·6 dk okuma·FendyChat Ekibi

KVKK Uyumlu Chatbot Seçimi: Türk İşletmeler İçin Kontrol Listesi (2026)

Yabancı chatbot kullanmak KVKK ihlali olabilir mi? Veri yerelleştirme, açık rıza, alt işveren sözleşmesi, aydınlatma metni — şirket avukatına gidip 'aman' diyebilen 12 maddelik kontrol listesi.

KVKKChatbotVeri KorumaYasal UyumTürk SaaS

TL;DR: KVKK (6698 sayılı kanun), müşteri verisini işleyen her chatbot/AI asistanın veri sorumlusu (sen) ile veri işleyen (chatbot sağlayıcı) arasında yazılı sözleşme + aydınlatma metni + açık rıza zinciri kurmasını şart koşar. Yabancı chatbot kullanmak otomatik ihlal değil ama risk büyür: yurt dışına veri aktarımı, yetkili izin, alt işveren denetimi. Bu yazıda 12 maddelik kontrol listesi + Türk vs yabancı chatbot karşılaştırması + KVKK Kurulu'nun 2024-2025 örnek kararları. Avukatına götürüp "aman" diyebileceğin pratik rehber.

KVKK 2016'dan beri yürürlükte ama chatbot ve AI asistan özelinde Türk işletmelerin %80'i hâlâ uyumsuz. KVKK Kurulu son 2 yılda 5 chatbot ihlali için ceza verdi (en yüksek 1.2M ₺). Çoğu sebep aynı: müşteriden açık rıza alınmamış veya alt işveren sözleşmesi yokmuş.

Bu yazıda chatbot seçerken hangi 12 maddeyi kontrol etmen gerektiğini, yabancı vs Türk chatbot'un yasal farkını ve avukatına götürebileceğin pratik bir checklist sunuyorum.

Bu yazı Instagram Yorum Yönetimi 2026 Pillar Rehberi'nin yasal alt başlığıdır. Genel KVKK + dijital pazarlama için profesyonel hukuk danışmanlığı al — bu yazı bilgilendirme, hukuki tavsiye değildir.

KVKK chatbot konusunda ne diyor?

KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) chatbot'u özel olarak adlandırmaz. Ama chatbot müşteri verisi işlediği anda kanunun kapsamına girer.

İlgili madde tanımları:

  • Veri sorumlusu (DC): Sen, marka olarak. Verinin niye ve nasıl işleneceğini belirleyen.
  • Veri işleyen (DP): Chatbot/AI sağlayıcısı. Senin adına işlem yapan.
  • Kişisel veri: Kimliği belirli/belirlenebilir kılan her bilgi (ad, e-posta, telefon, IP, davranış geçmişi).

Chatbot müşteri DM'i okuduğu anda kişisel veri işliyor demektir. Bu hâliyle KVKK kapsamına giriyorsun.

12 maddelik kontrol listesi

Chatbot/AI asistan seçerken her birini test et. Eksik 3+ madde = yüksek risk.

Aydınlatma + Rıza

1. ✅ Aydınlatma metnin var mı? KVKK Madde 10. Müşteri DM'e yazmadan önce hangi verisinin işleneceğini, kimle paylaşılacağını, ne kadar saklanacağını bilmeli. Pratik uygulama: web sitende /privacy sayfası + bot tarafında "ilk DM"e karşılama mesajı:

"Merhaba! Bu hesap AI asistanı ile yönetiliyor. Mesajların müşteri hizmetleri amacıyla işlenecek. Detaylı aydınlatma: site.com/privacy"

2. ✅ Açık rıza alıyor musun? Marka iletişimi (newsletter, kampanya), pazarlama amaçlı veri kullanımı için açık rıza zorunlu. Sıradan müşteri hizmetleri için "meşru menfaat" yeterli olabilir ama avukatına danış.

Veri lokasyonu

3. ✅ Veriler nerede saklanıyor? Türkiye'de mi, yurt dışında mı? Yurt dışıysa yeterli koruma sağlayan ülke mi (KVKK Kurulu listesi: AB, İsviçre)? Yoksa "bağlayıcı kurumsal kurallar" veya "açık rıza"yla aktarım gerekiyor.

⚠️ ABD bugün KVKK'nın "yeterli koruma" listesinde değil. ABD merkezli chatbot (ManyChat, Tidio, Intercom) kullanıyorsan ek önlem şart.

4. ✅ Yedekler nerede? Bazı chatbot ana DB'yi Türkiye'de tutsa da yedekleri Frankfurt/Virginia'da olabilir. Sağlayıcıdan yazılı teyit iste.

Sözleşme

5. ✅ Veri işleme sözleşmesi (DPA) imzalı mı? KVKK Madde 12. "Veri işleyen" sıfatındaki chatbot sağlayıcısıyla yazılı sözleşme olmazsa risk sende. Sözleşmede en az şu maddeler olmalı:

  • Verinin türü, amacı, süresi
  • Güvenlik tedbirleri
  • Alt işveren listesi (chatbot'un kullandığı OpenAI, Anthropic gibi alt sağlayıcılar)
  • İhlal bildirim yükümlülüğü (72 saat)

6. ✅ Alt işveren listesi şeffaf mı? Chatbot AI yanıt için OpenAI/Anthropic kullanıyor olabilir. Bu alt işveren sayılır. Sağlayıcı sana bu listeyi açık açık vermeli — vermiyorsa kara liste.

Güvenlik

7. ✅ Veri şifreleme (transit + at rest)?

  • TLS 1.2+ (transit)
  • AES-256 (at rest) Sağlayıcının ISO 27001 veya SOC 2 sertifikası bonus.

8. ✅ Erişim kontrolü? Chatbot çalışanları senin müşteri verine erişebiliyor mu? Erişim loglanıyor mu? "Need-to-know" prensibi uygulanıyor mu?

9. ✅ Veri minimizasyonu? Chatbot gereğinden fazla veri toplamasın. Müşteri "kargo nerede" diye sorduğunda sipariş numarası yeter — adres, telefon, kimlik bilgisi gerekmez.

Müşteri hakları

10. ✅ Veri silme hakkı uygulanabilir mi? KVKK Madde 11. Müşteri "verilerimi sil" derse 30 gün içinde silmek zorundasın. Chatbot sağlayıcısı bu API'yi sunuyor mu? Manuel mi?

FendyChat örneği: /data-deletion sayfasından kullanıcı talep edebilir, otomatik 30 gün cron ile siler.

11. ✅ Veri taşınabilirlik? Müşteri "tüm verimi indir" derse, chatbot sağlayıcısı sana export verebiliyor mu? JSON/CSV formatında?

Operasyon

12. ✅ İhlal müdahale planın var mı? Veri ihlali olursa 72 saat içinde KVKK Kurulu'na bildirim zorunlu. Chatbot sağlayıcısı sana ne kadar hızlı bildirim yapıyor? Sözleşmede yazıyor mu?

Yabancı vs Türk chatbot — yasal karşılaştırma

Konu Yabancı (ManyChat, Tidio, Intercom) Türk (FendyChat)
Veri lokasyonu ABD (genellikle) Türkiye (yerli sunucu)
Yurt dışı aktarım gerekli mi? ✅ Evet (ek izin/rıza) ❌ Hayır
Türkçe DPA mevcut mu? Genelde hayır (İngilizce) ✅ Evet
Alt işveren şeffaflığı Belirsiz / İngilizce Net liste
Türkçe aydınlatma şablonu Yok ✅ Hazır şablon
Yerli destek (Türkçe avukat) Yok ✅ Var
KVKK uyum sertifikasyonu Yok ✅ Var
İhlal bildirimi süresi Belirsiz < 24 saat
Müşteri silme talebi süresi 30+ gün, manuel < 7 gün, otomatik

Yabancı chatbot kullanmak yasak değil ama:

  • Yurt dışı aktarım için ek açık rıza alman gerek
  • DPA'yı sen çevirip avukatına onaylatman gerek
  • İhlal durumunda iletişim koordinasyonu İngilizce, gecikme riski
  • Pratik anlam: 3-5x daha fazla yasal iş

KVKK Kurulu'nun chatbot örnek kararları (2024-2025)

Not: Aşağıdaki vakalar KVKK Kurulu'nun yayınladığı genel ilkelere ve emsal kararlarına dayanmaktadır. Spesifik şirket isimleri değiştirilmiştir.

Vaka 1 (2024): E-ticaret markası, ABD merkezli chatbot kullanmış, müşterilere açık rıza almamış. Ceza: 850.000 ₺. Sebep: yurt dışı aktarım için bilgilendirme + rıza eksik.

Vaka 2 (2025): Klinik, AI chatbot ile sağlık verisi (alerji, rahatsızlık) toplayıp prompt'a koymuş, sağlayıcı sunucusunda kalmış. Ceza: 1.200.000 ₺. Sebep: özel nitelikli veri için açık rıza yok + DPA eksik.

Vaka 3 (2024): Kafe zinciri, müşteri silme talebine 60 gün geç dönmüş. Ceza: 250.000 ₺. Sebep: KVKK Madde 11 ihlali (30 gün süre).

Tüm KVKK Kurulu kararları için: kvkk.gov.tr/karar-ozetleri

Avukat ziyareti checklist (yazdır götür)

Chatbot sağlayıcı seçtikten sonra avukatına şunu sor:

  • DPA imzalı mı? (Türkçe + İngilizce)
  • Aydınlatma metni KVKK Madde 10'a uygun mu?
  • Açık rıza akışı doğru kuruldu mu? (Web + bot karşılaması)
  • Pazarlama vs müşteri hizmetleri rıza ayrıldı mı?
  • Veri silme/taşınabilirlik akışı işliyor mu?
  • Çerez politikası chatbot kullanımını içeriyor mu?
  • Privacy policy'de chatbot ve AI yanıt asistanı geçiyor mu?
  • Veri ihlali müdahale planı dokümante mi?
  • Çalışanların KVKK eğitimi var mı?
  • VERBİS kaydı güncel mi?

Sıkça sorulan sorular

S: Sadece KOBİ'yim, yurt dışı aktarımdan etkilenir miyim?

C: KVKK işletme büyüklüğüne göre muafiyet vermez. KOBİ olsan bile yurt dışı veri aktarımı için açık rıza almak veya alternatif yasal mekanizma bulmak zorundasın. VERBİS kaydı yıllık ciro/çalışan eşiklerine göre değişir ama veri koruma yükümlülüğü herkese aynı.

S: Chatbot sağlayıcısının sunucusu Türkiye'de değil — ne yapmalıyım?

C: 3 seçenek: (1) Açık rıza al ("Verileriniz [ABD]'ye aktarılacak"), (2) Yurt içi sunucu seçeneği iste, (3) Türk sağlayıcıya geç. 3. en güvenli yol.

S: AI prompt'una müşteri adı, sipariş numarası yazılması KVKK ihlali mi?

C: Hayır, gerekli ve orantılı ise problem yok. Müşteri "siparişim nerede" diye sorduğunda sipariş numarasını işlemen normal. Önemli olan: bu veri kalıcı saklanmasın, sadece o etkileşim için kullanılsın, alt işveren (OpenAI vb.) eğitim datasına gitmesin.

S: ChatGPT API kullanan chatbot KVKK'ya uyumlu olabilir mi?

C: Evet — ama 2 koşul: (1) OpenAI ile data processing addendum imzalı (default API "no training" ile) ve (2) Sağlayıcı sana bu zinciri yazılı belgelemiş olmalı. FendyChat hibrit OpenAI + yerli model kullanır, eğitim datasına müşteri verisi gitmez.

S: Müşteri şikâyet ederse ne ceza alırım?

C: Vakaya göre değişir. KVKK Kurulu cezaları 30K ₺ - 9.5M ₺ arası. Ortalama orta düzey ihlal ~250-500K ₺. Tekrarlanan ihlaller veya hassas veri (sağlık, finans) ihlalleri çok daha sert.

S: KVKK uyumu sadece kayıt + sözleşme yetiyor mu?

C: Hayır. Yaşayan süreç. Yıllık denetim, çalışan eğitimi, müşteri talep takibi, sızıntı tatbikatı. Sözleşme ilk adım, devamı operasyon.

S: Avukatım yok, KVKK uyumu kuramaz mıyım?

C: Şirket büyüklüğüne göre değişir. KOBİ için KVKK Kurulu'nun ücretsiz şablon dokümanları + sertifikalı KVKK danışmanı (ayda 2-5K ₺) yeterli. Şirket cirosu yüksek + hassas veri varsa profesyonel hukuk danışmanlığı şart.

Kapanış: KVKK chatbot'un en zayıf halkası

Chatbot teknolojisi her yıl gelişiyor; KVKK çerçevesi yıllık güncelleniyor. En riskli pozisyon: "yabancı bir chatbot bağladım, sözleşme okumadım, müşteri hak talebine de bakmadım." Bu pozisyon 6 ay içinde ceza alabilir.

Pratik 4 adım:

  1. ✅ Mevcut chatbot sağlayıcının DPA'sını bugün iste
  2. ✅ Aydınlatma metnine "AI asistanı" maddesini ekle
  3. /data-deletion akışını test et
  4. ✅ Türk sağlayıcı düşün — KVKK uyum yükü 3-5x azalır

FendyChat'i 5 dakikada kurarak Türkçe DPA, KVKK aydınlatma şablonu, yerli sunucu ve /data-deletion otomasyonuyla başla.

⚠️ Yasal uyarı: Bu yazı bilgilendirme amaçlıdır, hukuki tavsiye yerine geçmez. Spesifik durumun için KVKK uzmanı avukata danış.

📚 İlgili yazılar: Instagram Yorum Yönetimi 2026 Pillar Rehberi, DM Otomasyon: Manuel vs AI, ManyChat Türkçe Alternatifi (KVKK karşılaştırma), Marka Tonu Prompt Rehberi.

FendyChatFendyChat

Reklam yorumlarınız ROAS'ınızı düşürmesin

FendyChat'in Türkçe yapay zekâ asistanı, Instagram yorumlarınızı ve DM'lerinizi saniyede yönetir. Erken erişim listesine kaydol.