KVKK + Mesafeli Satış: Online Satış Yapanlar İçin 2026 Yasal Kontrol Listesi
Türkiye'de online satış yapan herkesin bilmesi gereken KVKK ve Mesafeli Satış Sözleşmesi yükümlülükleri. 14 maddelik kontrol listesi, ceza riskleri, pratik şablonlar.
TL;DR: Türkiye'de online satış yapan her marka 2 ana yasaya uymak zorunda: KVKK (kişisel veri koruması) + Mesafeli Satış Sözleşmesi (Tüketici Hakları Yönetmeliği). Eksik uyum cezası 250K-1.2M ₺ aralığı, KVKK Kurulu kararlarıyla artıyor. Bu yazıda 14 maddelik kontrol listesi (KVKK 7 + Mesafeli Satış 7), her madde için pratik şablon + risk seviyesi + ceza örnekleri. Sosyal medyadan satış yapan da bu yasalara tabi.
E-ticaret kurucusu olarak teknik dert hep ön plandadır — landing, ödeme, kargo. Ama yasal uyum ihmal edildiğinde 6 ay sonra "tek bir şikayet, 250K ₺ ceza" senaryosuyla karşılaşıyorsun. Bu yazı, online satış yapanların kontrol etmesi gereken 14 maddeyi pratik şablonlarla anlatıyor.
⚠️ Yasal feragat: Bu yazı genel bilgilendirme amaçlıdır, hukuki danışmanlık değildir. Kritik konularda mutlaka avukat / KVKK uzmanı ile çalış. Detaylı KVKK chatbot uyum çerçevesi için KVKK Uyumlu Chatbot Seçimi rehberimize bak.
Bölüm A — KVKK kontrol listesi (7 madde)
1) Aydınlatma metni (zorunlu)
Yasal dayanak: KVKK md. 10
Ne yapacaksın: Kişisel veri toplayan her form / sayfa altında görünür şekilde aydınlatma metni yer almalı.
İçermesi gereken:
- ✅ Veri sorumlusunun kimliği (firma adı + iletişim)
- ✅ Hangi veriler toplanıyor (e-posta, ad, IP, vs.)
- ✅ Hangi amaçla işleniyor
- ✅ Kimlere aktarılıyor (ödeme gateway, kargo, vs.)
- ✅ Saklama süresi
- ✅ Kullanıcı hakları (KVKK md. 11)
Risk: Yok ise → KVKK Kurulu şikayet halinde anında 250K-500K ₺ ceza (örnek: 2024 e-ticaret cezası).
Şablon: /privacy — bizim örneğimiz açık kaynaklı.
2) Açık rıza (zorunlu)
Yasal dayanak: KVKK md. 5
Ne yapacaksın: Pazarlama mesajı (e-posta, SMS, WhatsApp) için açık rıza al. Form altında opt-in checkbox zorunlu (önceden işaretli olamaz).
☐ E-posta listenize katılmayı kabul ediyorum, kişisel veri politikanızı okudum.
Risk: Eksik rıza ile pazarlama mesajı = ETBİS / KVKK ortak şikayet konusu. Ceza 200K-1M ₺.
3) Çerez (cookie) politikası
Yasal dayanak: KVKK + ETK md. 50 (Elektronik Ticaretin Düzenlenmesi)
Ne yapacaksın:
- ✅ İlk ziyarette cookie banner ("Kabul ediyorum / Reddediyorum")
- ✅ Reddedilirse pazarlama / analitik çerez çalışmamalı
- ✅ Cookie politikası sayfası: hangi çerez, ne için, kaç gün
Risk: Banner yoksa → KVKK kararı 2024: 300K ₺ (e-ticaret marka).
Şablon: /cerez-politikasi
4) Veri silme talebi karşılama mekanizması
Yasal dayanak: KVKK md. 11 ("unutulma hakkı")
Ne yapacaksın: Müşteri "verilerimi silin" derse 30 gün içinde sil + yanıt ver.
Pratik:
- ✅ Web sitende
/data-deletionveya benzeri sayfa - ✅ E-posta:
kvkk@markan.comveyalegal@markan.com - ✅ Talep takibi (Notion / spreadsheet) — yasal kanıt
Risk: Eksik = "unutulma hakkı" ihlali → KVKK kararı + ceza + müşteri kaybı.
Şablon: /data-deletion
5) Veri Sorumluları Sicili (VERBİS) kaydı
Yasal dayanak: KVKK md. 16
Ne yapacaksın: Yıllık ciro veya çalışan eşiklerini geçtiyseniz VERBİS sicil kaydı zorunlu.
| Eşik | Kayıt zorunluluğu |
|---|---|
| Yıllık ciro < 25M ₺ + < 50 çalışan | Çoğu KOBİ için ❌ zorunlu değil |
| Yukarıdaki üstünde | ✅ Zorunlu |
| Hassas veri (sağlık, biyometrik, etnik) işliyorsan | ✅ Zorunlu, eşik bağımsız |
Risk: Eşiği geçip kayıt yoktur → 50K-1M ₺ ceza.
6) Alt işveren (sub-processor) sözleşmesi
Yasal dayanak: KVKK md. 8
Ne yapacaksın: Müşteri verisini bir 3. tarafa (örn. ödeme gateway, e-posta servisi, chatbot) aktarıyorsan DPA (Data Processing Agreement) imzala.
Yaygın alt işverenler:
- iyzico / PayTR (ödeme)
- Mailchimp / Sendgrid (e-posta)
- Aras / Yurtiçi (kargo)
- Cloudflare / AWS (hosting)
- FendyChat / ManyChat (chatbot)
Risk: Sözleşme yoksa veri sızıntısı durumunda tek başına sen sorumlu olursun.
7) Veri sızıntısı bildirimi
Yasal dayanak: KVKK md. 12 / 5
Ne yapacaksın: Veri sızıntısı (hack, yetkisiz erişim) durumunda:
- ✅ 72 saat içinde KVKK Kurulu'na bildir
- ✅ Etkilenen kullanıcıları bilgilendir
- ✅ Olay raporu hazırla
Risk: Bildirim yapılmaması → 1.5M ₺'ye kadar ceza.
Bölüm B — Mesafeli Satış kontrol listesi (7 madde)
8) Mesafeli Satış Sözleşmesi (zorunlu)
Yasal dayanak: Tüketici Hakları Yönetmeliği md. 9-12
Ne yapacaksın: Online satışta her sipariş öncesi sözleşme onayı al.
Sözleşme içermeli:
- ✅ Satıcı bilgileri (firma adı, MERSİS, vergi no)
- ✅ Ürün açıklama, fiyat, KDV dahil/hariç
- ✅ Teslimat süresi + masrafları
- ✅ İade hakkı (14 gün) + iade süreci
- ✅ Cayma hakkı kullanım formu
Risk: Eksik = tüketici şikayeti → ceza 5K-50K ₺ + iade tamamı.
Şablon: /mesafeli-satis
9) Cayma hakkı (14 gün)
Yasal dayanak: Tüketici Hakları Yönetmeliği md. 11
Ne yapacaksın: Müşteri ürünü teslim aldıktan sonra 14 gün içinde koşulsuz iade hakkına sahip. Sen:
- ✅ İade kabul et (gerekçe sorma)
- ✅ İade kargo masrafı sen öde (eğer ürün hatalıysa veya web sitende belirtmemişsen)
- ✅ İade alındıktan sonra 10 gün içinde ödeme iadesini yap
İstisna: Kişiye özel üretilen, hijyenik (iç çamaşır vb.), tüketilmiş yiyecek vb. iadeye girmez ama bunu sözleşmede açıkça belirt.
Risk: İade reddedersen tüketici hakem heyeti / mahkeme → ceza + iade + reklam imajı.
10) Ön bilgilendirme formu (zorunlu)
Yasal dayanak: Tüketici Hakları Yönetmeliği md. 5
Ne yapacaksın: Sipariş öncesi müşteriye ön bilgilendirme formu göster (Mesafeli Satış Sözleşmesinden önce):
- ✅ Ürün özellikleri
- ✅ Toplam fiyat (tüm vergiler dahil)
- ✅ Teslimat süresi + masrafları
- ✅ Cayma hakkı (14 gün) bildirimi
- ✅ Şikayet başvuru bilgileri
Genelde checkout sayfasında "Sözleşmeyi Onaylıyorum" + "Ön Bilgilendirmeyi Okudum" çift checkbox.
11) Fiyatlandırma şeffaflığı
Yasal dayanak: Tüketici Kanunu md. 9
Ne yapacaksın:
- ✅ Ürün fiyatı KDV dahil göster
- ✅ Kargo masrafı checkout öncesi belli olsun (sürpriz yok)
- ✅ "Liste fiyatı" ve "İndirimli fiyat" yan yana → liste fiyat gerçek olmalı (sahte indirim yasak)
Risk: Sahte indirim / gizli ücret → Reklam Kurulu cezası 50K-500K ₺.
12) E-fatura / e-arşiv fatura
Yasal dayanak: VUK 509 sıra no Tebliğ
Ne yapacaksın: Ciro eşiklerini geçtiyseniz e-fatura / e-arşiv fatura zorunlu:
| Yıllık ciro | Zorunluluk |
|---|---|
| < 5M ₺ | ❌ Zorunlu değil (manuel fatura) |
| 5M ₺ - 30M ₺ | ✅ E-arşiv fatura |
| > 30M ₺ | ✅ E-fatura |
Risk: Eksik fatura = vergi cezası + müşteri şikayeti.
13) ETBİS kaydı (Elektronik Ticaret Bilgi Sistemi)
Yasal dayanak: Elektronik Ticaret Yönetmeliği
Ne yapacaksın: Online satış yapan her marka ETBİS sistemine kayıt olmalı (eticaret.gov.tr).
Kayıt sonrası:
- ✅ ETBİS sicil numaranı web sitende belirt
- ✅ Yıllık veri raporu (ciro, kategori, vs.)
Risk: Eksik kayıt → 5K-50K ₺ ceza + uyarı.
14) Şikayet ve uyuşmazlık başvuru bilgileri
Yasal dayanak: Tüketici Kanunu md. 70
Ne yapacaksın: Sözleşmede ve web sitende açıkça belirt:
- ✅ Tüketici Hakem Heyeti başvuru limiti (2026: ~58.500 ₺ altı uyuşmazlık için ilçe heyeti)
- ✅ Üzerinde tutar için Tüketici Mahkemesi
- ✅ Müşteri hizmetleri iletişim (e-posta, telefon)
Risk: Şikayet bilgisi gizlemek = tüketici hakkı ihlali.
Sosyal medyadan satış da bu yasalara tabi
Yaygın yanlış: "Instagram'dan DM ile satıyorum, sözleşme gerekmiyor."
Yanlış. ETBİS, KVKK ve Mesafeli Satış kuralları satış kanalı bağımsız uygulanır. Instagram DM'den satıyorsan:
- ✅ Müşteriye ödeme öncesi link ile Mesafeli Satış Sözleşmesi yolla
- ✅ Onay alındıktan sonra ödeme link'i (iyzico vs.)
- ✅ KVKK aydınlatma metni IG bio'da link
- ✅ ETBİS kaydı (Instagram'dan satıyor olsan bile)
Risk seviyesi tablosu
| Madde | Eksiklik halinde tipik ceza |
|---|---|
| KVKK aydınlatma | 250K-500K ₺ |
| Açık rıza | 200K-1M ₺ |
| Cookie banner | 200K-300K ₺ |
| Veri silme mekanizması | 100K-500K ₺ |
| VERBİS kayıt | 50K-1M ₺ |
| DPA (alt işveren) | Sızıntıda tek başına sorumlu |
| Sızıntı bildirimi | 1.5M ₺'ye kadar |
| Mesafeli Satış sözleşmesi | 5K-50K ₺ + iade |
| Cayma hakkı reddi | 10K-100K ₺ |
| Sahte indirim | 50K-500K ₺ |
| ETBİS eksik | 5K-50K ₺ |
30 günlük yasal uyum planı
Hafta 1:
- ✅ Privacy Policy + Cookie Policy + Mesafeli Satış sözleşmesi yaz (avukat ile birlikte)
- ✅ Web sitesine ekle (footer link'leri)
Hafta 2:
- ✅ Cookie banner kur
- ✅ Form altına opt-in checkbox + aydınlatma linki
- ✅ ETBİS kayıt başvurusu (eticaret.gov.tr)
Hafta 3:
- ✅ DPA sözleşmeleri (iyzico, e-posta servisi, chatbot)
- ✅ Veri silme sayfası + e-posta kanalı (kvkk@markan.com)
Hafta 4:
- ✅ Yasal sayfaları gözden geçir (avukat review)
- ✅ Müşteri hizmetleri ekibini şikayet süreci konusunda eğit
- ✅ Yıllık takvim: VERBİS güncel, KVKK politika revizyon, vb.
Sıkça sorulan sorular
S: Avukatla çalışmak şart mı?
C: Şart. En azından bir kez sözleşmeleri review ettir. KVKK / Mesafeli Satış şablonları internet'te var ama markana özel detaylar (ürün kategorisi, hassas veri varlığı, alt işverenler) ile özelleştirilmeli.
S: Avukat maliyeti yaklaşık ne?
C: KOBİ için 5K-15K ₺ tek seferlik (3 sözleşme paketi). Aylık danışmanlık 1.500-5.000 ₺. Ya da internet üzerinden uzman (örn. KOBI hukuk paketleri) 2K-5K ₺ aralığı.
S: Sosyal medyadan satıyorum, web sitesi yok. Yasal uyum nasıl?
C: ETBİS kaydı yine zorunlu. Mesafeli Satış sözleşmesi PDF olarak hazırla, müşteriye DM/WhatsApp ile yolla. KVKK aydınlatma metni IG bio'da link (örn. linktree).
S: Cayma hakkı yiyecek için de geçerli mi?
C: Hayır, tüketilebilir / hijyenik / kişiye özel ürünler iadeye girmez. AMA bunu sözleşmede açıkça belirtmen lazım. Belirtmezsen iade kabul etmek zorundasın.
S: KVKK Kurulu denetimi nasıl olur?
C: Genelde şikayet üzerine veya planlı sektör denetimi ile. Müşteri "verim izinsiz işlendi" şikayet → kurul incelemeye alır → cevap ver. Eksik bulursa ceza.
S: KOBİ'yim, küçük ciro var, KVKK beni vurur mu?
C: Cezaların alt sınırı 250K ₺. KOBİ için bile yıkıcı. "Görmezsem geçer" stratejisi tehlikeli — tek bir şikayet seni vurur.
S: AI chatbot kullanıyorsam ekstra ne yapmalıyım?
C: Chatbot'un alt işveren olarak DPA'sı olmalı + KVKK uyumlu olmalı + aydınlatma metninde "AI ile yanıt verilebilir" belirtilmeli. Detay: KVKK Uyumlu Chatbot Seçimi rehberi.
S: Trendyol'da satıyorum, yine ETBİS / KVKK gerekli mi?
C: Trendyol satıcıları için bazı yükümlülükler Trendyol tarafında karşılanır (sözleşme şablonu vs.) ama VERBİS, KVKK, fatura senin sorumluluğunda kalır. Trendyol işin sadece pazaryeri tarafını yönetir.
Kapanış: ihmal etme, plana al
Yasal uyum acılı ama gerekli. 30 günlük plan ile başlayıp 90 günde tamamen "uyumlu" olabilirsin.
3 öncelik:
- ✅ İlk hafta: Privacy + Cookie + Mesafeli Satış (en kritik 3 sözleşme)
- ✅ İkinci hafta: ETBİS kayıt + opt-in mekanizmaları
- ✅ Üçüncü hafta: DPA + alt işveren sözleşmeleri
Avukat maliyeti 5-15K ₺, bir cezaya 250K ₺ verme karşılaştırıldığında küçük yatırım.
📚 İlgili yazılar: KVKK Uyumlu Chatbot Seçimi (12 maddelik kontrol), Instagram Yorum Yönetimi 2026 Pillar Rehberi, E-ticaret Müşteri Hizmetleri Otomasyonu, Instagram DM vs WhatsApp Business.
