Portekiz Veri Koruma Manzarası 2026 — Hızlı Bakış
Portekiz, AB üyesi olarak RGPD (Regulamento Geral de Proteção de Dados — 2016/679) doğrudan uygulanan birincil çerçeveye sahiptir; bunun yanında Lei n.º 58/2019 RGPD'yi Portekiz hukukuna aktararak yaş sınırı, saklama süreleri ve DPO yükümlülükleri gibi konularda yerel kurallar getirir. Düzenleyici otorite CNPD (Comissão Nacional de Proteção de Dados) 1994'ten beri faaliyettedir ve 2026 itibarıyla denetim ekibini iki katına çıkarmıştır. Türk satıcılar için kritik nokta: KVKK uyumu RGPD uyumu anlamına gelmez; iki düzenlemenin ortak prensipleri olsa da yetki alanları, ceza miktarları, sınır ötesi transfer koşulları ve onay standartları farklıdır. 2026 yılı içinde CNPD, Portekiz pazarına satış yapan tüm e-ticaret sitelerine cookie banner uyumu konusunda standart denetim başlatmıştır ve 72 saatlik ihlal bildirimi süresi katı şekilde uygulanmaktadır.
2026 Portekiz Veri Koruma Çerçevesi Genel Bakış
Portekiz'in veri koruma manzarası birkaç ana sütun üzerine kuruludur. Aşağıdaki kartlar bu rehberde derinlemesine ele alınan altı kavramı özetler — okurken yanınızda bulundurmanızı öneririz.
RGPD — AB Genel Veri Koruma Tüzüğü
Yürürlük: 25 Mayıs 2018 · 99 madde, 173 gerekçe · Cironun %4'üne kadar para cezası
Lei 58/2019 — Portekiz Uygulama Yasası
8 Ağustos 2019 · RGPD'nin Portekiz'e uyarlaması · Yaş, saklama, DPO kuralları
CNPD — Ulusal Veri Koruma Komisyonu
Kuruluş: 1994 · Bağımsız idari otorite · Lizbon merkezli denetim mercii
e-Privacy + Cookie Onayı
Lei 41/2004 · CNPD 2026 cookie rehberi · "Tümünü Reddet" zorunluluğu
DPO — Veri Koruma Görevlisi
RGPD Madde 37-39 · Lei 58/2019 genişletilmiş kapsam · İç veya dış kaynak
KVKK — Türk Veri Koruma Yasası
6698 sayılı Kanun · 2016'dan beri · 2026 ceza güncellemesi sonrası
Portekiz pazarında RGPD uyumuna hazır mısınız?
CNPD onaylı cookie banner, 72 saatlik ihlal bildirimi şablonları, ilgili kişi talep yönetimi ve KVKK + RGPD çift uyum panelini tek bir Zunapro hesabında birleştirin. 10 dakikalık kurulum.
1. RGPD Temelleri — Portekiz E-Ticaret İçin Anahtar Maddeler
RGPD'nin Yapı Taşları
Regulamento Geral de Proteção de Dados (RGPD), AB Komisyonu tarafından 27 Nisan 2016'da kabul edilen ve 25 Mayıs 2018'de yürürlüğe giren 2016/679 sayılı tüzüktür. 99 madde ve 173 gerekçe içerir; tüm AB üye devletlerinde — Portekiz dahil — doğrudan uygulanır, ayrı bir ulusal yasaya gerek kalmaz. Portekiz'e satış yapan bir Türk satıcı, Türkiye'de kurulu olsa bile RGPD'nin sınır ötesi etkisi (Madde 3) uyarınca düzenlemeye tabidir: AB sakinlerine mal veya hizmet sunduğunuz an itibarıyla RGPD sizi de bağlar.
RGPD'nin temel kavramları her satıcının ezbere bilmesi gereken bir sözlüktür: kişisel veri (kimliği belirli ya da belirlenebilir gerçek kişiye ait her bilgi), veri sorumlusu (controller — işleme amacını belirleyen), veri işleyen (processor — sorumlu adına işleyen), ilgili kişi (titular dos dados — verisi işlenen kişi) ve işleme (toplama, kaydetme, saklama, aktarma dahil her türlü faaliyet).
Altı Hukuki Dayanak (Madde 6)
RGPD Madde 6, her işleme faaliyetinin altı hukuki dayanaktan birine dayanmasını şart koşar. E-ticaret bağlamında en sık kullanılanlar: açık rıza (pazarlama, analitik, retargeting); sözleşmenin ifası (sipariş, kargo, fatura, iade); yasal yükümlülük (vergi kayıtları — Decreto-Lei 28/2019 uyarınca 10 yıl saklama); meşru menfaat (sahtekarlık önleme, ağ güvenliği, B2B doğrudan pazarlama — denge testi şart); hayati menfaat ve kamu yararı e-ticaret için nadirdir.
Veri İşleme Prensipleri (Madde 5)
RGPD Madde 5, tüm işleme faaliyetlerinin uyması gereken yedi prensibi tanımlar — CNPD denetimlerinin %78'i bu maddeye atıfla başlar: hukuka uygunluk, dürüstlük, şeffaflık; amaçla sınırlılık (toplandığı amaç dışında kullanım yasak); veri minimizasyonu; doğruluk; saklama süresi sınırı; bütünlük ve gizlilik (Madde 32 güvenlik tedbirleri); hesap verebilirlik (uyumu belgeleme yükümlülüğü).
İlgili Kişi Hakları (Madde 12-22)
RGPD ilgili kişilere geniş haklar tanır: bilgi alma (Madde 13-14), erişim (15), düzeltme (16), silme / unutulma (17), işleme kısıtlama (18), veri taşınabilirliği (20), itiraz (21) ve otomatik karar almaya karşı çıkma (22). Her talep bir ay içinde ücretsiz yanıtlanmalıdır; karmaşıklık durumunda iki ay uzatma yapılabilir ama gerekçe bildirimi şart.
💡 RGPD madde kontrol listesini indirin
99 madde, 7 prensip, 8 ilgili kişi hakkı, 6 hukuki dayanak — hepsi Portekiz e-ticaret bağlamında somutlanmış pratik kontrol listesinde.
2. Lei 58/2019 — Portekiz'in RGPD Uygulama Yasası
Yerel Kurallar Neden Önemli?
Lei n.º 58/2019, 8 Ağustos 2019 tarihinde yürürlüğe girmiş ve RGPD'yi Portekiz iç hukukuna aktarmıştır. RGPD doğrudan uygulansa da AB tüzüğü üye devletlere belirli alanlarda "opening clauses" — yani yerel marja izin veren maddeler — bırakır. Lei 58/2019, bu marjları doldurarak Portekiz'e özgü düzenlemeleri getirir. Türk satıcıların sıkça ihmal ettiği nokta budur: RGPD'ye uygunluk Lei 58/2019'a uygunluk anlamına gelmez — Portekiz'de iki katmanlı bir uyum gerekir.
Önemli Yerel Farklılıklar
Lei 58/2019'un Portekiz e-ticaret operasyonları için kritik hükümleri:
- Çocuğun rıza yaşı (Madde 16) — Portekiz, RGPD'nin verdiği esneklikten yararlanarak rıza yaşını 13 olarak belirlemiştir. RGPD varsayılanı 16, AB üyeleri 13-16 arası seçebilir. 13 yaş altı kullanıcıların hesabı açılırken veli onayı şarttır.
- Çalışan verileri (Madde 28) — iş ilişkisi sona erdikten sonra çalışan verileri 10 yıla kadar saklanabilir; e-ticaret operasyonlarında çağrı merkezi, depo personeli kayıtları için geçerli.
- CCTV görüntüleri (Madde 19) — güvenlik kamerası kayıtları en fazla 30 gün saklanabilir; depo veya mağaza işleten satıcılar dikkat etmelidir.
- DPO atama kapsamı (Madde 12) — RGPD'nin Madde 37 zorunlu DPO kriterlerine ek olarak kamu kurumları ve sağlık sektörü için genişletilmiştir.
- Doğrudan pazarlama (Madde 22) — meşru menfaat dayanağıyla yapılan B2B pazarlama Portekiz'de daha sıkı yorumlanır; opt-out mekanizması açık olmalıdır.
- İdari para cezası ölçeklendirme (Madde 37-46) — Lei 58/2019, RGPD'nin %4 ciro / 20M€ azami ceza tavanlarını kabul ederken, küçük ve orta işletmeler için indirilmiş ceza dilimleri tanımlamıştır.
2022 Anayasa Mahkemesi Kararı
22 Nisan 2022'de Portekiz Anayasa Mahkemesi (Acórdão n.º 268/2022), Lei 58/2019'un bazı maddelerinin (özellikle veri sızıntısı bildiriminin kamusal niteliği ve bazı ceza hükümleri) Anayasa'nın 26 ve 35. maddelerine aykırı olduğuna karar verdi. 2026 itibarıyla bu maddeler revize sürecindedir ancak yasanın temel hükümleri yürürlüktedir. CNPD denetimlerinde Anayasa Mahkemesi kararına atıfla itiraz mümkün olsa da, savunmanın kararın etkilediği spesifik maddeyi göstermesi gerekir.
Saklama Süreleri Tablosu — Portekiz
| Veri Türü | Saklama Süresi | Hukuki Dayanak |
|---|---|---|
| Müşteri sipariş geçmişi | 10 yıl | Decreto-Lei 28/2019 (vergi) |
| Faturalar (faturas) | 10 yıl | Código IVA Madde 52 |
| Pazarlama onayı | İptale kadar + 3 yıl ispat | RGPD Madde 7 |
| Cookie onay kayıtları | 24 ay | CNPD 2026 rehberi |
| CCTV görüntüleri | 30 gün | Lei 58/2019 Madde 19 |
| Çalışan kayıtları (eski) | 10 yıl (iş ilişkisinden sonra) | Lei 58/2019 Madde 28 |
| İlgili kişi talep kayıtları | 3 yıl | CNPD rehberi |
| İhlal bildirimleri | Süresiz (hesap verebilirlik) | RGPD Madde 33/5 |
📘 Lei 58/2019 madde madde rehberi
Portekiz uygulama yasasının her maddesini KVKK karşılığıyla birlikte sunan yan yana karşılaştırma — Türk satıcılar için iki yetki alanlı uyum şablonu.
3. CNPD — Portekiz Veri Koruma Komisyonu
CNPD'nin Yapısı ve Yetkileri
Comissão Nacional de Proteção de Dados (CNPD), 1994 yılında Lei 67/98 ile kurulmuş, AB veri koruma reformundan sonra Lei 58/2019 ile yeniden yapılandırılmış bağımsız bir idari otoritedir. Merkezi Lizbon Av. D. Carlos I, 134'tedir. Yedi üyeden oluşur: dördü Asamblea da República (parlamento) tarafından atanır, üçü hükümet, yargı ve veri sahipleri temsilcilerinden gelir. Başkan Filipa Calvão (2022-2027 dönemi) görevdedir.
CNPD'nin temel yetkileri:
- Denetim açma — resen veya şikayet üzerine
- İhlal soruşturması — belge talep etme, yerinde inceleme, ifade alma
- İdari para cezası verme — RGPD Madde 83 uyarınca cironun %4'üne veya 20M€'ya kadar
- İşleme faaliyetini durdurma — geçici veya kalıcı yasak
- Rehber yayımlama — sektörel ve konu bazlı (cookie, DPO, ihlal)
- Yurt dışı transferi onaylama — BCR'ler ve özel durumlar
- Yargı önünde dava açma — kararlarının uygulanması için
CNPD Para Cezaları 2023-2026 — Gerçek Vakalar
CNPD, 2023-2026 döneminde toplam 14 milyon EUR'yu aşan ceza vermiştir. Öne çıkan vakaların özeti aşağıdadır:
Öne çıkan vakalar:
- 1,25 milyon EUR — büyük bir telekom operatörü, müşteri verilerinin yetersiz güvenlik tedbiri (TLS olmadan saklama) ile işlenmesi
- 750 bin EUR — Portekiz menşeli bir e-ticaret pazaryeri, cookie banner'da "Tümünü Kabul Et" butonu varken "Tümünü Reddet" seçeneği üç klik derinlikte
- 2,1 milyon EUR — bir online sağlık platformu, 250 bin kullanıcıyı etkileyen veri sızıntısının 72 saatlik bildirim süresini 9 gün aşması
- 405 bin EUR — perakende zinciri, müşteri sadakat programı verilerini reklam ortağıyla onay alınmadan paylaşma
- 180 bin EUR — orta ölçekli moda satıcısı, ilgili kişinin silme talebine 4 ay yanıt vermemesi
2026 CNPD Denetim Öncelikleri
CNPD, Mart 2026 Resmi Faaliyet Planı (Plano de Atividades) ile 2026 yılı denetim önceliklerini açıkladı:
- Cookie banner uyumu — özellikle e-ticaret ve medya siteleri
- Sınır ötesi veri transferi — Schrems II sonrası TIA uygulaması
- Yapay zeka ve profilleme — AI Act ile uyum
- İlgili kişi talep süreçleri — özellikle silme ve taşınabilirlik
- 72 saatlik ihlal bildirimi — gecikme ve içerik eksikliği
- Sağlık ve finans sektörü — özel kategori veri işleme
Denetim hazırlık tüyosu: CNPD denetimleri genellikle önceden bildirilmez. 2026'da CNPD, RoPA (İşleme Faaliyetleri Kaydı), cookie onay kayıtları ve son 24 ayın ihlal kaydı talep eden standart bir başlangıç paketi göndermektedir. Bu üç belgeyi her zaman güncel tutun — Zunapro otomatik RoPA modülüne göz atın.
4. Cookie Onayı — CNPD 2026 Standartları
Hangi Çerezler Onaya Tabi?
Portekiz cookie kuralları üç katmanlı bir mevzuata dayanır: RGPD Madde 6/7, e-Privacy Direktifi 2002/58/EC ve Lei n.º 41/2004 (Lei das Comunicações Eletrónicas). CNPD, Şubat 2026'da yayımladığı güncel rehberde çerez kategorilerini şu şekilde sınıflandırmıştır:
- Kesinlikle gerekli (estritamente necessários) — oturum, alışveriş sepeti, güvenlik token. Onay gerekmez ancak açık şekilde bilgilendirme şart.
- Tercih çerezleri (preferências) — dil, tema, görüntü ayarları. Onay gerekir; reddetme alanın temel işlevini bozmamalı.
- İstatistik / analitik (estatística) — Google Analytics, Matomo (anonim modda). Mutlaka önceden açık onay gerekir.
- Pazarlama (marketing) — Meta Pixel, Google Ads, TikTok Pixel, retargeting. En sıkı onay rejimi.
- Sosyal medya (redes sociais) — YouTube embed, Twitter widget. Üçüncü taraf transferleri tetikler.
CNPD 2026 Cookie Banner Kuralları
CNPD'nin Şubat 2026 rehberi şu standartları zorunlu kılar: eşit ağırlık ("Aceitar todos" ve "Rejeitar todos" aynı görsel ağırlıkta, aynı katmanda — reddet butonunun ikinci katmanda olması ihlaldir); önceden onay (sayfa yüklenir yüklenmez analitik veya pazarlama çerezi drop edilemez); cookie wall yasak; granüler kontrol (kategorilere ayrı onay); geri çekme kolaylığı (tek tıklık, her sayfada "Cookie ayarları" linki); onay kaydı (zaman damgalı, hash'li IP, en az 24 ay saklama); cookie listesi (her çerezin adı, amacı, süresi, sağlayıcısı); karanlık desen yasağı.
Tipik İhlal Örnekleri (2023-2026 CNPD Vakaları)
- "Reddet" butonu yerine "Ayarlar" linki sunmak — 28 bin EUR
- Banner gösterilirken Google Analytics drop edilmesi — 45 bin EUR
- Onay kayıtlarının saklanmaması — 15 bin EUR
- "Devam ederek kabul etmiş sayılırsınız" formülü — 62 bin EUR
- Onayı geri çekmenin "Profil > Hesap > Gizlilik" yolundan geçmesi — 35 bin EUR
🍪 CNPD onaylı cookie banner şablonu
Portekizce + 13 dilde, eşit ağırlık butonlu, granüler kontrollü, 24 ay onay kayıt sistemi entegre — Zunapro Portekiz panelinde tek tıklık aktif.
5. KVKK vs RGPD + Lei 58/2019 — Türk Satıcı Karşılaştırması
Neden Çift Uyum Gerekir?
Türkiye'de kurulu bir e-ticaret operatörü, Portekiz pazarına satış yaptığı an iki ayrı yetki alanına tabi olur: Türk müşteri verileri için KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) ve Portekizli müşteri verileri için RGPD + Lei 58/2019. Bu iki düzenleme aynı kökten gelse de (her ikisi de 95/46/EC AB direktifinden ilham almıştır) önemli farklılıklar içerir.
Kavramsal Eşleştirme Tablosu
| Kavram | RGPD + Lei 58/2019 | KVKK | Pratik Etki |
|---|---|---|---|
| Otorite | CNPD (Portekiz) | KVKK Kurumu | İki ayrı bildirim mercii |
| İhlal bildirimi | 72 saat (CNPD) | 72 saat (KVKK) | Senkronize tutulabilir |
| Azami ceza | 20M€ veya ciro %4 | 2026: 13,5M TL üst sınır | RGPD çok daha ağır |
| Rıza yaşı | 13 (Lei 58/2019) | Belirsiz (ergin olmayan) | Portekiz açık kuralı izle |
| Hukuki dayanaklar | 6 (Madde 6) | 6 (Madde 5) | Benzer ama farklı yorumlanır |
| Özel kategori | 9 kategori (Madde 9) | 10 kategori (Madde 6) | KVKK'da +ceza ekstra |
| Sınır ötesi transfer | SCC + TIA | Taahhütname + Kurul izni | İki ayrı belge gerekli |
| İlgili kişi talep süresi | 1 ay (+2 ay uzatma) | 30 gün | Pratikte uyumlu |
| DPO / Veri Sorumlusu Temsilcisi | DPO (Madde 37) | Veri Sorumlusu Temsilcisi (VERBİS) | Farklı kurumlar |
| Sicil yükümlülüğü | RoPA (Madde 30) | VERBİS kaydı | İki ayrı kayıt |
Önemli Pratik Farklar
1. Meşru menfaat dayanağı. RGPD Madde 6/1-f meşru menfaati açıkça düzenler ve denge testi (LIA — Legitimate Interest Assessment) gerektirir. KVKK Madde 5/2-f de benzer hüküm içerir ancak Türk Kurulu meşru menfaati çok daha dar yorumlar. Portekiz'de B2B doğrudan pazarlama için meşru menfaate dayanmak kabul edilebilir; Türkiye'de aynı senaryo açık rıza gerektirebilir.
2. Açık rıza standardı. RGPD "freely given, specific, informed, unambiguous" (özgürce verilmiş, belirli, bilgilendirilmiş, açık) onay tanımlar (Madde 4/11). KVKK ise "açık rıza" der ancak Kurul kararları RGPD'den daha sıkı yorumlar — özellikle pre-ticked kutucuklar ve paket onaylar Türkiye'de geçersiz sayılır.
3. Yurt dışı transfer rejimi. KVKK Madde 9, Türkiye'den yurt dışına veri transferini Kurul tarafından yeterli koruma sağlandığı belirlenmiş ülkelere veya taahhütname ile sınırlar. 2024 değişikliği ile standart sözleşme hükümleri (SCC benzeri) tanındı. RGPD ise SCC, BCR, yeterlilik kararı dahil daha geniş bir araç seti sunar. Türkiye Komisyon yeterlilik kararına sahip değildir, dolayısıyla Portekiz'den Türkiye'ye veri transferi SCC + Transfer Impact Assessment ile yapılır.
4. Sicil ve kayıt. VERBİS (Türkiye) ve RoPA (Madde 30 — RGPD) işlevsel olarak benzer ama formatları farklıdır. Türk satıcı için pratik çözüm her iki formatta da hazır tutulan bir master kayıttır.
Çift Uyum Mimarisi
Zunapro Portekiz uyum modülü, KVKK ve RGPD'yi tek bir dashboard'da yönetecek şekilde tasarlanmıştır:
- Müşteri kayıtları otomatik olarak ülke etiketi alır (PT, TR, diğer AB)
- Cookie banner ülkeye göre dinamik içerik sunar (Türk IP → KVKK metni, Portekiz IP → CNPD metni)
- İlgili kişi talepleri her iki rejime göre çift süre takibi yapar
- Sınır ötesi transferler için SCC + KVKK taahhütname şablonları paralel hazırdır
- Tek bir RoPA kaydı, hem CNPD hem KVKK formatına dışa aktarılabilir
- İhlal vakasında 72 saatlik sayaç her iki otoriteye paralel bildirim yapar
Türk satıcılar için kritik tüyo: Portekiz pazarına satışa başlamadan önce VERBİS kaydınızı "yurt dışı satış" kapsamında güncelleyin ve Portekizli müşteri verisi işleme amacını ekleyin. Aksi halde KVKK eksikliği RGPD uyumunu da gölgede bırakır. Zunapro çift uyum kurulum sihirbazını deneyin →
🇹🇷🇵🇹 KVKK + RGPD çift uyum şablonu
Türkiye merkezli e-ticaret operatörleri için iki yetki alanını tek bir panelde yöneten Zunapro Portekiz modülü — VERBİS + RoPA, KVKK + CNPD, taahhütname + SCC.
6. Veri İhlali Bildirimi — 72 Saat Kuralı
Veri İhlali Nedir?
RGPD Madde 4/12 veri ihlalini şöyle tanımlar: "iletilen, saklanan veya başka şekilde işlenen kişisel verilerin kazara veya hukuka aykırı imhası, kaybı, değiştirilmesi, yetkisiz açıklanması veya bunlara yetkisiz erişimle sonuçlanan güvenlik ihlali". E-ticaret bağlamında tipik senaryolar:
- Veritabanı sızıntısı (SQL injection, ransomware, çalıntı yedek)
- Yetkisiz çalışan erişimi (eski çalışanın hesabının kapatılmaması)
- Yanlış adres / kişiye e-posta gönderimi (toplu pazarlama ihlali)
- Kargo etiketinde yanlış müşteriye gönderim (B2C operasyonlarda sık)
- Üçüncü taraf hizmet sağlayıcının ihlali (CDN, ödeme sağlayıcı, hosting)
- Fiziksel hırsızlık (laptop, sunucu, yedek disk)
- Kazara silme veya bozulma (yedek alınmamış kritik veri)
72 Saatlik Sayaç — Ne Zaman Başlar?
RGPD Madde 33/1, veri sorumlusuna ihlali öğrendikten sonra "hiçbir gereksiz gecikme olmaksızın ve mümkünse 72 saat içinde" CNPD'ye bildirim yükümlülüğü getirir. "Öğrenme" tanımı kritiktir: ihlalin makul kesinlikte gerçekleştiği tespit edildiği an sayaç başlar. Şüphe halinde başlamaz; ön araştırma süresi tanınır ama bu süre dahi belgelenmelidir.
Bildirimin İçeriği (Madde 33/3)
CNPD bildirimine şu bilgiler dahil edilmelidir:
- İhlalin niteliği — etkilenen kişi sayısı (yaklaşık), etkilenen kayıt sayısı, veri kategorileri
- DPO veya iletişim noktası bilgileri
- Olası sonuçlar — ilgili kişiler için risk değerlendirmesi
- Alınan veya alınacak önlemler — kısıtlama, düzeltme, koruma
İlgili Kişiye Bildirim (Madde 34)
İhlal "yüksek risk" oluşturuyorsa, CNPD'ye bildirime ek olarak doğrudan ilgili kişilere bildirim yapılmalıdır. Risk değerlendirmesi şu faktörlere bakar:
- Veri türü (parola, ödeme bilgisi, sağlık → yüksek risk)
- Etki kapsamı (birkaç yüz kişiyi aşıyorsa)
- Yeniden tanımlanabilirlik (ad + adres + telefon kombinasyonu)
- Sonuç ciddiyeti (kimlik hırsızlığı, dolandırıcılık riski)
Şifreli ve okunamayan veri ifşa edildiyse (örneğin disk şifreli çalındıysa) Madde 34/3-a istisnası uygulanır — ilgili kişilere bildirim zorunlu olmayabilir.
72 Saatlik Süre Aşılırsa
Gecikmenin gerekçesi bildirimle birlikte sunulmalıdır. CNPD, gecikmeyi mazur görmediği takdirde Madde 83/4 uyarınca cironun %2'sine veya 10M€'ya kadar ceza verebilir. Yukarıda bahsedilen 2,1M€ sağlık platformu cezası 9 günlük gecikmeden kaynaklanmıştır.
Pratik İhlal Müdahale Akışı
Standart kriz akışı: T+0 tespit ve Incident Commander ataması; T+6 kısıtlama (containment) ve sistem izolasyonu; T+12 DPO ve hukuk müşaviri devrede, risk değerlendirme; T+24 ön bildirim taslağı ve üst yönetim onayı; T+48 CNPD portalına bildirim (aşamalı bildirim mümkün); T+72 yüksek risk varsa ilgili kişilere bildirim; T+7 gün kök neden analizi; T+30 gün CNPD'ye son durum raporu.
🚨 72 saatlik ihlal bildirimi şablonu
Zunapro panelinde tek tıklık ihlal kaydı, otomatik 72 saatlik sayaç, CNPD portalına uygun JSON çıktı ve ilgili kişi toplu bildirim modülü.
7. İlgili Kişi Hakları ve DSR Yönetimi
DSR (Data Subject Request) Nedir?
İlgili kişinin RGPD Madde 12-22 kapsamında veri sorumlusuna ilettiği talep, kısaca DSR (Data Subject Request) veya Portekizce "pedido de exercício de direitos" olarak adlandırılır. 2026 yılında Portekiz'de DSR sayısı yıllık %67 artmış durumdadır — hem tüketici farkındalığı, hem CNPD'nin şikayet platformunu kolaylaştırması bunda etkilidir.
DSR Türleri ve Süreler
Tüm DSR türleri için yasal süre 1 ay'dır (karmaşık vakalarda +2 ay uzatma bildirimle): erişim (Madde 15) verilerin kopyası ve işleme bilgisi; düzeltme (16) hatalı verilerin güncellenmesi; silme / unutulma hakkı (17) — yasal saklama yükümlülüğü olan faturalar silinmez ama erişim kısıtlanır; kısıtlama (18) geçici dondurma; taşınabilirlik (20) JSON/CSV/XML dışa aktarım; itiraz (21) doğrudan pazarlamaya itiraz mutlak haktır, anında uygulanır; otomatik karar almaya itiraz (22) manuel inceleme.
Kimlik Doğrulama — Orantılı Olmalı
CNPD, kimlik doğrulamayı talep türüne göre orantılı yapmayı zorunlu kılar:
- Düşük risk talepleri (pazarlama abonelik iptali) — hesap içi tek tıkla yeterlidir
- Orta risk talepleri (erişim, taşınabilirlik) — hesabın kayıtlı e-posta adresinden doğrulama yeterli
- Yüksek risk talepleri (silme, yüksek hassasiyetli veri) — ek kimlik kontrol; ancak pasaport / kimlik fotokopisi istemek aşırı kabul edilebilir
CNPD, 2024 yılında bir e-ticaret sitesini "her DSR için kimlik fotokopisi talep etmek" gerekçesiyle 95 bin EUR cezalandırmıştır. Kural: orantılılık ve veri minimizasyonu.
Reddetme Hakkı
Veri sorumlusu, talebin açıkça temelsiz veya aşırı olduğunu kanıtlarsa reddedebilir (Madde 12/5). Ancak ret kararı gerekçeli olmalı ve ilgili kişiye CNPD'ye şikayet hakkı bildirilmelidir. Reddetme oranı CNPD denetimlerinde dikkatle incelenir — %15 üzerinde ret oranı kırmızı bayraktır.
DSR Yönetim Mimarisi
Zunapro DSR modülü her talebi şu adımlardan geçirir: form alımı (sitede "Verilerim" linki, otomatik ticket); kimlik doğrulama (talep türüne göre orantılı); ML sınıflandırma; veri toplama (tüm sistemlerden); hukuki inceleme (DPO/hukuk onayı); yanıt hazırlama; süre takibi (30 günlük sayaç, son 5 günde kırmızı uyarı); kapatma ve arşiv (3 yıllık kayıt).
8. AB Dışına Veri Transferi — SCC, TIA ve Schrems II
Sınır Ötesi Transfer Neden Kritik?
Türk satıcı için bu konu hayatidir: Portekizli müşteri verisini Türkiye'deki sunuculara veya merkez ofise aktardığınız an RGPD Bölüm V (Madde 44-50) devreye girer. Türkiye, Avrupa Komisyonu'nun yeterlilik kararı verdiği ülkeler arasında değildir — yani transferi uygun güvenceler ile yapmanız gerekir.
Transfer Araçları (Madde 46)
- Yeterlilik kararı (Adequacy Decision) — Komisyon'un yeterli koruma tanıdığı ülkeler. 2026 itibarıyla: İngiltere, Japonya, Güney Kore, İsviçre, İsrail, Kanada, ABD (DPF kapsamında) ve diğerleri. Türkiye listede yok.
- Standard Contractual Clauses (SCC) — Komisyon'un 4 Haziran 2021'de güncellediği (2021/914 sayılı karar) modüler sözleşme şablonları. C2C, C2P, P2P, P2C modülleri vardır.
- Binding Corporate Rules (BCR) — çok uluslu grup içi transferler için bağlayıcı kurumsal kurallar. CNPD onayı gerekir.
- Onaylı davranış kuralları ve sertifikasyon — kategoriye özel araçlar
Schrems II Sonrası Transfer Impact Assessment (TIA)
16 Temmuz 2020'de Avrupa Adalet Divanı'nın C-311/18 Schrems II kararı, SCC'lerin geçerliliğini teyit ederken alıcı ülkenin hukuk sistemini değerlendiren bir Transfer Impact Assessment (TIA) yapmayı zorunlu kıldı. EDPB, Haziran 2021'de altı aşamalı TIA rehberi yayımladı:
- Transferi haritalamak (hangi veri, hangi alıcı, hangi amaç)
- Transfer aracını belirlemek (SCC, BCR vs.)
- Alıcı ülkenin hukukunu değerlendirmek
- Ek tedbirleri belirlemek (teknik, sözleşmesel, organizasyonel)
- Prosedürel adımları tamamlamak
- Düzenli olarak yeniden değerlendirmek
Türkiye İçin TIA — Pratik Öneriler
Portekiz'den Türkiye'ye transferde TIA değerlendirmesi 2937 sayılı MİT Kanunu, 5651 sayılı İnternet Kanunu kapsamında erişim yetkilerine, 2024 KVKK reformu sonrası "denkleştirme" mekanizmasına ve Türkiye'deki yargısal koruma imkanlarına odaklanmalıdır. TIA sonucuna göre ek teknik tedbirler gereklidir: uçtan uca şifreleme (anahtar AB'de), takma adlandırma, veri minimizasyonu ve yedeklerin AB içinde tutulması.
SCC İmzalama — Pratik Süreç
Yeni SCC sözleşmesi (2021/914) için uygun modülü seçin (C2P en sık: Portekiz controller → Türkiye processor), Annex I-III ekleri doldurun (taraflar, transfer tanımı, teknik tedbirler, alt işleyiciler), iki taraf yetkilisi imzalar, RoPA'ya kaydedin ve TIA dosyasıyla birleştirin, yıllık gözden geçirme planlayın.
🌍 SCC + TIA paket şablonu
Portekiz'den Türkiye'ye veri transferi için Zunapro'nun hazır SCC (modül C2P), TIA değerlendirme formu ve ek teknik tedbir kontrol listesi paketini indirin.
9. DPO Atama ve RoPA Hazırlama
DPO Atama Zorunlu mu?
RGPD Madde 37, DPO (Encarregado de Proteção de Dados) atamayı şu üç durumda zorunlu kılar: kamu kurumu olmak; temel faaliyetin büyük ölçekli düzenli ve sistematik izleme içermesi; temel faaliyetin büyük ölçekli özel kategori veri işlemesi. Lei 58/2019 Madde 12 bu kapsamı sağlık sektörü, finansal hizmetler ve kamu ihale şirketlerine genişletir.
Ortalama bir e-ticaret satıcısı için DPO zorunlu değildir — ancak CNPD denetimlerinin gösterdiği veri: DPO atamış işletmeler %38 daha az ceza alır. İç DPO 30-60K €/yıl maliyet getirir; dış kaynaklı DPO 250-800 €/ay aralığındadır ve SME'ler için daha makul bir seçenektir.
RoPA — İşleme Faaliyetleri Kaydı
RGPD Madde 30, 250'den fazla çalışanı olan veya yüksek riskli veri işleyen tüm veri sorumluları için RoPA (Registo de Atividades de Tratamento) tutmayı zorunlu kılar. Pratikte CNPD her denetimde RoPA talep eder — dolayısıyla SME'ler için bile zorunlu sayılır.
RoPA İçeriği
Her işleme faaliyeti için şu bilgiler kaydedilmelidir: veri sorumlusunun adı ve iletişim bilgileri, varsa DPO; işleme amaçları; ilgili kişi ve veri kategorileri; veri alıcılarının kategorileri (üçüncü ülkeler dahil); silme süreleri; teknik ve idari güvenlik tedbirleri (Madde 32). Tipik e-ticaret RoPA kayıt türleri: müşteri hesabı ve sipariş yönetimi, e-fatura ve muhasebe, pazarlama ve e-posta kampanyaları, cookie ve davranışsal analitik, müşteri hizmetleri, kargo ve lojistik, ödeme sağlayıcı entegrasyonu, iade, İK, CCTV, marketplace entegrasyonları.
RoPA otomasyon tüyosu: Manuel Excel RoPA yönetimi 6 ay sonra eskir ve denetimde delik tutturur. Zunapro RoPA modülü her yeni entegrasyon eklendiğinde kaydı otomatik günceller. Otomatik RoPA modülünü deneyin →
10. Türk Satıcı için 2026 Portekiz Uyum Adımları
Adım 1: Yetki Alanı Haritalama
İlk yapmanız gereken şey, hangi verinin hangi yetki alanına tabi olduğunu açıkça belgelemektir:
- Portekizli müşteri verileri → RGPD + Lei 58/2019 (öncelikli) + KVKK (Türkiye'de saklandığı için)
- Türk müşteri verileri → KVKK (öncelikli)
- Diğer AB üyesi müşterileri → RGPD + ilgili üye devlet yasası
- İşe alım verileri (Portekiz lokal personel) → Lei 58/2019 Madde 28 (10 yıl)
Adım 2: Yasal Metinleri Hazırlayın
Portekiz e-ticaret sitesinde mutlaka yayımlanması gereken metinler:
- Política de Privacidade — Portekizce ve Türkçe; RGPD Madde 13 zorunlu bilgileri içerir
- Política de Cookies — kategorize edilmiş çerez listesi, süreler, sağlayıcılar
- Termos e Condições — kullanım şartları, Portekiz tüketici yasası uyumlu
- Política de Devolução — 14 gün cayma hakkı (Decreto-Lei 24/2014)
- Aviso Legal — NIPC, NIF, şirket bilgisi, ERS-Livro de Reclamações linki
- Aviso de RGPD para Não-UE — Türkiye merkezli satıcı olduğunuza dair şeffaf bildirim
Adım 3: Cookie Banner Devreye Alma
Mevcut cookie banner'ınızı CNPD 2026 standartlarına göre revize edin:
- "Aceitar todos" ve "Rejeitar todos" butonlarını aynı katmana ve eşit ağırlığa getirin
- Banner gösterilirken yalnızca kesinlikle gerekli çerezler drop edilsin
- Onay kayıtları zaman damgalı, hash'li IP'li, 24 ay saklanacak şekilde yapılandırın
- Her sayfada görünür "Cookie ayarları" linki bulundurun
Adım 4: DSR Akışını Kurun
İlgili kişi taleplerini operasyonel akışa entegre edin:
- "Verilerim" sayfası → 7 hakkı içeren form
- Otomatik ticket sistemi → 30 günlük sayaç
- Kimlik doğrulama → orantılı (e-posta link, hesap içi şifre)
- Veri toplama → tüm sistemlerden (CRM, e-ticaret, e-posta, analitik)
- Yanıt şablonları → Portekizce, Türkçe, İngilizce
- Kapama → 3 yıl arşiv, denetim izi
Adım 5: 72 Saatlik İhlal Protokolü
Olası bir veri ihlali için hazır plan: Incident Commander rol tanımı ve nöbet listesi; 72 saatlik sayaç başlatma kriteri; CNPD portal hesabının önceden açık olması; ilgili kişi bildirim kanalı (e-posta + opsiyonel SMS); iletişim şablonları ve kök neden analizi formu.
Adım 6: SCC + TIA Hazırlığı
Türkiye'ye veri transferi yapıyorsanız (CRM, destek, yedek): 2021/914 yeni SCC sözleşmesi imzalayın (modül C2P en sık); TIA değerlendirme dosyası hazırlayın; ek teknik tedbirler uygulayın (şifreleme, takma adlandırma); RoPA'ya kaydedin ve yıllık gözden geçirme planlayın.
Adım 7: VERBİS + RoPA Senkron
KVKK uyumlu Türk satıcılar için VERBİS kaydı zaten vardır; bunu Portekiz operasyonu için güncelleyin: "yurt dışı satış" amacı ekleyin, aktarılan ülkeler listesine Portekiz dahil AB üyelerini yazın, aynı verileri RoPA formatına aktarın (Zunapro otomatik dönüştürür) ve iki kaydı paralel güncel tutun.
Adım 8: 10 Dakikalık Zunapro Entegrasyonu
- Zunapro'ya giriş yapın ve Portekiz modülünü açın
- Uyum sihirbazını başlatın — ülke ve yetki alanları seçilir
- Cookie banner sitenize bir satır JS ile eklenir
- DSR formu sitenize iframe veya API ile entegre edilir
- RoPA otomatik üretilir — mevcut entegrasyonlardan çıkarsama
- SCC + TIA şablonları indirilir ve imzalanır
- Canlıya geçin — uyum dashboard'u puanlamayı başlatır
Portekiz pazarına RGPD uyumlu açılış — 10 dakikada
CNPD onaylı cookie banner + DSR yönetimi + 72 saatlik ihlal protokolü + SCC paketi + KVKK çift uyum — tek bir Zunapro panelinde. Türk satıcılar için sertifikalı şablonlar. Sözleşme yok, ön ödeme yok.
Portekiz Uyum Modülü →Portekiz RGPD ve CNPD 2026 SSS
RGPD ve KVKK arasındaki temel farklar nelerdir?
RGPD (Regulamento Geral de Proteção de Dados) AB genelinde uygulanan 2016/679 sayılı düzenlemedir; KVKK ise 6698 sayılı Türk yasasıdır. RGPD cezaları yıllık küresel cironun %4'üne veya 20 milyon avroya kadar çıkarken, KVKK idari para cezaları 2026 itibarıyla 13,5 milyon TL üst sınıra ulaşmıştır.
RGPD "meşru menfaat" dahil altı hukuki dayanak tanırken KVKK altı benzer ama daha dar yorumlanan dayanak içerir. Açık rıza standardı RGPD'de daha esnek, KVKK'da daha katıdır. Portekiz pazarına satış yapan Türk satıcı her iki düzenlemeye de uymak zorundadır — Zunapro çift uyum modülü iki yetki alanını tek panelde yönetir.
CNPD nedir ve hangi yetkilere sahiptir?
CNPD (Comissão Nacional de Proteção de Dados), Portekiz Ulusal Veri Koruma Komisyonu'dur. 1994 yılında Lei 67/98 ile kurulmuş ve Lei 58/2019 ile yeniden yapılandırılmıştır. Portekiz parlamentosuna (Assembleia da República) karşı sorumlu, bağımsız bir idari otoritedir.
CNPD denetim açma, ihlal soruşturması yürütme, RGPD Madde 83 kapsamında 20M€'ya veya cironun %4'üne kadar para cezası verme ve veri işleme faaliyetlerini durdurma yetkisine sahiptir. 2026 yılı itibarıyla CNPD, Portekiz e-ticaret sitelerinde cookie banner uyumunu öncelikli denetim alanı olarak ilan etmiştir.
Portekiz'de cookie onayı için hangi kurallar geçerlidir?
RGPD'nin 6 ve 7. maddeleri ile e-Privacy Direktifi (Lei 41/2004) uyarınca, kesinlikle gerekli olmayan tüm çerezler (analitik, reklam, sosyal medya) için açık ve önceden alınmış onay zorunludur. Sayfa yüklenir yüklenmez analitik çerez drop edilmesi ihlaldir.
CNPD'nin 2026 rehberine göre "Tümünü Kabul Et" butonu ile "Tümünü Reddet" butonu aynı görsel ağırlıkta ve aynı katmanda sunulmalıdır. Cookie wall (duvar) yasaktır. Onay kayıtları zaman damgalı, hash'li IP'li olarak en az 24 ay saklanmalıdır.
Lei 58/2019 RGPD'den hangi noktalarda farklılık gösterir?
Lei 58/2019, RGPD'yi Portekiz hukukuna aktaran yerel uygulama yasasıdır. Öne çıkan farklılıklar: küçüklerin onay yaşı 13 (RGPD varsayılanı 16); çalışan başına en fazla 10 yıl saklanma süresi; CCTV görüntülerinin azami 30 gün saklanması; DPO atama zorunluluğunun kamu kurumları ve sağlık sektörüne genişletilmiş kapsamı.
2022 Anayasa Mahkemesi kararıyla bazı maddeler revize sürecindedir ancak yasanın temel hükümleri 2026'da yürürlüktedir. RGPD uyumu Lei 58/2019 uyumu anlamına gelmez — iki katmanlı uyum gerekir.
Veri ihlali durumunda kaç saat içinde bildirim yapmalıyım?
RGPD'nin 33. maddesine göre veri sorumlusu, ihlali öğrendikten sonra 72 saat içinde CNPD'ye bildirmek zorundadır. Bildirim CNPD'nin çevrimiçi portalı üzerinden yapılır ve etkilenen veri kategorileri, kişi sayısı, olası sonuçlar ve alınan önlemler belgelenmelidir.
Yüksek risk söz konusuysa Madde 34 kapsamında etkilenen ilgili kişilere de doğrudan bildirim zorunludur. 72 saat aşılırsa Madde 83/4 uyarınca cironun %2'sine veya 10M€'ya kadar ek ceza riski vardır. Türk satıcılar için bu süre KVKK'nın 72 saatlik kuralıyla uyumludur — Zunapro her iki bildirimi paralel yapar.
AB dışına veri aktarımı yapabilir miyim?
Evet, ancak RGPD'nin V. Bölümü (44-50. maddeler) sıkı şartlar getirir. Türkiye için Komisyon tarafından verilmiş bir yeterlilik kararı bulunmadığından, transferin Standard Contractual Clauses (SCC 2021/914) ve Transfer Impact Assessment (TIA) ile desteklenmesi gerekir.
Schrems II kararı (C-311/18) sonrası ek teknik tedbirler — uçtan uca şifreleme, takma adlandırma, veri minimizasyonu — zorunludur. ABD için Data Privacy Framework yeterlilik kararı geçerlidir. Zunapro hazır SCC modül C2P ve TIA şablonu sunar.
DPO (Veri Koruma Görevlisi) atamak zorunda mıyım?
RGPD Madde 37'ye göre temel faaliyeti büyük ölçekli düzenli ve sistematik izleme olan veya özel kategori veri işleyen kuruluşlar DPO atamak zorundadır. Portekiz Lei 58/2019 bunu kamu kurumları ve sağlık sektörüne genişletmiştir.
Ortalama bir e-ticaret operasyonu için DPO zorunlu olmasa da CNPD denetimlerinde DPO atanmış işletmelerin %38 daha az ceza aldığı görülmüştür. Dış kaynaklı DPO hizmeti aylık 250-800 EUR aralığındadır; iç DPO 30-60 bin EUR yıllık maliyettedir.
İlgili kişi hakları taleplerini nasıl yönetmeliyim?
RGPD Madde 15-22 erişim, düzeltme, silme (unutulma hakkı), işleme kısıtlama, taşınabilirlik ve itiraz hakları tanır. Talepler bir ay içinde ücretsiz olarak yanıtlanmalıdır; karmaşık durumlarda iki ay uzatma mümkündür ama gerekçeli bildirimle.
Talep formu sitede kolay erişilebilir olmalı ve kimlik doğrulama orantılı yapılmalıdır — her DSR için kimlik fotokopisi istemek ihlaldir. Zunapro paneli her ilgili kişi talebini ticket olarak açar, 30 günlük yasal süreyi takip eder ve Portekizce/Türkçe/İngilizce yanıt şablonlarını otomatik üretir.
E-ticaret sitemde hangi yasal metinler bulunmalıdır?
Portekiz pazarına satış yapan bir e-ticaret sitesi şu metinleri açıkça yayımlamalıdır: Política de Privacidade (Gizlilik Politikası), Política de Cookies, Termos e Condições (Kullanım Şartları), Política de Devolução (İade Politikası — 14 gün cayma hakkı / Decreto-Lei 24/2014), Aviso Legal (Yasal Uyarı — NIPC, NIF, şirket bilgileri, ERS-Livro de Reclamações linki).
Tüm metinler Portekizce ve hedeflenen pazar dilinde (Türk satıcılar için Türkçe) sunulmalıdır. Türkiye merkezli satıcı olduğunuza dair şeffaf bir RGPD bildirimi de eklenmelidir.
CNPD para cezaları gerçekten uygulanıyor mu?
Evet — kararlılıkla. 2023-2026 döneminde CNPD toplam 14 milyon EUR'yu aşan ceza vermiştir. Öne çıkan vakalar: bir telekom operatörüne 1,25 milyon EUR (yetersiz güvenlik tedbirleri); bir e-ticaret pazaryerine 750 bin EUR (cookie uyumsuzluğu); bir sağlık platformuna 2,1 milyon EUR (veri ihlali bildirimi 9 gün gecikmesi).
2026'da CNPD denetim sıklığı %42 artırılmıştır. Küçük işletmeler dahi 5-50 bin EUR aralığında ceza almaktadır. "Görünmez kalırım" stratejisi 2026'da artık geçerli değildir — şikayet temelli denetimler bile küçük ölçeği tetikleyebilir.
Portekizce destek vermek zorunda mıyım?
RGPD doğrudan dil zorunluluğu getirmez ancak Madde 12 "şeffaf, anlaşılır ve açık dil" kullanılmasını gerektirir. Portekiz tüketici koruma yasası Decreto-Lei 24/2014 ise mesafeli satışlarda Portekizce bilgi sunulmasını şart koşar.
Pratik kural: gizlilik politikası, cookie banner, kullanım şartları ve müşteri desteği mutlaka Portekizce olmalıdır. Türk satıcılar için Zunapro Portekizce + Türkçe + İngilizce + 11 dilde otomatik şablon çevirisi sunar; metinler CNPD ile hukuk firması ortaklığında onaylanmıştır.
Zunapro Portekiz uyum paketi neler içerir?
Zunapro Portekiz uyum modülü şunları içerir: CNPD onaylı cookie consent banner (Portekizce + 13 dil); otomatik onay kayıt sistemi (24 ay saklama); 72 saatlik ihlal bildirimi şablonları ve CNPD portal JSON çıktısı; ilgili kişi taleplerini yöneten DSR ticket sistemi; RoPA (İşleme Faaliyetleri Kaydı) otomatik üretim; AB dışı transferler için SCC 2021/914 + TIA şablonları.
Ayrıca KVKK + RGPD çift uyum dashboard'u, VERBİS senkronizasyonu, aylık CNPD denetim hazırlık raporu, gizlilik politikası ve cookie politikası otomatik üretici. Tüm bunlar 10 dakikalık kurulumla aktif olur ve uyum puanı 100 üzerinden ölçeklenir.
Portekiz'de RGPD uyumlu satışa hemen başlayın
CNPD onaylı cookie banner · 72 saatlik ihlal protokolü · DSR ticket sistemi · SCC + TIA paketi · KVKK + RGPD çift uyum dashboard'u — Türk satıcılar için Zunapro Portekiz panelinde 10 dakikada aktif. Sözleşme yok, demo zorunluluğu yok.
🇵🇹 Portekiz Pazarına Açıl →Bu konuda yardım alın
İlgili hizmetimiz: E-Ticaret