KVKK denetimlerinde web sitesinde ilk hangi alan incelenir?

Genellikle çerez/rıza mekanizması, web formları (hukuki sebep ve aydınlatma erişimi), üçüncü taraf script ve etiketler, IP/log saklama kurgusu ve temel güvenlik yapılandırmaları (HTTPS, güncellik) hızlıca kontrol edilir.

Çerez banner’ı tek başına KVKK uyumu sağlar mı?

Hayır. Kritik olan banner’ın varlığı değil, rıza verilmeden önce zorunlu olmayan çerezlerin ve üçüncü taraf scriptlerin çalışmaması, rızanın geri alınabilir olması ve çerez aydınlatmasının anlaşılır şekilde sunulmasıdır.

Web formlarında her zaman açık rıza almak gerekir mi?

Hayır. Her form için amaç ve hukuki sebep ayrı değerlendirilmelidir. Örneğin teklif/başvuru gibi süreçlerde sözleşmenin kurulması veya ifasıyla bağlantılı bir hukuki sebep gündeme gelebilir; pazarlama gibi amaçlarda ise açık rıza daha sık söz konusu olur.

KVKK Denetimlerinde Web Siteleri Neden İlk Kontrol Noktasıdır? | Çerezler, Formlar, Loglar, Üçüncü Taraflar

KVKK Denetimi · Web Sitesi İncelemesi · Çerez & Form

KVKK Denetimlerinde Web Siteleri Neden İlk Kontrol Noktasıdır?

KVKK denetimlerinde ilk temas noktası çoğu zaman kurumun web sitesidir. Çünkü web sitesi; kişisel verilerin ilk temas, ilk toplama ve birçok senaryoda ilk aktarım alanıdır. Denetim bakışında web sitesi; kurumun hukuki yaklaşımını (aydınlatma/rıza/hukuki sebep) ve teknik tedbir refleksini (konfigürasyon/log/entegrasyon) aynı anda görünür kılan en hızlı kanıt üreten katmandır.

Çerezler Web Formları Log & IP Üçüncü Taraf Servisler

İçindekiler 1. Web Siteleri KVKK Açısından Neden Kritik? 2. Çerez Yönetimi: İlk Bakılan Alan 3. Web Formları: Açık Rıza mı, Hukuki Sebep mi? 4. Log Kayıtları ve IP Verileri 5. Üçüncü Taraf Servisler ve Entegrasyonlar 6. Aydınlatma Metinleri ve Erişilebilirlik 7. Teknik Altyapı: Görünmeyen Ama Ölçülen Alan 8. Sonuç

Hızlı Özet

Web sitesi incelemesi denetimlerde tek ekranda çok sayıda sinyal üretir: çerez/rıza, form hukuki sebebi, log/IP saklama, üçüncü taraf aktarım ve KVKK m.12 teknik tedbirleri. Bu yüzden denetimler çoğu zaman web sitesi üzerinden başlar.

KVKK m.12 Rıza Mekanizması Veri Aktarımı Denetlenebilirlik

Not: “Banner var mı?” sorusu tek başına yeterli değildir. Denetimde kritik olan; rıza verilmeden önce zorunlu olmayan çerezlerin/scriptlerin çalışmaması, rızanın kolayca geri alınabilmesi ve aydınlatma metinlerinin erişilebilir olmasıdır.

Çerez & Rıza Banner değil; rıza öncesi tetiklenen script/çerez davranışı ölçülür.

Form Tasarımı Zorunlu alanlar, aydınlatma erişimi, hukuki sebep kurgusu ve kayıt izi.

Aktarım & Entegrasyon Analytics/ads/chatbot/CDN gibi servisler görünmez veri akışları yaratabilir.

1. Web Siteleri KVKK Açısından Neden Kritik?

Web siteleri üzerinden; kimlik ve iletişim bilgileri, IP adresleri ve erişim kayıtları, çerez verileri ile davranışsal/teknik veriler toplanabilir ve çoğu zaman farkında olunmadan üçüncü taraflarla paylaşılabilir. Denetim açısından bu katman; kontrol edilmesi en kolay, ancak ihlale en açık alanlardan biridir.

Denetim refleksi

Kurumun “ilk temas” noktasında aydınlatma ve rıza kurgusu var mı?
Toplanan veri, amaçla bağlantılı ve ölçülü mü?
Üçüncü taraflara veri akışı kontrol altında mı?
Teknik tedbirler (HTTPS, güncellik, temel güvenlik) asgari seviyede mi?

İpucu: Denetimler pratikte “gözlemlenebilir” davranışlara odaklanır. Kaynak kod, ağ istekleri, çerez tablosu ve form akışları; kısa sürede somut bulgu üretir.

2. Çerez Yönetimi: İlk Bakılan Alan

Denetimlerde Sık Tespit Edilen Eksiklikler

Açık rıza gerektiren çerezlerin onay alınmadan çalıştırılması
Çerez kategorilerinin net ayrılmaması (zorunlu / analitik / pazarlama vb.)
Çerez aydınlatma metninin eksik, genel veya güncel olmayan ifadeler içermesi

Kurul Perspektifi: “Banner” Değil, Davranış

Kurul, özellikle zorunlu / zorunlu olmayan çerez ayrımını, rıza mekanizmasının gerçekten çalışıp çalışmadığını ve rızanın geri alınabilirliğini teknik olarak inceler. Sadece banner’ın görünmesi yeterli sayılmaz.

Pratik kontrol: Rıza verilmeden önce üçüncü taraf scriptlerin (analytics/ads) tetiklenmesi ve çerez yazılması, denetimde “hızlı ve somut” bulgudur. “Önce çalıştır, sonra sor” yaklaşımı yüksek risk üretir.

3. Web Formları: Açık Rıza mı, Hukuki Sebep mi?

Sık Yapılan Hata

İletişim, teklif, başvuru ve üyelik formlarında; her durumda açık rıza alınması ya da hukuki sebebin hiç belirtilmemesi.

Denetim Soruları

Kurul, formlar özelinde şu sorulara net yanıt arar:

Bu veri neden toplanıyor? (amaç)
Hangi hukuki sebebe dayanılıyor? (seçim + gerekçe)
Aydınlatma metni gerçekten okunabilir mi? (erişim + anlaşılabilirlik)
Zorunlu alanlar ölçülü mü? (minimizasyon)

Operasyonel risk: Formlar, KVKK uyumunun en hızlı bozulduğu alanlardandır. Tasarım/development değişiklikleri çoğu zaman metin ve süreç güncellemesi yapılmadan yayına alınabilir.

Kontrol	Beklenen Yaklaşım	Yüksek Riskli Hata
Aydınlatma erişimi	Formun hemen yanında, okunabilir ve süreç özelinde	Genel metin / link yok / tıklanamaz
Hukuki sebep	Amaçla uyumlu ve gerekçeli seçim	Her şeye açık rıza / hiç belirtilmemesi
Zorunlu alanlar	Asgari veri + ölçülülük	Gereksiz alanların zorunlu tutulması

4. Log Kayıtları ve IP Verileri

Denetimlerde İncelenen Başlıklar

IP adreslerinin kişisel veri olarak ele alınıp alınmadığı
Log kayıtlarının saklama süresi ve amaçla bağlantısı
Kimlerin loglara erişebildiği (rol/yetki)
Logların amaç dışı kullanılıp kullanılmadığı

Web sunucusu logları çoğu zaman göz ardı edilse de denetimlerde yüksek riskli bir alan olabilir. Saklama süresi, erişim yetkileri, bütünlük ve değiştirilemezlik prensipleri bu nedenle kritik hale gelir.

Teknik-hukuki köprü: Loglar “güvenlik” amacıyla tutulurken, işlem/erişim kayıtları içinde kişiyi belirlenebilir kılan unsurlar bulunduğunda KVKK kapsamındaki yükümlülükler devreye girer.

5. Üçüncü Taraf Servisler ve Entegrasyonlar

En Kritik Risk Alanı

Web sitelerinde kullanılan; analytics/ads etiketleri, harici form servisleri, canlı destek/chatbot çözümleri, harici font, CDN ve scriptler fark edilmeden veri aktarımı yaratabilir. Bu nedenle üçüncü taraflar, denetimde “en hızlı genişleyen” inceleme alanıdır.

Kurul’un Beklediği Netlik

Kurul, bu servisler açısından şu sorulara açık yanıt bekler:

Veri işleyen sözleşmesi var mı?
Açık rıza gerekiyor mu?
Yurt dışı veri aktarımı söz konusu mu?
Aydınlatma metinlerinde belirtilmiş mi?

Pratik tespit alanı

Kaynak kodda (script/tag manager) çalışan üçüncü taraf etiketleri
CDN/Font çağrıları ve bağlantı yapılan domain listesi
Chat/CRM entegrasyonları ve form action endpoint’leri
Çerez tablosunda üçüncü taraf çerezlerinin varlığı

Okunabilirlik için öneri: Site içinde “Üçüncü Taraf Entegrasyonları” başlıklı kısa bir liste ve “hangi amaçla kullanıldığı” açıklaması; hem kullanıcı güvenini hem denetimde şeffaflık algısını artırır.

6. Aydınlatma Metinleri ve Erişilebilirlik

Sık Tespit Edilen Sorunlar

Aydınlatma metninin site içinde ulaşılmaz olması
Farklı süreçler için tek metin kullanılması
Metin ile fiili uygulamanın örtüşmemesi

Kurul, web sitesi üzerindeki aydınlatma yükümlülüğünü ilk temas anında ve erişilebilir biçimde görmek ister. Metinlerin kullanıcı deneyimini bozmayacak biçimde fakat net bir erişimle konumlandırılması önemlidir.

Uygulama standardı: “Tek metin her şeyi kapsar” yaklaşımı, süreç çeşitliliği olan kurumlarda denetimlerde yetersiz kalabilir. Form, çerez ve iletişim gibi alanlarda süreç özelinde kısa metin + detay sayfa yaklaşımı okunabilirliği güçlendirir.

7. Teknik Altyapı: Görünmeyen Ama Ölçülen Alan

KVKK m.12 kapsamında; HTTPS kullanımı, yetkisiz erişim önlemleri, güncel yazılım ve eklentiler ile temel güvenlik açıklıkları web sitesi üzerinden hızlıca tespit edilebilir. Bu nedenle web sitesi, kurumun teknik tedbir olgunluğunun vitrini gibi değerlendirilir.

Hızlı teknik kontrol listesi

TLS/HTTPS zorunlu yönlendirme ve HSTS gibi temel güvenlik başlıkları
Güncellik: CMS/tema/eklenti sürümleri ve bilinen zafiyet yüzeyi
Form güvenliği: CAPTCHA/anti-bot, rate-limit, server-side validation
Yedekleme ve erişim: yönetim paneli erişim sınırlandırmaları

Denetim etkisi: Web sitesinde görülen temel güvenlik zaafları, kurumun diğer sistemleri için de “olgunluk” sinyali üretir ve inceleme alanını genişletebilir.

8. Web Sitesi, KVKK Uyumunun Aynasıdır

KVKK denetimlerinde web siteleri; hukuki ve teknik eksikliklerin en hızlı ve somut biçimde ortaya çıktığı alandır. Bu nedenle denetimler çoğu zaman web sitesi incelemesi ile başlar; burada görülen bulgular diğer süreçlerin de sorgulanmasına yol açar.

Nesil Teknoloji olarak yürüttüğümüz KVKK ve siber güvenlik çalışmalarında, web siteleri yalnızca bir iletişim kanalı değil; aynı zamanda bir “kişisel veri işleme platformu” olarak ele alınır. Çerezlerden loglara kadar tüm katmanlar birlikte değerlendirilir.

KVKK Denetimi Çerez Yönetimi Web Formları Log & IP Üçüncü Taraf KVKK m.12

İlgili hizmet: KVKK danışmanlığı hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.