KVKK Uyumlu Email Pazarlama Rehberi 2026
Türkiye’de her yıl yüzlerce firma, KVKK ihlali nedeniyle Kişisel Verileri Koruma Kurulu’ndan idari para cezası alıyor. 2025 yılında bu cezaların toplamı 150 milyon TL’yi aştı ve cezaların önemli bir kısmı ticari elektronik ileti ile kişisel veri ihlallerinden kaynaklanıyordu. KVKK email pazarlama uyumu, sadece bir yasal zorunluluk değil; aynı zamanda abonelerinizin güvenini kazanmanın ve uzun vadeli bir email stratejisi kurmanın ön koşulu. Açık rıza almadan gönderdiğiniz her promosyon maili, markanızı hem hukuki hem itibar açısından riske sokuyor. Bu rehberde, Türkiye’deki yasal çerçeveye tam uyumlu bir e-posta pazarlama sistemi kurmanın adımlarını ele alacağız.
Avrupa’nın GDPR düzenlemesiyle paralel ama kendine özgü kuralları olan KVKK, email pazarlama açısından birçok noktada farklılık gösteriyor. Bu farklılıkları bilmeden “GDPR uyumluyuz, yeter” demek hatalı bir varsayım.
Kısa Özet
- Ticari elektronik ileti göndermek için açık rıza (opt-in) almak zorunlu
- Her mailde abonelikten çıkma seçeneği bulunmalı ve 3 iş günü içinde işlenmeli
- Kişisel veriler amacına uygun, sınırlı ve ölçülü işlenmeli
- Veri ihlali halinde Kurul’a 72 saat içinde bildirim yapılmalı
Yazı Planı
Yasal Çerçeve: KVKK ve Ticari Elektronik İleti Mevzuatı
Email pazarlama faaliyetleri Türkiye’de iki temel düzenlemeye tabidir:
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK): 2016’da yürürlüğe girdi. Kişisel verilerin işlenmesi, saklanması ve silinmesine dair genel çerçeveyi belirler. Email adresi bir kişisel veridir; dolayısıyla bir abonenin email adresini topladığınız, sakladığınız ve kampanya gönderdiğiniz anda KVKK kapsamına girersiniz.
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim Yönetmeliği: Ticari elektronik iletilerin (promosyon, kampanya, bülten mailleri) gönderim koşullarını düzenler. İleti Yönetim Sistemi (İYS) kaydı, alıcıdan onay alma, her iletide ret hakkı sunma gibi kurallar bu mevzuattan gelir.
Bu iki düzenleme birlikte çalışır. KVKK kişisel verinin işlenmesi için hukuki dayanak ararken, Ticari İletişim Yönetmeliği ticari ileti gönderimi için açık onay şartı koyar. İkisine de uyum sağlamak zorundasınız. Herhangi birini ihmal etmek, diğerine uyumlu olmanızı anlamsız kılar.
Pratikte şu anlama gelir: sadece KVKK aydınlatma metni hazırlamak yetmez, İYS kaydı da olmalı. Sadece İYS’ye kayıt olmak yetmez, aydınlatma metni ve veri işleme envanteri de düzenlenmiş olmalı. Bu iki mevzuatın gerektirdiği tüm adımları birlikte tamamlamanız gerekir.
İleti Yönetim Sistemi (İYS) Zorunluluğu
Türkiye’de ticari elektronik ileti gönderen her işletme, İleti Yönetim Sistemi’ne (iys.org.tr) kayıt olmak zorunda. İYS, alıcıların ticari ileti onaylarını merkezi olarak yöneten bir platform. Firmalar mevcut onaylarını İYS’ye yükler, alıcılar da istedikleri zaman bu sistem üzerinden onaylarını kontrol edip geri çekebilir. Dijital pazarlama faaliyetlerinin yasal zeminde yürütülmesi için İYS kaydı ilk adımdır.
İYS’ye kayıt yapmadan toplu email göndermek yasadışıdır. Kayıt süreci: ticaret. gov.tr üzerinden başvuru, mevcut onayların sisteme yüklenmesi ve düzenli güncelleme. İYS’de kaydı olmayan bir alıcıya ticari ileti göndermeniz durumunda, alıcı şikayette bulunursa ispat yükü size düşer.
Açık Rıza Toplama Yöntemleri
KVKK email pazarlama uyumunun en kritik adımı açık rıza toplamaktır. “Açık rıza” terimi kanunda net tanımlanmış: belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
Bunun pratikte ne anlama geldiğini somutlaştıralım:
Belirli bir konuya ilişkin: Genel bir “kişisel verilerimin işlenmesini kabul ediyorum” metni yeterli değil. Abonenin hangi tür iletileri alacağını bilmesi gerekir. “Haftalık bülten ve kampanya teklifleri almak istiyorum” gibi spesifik bir ifade.
Bilgilendirmeye dayanan: Abone, verisinin ne amaçla işleneceğini, kiminle paylaşılacağını ve haklarını bilmeli. Kayıt formunda aydınlatma metnine link vermek bu şartı karşılar.
Özgür iradeyle açıklanan: Onay kutusu (checkbox) önceden işaretli olamaz. Abonenin kendisi aktif olarak kutuyu işaretlemeli. “Devam etmek için kabul etmelisiniz” tarzı zorlama da özgür iradeyle bağdaşmaz. Hizmet sunumu, onay vermeye bağlanamaz.
Double Opt-in Kullanmalı mısınız?
Double opt-in, abonenin kayıt formunu doldurduktan sonra email adresine gelen doğrulama linkine tıklamasını gerektiren yöntemdir. KVKK açısından zorunlu değil ama şiddetle tavsiye edilen bir pratik.
Nedenleri: İlk olarak, bot kayıtlarını engeller. İkinci olarak, yanlış yazılmış email adreslerinin listeye eklenmesini önler. Üçüncü olarak, abonenin gerçekten isteyerek kayıt olduğuna dair güçlü bir ispat sağlar. Bir KVKK denetiminde veya İYS şikayetinde “doğrulama maili tıklanmış” kaydı, güçlü bir savunma delilidir.
Double opt-in kullanıldığında kayıt oranı yüzde 20-30 düşer. Ama listenize eklenen herkes gerçekten orada olmak isteyen kişiler olur. Uzun vadede açılma oranı, tıklama oranı ve dönüşüm oranı hep daha yüksek çıkar.
Kayıt Formu Tasarımı
KVKK uyumlu bir email kayıt formunda bulunması gerekenler:
Aydınlatma metni linki: “Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni” başlığıyla, tıklanabilir formatta. Onay checkbox’ı: Önceden işaretlenmemiş, abonenin aktif olarak işaretlemesi gereken kutu. Rıza metni: “Email adresim aracılığıyla ticari elektronik ileti almayı kabul ediyorum” gibi net ifade. İsteğe bağlı: Hangi tür içerik almak istediğini seçme seçenekleri (bülten, kampanya, ürün güncellemeleri).
Form tasarımında minimalizm önemli. Sadece email adresi ve zorunlu onayları isteyin. Ad-soyad, telefon, doğum tarihi gibi bilgileri ancak gerçekten ihtiyacınız varsa ekleyin. KVKK’nın “veri minimizasyonu” ilkesi, gereksiz veri toplamanızı yasaklar.
Bir hata da şu: bazı firmalar tek bir checkbox altında birden fazla rızayı topluyor. “Kişisel verilerimin işlenmesini, ticari ileti almayı ve verilerimin üçüncü taraflarla paylaşılmasını kabul ediyorum” gibi. Bu, KVKK’nın “belirli bir konuya ilişkin” rıza şartını ihlal eder. Her rıza konusu ayrı bir checkbox ile alınmalı. Abone sadece bülteni kabul edip veri paylaşımını reddedebilmelidir.
Kayıt formlarında dikkat edilecek bir diğer nokta: rızanın geri alınabilir olduğunu belirtmek. “İstediğiniz zaman abonelikten çıkabilirsiniz” ifadesi, abonenin rahat hissetmesini sağlar ve paradoks gibi görünse de kayıt oranını artırır. İnsanlar geri dönüşü olmayan bir karara daha temkinli yaklaşır.
KVKK Uyumlu Email Altyapınızı Kuralım
Bravery’nin ekibi, açık rıza formlarından İYS entegrasyonuna kadar tüm süreci sizin için yapılandırır.
Çerez Politikası ve Email İlişkisi
Çerezler ile email pazarlama arasındaki ilişkiyi birçok firma gözden kaçırıyor. Web sitenizde çerez kullanıyorsanız ve bu çerezler aracılığıyla kullanıcı davranışını takip edip email kampanyalarına yansıtıyorsanız, çerez izni de KVKK kapsamında değerlendirilir.
Somut örnek: Bir ziyaretçi web sitenizde belirli ürün sayfalarını gezdi. Siz bu bilgiyi çerez veya piksel aracılığıyla topladınız. Sonra bu ziyaretçiye “son baktığınız ürünler” temalı bir email gönderdiniz. Bu senaryoda hem çerez aydınlatması hem email rızası ayrı ayrı alınmış olmalı.
Çerez banner’ınızda “zorunlu çerezler”, “analitik çerezler” ve “pazarlama çerezleri” kategorileri net ayrılmalı. Kullanıcı pazarlama çerezlerini reddetmişse, onun web sitesi davranışını email kişiselleştirmesinde kullanamazsınız.
Dönüşüm izleme pikselleri de bu kapsamda. Facebook Pixel, Google Ads dönüşüm etiketi gibi araçlar kişisel veri işler. Bunları kullanıyorsanız aydınlatma metninizde ve çerez politikanızda belirtmeniz gerekir.
Veri Saklama ve İmha Politikası
KVKK’nın en çok ihlal edilen kurallarından biri veri saklama süresi. Birçok firma, email listelerini yıllar boyunca temizlemeden tutuyor. 2018’de kayıt olmuş, o günden beri tek bir mail açmamış, belki email adresini bile değiştirmiş bir abonenin verisini hala saklamak KVKK’ya uygun değil.
Veri, işlenme amacı ortadan kalktığında silinmeli veya anonim hale getirilmeli. Email pazarlama bağlamında bu şu anlama gelir: abone çıkış yaptığında, verisini makul bir süre içinde silmeniz gerekir. “Makul süre” konusunda kanunda net bir gün sayısı yok ama Kurul kararları 30 günü işaret ediyor.
Saklama Süresi Belirleme Kriterleri
Abonelik devam ediyor ve etkileşim varsa: Veri saklanabilir, işlenmeye devam edilir. Abonelik devam ediyor ama uzun süredir etkileşim yoksa: Re-engagement kampanyası sonrası yanıt gelmezse, veriyi pasif listeye alın veya silin. Abonelikten çıkış yapıldıysa: Email gönderimini hemen durdurun, kişisel verileri 30 gün içinde silin. Ancak İYS’deki ret kaydını 3 yıl boyunca saklayın (ispat amacıyla). Veri ihlali nedeniyle Kurul’a bildirim yapıldıysa: İlgili tüm verileri ihlal soruşturması tamamlanana kadar muhafaza edin.
VERBİS (Veri Sorumluları Sicili) kaydınızda veri işleme amaçlarınız ve saklama süreleriniz belirtilmiş olmalı. Email pazarlama için ayrı bir işleme amacı tanımlamanız gerekir.
Teknik Uyum Adımları
KVKK email pazarlama uyumu sadece yasal metin hazırlamakla bitmez. Teknik altyapınızın da uyumlu olması gerekir.
Email Aracı Seçimi
Kullandığınız email pazarlama aracının veri işleme süreçlerini bilmeniz gerekir. Mailchimp, Brevo, GetResponse gibi araçların sunucuları genelde ABD veya AB’de bulunuyor. KVKK’ya göre kişisel verilerin yurt dışına aktarılması için ya ilgili kişinin açık rızası ya da yeterli koruma sağlayan ülke kararı gerekir.
Pratikte: Aydınlatma metninizde email adreslerinin hangi ülkedeki sunucularda saklandığını ve hangi üçüncü taraf araçlarla paylaşıldığını belirtin. Abonenin rızası, bu bilgilendirmeye dayanmalı. Veri odaklı pazarlama yaklaşımı benimseyen firmalar, veri işleme süreçlerini en başından şeffaf tutmalıdır.
Veri İşleme Sözleşmesi (DPA, Data Processing Agreement) imzalamayı unutmayın. Çoğu email aracı bu sözleşmeyi standart olarak sunar. Bu sözleşme, veri sorumlusu (siz) ile veri işleyen (email aracı) arasındaki yükümlülükleri tanımlar.
Abonelikten Çıkma Mekanizması
Her ticari elektronik iletide abonelikten çıkma seçeneği bulunmalıdır. Bu zorunluluk hem KVKK hem Ticari İletişim Yönetmeliği’nden gelir.
Teknik gereksinimler: Çıkış linki mailin altında, görünür konumda olmalı. Tek tıklamayla çıkış yapılabilmeli (login gerektirmeyin, anket doldurmayın). Çıkış talebi 3 iş günü içinde işlenmeli. Çıkış yapan kişiye tekrar ticari ileti göndermek yasak.
Bazı firmalar abonelikten çıkma linkini çok küçük fontla, mailin en dibine gizliyor. Bu, teknik olarak yasaya uyar ama etik olarak sorunlu. Ayrıca aboneler çıkış linkini bulamadığında “spam olarak bildir” butonuna basıyor. Bu da gönderici itibarınıza çok daha fazla zarar verir.
Aydınlatma Metni Hazırlama
Email pazarlama faaliyetlerinize özel bir aydınlatma metni hazırlamanız gerekir. Bu metin şunları içermeli:
Veri sorumlusunun kimliği ve iletişim bilgileri. Hangi kişisel verilerin toplandığı (email adresi, ad-soyad, IP adresi, etkileşim verileri). Verilerin hangi amaçla işlendiği. Verilerin kiminle paylaşıldığı (email aracı, analitik araçlar). Verilerin ne kadar süre saklanacağı. İlgili kişinin hakları (erişim, düzeltme, silme, itiraz).
Hedef kitle segmentasyonu için ekstra veri topluyorsanız (yaş, cinsiyet, konum, ilgi alanları), bunları da aydınlatma metninde belirtmelisiniz. Topladığınız her veri kategorisi için ayrı bilgilendirme yapın.
Gerçek Ceza Örnekleri ve Alınacak Dersler
KVKK cezaları sadece büyük şirketlere verilmiyor. KOBİ’ler de sık sık ceza alıyor. İşte Türkiye’den gerçek örnekler:
Onaysız SMS ve email gönderimi: 2024’te bir e-ticaret şirketi, İYS’de onayı olmayan 50.000’den fazla kişiye promosyon maili gönderdiği için 500.000 TL para cezası aldı. Firma, mevcut müşteri listesini doğrudan email aracına yüklemiş ve onay kontrolü yapmamıştı.
Çıkış talebinin işlenmemesi: Bir telekomünikasyon firması, abonelikten çıkış yapan kullanıcılara mail göndermeye devam ettiği için 1.800.000 TL ceza aldı. Teknik bir hata nedeniyle çıkış listesi email aracıyla senkronize olmuyordu.
Yetersiz aydınlatma: Bir finans şirketi, email kayıt formunda yeterli aydınlatma yapmadığı ve toplanan verilerin üçüncü taraflarla paylaşıldığını belirtmediği için 750.000 TL cezaya çarptırıldı.
Bu örneklerden çıkarılacak dersler: Onay kontrolünü otomatikleştirin, dijital pazarlama otomasyonu araçlarıyla manuel süreçlere güvenmeyin. Abonelikten çıkış mekanizmasını düzenli olarak test edin. Aydınlatma metninizi yılda en az bir kez güncelleyin. İYS senkronizasyonunu otomatik yapın.
KVKK ile GDPR Arasındaki Farklar
Türkiye’deki birçok firma, uluslararası kaynaklardan GDPR uyum rehberlerini okuyup aynen uygulamaya çalışıyor. KVKK, GDPR’dan esinlenmiş olsa da önemli farklılıklar barındırıyor.
| Kriter | KVKK (Türkiye) | GDPR (Avrupa Birliği) |
|---|---|---|
| Hukuki dayanak sayısı | 6 hukuki dayanak | 6 hukuki dayanak (benzer ama detay farkları var) |
| Meşru menfaat | Dar yorumlanıyor, Kurul kısıtlı uyguluyor | Daha geniş uygulama alanı (soft opt-in dahil) |
| Veri Koruma Görevlisi (DPO) | Zorunlu değil ama tavsiye ediliyor | Belirli koşullarda zorunlu |
| İYS benzeri merkezi sistem | Var (iys.org.tr), zorunlu | Yok, her firma kendi kayıtlarını tutar |
| Para cezası tavanı | Her yıl güncellenen sabit tutarlar (2025: max ~10 milyon TL) | Global cironun %4’üne kadar veya 20 milyon Euro |
| Yurt dışı veri aktarımı | Açık rıza veya yeterli koruma + taahhütname | Yeterlilik kararı, SCCs veya BCRs |
En dikkat çekici fark meşru menfaat konusunda. GDPR’da bir firma, mevcut müşterisine benzer ürünlerle ilgili mail gönderirken “meşru menfaat” hukuki dayanağını kullanabilir (soft opt-in). Türkiye’de ise Kurul bu yaklaşımı dar yorumluyor ve çoğu durumda açık rıza arıyor. Bu nedenle Türkiye’de faaliyet gösteren firmalar için en güvenli yol, her durumda açık rıza toplamak.
Email Pazarlama KVKK Kontrol Listesi
Aşağıdaki kontrol listesi, KVKK email pazarlama uyumunuzun hızlı bir özetini sunar. Her maddeyi teker teker kontrol edin:
Kayıt aşaması: Aydınlatma metni kayıt formunda linkli mi? Onay kutusu önceden işaretlenmemiş mi? Rıza metni spesifik mi (ne tür ileti alacağı belirtilmiş mi)? Double opt-in aktif mi? İYS’ye kayıt yapılmış mı?
Gönderim aşaması: Her mailde abonelikten çıkma linki var mı? Gönderici kimlik bilgileri (firma adı, adres, iletişim) mailde yer alıyor mu? Sadece onaylı abonelere gönderim yapılıyor mu? İYS listesi email aracıyla senkronize mi?
Veri yönetimi: Kişisel veriler şifrelenmiş ortamda saklanıyor mu? Erişim yetkileri kısıtlı mı (sadece yetkili kişiler)? Veri saklama süreleri belirlenmiş mi? Silme/imha prosedürü tanımlanmış mı? VERBİS kaydı güncel mi?
Olay müdahale: Veri ihlali müdahale planı var mı? İhlal durumunda 72 saat içinde Kurul’a bildirim süreci tanımlı mı? İlgili kişilere bildirim mekanizması hazır mı?
Bu kontrol listesini her çeyrekte gözden geçirin. Mevzuat değişiklikleri, Kurul kararları ve teknolojik gelişmeler listeyi güncellemenizi gerektirebilir.
Kontrol listesini dijital ortamda tutmanızı ve her denetim döneminde tarihli bir kayıt oluşturmanızı tavsiye ederiz. Bir Excel tablosu veya proje yönetim aracında “KVKK Email Uyum Takibi” başlığıyla bu maddeleri listelemek, hem iç denetimleriniz hem de olası bir Kurul incelemesinde elinizi güçlendirir.
Email Stratejinizde Yasal Riskleri Ortadan Kaldırın
Bravery’nin email pazarlama hizmeti, KVKK uyumunu baştan sona sağlayarak güvenle büyümenizi destekler.
B2B Email Pazarlamada KVKK Uyumu
B2B (işletmeler arası) email pazarlamada KVKK uyumu konusunda yaygın bir yanlış anlama var: “Tüzel kişilere gönderiyoruz, KVKK bizi ilgilendirmez.” Bu doğru değil. Email adresinde kişi adı geçiyorsa (serdar@sirket.com gibi), bu kişisel veridir. info@sirket.com gibi genel adresler kişisel veri sayılmaz ama Ticari İletişim Yönetmeliği’ndeki onay kuralları yine geçerli.
B2B email kampanyalarında da İYS kaydı gerekir. Fuar, konferans veya networking etkinliğinde topladığınız kartvizitler, otomatik olarak email listesine eklenebilecek onaylar değildir. Kartvizit vermek, ticari ileti onayı vermek anlamına gelmez. Bu kişilere email göndermek istiyorsanız, ayrıca rıza almalısınız.
LinkedIn üzerinden topladığınız bağlantıların email adreslerini kullanarak toplu mail göndermek de KVKK ve LinkedIn kullanım şartları açısından ihlaldir. LinkedIn bağlantınız olmak, email pazarlama onayı anlamına gelmez.
Peki B2B firmalar nasıl yasal yoldan email listesi oluşturabilir? Web sitenize “sektörel rapor indir”, “webinar kaydı” veya “bülten aboneliği” gibi lead magnet’ler koyun. Kayıt formunda KVKK uyumlu aydınlatma ve rıza mekanizması bulunsun. Bu şekilde toplanan veriler hem kaliteli hem de yasal zemine oturmuş olur. Etkinliklerde kartvizit topladıysanız, bu kişilere önce bireysel bir mail atıp “bültenimize katılmak ister mişiniz?” diye sorabilirsiniz. Toplu kampanya değil, kişisel davet.
Veri İhlali Durumunda Yapılacaklar
KVKK email pazarlama uyumunun en acil boyutu veri ihlali müdahalesidir. Email aracınız hacklendi, abone verileriniz sızdı veya yetkisiz bir çalışan listeyi dışarıya aktardı. Bu senaryoların herhangi biri gerçekleştiğinde ne yapmalısınız?
İlk 24 saat: İhlali tespit edin ve kapsamını belirleyin. Kaç abonenin verisi etkilendi? Hangi veriler sızdı (sadece email adresi mi, yoksa ad-soyad, telefon gibi ek bilgiler de mi)? İhlali durdurmak için gerekli teknik müdahaleyi yapın: şifre değişikliği, erişim yetkisi kısıtlama, güvenlik açığını kapatma.
72 saat içinde: Kişisel Verileri Koruma Kurulu’na bildirim yapın. Bu zorunlu bir süre sınırıdır, aşıldığında ek yaptırım riski doğar. Bildirimde ihlalin niteliği, etkilenen kişi sayısı, etkilenen veri kategorileri, alınan ve alınacak önlemler yer almalı.
En kısa sürede: Etkilenen aboneleri bilgilendirin. Ne olduğunu, hangi verilerinin etkilendiğini ve kendi güvenlikleri için ne yapmaları gerektiğini açıkça anlatın. Şeffaflık, uzun vadede güven kaybını minimize eder. Saklama ve örtbas girişimi, tespit edildiğinde hem ceza hem itibar açısından çok daha ağır sonuçlar doğurur.
Veri ihlali müdahale planını (incident response plan) önceden hazırlayın. Kriz anında plan yapmaya çalışmak çok geç. Planınızda iletişim zinciri, teknik müdahale adımları, Kurul bildirim şablonu ve etkilenen kişilere gönderilecek bilgilendirme metni hazır olsun.
Uygulamada Karşılaşılan Sorunlar ve Çözümleri
“Eski listemizde onay kaydı yok, ne yapmalıyız?” Mevcut listenize bir “onay yenileme” kampanyası gönderin. “Bültenimize devam etmek istiyor musunuz?” şeklinde bir mail ile tekrar onay alın. Yanıt vermeyenleri listeden çıkarın. Evet, listeniz küçülecek. Ama yasal riskiniz sıfırlanacak.
“Müşterimize sipariş onayı ve kargo bildirimi gönderiyoruz, bunlar için de onay gerekli mi?” Hayır. İşlemsel (transactional) mailler ticari ileti sayılmaz. Sipariş onayı, fatura, şifre sıfırlama, kargo takip bilgisi gibi mailler hizmetin gereğidir ve ayrıca onay gerektirmez. Ama bu maillerin içine promosyon koymayın; aksi halde işlemsel mail, ticari ileti sayılır.
“Email listemizde yurt dışı aboneler de var, hangi kanun geçerli?” Türkiye’deki aboneler için KVKK, AB’deki aboneler için GDPR uygulanır. En güvenli yol: her iki düzenlemenin de en katı kurallarını benimsemek. Double opt-in kullanan, açık aydınlatma yapan, çıkış mekanizması sunan bir e-posta segmentasyonu ve yönetim sistemi her iki düzenlemeye de uyumlu olur.
“Çalışanlarımızın email adreslerini kullanarak şirket bültenine kayıt oluyoruz, bu da KVKK kapsamında mı?” Evet. Çalışan kişisel verileri de KVKK kapsamında korunur. Çalışanlarınıza ticari bülten göndermek istiyorsanız, iş sözleşmesinden bağımsız olarak ayrı bir rıza almanız gerekir. İş ilişkisi sona erdiğinde bu verileri de silmelisiniz.
“Email aracımızda otomatik tracking pikseli var, bunu kapatmam mı gerekiyor?” Kapatmanız gerekmez ama aydınlatma metninizde belirtmeniz gerekir. “E-posta açılma ve tıklama verileri, hizmet kalitesinin ölçülmesi amacıyla işlenmektedir” gibi bir ifade yeterli. Tracking pikseli kullanmayı tamamen reddeden bir aboneniz olursa, bu talebi yerine getirmeniz beklenir ancak pratikte bu teknik olarak zor olabilir. Aydınlatma metninizde bu sınırlamayı belirtmek faydalı olur.
Güneş Mobilya’nın dijital dönüşüm projesinde olduğu gibi, yasal uyum ve performans hedefleri bir arada yönetildiğinde sürdürülebilir sonuçlar elde edilir. Kısa yollar cazip görünebilir ama tek bir KVKK cezası, yıllarca biriktirdiğiniz email gelirinden fazlasını götürebilir.
Sık Sorulan Sorular
KVKK’ya göre email listesi satın almak yasak mı?
Direkt yasaklayan bir madde yok ama pratikte yasadışı. Satın aldığınız listedeki kişiler size açık rıza vermemiştir. Bu kişilere ticari ileti göndermek hem KVKK hem Ticari İletişim Yönetmeliği ihlali. Ayrıca bu listeler genelde eski ve hatalı adreslerle dolu olduğu için teslim edilebilirliğinize de zarar verir.
Abonelikten çıkış yapan kişiye tekrar mail gönderebilir miyim?
Ticari ileti gönderemezsiniz. İşlemsel mailler (sipariş bilgisi, fatura, hesap güvenliği gibi) farklı kategoride olduğu için gönderebilirsiniz. Ama bu maillerin içine pazarlama mesajı koymayın. Kişi tekrar abone olmak isterse yeni bir onay süreci başlatmanız gerekir.
İYS kaydı olmadan email göndermenin cezası ne?
İYS’ye kaydolmadan ticari elektronik ileti gönderen firmalara Ticaret Bakanlığı tarafından idari para cezası uygulanır. 2025 itibarıyla bu ceza gönderim hacmine ve ihlalin tekrarına göre 10.000 TL ile 500.000 TL arasında değişebilmektedir. Ayrıca KVKK kapsamında ayrı bir para cezası da gelebilir.
Email açılma takibi (tracking pixel) KVKK’ya uygun mu?
Tracking pikseli kişisel veri işlediği için aydınlatma metninde belirtilmeli. Abonenin, maillerinin ne zaman ve hangi cihazda açıldığının takip edildiğini bilmesi gerekir. Bu bilgi aydınlatma metninde varsa ve abone rıza verdiyse, kullanabilirsiniz.
Yurt dışındaki email aracını kullanmak veri aktarımı sayılır mı?
Evet. Mailchimp, Brevo, ActiveCampaign gibi araçlara abone verisi yüklediğinizde yurt dışına veri aktarımı gerçekleşmiş olur. Aydınlatma metninizde bu aktarımı belirtin, Veri İşleme Sözleşmesi (DPA) imzalayın ve abonenin açık rızasını alın.
Mevcut müşterilere onay almadan email gönderebilir miyim?
Mevcut müşterilere sipariş, fatura gibi işlemsel mailler onaysız gönderilebilir. Ama promosyon, kampanya, bülten gibi ticari iletiler için açık rıza gerekir. “Müşterimiz zaten” gerekçesi ticari ileti için yeterli bir hukuki dayanak oluşturmuyor. Türkiye’de meşru menfaat dayanağı bu konuda dar yorumlanıyor.
KVKK denetimi sırasında email pazarlama için ne sorulur?
Kurul veya inceleme sırasında sorulabilecek konular: onay kayıtlarınız (ne zaman, nasıl, hangi metin ile alındı), aydınlatma metniniz, veri saklama ve imha politikanız, İYS kaydınız, yurt dışı veri aktarım süreciniz ve abonelikten çıkış mekanizmanız. Bu belgeleri her an erişilebilir şekilde tutun.
Email Pazarlamanızda Yasal Zemini Sağlamlaştırın
Doğru yapılandırılmış bir altyapı, hem performansı hem güvenliği artırır.
Kaynaklar
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu
- 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
- Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
- Kişisel Verileri Koruma Kurulu Karar Özetleri 2024-2025
- İleti Yönetim Sistemi (iys.org.tr) Kullanım Kılavuzu
- VERBİS Kayıt Rehberi, KVKK Kurumu
