bilgili ve yazılı veya elektronik onaylı biçimde alınmış olmalıdır.

İYS, Ticaret Bakanlığı gözetiminde işletilen ulusal bir izin yönetim sistemidir. İletiyi gönderen Hizmet Sağlayıcı; gönderim öncesinde İYS'ye bağlanıp alıcının izin durumunu kontrol etmek zorundadır. İzni bulunmayan alıcılara iletiyi göndermek; idari para cezası ve veri sahibi şikâyetine zemin oluşturur.

İYS'nin teknik ve hukuki çerçevesi için İYS ve elektronik ileti uyumu makalesini inceleyebilirsiniz.

V. Çerez (Cookie) Hukuku

Web sitelerinin ziyaretçi davranışını izlemek için kullandığı çerezler; KVKK md. 3/1-d kişisel veri tanımına girer (özellikle reklam ve performans çerezleri). Türk hukukunda; AB ePrivacy Direktifi (2002/58/EC) ile paralel müstakil bir çerez düzenlemesi henüz yoktur; ancak KVKK Kurulu rehberleri ve idari kararları, önceden bilgilendirme + açık rıza yaklaşımını teyit eder.

Çerez hukukunun ayrıntılı analizi için çerez (cookie) hukuku makalesini inceleyebilirsiniz.

VI. Aydınlatma Yükümlülüğü

KVKK md. 10 aydınlatma yükümlülüğünü düzenler. Veri sorumlusu, kişisel veri işlerken; veri sorumlusunun kimliği, işleme amacı, aktarım taraflar ve veri sahibi haklarını açık biçimde bildirmekle yükümlüdür. Dijital reklam bağlamında aydınlatma metni; web sitesi alt linki, çerez başlığı, mobil uygulama ilk açılış ekranı ve form doldurma sayfasında erişilebilir olmalıdır.

Aydınlatma metninin operasyonel hazırlığı için KVKK aydınlatma metni rehberini inceleyebilirsiniz.

VII. Ticari Reklam Yönetmeliği Çerçevesi

Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği md. 5; reklamın dürüst, doğru ve yanıltıcı olmaması ilkesini düzenler. Dijital reklam bağlamında bu ilke; algoritma destekli kişiye özel reklam, AB Adalet Divanı Schrems II sonrası sınır ötesi veri transferleri ve influencer marketing'in gizli reklam riski gibi çağdaş konularda devreye girer.

Yargıtay 11. Hukuk Dairesi'nin 01.10.2025 tarihli E. 2025/1043 K. 2025/5854 sayılı kararı; karşılaştırmalı reklam bağlamında dürüstlük standardını ve tüketici algısı düzeyinde değerlendirmeyi sabit içtihat olarak teyit etmiştir. Kararın dijital pazarlama + KVKK kesişimindeki kıyasi uygulaması için dijital pazarlamada KVKK sorumluluk karar analizini inceleyebilirsiniz.

VIII. Sınır Ötesi Veri Transferi

Dijital reklam araçları çoğunlukla yurt dışına veri aktarımı gerektirir (örneğin Google Ads, Meta, TikTok). KVKK md. 9; yurt dışına aktarımı yeterli korumaya sahip ülkeler listesi, taahhütname veya açık rıza gibi temellere bağlar. Türkiye'nin yeterli koruma listesi sınırlıdır; uygulamada bağlayıcı şirket kuralları ve standart sözleşme klozları önemli rol oynar.

Dijital pazarlama operasyonlarının KVKK uyumu için dijital pazarlama KVKK uyum rehberini inceleyebilirsiniz.

IX. Yaptırım Rejimi

KVKK md. 17 cezai, md. 18 idari para cezası hükümlerini düzenler. İdari para cezaları; aydınlatma yükümlülüğünün ihlali, veri güvenliği eksikliği ve veri sorumlusu yükümlülüklerinin ihlali için ayrı kalemler hâlinde uygulanır. Periyodik olarak güncellenen ceza limitleri 2026 yılında ciddi miktarlara ulaşmaktadır. Buna ek olarak; ETK md. 12 idari para cezası ve TKHK md. 77 cezai yaptırımları paralel olarak işler.

X. Yetkili Kuruluşlar ve Karar Mercii

Üç ayrı kurul/yetkili merci, dijital reklam alanında karar verir.

Kişisel Verileri Koruma Kurulu (KVKK Kurulu); KVKK ihlalleri için soruşturma yürütür, idari para cezası uygular ve yerleşik kararlarıyla uygulama çerçevesini biçimlendirir.

Reklam Kurulu (Ticaret Bakanlığı bünyesinde); Ticari Reklam Yönetmeliği ihlalleri için yaptırım uygular, aylık karar bültenleriyle yerleşik uygulama çizgisini gösterir.

Ticaret Bakanlığı (İYS bağlamında); elektronik ticari ileti ihlalleri için yaptırım uygular ve İYS işletim kurallarını belirler.

Pratik bir kullanıcı sorusu için müşteriye SMS göndermenin yasallığı soru sayfasını inceleyebilirsiniz.

Sonuç

KVKK ve dijital reklam ilişkisi; tek bir mevzuat parçasının değil, üç düzenleyici katmanın eşzamanlı uygulanmasıyla şekillenir. İşletmenin uyumu; aydınlatma metnine, açık rıza yönetimine, İYS bağlantısına ve sınır ötesi veri transferi rejimine paralel olarak yatırım yapmasını gerektirir. Mevcut çerçeve; AB GDPR ve ePrivacy düzenlemeleriyle önemli paraleller taşır, ancak müstakil Türk uygulamasının kendine özgü detayları bulunmaktadır.

Kaynakça

Mevzuat

6698 sayılı KVKK md. 3, 4, 5, 6, 9, 10, 11, 17, 18. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun md. 6, 12. 6502 sayılı TKHK md. 61, 62, 77. Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği md. 5, 7, 8. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik.

İçtihat

Yargıtay 11. Hukuk Dairesi, 01.10.2025, E. 2025/1043 K. 2025/5854 sayılı karar (karşılaştırmalı reklamda dürüstlük standardı; dijital reklam + KVKK kesişiminde kıyasi uygulanır).

Doktrin ve Uluslararası Belgeler

Şükrü KIZILOT / Mehmet ATALAY, Kişisel Verilerin Korunması Hukuku. Türker SAVAŞ / Hasan KAPLAN, KVKK Şerhi. Regulation (EU) 2016/679 (GDPR). Directive 2002/58/EC on Privacy and Electronic Communications (ePrivacy). Avrupa Birliği Adalet Divanı, Schrems II, C-311/18.

Dipnotlar

  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu, RG 07.04.2016/29677; 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, RG 05.11.2014/29166.

  2. Şükrü Kızılot / Mehmet Atalay, Kişisel Verilerin Korunması Hukuku; açık rıza ve meşru menfaat arasındaki ayrım, KVKK Kurulu rehberlerinin doktrindeki yansıması.

  3. KVKK Kurulu'nun rehber niteliğindeki yerleşik yaklaşımı; meşru menfaat temelinin makul beklenti testi ile sınırlandırılması.

İlgili İçerikler

Rehber

Dijital Pazarlama KVKK Uyum Rehberi: Sekiz Aşamalı Operasyonel Akış

Rehber

KVKK Aydınlatma Metni Hazırlama Rehberi: Yedi Asgari Unsur ve Pratik Şablon

Makale

Çerez (Cookie) Hukuku: KVKK Çerçevesinde Web Sitesi İzleme Verilerinin Hukuki Rejimi