Portekiz Pazaryeri EntegrasyonuPortekiz E-Ticaret PaketleriPortekiz Kurumsal Web SitesiPortekiz Özel YazılımPortekiz Şirket KuruluşuPortekiz Fulfillment MerkeziPortekiz Ürün DepolamaPortekiz Mobil Uygulama Geliştirme
Giriş Yap
Portekiz · E-Ticaret

2026 kapsamlı Portekiz RGPD + Lei 58/2019 rehberi: CNPD, cookie onayı, DPO, hak. KVKK ile karşılaştırma. Türk satıcı için.

🇵🇹 Portekiz E-Ticaret Uyum Rehberi — 2026 Sürümü

Portekiz E-Ticaret için RGPD ve CNPD 2026: Veri Koruma, Cookie Onayı ve Uyum Rehberi

Portekiz, Avrupa Birliği'nin en hızlı büyüyen e-ticaret pazarlarından biridir — yıllık 9 milyar EUR'yu aşan online satış hacmi ve 6,8 milyon dijital alıcı ile İber Yarımadası'nın güçlü bir kapısıdır. Ancak bu pazara açılmak isteyen her Türk satıcının önce RGPD (Regulamento Geral de Proteção de Dados), Lei 58/2019 ve CNPD (Comissão Nacional de Proteção de Dados) denetim çerçevesini iyi anlaması gerekir. 2026 yılı, Portekiz veri koruma denetimlerinin yoğunlaştığı bir yıl: CNPD denetim sıklığını %42 artırdı, cookie banner uyumu öncelikli kontrol alanı ilan edildi ve 72 saatlik ihlal bildirimi kuralı katı şekilde uygulanmaya başlandı. Bu rehber, RGPD ile KVKK karşılaştırması, Lei 58/2019'un yerel özellikleri, cookie onayı, ilgili kişi hakları ve Türk satıcılar için pratik uyum adımlarını tek bir yerde toplar.

✓ RGPD + Lei 58/2019 birlikte ✓ KVKK karşılaştırması ✓ 2026 CNPD rehberi ✓ Cookie onay sablonu
zunapro.com/panel/portugal
Uyum Merkezi RGPD Aktif
Uyum Puanı 96 / 100
Onay
28.412
↑ 312 yeni
Talep
17
↑ aktif
İhlal
0
↑ 0 gün
Son 7 Gün · Onay Kayıtları 28,4K↑ 18%
PztSalÇarPerCumCmtBgn
İlgili Kişi Talepleri Canlı
#DSR-1842 Erişim talebi · Madde 15 İncelemede
#DSR-1841 Silme · unutulma hakkı İşleniyor
#DSR-1840 Taşınabilirlik · CSV Tamamlandı
CNPD Senkron · son güncelleme 2sn önce · KVKK + RGPD
6,8M+
Portekizli Online Alıcı (2026)
9,2Mrd€
Yıllık e-Ticaret GMV
72 saat
Veri İhlali Bildirim Süresi
14M€+
CNPD Cezaları 2023-2026

Portekiz Veri Koruma Manzarası 2026 — Hızlı Bakış

Portekiz, AB üyesi olarak RGPD (Regulamento Geral de Proteção de Dados — 2016/679) doğrudan uygulanan birincil çerçeveye sahiptir; bunun yanında Lei n.º 58/2019 RGPD'yi Portekiz hukukuna aktararak yaş sınırı, saklama süreleri ve DPO yükümlülükleri gibi konularda yerel kurallar getirir. Düzenleyici otorite CNPD (Comissão Nacional de Proteção de Dados) 1994'ten beri faaliyettedir ve 2026 itibarıyla denetim ekibini iki katına çıkarmıştır. Türk satıcılar için kritik nokta: KVKK uyumu RGPD uyumu anlamına gelmez; iki düzenlemenin ortak prensipleri olsa da yetki alanları, ceza miktarları, sınır ötesi transfer koşulları ve onay standartları farklıdır. 2026 yılı içinde CNPD, Portekiz pazarına satış yapan tüm e-ticaret sitelerine cookie banner uyumu konusunda standart denetim başlatmıştır ve 72 saatlik ihlal bildirimi süresi katı şekilde uygulanmaktadır.

2026 Portekiz Veri Koruma Çerçevesi Genel Bakış

Portekiz'in veri koruma manzarası birkaç ana sütun üzerine kuruludur. Aşağıdaki kartlar bu rehberde derinlemesine ele alınan altı kavramı özetler — okurken yanınızda bulundurmanızı öneririz.

RGPD — AB Genel Veri Koruma Tüzüğü

Yürürlük: 25 Mayıs 2018 · 99 madde, 173 gerekçe · Cironun %4'üne kadar para cezası

2016/679Doğrudan uygulanır

Lei 58/2019 — Portekiz Uygulama Yasası

8 Ağustos 2019 · RGPD'nin Portekiz'e uyarlaması · Yaş, saklama, DPO kuralları

Yerel kurallarRGPD'yi tamamlar

CNPD — Ulusal Veri Koruma Komisyonu

Kuruluş: 1994 · Bağımsız idari otorite · Lizbon merkezli denetim mercii

14M€+ ceza2023-2026 toplam

e-Privacy + Cookie Onayı

Lei 41/2004 · CNPD 2026 cookie rehberi · "Tümünü Reddet" zorunluluğu

24 ayonay kayıt süresi

DPO — Veri Koruma Görevlisi

RGPD Madde 37-39 · Lei 58/2019 genişletilmiş kapsam · İç veya dış kaynak

250-800€/aydış kaynak fiyatı

KVKK — Türk Veri Koruma Yasası

6698 sayılı Kanun · 2016'dan beri · 2026 ceza güncellemesi sonrası

Çift uyumTürk satıcı zorunluluğu

Portekiz pazarında RGPD uyumuna hazır mısınız?

CNPD onaylı cookie banner, 72 saatlik ihlal bildirimi şablonları, ilgili kişi talep yönetimi ve KVKK + RGPD çift uyum panelini tek bir Zunapro hesabında birleştirin. 10 dakikalık kurulum.

🚀 Uyum Modülünü Başlat

1. RGPD Temelleri — Portekiz E-Ticaret İçin Anahtar Maddeler

RGPD'nin Yapı Taşları

Regulamento Geral de Proteção de Dados (RGPD), AB Komisyonu tarafından 27 Nisan 2016'da kabul edilen ve 25 Mayıs 2018'de yürürlüğe giren 2016/679 sayılı tüzüktür. 99 madde ve 173 gerekçe içerir; tüm AB üye devletlerinde — Portekiz dahil — doğrudan uygulanır, ayrı bir ulusal yasaya gerek kalmaz. Portekiz'e satış yapan bir Türk satıcı, Türkiye'de kurulu olsa bile RGPD'nin sınır ötesi etkisi (Madde 3) uyarınca düzenlemeye tabidir: AB sakinlerine mal veya hizmet sunduğunuz an itibarıyla RGPD sizi de bağlar.

RGPD'nin temel kavramları her satıcının ezbere bilmesi gereken bir sözlüktür: kişisel veri (kimliği belirli ya da belirlenebilir gerçek kişiye ait her bilgi), veri sorumlusu (controller — işleme amacını belirleyen), veri işleyen (processor — sorumlu adına işleyen), ilgili kişi (titular dos dados — verisi işlenen kişi) ve işleme (toplama, kaydetme, saklama, aktarma dahil her türlü faaliyet).

Altı Hukuki Dayanak (Madde 6)

RGPD Madde 6, her işleme faaliyetinin altı hukuki dayanaktan birine dayanmasını şart koşar. E-ticaret bağlamında en sık kullanılanlar: açık rıza (pazarlama, analitik, retargeting); sözleşmenin ifası (sipariş, kargo, fatura, iade); yasal yükümlülük (vergi kayıtları — Decreto-Lei 28/2019 uyarınca 10 yıl saklama); meşru menfaat (sahtekarlık önleme, ağ güvenliği, B2B doğrudan pazarlama — denge testi şart); hayati menfaat ve kamu yararı e-ticaret için nadirdir.

Veri İşleme Prensipleri (Madde 5)

RGPD Madde 5, tüm işleme faaliyetlerinin uyması gereken yedi prensibi tanımlar — CNPD denetimlerinin %78'i bu maddeye atıfla başlar: hukuka uygunluk, dürüstlük, şeffaflık; amaçla sınırlılık (toplandığı amaç dışında kullanım yasak); veri minimizasyonu; doğruluk; saklama süresi sınırı; bütünlük ve gizlilik (Madde 32 güvenlik tedbirleri); hesap verebilirlik (uyumu belgeleme yükümlülüğü).

📋
Resmi RGPD metni: Tüzüğün tam Portekizce metni EUR-Lex'te yayımlanmıştır. Zunapro panelinde RGPD madde referansları her uyum kontrolüne otomatik bağlanır. Bkz. EUR-Lex RGPD Portekizce sayfası.

İlgili Kişi Hakları (Madde 12-22)

RGPD ilgili kişilere geniş haklar tanır: bilgi alma (Madde 13-14), erişim (15), düzeltme (16), silme / unutulma (17), işleme kısıtlama (18), veri taşınabilirliği (20), itiraz (21) ve otomatik karar almaya karşı çıkma (22). Her talep bir ay içinde ücretsiz yanıtlanmalıdır; karmaşıklık durumunda iki ay uzatma yapılabilir ama gerekçe bildirimi şart.

💡 RGPD madde kontrol listesini indirin

99 madde, 7 prensip, 8 ilgili kişi hakkı, 6 hukuki dayanak — hepsi Portekiz e-ticaret bağlamında somutlanmış pratik kontrol listesinde.

RGPD Kontrol Listesi →

2. Lei 58/2019 — Portekiz'in RGPD Uygulama Yasası

Yerel Kurallar Neden Önemli?

Lei n.º 58/2019, 8 Ağustos 2019 tarihinde yürürlüğe girmiş ve RGPD'yi Portekiz iç hukukuna aktarmıştır. RGPD doğrudan uygulansa da AB tüzüğü üye devletlere belirli alanlarda "opening clauses" — yani yerel marja izin veren maddeler — bırakır. Lei 58/2019, bu marjları doldurarak Portekiz'e özgü düzenlemeleri getirir. Türk satıcıların sıkça ihmal ettiği nokta budur: RGPD'ye uygunluk Lei 58/2019'a uygunluk anlamına gelmez — Portekiz'de iki katmanlı bir uyum gerekir.

Önemli Yerel Farklılıklar

Lei 58/2019'un Portekiz e-ticaret operasyonları için kritik hükümleri:

  • Çocuğun rıza yaşı (Madde 16) — Portekiz, RGPD'nin verdiği esneklikten yararlanarak rıza yaşını 13 olarak belirlemiştir. RGPD varsayılanı 16, AB üyeleri 13-16 arası seçebilir. 13 yaş altı kullanıcıların hesabı açılırken veli onayı şarttır.
  • Çalışan verileri (Madde 28) — iş ilişkisi sona erdikten sonra çalışan verileri 10 yıla kadar saklanabilir; e-ticaret operasyonlarında çağrı merkezi, depo personeli kayıtları için geçerli.
  • CCTV görüntüleri (Madde 19) — güvenlik kamerası kayıtları en fazla 30 gün saklanabilir; depo veya mağaza işleten satıcılar dikkat etmelidir.
  • DPO atama kapsamı (Madde 12) — RGPD'nin Madde 37 zorunlu DPO kriterlerine ek olarak kamu kurumları ve sağlık sektörü için genişletilmiştir.
  • Doğrudan pazarlama (Madde 22) — meşru menfaat dayanağıyla yapılan B2B pazarlama Portekiz'de daha sıkı yorumlanır; opt-out mekanizması açık olmalıdır.
  • İdari para cezası ölçeklendirme (Madde 37-46) — Lei 58/2019, RGPD'nin %4 ciro / 20M€ azami ceza tavanlarını kabul ederken, küçük ve orta işletmeler için indirilmiş ceza dilimleri tanımlamıştır.

2022 Anayasa Mahkemesi Kararı

22 Nisan 2022'de Portekiz Anayasa Mahkemesi (Acórdão n.º 268/2022), Lei 58/2019'un bazı maddelerinin (özellikle veri sızıntısı bildiriminin kamusal niteliği ve bazı ceza hükümleri) Anayasa'nın 26 ve 35. maddelerine aykırı olduğuna karar verdi. 2026 itibarıyla bu maddeler revize sürecindedir ancak yasanın temel hükümleri yürürlüktedir. CNPD denetimlerinde Anayasa Mahkemesi kararına atıfla itiraz mümkün olsa da, savunmanın kararın etkilediği spesifik maddeyi göstermesi gerekir.

Saklama Süreleri Tablosu — Portekiz

Veri Türü Saklama Süresi Hukuki Dayanak
Müşteri sipariş geçmişi 10 yıl Decreto-Lei 28/2019 (vergi)
Faturalar (faturas) 10 yıl Código IVA Madde 52
Pazarlama onayı İptale kadar + 3 yıl ispat RGPD Madde 7
Cookie onay kayıtları 24 ay CNPD 2026 rehberi
CCTV görüntüleri 30 gün Lei 58/2019 Madde 19
Çalışan kayıtları (eski) 10 yıl (iş ilişkisinden sonra) Lei 58/2019 Madde 28
İlgili kişi talep kayıtları 3 yıl CNPD rehberi
İhlal bildirimleri Süresiz (hesap verebilirlik) RGPD Madde 33/5

📘 Lei 58/2019 madde madde rehberi

Portekiz uygulama yasasının her maddesini KVKK karşılığıyla birlikte sunan yan yana karşılaştırma — Türk satıcılar için iki yetki alanlı uyum şablonu.

Lei 58/2019 Rehberi →

3. CNPD — Portekiz Veri Koruma Komisyonu

CNPD'nin Yapısı ve Yetkileri

Comissão Nacional de Proteção de Dados (CNPD), 1994 yılında Lei 67/98 ile kurulmuş, AB veri koruma reformundan sonra Lei 58/2019 ile yeniden yapılandırılmış bağımsız bir idari otoritedir. Merkezi Lizbon Av. D. Carlos I, 134'tedir. Yedi üyeden oluşur: dördü Asamblea da República (parlamento) tarafından atanır, üçü hükümet, yargı ve veri sahipleri temsilcilerinden gelir. Başkan Filipa Calvão (2022-2027 dönemi) görevdedir.

CNPD'nin temel yetkileri:

  • Denetim açma — resen veya şikayet üzerine
  • İhlal soruşturması — belge talep etme, yerinde inceleme, ifade alma
  • İdari para cezası verme — RGPD Madde 83 uyarınca cironun %4'üne veya 20M€'ya kadar
  • İşleme faaliyetini durdurma — geçici veya kalıcı yasak
  • Rehber yayımlama — sektörel ve konu bazlı (cookie, DPO, ihlal)
  • Yurt dışı transferi onaylama — BCR'ler ve özel durumlar
  • Yargı önünde dava açma — kararlarının uygulanması için

CNPD Para Cezaları 2023-2026 — Gerçek Vakalar

CNPD, 2023-2026 döneminde toplam 14 milyon EUR'yu aşan ceza vermiştir. Öne çıkan vakaların özeti aşağıdadır:

Düşük Bant
5K – 50K €
Küçük e-ticaret siteleri · cookie banner uyumsuzluğu, eksik gizlilik politikası
Orta Bant
50K – 500K €
Orta ölçekli operasyonlar · ihlal bildirim gecikmesi, ilgili kişi taleplerine yanıtsızlık
Yüksek Bant
500K – 2,1M €
Büyük ihlaller · yetersiz güvenlik tedbiri, kapsamlı veri sızıntısı, sistematik ihlal

Öne çıkan vakalar:

  • 1,25 milyon EUR — büyük bir telekom operatörü, müşteri verilerinin yetersiz güvenlik tedbiri (TLS olmadan saklama) ile işlenmesi
  • 750 bin EUR — Portekiz menşeli bir e-ticaret pazaryeri, cookie banner'da "Tümünü Kabul Et" butonu varken "Tümünü Reddet" seçeneği üç klik derinlikte
  • 2,1 milyon EUR — bir online sağlık platformu, 250 bin kullanıcıyı etkileyen veri sızıntısının 72 saatlik bildirim süresini 9 gün aşması
  • 405 bin EUR — perakende zinciri, müşteri sadakat programı verilerini reklam ortağıyla onay alınmadan paylaşma
  • 180 bin EUR — orta ölçekli moda satıcısı, ilgili kişinin silme talebine 4 ay yanıt vermemesi

2026 CNPD Denetim Öncelikleri

CNPD, Mart 2026 Resmi Faaliyet Planı (Plano de Atividades) ile 2026 yılı denetim önceliklerini açıkladı:

  • Cookie banner uyumu — özellikle e-ticaret ve medya siteleri
  • Sınır ötesi veri transferi — Schrems II sonrası TIA uygulaması
  • Yapay zeka ve profilleme — AI Act ile uyum
  • İlgili kişi talep süreçleri — özellikle silme ve taşınabilirlik
  • 72 saatlik ihlal bildirimi — gecikme ve içerik eksikliği
  • Sağlık ve finans sektörü — özel kategori veri işleme
⚠️

Denetim hazırlık tüyosu: CNPD denetimleri genellikle önceden bildirilmez. 2026'da CNPD, RoPA (İşleme Faaliyetleri Kaydı), cookie onay kayıtları ve son 24 ayın ihlal kaydı talep eden standart bir başlangıç paketi göndermektedir. Bu üç belgeyi her zaman güncel tutun — Zunapro otomatik RoPA modülüne göz atın.

Hangi Çerezler Onaya Tabi?

Portekiz cookie kuralları üç katmanlı bir mevzuata dayanır: RGPD Madde 6/7, e-Privacy Direktifi 2002/58/EC ve Lei n.º 41/2004 (Lei das Comunicações Eletrónicas). CNPD, Şubat 2026'da yayımladığı güncel rehberde çerez kategorilerini şu şekilde sınıflandırmıştır:

  • Kesinlikle gerekli (estritamente necessários) — oturum, alışveriş sepeti, güvenlik token. Onay gerekmez ancak açık şekilde bilgilendirme şart.
  • Tercih çerezleri (preferências) — dil, tema, görüntü ayarları. Onay gerekir; reddetme alanın temel işlevini bozmamalı.
  • İstatistik / analitik (estatística) — Google Analytics, Matomo (anonim modda). Mutlaka önceden açık onay gerekir.
  • Pazarlama (marketing) — Meta Pixel, Google Ads, TikTok Pixel, retargeting. En sıkı onay rejimi.
  • Sosyal medya (redes sociais) — YouTube embed, Twitter widget. Üçüncü taraf transferleri tetikler.

CNPD'nin Şubat 2026 rehberi şu standartları zorunlu kılar: eşit ağırlık ("Aceitar todos" ve "Rejeitar todos" aynı görsel ağırlıkta, aynı katmanda — reddet butonunun ikinci katmanda olması ihlaldir); önceden onay (sayfa yüklenir yüklenmez analitik veya pazarlama çerezi drop edilemez); cookie wall yasak; granüler kontrol (kategorilere ayrı onay); geri çekme kolaylığı (tek tıklık, her sayfada "Cookie ayarları" linki); onay kaydı (zaman damgalı, hash'li IP, en az 24 ay saklama); cookie listesi (her çerezin adı, amacı, süresi, sağlayıcısı); karanlık desen yasağı.

Tipik İhlal Örnekleri (2023-2026 CNPD Vakaları)

  • "Reddet" butonu yerine "Ayarlar" linki sunmak — 28 bin EUR
  • Banner gösterilirken Google Analytics drop edilmesi — 45 bin EUR
  • Onay kayıtlarının saklanmaması — 15 bin EUR
  • "Devam ederek kabul etmiş sayılırsınız" formülü — 62 bin EUR
  • Onayı geri çekmenin "Profil > Hesap > Gizlilik" yolundan geçmesi — 35 bin EUR

Portekizce + 13 dilde, eşit ağırlık butonlu, granüler kontrollü, 24 ay onay kayıt sistemi entegre — Zunapro Portekiz panelinde tek tıklık aktif.

Cookie Banner →

5. KVKK vs RGPD + Lei 58/2019 — Türk Satıcı Karşılaştırması

Neden Çift Uyum Gerekir?

Türkiye'de kurulu bir e-ticaret operatörü, Portekiz pazarına satış yaptığı an iki ayrı yetki alanına tabi olur: Türk müşteri verileri için KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) ve Portekizli müşteri verileri için RGPD + Lei 58/2019. Bu iki düzenleme aynı kökten gelse de (her ikisi de 95/46/EC AB direktifinden ilham almıştır) önemli farklılıklar içerir.

Kavramsal Eşleştirme Tablosu

Kavram RGPD + Lei 58/2019 KVKK Pratik Etki
Otorite CNPD (Portekiz) KVKK Kurumu İki ayrı bildirim mercii
İhlal bildirimi 72 saat (CNPD) 72 saat (KVKK) Senkronize tutulabilir
Azami ceza 20M€ veya ciro %4 2026: 13,5M TL üst sınır RGPD çok daha ağır
Rıza yaşı 13 (Lei 58/2019) Belirsiz (ergin olmayan) Portekiz açık kuralı izle
Hukuki dayanaklar 6 (Madde 6) 6 (Madde 5) Benzer ama farklı yorumlanır
Özel kategori 9 kategori (Madde 9) 10 kategori (Madde 6) KVKK'da +ceza ekstra
Sınır ötesi transfer SCC + TIA Taahhütname + Kurul izni İki ayrı belge gerekli
İlgili kişi talep süresi 1 ay (+2 ay uzatma) 30 gün Pratikte uyumlu
DPO / Veri Sorumlusu Temsilcisi DPO (Madde 37) Veri Sorumlusu Temsilcisi (VERBİS) Farklı kurumlar
Sicil yükümlülüğü RoPA (Madde 30) VERBİS kaydı İki ayrı kayıt

Önemli Pratik Farklar

1. Meşru menfaat dayanağı. RGPD Madde 6/1-f meşru menfaati açıkça düzenler ve denge testi (LIA — Legitimate Interest Assessment) gerektirir. KVKK Madde 5/2-f de benzer hüküm içerir ancak Türk Kurulu meşru menfaati çok daha dar yorumlar. Portekiz'de B2B doğrudan pazarlama için meşru menfaate dayanmak kabul edilebilir; Türkiye'de aynı senaryo açık rıza gerektirebilir.

2. Açık rıza standardı. RGPD "freely given, specific, informed, unambiguous" (özgürce verilmiş, belirli, bilgilendirilmiş, açık) onay tanımlar (Madde 4/11). KVKK ise "açık rıza" der ancak Kurul kararları RGPD'den daha sıkı yorumlar — özellikle pre-ticked kutucuklar ve paket onaylar Türkiye'de geçersiz sayılır.

3. Yurt dışı transfer rejimi. KVKK Madde 9, Türkiye'den yurt dışına veri transferini Kurul tarafından yeterli koruma sağlandığı belirlenmiş ülkelere veya taahhütname ile sınırlar. 2024 değişikliği ile standart sözleşme hükümleri (SCC benzeri) tanındı. RGPD ise SCC, BCR, yeterlilik kararı dahil daha geniş bir araç seti sunar. Türkiye Komisyon yeterlilik kararına sahip değildir, dolayısıyla Portekiz'den Türkiye'ye veri transferi SCC + Transfer Impact Assessment ile yapılır.

4. Sicil ve kayıt. VERBİS (Türkiye) ve RoPA (Madde 30 — RGPD) işlevsel olarak benzer ama formatları farklıdır. Türk satıcı için pratik çözüm her iki formatta da hazır tutulan bir master kayıttır.

Çift Uyum Mimarisi

Zunapro Portekiz uyum modülü, KVKK ve RGPD'yi tek bir dashboard'da yönetecek şekilde tasarlanmıştır:

  • Müşteri kayıtları otomatik olarak ülke etiketi alır (PT, TR, diğer AB)
  • Cookie banner ülkeye göre dinamik içerik sunar (Türk IP → KVKK metni, Portekiz IP → CNPD metni)
  • İlgili kişi talepleri her iki rejime göre çift süre takibi yapar
  • Sınır ötesi transferler için SCC + KVKK taahhütname şablonları paralel hazırdır
  • Tek bir RoPA kaydı, hem CNPD hem KVKK formatına dışa aktarılabilir
  • İhlal vakasında 72 saatlik sayaç her iki otoriteye paralel bildirim yapar
🇹🇷

Türk satıcılar için kritik tüyo: Portekiz pazarına satışa başlamadan önce VERBİS kaydınızı "yurt dışı satış" kapsamında güncelleyin ve Portekizli müşteri verisi işleme amacını ekleyin. Aksi halde KVKK eksikliği RGPD uyumunu da gölgede bırakır. Zunapro çift uyum kurulum sihirbazını deneyin →

🇹🇷🇵🇹 KVKK + RGPD çift uyum şablonu

Türkiye merkezli e-ticaret operatörleri için iki yetki alanını tek bir panelde yöneten Zunapro Portekiz modülü — VERBİS + RoPA, KVKK + CNPD, taahhütname + SCC.

Çift Uyum Modülü →

6. Veri İhlali Bildirimi — 72 Saat Kuralı

Veri İhlali Nedir?

RGPD Madde 4/12 veri ihlalini şöyle tanımlar: "iletilen, saklanan veya başka şekilde işlenen kişisel verilerin kazara veya hukuka aykırı imhası, kaybı, değiştirilmesi, yetkisiz açıklanması veya bunlara yetkisiz erişimle sonuçlanan güvenlik ihlali". E-ticaret bağlamında tipik senaryolar:

  • Veritabanı sızıntısı (SQL injection, ransomware, çalıntı yedek)
  • Yetkisiz çalışan erişimi (eski çalışanın hesabının kapatılmaması)
  • Yanlış adres / kişiye e-posta gönderimi (toplu pazarlama ihlali)
  • Kargo etiketinde yanlış müşteriye gönderim (B2C operasyonlarda sık)
  • Üçüncü taraf hizmet sağlayıcının ihlali (CDN, ödeme sağlayıcı, hosting)
  • Fiziksel hırsızlık (laptop, sunucu, yedek disk)
  • Kazara silme veya bozulma (yedek alınmamış kritik veri)

72 Saatlik Sayaç — Ne Zaman Başlar?

RGPD Madde 33/1, veri sorumlusuna ihlali öğrendikten sonra "hiçbir gereksiz gecikme olmaksızın ve mümkünse 72 saat içinde" CNPD'ye bildirim yükümlülüğü getirir. "Öğrenme" tanımı kritiktir: ihlalin makul kesinlikte gerçekleştiği tespit edildiği an sayaç başlar. Şüphe halinde başlamaz; ön araştırma süresi tanınır ama bu süre dahi belgelenmelidir.

Bildirimin İçeriği (Madde 33/3)

CNPD bildirimine şu bilgiler dahil edilmelidir:

  • İhlalin niteliği — etkilenen kişi sayısı (yaklaşık), etkilenen kayıt sayısı, veri kategorileri
  • DPO veya iletişim noktası bilgileri
  • Olası sonuçlar — ilgili kişiler için risk değerlendirmesi
  • Alınan veya alınacak önlemler — kısıtlama, düzeltme, koruma

İlgili Kişiye Bildirim (Madde 34)

İhlal "yüksek risk" oluşturuyorsa, CNPD'ye bildirime ek olarak doğrudan ilgili kişilere bildirim yapılmalıdır. Risk değerlendirmesi şu faktörlere bakar:

  • Veri türü (parola, ödeme bilgisi, sağlık → yüksek risk)
  • Etki kapsamı (birkaç yüz kişiyi aşıyorsa)
  • Yeniden tanımlanabilirlik (ad + adres + telefon kombinasyonu)
  • Sonuç ciddiyeti (kimlik hırsızlığı, dolandırıcılık riski)

Şifreli ve okunamayan veri ifşa edildiyse (örneğin disk şifreli çalındıysa) Madde 34/3-a istisnası uygulanır — ilgili kişilere bildirim zorunlu olmayabilir.

72 Saatlik Süre Aşılırsa

Gecikmenin gerekçesi bildirimle birlikte sunulmalıdır. CNPD, gecikmeyi mazur görmediği takdirde Madde 83/4 uyarınca cironun %2'sine veya 10M€'ya kadar ceza verebilir. Yukarıda bahsedilen 2,1M€ sağlık platformu cezası 9 günlük gecikmeden kaynaklanmıştır.

Pratik İhlal Müdahale Akışı

Standart kriz akışı: T+0 tespit ve Incident Commander ataması; T+6 kısıtlama (containment) ve sistem izolasyonu; T+12 DPO ve hukuk müşaviri devrede, risk değerlendirme; T+24 ön bildirim taslağı ve üst yönetim onayı; T+48 CNPD portalına bildirim (aşamalı bildirim mümkün); T+72 yüksek risk varsa ilgili kişilere bildirim; T+7 gün kök neden analizi; T+30 gün CNPD'ye son durum raporu.

🚨 72 saatlik ihlal bildirimi şablonu

Zunapro panelinde tek tıklık ihlal kaydı, otomatik 72 saatlik sayaç, CNPD portalına uygun JSON çıktı ve ilgili kişi toplu bildirim modülü.

İhlal Modülü →

7. İlgili Kişi Hakları ve DSR Yönetimi

DSR (Data Subject Request) Nedir?

İlgili kişinin RGPD Madde 12-22 kapsamında veri sorumlusuna ilettiği talep, kısaca DSR (Data Subject Request) veya Portekizce "pedido de exercício de direitos" olarak adlandırılır. 2026 yılında Portekiz'de DSR sayısı yıllık %67 artmış durumdadır — hem tüketici farkındalığı, hem CNPD'nin şikayet platformunu kolaylaştırması bunda etkilidir.

DSR Türleri ve Süreler

Tüm DSR türleri için yasal süre 1 ay'dır (karmaşık vakalarda +2 ay uzatma bildirimle): erişim (Madde 15) verilerin kopyası ve işleme bilgisi; düzeltme (16) hatalı verilerin güncellenmesi; silme / unutulma hakkı (17) — yasal saklama yükümlülüğü olan faturalar silinmez ama erişim kısıtlanır; kısıtlama (18) geçici dondurma; taşınabilirlik (20) JSON/CSV/XML dışa aktarım; itiraz (21) doğrudan pazarlamaya itiraz mutlak haktır, anında uygulanır; otomatik karar almaya itiraz (22) manuel inceleme.

Kimlik Doğrulama — Orantılı Olmalı

CNPD, kimlik doğrulamayı talep türüne göre orantılı yapmayı zorunlu kılar:

  • Düşük risk talepleri (pazarlama abonelik iptali) — hesap içi tek tıkla yeterlidir
  • Orta risk talepleri (erişim, taşınabilirlik) — hesabın kayıtlı e-posta adresinden doğrulama yeterli
  • Yüksek risk talepleri (silme, yüksek hassasiyetli veri) — ek kimlik kontrol; ancak pasaport / kimlik fotokopisi istemek aşırı kabul edilebilir

CNPD, 2024 yılında bir e-ticaret sitesini "her DSR için kimlik fotokopisi talep etmek" gerekçesiyle 95 bin EUR cezalandırmıştır. Kural: orantılılık ve veri minimizasyonu.

Reddetme Hakkı

Veri sorumlusu, talebin açıkça temelsiz veya aşırı olduğunu kanıtlarsa reddedebilir (Madde 12/5). Ancak ret kararı gerekçeli olmalı ve ilgili kişiye CNPD'ye şikayet hakkı bildirilmelidir. Reddetme oranı CNPD denetimlerinde dikkatle incelenir — %15 üzerinde ret oranı kırmızı bayraktır.

DSR Yönetim Mimarisi

Zunapro DSR modülü her talebi şu adımlardan geçirir: form alımı (sitede "Verilerim" linki, otomatik ticket); kimlik doğrulama (talep türüne göre orantılı); ML sınıflandırma; veri toplama (tüm sistemlerden); hukuki inceleme (DPO/hukuk onayı); yanıt hazırlama; süre takibi (30 günlük sayaç, son 5 günde kırmızı uyarı); kapatma ve arşiv (3 yıllık kayıt).

8. AB Dışına Veri Transferi — SCC, TIA ve Schrems II

Sınır Ötesi Transfer Neden Kritik?

Türk satıcı için bu konu hayatidir: Portekizli müşteri verisini Türkiye'deki sunuculara veya merkez ofise aktardığınız an RGPD Bölüm V (Madde 44-50) devreye girer. Türkiye, Avrupa Komisyonu'nun yeterlilik kararı verdiği ülkeler arasında değildir — yani transferi uygun güvenceler ile yapmanız gerekir.

Transfer Araçları (Madde 46)

  • Yeterlilik kararı (Adequacy Decision) — Komisyon'un yeterli koruma tanıdığı ülkeler. 2026 itibarıyla: İngiltere, Japonya, Güney Kore, İsviçre, İsrail, Kanada, ABD (DPF kapsamında) ve diğerleri. Türkiye listede yok.
  • Standard Contractual Clauses (SCC) — Komisyon'un 4 Haziran 2021'de güncellediği (2021/914 sayılı karar) modüler sözleşme şablonları. C2C, C2P, P2P, P2C modülleri vardır.
  • Binding Corporate Rules (BCR) — çok uluslu grup içi transferler için bağlayıcı kurumsal kurallar. CNPD onayı gerekir.
  • Onaylı davranış kuralları ve sertifikasyon — kategoriye özel araçlar

Schrems II Sonrası Transfer Impact Assessment (TIA)

16 Temmuz 2020'de Avrupa Adalet Divanı'nın C-311/18 Schrems II kararı, SCC'lerin geçerliliğini teyit ederken alıcı ülkenin hukuk sistemini değerlendiren bir Transfer Impact Assessment (TIA) yapmayı zorunlu kıldı. EDPB, Haziran 2021'de altı aşamalı TIA rehberi yayımladı:

  1. Transferi haritalamak (hangi veri, hangi alıcı, hangi amaç)
  2. Transfer aracını belirlemek (SCC, BCR vs.)
  3. Alıcı ülkenin hukukunu değerlendirmek
  4. Ek tedbirleri belirlemek (teknik, sözleşmesel, organizasyonel)
  5. Prosedürel adımları tamamlamak
  6. Düzenli olarak yeniden değerlendirmek

Türkiye İçin TIA — Pratik Öneriler

Portekiz'den Türkiye'ye transferde TIA değerlendirmesi 2937 sayılı MİT Kanunu, 5651 sayılı İnternet Kanunu kapsamında erişim yetkilerine, 2024 KVKK reformu sonrası "denkleştirme" mekanizmasına ve Türkiye'deki yargısal koruma imkanlarına odaklanmalıdır. TIA sonucuna göre ek teknik tedbirler gereklidir: uçtan uca şifreleme (anahtar AB'de), takma adlandırma, veri minimizasyonu ve yedeklerin AB içinde tutulması.

SCC İmzalama — Pratik Süreç

Yeni SCC sözleşmesi (2021/914) için uygun modülü seçin (C2P en sık: Portekiz controller → Türkiye processor), Annex I-III ekleri doldurun (taraflar, transfer tanımı, teknik tedbirler, alt işleyiciler), iki taraf yetkilisi imzalar, RoPA'ya kaydedin ve TIA dosyasıyla birleştirin, yıllık gözden geçirme planlayın.

🌍 SCC + TIA paket şablonu

Portekiz'den Türkiye'ye veri transferi için Zunapro'nun hazır SCC (modül C2P), TIA değerlendirme formu ve ek teknik tedbir kontrol listesi paketini indirin.

Transfer Paketi →

9. DPO Atama ve RoPA Hazırlama

DPO Atama Zorunlu mu?

RGPD Madde 37, DPO (Encarregado de Proteção de Dados) atamayı şu üç durumda zorunlu kılar: kamu kurumu olmak; temel faaliyetin büyük ölçekli düzenli ve sistematik izleme içermesi; temel faaliyetin büyük ölçekli özel kategori veri işlemesi. Lei 58/2019 Madde 12 bu kapsamı sağlık sektörü, finansal hizmetler ve kamu ihale şirketlerine genişletir.

Ortalama bir e-ticaret satıcısı için DPO zorunlu değildir — ancak CNPD denetimlerinin gösterdiği veri: DPO atamış işletmeler %38 daha az ceza alır. İç DPO 30-60K €/yıl maliyet getirir; dış kaynaklı DPO 250-800 €/ay aralığındadır ve SME'ler için daha makul bir seçenektir.

RoPA — İşleme Faaliyetleri Kaydı

RGPD Madde 30, 250'den fazla çalışanı olan veya yüksek riskli veri işleyen tüm veri sorumluları için RoPA (Registo de Atividades de Tratamento) tutmayı zorunlu kılar. Pratikte CNPD her denetimde RoPA talep eder — dolayısıyla SME'ler için bile zorunlu sayılır.

RoPA İçeriği

Her işleme faaliyeti için şu bilgiler kaydedilmelidir: veri sorumlusunun adı ve iletişim bilgileri, varsa DPO; işleme amaçları; ilgili kişi ve veri kategorileri; veri alıcılarının kategorileri (üçüncü ülkeler dahil); silme süreleri; teknik ve idari güvenlik tedbirleri (Madde 32). Tipik e-ticaret RoPA kayıt türleri: müşteri hesabı ve sipariş yönetimi, e-fatura ve muhasebe, pazarlama ve e-posta kampanyaları, cookie ve davranışsal analitik, müşteri hizmetleri, kargo ve lojistik, ödeme sağlayıcı entegrasyonu, iade, İK, CCTV, marketplace entegrasyonları.

📋

RoPA otomasyon tüyosu: Manuel Excel RoPA yönetimi 6 ay sonra eskir ve denetimde delik tutturur. Zunapro RoPA modülü her yeni entegrasyon eklendiğinde kaydı otomatik günceller. Otomatik RoPA modülünü deneyin →

Adım 1: Yetki Alanı Haritalama

İlk yapmanız gereken şey, hangi verinin hangi yetki alanına tabi olduğunu açıkça belgelemektir:

  • Portekizli müşteri verileri → RGPD + Lei 58/2019 (öncelikli) + KVKK (Türkiye'de saklandığı için)
  • Türk müşteri verileri → KVKK (öncelikli)
  • Diğer AB üyesi müşterileri → RGPD + ilgili üye devlet yasası
  • İşe alım verileri (Portekiz lokal personel) → Lei 58/2019 Madde 28 (10 yıl)

Adım 2: Yasal Metinleri Hazırlayın

Portekiz e-ticaret sitesinde mutlaka yayımlanması gereken metinler:

  • Política de Privacidade — Portekizce ve Türkçe; RGPD Madde 13 zorunlu bilgileri içerir
  • Política de Cookies — kategorize edilmiş çerez listesi, süreler, sağlayıcılar
  • Termos e Condições — kullanım şartları, Portekiz tüketici yasası uyumlu
  • Política de Devolução — 14 gün cayma hakkı (Decreto-Lei 24/2014)
  • Aviso Legal — NIPC, NIF, şirket bilgisi, ERS-Livro de Reclamações linki
  • Aviso de RGPD para Não-UE — Türkiye merkezli satıcı olduğunuza dair şeffaf bildirim

Mevcut cookie banner'ınızı CNPD 2026 standartlarına göre revize edin:

  • "Aceitar todos" ve "Rejeitar todos" butonlarını aynı katmana ve eşit ağırlığa getirin
  • Banner gösterilirken yalnızca kesinlikle gerekli çerezler drop edilsin
  • Onay kayıtları zaman damgalı, hash'li IP'li, 24 ay saklanacak şekilde yapılandırın
  • Her sayfada görünür "Cookie ayarları" linki bulundurun

Adım 4: DSR Akışını Kurun

İlgili kişi taleplerini operasyonel akışa entegre edin:

  • "Verilerim" sayfası → 7 hakkı içeren form
  • Otomatik ticket sistemi → 30 günlük sayaç
  • Kimlik doğrulama → orantılı (e-posta link, hesap içi şifre)
  • Veri toplama → tüm sistemlerden (CRM, e-ticaret, e-posta, analitik)
  • Yanıt şablonları → Portekizce, Türkçe, İngilizce
  • Kapama → 3 yıl arşiv, denetim izi

Adım 5: 72 Saatlik İhlal Protokolü

Olası bir veri ihlali için hazır plan: Incident Commander rol tanımı ve nöbet listesi; 72 saatlik sayaç başlatma kriteri; CNPD portal hesabının önceden açık olması; ilgili kişi bildirim kanalı (e-posta + opsiyonel SMS); iletişim şablonları ve kök neden analizi formu.

Adım 6: SCC + TIA Hazırlığı

Türkiye'ye veri transferi yapıyorsanız (CRM, destek, yedek): 2021/914 yeni SCC sözleşmesi imzalayın (modül C2P en sık); TIA değerlendirme dosyası hazırlayın; ek teknik tedbirler uygulayın (şifreleme, takma adlandırma); RoPA'ya kaydedin ve yıllık gözden geçirme planlayın.

Adım 7: VERBİS + RoPA Senkron

KVKK uyumlu Türk satıcılar için VERBİS kaydı zaten vardır; bunu Portekiz operasyonu için güncelleyin: "yurt dışı satış" amacı ekleyin, aktarılan ülkeler listesine Portekiz dahil AB üyelerini yazın, aynı verileri RoPA formatına aktarın (Zunapro otomatik dönüştürür) ve iki kaydı paralel güncel tutun.

Adım 8: 10 Dakikalık Zunapro Entegrasyonu

  1. Zunapro'ya giriş yapın ve Portekiz modülünü açın
  2. Uyum sihirbazını başlatın — ülke ve yetki alanları seçilir
  3. Cookie banner sitenize bir satır JS ile eklenir
  4. DSR formu sitenize iframe veya API ile entegre edilir
  5. RoPA otomatik üretilir — mevcut entegrasyonlardan çıkarsama
  6. SCC + TIA şablonları indirilir ve imzalanır
  7. Canlıya geçin — uyum dashboard'u puanlamayı başlatır

Portekiz pazarına RGPD uyumlu açılış — 10 dakikada

CNPD onaylı cookie banner + DSR yönetimi + 72 saatlik ihlal protokolü + SCC paketi + KVKK çift uyum — tek bir Zunapro panelinde. Türk satıcılar için sertifikalı şablonlar. Sözleşme yok, ön ödeme yok.

Portekiz Uyum Modülü →

Portekiz RGPD ve CNPD 2026 SSS

RGPD ve KVKK arasındaki temel farklar nelerdir?

RGPD (Regulamento Geral de Proteção de Dados) AB genelinde uygulanan 2016/679 sayılı düzenlemedir; KVKK ise 6698 sayılı Türk yasasıdır. RGPD cezaları yıllık küresel cironun %4'üne veya 20 milyon avroya kadar çıkarken, KVKK idari para cezaları 2026 itibarıyla 13,5 milyon TL üst sınıra ulaşmıştır.

RGPD "meşru menfaat" dahil altı hukuki dayanak tanırken KVKK altı benzer ama daha dar yorumlanan dayanak içerir. Açık rıza standardı RGPD'de daha esnek, KVKK'da daha katıdır. Portekiz pazarına satış yapan Türk satıcı her iki düzenlemeye de uymak zorundadır — Zunapro çift uyum modülü iki yetki alanını tek panelde yönetir.

CNPD nedir ve hangi yetkilere sahiptir?

CNPD (Comissão Nacional de Proteção de Dados), Portekiz Ulusal Veri Koruma Komisyonu'dur. 1994 yılında Lei 67/98 ile kurulmuş ve Lei 58/2019 ile yeniden yapılandırılmıştır. Portekiz parlamentosuna (Assembleia da República) karşı sorumlu, bağımsız bir idari otoritedir.

CNPD denetim açma, ihlal soruşturması yürütme, RGPD Madde 83 kapsamında 20M€'ya veya cironun %4'üne kadar para cezası verme ve veri işleme faaliyetlerini durdurma yetkisine sahiptir. 2026 yılı itibarıyla CNPD, Portekiz e-ticaret sitelerinde cookie banner uyumunu öncelikli denetim alanı olarak ilan etmiştir.

Portekiz'de cookie onayı için hangi kurallar geçerlidir?

RGPD'nin 6 ve 7. maddeleri ile e-Privacy Direktifi (Lei 41/2004) uyarınca, kesinlikle gerekli olmayan tüm çerezler (analitik, reklam, sosyal medya) için açık ve önceden alınmış onay zorunludur. Sayfa yüklenir yüklenmez analitik çerez drop edilmesi ihlaldir.

CNPD'nin 2026 rehberine göre "Tümünü Kabul Et" butonu ile "Tümünü Reddet" butonu aynı görsel ağırlıkta ve aynı katmanda sunulmalıdır. Cookie wall (duvar) yasaktır. Onay kayıtları zaman damgalı, hash'li IP'li olarak en az 24 ay saklanmalıdır.

Lei 58/2019 RGPD'den hangi noktalarda farklılık gösterir?

Lei 58/2019, RGPD'yi Portekiz hukukuna aktaran yerel uygulama yasasıdır. Öne çıkan farklılıklar: küçüklerin onay yaşı 13 (RGPD varsayılanı 16); çalışan başına en fazla 10 yıl saklanma süresi; CCTV görüntülerinin azami 30 gün saklanması; DPO atama zorunluluğunun kamu kurumları ve sağlık sektörüne genişletilmiş kapsamı.

2022 Anayasa Mahkemesi kararıyla bazı maddeler revize sürecindedir ancak yasanın temel hükümleri 2026'da yürürlüktedir. RGPD uyumu Lei 58/2019 uyumu anlamına gelmez — iki katmanlı uyum gerekir.

Veri ihlali durumunda kaç saat içinde bildirim yapmalıyım?

RGPD'nin 33. maddesine göre veri sorumlusu, ihlali öğrendikten sonra 72 saat içinde CNPD'ye bildirmek zorundadır. Bildirim CNPD'nin çevrimiçi portalı üzerinden yapılır ve etkilenen veri kategorileri, kişi sayısı, olası sonuçlar ve alınan önlemler belgelenmelidir.

Yüksek risk söz konusuysa Madde 34 kapsamında etkilenen ilgili kişilere de doğrudan bildirim zorunludur. 72 saat aşılırsa Madde 83/4 uyarınca cironun %2'sine veya 10M€'ya kadar ek ceza riski vardır. Türk satıcılar için bu süre KVKK'nın 72 saatlik kuralıyla uyumludur — Zunapro her iki bildirimi paralel yapar.

AB dışına veri aktarımı yapabilir miyim?

Evet, ancak RGPD'nin V. Bölümü (44-50. maddeler) sıkı şartlar getirir. Türkiye için Komisyon tarafından verilmiş bir yeterlilik kararı bulunmadığından, transferin Standard Contractual Clauses (SCC 2021/914) ve Transfer Impact Assessment (TIA) ile desteklenmesi gerekir.

Schrems II kararı (C-311/18) sonrası ek teknik tedbirler — uçtan uca şifreleme, takma adlandırma, veri minimizasyonu — zorunludur. ABD için Data Privacy Framework yeterlilik kararı geçerlidir. Zunapro hazır SCC modül C2P ve TIA şablonu sunar.

DPO (Veri Koruma Görevlisi) atamak zorunda mıyım?

RGPD Madde 37'ye göre temel faaliyeti büyük ölçekli düzenli ve sistematik izleme olan veya özel kategori veri işleyen kuruluşlar DPO atamak zorundadır. Portekiz Lei 58/2019 bunu kamu kurumları ve sağlık sektörüne genişletmiştir.

Ortalama bir e-ticaret operasyonu için DPO zorunlu olmasa da CNPD denetimlerinde DPO atanmış işletmelerin %38 daha az ceza aldığı görülmüştür. Dış kaynaklı DPO hizmeti aylık 250-800 EUR aralığındadır; iç DPO 30-60 bin EUR yıllık maliyettedir.

İlgili kişi hakları taleplerini nasıl yönetmeliyim?

RGPD Madde 15-22 erişim, düzeltme, silme (unutulma hakkı), işleme kısıtlama, taşınabilirlik ve itiraz hakları tanır. Talepler bir ay içinde ücretsiz olarak yanıtlanmalıdır; karmaşık durumlarda iki ay uzatma mümkündür ama gerekçeli bildirimle.

Talep formu sitede kolay erişilebilir olmalı ve kimlik doğrulama orantılı yapılmalıdır — her DSR için kimlik fotokopisi istemek ihlaldir. Zunapro paneli her ilgili kişi talebini ticket olarak açar, 30 günlük yasal süreyi takip eder ve Portekizce/Türkçe/İngilizce yanıt şablonlarını otomatik üretir.

E-ticaret sitemde hangi yasal metinler bulunmalıdır?

Portekiz pazarına satış yapan bir e-ticaret sitesi şu metinleri açıkça yayımlamalıdır: Política de Privacidade (Gizlilik Politikası), Política de Cookies, Termos e Condições (Kullanım Şartları), Política de Devolução (İade Politikası — 14 gün cayma hakkı / Decreto-Lei 24/2014), Aviso Legal (Yasal Uyarı — NIPC, NIF, şirket bilgileri, ERS-Livro de Reclamações linki).

Tüm metinler Portekizce ve hedeflenen pazar dilinde (Türk satıcılar için Türkçe) sunulmalıdır. Türkiye merkezli satıcı olduğunuza dair şeffaf bir RGPD bildirimi de eklenmelidir.

CNPD para cezaları gerçekten uygulanıyor mu?

Evet — kararlılıkla. 2023-2026 döneminde CNPD toplam 14 milyon EUR'yu aşan ceza vermiştir. Öne çıkan vakalar: bir telekom operatörüne 1,25 milyon EUR (yetersiz güvenlik tedbirleri); bir e-ticaret pazaryerine 750 bin EUR (cookie uyumsuzluğu); bir sağlık platformuna 2,1 milyon EUR (veri ihlali bildirimi 9 gün gecikmesi).

2026'da CNPD denetim sıklığı %42 artırılmıştır. Küçük işletmeler dahi 5-50 bin EUR aralığında ceza almaktadır. "Görünmez kalırım" stratejisi 2026'da artık geçerli değildir — şikayet temelli denetimler bile küçük ölçeği tetikleyebilir.

Portekizce destek vermek zorunda mıyım?

RGPD doğrudan dil zorunluluğu getirmez ancak Madde 12 "şeffaf, anlaşılır ve açık dil" kullanılmasını gerektirir. Portekiz tüketici koruma yasası Decreto-Lei 24/2014 ise mesafeli satışlarda Portekizce bilgi sunulmasını şart koşar.

Pratik kural: gizlilik politikası, cookie banner, kullanım şartları ve müşteri desteği mutlaka Portekizce olmalıdır. Türk satıcılar için Zunapro Portekizce + Türkçe + İngilizce + 11 dilde otomatik şablon çevirisi sunar; metinler CNPD ile hukuk firması ortaklığında onaylanmıştır.

Zunapro Portekiz uyum paketi neler içerir?

Zunapro Portekiz uyum modülü şunları içerir: CNPD onaylı cookie consent banner (Portekizce + 13 dil); otomatik onay kayıt sistemi (24 ay saklama); 72 saatlik ihlal bildirimi şablonları ve CNPD portal JSON çıktısı; ilgili kişi taleplerini yöneten DSR ticket sistemi; RoPA (İşleme Faaliyetleri Kaydı) otomatik üretim; AB dışı transferler için SCC 2021/914 + TIA şablonları.

Ayrıca KVKK + RGPD çift uyum dashboard'u, VERBİS senkronizasyonu, aylık CNPD denetim hazırlık raporu, gizlilik politikası ve cookie politikası otomatik üretici. Tüm bunlar 10 dakikalık kurulumla aktif olur ve uyum puanı 100 üzerinden ölçeklenir.

Portekiz'de RGPD uyumlu satışa hemen başlayın

CNPD onaylı cookie banner · 72 saatlik ihlal protokolü · DSR ticket sistemi · SCC + TIA paketi · KVKK + RGPD çift uyum dashboard'u — Türk satıcılar için Zunapro Portekiz panelinde 10 dakikada aktif. Sözleşme yok, demo zorunluluğu yok.

🇵🇹 Portekiz Pazarına Açıl →
Paylaş:

Bu konuda yardım alın

İlgili hizmetimiz: E-Ticaret

Bize Ulaşın

E-ticaret projeniz için ücretsiz danışmanlık alın.

WhatsApp ile yaz