Macaristan GDPR Uyum Özeti 2026 — Hızlı Okuma
Macaristan'da satış yapan her Türk satıcı, GDPR Madde 3(2) uyarınca AB veri koruma rejimine tabidir. NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) cezaları 2025'te %38 arttı; ortalama ceza 15-25 milyon HUF (~38.000-65.000 EUR). Yerel mevzuat 2011. évi CXII. törvény (Info Act) bazı konularda GDPR'ı sıkılaştırır — özellikle çocuk verisi (14 yaş eşiği), DPO atama ve doğrudan pazarlama. Cookie onayı mutlaka opt-in, granular ve 'Reddet' butonu eşit görünür olmalıdır. Türkiye AB'nin yeterlilik kararı verdiği bir ülke değildir, bu nedenle veri Türkiye'ye aktarımı için SCC + TIA zorunludur. Bu rehber GDPR'ı KVKK karşılaştırmasıyla, NAIH denetim pratiğini ve 2026 ePrivacy gelişmelerini Türk e-ticaret operatörü perspektifinden anlatır.
2026 Macaristan Veri Koruma Manzarası — Genel Bakış
Macaristan'ın veri koruma çerçevesi üç katmanlı bir yapıdır: AB seviyesinde GDPR, ulusal seviyede 2011. évi CXII. törvény (Info Act) ve cookie/iletişim için ePrivacy Direktifi (2002/58/EC) ile beraber NAIH'in sektörel kılavuzları. Aşağıdaki tablo bu rehberde kapsanan ana mevzuat ve otoriteleri özetler — okurken yanınızda tutmanızı tavsiye ederiz.
GDPR — Tüzük (EU) 2016/679
25 Mayıs 2018'den beri yürürlükte · Madde 3(2) ile sınır ötesi uygulama · Tüm AB ülkelerinde doğrudan etkili
NAIH — Macaristan Veri Koruma Otoritesi
2012'de kuruldu · Budapeşte merkezli · Cumhurbaşkanı atamalı 9 yıllık görev · Bağımsız kamu otoritesi
2011. évi CXII. törvény — Info Act
"Bilgi Edinme Özgürlüğü ve Bilgi Güvenliği Kanunu" · GDPR ile uyumlulaştırıldı (2018) · Ulusal sıkılaştırmalar
KVKK — 6698 sayılı Kanun
Türkiye Kişisel Verilerin Korunması Kanunu · Nisan 2016 · KVKK Kurulu denetler · 2024 değişiklik
ePrivacy — Direktif 2002/58/EC
Cookie ve elektronik iletişim için lex specialis · ePrivacy Regulation 2026 yürürlükte bekleniyor
Schrems II — Üçüncü Ülke Aktarımı
CJEU C-311/18 (2020) · Privacy Shield iptal · SCC + TIA zorunlu · Türkiye için kritik karar
Macaristan pazaryerlerinde GDPR uyumlu satış başlatın
eMAG.hu, Vatera, Allegro.hu ve diğer Macar pazaryerlerini tek Zunapro paneline bağlayın — cookie banner, ROPA, veri sahibi talep yönetimi ve NAIH bildirim taslağı out-of-the-box hazır.
1. GDPR Temelleri — Türk Satıcı Neden Tabi Olur?
GDPR Madde 3(2): "Targeting" Testi
GDPR'ın bölgesel kapsamı (Madde 3) iki başlık altında çalışır: Madde 3(1) AB'de kurulu işletmeleri, Madde 3(2) ise AB dışında kurulu olsa bile AB'deki veri sahiplerine mal/hizmet sunan veya onların davranışını izleyen işletmeleri kapsar. EDPB'nin 03/2018 Kılavuzuna göre "targeting" şu göstergelerle saptanır: sitenizin Macar dilinde yayınlanması, HUF fiyatlandırma (en güçlü gösterge), Macaristan'a kargo seçeneği (DPD HU, Foxpost, GLS HU), Macar pazaryerlerinde (eMAG.hu, Vatera, Allegro.hu) satıcı hesabı, Macar müşteri hizmetleri, Google/Meta Ads'de Macaristan hedeflemesi, hreflang="hu" SEO içeriği.
NAIH 2024 yılında üç Türk satıcıya — biri kozmetik, ikisi tekstil — ceza kestiğini açıkladı; her üç olayda "biz AB'de kurulu değiliz" savunması reddedildi. Macaristan'a düzenli sipariş alıyorsanız GDPR'a tabi olduğunuzu varsaymak en güvenli yaklaşımdır.
Veri Sorumlusu vs Veri İşleyici
Veri Sorumlusu (Controller / adatkezelő) — işleme amaç ve araçlarını belirleyen taraf; Türk satıcı tipik olarak budur. Veri İşleyici (Processor / adatfeldolgozó) — sorumlunun talimatıyla işleyen üçüncü taraf; AWS, PayU, Foxpost, GLS sizin için processor'dur. Tüm processor'larla yazılı Madde 28 DPA (Data Processing Agreement) imzalamak zorundasınız. AWS, Google Cloud, Stripe, PayU standart DPA şablonları sunar.
Altı Hukuki Dayanak (Madde 6)
GDPR Madde 6 altı meşru dayanaktan birini gerektirir: (1) Açık rıza — newsletter, pazarlama çerezi, profilleme; (2) Sözleşme ifası — sipariş, kargo, garanti, iade; (3) Hukuki yükümlülük — fatura saklama, KDV bildirimi; (4) Hayati menfaat (nadir); (5) Kamu menfaati (özel sektörde nadir); (6) Meşru menfaat — fraud detection, ürün önerisi, güvenlik logging (LIA belgesi gerekir). En sık NAIH ceza nedeni yanlış dayanak seçimidir; pazarlama e-postası için "meşru menfaat" iddiası reddedilir — ePrivacy gereği açık rıza (opt-in) zorunludur.
💡 GDPR temel eğitimi panel içinde
Zunapro Macaristan modülü Türk satıcılar için Türkçe GDPR eğitim modülü, LIA şablonları ve Madde 6 dayanak seçici sunar.
2. NAIH — Macaristan Veri Koruma Otoritesi
NAIH'in Yapısı ve Yetkileri
NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) 2012'de kuruldu ve Macaristan'ın hem GDPR hem de Info Act uyumunu denetleyen bağımsız kamu otoritesidir. Başkanı Cumhurbaşkanı tarafından 9 yıllığına atanır; mevcut başkan Attila Péterfalvi, 2012'den beri görevdedir. NAIH'in temel yetkileri: soruşturma (şikayet, ihbar veya re'sen — 6-12 ay sürer), idari para cezası (Madde 83 tavanları içinde), işleme yasağı (en sert yaptırım), ROPA denetimi, sektörel kılavuz yayını, 72-saatlik veri ihlali bildirimlerini kabul.
NAIH 2024-2025 Ceza Pratiği
NAIH'in yıllık raporlarına göre, 2025'te kesilen idari para cezalarının dağılımı şöyle:
2024-2025 en yüksek üç NAIH cezası: Telekom operatörü — 80M HUF (12 günlük veri ihlali bildirim gecikmesi, 1.2M müşteri); Kozmetik e-ticaret — 45M HUF (hukuki dayanaksız pazarlama, opt-in eksik); DiGiTV medya — 30M HUF (cookie reddi butonu yokluğu).
NAIH Şikayet ve Soruşturma Süreci
Bir Macar tüketici şikayet ettiğinde süreç: (1) İlk inceleme 1-2 ay; (2) NAIH bilgi talebi — 30 gün cevap süresi (Macarca veya İngilizce); (3) Gerekirse uzaktan/yerinde denetim; (4) Karar taslağı + 21 günlük savunma hakkı; (5) Nihai karar — ceza, düzeltme emri veya işleme yasağı; (6) Fővárosi Törvényszék önünde 30 gün içinde itiraz hakkı. NAIH bilgi talebine cevap vermemek başlı başına bir ihlaldir (Madde 31 — denetim otoritesi ile işbirliği) ve ek ceza nedeni olur.
📘 NAIH bildirim ve cevap şablonları
Zunapro paneli içinde Macarca/Türkçe çift dilli NAIH cevap şablonları, veri ihlali bildirim formu ve denetim hazırlık check-list'i hazır.
3. 2011. évi CXII. törvény — Macaristan Info Act'i
Info Act'in Tarihçesi ve Konumu
2011. évi CXII. törvény — tam adıyla "az információs önrendelkezési jogról és az információszabadságról szóló törvény" (Bilgi Öz-belirlenme Hakkı ve Bilgi Özgürlüğü Hakkında Kanun) — Macaristan'ın temel veri koruma yasasıdır. 2011'de kabul edildi, 2018'de GDPR'a uyum için kapsamlı bir 2018. évi XXXVIII törvény ile güncellendi. Bugün Info Act, GDPR'ın doğrudan uygulanmadığı (örn. kamu bilgi edinme, ulusal güvenlik) alanlarda lex specialis olarak işler, ayrıca GDPR'ın açık bıraktığı alanlarda ulusal sıkılaştırmalar getirir.
Info Act'in GDPR Üstündeki Sıkılaştırmaları
Türk satıcılar için kritik beş yerel kural şöyledir:
- Çocuk onay yaşı — 14: GDPR Madde 8 minimum 13, maksimum 16 yaş aralığını ülkelere bırakır; Macaristan 14 yaşı seçti. 14 altı için ebeveyn onayı zorunlu.
- Belső Adatvédelmi Felelős (BAF): GDPR DPO'dan farklı bir iç sorumlu kategorisi; bazı sektörler (sağlık, finans) için ek zorunluluk.
- Doğrudan pazarlama (Grtv 6. §): GDPR + ePrivacy üstüne, 2008. évi XLVIII. törvény (Grtv — Reklam Kanunu) opt-in zorunluluğunu pekiştirir; B2B'de bile rıza şartı vardır (DE veya FR'den farklı).
- Kamera/CCTV: 2005. évi CXXXIII. törvény (Szvtv) iş yerinde kamera kullanımı için ek bildirim ve süre kuralları getirir.
- Whistleblowing: 2023. évi XXV. törvény AB Whistleblower Direktifini iç hukuka aktardı; 50+ çalışanı olan satıcılar için ihbar kanalı zorunlu.
Adatvédelmi Tájékoztató — Macarca Gizlilik Politikası
Macaristan'da satış yapan her web sitesi için Macarca dilinde adatvédelmi tájékoztató (gizlilik politikası) yayımlanması zorunludur. Google Translate çıktısı kabul edilmez — NAIH 2024 kararlarında "anlamsız, hatalı Macarca metin" gerekçesiyle iki ayrı satıcıya ceza kesti. Politika şu unsurları içermek zorundadır (GDPR Madde 13-14):
- Veri sorumlusunun tam adı, adresi, vergi numarası, e-posta ve telefon
- DPO/BAF iletişimi (varsa)
- Her işleme faaliyeti için: amaç + hukuki dayanak + saklama süresi + alıcı kategorisi
- Meşru menfaat dayanağı kullanıldıysa: spesifik menfaat açıklaması
- AB dışı transfer var mı, hangi ülkeye, hangi garantiyle (SCC, BCR, vb.)
- Veri sahibi hakları: erişim, düzeltme, silme, sınırlama, itiraz, taşınabilirlik, otomatik karar reddi
- NAIH şikayet hakkı + iletişim bilgisi
- Otomatik karar verme veya profilleme kullanılıyor mu, sonuçları nedir
Kayıt Tutma — ROPA (Madde 30)
GDPR Madde 30 gereği 250 çalışan altında olsa bile düzenli kişisel veri işleyen tüm satıcılar bir "İşleme Faaliyetleri Sicili" (ROPA — Record of Processing Activities) tutmak zorundadır. ROPA NAIH denetiminde ilk istenen belgedir ve şunları içerir:
- İşleme amacı (örn. sipariş işleme, müşteri hizmetleri, pazarlama)
- Veri sahibi kategorileri (müşteri, çalışan, tedarikçi)
- Kişisel veri kategorileri (ad, adres, e-posta, ödeme verisi, tıklama davranışı)
- Alıcı kategorileri (pazaryeri, kargo, e-fatura sağlayıcı, bulut)
- Üçüncü ülke aktarımı var mı
- Saklama süresi (kesin gün/ay/yıl olarak)
- Teknik ve organizasyonel güvenlik önlemleri
Zunapro paneli, eMAG.hu, Vatera, Allegro.hu, Foxpost teslimat ve PayU/Barion entegrasyonları için otomatik ROPA kayıtları oluşturur; siz yalnızca işleme amacını ve saklama süresini onaylarsınız.
📚 Adatvédelmi tájékoztató jeneratörü
Türkçe sorularla doldurun, Macarca uyumlu gizlilik politikası ve ROPA dokümanı PDF olarak çıkar — NAIH formatına uygun şablonlarla.
4. KVKK vs GDPR — Türk Satıcı için Karşılaştırma
İki Rejimin Genel Karşılaştırması
KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) Türkiye'de Nisan 2016'da yürürlüğe girdi; GDPR'dan iki yıl öncedir ve GDPR'ın taslak metnini önemli ölçüde örnek aldı. Ancak son sekiz yılda iki rejim ayrıştı: GDPR uygulama, Schrems II/Schrems III gibi mahkeme kararları ve EDPB kılavuzlarıyla derinleşti; KVKK ise 2024 değişikliği ile yeni yetkiler ekledi ama bazı boşluklarını korudu. Aşağıdaki tablo Türk satıcıyı en çok ilgilendiren 10 konuda iki rejimi yan yana koyar.
| Konu | GDPR (AB / Macaristan) | KVKK (Türkiye) |
|---|---|---|
| Yürürlük | 25 Mayıs 2018 | 7 Nisan 2016 |
| Maksimum ceza | €20M veya yıllık global cironun %4'ü (yüksek olan) | 7,5M TL (2026 — yıllık enflasyon endeksli) |
| Veri ihlali bildirim | 72 saat (sıkı süre) | "En kısa sürede" — pratikte 72 saat tavsiye edilir |
| DPO atama | Madde 37 — koşullu zorunlu | VERBİS kayıt sistemi + İrtibat Kişisi (DPO değil) |
| Meşru menfaat | Madde 6(1)(f) — açık dayanak + LIA | Sınırlı uygulama, açık tanım yok (2024 değişikliği ile genişledi) |
| Veri taşınabilirliği | Madde 20 — net hak | Bulunmaz |
| Açık rıza | Madde 7 — granular, opt-in, geri çekilebilir | Md. 5 — açık rıza, GDPR'dakine benzer |
| Yurt dışı aktarım | SCC, BCR, yeterlilik kararı; Schrems II + TIA | 2024 değişikliği SCC ve BCR'yi getirdi; öncesinde açık rıza ağırlıklı |
| Çocuk yaşı | 13-16 arası (Macaristan: 14) | Açık eşik yok; "temyiz kudreti" testi |
| Denetim otoritesi | NAIH (Macaristan) + EDPB (AB seviyesi) | KVKK Kurulu |
Türk Satıcının Çifte Uyum Stratejisi
Türkiye'de mukim ve Macaristan'a satan bir e-ticaret operatörü iki rejime aynı anda tabidir:
- Türkiye'deki tüm müşteriler ve çalışanlar için KVKK — VERBİS kayıt, aydınlatma metni, açık rıza, yurt içi denetimler
- Macaristan'daki tüm müşteriler için GDPR + Info Act + ePrivacy — adatvédelmi tájékoztató, NAIH süreçleri, cookie kuralları
Pratik çözüm: tek bir master gizlilik politikası tutmak yerine iki ayrı dokümanı bağımsız yönetmektir. Aydınlatma metni Türkçe ve KVKK referansları, adatvédelmi tájékoztató Macarca ve GDPR/Info Act referansları içerir. Bazı operatörler tek doküman tutuyor ve hangi yargıya hitap ettiği bölüm bölüm belirtiyor; bu yaklaşım da NAIH tarafından kabul edilir, ancak okunabilirlik açısından iki ayrı doküman tercih edilir.
VERBİS, ROPA ve İkili Kayıt Yönetimi
KVKK'nın VERBİS (Veri Sorumluları Sicili) kaydı, çalışan sayısı ve ciro eşiklerinde zorunludur. GDPR'ın ROPA'sından farklı — VERBİS kamuya açık bir sicildir; bilgileriniz herkesin erişebileceği bir veritabanına işlenir. ROPA ise iç bir kayıttır ve sadece NAIH talep ettiğinde ibraz edilir.
Zunapro paneli her iki kaydı paralel tutar: Türkiye operasyonu için VERBİS XML çıktısı, Macaristan operasyonu için Macarca ROPA dokümanı otomatik üretilir. Tek panel iki rejimi yönetir.
🇹🇷🇭🇺 Çifte uyum: KVKK + GDPR tek panelde
VERBİS kaydı + Macarca ROPA + aydınlatma metni + adatvédelmi tájékoztató — tek modülde Türk ve Macar müşteri ayrımı yönetilir.
5. Cookie Onayı ve ePrivacy — 2026 Kuralları
ePrivacy Direktifi'nin GDPR ile İlişkisi
Birçok satıcı yanılgıya düşer ve "GDPR yeterli, cookie için ek kural gerekmez" sanır. Gerçek farklıdır: ePrivacy Direktifi (2002/58/EC, 2009 ve 2018'de güncellendi) cookie kuralları için lex specialis konumundadır ve GDPR'ın üstünde uygulanır. Direktifin Macaristan iç hukuk versiyonu 2003. évi C. törvény (Eht — Elektronikus Hírközlési törvény) 155. paragrafıdır.
ePrivacy kuralı şöyledir: kullanıcının terminal cihazına bilgi yerleştirmek veya bilgi çıkarmak (cookie, localStorage, fingerprint, SDK), kesinlikle gerekli (strictly necessary) hariç, her durumda önceden açık onay gerektirir.
"Kesinlikle Gerekli" Çerez Nedir?
Onay gerektirmeyen çerez kategorisi çok dardır:
- Oturum çerezleri — login durumunu tutmak, sepet sürdürmek
- Güvenlik çerezleri — CSRF token, fraud detection
- Load balancing — kullanıcıyı doğru sunucuya yönlendirmek
- Dil/para birimi tercihi — kullanıcı tarafından açıkça seçildiyse
NAIH'in 2020 ve 2023 cookie kılavuzları Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, Microsoft Clarity, LinkedIn Insight Tag dahil tüm analitik ve pazarlama çerezlerinin onay öncesi yüklenemeyeceğini netleştirir. Pratikte bu, sitenizin Tag Manager (GTM) yapılandırmasında "Consent Mode v2" uygulamanız gerektiği anlamına gelir.
Geçerli Cookie Banner Kuralları
NAIH'in kabul ettiği cookie banner: (1) Açık dilli Macarca açıklama; (2) "Kabul Et" ve "Reddet" butonları eşit görünür (aynı renk, boyut, pozisyon); (3) "Sadece kabul et" yasak — reddi en az kabul kadar kolay olmalı; (4) Granular tercih (analitik, pazarlama, kişiselleştirme ayrı); (5) "Geri Çek" linki her sayfanın footer'ında; (6) Pre-checked kutu yasak (varsayılan kapalı); (7) 13 ay geçerlilik, sonra yeniden alınmalı; (8) Onay kaydı — zaman damgası, IP, user-agent ve seçim detayı saklanmalı (ispat yükü satıcıdadır).
IAB TCF v2.2 ve CMP Seçimi
2025 itibarıyla IAB Europe Transparency & Consent Framework v2.2 sektör standardıdır. Uyumlu CMP'ler: Cookiebot (Danimarka, ücretsiz başlangıç paketi), OneTrust (enterprise, pahalı), Usercentrics (Almanya, TCF v2.2 sertifikalı), Iubenda (İtalya, KOBİ dostu), CookieYes (Hindistan — manuel ayar gerekir). Türk satıcılara önerimiz: AB merkezli bir CMP seçmek; NAIH denetiminde "CMP nerede yerleşik?" sorusu sorulur ve AB dışı CMP için ek TIA gerekir.
ePrivacy Regulation 2026 — Beklenen Değişiklikler
AB Komisyonu'nun teklif ettiği ePrivacy Regulation, mevcut Direktifin yerine geçecek. 2017'den beri Konsey'de tıkanıktı; 2025 sonunda uzlaşma sağlandı ve 2026'da Resmi Gazete'de yayımlanması bekleniyor. Türk satıcılar için kritik değişiklikler:
- Tarayıcı bazlı onay — kullanıcının tarayıcı ayarındaki tercihi (Global Privacy Control — GPC) sitelere bağlayıcı olabilir
- B2B e-posta pazarlama — daha sıkı opt-in
- WhatsApp, Signal, Telegram — OTT iletişim hizmetleri Direktif kapsamına alınır
- IoT cihaz veri — akıllı ev, wearable cihazlardan veri için yeni onay rejimi
- "Cookie wall" yasağı — açık kanunlaşır
Hazırlık: bugünden CMP'nizin Global Privacy Control (GPC) sinyalini okuyup uyguladığından emin olun; çift opt-in newsletter akışı kurun; SMS pazarlama için ayrı yazılı onay alın.
Hızlı kontrol: Sitenize Macarca bir incognito tarayıcıdan gelin ve Network sekmesini açın. Banner'ı reddederken Google Analytics veya Meta Pixel hâlâ yükleniyorsa NAIH cezasına aday durumdasınız demektir. Zunapro CMP yapılandırma rehberini açın →
6. Veri İhlali Yönetimi — 72 Saat Kuralı
"Veri İhlali" Tanımı
GDPR Madde 4(12) tanımına göre kişisel veri ihlali; "kişisel verilerin yasaya aykırı ya da yetkisiz olarak ifşa edilmesi, kaybedilmesi, değiştirilmesi veya bunlara erişilmesi"ne yol açan herhangi bir güvenlik olayıdır. Üç temel kategori:
- Gizlilik ihlali (confidentiality breach) — yetkisiz okuma; hacker veritabanını çekti, çalışan müşteri listesini kopyaladı
- Bütünlük ihlali (integrity breach) — yetkisiz değişiklik; ransomware verileri şifreledi
- Kullanılabilirlik ihlali (availability breach) — veriye erişim kaybı; backup kayboldu, sunucu kalıcı silindi
Türk satıcının sıkça karıştırdığı nokta: küçük bir e-posta yanlış göndermek de ihlaldir. Müşteri listesine BCC yerine CC kullanmak, 200 müşterinin e-postasını birbirine ifşa etmek tipik bir NAIH ihlal vakasıdır.
72 Saat İçinde NAIH Bildirimi
GDPR Madde 33 net şöyle der: ihlali öğrendikten itibaren 72 saat içinde denetim otoritesine bildirim zorunludur. Macaristan'da bildirim NAIH'in online ihlal bildirim formu üzerinden Macarca veya İngilizce yapılır. Bildirim şu unsurları içermelidir:
- İhlalin niteliği (gizlilik / bütünlük / kullanılabilirlik)
- Etkilenen veri sahibi kategorileri ve yaklaşık sayı
- Etkilenen kişisel veri kategorileri ve yaklaşık kayıt sayısı
- DPO/iletişim noktası adı ve detayları
- İhlalin muhtemel sonuçları
- Alınan veya alınması planlanan önlemler
Tüm bilgiler 72 saat içinde toplanamazsa, aşamalı bildirim kabul edilir: kısa bir ilk bildirim yapın, sonraki günlerde tamamlayıcı bildirimler gönderin. Hiç bildirim yapmamak çok daha kötüdür.
Veri Sahibine Bildirim (Madde 34)
İhlal veri sahiplerinin hak ve özgürlüklerine yüksek risk oluşturuyorsa, etkilenen kişilere doğrudan bildirim zorunludur. "Yüksek risk" tipik örnekleri:
- Kredi kartı verisi, banka hesap bilgisi sızıntısı
- Şifre (hash bile olsa) sızıntısı
- Sağlık, biyometrik, etnik köken verisi
- Kimlik numarası, pasaport, sürücü belgesi
- Çocuk verisi
Bildirim "açık ve sade dilde" yapılır, e-posta veya SMS uygun yöntemlerdir. Bildirimsiz bırakılan veri sahibi, NAIH'e şikayet edip cezayı katmerleştirebilir.
Pratik İhlal Müdahale Planı
72 saat hızla geçer. Zunapro paneli içinde yerleşik incident workflow: Saat 0 ihlal tespiti, paydaş bildirimi (CEO/hukuk/IT); Saat 1-6 etki değerlendirmesi; Saat 6-12 kapsama, erişim kesme; Saat 12-48 NAIH bildirim taslağı, hukuk onayı; Saat 48-72 form gönderimi ve arşivleme; Gün 3-7 veri sahibi bildirimleri (gerekirse); Gün 7-30 düzeltici önlemler, ROPA güncellemesi; Gün 30-90 NAIH ile yazışma ve nihai kapanış.
🚨 72 saatlik incident workflow
Zunapro paneli içinde ihlal tespit edildiği an geri sayım başlar; NAIH bildirim formu Macarca-Türkçe çift dilli, hukuk şablonları hazır.
7. Üçüncü Ülke Aktarımı — Türkiye'ye Veri Götürmek
Schrems II ve Türkiye'nin Yeterlilik Durumu
Temmuz 2020'deki CJEU C-311/18 Schrems II kararı, AB-ABD Privacy Shield mekanizmasını geçersiz kıldı ve tüm üçüncü ülke aktarımları için ek güvenlik garantileri talep etti. AB Komisyonu bugüne kadar 15 ülkeye yeterlilik kararı (adequacy decision) verdi (İsviçre, Japonya, Güney Kore, BK, ABD-DPF 2023 vb.). Türkiye listede değildir ve yakın zamanda olması beklenmemektedir. Pratik sonuç: Macar müşteri verisini Türkiye'ye taşımak (CRM, ERP, müşteri hizmetleri, depo) ek koruma mekanizması olmadan yapılamaz.
SCC + TIA — Asgari Aktarım Paketi
2021 Standard Contractual Clauses (SCC) dört modül içerir: controller→controller, controller→processor, processor→processor, processor→controller. Türk satıcı için en sık geçerli olan controller→processor (Türkiye'deki müşteri hizmetleri/depo) modülüdür. SCC iki taraf arasında imzalanır, NAIH'e bildirilmez ama denetimde ibraz edilir. Schrems II sonrası tek başına SCC yetmez — yanına Transfer Impact Assessment (TIA) dokümanı eklenmelidir.
TIA, Türkiye hukukunun AB seviyesinde veri korumayı sağlayıp sağlamadığını değerlendirir: devlet erişim yetkisi (MİT, savcılık), yargısal denetim, AB veri sahibinin Türk mahkemelerinde hak arama imkanı, şifreleme/pseudonymisation, processor'un devlet talebine itiraz taahhüdü. Sonuç "riskli" çıkarsa end-to-end şifreleme veya split processing ek tedbirleri uygulanmalıdır.
Pratik Çözüm: AB İçi Barındırma
TIA ve SCC karmaşıklığından kaçınmanın en temiz yolu, Macar müşteri verisini hiç Türkiye'ye taşımamaktır. AB içi popüler seçenekler: AWS Frankfurt (eu-central-1), Hetzner Almanya/Finlandiya, OVH Fransa, Google Cloud Frankfurt, Azure West Europe (Amsterdam) ve Macar yerel bulut sağlayıcıları (DotRoll, BlazeArts). Zunapro Macaristan modülü varsayılan olarak AWS Frankfurt'ta barındırılır; veriniz hiçbir zaman AB sınırı dışına çıkmaz.
🌍 AB içi veri barındırma — Schrems II uyumlu
Zunapro Macaristan müşteri verilerini AWS Frankfurt'ta tutar; TIA + SCC karmaşıklığını yaşamayın, AB sınırı içinde kalın.
8. Pazaryeri ve Joint Controller Rolü
eMAG.hu, Vatera, Allegro.hu — Joint Controller Modeli
Türk satıcının en sık karıştığı konulardan biri pazaryeri ile arasındaki veri sorumluluğu dağılımıdır. CJEU'nun C-210/16 Wirtschaftsakademie ve C-40/17 Fashion ID kararları, pazaryeri ve satıcının çoğunlukla joint controller (ortak veri sorumlusu) olarak konumlandığını netleştirdi.
Macaristan'ın #1 pazaryeri eMAG.hu, satıcı sözleşmesine 2024'te bir Madde 26 joint controller protokolü ekledi. Rol dağılımı: eMAG'ın sorumluluğu — listeleme görüntüleme, ürün araması, ödeme, ilk sipariş işleme, müşteri hesap yönetimi, eMAG Genius üyelik; satıcının sorumluluğu — sipariş fulfillment, kargo, iade, garanti, B2B fatura, doğrudan pazarlama; ortak sorumluluk — müşteri hizmetleri vakaları, yorum yönetimi, anlaşmazlık çözümü. Veri sahibi hakları için tek noktada başvuru ilkesi geçerlidir. Vatera ve Macaristan'a 2024'te açılan Allegro.hu, eMAG'a benzer joint controller modeli uygular.
CRM/ERP'ye Aktarılan Verinin Tek Sorumluluğu
Pazaryeri içinde kalan veri için joint controller modeli geçerlidir; ancak satıcı bu veriyi kendi CRM, ERP veya muhasebe yazılımına aktardığı an, o veriden tek başına sorumludur: CRM saklama süresi belirli olmalı (örn. son siparişten 3 yıl), pazarlama için ayrı açık rıza gerekir (pazaryeri sözleşmesi yetmez), silme talebine 30 gün içinde işlem yapılmalı, CRM verisi Türkiye'ye gidiyorsa SCC + TIA gerekir.
9. Cezalar ve Risk Yönetimi
GDPR Ceza Tavanları
GDPR Madde 83 iki bant ceza tanımlar:
- Düşük bant: €10M veya yıllık global cironun %2'si (yüksek olan). ROPA tutmamak, DPO atamamak (gerekiyorsa), DPIA yapmamak, üçüncü ülke aktarım kuralı ihlali gibi prosedürel ihlaller.
- Yüksek bant: €20M veya yıllık global cironun %4'ü (yüksek olan). İşleme prensiplerinin (Madde 5) ihlali, hukuki dayanak yokluğu (Madde 6), veri sahibi haklarının reddi, veri ihlali bildirim yapmamak gibi temel ihlaller.
NAIH Ceza Tablosu 2024-2025
| İhlal Türü | Tipik Ceza (HUF) | Tipik Ceza (EUR) |
|---|---|---|
| Cookie banner reddi butonu yok | 5-30M | 13.000-78.000 |
| ROPA tutulmaması | 3-15M | 8.000-39.000 |
| Hukuki dayanaksız pazarlama | 15-50M | 39.000-130.000 |
| Veri ihlali geç bildirim (24 saat üstü) | 30-100M | 78.000-260.000 |
| Veri sahibi talebine cevap vermeme | 5-25M | 13.000-65.000 |
| Üçüncü ülke aktarım için SCC+TIA yok | 10-40M | 26.000-105.000 |
| Hassas veri (Madde 9) sızıntısı | 50-200M+ | 130.000-520.000+ |
| Çocuk verisi kuralları ihlali | 20-80M | 52.000-210.000 |
Tek Tek Maliyet Karşılaştırması
Tipik bir Türk e-ticaret satıcısı için tam GDPR uyum maliyeti yıllık ~3.000-8.000 EUR bandındadır (CMP, hukuk danışmanlığı, DPO outsourcing, yıllık denetim). Karşılaştırma için: tek bir NAIH cezası yıllık uyum bütçesinin 5-15 katına mal olur. Uyum, sigorta poliçesi gibi düşünülmelidir.
📊 Risk skoru ve uyum panosu
Zunapro paneli haftalık otomatik risk skoru üretir: cookie uyumu, ROPA güncelliği, DSR cevap süresi, transfer kayıt durumu — tek pano üzerinden görün.
10. Uyum Yol Haritası — 30 Günlük Aksiyon Planı
Hafta 1: Mevcut Durum Tespiti
Veri envanteri: Hangi Macar müşteri verisini, hangi sistemlerde, hangi amaçla tutuyorsunuz? Sipariş DB, CRM, ERP, e-posta listesi, destek ticket, analitik — hepsini listeleyin. Sistem haritası: Veri AB içinde mi, Türkiye'de mi? Bulut sağlayıcılarınızın region'ı hangisi? Mevcut doküman taraması: Gizlilik politikası, KVKK aydınlatma metni, çerez politikasını topla. Pazaryeri denetimi: eMAG, Vatera, Allegro.hu satıcı sözleşmelerinde Madde 26 protokolünü kontrol et.
Hafta 2: Hukuki Dayanak ve Doküman
Hukuki dayanak tablosu: Her veri kategorisi için Madde 6 dayanağını belirle. ROPA hazırla: Madde 30 kayıt sicilini Macarca olarak doldur. Adatvédelmi tájékoztató: Macarca gizlilik politikası — profesyonel çeviri zorunlu. DPA imzaları: Tüm processor'larla (AWS, PayU, Foxpost, e-fatura, CRM) Madde 28 sözleşmesi.
Hafta 3: Teknik Uygulama
CMP entegrasyonu: Cookiebot/Usercentrics/Iubenda kurulumu, GTM Consent Mode v2 bağlantısı. DSR formu: Web sitesinde erişim/silme/taşınabilirlik talep formu. İhlal müdahale planı: 72 saatlik workflow dokümanı, sorumlu kişi listesi, NAIH form taslağı. Şifreleme: Veritabanı at-rest, transit-TLS, yedek şifreleme. Erişim kontrolü: Çalışan rolleri, least-privilege, MFA zorunluluğu.
Hafta 4: Eğitim ve Test
Çalışan eğitimi: Müşteri hizmetleri ve depo personeli için 1 saatlik GDPR temeli. Test DSR: Bir kollegden "erişim" talebi gönderin, süreyi ölçün. Test ihlal: Tabletop egzersiz — sahte ihlal simülasyonu. Cookie tarama: Cookiebot Scanner ile site tarayın, beyan ile gerçek çerez listesi karşılaştırın. Kayıt arşivleme: Tüm çıktıları NAIH denetimine hazır arşivleyin.
Zunapro ile 10 Dakikalık Hızlı Başlangıç
- Zunapro panele giriş ve Macaristan modülünü açın
- Pazaryeri bağlantıları — eMAG.hu, Vatera, Allegro.hu API anahtarlarını yapıştırın
- Uyum sihirbazı — sektörünüzü ve veri akışınızı seçin; sistem ROPA + politika + DPA şablonlarını üretir
- CMP scripti — Zunapro'nun ürettiği tek satırı sitenizin 'ine ekleyin
- Veri ihlali workflow aktif — risk olayları otomatik tetiklenir; siz onaylarsanız NAIH formu üretilir
Macaristan'da GDPR uyumlu satış — tek panelde başlayın
eMAG.hu + Vatera + Allegro.hu pazaryerleri + Macarca gizlilik politikası + ROPA + CMP + ihlal workflow — hepsi bir Zunapro paneli içinde. 10 dakikalık entegrasyon, KVKK ile çifte uyum, NAIH hazır.
Macaristan Pazaryerlerine Bağlan →Macaristan GDPR ve NAIH Sıkça Sorulan Sorular 2026
Macaristan'da e-ticaret yapıyorsam GDPR bana neden uygulanır?
GDPR (Tüzük (EU) 2016/679), Türkiye'de yerleşik olsanız bile Macaristan'daki tüketicilere ürün veya hizmet sunduğunuzda Madde 3(2) gereği size doğrudan uygulanır. Macar dilinde sitenizi yayınlamak, HUF fiyatlandırma, Macaristan'a kargo seçeneği veya Macar pazaryerlerinde (eMAG, Vatera, Allegro.hu) satış yapmak "targeting" kabul edilir.
Bu durumda NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) sizi de denetleyebilir ve 20 milyon EUR veya yıllık global cironun %4'üne kadar idari para cezası kesebilir. NAIH 2024'te en az üç Türk satıcıya ceza kesti — "AB'de değiliz" savunması reddedildi.
NAIH nedir ve nasıl denetim yapar?
NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság — Ulusal Veri Koruma ve Bilgi Edinme Özgürlüğü Otoritesi), Macaristan'ın GDPR ve 2011. évi CXII. törvény (Info Act) uyumunu denetleyen bağımsız kamu otoritesidir. Tüketici şikayeti, ihbar, otomatik tarama veya re'sen denetim başlatabilir.
2025'te NAIH, ortalama 15-25 milyon HUF tutarında cezalar kesti; cookie onayı eksikliği, hukuki dayanaksız profilleme ve veri ihlali bildirim gecikmesi en sık ihlal türleridir. Soruşturma tipik olarak 6-12 ay sürer ve Fővárosi Törvényszék önünde 30 gün içinde itiraz edilebilir.
KVKK ile GDPR arasındaki temel farklar nelerdir?
KVKK (6698 sayılı kanun) GDPR'dan önce, 2016'da yürürlüğe girdi ve birçok yönden GDPR'ın eski hâlini örnek aldı. Temel farklar:
(1) GDPR'da maksimum ceza global cironun %4'ü veya 20M EUR — KVKK'da 2026 itibarıyla 7,5M TL idari para cezası tavanı; (2) GDPR'da veri ihlali bildirimi 72 saat zorunlu — KVKK'da "en kısa sürede"; (3) GDPR'da meşru menfaat (Madde 6/1-f) açık tanımlıyken KVKK'da daha sınırlı; (4) GDPR'da DPO atama belirli eşiklere bağlı — KVKK'da VERBİS kayıt eşiği ve İrtibat Kişisi uygulanır; (5) GDPR'da veri taşınabilirliği hakkı belirgin — KVKK'da yok.
Cookie onayı (cookie consent) Macaristan'da nasıl olmalı?
NAIH'in 2020 ve 2023 kılavuzlarına göre, kesinlikle gerekli (strictly necessary) çerezler dışında tüm çerezler için açık, granular, opt-in onay gerekir. "Kabul Et" butonu kadar görünür bir "Reddet" butonu zorunludur — "sadece kabul et" (cookie wall) modeli yasaktır.
Onay öncesi hiçbir analitik veya pazarlama çerezi yüklenmemelidir (Google Analytics, Meta Pixel, TikTok dahil). IAB TCF v2.2 uyumlu CMP (consent management platform) tercih edilir — Cookiebot, Usercentrics, Iubenda gibi AB merkezli sağlayıcılar önerilir. Onay 13 ay geçerlidir, sonra yeniden alınmalıdır.
Veri ihlali (data breach) durumunda ne yapmalıyım?
GDPR Madde 33 gereği veri ihlali öğrenildikten sonra 72 saat içinde NAIH'e bildirim zorunludur. Bildirim NAIH'in online formu üzerinden Macarca veya İngilizce yapılır.
Madde 34 uyarınca veri sahiplerinin hak ve özgürlüklerine yüksek risk varsa (örn. kredi kartı, sağlık verisi sızıntısı) etkilenen kişilere de doğrudan bildirim gerekir. Geç bildirim, NAIH'in 2024'te kestiği en yüksek cezaların gerekçesidir — bir telekom operatörü 12 günlük gecikme nedeniyle 80 milyon HUF ceza aldı.
Müşteri verilerini Türkiye'ye transfer edebilir miyim?
Evet, ancak GDPR Bölüm V kuralları geçerlidir. Türkiye, AB Komisyonu'nun "yeterlilik kararı" (adequacy decision) verdiği ülkelerden değildir (sadece 15 ülke yeterli kabul ediliyor). Bu nedenle aktarım için Standard Contractual Clauses (SCC) — 2021 yeni metin — imzalanmalı ve Transfer Impact Assessment (TIA) yapılmalıdır.
Schrems II kararından sonra ek güvenlik önlemleri (şifreleme, pseudonymisation) zorunludur. AWS Frankfurt, Hetzner Almanya gibi AB içi barındırma, transfer gerekliliğini sıfırlar ve en güvenli yoldur.
DPO (Veri Koruma Görevlisi) atamak zorunda mıyım?
GDPR Madde 37'ye göre DPO atama üç durumda zorunludur: (1) Kamu kurumuysanız; (2) Çekirdek faaliyetiniz büyük ölçekli düzenli ve sistematik izleme gerektiriyorsa (örn. davranışsal reklamcılık, fraud detection); (3) Çekirdek faaliyetiniz büyük ölçekli özel nitelikli veri (sağlık, biyometrik) işliyorsa.
Tipik bir Macaristan e-ticaret operatörü için DPO zorunlu değildir, ancak yıllık 50.000+ siparişin üstündeyseniz veya davranışsal profilleme yapıyorsanız atamanız tavsiye edilir. DPO dış kaynaklı (outsourced) olabilir; tipik maliyet 800-2.000 EUR/ay.
VVO ve adatvédelmi tájékoztató (gizlilik politikası) nasıl hazırlanır?
GDPR Madde 13-14 gereği gizlilik politikası (Macarca: adatvédelmi tájékoztató) şunları açıkça belirtmelidir: veri sorumlusu kimlik ve iletişim, DPO iletişimi (varsa), her işleme amacı ve hukuki dayanağı, meşru menfaat gerekçesi (varsa), alıcı kategorileri, üçüncü ülke aktarımı, saklama süresi, veri sahibi hakları, NAIH'e şikayet hakkı, kararın otomatik mi olduğu.
Politika sade Macarcada olmalı; Türkçeden Google Translate ile çevrilmiş metinler NAIH tarafından yetersiz kabul edilir. Şirketinizde Belső Adatvédelmi Felelős (BAF) olmasa bile ROPA (Madde 30 kayıt) tutmak zorundasınız.
Pazaryerinde (eMAG, Vatera) satarken kim veri sorumlusudur?
Pazaryeri operatörü (eMAG, Vatera, Allegro.hu) ve satıcı çoğunlukla joint controllers (ortak veri sorumlusu) olarak konumlanır. Pazaryeri checkout, ödeme ve siparişin ilk işlemesi için sorumluyken; satıcı kargo, iade, garanti, B2B fatura ve doğrudan pazarlama için ayrı sorumludur.
eMAG'ın 2024 güncel sözleşmesinde Madde 26 ortak sorumluluk düzenlemesi mevcuttur — satıcılar bu sözleşmeyi imzalayarak rolünü kabul eder. Pazaryeri ihlalinden satıcı genelde sorumlu değildir, ancak kendi CRM/ERP'sine aktarılan veriden tamamen sorumludur.
NAIH cezaları ne kadar yüksek? Hangi ihlaller en sık?
GDPR teorik tavanı 20 milyon EUR veya yıllık global cironun %4'üdür. NAIH pratikte küçük-orta e-ticaret için 1-50 milyon HUF (yaklaşık 2.500-130.000 EUR) bandında ceza kesiyor.
2024-2025 en büyük cezalar: cookie onayı eksikliği 30M HUF (DiGiTV), pazarlama izni dayanaksız 45M HUF (kozmetik şirketi), veri ihlali geç bildirim 80M HUF (telekom). Türk satıcılar için en kritik üç risk: (1) onaysız analitik yükleme, (2) AB dışı transfer için TIA eksikliği, (3) saklama süresi belirtmeden müşteri DB tutma.
E-Privacy Direktifi ve ePrivacy Regulation 2026'da değişiyor mu?
Mevcut ePrivacy Direktifi (2002/58/EC) cookie ve elektronik iletişim için lex specialis olarak GDPR'ın üstündedir. AB Komisyonu'nun teklif ettiği ePrivacy Regulation, 2026'da Konsey-Parlamento uzlaşmasından sonra yürürlüğe girecek; cookie kuralları daha da sıkılaştırılıyor, tarayıcı bazlı "do not track" sinyali bağlayıcı olabiliyor.
Hazırlık: CMP'nin Global Privacy Control (GPC) sinyalini okuyup uyguladığından emin olun, çift opt-in newsletter akışı yapın, SMS pazarlama için ayrı yazılı onay alın.
Zunapro Macaristan paneli GDPR uyumunu nasıl kolaylaştırır?
Zunapro'nun Macaristan modülü şunları otomatize eder:
(1) Cookie banner — IAB TCF v2.2 uyumlu CMP entegrasyonu hazır; (2) ROPA (Madde 30 kayıt) — eMAG, Vatera, Allegro.hu, Foxpost teslimat ve PayU/Barion ödeme entegrasyonlarının işleme faaliyeti otomatik kaydedilir; (3) Veri sahibi talep yönetimi — erişim, silme, taşınabilirlik talepleri tek panelde; (4) Veri ihlali workflow — 72 saatlik sayaçla NAIH bildirim taslağı; (5) AB dışı transfer kontrol listesi — SCC + TIA şablonu. Türk satıcıların KVKK-VERBİS kaydı paralel sürdürülebilir; tek panel iki rejimi yönetir.
Macaristan'da DSR (Data Subject Request) talebine ne kadar sürede cevap vermeliyim?
GDPR Madde 12(3) gereği veri sahibi talebine — erişim, silme, düzeltme, sınırlama, itiraz, taşınabilirlik — 1 ay (30 gün) içinde cevap vermek zorundasınız. Talep karmaşıksa veya çok sayıda talep varsa, bu süre 2 ay daha uzatılabilir, ancak veri sahibine gecikmenin nedenini bildirip onayını almanız gerekir.
NAIH 2024-2025'te, talebe geç veya hiç cevap vermeyen satıcılara 5-25M HUF arası ceza kesti. Zunapro paneli içinde DSR talepleri otomatik atanır, sayaç başlar ve 7 gün kala uyarı gönderilir.
Doğrudan pazarlama (newsletter, SMS) için açık rıza nasıl alınır?
Macaristan'da doğrudan pazarlama için ePrivacy + 2008. évi XLVIII. törvény (Grtv — Reklam Kanunu) opt-in zorunlu kılar. "Meşru menfaat" dayanağı kabul edilmez. Geçerli onay şu özellikleri taşımalıdır:
(1) Önceden işaretli kutu yasak — kullanıcı aktif tıklamalı; (2) Granular — newsletter ile SMS ayrı onay; (3) Sipariş tamamlama akışından bağımsız — "kabul etmezsen sipariş gönderilmez" denemez; (4) Geri çekme her e-postada "unsubscribe" linki ile mümkün; (5) Çift opt-in (double opt-in) NAIH'in tavsiye ettiği güçlü ispat yöntemidir.
VERBİS kaydım var ama Macaristan için ayrı bir şey yapmam gerekiyor mu?
VERBİS Türkiye'de KVKK Kurulu nezdinde tutulan kamuya açık bir sicildir; Macaristan'da geçerli değildir. Macaristan operasyonunuz için yapmanız gereken:
(1) ROPA — GDPR Madde 30 kayıt sicili (iç kayıt, NAIH talep edince ibraz); (2) Macarca adatvédelmi tájékoztató — sitenizde yayınlanmış gizlilik politikası; (3) DPO/BAF — gerekliyse atama; (4) Sektörel kayıtlar — örn. tüketici şikayet otoritesi (NFH) için ticari kayıt. VERBİS ile ROPA paralel sürdürülür, ikisi de aynı veri envanteri üzerinden beslenebilir.
Macaristan'da GDPR uyumlu satışa başlayın — 10 dakikada kurulum
eMAG.hu · Vatera · Allegro.hu pazaryerleri + Macarca adatvédelmi tájékoztató + ROPA + CMP + 72-saat ihlal workflow + KVKK çifte uyum. Demo gerekmez, uzun sözleşme yok. NAIH hazır, Türk satıcılar için optimize edilmiş.
🇭🇺 Macaristan'da Satışa Başla →Bu konuda yardım alın
İlgili hizmetimiz: E-Ticaret