WhatsApp Business KVKK Uyumlu Kurulum Rehberi (Türkiye 2026)
WhatsApp Business kullanan Türk markalar için KVKK uyumu kontrol listesi: 24 saat penceresi, opt-in, mesaj şablonu onayı, alt işveren DPA, müşteri silme talepleri. Adım adım kurulum.
TL;DR: WhatsApp Business Türkiye'de hızla yaygınlaşıyor ama KVKK uyumu çoğu markada eksik. Riskler: (1) opt-in olmayan pazarlama mesajı = 200K-1M ₺ ceza, (2) 24 saat penceresi dışı serbest mesaj = WhatsApp ban + KVKK ihlali, (3) alt işveren DPA eksiği = veri sızıntısında tek başına sen sorumlu. Bu rehberde 9 maddelik kontrol listesi, opt-in akışı şablonu, mesaj şablonu örnekleri, DPA imza kontrolü ve müşteri silme talebi prosedürü.
WhatsApp Business e-ticaretin yeni standardı — Türkiye'de 200K+ KOBİ aktif kullanıyor. Ama çoğu marka KVKK uyumunu ihmal ediyor; bir denetim veya şikayet ciddi cezalarla sonuçlanabilir. Bu rehber uyumlu kurulum için adım adım plan.
Bu yazı KVKK + Mesafeli Satış Yasal Kontrol Listesi ve KVKK Uyumlu Chatbot Seçimi yazılarımızın WhatsApp özelinde derinleştirmesi. Karşılaştırma için Instagram DM vs WhatsApp Business.
WhatsApp Business 2 versiyon — hangisi senin için?
| Versiyon | Hedef | Özellik | KVKK uyum zorluğu |
|---|---|---|---|
| WhatsApp Business App (mobil) | Solo / küçük KOBİ | Kişisel telefonda Business profili | ⚠️ Orta — manuel uyum |
| WhatsApp Business API (Cloud API) | Orta-büyük marka, otomasyon | API erişim, BSP / 3rd party araç | ✅ Daha iyi yapılandırılmış (DPA dahil) |
Karar kriteri: Günde 50+ DM ile kullanıyorsan API'ye geç. Solo girişimci için Business App yeterli.
9 maddelik KVKK kontrol listesi
1) Telefon numarası ayrımı
Yasal nokta: Müşteri verisi (mesajlar, telefon numaraları) işliyorsun → veri sorumlususun.
Aksiyon:
- ✅ Kişisel WhatsApp'tan ayrı numara kullan (eSIM ya da 2. hat)
- ✅ Numara şirket / firma adına olsun (kişisel adına olmasın — denetimde karışıklık yaratır)
Risk: Aynı numara hem kişisel hem business → veri ayrımı yok = KVKK ihlali.
2) Profil bilgilerinde KVKK aydınlatma linki
Yasal nokta: KVKK md. 10 — aydınlatma metni görünür yerde olmalı.
Aksiyon: WhatsApp Business profilinde "Web sitesi" alanına KVKK aydınlatma linki:
🌐 https://markan.com/kvkk-aydinlatma
Veya kısaca "Privacy Policy" sayfana yönlendir.
3) Açık rıza (opt-in) mekanizması
Yasal nokta: KVKK md. 5 — pazarlama mesajı için açık rıza şart.
Aksiyon: Müşteri WhatsApp'a yazmadan önce opt-in al. 3 yöntem:
Web formda checkbox
☐ WhatsApp üzerinden kampanya / sipariş bilgilendirmesi
almayı kabul ediyorum. (KVKK aydınlatma metnini okudum)
Sipariş tamamlama sırasında
Checkout sayfasında "WhatsApp güncelleme bilgilendirmesi al" toggle (default kapalı, kullanıcı açar).
IG bio'dan WhatsApp'a tıklama
Bu zaten dolaylı opt-in sayılır (kullanıcı kendi tercihiyle tıklayıp yazıyor) ama ekstra rıza için ilk yanıtta:
"Merhaba! Sipariş ve kampanya bilgilendirmesi
almak istiyorsanız 'EVET' yazın. KVKK aydınlatma:
[link]"
Risk: Opt-in olmayan müşteriye pazarlama mesajı = 200K-1M ₺ ceza + WhatsApp hesap ban.
4) 24 saat yanıt penceresi kuralı
WhatsApp politikası: Müşteri sana mesaj attıktan sonra 24 saat içinde serbest yanıt verebilirsin. Sonrası onaylı şablon zorunlu.
Aksiyon:
- ✅ Müşteri DM yazınca 24 saatlik counter başlar
- ✅ Bu pencerede her tür yanıt serbest
- ✅ Pencere kapanınca → sadece onaylı template ("Sipariş güncellemesi", "Kampanya hatırlatması" gibi)
Risk: Pencere dışı serbest mesaj → WhatsApp hesap ban + spam şikayet.
5) Mesaj şablonu (Template) onay süreci
Cloud API kullanıyorsan: Template mesaj göndermek için Meta'ya onay başvur.
Onay alma süresi: 1-3 gün.
Şablon türleri:
- Marketing: Kampanya, indirim
- Utility: Sipariş onayı, kargo bildirimi
- Authentication: OTP / şifre
Marketing template'ler daha sıkı denetlenir, utility daha kolay onaylanır.
6) Alt işveren (BSP / 3rd party) DPA imza
Yasal nokta: KVKK md. 8 — alt işveren ile DPA (Data Processing Agreement) imzalı olmak zorunda.
WhatsApp ekosistemindeki tipik alt işverenler:
- WhatsApp / Meta (platform sağlayıcı)
- BSP (Business Solution Provider): 360dialog, Twilio, Karix
- Otomasyon aracı: Wati, Respond.io, ManyChat (WhatsApp özelliği)
Aksiyon:
- ✅ Her birinden DPA / Data Processing Agreement kopyası iste
- ✅ İmzalı olarak arşivle (denetimde sorulabilir)
- ✅ Hangi verinin nereden nereye aktığını dokümante et
7) Müşteri silme talebi (right to be forgotten)
Yasal nokta: KVKK md. 11 — kullanıcı veri silme talep edebilir.
Aksiyon:
- ✅ Müşteri "verilerimi silin" derse → 30 gün içinde:
- WhatsApp Business sohbet geçmişi sil
- CRM / mesaj log'u (eğer varsa) temizle
- Yanıt ver: "Verileriniz silindi"
- ✅ E-posta kanalı:
kvkk@markan.comveyalegal@markan.com
8) Veri saklama süresi politikası
Aksiyon: Sohbet geçmişini belirsiz süre saklama. Yazılı politika:
| Veri tipi | Saklama süresi |
|---|---|
| Aktif müşteri sohbet | 2 yıl |
| Pasif müşteri (1+ yıl etkileşim yok) | Sil veya anonimleştir |
| Sipariş/iletişim kaydı (vergi nedenli) | 5 yıl (yasal gereklilik) |
| Promosyon / kampanya rıza | 2 yıl (rıza yenileme) |
9) Mesaj şablonlarında KVKK ihlal yok
Aksiyon: Marketing template'lerde eksik bilgi olmamalı:
❌ Yanlış:
"İndirim! Şimdi al, %30 ucuz!"
✅ Doğru:
"Selam Ayşe! Bu ay özel indirimimiz başladı. → markan.com/indirim
Bu mesajı almak istemezsen 'DUR' yaz. KVKK: markan.com/privacy"
Opt-out (DUR) + KVKK linki = uyum garantisi.
5 dakikada uyumlu kurulum
- ✅ Şirket numarası al (eSIM 50-100 ₺/ay)
- ✅ WhatsApp Business indir, profili kur (logo, açıklama, KVKK link)
- ✅ Web sitesinde opt-in checkbox ekle
- ✅ İlk-mesaj selamlama yaz: "Merhaba! KVKK aydınlatma metnimiz: [link]"
- ✅ 5 hızlı yanıt (Quick Reply) tanımla: kargo, iade, ödeme, beden, mesai
- ✅ Cloud API'ye geçecekseniz BSP seç (360dialog en yaygın TR'de)
- ✅ DPA imzala + arşivle
Sektör bazlı şablonlar
Mass moda
Sipariş onayı (utility):
"Selam {{ad}}, sipariş #{{no}} alındı.
Teslimat tahminen 2-3 iş günü içinde.
Takip: {{link}}"
Kampanya (marketing, opt-in olmuş):
"{{ad}}, {{kategori}}'da %30 indirim başladı.
→ {{link}}
DUR yaz: bildirimsiz"
Premium kozmetik
Yenileme hatırlatması (marketing):
"Selam {{ad}}, son aldığın {{ürün}} bitmiş olabilir.
Yeniden sipariş: {{link}}
Bu mesaj almamak için: DUR"
Diş kliniği
Randevu hatırlatması (utility):
"Selam {{ad}}, yarın saat {{saat}}
{{tedavi}} randevunuz. İletişim: {{tel}}"
Yaygın 5 KVKK hatası (kaçın)
| Hata | Sonuç | Çözüm |
|---|---|---|
| Müşteri listesini başka markaya verme/satma | Açık rıza ihlali, 1M+ ₺ ceza | Müşteri verisi paylaşılmaz |
| Tek opt-in ile her marka mesajı atma | Genel rıza yetersiz | Her kategori için ayrı opt-in |
| 24h pencere dışı serbest mesaj | WhatsApp ban + KVKK | Sadece onaylı template |
| BSP DPA imzasız çalışma | Veri sızıntısında tek sorumlu | DPA zorunlu |
| Müşteri silme talebine 30+ gün geç yanıt | "Unutulma hakkı" ihlali | 30 gün içinde sil |
Ceza örnekleri (gerçek vakalar)
- 2024: Bir kozmetik markası, 1.500 müşteriye opt-in olmadan WhatsApp kampanya. 480K ₺ ceza.
- 2024: Bir e-ticaret platformu, müşteri listesini iki başka markaya sattı. 1.2M ₺ ceza + suç duyurusu.
- 2025: Bir KOBİ, müşteri silme talebine 6 ay yanıt vermedi. 350K ₺ ceza + tazminat davası.
Cezaları okumak korkutucu olabilir ama uyumlu kurulum ile risk neredeyse sıfır. Uzun vadede yatırım.
FendyChat ve WhatsApp
Şu an FendyChat sadece Instagram (yorum + DM) destekliyor. WhatsApp entegrasyonu yol haritasında, Q3 2026 planlanan.
WhatsApp tarafı için 3rd party araç önerileri:
- Wati (KVKK uyumlu, EU sunucu seçeneği)
- Respond.io (multi-channel, KVKK uyumlu)
- Twilio Studio (developer-friendly)
Sıkça sorulan sorular
S: Kişisel WhatsApp'tan business olarak kullanabilir miyim?
C: Hayır. Bir numara ya kişisel ya Business olabilir. Marka için ayrı numara şart.
S: Cloud API'ye geçmek zorunda mıyım?
C: Hayır, mobil app yeterli (1-50 mesaj/gün). 50+ mesaj/gün, otomasyon istiyorsan Cloud API.
S: BSP zorunlu mu?
C: Cloud API'ye Meta'dan doğrudan erişebilirsin (ücretsiz). Ama BSP setup'ı 5x hızlandırır + KVKK uyumu daha kolay. KOBİ için BSP genelde doğru.
S: KVKK ceza tarifesi nedir?
C: Aydınlatma eksik 250K-500K ₺, açık rıza eksik 200K-1M ₺, alt işveren DPA eksik (sızıntı halinde) 1.5M ₺'ye kadar. Cezalar sürekli güncelleniyor.
S: Müşteri WhatsApp'tan silme talep ederse Trendyol siparişini de silmeli miyim?
C: WhatsApp ve Trendyol ayrı kanallar. Müşteri "WhatsApp'ta silmek istiyorum" derse sadece WhatsApp sohbeti sil. Trendyol siparişleri vergi gereği 5 yıl saklanmalı.
S: Müşteri "DUR" yazınca ne yapmalıyım?
C: 24 saat içinde opt-out kaydet, kanaldan çıkar. Bir daha pazarlama mesajı atılmaz. Sipariş bilgilendirmesi (utility) devam edebilir.
S: WhatsApp Business katalog KVKK için ekstra ne gerektirir?
C: Katalog'da müşteri verisi yok (sadece ürün), ekstra KVKK gereksinimi yok. Ama "favori ürünler" listesi tutarsan o anonim olmalı.
S: WhatsApp'tan satın alma yapan müşteri Mesafeli Satış sözleşmesi nasıl onaylanır?
C: Ödeme link'i öncesi sözleşme PDF gönder, müşteri "ONAY" yazsın. Veya ödeme sayfasında checkbox. Kayıtları arşivle.
Kapanış: uyum maliyet değil, sigortadır
KVKK uyumu bir kez kurulur, sonra otomatik çalışır. 1 günlük yatırım = ömür boyu rahatlık.
3 öncelik:
- ✅ Bu hafta: Şirket numarası + KVKK link + opt-in mekanizması
- ✅ İkinci hafta: BSP seç + DPA imzala + template onayları
- ✅ Aylık review: Müşteri silme talepleri + opt-out listesi temiz
📚 İlgili yazılar: KVKK + Mesafeli Satış 14 Maddelik Yasal Kontrol Listesi, KVKK Uyumlu Chatbot Seçimi, Instagram DM vs WhatsApp Business, E-ticaret Müşteri Hizmetleri Otomasyonu.
