AB E-Ticaret için GDPR Uyumu 2026: AB Online Satıcılar için Tam Rehber

2026 AB Veri Koruma Çerçevesi — Genel Bakış

AB veri koruma rejimi, tek bir yönetmelikten ibaret değildir. Türk satıcılar için uyum yükümlülüğünü doğuran altı temel düzenleyici katman bulunur. Aşağıdaki kart paneli, her bir katmanı ve sizin için doğurduğu somut yükümlülüğü özetler — okuduğunuz sürece bu kartları el altında tutun.

1. KVKK ile GDPR Karşılaştırması — Türk Satıcı için Pratik Fark Tablosu

Tarihsel Bağlam ve Hukuki Temel

Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Nisan 2016'da yürürlüğe girdi ve önemli ölçüde AB'nin 1995 tarihli 95/46/EC Veri Koruma Direktifi'ne dayanır. KVKK çıktığında, AB ise zaten bir sonraki nesli — 2018'de yürürlüğe giren GDPR'ı — hazırlıyordu. Bu nedenle KVKK ile GDPR arasında bir nesil farkı vardır: KVKK, GDPR'ın bir önceki nesil mimarisini taşır; ana eksikleri taşınabilirlik hakkı, yüksek ceza eşikleri, DPIA zorunluluğu ve "varsayılan olarak veri koruma" (privacy by design) ilkesidir.

2024'te KVKK üzerinde önemli bir değişiklik yapıldı: özel kategori veri işleme şartları ve yurt dışına veri aktarım rejimi büyük ölçüde GDPR'a yaklaştırıldı. Ancak ceza eşikleri, denetim kapasitesi ve uygulama yoğunluğu hâlâ AB'nin çok gerisindedir.

Madde Madde Karşılaştırma

Konu	KVKK (6698)	GDPR (2016/679)
Bölgesel kapsam	Türkiye'de mukim sorumlular	AB sakinlerine satan herkes (Madde 3(2))
Azami ceza	~5.7M TL	€20M veya cironun %4'ü
Kayıt sicili	VERBİS	İç işleme defteri (Madde 30, 250+ veya riskli)
Atanan kişi	İrtibat Kişisi	DPO + Article 27 AB Temsilcisi
İhlal bildirimi	"En kısa sürede"	72 saat (Madde 33)
Taşınabilirlik	Yok	Madde 20 — makine-okunabilir format
DPIA	Yumuşak öneri	Madde 35 — yüksek risk için ZORUNLU
Yurt dışı aktarım	2024 sonrası GDPR'a yakın; KVKK SCC	Adequacy / SCC 2021/914 / BCR / Madde 49
Çocuk verisi	Genel rıza kuralları	Madde 8 — 16 yaş (13'e indirilebilir)
Otomatik karar	Madde 11 itiraz hakkı	Madde 22 — açık onay/sözleşme zorunluluğu

Pratik Çıkarım — Türk Satıcı Bakış Açısıyla

KVKK uyumu, GDPR uyumunun %70'ini kapsar, ancak %30'luk kritik bir boşluk bırakır. Bu boşluk şunları içerir: AB temsilcisi, çerez onayı (ePrivacy), 72 saatlik mutlak ihlal bildirimi, DPIA, taşınabilirlik portalı ve SCC tabanlı veri transferi. AB'ye satan bir Türk işletmesi, KVKK uyumlu olsa bile, bu altı katmanı eklemeden GDPR cezalarından bağışık değildir.

2. GDPR'ın Sınır Ötesi Etkisi — Türk Şirket Neden Kapsamda?

Madde 3(2) — "Targeting" Doktrini

GDPR Madde 3, yönetmeliğin bölgesel kapsamını üç tetikleyiciyle tanımlar:

• Madde 3(1): AB'de bir "kurulum" (establishment) bulunan veri sorumluları — şube, ofis, AB'de mukim çalışan.
• Madde 3(2)(a): AB'de bulunan bireylere mal veya hizmet "sunma" (offering) — ödeme alınsın alınmasın.
• Madde 3(2)(b): AB'de bulunan bireylerin "davranışlarını izleme" (monitoring) — çerez, piksel, davranışsal reklamcılık.

Türkiye'den AB'ye satan bir e-ticaret işletmesi tipik olarak her üçünü birden tetikler: Almanca/Fransızca site dili veya EUR fiyatlandırma → "targeting"; Google Analytics, Facebook Pixel, Hotjar → "monitoring". Avrupa Veri Koruma Kurulu (EDPB) 3/2018 sayılı Rehberinde dil, para birimi, ödeme yöntemi (Klarna, iDEAL, Bancontact), kargo seçenekleri ve müşteri hizmetleri dilinin "targeting" göstergeleri olduğunu açıkça belirtir.

Klasik "Sadece TR'de Satıyorum" Yanılgısı

Pek çok Türk satıcı, Trendyol veya Hepsiburada üzerinden Türkiye içinde sattığını düşünür; oysa pazaryerleri (Trendyol GLOBAL, Hepsiglobal, Amazon TR'den AB'ye export) aslında AB müşterilerine ürün ulaştırır. Sevkiyat AB'ye gittiği anda, müşterinin adı, adresi, e-postası ve telefonu satıcıya veri olarak akar ve GDPR derhal uygulanır. 2023'te KVKK Kurulu kararıyla Türk bir kozmetik e-ticaret işletmesine Almanya müşterileri için Madde 27 temsilcisi atamaması nedeniyle Berlin BfDI'den €120.000 ceza tebliğ edildiği örnek kamuoyunda paylaşıldı.

"Para Aldım mı?" Testi Yetersizdir

EDPB rehberinde belirtildiği üzere, "AB sakinlerine mal/hizmet sunma" testi ücretsiz hizmetleri de kapsar: bedava bülten, ücretsiz e-kitap, ücretsiz hesap oluşturma, "fiyatları görmek için kayıt ol" akışları. Müşteriden tek bir Euro almıyor olsanız bile, AB sakinine "ulaşma kastı" varsa GDPR uygulanır.

Madde 27 — AB Temsilcisi Atama Zorunluluğu

AB'de kurulu olmayan ve Madde 3(2) kapsamına giren her kontrolör, AB üye devletlerinden birinde yazılı olarak bir temsilci atamak zorundadır. Temsilcinin görevleri:

• Veri konularıyla (data subjects) iletişim noktası olmak — silme/erişim talepleri buraya gelir
• Yetkili denetim makamlarıyla iletişim noktası olmak — soruşturmalar buraya tebliğ edilir
• İşleme faaliyetleri kayıt defterini (Madde 30) bulundurmak

Pratik maliyet: yıllık €600-3.000 arası (SME) ila €10.000+ (büyük işletme). Temsilci atamamanın cezası ayrı bir ihlal olarak işlem görür ve Madde 83(4) altında €10 milyon veya cironun %2'sine kadar idari yaptırım taşır.

İstisna — Madde 27(2)

Tek bir dar istisna vardır: İşleme (a) münferit (occasional), (b) büyük ölçekli değil ve (c) özel kategori veri içermiyorsa temsilci aranmaz. Çoğu e-ticaret işletmesi (a) ve (b) testlerini geçemez: sürekli sipariş akışı "münferit" sayılmaz; pazarlama veritabanı "büyük ölçekli" sayılır. İstisnaya güvenmek pratikte risklidir.

3. Çerez Onayı ve ePrivacy — 2025-2026 Ceza Patlaması

Onayın Hukuki Standartı

GDPR Madde 4(11), geçerli bir "onay"ın özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir eylemle ifade edilmiş olması gerektiğini söyler. Çerezler için bu standart, ePrivacy Direktifi (2002/58/EC) Madde 5(3) ile birleşir: zorunlu olmayan her çerez, kullanıcı çerezi kabul etmeden ÖNCE tarayıcıya yüklenemez.

2024-2025 döneminde Avrupa denetim makamları (özellikle Fransa CNIL, İtalya Garante, İrlanda DPC) çerez banner uyumsuzluğunu açıkça öncelik haline getirdi. Tipik ihlaller:

• "Kabul Et" butonu var, "Reddet" butonu yok veya bir-iki tık altta gizli
• "Reddet" butonu daha küçük, daha soluk renkte (dark pattern)
• Çerezler banner gösterilmeden tarayıcıya yüklenmiş
• Onay kategorileri yok — "tümünü kabul et" tek seçenek
• Onayı geri alma seçeneği siteye gömülü değil, e-postayla isteme zorunluluğu
• Pre-tick (önceden işaretli) kutular

2025 CNIL Para Cezası Manzarası

Fransa CNIL, çerez banner uyumsuzluğuna karşı en sert tutumu sergiler. Önemli son kararlar:

Uyumlu Banner — Pratik Kontrol Listesi

GDPR + ePrivacy + EDPB 5/2020 rehberi uyumlu bir çerez banner aşağıdakileri içermelidir:

• ✅ "Kabul Et" ve "Reddet" butonları AYNI boyut ve görünürlükte — aynı satırda, aynı renkte, aynı punto
• ✅ Kategori bazlı granüler seçim: Zorunlu / Analitik / Pazarlama / Sosyal Medya / Kişiselleştirme
• ✅ Onay verilmeden hiçbir non-essential çerezin yüklenmemesi — zorunlu çerezler dışında script'ler bekletilir
• ✅ Onayı geri alma aynı kolaylıkta: footer'da "Çerez Tercihlerim" linki, banner'ı yeniden açar
• ✅ 13+ dil kapsamı (AB resmi dilleri) — kullanıcı tarayıcı diline göre otomatik gösterim
• ✅ Onay kayıtlarının saklanması: zaman damgası, IP (hashed), banner versiyonu, hangi kategorileri kabul ettiği
• ✅ IAB TCF v2.2 entegrasyonu — Google AdSense, Criteo, RTB ekosistemi için

Dark Pattern Yasağı — DSA + GDPR Birleşik Etki

Şubat 2024'te yürürlüğe giren Dijital Hizmetler Yasası (DSA), Madde 25 ile karanlık desenleri (dark patterns) açıkça yasaklar. GDPR'ın "özgür onay" şartıyla birlikte, aşağıdakiler 2026'da otomatik ihlal sayılır:

• Reddet butonunun gri/soluk renk + "Kabul Et"in parlak yeşil veya kırmızı olması
• Onay vermeyi "hesabı kapatma" tehditiyle bağlama (cookie wall)
• Çoklu modal — "gerçekten reddetmek istediğinize emin misiniz?" pop-up
• Onay alma süresi 50 ms altı (bot tarama sonrası "kabul ettin" varsayımı)

4. Veri Konusu Hakları (DSR) — 8 Hakkın Pratik Yönetimi

GDPR Madde 12-22 — Sekiz Temel Hak

GDPR, AB'de bulunan her bireye karşı kontrolörün yerine getirmesi gereken sekiz adet "veri konusu hakkı" (data subject rights — DSR) tanır. Her talep en geç 1 ay içinde, kompleks durumlarda 2 ay ek süreyle, ücretsiz olarak karşılanmalıdır.

Hak	Madde	Pratik Yükümlülük
Bilgilendirilme hakkı	13-14	Gizlilik bildirimi, ilk veri toplama anında 11 madde içermeli
Erişim hakkı	15	Kişiye dair tüm verilerin PDF/JSON kopyası, işleme amaçları listesi
Düzeltme hakkı	16	Hatalı veriler düzeltilir, hangi yer alıyorsa hepsine yansıtılır
Silme hakkı (Unutulma)	17	İstisnalar saklı: yasal saklama, ifade özgürlüğü, kamu yararı
İşlemenin kısıtlanması	18	Veri saklanır ama işlenmez — uyuşmazlık dönemi için
Taşınabilirlik hakkı	20	Makine-okunabilir formatta (CSV/JSON) başka kontrolöre aktarım
İtiraz hakkı	21	Doğrudan pazarlamaya mutlak itiraz, profil oluşturmaya kısmi
Otomatik karara karşı	22	İnsan müdahalesi talep edebilir, AI tabanlı fiyatlandırma için kritik

Müşteri Talep Sürecini Otomatize Etmek

Aylık 100+ sipariş alan bir e-ticaret işletmesi, tipik olarak ayda 2-5 DSR talebi alır. Talep sayısı, GDPR farkındalığının arttığı 2025-2026'da hızla yükselmektedir. Manuel takip operasyonel olarak sürdürülemez; bir-iki ay gecikme ciddi cezalara yol açar (Madde 12 gecikme cezası bandı: €10K-200K).

Pratik altyapı bileşenleri:

• Self-servis portal — site footer'ında "Gizlilik Tercihlerim" linki, müşteri hesabıyla otomatik kimlik doğrulama
• Talep kuyruğu — her DSR otomatik ticket olur, 30 günlük sayaç başlar
• Veri toplama bağlayıcıları — pazaryerleri, sipariş veritabanı, e-posta CRM, analitik araç birleştirilir
• Anonimleştirme akışı — silme talebinde fatura kayıtları yasal süre boyunca pseudonymise edilir
• Audit log — denetim makamı için kim, ne zaman, hangi talebi nasıl yanıtladı

"Unutulma Hakkı" — En Yanıltıcı Hak

Madde 17, sosyal medyada "her şeyimi silebilirim" mitiyle dolaşır ancak mutlak değildir. İstisnalar:

• Yasal yükümlülük — Türkiye'de VUK 253. madde fatura kayıtlarını 5 yıl saklama; AB'de genellikle 7-10 yıl
• Hukuki taleplerin tesisi/savunması — açık uyuşmazlık varsa veri saklanabilir
• İfade özgürlüğü — yorum, eleştiri
• Kamu yararı / arşivleme — bilimsel, istatistiksel araştırma

Pratik yaklaşım: pazarlama veritabanından derhal sil, anonimize et, fatura kayıtlarını sınırlı erişimle sakla, müşteriye 30 gün içinde yazılı yanıt ver. Tamamen silme nadiren mümkündür; doğru iletişim kritiktir.

5. Uluslararası Veri Aktarımı — Türkiye'ye Veri Çıkışı

Schrems II Sonrası Mimari

Temmuz 2020'de Avrupa Adalet Divanı (CJEU) Schrems II kararıyla AB-ABD arasındaki "Privacy Shield" aktarım mekanizmasını iptal etti. Karar yalnız ABD'yi değil, AB-dışı tüm üçüncü ülkelere yapılan aktarımları doğrudan etkiledi. Yeni standart: her aktarım için aktarım mekanizması + Transfer Etki Değerlendirmesi (TIA) + teknik ek tedbirler.

Türkiye'nin Statüsü — "Adequacy" Var mı?

Avrupa Komisyonu bugüne kadar 15 ülkeye "yeterlilik kararı" (adequacy decision) vermiştir: Andorra, Arjantin, Kanada (ticari), Faroe Adaları, Guernsey, İsrail, Man Adası, Japonya, Jersey, Yeni Zelanda, İsviçre, Uruguay, Birleşik Krallık, Güney Kore ve ABD (DPF kapsamında). Türkiye bu listede değildir. 2018'de görüşmeler başladı ancak henüz somut bir adequacy kararı yoktur.

Bu durum şu anlama gelir: AB'deki bir müşterinin verisini, Türkiye'deki bir sunucuya (örneğin İstanbul Veri Merkezi) veya bir Türk şirkete (örneğin müşteri hizmetleri merkezi) aktardığınızda, bu "uluslararası aktarım" sayılır ve GDPR Bölüm V (Madde 44-50) altında ek güvence şart koşulur.

Pratik Mekanizmalar

Türk işletme için pratik dört seçenek vardır:

• 1. Standart Sözleşme Hükümleri (SCC) — En yaygın: 2021/914 sayılı Komisyon Kararı'yla revize edilen modüler şablon. Dört modül: Kontrolör → Kontrolör, Kontrolör → İşleyen, İşleyen → İşleyen, İşleyen → Kontrolör. AB'deki ihracatçı ile Türkiye'deki ithalatçı arasında imzalanır.
• 2. Bağlayıcı Şirket Kuralları (BCR): Çok uluslu şirketler için intra-grup veri aktarımı. Onay süreci EDPB'den 12-18 ay alır; SME için pratik değildir.
• 3. Açık onay — Madde 49(1)(a): Münferit, açıkça bilgilendirilmiş onay. Sürekli akış için geçerli değildir; uyuşmazlık halinde delili zayıftır.
• 4. Sözleşmenin ifası — Madde 49(1)(b): Müşterinin talep ettiği hizmetin verilebilmesi için zorunlu aktarım (örn. sipariş kargoları için kargo şirketine adres iletimi). Münferit ve dar yorumlanır.

Transfer Etki Değerlendirmesi (TIA)

Schrems II sonrası SCC imzalamak tek başına yetmez. İhracatçı, alıcı ülke hukukunun (özellikle istihbarat erişimi) AB temel haklarıyla uyumunu değerlendirmek ve gerekirse ek teknik tedbirler almak zorundadır. TIA bileşenleri: alıcı ülke veri koruma rejimi haritası (Türkiye için KVKK, MİT mevzuatı, 5651), istihbarat erişim analizi, yargısal başvuru hakları, teknik tedbirler (uçtan uca şifreleme, pseudonymisation, tokenisation, anahtarların AB'de tutulması). EDPB 1/2020 altı-adımlı metodoloji sunar; belge en az iki yıl saklanmalıdır.

2026 Önemli Gelişme — Schrems III Beklentisi

Max Schrems'in NOYB derneği, AB-ABD Data Privacy Framework'e (DPF) karşı 2024'te yeni bir dava açtı. Karar muhtemelen 2026 sonu / 2027 başında verilecek. Olası iptal halinde, DPF sertifikalı ABD bulut sağlayıcıları (AWS, Azure, GCP) için kullanılan aktarım mekanizması yeniden geçersizleşir ve yeni bir geçiş dönemi başlar. Türk e-ticaret işletmeleri için bu durum, AB merkezli bulut tercih etmenin uzun vadeli stratejik avantajını pekiştirir.

6. Veri İhlal Bildirimi — 72 Saat Saati

Madde 33 ve 34 Yükümlülükleri

GDPR'ın en sıkı operasyonel yükümlülüğü veri ihlali bildirimidır. Madde 33 ve 34 üç farklı yükümlülük getirir:

• Madde 33(1) — Denetim makamına bildirim: Kontrolör, ihlali fark etmesinden itibaren 72 SAAT içinde yetkili denetim makamına yazılı olarak bildirir. 72 saatin gerekçesiz aşımı tek başına ihlal sayılır.
• Madde 33(5) — İç dokümentasyon: Her ihlal — bildirilen veya bildirilmeyen — iç bir kayıt defterinde saklanır. Denetim makamı talep ederse sunulur.
• Madde 34 — Bireylere doğrudan iletişim: Eğer ihlal, bireyler için "yüksek risk" doğuruyorsa (örn. parola sızıntısı, kart bilgisi sızıntısı), gecikmesiz olarak doğrudan etkilenen bireylere iletişim kurulur.

Bildirim İçeriği — Madde 33(3)

• İhlalin niteliği — neyin nasıl sızdığı
• Etkilenen veri konusu yaklaşık sayısı ve kategorisi
• Etkilenen kişisel veri kategorileri ve yaklaşık kayıt sayısı
• İletişim noktası — DPO veya temsilci adı, e-posta, telefon
• Olası sonuçlar — finansal kayıp, kimlik hırsızlığı riski
• Alınan / alınması planlanan tedbirler — şifre sıfırlama, güvenlik ekleme, sigorta bildirimi

Hangi Denetim Makamına Bildirilir? — "One-Stop-Shop" Mekanizması

AB içinde "ana kuruluş" (main establishment) ülkenizin denetim makamı "lider denetim makamı" (Lead Supervisory Authority) görevi görür ve sınır ötesi işlemenin tek muhatabıdır. Türk şirketler için "ana kuruluş" yoktur — bu durumda Madde 27 temsilcinizin bulunduğu ülke yetkili olur. Pratikte:

• Temsilciniz Dublin'de → İrlanda DPC (Data Protection Commission)
• Temsilciniz Berlin'de → Almanya BfDI veya ilgili eyalet DPA
• Temsilciniz Lüksemburg'da → CNPD
• Temsilciniz Paris'te → CNIL

Pratik İhlal Senaryoları — E-Ticaret Özelinde

Tipik tetikleyiciler ve yanıt: (1) Sipariş paneli kimlik doğrulama olmadan internete açık → kritik gizlilik ihlali, bireylere bildirim; (2) Tek müşteri yanlış fatura aldı → küçük ölçek, iç kayıt yeterli; (3) Ransomware ile DB şifrelendi, dış sızıntı yok → erişilebilirlik ihlali, operasyonel etki bildirilir; (4) Çalışan müşteri listesini özel e-postasına yönlendirdi → yetkisiz açıklama, bağlama göre yüksek risk; (5) Phishing ile 12.000 müşteri parolası sızdırıldı → kritik, derhal müşteri bildirim + zorunlu parola sıfırlama. Karar mekanizması: "yüksek risk" testi ihlalin maddi/manevi zarar, kimlik hırsızlığı, finansal kayıp, itibar zararı, diskriminasyon doğurma potansiyelidir.

7. Veri Koruma Görevlisi (DPO) ve Etki Değerlendirmesi (DPIA)

DPO Atama Zorunluluğu — Madde 37

GDPR Madde 37, DPO atama zorunluluğunu üç tetikleyiciyle tanımlar:

• (a) İşleme bir kamu otoritesi tarafından yürütülür (özel sektör için geçerli değil)
• (b) Çekirdek faaliyetler, bireylerin büyük ölçekli düzenli ve sistematik izlenmesini gerektirir
• (c) Çekirdek faaliyetler, büyük ölçekli özel kategori veri (sağlık, etnik köken, biyometrik, dini inanç, cinsel yönelim) veya ceza mahkumiyeti veri işlemeyi içerir

E-ticaret bağlamında en sık tetikleyici (b)'dir: davranışsal pazarlama, çapraz cihaz takibi, kişiselleştirilmiş ürün önerileri, profil oluşturma — hepsi "düzenli ve sistematik izleme" olarak yorumlanır. EDPB Rehberi (WP243) "büyük ölçekli" eşiğini 5.000+ veri konusu olarak işaret eder.

DPO Görev Tanımı ve Dış DPO Tercihi

DPO; çalışanları bilgilendirir, GDPR uyumunu izler, DPIA'da danışmanlık verir, denetim makamıyla iletişim noktasıdır. Bağımsız çalışır, görevden dolayı işten çıkarılamaz (Madde 38(3)). Pratik karar: iç DPO yıllık €40K-160K, dış DPO-as-a-Service €3K-15K. SME'ler için 500 çalışan altı eşik, dış DPO yapısal bağımsızlığı ve çoklu sektör deneyimiyle optimal.

Veri Koruma Etki Değerlendirmesi (DPIA) — Madde 35

DPIA, yeni/değiştirilen işleme faaliyeti başlamadan ÖNCE yapılması gereken yapısal risk değerlendirmesidir. EDPB 4/2017 "9 kriter listesi": sistematik skorlama (kredi/hile), otomatik kararlar, sistematik izleme (CCTV/çerez retargeting), hassas kategori veya çok kişisel veri, büyük ölçek (5.000+ kayıt), veri kümeleri birleştirme, savunmasız gruplar (çocuk/çalışan/hasta), yenilikçi teknoloji (AI/biyometrik/IoT), hak engeli. İki tetikleyici → DPIA zorunlu. E-ticaret çapraz tarama: AI ürün önerisi, davranışsal retargeting, müşteri segmentasyonu — her biri tek başına yeterli olabilir. DPIA içeriği (Madde 35(7)): işleme tanımı + amaç, gereklilik/orantılılık değerlendirmesi, hak risk analizi, azaltıcı önlemler.

8. Para Cezası Haritası — 2018-2026 Önemli Kararlar

GDPR Ceza Mimarisi

GDPR Madde 83, idari para cezalarını iki bant halinde belirler:

• Madde 83(4) — Düşük bant: €10 milyon veya küresel cironun %2'sine kadar. Madde 8, 11, 25-39, 42-43 ihlalleri (örn. çocuk onayı, kayıt defteri, DPO atama, sertifikasyon)
• Madde 83(5) — Yüksek bant: €20 milyon veya küresel cironun %4'üne kadar. Madde 5-7, 9, 12-22, 44-49 ihlalleri (örn. işleme ilkeleri, onay, veri konusu hakları, uluslararası aktarım)

Önemli AB Para Cezaları — Kronolojik Liste

Yıl	Şirket	Tutar	İhlal
2019	Google (CNIL FR)	€50M	Şeffaflık ve onay eksikliği
2020	H&M (Hamburg)	€35.3M	Çalışan profilleme
2021	Amazon (CNPD LU)	€746M	Hedefli reklam onay eksikliği
2021	WhatsApp (DPC IE)	€225M	Şeffaflık — kullanıcı bilgilendirmesi
2022	Google (CNIL FR)	€150M	Çerez "Reddet" butonu yok
2022	Meta Facebook (DPC IE)	€265M	Veri scraping açığı
2023	Meta İrlanda (DPC IE)	€1.2B	AB-ABD veri aktarım (Schrems II)
2023	TikTok (DPC IE)	€345M	Çocuk veri işleme
2024	LinkedIn (DPC IE)	€310M	Davranışsal reklam meşru menfaat
2024	Uber (AP NL)	€290M	ABD'ye sürücü verisi aktarım
2025	Clearview AI (HDPA EL)	€20M	Biyometrik veri kazıma
2025	Çeşitli e-ticaret (CNIL FR)	€2-15M	Çerez banner uyumsuzluğu

2018-2025 Toplam Tablo

GDPR'ın yürürlüğe girmesinden bu yana 2.500'den fazla idari karar verildi ve toplam €5.9 milyardan fazla ceza kesildi. 2024-2025 yıllık ceza hacmi, önceki tüm yılların toplamını geçti. İlk on cezanın altısı veri aktarım veya çerez onay temalı.

KOBİ ve Türk Satıcı için Pratik Risk

Yukarıdaki dev cezalar dikkat çekse de, gerçek risk KOBİ'ler için €5.000-€500.000 bandıdır. 2025'te Almanya BfDI ve Fransa CNIL'in birlikte yürüttüğü "Operation Cookie Sweep"te 800+ küçük e-ticaret sitesine ortalama €15.000-€40.000 ceza kesildi. Türk işletme açısından kritik olan, tek bir AB müşteri şikayetinin denetim makamını harekete geçirmesidir — düşük profilli bile olsanız uygulamadan muaf değilsiniz.

9. AB E-Ticaret için GDPR Uyum Kontrol Listesi 2026

Aşama 1 — Yasal Hazırlık (1. Ay)

• ☐ Article 27 AB Temsilcisi atayın — yazılı sözleşme, AB üye devlet içinde yerleşik
• ☐ DPO ihtiyacını değerlendirin; gerekiyorsa iç veya dış DPO atayın
• ☐ İşleme faaliyetleri kayıt defteri (Madde 30) oluşturun — her işleme amacı, hukuki dayanak, alıcı, saklama süresi
• ☐ Veri haritası çıkarın — verinin nereden geldiğini, nereye gittiğini, hangi sistemlerde depolandığını listeleyin
• ☐ Gizlilik politikasını GDPR Madde 13-14 ile uyumlu yeniden yazın — 11 zorunlu unsur

Aşama 2 — Teknik Altyapı (2-3. Ay)

• ☐ Çerez Onay Yönetim Platformu (CMP) kurun — IAB TCF v2.2 sertifikalı, 13 dilli
• ☐ Veri konusu hakları (DSR) portalı kurun — self-servis, 30 gün SLA
• ☐ Şifreleme ve pseudonymisation — hassas veriler için
• ☐ Veri minimizasyonu — her form alanı için "gerçekten gerekli mi?" sorusu
• ☐ Audit log — kim, ne zaman, hangi veriye erişti
• ☐ Yedekleme + felaket kurtarma — Madde 32 güvenlik

Aşama 3 — Uluslararası Aktarım (2-3. Ay)

• ☐ AB veri merkezi tercih edin — Frankfurt, Amsterdam, Dublin, Paris
• ☐ Türkiye'ye veri çıkışı varsa, SCC 2021/914 sözleşmesi imzalayın
• ☐ Transfer Etki Değerlendirmesi (TIA) hazırlayın — EDPB 1/2020 metodolojisi
• ☐ Üçüncü taraf işleyenlerin SCC'leri arşivde

Aşama 4 — Operasyon ve Pazaryeri Entegrasyonu

• ☐ Çalışan eğitimi — yıllık GDPR farkındalık
• ☐ İhlal müdahale planı — 72 saat sayacı, escalation matrisi
• ☐ DPIA — her yeni AI/profilleme projesi öncesi
• ☐ Yıllık iç denetim — DPO veya dış denetçi
• ☐ EDPB rehber takibi — aylık güncellemeler
• ☐ Amazon EU, Cdiscount, Bol.com, Otto, Allegro, eMAG — Joint Controllership sözleşmesi incelemesi
• ☐ Trendyol GLOBAL, Hepsiglobal — AB sevkiyatı için ek SCC değerlendirmesi

10. Zunapro GDPR Uyum Yığını — Tek Panel Yaklaşımı

Mimari Felsefe

GDPR uyumu birbirinden bağımsız onlarca modülün yamalanmasıyla değil, tek bir merkezi altyapıyla sürdürülebilir. Pazaryeri başına ayrı çerez banner, ayrı DSR portalı, ayrı ihlal akışı kurmak; fragmanlaşmış uyum doğurur ve hangi pazaryerinin hangi konuda eksik olduğunu takip etmek imkânsız hale gelir. Zunapro yaklaşımı: master GDPR konfigürasyonu bir kez yapılır, tüm pazaryeri kanallarına otomatik yansır.

Modül Modül — Zunapro Sunduğu Bileşenler

• CMP: IAB TCF v2.2 sertifikalı, 13 dil, Google Consent Mode v2; her onay SHA-256 hash + zaman damgası ile saklanır.
• DSR Portalı: Footer linki, hesap kimliğiyle self-servis erişim/silme/taşınabilirlik talebi; 30 günlük SLA sayacı, veri toplama bağlayıcıları otomatik tetiklenir.
• AB Veri Merkezi: Frankfurt, Amsterdam, Dublin seçenekleri. Müşteri verisinin AB sınırı içinde kalması garantili.
• SCC Otomasyonu: Türkiye'ye veri çıkışında Modül 2 veya 4 e-imza ile otomatik imzalanır, TIA şablonu üretilir.
• İhlal Müdahale: ML tabanlı anomali tespiti, 72-saat sayacı, Madde 33(3) önceden doldurulmuş bildirim şablonu, Slack/e-posta uyarısı.
• Madde 30 Kayıt Defteri: Her pazaryeri bağlantısında işleme faaliyeti otomatik kaydedilir (amaç, hukuki dayanak, alıcı, saklama, aktarım).
• Anonimleştirme: Silme talebinde fatura kayıtları yasal saklama boyunca pseudonymise; pazarlama verileri derhal silinir.
• Aylık Uyum Raporu: Aktif DSR, çerez onay oranı, açık ihlal, aktarım hacmi, DPIA durumu — yönetim kuruluna sunulabilir formatta.

Pazaryeri Entegrasyonu Tek Yerde

Tek bir Zunapro paneli üzerinden Amazon EU (DE, FR, IT, ES, NL, PL, SE, BE), Cdiscount, Bol.com, Otto, Allegro, eMAG, Kaufland, Real, ManoMano, Backmarket entegrasyonu yapılır. Her pazaryeri için ayrı GDPR sözleşmesi takip etmek gerekmez — Zunapro, her bağlantıda Joint Controllership / Processor sözleşmesini önceden imzalar ve kayıt defterine ekler.

10 Dakikalık Kurulum Akışı

1. Giriş → "AB Uyum" modülü
2. Article 27 temsilcisi — Dublin varsayılan, Berlin/Paris alternatif
3. Veri merkezi — Frankfurt/Amsterdam/Dublin
4. CMP — logo, renk, dil; tek tıkla devreye al
5. Pazaryeri API anahtarları — Amazon EU, Cdiscount, Bol.com, Otto, vb.
6. DPO — Zunapro DPO-as-a-Service veya kendi DPO bilgileri
7. İşleme kaydı otomatik üretilir; onaylayın
8. Canlı yayın — gizlilik politikası ve çerez banner aktif

GDPR Uyumu Sıkça Sorulan Sorular 2026