Gizlilik Politikasına İhtiyacım Var mı?

Dünya çapında gizlilik yasalarına kapsamlı rehber: GDPR, CCPA, KVKK ve ötesi. Bu düzenlemeler kapsamındaki yükümlülüklerinizi anlayın.

Avukat İncelemesinden GeçmişAmerika Birleşik DevletleriGüncellendi 18 Ocak 2026

Özet

Web siteniz veya uygulamanız HERHANGİ BİR kişisel bilgi topluyorsa (isimler, e-postalar, IP adresleri, çerezler, analitik), bir gizlilik politikasına ihtiyacınız var. Bu, serbest çalışanlar ve yan projeler dahil her boyuttaki işletme için geçerlidir.

GDPR: 20M€'ya kadar cezaCCPA: İhlal başına 7.500$KVKK: 1,8M₺'ye kadar ceza

İçindekiler

1. Gizlilik Politikası Nedir?

Gizlilik politikası, web sitenizin, uygulamanızın veya işletmenizin kullanıcılardan veya müşterilerden kişisel bilgileri nasıl topladığını, kullandığını, sakladığını ve koruduğunu açıklayan yasal bir belgedir. Bu sadece olması güzel bir şey değildir—herhangi bir kişisel veri topluyorsanız çoğu yargı alanında yasal olarak zorunludur.

"Kişisel Veri" Olarak Ne Sayılır?

Açıkça Kişisel:

  • İsim, e-posta, telefon numarası
  • Fiziksel adres
  • Ödeme bilgileri
  • Devlet kimlikleri
  • İnsanların fotoğraf/videoları

Sıkça Gözden Kaçan:

  • IP adresleri
  • Çerezler ve izleme verileri
  • Cihaz tanımlayıcıları
  • Konum verileri
  • Gezinme davranışı

2. Ne Zaman İhtiyacınız Var?

EVETİsim/e-posta toplayan bir iletişim formunuz var
EVETGoogle Analytics, Facebook Pixel veya herhangi bir izleme kullanıyorsunuz
EVETKullanıcı hesapları veya girişleriniz var
EVETÖdeme işliyorsunuz
EVETE-posta bülteniniz var
EVETKullanıcılı herhangi bir uygulamanız var (mobil veya web)
EVETAB, Kaliforniya veya Türk ziyaretçileriniz var

Platform Gereksinimleri

Hiçbir yasa sizin için geçerli olmasa bile, platformlar gizlilik politikası gerektirir: Apple App Store, Google Play Store, Google AdSense, Google Analytics, Facebook/Meta reklamcılığı, Amazon Associates ve çoğu ödeme işlemcisi bir tane gerektirir.

3. GDPR (Avrupa Birliği)

Genel Veri Koruma Yönetmeliği, dünyanın en katı gizlilik yasasıdır. İşletmenizin nerede olduğuna bakılmaksızın, AB sakinlerinin kişisel verilerini işleyen herhangi bir işletme için geçerlidir.

GDPR Şu Durumlarda Sizin İçin Geçerlidir...

  • AB'de bir kuruluşunuz var
  • AB sakinlerine mal/hizmet sunuyorsunuz (ücretsiz hizmetler bile)
  • AB'deki insanların davranışını izliyorsunuz

Temel GDPR Gereksinimleri

Hukuki Dayanak

İşleme için yasal bir dayanağa ihtiyacınız var: rıza, sözleşme, yasal yükümlülük, hayati çıkarlar, kamu görevi veya meşru çıkarlar.

Rıza Gereksinimleri

Rıza özgürce verilmiş, belirli, bilgilendirilmiş ve açık olmalıdır. Önceden işaretlenmiş kutular geçerli rıza DEĞİLDİR.

Kullanıcı Hakları

Erişim, düzeltme, silme ("unutulma hakkı"), işlemeyi kısıtlama, veri taşınabilirliği ve işlemeye itiraz hakkı.

Veri İhlali Bildirimi

İhlali keşfettikten sonra 72 saat içinde denetim makamına bildirilmelidir. Yüksek risk varsa etkilenen bireyler de bilgilendirilmelidir.

GDPR Cezaları

20 milyon €'ya kadar veya yıllık küresel cironun %4'ü (hangisi daha yüksekse). Küçük işletmeler bile ceza aldı. 2023'te Meta, ABD'ye veri aktarımı için 1,2 milyar € ceza aldı.

4. CCPA/CPRA (Kaliforniya)

Kaliforniya Tüketici Gizliliği Yasası (CPRA ile güçlendirilmiş), ABD'nin en güçlü gizlilik yasasıdır. Kaliforniya sakinlerine kişisel bilgileri üzerinde önemli haklar verir.

CCPA Şu Durumlarda Sizin İçin Geçerlidir...

Kaliforniya'da iş yapıyorsunuz VE bunlardan HERHANGİ BİRİNİ karşılıyorsunuz:

  • Yıllık brüt gelir 25 milyon doların üzerinde
  • 100.000+ Kaliforniya sakini/hanesinin kişisel bilgilerini satın alın, satın veya paylaşın
  • Gelirin %50+'sini kişisel bilgi satma/paylaşmadan elde edin

Temel CCPA/CPRA Hakları

Bilme Hakkı

Tüketiciler sizin onlar hakkında hangi kişisel bilgileri topladığınızı ve nedenini talep edebilir

Silme Hakkı

Tüketiciler kişisel bilgilerinin silinmesini talep edebilir

Çıkış Hakkı

"Kişisel Bilgilerimi Satma veya Paylaşma" seçeneği sağlanmalıdır

Düzeltme Hakkı

Tüketiciler yanlış bilgilerin düzeltilmesini talep edebilir

Kullanımı Sınırlama Hakkı

Hassas kişisel bilgi kullanımı sınırlandırılabilir

Ayrımcılık Yasağı

Haklarını kullanan tüketiciler cezalandırılamaz

CCPA Cezaları

Kasıtsız ihlal başına 2.500$, kasıtlı ihlal başına 7.500$. Veri ihlalleri için özel dava hakkı (olay başına tüketici başına 100$-750$). Sephora 2022'de 1,2M$ ceza aldı.

5. KVKK (Türkiye)

Kişisel Verilerin Korunması Kanunu, büyük ölçüde GDPR'dan sonra modellenen Türkiye'nin kapsamlı veri koruma yasasıdır. Türkiye'deki bireylerin kişisel verilerinin işlenmesine uygulanır.

KVKK Şu Durumlarda Sizin İçin Geçerlidir...

  • Türkiye'deki bireylerin kişisel verilerini işliyorsunuz
  • Türkiye'deki insanlara mal/hizmet sunuyorsunuz (yurt dışından bile)
  • Türkçe web siteniz, Türkçe içeriğiniz var veya Türk Lirası kabul ediyorsunuz

Temel KVKK Gereksinimleri

VERBİS Kaydı

50+ çalışanı olan VEYA hassas veri işleyen VEYA belirli eşiklerin üzerinde yıllık cirosu olan veri sorumluları Veri Sorumluları Sicili'ne (VERBİS) kaydolmalıdır.

Açık Rıza

Rıza açık, bilgilendirilmiş, özgürce verilmiş ve belirli olmalıdır. Genel şartlar ve koşullar rıza için yeterli DEĞİLDİR.

İlgili Kişi Hakları

Verinin işlenip işlenmediğini öğrenme, erişim, düzeltme, silme talep etme, profillemeye itiraz etme ve ihlaller için tazminat talep etme hakları.

Sınır Ötesi Aktarımlar

Yurt dışına veri aktarımı ya açık rıza YA DA KVKK Kurulu tarafından yeterli kabul edilen ülkelere aktarım VEYA bağlayıcı şirket kuralları/standart sözleşme maddeleri gerektirir.

KVKK Cezaları

İhlale bağlı olarak 50.000₺'den 1.800.000₺+'ye kadar idari para cezaları. Kişisel Verileri Koruma Kurumu aktif olarak soruşturma yapar ve şirketlere ceza verir. Belirli ihlaller için cezai yaptırımlar da mümkündür.

6. Diğer Gizlilik Yasaları

Gizlilik yasaları dünya çapında çoğalıyor. İşte dikkate almanız gerekebilecek diğer önemli düzenlemeler:

YasaYargı AlanıÖnemli Özellik
LGPDBrezilyaGDPR benzeri, Brezilya verilerini işleyen tüm işletmeler için geçerli
PIPEDAKanadaRıza tabanlı, ticari faaliyetler için geçerli
POPIAGüney AfrikaGDPR etkisinde, katı rıza gereksinimleri
PIPLÇinKatı veri yerelleştirme, devlet erişim hükümleri
APPIJaponyaAB-yeterli statü, güçlü kullanıcı hakları
CPAColorado, ABDCCPA benzeri, hedefli reklamlar için evrensel çıkış
VCDPAVirginia, ABDCCPA benzeri, özel dava hakkı yok
CTDPAConnecticut, ABDGDPR etkisinde, sadakat programı korumaları

ABD Eyalet Gizlilik Yasaları Genişliyor

2026 itibarıyla, 15+ ABD eyaleti kapsamlı gizlilik yasaları çıkardı. Hâlâ federal bir gizlilik yasası yok, bu da işletmelerin yönetmesi gereken bir yama işi oluşturuyor. CCPA/GDPR uyumu için tasarlamak genellikle çoğu gereksinimi karşılar.

7. Gizlilik Politikanıza Neleri Dahil Etmeli

Kapsamlı bir gizlilik politikası aşağıdaki tüm bölümleri içermelidir:

1
Kimlik ve İletişim Bilgileri:Kim olduğunuz, işletme adınız, adresiniz ve sizinle nasıl iletişime geçileceği (özellikle gizlilik sorguları için)
2
Hangi Verileri Topluyorsunuz:Spesifik olun: isimler, e-postalar, IP adresleri, çerezler, cihaz bilgileri, konum, ödeme verileri vb.
3
Verileri Nasıl Topluyorsunuz:Formlar, çerezler, analitik, üçüncü taraf hizmetleri, otomatik toplama
4
Neden Veri Topluyorsunuz:İşleme için yasal dayanak: rıza, sözleşme, meşru çıkar. Her veri türü için amaç.
5
Verileri Nasıl Kullanıyorsunuz:Hizmet sunumu, iletişim, pazarlama, analitik, kişiselleştirme, yasal uyum
6
Verileri Kiminle Paylaşıyorsunuz:Üçüncü taraflar: hizmet sağlayıcılar, analitik, reklam ortakları, yasal otoriteler
7
Uluslararası Aktarımlar:Veri kullanıcının ülkesi dışına çıkıyorsa, nereye gittiğini ve hangi güvencelerin olduğunu açıklayın
8
Veri Saklama:Verileri ne kadar süre tuttuğunuz ve silme uygulamalarınız
9
Kullanıcı Hakları:Erişim, düzeltme, silme, çıkış, taşınabilirlik—ve bunları nasıl kullanacakları
10
Çerez Politikası:Hangi çerezleri kullandığınız, neden ve kullanıcıların bunları nasıl yönetebileceği (genellikle ayrı bir sayfa)
11
Çocukların Gizliliği:13 yaş altı (AB'de 16) kullanıcılarınız olabiliyorsa COPPA uyumu
12
Güvenlik Önlemleri:Verileri nasıl koruduğunuz (genel terimler, belirli güvenlik ayrıntılarını açıklamayın)
13
Politika Güncellemeleri:Değişiklikleri kullanıcılara nasıl bildireceğiniz
14
Yürürlük Tarihi:Politikanın en son ne zaman güncellendiği

8. Pratik Uyum Adımları

Minimum Uyum Kontrol Listesi

  • [ ]Kapsamlı bir gizlilik politikası oluşturun (bu rehberi kullanın)
  • [ ]Web sitesi altbilgisine gizlilik politikası bağlantısı ekleyin (tüm sayfalarda görünür)
  • [ ]AB/İngiltere ziyaretçileri için çerez onay afişi uygulayın
  • [ ]Kaliforniya ziyaretçileri için "Bilgilerimi Satma" bağlantısı ekleyin
  • [ ]Veri sahibi taleplerini işlemek için bir süreç oluşturun
  • [ ]Hangi verileri topladığınızı ve nedenini belgeleyin
  • [ ]Gizlilik uyumu için üçüncü taraf hizmetlerini gözden geçirin
  • [ ]Uygun güvenlik önlemlerini uygulayın
  • [ ]Kişisel verileri işleyen ekip üyelerini eğitin

Çerez Onayı En İyi Uygulamaları

Yapın:

  • Zorunlu olmayan çerezleri ayarlamadan ÖNCE onay afişi gösterin
  • Kolay redde izin verin (kabul ile aynı belirginlikte)
  • Kategoriye göre ayrıntılı seçenekler sağlayın
  • Kullanıcı tercihlerini hatırlayın

Yapmayın:

  • Önceden işaretlenmiş kutular kullanmayın
  • Reddi kabulden daha zor yapmayın
  • Manipülatif tasarım kullanmayın ("karanlık desenler")
  • Kullanıcı tercihlerini yok saymayın

Ücretsiz Şablonları Körü Körüne Kullanmayın

Genel gizlilik politikası oluşturucuları genellikle önemli ayrıntıları kaçırır veya gerçek uygulamalarınızla eşleşmeyen hükümler içerir. Gizlilik politikanız, SİZİN veri uygulamalarınızı doğru bir şekilde tanımlamalıdır—genel bir şablon değil. Yanlış politikalar hiç politika olmamasından daha kötü olabilir.

Sık Sorulan Sorular

Kişisel bir blog için gizlilik politikasına ihtiyacım var mı?

HERHANGİ BİR analitik (Google Analytics gibi ücretsiz olanlar bile) kullanıyorsanız, yorumlarınız varsa, ortaklık bağlantıları kullanıyorsanız veya e-posta kaydınız varsa, evet. En güvenli yaklaşım, herhangi bir genel web sitesi için bir tane bulundurmaktır.

Başka bir şirketin gizlilik politikasını kopyalayabilir miyim?

Hayır. Bu telif hakkı ihlalidir VE politikanız SİZİN uygulamalarınızı doğru bir şekilde tanımlamalıdır. Gerçek uygulamalarınızla eşleşmeyen bir politika sizi daha az değil, daha fazla sorumluluğa maruz bırakır.

Gizlilik politikalarının kullanıcının dilinde olması gerekir mi?

GDPR, bilgilerin açık, sade bir dilde olmasını gerektirir. En iyi uygulama, aktif olarak hedeflediğiniz dillerde politikalar sağlamaktır. Siteniz Türkçeyse, gizlilik politikanız da Türkçe olmalıdır.

Gizlilik politikamı ne sıklıkla güncellemeliyim?

Minimum yılda bir gözden geçirin ve veri uygulamalarını değiştirdiğinizde, yeni hizmetler/araçlar eklediğinizde veya yasalar değiştiğinde güncelleyin. Önemli değişiklikleri her zaman kullanıcılara bildirin.

Kullanım Koşulları Gizlilik Politikası ile aynı mı?

Hayır, farklı belgelerdir. Kullanım Koşulları, kullanıcıların hizmetinizi nasıl kullanabileceğini yönetir. Gizlilik Politikası, verilerini nasıl işlediğinizi açıklar. Genellikle her ikisine de ihtiyacınız vardır.

Veri Koruma Görevlisine (DPO) ihtiyacım var mı?

GDPR kapsamında, kamu otoritesiyseniz, büyük ölçekli sistematik izleme yapıyorsanız veya hassas verileri ölçekte işliyorsanız bir DPO'ya ihtiyacınız vardır. Çoğu küçük işletmenin buna ihtiyacı yoktur, ancak bir gizlilik iletişim noktası bulundurmak iyi bir uygulamadır.

Özet: Gizlilik Uyumu Temelleri

Şu Durumlarda Gizlilik Politikasına İhtiyacınız Var:

  • Herhangi bir kişisel bilgi topluyorsunuz
  • Analitik veya izleme kullanıyorsunuz
  • AB, Kaliforniya veya Türk ziyaretçileriniz var
  • Herhangi bir üçüncü taraf hizmeti kullanıyorsunuz

Temel Gereksinimler:

  • Açık, erişilebilir gizlilik politikası
  • AB ziyaretçileri için çerez onayı
  • Kaliforniya sakinleri için çıkış seçeneği
  • Kullanıcı taleplerini işleme süreci

Pratik Sonuç

Kimleri etkiler

  • Kişisel veri toplayan web sitesi ve uygulama işletmecileri
  • Müşteri bilgilerini işleyen e-ticaret işletmeleri
  • GDPR, CCPA veya KVKK'ya tabi kuruluşlar

Acil risk

Uyumsuzluk, düzenleyici para cezaları (GDPR kapsamında 20 milyon €'ya kadar), yaptırım işlemleri veya bireysel davalarla sonuçlanabilir.

Sonraki prosedürel adım

Mevcut veri toplama uygulamalarını denetleyin ve gizlilik politikanızın geçerli düzenleyici çerçeveleri yansıttığını doğrulayın.

Kaynaklar normatif sıraya göre sunulmaktadır. Alt kademe materyaller, üst kademe otoriteyi geçersiz kılmaz.

  • Regulation (EU) 2016/679 (GDPR)Genel Veri Koruma Yönetmeliği — kişisel veri işleme için AB çerçevesi
  • Kişisel Verilerin Korunması Kanunu, Kanun No. 6698 (KVKK)Kişisel Verilerin Korunması Kanunu
  • 16 C.F.R. Part 312Çocukların Çevrimiçi Gizlilik Koruması Kuralı (COPPA)
  • Cal. Civ. Code § 1798.100 et seq.Kaliforniya Tüketici Gizliliği Yasası (CCPA) / Kaliforniya Gizlilik Hakları Yasası (CPRA)
  • FTC, Protecting Consumer Privacy in an Era of Rapid Change (2012)FTC gizlilik çerçevesi ve uygulama rehberliği

Bu Maddeyi Kaynak Göster

Standart

EchoLegal, “Gizlilik Politikasına İhtiyacım Var mı? GDPR, CCPA ve KVKK Açıklaması,” EchoLegal Hukuk Ansiklopedisi, v1.1 (son güncelleme 18 Oca 2026), https://echo-legal.com/tr/encyclopedia/privacy-policy-guide.

Bluebook

Gizlilik Politikasına İhtiyacım Var mı? GDPR, CCPA ve KVKK Açıklaması, EchoLegal Hukuk Ansiklopedisi (son güncelleme 18 Oca 2026), https://echo-legal.com/tr/encyclopedia/privacy-policy-guide.

Kaynak No:ecl-enc-00004

İlgili Makaleler