KVKK, GDPR ve UAE PDPL: Hangi Veri Koruma Yasası Şirketinizi Etkiliyor?
Şirketiniz Nerede Kurulursa Kurulsun, Veri Topladığınız Anda Çoklu Yasa Kapsamına Girebilirsiniz
Bir şirketin hangi ülkede tescil edildiği, artık tek başına veri koruma yükümlülüklerini belirlemez. Müşterilerinizin nerede olduğu, verilerini nerede işlediğiniz ve bu verileri hangi sistemlere aktardığınız en az şirket merkezinizin adresi kadar — hatta çoğu zaman daha fazla — belirleyicidir.
Türkiye'deki bir e-ticaret şirketini düşünün: Avrupa'daki Türk diasporasına satış yapıyor, Dubai'de bir ofisi var ve e-posta servis sağlayıcısı Frankfurt sunucularında çalışıyor. Bu şirket aynı anda KVKK, GDPR ve UAE PDPL kapsamındadır. Üç farklı para birimi cinsinden yaptırım riski, üç farklı teknik gereklilik seti ve birbiriyle çelişen bazı zorunluluklar.
Bu yazı, her yasanın temel özelliklerini ve bunların CDP (Müşteri Veri Platformu) mimarisinde nasıl yönetileceğini pratik bir çerçevede ele alıyor.
KVKK: Türkiye'ye Özgü Yapı ve Tuzaklar
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girdi. Kritik bir nokta: KVKK yalnızca Türkiye'de kurulu şirketleri değil, Türk vatandaşlarının verilerini işleyen yabancı şirketleri de kapsamaktadır.
Temel özellikler:
- Açık rıza zorunluluğu: KVKK'da rızanın "özgür iradeyle, belirli bir konuya ilişkin, bilgilendirilmiş ve açık" olması şarttır. Önceden işaretli kutular veya toplu onay mekanizmaları geçersizdir.
- VERBIS kaydı: Yıllık çalışan sayısı 50'nin veya bilanço büyüklüğü 25 milyon TL'nin üzerinde olan veri sorumlularının Veri Sorumluları Sicili'ne kayıt yaptırması zorunludur.
- Veri sorumlusu temsilcisi: Türkiye'de fiziksel varlığı olmayan yabancı şirketlerin Türkiye'de bir temsilci ataması gerekmektedir.
- İdari para cezaları: Madde 18 kapsamında belirlenen cezalar; Kurul kararıyla işleme durdurma ve yurt dışı aktarım yasağı da uygulanabilir.
GDPR: Kapsam ve Ceza Miktarları KVKK'yı Aşıyor
Avrupa Birliği'nin Genel Veri Koruma Tüzüğü, küresel standart haline gelmiş durumda. En dikkat çekici farkları şunlardır:
- Finansal yaptırım: GDPR ihlallerinde azami ceza 20 milyon Euro veya yıllık küresel cirosunun %4'ü — hangisi daha yüksekse. 2023 yılında Meta'ya kesilen 1,2 milyar Euro ceza bu mekanizmanın teorik değil gerçek olduğunu kanıtlıyor.
- Hukuki dayanak çeşitliliği: GDPR, rızanın yanı sıra meşru menfaat, sözleşme ifası ve yasal yükümlülük gibi ek hukuki dayanaklar tanır. KVKK bu açıdan çok daha kısıtlayıcıdır.
- DPO (Veri Koruma Görevlisi) zorunluluğu: Büyük ölçekli veri işleyiciler için zorunludur.
- DPIA (Veri Koruma Etki Değerlendirmesi): Yüksek riskli işleme faaliyetleri öncesinde yapılmalıdır.
GDPR'ın ülke dışı uygulaması, Türk şirketleri için en sık gözden kaçan risktir. AB'deki bir kullanıcı sitenize giriş yaptığı anda, sunucunuzun Türkiye'de olması sizi GDPR'dan muaf kılmaz.
UAE PDPL: Körfez Pazarında Yeni Çerçeve
Birleşik Arap Emirlikleri, 2022 yılında Federal Kişisel Veri Koruma Kanunu'nu (PDPL) yürürlüğe koydu. DIFC ve ADGM gibi serbest bölgeler kendi düzenlemelerine sahip olmakla birlikte, federal PDPL artık UAE topraklarında kişisel veri işleyen tüm kuruluşları kapsıyor.
Öne çıkan gereklilikler:
- Veri Koruma Otoritesi (DPA) tescili: Belirli kategorideki veri işleyiciler kayıt yaptırmak zorunda.
- Sınır ötesi veri transferi: Yeterli koruma sağlayan ülkelere veya standart sözleşme maddeleri gibi güvencelerle aktarılabilir.
- Veri sahibi hakları: Erişim, düzeltme, silme ve işlemeye itiraz hakları GDPR'a benzer şekilde düzenlenmiş.
- Hassas veri kategorileri: Biyometrik, sağlık ve finansal veriler için ek yükümlülükler söz konusu.
Gerçek Dünya Senaryosu: Üç Yasa, Tek Şirket
İstanbul merkezli bir moda e-ticaret şirketi olduğunuzu düşünün:
- Türk müşterileriniz var → KVKK geçerli
- Almanya ve Hollanda'ya da satış yapıyorsunuz → GDPR geçerli
- Dubai'de bir satış ofisi açtınız → UAE PDPL geçerli
Bu şirketin üç farklı rıza formu, üç farklı veri sahibi hakkı talebi akışı ve üç farklı veri ihlali bildirim süreci yönetmesi gerekiyor. Frankfurt'taki e-posta sunucusu ise AB-Türkiye veri aktarımı açısından GDPR kapsamında değerlendiriliyor — ek bir katman daha.
Operasyonel açıdan en kritik çakışma şuradan geliyor: GDPR meşru menfaate dayalı işlemeye izin verirken, KVKK aynı veri için açık rıza istiyor. Müşteri profillerinizi tek bir consent kaydıyla yönetmeye çalışırsanız, biri için yasal olan diğeri için yasadışı olabilir.
CDP Bu Karmaşıklığı Nasıl Çözüyor?
Doğru mimariye sahip bir CDP, çoklu uyum gerekliliklerini tek bir veri katmanından yönetmenizi sağlar:
- Consent Management entegrasyonu: Her müşteri profiline hangi yasanın kapsamında, hangi kanaldan, hangi tarihte rıza alındığı kayıt altına alınır.
- Data residency politikaları: Türk vatandaşlarının verileri Türkiye sunucularında, AB kullanıcılarının verileri AB'de saklanacak şekilde konfigüre edilebilir.
- Anonymization ve pseudonymization: Analitik amaçlı işlemelerde kişisel verinin doğrudan tanımlayıcı niteliği ortadan kaldırılır.
- Otomatik haklar yönetimi: Silme, erişim ve taşınabilirlik talepleri CDP üzerinden tek noktadan işlenir.
Veri Mimariniz Hangi Yasalar Kapsamında?
Çoklu yargı alanında faaliyet gösteren şirketler için uyumluluk, tek seferlik bir proje değil; veri mimarisine işlenmiş bir yapı olmak zorundadır. ONMARTECH olarak, hangi yasaların şirketinize uygulandığını, mevcut mimarinizdeki boşlukları ve önceliklendirme yol haritasını belirliyoruz.
Ücretsiz ön değerlendirmemizle veri akışlarınızın hangi yasaların kapsamında olduğunu öğrenin. Bir sonraki adımı atmak için bizimle iletişime geçin.
Önerilen Okumalar
Composable CDP vs CXDP: Why the "Pipes & Engage" Split is the Key to Modern Data Architecture in 2026
The rise of Composable CDPs on Snowflake and Databricks, and the CDP claims of CXDPs like Braze and Dengage, have created architectural chaos in 2026. Let's look beyond the brand names to understand why ingestion (Pipes) and activation (Engage) must share the same identity graph.
Okumaya Devam Et →10-Day Live Traffic Analysis: Why Cloudflare and GA4 Tell Different Stories (And How to Recover Ad Signals with Consent Mode v2)
In the first 10 days post-launch, Cloudflare reports thousands of visits while GA4 stays in the double digits. In this case study, we examine how Advanced Consent Mode v2, ads_data_redaction, and gtagSendEvent bridge the gap between user privacy and ad optimization.
Okumaya Devam Et →