KVKK Uyumlu Müşteri İletişimi: WhatsApp Business Cezaları
Kişisel Verileri Koruma Kurulu, 2024 yılında toplamda 459 milyon TL idari para cezası uyguladı (KVKK Faaliyet Raporu, 2024). Bu cezaların önemli bir bölümü izinsiz ticari iletişim ve veri güvenliği ihlallerinden kaynaklanıyor. WhatsApp üzerinden izinsiz reklam göndermek yasaktır ve KVKK gereği müşteri verilerini nasıl toplayacağınızı ve işleyeceğinizi bilmek zorunluluktur.
TL;DR
İzinsiz WhatsApp/SMS gönderimi 100.000 TL'ye kadar ceza getirir. Kişisel WhatsApp'ta müşteri verisi saklamak KVKK ihlaline yol açar. Kurumsal API + CRM altyapısı ile açık rıza yönetimi, veri şifreleme ve otomatik silme süreçlerini uyumlu hale getirirsiniz.
KVKK Cezaları: Gerçek Rakamlar
KVKK ihlallerinde cezalar caydırıcı. 6698 sayılı Kanun'un 18. maddesine göre 2024 yılı itibarıyla güncel ceza aralıkları:
| İhlal Türü | Ceza Aralığı | Tipik Senaryo |
|---|---|---|
| Aydınlatma yükümlülüğü ihlali | 13.000 - 266.000 TL | Gizlilik politikası yok veya yetersiz |
| Veri güvenliği ihlali | 40.000 - 2.650.000 TL | Müşteri verileri şifresiz saklanıyor |
| Kurul kararlarına aykırılık | 53.000 - 2.650.000 TL | Silme talebine uyulmaması |
| VERBiS'e kayıt ihlali | 53.000 - 2.650.000 TL | Veri sorumlusu kaydı yapılmamış |
| İzinsiz ticari iletişim (İYS) | 10.000 - 100.000 TL/mesaj | WhatsApp'tan izinsiz kampanya |
Dikkat çeken trend: Cezalar her yıl katlanarak artıyor. 2020'de toplam 17 milyon TL olan cezalar, 2024'te 459 milyon TL'ye ulaştı. 2026'da bu riskle karşılaşmamak için altyapınızı şimdiden hazırlamak gerekiyor.
WhatsApp'ta KVKK Riski Nerede?
Çoğu işletme farkında olmadan KVKK ihlali yapıyor. İşte en yaygın senaryolar:
❌ Kişisel telefonda müşteri verisi
Çalışanın kişisel telefonunda müşteri numaraları saklanıyor. Çalışan işten ayrılınca veriler de gidiyor — hem veri kaybı hem denetim dışı veri işleme.
❌ Grup listelerine izinsiz ekleme
Müşterileri WhatsApp gruplarına rıza almadan ekliyorsunuz. Gruba eklendiğinde diğer müşterilerin numaralarını da görebiliyor — üçüncü kişilerle veri paylaşımı.
❌ Yayın listesiyle toplu mesaj
Kisisel WhatsApp veya Business uygulamasında yayın listesi kullanarak kampanya gönderiyorsunuz. İYS'de kaydı olmayan kişiye ticari ileti göndermek başına 10.000-100.000 TL ceza.
❌ Silme taleplerini karşılayamama
Müşteri "verilerimi silin" dediğinde, kişisel telefonlardaki konuşma geçmişini, rehber kaydını ve yedekleri silmeniz gerekir. Kişisel telefonlarda bu imkânsız.
Çözüm: Kurumsal Altyapı
WhatsApp Business API kullandığınızda veriler kişisel telefonlarda değil, Invekto'nun güvenlik ve uyumluluk altyapısında şifreli olarak saklanır. Silme talepleri tek tuşla yerine getirilir.
Açık Rıza Nasıl Alınır?
KVKK'nın 5. maddesi veri işleme için "açık rıza" şartı koyar. Açık rızanın geçerli sayılabilmesi için üç unsur gerekli:
- Bilgilendirilmiş olmalı: Müşteri hangi verilerinin, ne amaçla, ne kadar süreyle işleneceğini bilmeli
- Özgür irade ile verilmeli: Hizmet şartı olarak dayatılamaz ("Onaylamadan devam edemezsiniz" — GEÇERSİZ)
- Belirli bir konuya yönelik olmalı: Genel bir "Her şeyi kabul ediyorum" ifadesi geçersizdir
Web Sitesinde Onay Formu
İnternet sitenizdeki formu dolduran müşterinin iletişim iznini işaretlemesini sağlamalısınız. Kutucuk önceden işaretli (pre-checked) olmamalıdır.
✓ Doğru Örnek Metin
"Kişisel verilerimin işlenmesine ilişkin Aydınlatma Metni'ni okudum, anladım. Tarafıma WhatsApp ve SMS kanalıyla kampanya ve bilgilendirme mesajları gönderilmesine izin veriyorum."
❌ Yanlış Örnek
"Şartları ve koşulları kabul ediyorum" (neyi kabul ettiği belli değil — geçersiz rıza)
İleti Yönetim Sistemi (İYS) Kaydı
Ticari elektronik ileti göndermek için İYS kaydı zorunludur. İYS, Ticaret Bakanlığı'nın yönettiği merkezi bir kayıt sistemidir.
- Hizmet sağlayıcı kaydı: İşletmenizi iys.org.tr üzerinden kaydedin
- İzin yükleme: Mevcut müşteri izinlerini sisteme yükleyin (tarih, kanal, izin kaynağı)
- Ret yönetimi: Müşteri ret hakkını kullandığında 3 iş günü içinde sisteme işleyin
- Kanal bazlı izin: WhatsApp, SMS ve e-posta için ayrı ayrı izin alın
Önemli
İYS'de kaydı olmayan alıcıya ticari ileti göndermek, her mesaj başına 10.000-100.000 TL cezayla sonuçlanır. 1.000 kişiye izinsiz kampanya gönderirseniz minimum 10 milyon TL ceza riski taşırsınız.
WhatsApp API ile KVKK Uyumu Nasıl Sağlanır?
Kişisel WhatsApp kullanımında müşteri verileri şahsi telefonlarda, denetimsiz şekilde kalır. WhatsApp Business API ile bu riskleri ortadan kaldırırsınız:
| KVKK Gerekliliği | Kişisel WhatsApp | WhatsApp Business API |
|---|---|---|
| Veri şifreleme | ❌ Cihaz bağımlı | ✓ Sunucu tarafı şifreleme |
| Veri silme talebi | ❌ Her cihazda manuel | ✓ Merkezi silme |
| Erişim kontrolü | ❌ Telefonu olan herkes | ✓ Rol bazlı yetkilendirme |
| Denetim izi (log) | ❌ Kayıt yok | ✓ Tüm işlemler loglanır |
| İzin yönetimi | ❌ Manuel takip | ✓ CRM entegreli otomatik |
| Veri lokalizasyonu | ❌ WhatsApp sunucuları | ✓ Tercih edilen bölge |
WhatsApp Opt-In Süreci Adım Adım
WhatsApp Business API'de mesaj gönderebilmek için müşterinin "opt-in" vermesi gerekir. Bu süreci doğru yönetmek hem KVKK uyumu hem müşteri memnuniyeti için kritik:
- Müşteri size mesaj attığında (Organic Opt-in): 24 saatlik pencere açılır, serbestçe yanıt verebilirsiniz. Bu en güvenli yöntemdir.
- Web formu ile opt-in: Sitenizde "WhatsApp üzerinden bilgi almak istiyorum" kutucuugu — tarih, IP, formun ekran görüntüsünü kaydedin.
- 24 saat geçtikten sonra: Sadece Meta onaylı şablon mesaj gönderebilirsiniz.
- Müşteri "dur" dediğinde: Derhal listedan çıkarın. Akıllı mesajlaşma sistemiyle "dur", "iptal", "istemiyorum" gibi anahtar kelimeleri otomatik yakalayıp listedan çıkarma işlemini otomatikleştirebilirsiniz.
KVKK Uyum Kontrol Listesi
Aşağıdaki listeyi ticari iletişim başlatmadan önce eksiksiz tamamlayın:
Aydınlatma metni web sitesinde yayında ve güncel
Açık rıza formu ayrı onay kutucuklarıyla (pre-checked değil)
İYS kaydı tamamlanmış, izinler yüklenmiş
VERBiS kaydı yapılmış (50+ çalışan veya yıllık 25M TL üstü ciro)
Veri işleme envanteri hazırlanmış (hangi veri, ne amaçla, nerede)
Kişisel cihazlarda veri yok — tüm müşteri verileri kurumsal sistemde
Veri silme süreci tanımlı ve test edilmiş (30 gün içinde)
Ret yönetimi otomatik — "istemiyorum" diyen anında listeden çıkıyor
Çalışan eğitimi verilmiş (KVKK farkındalık, veri güvenliği)
Veri ihlal bildirim süreci tanımlı (72 saat içinde Kurul'a bildirim)
Sektöre Göre Özel Dikkat Noktaları
E-Ticaret
E-ticaret şirketleri sipariş onayı ve kargo bildirimi mesajlarını "sözleşmenin ifası" kapsamında gönderebilir (açık rıza gerekmez). Ancak sepet terk hatırlatması ve kampanya mesajları için açık rıza şarttır.
Sağlık
Sağlık sektöründe hasta verileri "özel nitelikli kişisel veri" kategorisindedir. Randevu hatırlatması bile sağlık durumuna ilişkin bilgi içerdiğinden ek önlemler gerekir.
Finans
Finans sektörü BDDK ve SPK düzenlemelerine de tabidir. WhatsApp üzerinden finansal veri paylaşımında ek şifreleme ve saklama kuralları geçerlidir.
Sıkça Sorulan Sorular
WhatsApp'tan müşteriye mesaj atmak için her zaman izin gerekir mi?
Hayır. Müşteri size önce mesaj attıysa, 24 saat içinde izinsiz yanıt verebilirsiniz. Ancak kampanya, promosyon ve pazarlama mesajları için her durumda açık rıza ve İYS kaydı gerekir.
Müşteri "verilerimi silin" derse ne yapmalıyım?
30 gün içinde tüm kişisel verileri silmeniz veya anonimleştirmeniz gerekir. CRM sisteminizde kişinin tüm iletişim geçmişi, konuşma logları ve rehber kaydı silinmeli. Yasal saklama yükümlülüğü olan veriler (fatura vb.) hariç.
Sipariş onayı mesajı için ayrıca izin almam gerekir mi?
Hayır. Sipariş onayı, kargo bildirimi ve fatura gibi işlemsel mesajlar "sözleşmenin ifası" kapsamındadır ve ayrıca açık rıza gerektirmez. Ancak bu mesajlara promosyon içeriği eklerseniz, o kısım için izin gerekir.
KVKK cezası hangi durumlarda kesilir?
En sık ceza sebepleri: izinsiz ticari ileti gönderimi, aydınlatma yükümlülüğünü yerine getirmeme, veri güvenliği ihlali (şifresiz saklama, yetkisiz erişim) ve silme taleplerini karşılamama. KVKK Kurulu şikâyet üzerine veya re'sen (kendiliğinden) denetim başlatır.
Küçük işletmeler de KVKK'ya tabi mi?
Evet. KVKK tüm gerçek ve tüzel kişileri kapsar — tek kişilik şirketler dahil. Çalışan sayısı veya ciro fark etmez. Kişisel veri işleyen herkes kanun kapsamındadır.
Sonuç
KVKK uyumluluğu bir yük değil, müşteri güvenini kazandıran bir rekabet avantajıdır. Cezalar her yıl katlanarak artıyor — 2024'te 459 milyon TL'ye ulaştı. Kişisel telefonlarda müşteri verisi saklamak en büyük risk kaynağı.
- İzinsiz ticari ileti mesaj başına 10.000-100.000 TL ceza
- Kişisel telefonlarda veri saklama = denetim dışı veri işleme
- WhatsApp Business API ile şifreli, denetlenebilir, silinebilir altyapı
- Güvenlik ve uyumluluk altyapısı ile tüm gereksinimleri karşılayın
- CRM sisteminizi KVKK uyumlu altyapıyla entegre edin
Risk Almayın, Güvenli Başlayın
Invekto'nun KVKK uyumlu altyapısı ile müşteri verilerinizi güvenle yönetin.