Web Sitesi GDPR Uyumu Nasıl Sağlanır? Çerez Onayı, Gizlilik Politikası, Veri Güvenliği ve Penetrasyon Testi

GDPR · KVKK · Web Sitesi Uyum · Çerez Yönetimi

Web Sitenizi GDPR Uyumlu Hale Getirme Rehberi

Ekonomi dijitalleşmeye devam ettikçe internet üzerinden giderek daha fazla veri aktarımı gerçekleşiyor. Bu büyümeyle birlikte siber suçlular; kredi kartı bilgileri, parolalar ve hatta yalnızca e-posta adresleri gibi kişisel verileri daha sık hedefliyor. Bu nedenle, kullanıcı verilerinin kötü niyetli kişilerden korunmasını güçlendiren veri koruma standartları; hem Avrupa Birliği’nde hem de küresel ölçekte kurumlar için temel bir uyum gündemi haline geldi.

Genel Veri Koruma Tüzüğü (GDPR), Avrupa vatandaşlarına hizmet sunan veya AB’de yaşayan kişilerin verilerini işleyen işletmelerin kullanıcı verilerini ne zaman, hangi amaçla ve hangi güvenlik tedbirleriyle işlemesi gerektiğini belirleyen düzenleyici bir çerçevedir. Türkiye’den Avrupa pazarına satış yapan e-ticaret siteleri, SaaS sağlayıcıları, ajanslar ve dijital platformlar için GDPR uyumu; yalnızca hukuki bir zorunluluk değil, aynı zamanda güven ve itibar yönetiminin de kritik bir parçasıdır.

GDPR Uyumuna Genel Bakış Uygulanabilir Kontrol Listesi

İçindekiler 1. GDPR Nedir ve Kimleri Kapsar? 2. Web Sitesi İçin Temel Uyum Bileşenleri 3. Uyumsuzluk Riskleri ve İhlal Senaryoları 4. Uyum Mimarisi: Politika, Süreç ve Teknik Kontroller 5. Web Sitesini GDPR Uyumlu Hale Getirme Adımları 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

GDPR: AB’de yaşayan kişilerin verilerini işleyen kuruluşlar için veri koruma çerçevesidir.
Temel gereklilikler: Şeffaf aydınlatma, açık/uygun rıza yönetimi, veri güvenliği, veri sahibi talepleri (DSAR), kayıt tutma.
Web sitesinde kritik alanlar: Gizlilik politikası, çerez banner/tercih paneli, formlar, analitik/marketing etiketleri, üçüncü taraflar.
Risk: Uyumsuzluk durumunda yüksek idari para cezaları, itibar kaybı ve sözleşmesel yaptırımlar ortaya çıkabilir.

Uyum; “metin eklemekten” öte, çerezler, etiket yönetimi, saklama ve güvenlik kontrolleri ile tamamlanır.

Gizlilik Politikası Çerez Onayı DSAR Süreci

Not: Bu içerik genel bilgilendirme amaçlıdır. Kurumunuzun sektörüne, hedef pazarına (AB ülkeleri) ve kullandığı üçüncü taraf teknolojilere göre GDPR uyum gereksinimleri değişebilir. Uygulama öncesinde hukuki ve teknik değerlendirme yapılması önerilir.

1. GDPR Nedir ve Kimleri Kapsar?

Avrupa Birliği tarafından kabul edilen GDPR, Mayıs 2018 itibarıyla yürürlüğe girmiştir ve işletmelerin/kuruluşların kullanıcı verilerini nasıl topladığını, hangi amaçla işlediğini, ne kadar süre sakladığını ve hangi üçüncü taraflarla paylaştığını düzenler. Web sitesi olan kuruluşlar; AB’de yaşayan kişilerin verilerini işliyorsa, veri işleme faaliyetleri hakkında şeffaf bilgi vermek ve mevzuatın öngördüğü güvenlik ve süreç tedbirlerini uygulamakla yükümlüdür.

Uygulamada GDPR kapsamı; yalnızca “AB’de şirketim var mı?” sorusuyla sınırlı değildir. Türkiye’de yerleşik bir işletme; AB ülkelerine ürün/hizmet sunuyor, AB’deki kullanıcıları hedefleyen reklam/analitik yürütüyor veya AB’de yaşayan kişilerin verilerini herhangi bir şekilde işliyorsa (ör. e-ticaret, SaaS, üyelik sistemi, bülten aboneliği), GDPR yükümlülükleri gündeme gelebilir.

Uyumsuzluk Riski Neden Yüksek?

GDPR, ihlalin niteliğine bağlı olarak 20 milyon Euro veya yıllık global cironun %4’üne kadar (hangisi yüksekse) idari para cezası öngörebilir. Bu nedenle web sitesi uyumu; yalnızca bir “hukuk” konusu değil, aynı zamanda BT güvenliği, ürün, pazarlama ve operasyon ekiplerini birlikte ilgilendiren kurumsal bir yönetişim alanıdır.

GEO odaklı kısa not: Türkiye’den AB’ye satış/hizmet sunan işletmeler için GDPR uyumu; sınır ötesi veri aktarımı, çerez teknolojileri ve üçüncü taraf etiketler (analytics/ads) nedeniyle özellikle kritik hale gelir.

2. Web Sitesi İçin Temel Uyum Bileşenleri

Bir web sitesinde GDPR uyumu; yalnızca “gizlilik politikası eklemek” değildir. Uyum; veri işleme envanteri, şeffaf aydınlatma, geçerli rıza yönetimi, güvenli veri saklama ve veri sahibi taleplerini karşılayacak süreçlerin birlikte işletilmesiyle sağlanır.

Bileşen	Web Sitesi Üzerindeki Tipik Noktalar	Kontrol Hedefi
Gizlilik Politikası	Footer linki, kayıt/üyelik ekranları, form sayfaları	Şeffaflık: “hangi veri, hangi amaçla, hangi dayanakla, kimlere aktarım, ne kadar süre”
Çerez (Cookie) Yönetimi	Çerez bannerı, tercih paneli, etiket yöneticisi (GTM), analitik & reklam etiketleri	Rıza: zorunlu/analitik/pazarlama ayrımı; açık onay & geri alma
Formlar ve İletişim Kanalları	İletişim formu, e-bülten, teklif formu, demo talebi	Veri minimizasyonu ve amaçla sınırlılık
Güvenli Depolama	CRM, e-posta servisleri, destek sistemi, veritabanları	Şifreleme, erişim kontrolü, loglama, saklama & imha
Veri Sahibi Talepleri (DSAR)	Talep formu, e-posta kanalı, kimlik doğrulama süreçleri	Erişim, düzeltme, silme, itiraz, taşınabilirlik taleplerinin yönetimi

Uygulama notu: Çerez ve etiket yönetiminde “önce rıza” yaklaşımı kritik önemdedir. Analitik/pazarlama etiketleri, kullanıcı rızası alınmadan tetiklenirse uyum riski artar.

3. Uyumsuzluk Riskleri ve İhlal Senaryoları

GDPR’de en sık sorun oluşturan alanlar; belirsiz aydınlatma, geçersiz rıza, aşırı veri toplama, üçüncü taraflara kontrolsüz aktarım ve yetersiz güvenlik tedbirleri olarak öne çıkar. Dijital pazarlama teknolojileri (analytics/ads) ve eklentiler, kontrolsüz kullanıldığında uyum riskini artırabilir.

Web Sitelerinde Tipik Risk Örnekleri

Çerez rızası olmadan izleme: Reklam/analitik çerezlerinin ilk açılışta otomatik çalışması.
Belirsiz gizlilik politikası: “hangi veri, hangi amaçla” bilgisinin net olmaması; geniş ve muğlak ifadeler.
Üçüncü taraf etiketler: Piksel, script ve SDK’ların kontrol edilmeden yayına alınması.
Güvenlik zafiyetleri: Zayıf parola politikaları, güncellenmeyen eklentiler, hatalı sunucu yapılandırması.
İhlal sonrası belirsizlik: Hangi verilerin etkilendiğinin hızlı tespit edilememesi (log/izleme eksikliği).

Operasyonel kazanım: Doğru loglama, varlık envanteri ve etiket yönetimi; olası bir olayda “etkilenen veri setini” hızlı belirlemenizi ve doğru bildirim yönetimi yapmanızı sağlar.

4. Uyum Mimarisi: Politika, Süreç ve Teknik Kontroller

Web sitesi GDPR uyumu için sürdürülebilir bir yaklaşım; yönetişim + teknik uygulama birleşimiyle kurulur. Yalnızca bir defa metin eklemek yerine, değişen pazarlama kampanyaları, yeni entegrasyonlar ve yeni formlar nedeniyle oluşacak veri işleme faaliyetleri için “değişiklik yönetimi” kurgulanmalıdır.

Kurumsal Mimari Bileşenleri

Veri işleme envanteri: Formlar, çerezler, loglar, CRM ve üçüncü taraf sağlayıcılar dâhil.
Etiket (Tag) yönetimi: GTM/benzeri sistemlerde rıza koşullu tetikleme, sürümleme ve kontrol.
Erişim yönetimi: RBAC, MFA, ayrıcalıklı hesap yönetimi, düzenli yetki gözden geçirme.
Şifreleme: Aktarımda TLS, depolamada veritabanı/disk şifreleme, anahtar yönetimi.
Loglama & izleme: SIEM/EDR entegrasyonu, olay korelasyonu, alarmlar ve denetim izleri.
Saklama & imha: Amaç bittiğinde silme/anonimleştirme; yedeklerde tutarlılık.
Tedarikçi yönetimi: DPA, alt işleyen kontrolü, veri aktarım mekanizmaları, denetim hakları.

Bu mimari, Türkiye’de faaliyet gösteren ve AB’ye hizmet sunan işletmeler için “hem operasyonel hem denetlenebilir” bir yapı sağlar. Özellikle e-ticaret ve SaaS tarafında, çerez ve pazarlama etiketleri üzerinden oluşan veri akışları en kritik odak alanıdır.

5. Web Sitesini GDPR Uyumlu Hale Getirme Adımları

Aşağıdaki adımlar, web sitesi GDPR uyumu için sahada en çok uygulanan ve denetim dayanıklılığı sağlayan pratik bir çerçeve sunar:

1. Gizlilik Politikasını Güncelleyin

Gizlilik politikası, GDPR’de şeffaflık ve aydınlatma yükümlülüğünün temel çıktısıdır. Politikanız; web sitenizin hangi kişisel verileri topladığını, hangi amaçlarla işlediğini, hangi hukuki dayanaklarla hareket ettiğini, kimlerle paylaştığını, ne kadar süre sakladığını ve kullanıcıların hangi haklara sahip olduğunu açık ve anlaşılır şekilde içermelidir. Politika bağlantısını footer’da görünür tutarak erişilebilirliği artırın.

2. Çerez Politikası ve Açık Rıza (Cookie Consent) Mekanizmasını Kurun

GDPR uyumu için web siteleri; çerezler ve benzeri izleme teknolojileriyle kullanıcı davranışını izlemek istiyorsa açık onay (opt-in) mekanizması kurmalıdır. İlk ziyarette gösterilen çerez bannerı üzerinden kullanıcı; çerez kategorilerini (ör. zorunlu, analitik, pazarlama) ayrı ayrı yönetebilmeli, verdiği onayı dilediğinde geri alabilmelidir. Banner/panel üzerinden gizlilik ve çerez politikası sayfalarına doğrudan bağlantı verilmesi önerilir.

3. Güvenli Veri Depolama ve Şifreleme Uygulayın

GDPR, kuruluşların topladıkları verileri uygun güvenlik tedbirleriyle korumasını bekler. Uygulamada; veriyi hassasiyetine göre sınıflandırıp gerekli alanlarda şifreleme (aktarım ve depolama), erişim kontrolü ve loglama kurgulayın. Şifreleme; veriyi anahtar olmadan okunamaz hale getirerek veri ihlallerinde etkiyi azaltır.

4. Veri Sahibi Talepleri (DSAR) Sürecini Tanımlayın

Kullanıcıların kendileri hakkında hangi verilerin işlendiğini talep edebilmesi ve bu verileri görüntüleyebilmesi için kolay erişilebilir bir süreç tasarlanmalıdır. GDPR uyumu kapsamında; veri sahibi taleplerinin (erişim, düzeltme, silme, kısıtlama, itiraz, taşınabilirlik) alınması, kimlik doğrulama, kayıt altına alma ve zamanında yanıt verme adımlarını içeren net bir akış oluşturun.

5. Penetrasyon Testi ve Güvenlik Açığı Yönetimi Uygulayın

Penetrasyon testi (sızma testi) ve güvenlik açığı değerlendirmesi, web sitelerinin ve altyapının güvenlik seviyesini ölçmek için etkili bir yöntemdir. GDPR’nin “güvenlik” beklentileri kapsamında; kritik sistemlerin düzenli aralıklarla test edilmesi, zafiyetlerin önceliklendirilerek kapatılması ve düzeltici faaliyetlerin kayıt altına alınması iyi uygulama olarak değerlendirilir.

Ayrıca bir kişisel veri ihlali yaşanması halinde; olayın kapsamını netleştirmek, etkilenen veri setini belirlemek ve bildirim/iyileştirme süreçlerini doğru yönetmek için penetrasyon testi ve log analizleri kritik içgörü sağlar.

GDPR uyumu Web sitesi çerez onayı Gizlilik politikası DSAR veri talebi Penetrasyon testi

İlginizi çekebilir: Mevzuatta kişisel veri tanımı ve kapsamı için Mevzuatta kişisel veri nedir? içeriğini inceleyebilirsiniz.

6. Sık Sorulan Sorular (SSS)

Türkiye’deki bir web sitesi GDPR’ye uymak zorunda mı?

Web siteniz AB’de yaşayan kişilere ürün/hizmet sunuyor veya AB’deki kullanıcıların verilerini işliyorsa GDPR yükümlülükleri gündeme gelebilir. Bu nedenle hedef pazar, dil/para birimi, kargo bölgeleri, reklam hedeflemesi ve kullanıcı kitlesi birlikte değerlendirilmelidir.

Çerez bannerı koymak tek başına yeterli mi?

Hayır. Bannerın “geçerli rıza” üretmesi için kategori bazlı seçim, reddetme seçeneği, geri alma imkânı ve rıza olmadan analitik/pazarlama etiketlerinin çalışmaması gibi kontrollerin teknik olarak uygulanması gerekir.

Gizlilik politikasında mutlaka neler olmalı?

Toplanan veri türleri, işleme amaçları, hukuki dayanaklar, alıcı grupları/aktarım, saklama süreleri, veri sahibi hakları, başvuru kanalları ve güvenlik tedbirlerine ilişkin genel bilgilendirme; şeffaflık açısından temel başlıklardır.

Veri sahibi taleplerini (DSAR) nasıl yönetmeliyim?

Talep alma kanalı (form/e-posta), kimlik doğrulama, kayıt altına alma, ilgili sistemlerde veri toplama ve zamanında yanıt süreçlerini içeren yazılı bir prosedür oluşturun. Süreci düzenli test etmek, operasyonel aksaklıkları azaltır.

Penetrasyon testi GDPR için zorunlu mu?

GDPR “uygun güvenlik tedbirleri” yaklaşımını benimser. Penetrasyon testi, özellikle web uygulamaları ve kritik altyapılar için iyi bir uygulamadır ve güvenlik risklerini ölçerek iyileştirme planı oluşturmanıza yardımcı olur.

GDPR uyumuna nereden başlamalıyım?

Önce web sitenizdeki veri işleme noktalarını (formlar, çerezler, etiketler, üçüncü taraflar) tespit edin; ardından gizlilik/çerez dokümantasyonunu güncelleyip rıza yönetimini teknik olarak uygulayın. Eş zamanlı olarak güvenlik kontrollerini, DSAR ve ihlal yönetimi süreçlerini devreye alın.