Dijital Pazarlama KVKK Uyum Rehberi: Sekiz Aşamalı Operasyonel Akış

Dijital pazarlama operasyonu; KVKK, ETK ve Reklam Yönetmeliği'nin üçlü kesişiminde işler. Bu rehber; bir pazarlama kampanyasının fikir aşamasından raporlama ve arşivlemeye kadar uzanan sekiz aşamalı uyum akışını operasyonel düzlemde ele alır. Her aşamada; ilgili hukuki dayanak, kontrol noktaları ve tipik hatalar belirtilir¹.

I. Aşama 1: Kampanya Tasarımı ve Veri İhtiyaç Analizi

Pazarlama kampanyasının ilk aşaması; kampanya hedefinin ve veri ihtiyacının tanımlanmasıdır. Bu aşamada üç temel soru cevaplanmalıdır.

Birinci soru: kampanya hedef kitlesi kimdir? Mevcut müşteriler, potansiyel müşteriler, segmentli alt gruplar veya genel kitle olarak tanımlanır.

İkinci soru: hangi veriler işlenecek? İletişim verileri (telefon, e-posta), davranışsal veriler (satın alma geçmişi, ziyaret), demografik veriler veya konum verileri.

Üçüncü soru: hangi kanallar kullanılacak? SMS, e-posta, web push, sosyal medya reklamı, dijital ortam reklamı, mobil uygulama bildirimi.

Bu aşamada KVKK md. 4 ilkeleri gözetilir. Özellikle md. 4/2-c (amaca uygun olma) ve md. 4/2-d (ölçülülük) ilkeleri; veri ihtiyaç analizinin titiz yapılmasını gerektirir. Aşırı veri toplama tasarımı; başlangıçtan itibaren uyumsuzluk oluşturur.

II. Aşama 2: Hukuki Temel Seçimi

Veri işlemenin hukuki temeli; KVKK md. 5 hükümleri arasından seçilir. Dijital pazarlama bağlamında üç temel öne çıkar.

Birinci temel: açık rıza (KVKK md. 5/1). Davranışsal reklam, profilleme, üçüncü taraf veri paylaşımı ve özel nitelikli veri işleme için tipik seçim.

İkinci temel: meşru menfaat (KVKK md. 5/2-f). Mevcut müşteri ilişkisinde benzer ürün/hizmet tanıtımı, dolandırıcılık önleme amaçlı işlemeler için kullanılabilir; ancak veri sahibinin hak ve özgürlüklerine aykırı olmama şartını taşımalıdır.

Üçüncü temel: sözleşmenin ifası (KVKK md. 5/2-c). Sözleşmenin gereği işleme; örneğin sipariş bildirimi, kargo takibi için işleme.

ETK md. 6 çerçevesinde elektronik ticari ileti için İYS onayı da ayrıca alınmalıdır. KVKK temeli ile İYS onayı; iki başlı bir izin sistemi olarak yönetilir.

ETK ve İYS rejiminin teknik uygulaması için İYS ve elektronik ticari ileti uyumu makalesini inceleyebilirsiniz.

III. Aşama 3: Veri Toplama ve Aydınlatma

Veri toplama anında veya hemen öncesinde aydınlatma yükümlülüğü yerine getirilmelidir. Bu aşamada üç pratik kontrol uygulanır.

Birinci kontrol: aydınlatma metni güncel mi? Kampanyada işlenen veri kategorileri, amaçlar ve aktarım tarafları aydınlatma metninde belirtilmiş olmalı.

İkinci kontrol: açık rıza ayrı belgelendirilmiş mi? Aydınlatma okunduğuna dair onay ile pazarlama amaçlı açık rıza; iki ayrı tıklama veya iki ayrı imza ile alınmalıdır.

Üçüncü kontrol: çerez politikası ayrı sunulmuş mu? Web sitesi üzerinden veri toplandığında; çerez banner'ı ile bilgilendirme ve seçim sunulmalıdır.

Aydınlatma metninin yedi asgari unsuru için KVKK aydınlatma metni rehberini inceleyebilirsiniz.

IV. Aşama 4: İzin Kaydı ve İYS İşleme

Alınan onaylar kayda alınmalıdır. Üç kayıt katmanı bulunur.

Birinci katman: KVKK açık rıza kaydı. Onayın tarihi, yapısı, IP, tarayıcı bilgisi, onay metni ve veri sahibi kimliği.

İkinci katman: İYS izni. Elektronik ticari ileti gönderilecekse; onay üç iş günü içinde İYS'ye işlenmek zorundadır.

Üçüncü katman: çerez onay kaydı. Çerez kategorileri bazında verilen onay; tarih ve IP ile kayda alınır.

Üç katman; birbirinden bağımsız veri tabanlarında tutulmalı; ancak veri sahibi kimliği üzerinden bağlantılı olmalıdır. Bir katmanda yapılan iptal; diğer katmanları otomatik olarak iptal etmez ve veri sahibi başvurusunda her katman için ayrı işlem yapılır.

V. Aşama 5: Reklam İçeriği ve Yaratıcı Üretim

Pazarlama içeriğinin yaratıcı üretimi; Reklam Yönetmeliği rejimine tâbidir. Üç temel kontrol noktası bulunur.

Birinci kontrol: Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği md. 5 dürüstlük ilkesi. Reklam içeriği; doğru, gerçeği yansıtan ve yanıltıcı olmayan bilgileri içermelidir.

İkinci kontrol: karşılaştırmalı reklam sınırlamaları. Rakip ürün/hizmet ile karşılaştırma yapılıyorsa; karşılaştırmanın objektif, somut ve doğrulanabilir verilere dayanması gerekir.

Üçüncü kontrol: gizli reklam ve örtülü reklam yasağı. Sosyal medya influencer içerikleri; "reklam" veya "sponsorlu" etiketiyle açıkça belirtilmelidir.

Yargıtay 11. HD'nin reklam dürüstlüğü standardı; reklamın bütünsel izlenim üzerinden değerlendirilmesini gerektirir. Karşılaştırmalı reklam ve haksız ticari uygulama kararları; reklam içeriği üretim süreçlerinin tasarımına doğrudan yön verir.

VI. Aşama 6: Hedefleme ve Profilleme

Kişiselleştirilmiş reklam ve hedefleme uygulamaları; KVKK md. 5 hukuki temeline ve md. 4 ilkelerine ek olarak iki özel kontrol noktasını gerektirir.

Birinci nokta: profilleme aydınlatması. Otomatik karar verme veya profilleme uygulaması varsa; aydınlatma metni bunu açıkça belirtmeli ve KVKK md. 11/g itiraz hakkını sağlamalıdır.

İkinci nokta: üçüncü taraf reklam ağları. Google Ads, Meta Pixel, TikTok Pixel gibi üçüncü taraf araçlar; veri işleyen veya birlikte veri sorumlusu konumundadır. Sözleşmesel düzenleme ve aydınlatma metninde belirtme zorunludur.

Profilleme rejiminin kavramsal çerçevesi için dijital profilleme ve otomatik karar verme makalesini inceleyebilirsiniz.

VII. Aşama 7: Gönderim ve Kanal Yönetimi

Kampanyanın gönderim aşaması; kanala özgü kurallara tâbidir.

SMS ve e-posta için: ETK md. 6 önceden onay ilkesi; her ileti gönderiminden önce İYS sorgulaması; ileti içinde gönderici kimliği ve reddetme yönergesi; üç yıl süreyle kayıt tutma.

Web push için: tarayıcı API'sinin teknik onayına ek olarak KVKK md. 5 hukuki temeli; reddetme imkânının kolay erişilebilir olması.

Sosyal medya reklamı için: platform politikalarına uyum, hedefleme kriterlerinin reklam yönetmeliğine uygunluğu, "sponsorlu içerik" etiketinin doğru kullanımı.

Mobil uygulama bildirimi için: cihaz onayı ile KVKK açık rıza arasındaki ayrım; sıklık ve içerik kontrolü.

VIII. Aşama 8: Raporlama, İzleme ve Arşivleme

Kampanya sonrası raporlama; üç boyutta yapılır.

Birinci boyut: kampanya performansı. Gönderim, açılma, tıklama, dönüşüm verileri analiz edilir; ancak bu analiz veri sahibi kimliğiyle değil agregat seviyede yapılır.

İkinci boyut: uyum kayıtları. Onay kayıtları, İYS sorgulama kayıtları, çerez onay kayıtları, aydınlatma metni versiyonu ve gönderim kayıtları; üç yıl süreyle saklanır.

Üçüncü boyut: itiraz ve şikâyet kayıtları. Veri sahibinin reddetme talepleri, KVKK md. 11 başvuruları ve şikâyetler; tarih, yanıt süresi ve sonuç ile birlikte kayda alınır.

KVKK md. 18 idari para cezası yaptırımı; uyum kayıtlarının yetersizliği veya hiç tutulmamış olması durumunda doğrudan uygulanır. ETK md. 12 yaptırımı ise; her ihlal için ayrı uygulanır ve büyük kampanyalarda toplam tutar yüksek olabilir.

IX. Sorumluluk Haritası: Beş Aktör

Dijital pazarlama operasyonunda beş tipik aktör bulunur ve her birinin hukuki konumu farklıdır.

İlk aktör: veri sorumlusu (marka/işletme sahibi). KVKK md. 3 tanımıyla; kişisel veri işleme amaç ve vasıtalarını belirleyen taraf.

İkinci aktör: veri işleyen (ajans, CRM sağlayıcı, e-posta servis sağlayıcı). KVKK md. 12 uyarınca; veri sorumlusunun talimatları doğrultusunda işleme.

Üçüncü aktör: birlikte veri sorumlusu (reklam ağı, ortak kampanya yürüten taraflar). KVKK'da müstakil tanım olmamakla birlikte doktrinde kabul gören; veri işleme amaç ve vasıtalarına birlikte karar veren taraflar.

Dördüncü aktör: hizmet sağlayıcı (ETK md. 5 ve İYS rejimi). Elektronik ticari ileti gönderen tüzel veya gerçek kişi.

Beşinci aktör: yayıncı/dağıtıcı (sosyal medya platformu, web sitesi yayıncısı). Reklam içeriğini sergileyen taraf; kendi KVKK ve platform sorumlulukları altındadır.

Aralarındaki sorumluluk ilişkisi; veri işleme sözleşmesi veya birlikte sorumluluk düzenlemesi ile yazılı olarak belirlenmelidir.

X. Sınır Ötesi Veri Boyutu

Pazarlama teknolojileri (martech) ekosisteminin büyük bölümü yurt dışı sunucular kullanır. Bu durumda KVKK md. 9 sınır ötesi aktarım hükümleri uygulanır.

Üç temel uyum aracı vardır.

Birinci araç: yeterli korumaya sahip ülkeler listesi. KVKK Kurulu'nun yayınladığı liste güncel takip edilmelidir.

İkinci araç: taahhütname. Yurt dışı alıcının veri korumasına ilişkin yazılı taahhüdü.

Üçüncü araç: açık rıza. Veri sahibinin sınır ötesi aktarımı bilgilendirilmiş biçimde kabul etmesi.

ABD merkezli reklam ağları (Google, Meta, TikTok) için Schrems II sonrası AB-ABD ilişkilerinde getirilen ek güvencelerin Türk hukuku karşısındaki konumu doktrinde tartışmalıdır.

XI. Yıllık Uyum Denetim Çerçevesi

Dijital pazarlama uyumunun yıllık denetimi; sekiz başlık altında gerçekleştirilebilir.

Başlık 1: aydınlatma metni güncelliği kontrolü. Başlık 2: çerez envanteri ve banner doğrulaması. Başlık 3: İYS izin tabanı temizliği ve güncel sorgulama denetimi. Başlık 4: veri işleme sözleşmelerinin (DPA) güncelliği. Başlık 5: yurt dışı aktarım güvencelerinin gözden geçirilmesi. Başlık 6: profilleme ve otomatik karar süreçlerinin DPIA güncellemesi. Başlık 7: veri sahibi başvuru kayıtlarının istatistik analizi. Başlık 8: ihlal ve veri sızıntısı senaryolarının tatbikatı (KVKK md. 12 ihlal bildirimi).

Sonuç

Dijital pazarlama operasyonunun KVKK, ETK ve Reklam Yönetmeliği üçlüsünde uyumu; sekiz aşamalı bir operasyonel akıştır. Her aşamanın kendi hukuki dayanağı, kontrol noktası ve tipik hatası bulunur. Üç katmanlı izin yönetimi, beş aktörlü sorumluluk haritası ve yıllık denetim disiplini; sürdürülebilir uyumun temelidir. Tek bir ihlal; KVKK, ETK ve Reklam Yönetmeliği yaptırımlarının üçü birden uygulanmasına yol açabilecek kümülatif risk taşır.

Dijital pazarlama bağlamında bir yargı kararı analizi için dijital pazarlama KVKK sorumluluk karar analizi sayfasını; pratik bir kullanıcı sorusu için müşteriye SMS göndermenin yasallığı soru sayfasını inceleyebilirsiniz.

Kaynakça

Mevzuat

6698 sayılı KVKK md. 3, 4, 5, 6, 9, 10, 11, 12, 13, 17, 18. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun md. 5, 6, 12. Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik. Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği md. 5. 6502 sayılı TKHK md. 61, 62, 77.

İçtihat

Yargıtay 11. Hukuk Dairesi, 01.10.2025, E. 2025/1043 K. 2025/5854 sayılı karar (reklam dürüstlüğü standardı).

Doktrin ve Uluslararası Belgeler

Şükrü KIZILOT / Mehmet ATALAY, Kişisel Verilerin Korunması Hukuku. Regulation (EU) 2016/679 (GDPR), m. 6, 7. Directive 2002/58/EC on Privacy and Electronic Communications (ePrivacy).

Dipnotlar

1. 6698 sayılı KVKK, RG 07.04.2016/29677; 6563 sayılı ETK, RG 05.11.2014/29166. ↩