Veri sahibi hakları (acceso, rectificación, supresión, portabilidad) nasıl yanıtlanır?

RGPD 12-22. maddeler 8 temel hak tanır: erişim (acceso), düzeltme (rectificación), silme/unutulma (supresión), işlemenin kısıtlanması (limitación), taşınabilirlik (portabilidad), itiraz (oposición), otomatik karar verme + profilleme dışı kalma, ve LOPDGDD'nin eklediği dijital haklar (madde 79-97). Talep alındığında 1 AY içinde yanıt vermek zorunludur (karmaşık taleplerde 2 ay daha uzatılabilir - gecikme gerekçesi yazılı bildirilmeli). Yanıtsız bırakmak başlı başına ihlaldir. Talepleri kanıtlanabilir bir kanalda (e-posta, ticket sistemi) almak, kimliği doğrulamak ve cevabı belgelemek esastır.

AB Temsilcisi (Representante UE - RGPD madde 27) Türk satıcı için zorunlu mu?

Evet, çoğu durumda. RGPD madde 3/2 gereği AB dışında kurulu (Türkiye'de) ancak AB'deki kişilere mal/hizmet sunan veya AB'deki kişilerin davranışlarını izleyen bir veri sorumlusu/işleyen, AB'nin herhangi bir üye devletinde yazılı atama ile bir TEMSİLCİ belirlemek zorundadır. İspanya'ya satış yapan Türk e-ticaret firması bu kapsamdadır. İstisna: işleme arızi (occasional), büyük ölçekli özel veri içermiyor ve riskli değilse - pratikte düzenli e-ticaret BU İSTİSNAYA GİRMEZ. Temsilci AEPD'nin iletişim noktasıdır; isim ve iletişim bilgileri gizlilik politikasında ve site footer'ında yer almalıdır. Atama yapılmaması başlı başına ihlal: madde 83/4 kapsamında 10M EUR/%2 cezası.

RGPD LOPDGDD İspanya 2026 | AEPD

Q: RGPD ile LOPDGDD arasındaki fark nedir?

RGPD (GDPR), tüm AB üye devletlerinde doğrudan uygulanan AB Tüzüğü'dür (2016/679). LOPDGDD ise İspanya'nın bu tüzüğü ulusal hukuka uyarlayan 3/2018 sayılı Organik Kanunu'dur (5 Aralık 2018). LOPDGDD, RGPD'nin sessiz kaldığı veya üye devletlere takdir yetkisi bıraktığı konuları düzenler: çocukların rızası (14 yaş), dijital haklar, AEPD'nin yetkileri, ölen kişilerin verileri ve sektörel istisnalar. İspanya'da e-ticaret yapan her satıcı her iki düzenlemeye de aynı anda uymak zorundadır.

Q: KVKK ile RGPD aynı mı?

Hayır, benzer ama önemli farklar var. KVKK (6698 sayılı, 2016) RGPD'den önce çıktı ve birçok temel kavramı (açık rıza, veri sorumlusu, VERBİS) paylaşır. Ancak RGPD daha katıdır: ihlal bildirimi 72 saat (KVKK 'en kısa sürede'), DPO zorunluluğu daha geniş, cezalar çok daha yüksek (20M EUR veya cironun %4'ü vs KVKK 1.000-1.000.000 TL), veri taşınabilirliği hakkı KVKK'da yok, çocukların rızası RGPD'de 16 yaş (LOPDGDD 14 yaş) KVKK'da net değil. İspanya'ya satış yapan Türk satıcı KVKK uyumu yeterli değildir, RGPD+LOPDGDD ayrıca uygulanır.

Q: AEPD cezaları 2026'da ne kadar?

AEPD (Agencia Española de Protección de Datos), RGPD madde 83 çerçevesinde iki kademeli ceza uygular. Hafif ihlaller için 10 milyon EUR veya yıllık küresel cironun %2'sine kadar (hangisi yüksekse), ağır ihlaller için 20 milyon EUR veya cironun %4'üne kadar ceza verilebilir. LOPDGDD ek olarak bağımsız bir 'çok ağır/ağır/hafif' tasnifi getirir. 2026'te AEPD, Vodafone España'ya 6,2M EUR, Iberdrola Clientes'e 3,3M EUR ve birçok e-ticaret sitesine cookie ihlali nedeniyle 30.000-300.000 EUR arası cezalar uyguladı.

Q: İspanya'ya satış yapan Türk satıcı için DPO atamak zorunlu mu?

Türk e-ticaret satıcıları için DPO (Veri Koruma Görevlisi) atama zorunluluğu üç durumdan birinde doğar: (1) ana faaliyetiniz büyük ölçekli düzenli ve sistematik izleme gerektiriyorsa, (2) özel nitelikli veri (sağlık, biyometrik, etnik) büyük ölçekli işleniyorsa, (3) bir kamu kuruluşuysanız. Tipik B2C e-ticaret çoğunlukla bu eşiklere takılmaz, ancak LOPDGDD madde 34 İspanya için ek zorunlu DPO sektörleri belirler: bankacılık, sigorta, sağlık, telekom, kredi bilgi sistemleri. AB dışı satıcılar (Türk firmaları) ayrıca RGPD madde 27 kapsamında bir AB Temsilcisi atamak zorundadır - bu DPO ile aynı şey DEĞİLDİR.

Q: Cookie onayı (çerez rızası) İspanya'da nasıl olmalı?

AEPD'nin Temmuz 2023 güncellenen 'Guía sobre el uso de las cookies' kılavuzuna göre: (1) zorunlu olmayan tüm çerezler için ÖNCEDEN açık ve özgür rıza alınmalı, (2) 'Tümünü Kabul Et' butonu kadar görünür bir 'Tümünü Reddet' butonu olmalı, (3) kayan/scroll-down ile rıza kabul edilemez, (4) cookie wall (içeriğe erişmek için zorla kabul ettirmek) yasak (bedelli alternatif olmadıkça), (5) varsayılan olarak hiçbir çerez aktif olmamalı, (6) rıza yenileme süresi azami 24 ay. İhlal cezaları 30.000-300.000 EUR arasında değişir; AEPD 2024-2026'te 200'den fazla e-ticaret sitesini bu maddelerden cezalandırdı.

Q: Veri ihlali olduğunda ne yapmalıyım?

RGPD madde 33 gereğince ihlali öğrendiğiniz andan itibaren 72 saat içinde AEPD'ye bildirmek zorundasınız (sede.aepd.gob.es üzerinden 'Notificación de Brechas de Seguridad' formu). Bildirim şunları içermeli: ihlalin niteliği, etkilenen kişi sayısı, olası sonuçlar, alınan/alınacak önlemler. İhlal veri sahipleri için yüksek risk taşıyorsa madde 34 gereğince kişileri DOĞRUDAN bilgilendirmek de zorunludur. 72 saat aşılırsa gecikme gerekçeli açıklanmalıdır. Belgelemeyi atlamak veya geç bildirmek başlı başına ihlaldir - AEPD 2026'te birçok şirketi sadece 'geç bildirim' nedeniyle 50.000-200.000 EUR cezalandırdı.

Q: Pazaryerlerinde (Amazon.es, PcComponentes, El Corte Inglés) veri sorumluluğu kimde?

Bu, e-ticaret hukukunun en karmaşık konularından biridir. Pazaryerinde işlem yapıldığında satıcı ve pazaryeri çoğunlukla 'müşterek veri sorumlusu' (corresponsables) konumundadır - sipariş için gerekli temel veri (ad, adres, telefon) pazaryeri tarafından toplanır ve satıcıya iletilir. Ancak satıcı doğrudan pazarlama, müşteri ilişkileri yönetimi veya sipariş sonrası iletişim için bu verileri kullandığı andan itibaren bağımsız veri sorumlusu haline gelir ve KENDİ Gizlilik Politikası, kendi rıza mekanizması, kendi VAT (BDV/RAT) defteri tutmak zorundadır. AEPD bu konuda 2026'te yayımladığı 'Marketplaces y RGPD' kılavuzunda netleştirmiştir.

Q: Stripe, PayPal, Redsys gibi ödeme sağlayıcıları kullanmak veri aktarımı sayılır mı?

Evet ve hayır. Stripe (Irlanda, AB içi), PayPal (Lüksemburg/AB), Redsys (İspanya) AB içi olduğu için RGPD V. Bölüm'ün üçüncü ülke aktarım kuralları doğrudan tetiklenmez - ancak bunlar veri işleyen (encargado de tratamiento) konumundadır, dolayısıyla 28. madde gereği Veri İşleme Sözleşmesi (DPA) imzalamak zorundasınız. Stripe ve PayPal verileri ABD'ye replikasyon yapabilir; bu durumda EU-US Data Privacy Framework (Temmuz 2023, hâlâ geçerli) çerçevesinde aktarım meşru, ancak gizlilik politikanızda BU AKTARIMI VE HUKUKİ DAYANAĞINI açıkça belirtmelisiniz. PCI-DSS uyumu RGPD uyumu YERİNE GEÇMEZ.

Q: İspanya'da geçerli bir Aviso Legal ve Política de Privacidad nasıl olmalı?

İspanya'da e-ticaret sitesi için DÖRT zorunlu yasal metin vardır: (1) Aviso Legal - LSSI-CE madde 10 gereği şirket adı, CIF/NIF, kayıtlı adres, ticaret sicil numarası, kayıt-defteri verileri, iletişim e-posta; (2) Política de Privacidad - RGPD madde 13-14 gereği veri sorumlusu, DPO iletişimi, işleme amaçları, hukuki dayanaklar, saklama süreleri, haklar ve AEPD'ye şikayet hakkı; (3) Política de Cookies - AEPD 2023 kılavuzuna uygun; (4) Condiciones Generales de Contratación - tüketici hakları, cayma, garanti, uyuşmazlık çözümü. Bu metinleri ana sayfada açıkça erişilebilir (footer'da link) tutmak zorunludur.

20M €

Maksimum RGPD Cezası (madde 83)

72 saat

Veri İhlali Bildirim Süresi

200+

2026 AEPD Cookie İhlal Cezası

8 hak

Veri Sahibi Hakları (RGPD)

İspanya Veri Koruma 2026 — Hızlı Özet

İspanya'da e-ticaret yapan her satıcı iki düzenlemeye birlikte uyar: RGPD (AB Tüzüğü 2016/679) ve LOPDGDD (Ley Orgánica 3/2018). Denetim ve ceza yetkisi AEPD'ye aittir; AB'nin en aktif otoritelerinden biri olup 2024-2026'te 200+ e-ticaret sitesini sadece cookie ihlali nedeniyle cezalandırdı. Maksimum ceza 20M EUR veya cironun %4'ü, ihlal bildirimi 72 saat, çocuk rızası 14 yaş, zorunlu metinler Aviso Legal, Política de Privacidad, Política de Cookies, CGC. Türk satıcılar için RGPD madde 27 AB Temsilcisi ve SCC 2021/914 imzası ek olarak şarttır. KVKK uyumu RGPD'nin yerine geçmez.

2026 İspanya Veri Koruma Manzarası — Genel Bakış

Hiçbir AB ülkesinde veri koruma uygulaması İspanya'daki kadar agresif değildir. Aşağıdaki kartlar bu rehberdeki altı temel konuyu özetler.

RGPD (GDPR) — AB Genel Veri Koruma Tüzüğü

2016/679 sayılı AB Tüzüğü · 25 Mayıs 2018'den beri yürürlükte · 99 madde, 173 resital · doğrudan uygulanır

20M € maks. cezacironun %4'üne kadar

LOPDGDD — Ley Orgánica 3/2018

5 Aralık 2018'de yürürlüğe girdi · RGPD'yi İspanya'ya uyarlar · 97 madde + dijital haklar başlığı (Título X)

14 yaşçocuk rızası eşiği

AEPD — Agencia Española de Protección de Datos

1993'te kuruldu (LORTAD ile) · bağımsız otorite · Madrid merkezli · sede.aepd.gob.es üzerinden tüm işlemler

200+ ceza/2026sadece cookie ihlali

Guía de Cookies — AEPD Kılavuzu (Temmuz 2023)

"Reddet" butonu zorunlu · soft-opt-in yasak · cookie wall yasaklı · varsayılan rıza yok · 24 ay yenileme

30-300K €tipik cookie cezası

KVKK — 6698 sayılı Kanun (Türkiye)

7 Nisan 2016'da yürürlüğe girdi · KVKK denetim kurumu · VERBİS kaydı · RGPD ile %70 örtüşür, %30 farklıdır

YETMEZRGPD ek olarak uygulanır

Representante UE — AB Temsilcisi (RGPD m.27)

AB dışı satıcılar için zorunlu · yazılı atama · AEPD ile irtibat noktası · gizlilik politikasında ilan

10M € / %2atamamanın cezası

İspanya'da RGPD+LOPDGDD uyumlu satışa hazır mısınız?

Aviso Legal, Política de Privacidad, AEPD-uyumlu cookie banner, DPA şablonları ve AB Temsilcisi atama hizmeti — hepsi Zunapro İspanya panelinde hazır.

🚀 İspanya Entegrasyonunu Başlat

1. RGPD'nin Temel İlkeleri ve E-Ticaret İçin Önemi

RGPD'nin Doğuşu ve Kapsamı

RGPD (GDPR), 27 Nisan 2016'da kabul edilen ve 25 Mayıs 2018'de tüm AB üye devletlerinde doğrudan uygulanmaya başlayan 2016/679 sayılı AB Tüzüğü'dür. Tüzük olduğu için her üye devlet ayrı uyum yasası çıkarmak zorunda değildir; ancak bazı konularda "üye devlet hareket alanı" (margen de maniobra) bırakır — İspanya bu alanı LOPDGDD ile doldurmuştur.

Türk satıcı için en kritik nokta: RGPD madde 3/2, AB dışında kurulu olsanız bile AB'de bulunan kişilere mal/hizmet sunuyorsanız VEYA davranışlarını izliyorsanız (retargeting, analytics) RGPD'ye tabi kılar. İstanbul'da kurulu bir şirket Madrid'deki müşteriye satış yaptığında RGPD kapsamına girer.

Yedi Temel İlke (RGPD madde 5)

Hukuka uygunluk, dürüstlük, şeffaflık (licitud, lealtad y transparencia)
Amaca bağlılık (limitación de la finalidad) — Sonradan amaç eklenemez
Veri minimizasyonu (minimización) — Sadece kesinlikle gerekli olan
Doğruluk (exactitud) — Güncel tutmak
Saklama süresi sınırlılığı (limitación del plazo)
Bütünlük ve gizlilik (integridad y confidencialidad)
Hesap verebilirlik (responsabilidad proactiva) — KANITLAMAK zorundasınız

Altı Hukuki Dayanak (RGPD madde 6)

Veri işlemenin hukuka uygun olması için altı dayanaktan birine ihtiyaç vardır: rıza (consentimiento), sözleşmenin ifası (sipariş, kargo, fatura), yasal yükümlülük (vergi defteri), hayati menfaat, kamu yararı ve meşru menfaat (3-aşamalı LIA testi). E-ticarette en sık sözleşmenin ifası (sipariş için) ve rıza (newsletter, marketing cookies) görülür. Her işleme faaliyeti için dayanak RGPD madde 30 işleme kayıtlarında belgelenmek zorundadır.

📋

Resmi RGPD metni: RGPD'nin yetkili İspanyolca tam metnine AEPD'nin "Reglamento (UE) 2016/679" sayfasından erişilebilir. Zunapro, RGPD madde 30 işleme kayıtlarını otomatik tutar ve her veri akışı için hukuki dayanağı kayıt altına alır. Detay için AEPD Normativa sayfasına bakın.

Veri Sahibinin Sekiz Hakkı

RGPD 12-22 şu hakları tanır: erişim (acceso), düzeltme (rectificación), silme (supresión), kısıtlama (limitación), taşınabilirlik (portabilidad), itiraz (oposición), otomatik karar dışı kalma, bilgilendirilme. LOPDGDD 79-97 ek dijital haklar getirir.

💡 İspanya pazaryeri rehberini de okuyun

Amazon.es, PcComponentes, El Corte Inglés, Carrefour, Privalia ve diğerleri — komisyonlar, KSeF benzeri TicketBAI/Veri+ uyumu ve Zunapro entegrasyon akışı.

Pazaryeri Rehberi →

2. LOPDGDD'nin Eklediği İspanya'ya Özgü Kurallar

RGPD'nin Bıraktığı Boşlukları Doldurmak

LOPDGDD (Ley Orgánica 3/2018), 5 Aralık 2018'de yürürlüğe girdi ve İspanya'nın 1999 tarihli LOPD'sinin yerini aldı. Temel görevi RGPD'nin üye devletlere takdir yetkisi bıraktığı konuları İspanya için netleştirmektir. Yapı: yedi başlık (Título) altında 97 madde.

Çocukların Rızası — 14 Yaş Eşiği

RGPD madde 8 çocuk rızası eşiğini varsayılan 16 yaş belirler ama üye devletlere 13 yaşa kadar düşürme izni verir. LOPDGDD madde 7 İspanya için bu eşiği 14 yaş olarak belirlemiştir. 14 yaş altı için ebeveyn rızası şart. Pratik sonuç: kayıt formunda doğum yılı toplamıyorsanız 14 yaş altı kullanıcıyı ayırt edemezsiniz; ToS'da yaş onay kutusu önerilir.

Dijital Haklar (Título X) — Yeni Bir Kategori

LOPDGDD'nin en yenilikçi bölümü, RGPD'de bulunmayan İspanyol dijital hakları tanımlar (madde 79-97): internet nötrlüğü, evrensel erişim, dijital güvenlik ve eğitim, reşit olmayanların korunması, onurun korunması ve internette unutulma, dijital miras (ölen kişinin verilerine mirasçı erişimi) ve iş yerinde dijital haklar (iş telefonu, kamera, video gözetim).

İspanya'ya Özgü DPO Zorunluluğu (LOPDGDD madde 34)

RGPD madde 37 DPO zorunluluğunu üç sınırlı duruma bağlar, ancak LOPDGDD madde 34 İspanya için bu listeyi 16 sektöre genişletir: özel eğitim kurumları, telekom, sigorta, kredi bilgi sistemleri, finans, sağlık, gazete-medya, oyun (juego), elektrik dağıtım, kanun gereği veri tutan vakıflar ve mesleki birlikler. Bu sektörlerde faaliyet gösteren herhangi bir e-ticaret operasyonu (örneğin online sigorta brokerliği) DPO atamak zorundadır.

Yaptırım Tarifesi — LOPDGDD madde 71-78

RGPD'nin iki kademeli ceza yapısının üzerine LOPDGDD üç kademeli idari ihlal tasnifi ekler:

Hafif İhlaller

≤ 40K €

Bildirim gecikmesi, eksik bilgilendirme, kayıt eksikliği, küçük formal hatalar

Ağır İhlaller

40K – 300K €

Yetersiz güvenlik önlemleri, geç ihlal bildirimi, eksik DPO, cookie banner ihlalleri

Çok Ağır İhlaller

20M € / %4

Hukuksuz işleme, hak ihlali, kasıtlı uyumsuzluk, sınırı geçen aktarımlar

📘 LOPDGDD tam metnine erişin

İspanya BOE'de yayımlanan resmi LOPDGDD tam metnine, AEPD'nin karar ve kılavuzlarına Zunapro Compliance Hub üzerinden tek tıkla erişin.

Compliance Hub →

3. AEPD — İspanyol Veri Koruma Otoritesi

1993'ten 2026'ya AEPD'nin Evrimi

AEPD 1993'te LORTAD ile kuruldu — Avrupa'nın ilk veri koruma otoritelerinden biri. 1999 LOPD ve 2018 LOPDGDD geçişlerinde varlığını sürdürdü. 2026 itibarıyla 500'den fazla personeli, yıllık 30.000+ şikayet trafiği ve birikmiş 8.000+ resmi kararla AB'nin en aktif veri koruma otoritelerinden biridir.

AEPD Yetkileri ve Şikayet Süreci

AEPD, RGPD madde 58 kapsamında bilgi talep etme, önceden haber vermeden denetim yapma, ihtiyati tedbir, 20M EUR'ya kadar idari para cezası ve işlemeyi yasaklama yetkilerine sahiptir. Şikayetler sede.aepd.gob.es üzerinden alınır; süreç şöyle işler: kayıt → ön inceleme (1 ay yanıt) → Procedimiento Sancionador → savunma (alegaciones) → resmi karar (Resolución) → Audiencia Nacional'a 2 ay içinde itiraz hakkı. Tüm kararlar AEPD web sitesinde kamuya açıktır.

2026'te Önemli AEPD Cezaları

Vodafone España — 6,2 milyon EUR (Şubat 2026): güvenlik açığı, 70.000 müşteri sızıntısı
Iberdrola Clientes — 3,3 milyon EUR (Mayıs 2026): yetersiz önlemler + geç bildirim
Air Europa — 1,5 milyon EUR (Mart 2026): rezervasyon sistemi sızıntısı
Cookie ihlali 200+ ceza, 30K-300K EUR aralığında: Reddet butonu yok, varsayılan rıza, soft opt-in
Privalia — 150.000 EUR: newsletter çift opt-in eksikliği

⚖️

AEPD'nin kararları kamuya açıktır. Tüm cezalar aepd.es/informes-y-resoluciones sayfasında yayımlanır. Zunapro Compliance Hub, AEPD karar veritabanını kategoriye göre tarayıp sizin sektörünüze ait son cezaları otomatik özetleyerek paneline taşır. Compliance Hub'a göz atın →

4. Cookie Onayı — AEPD'nin En Sıkı Denetlediği Alan

AEPD'nin "Guía sobre el uso de las cookies" kılavuzu Temmuz 2023'te güncellendi ve Avrupa Komisyonu'nun "Reject All" zorunluluğunu yansıtacak şekilde sertleştirildi. Kılavuz RGPD ile LSSI-CE madde 22 (e-Privacy Directive 2002/58/EC İspanya uyarlaması) hükümlerini birlikte yorumlar.

ÖNCEDEN açık rıza — Banner gözükmeden analytics/marketing cookie set edilemez
"Reddet" butonu "Kabul Et" kadar görünür — Aynı seviye, aynı renk, aynı boyut. "Ayarları yönet" yetmez
Scroll/kayma ile rıza alınamaz — "Sayfayı kaydırarak kabul edersiniz" yasak (AEPD 2020 kararı)
Cookie wall yasak — Zorla rıza dayatamazsınız (paywall + ücretsiz alternatif varsa istisna)
Varsayılan rıza yok — Granular seçimlerde tüm kategoriler "off" başlamalı
Rıza yenileme azami 24 ay — Banner yeniden gösterilir
Geri alma kolay — Footer'da kalıcı "Cookie ayarlarını yönet" linki

Çerez Kategorileri

Teknik (Zorunlu)

Rıza GEREK YOK

Oturum, sepet, login, CSRF, language preference, load balancing

İstatistik / Analiz

Rıza GEREK

Google Analytics 4, Hotjar, Matomo (anonim mod hariç), Yandex Metrica

Pazarlama / Profilleme

Rıza GEREK

Meta Pixel, Google Ads, TikTok Pixel, retargeting, A/B testing

TCF v2.2 ve IAB Europe

Reklam tabanlı siteler için IAB Europe TCF v2.2 (Mayıs 2023) endüstri standardıdır. Cookiebot, OneTrust, Didomi, Iubenda gibi CMP'ler bu çerçeveye uygundur. Belçika DPA'nın IAB Europe'a 250.000 EUR cezası TCF v2.2'nin doğmasına yol açtı; AEPD önceki sürümleri (v2.0/v2.1) yetersiz buluyor.

Glovo — 100K EUR: "Reddet" butonu "Yönet" arkasına gizlenmiş
Idealista — 80K EUR: Banner çıkmadan Google Analytics yüklenmiş
El Mundo — 60K EUR: Cookie wall, ücretsiz alternatif yok
Booking.com filial — 50K EUR: Soft opt-in cümlesi
200+ küçük site — 30-50K EUR: varsayılan rıza, kayma kabul, eksik geri alma

AEPD 2023 kılavuzuna ve TCF v2.2'ye tam uyumlu, Türkçe-İspanyolca-İngilizce çok dilli, "Reddet" butonu eşit görünür. Tek satır JS ile her İspanya storefront'ına entegre olur.

Cookie Manager →

5. KVKK vs RGPD+LOPDGDD — Türk Satıcı İçin Karşılaştırma

Neden Bu Karşılaştırma Kritik?

Türk satıcıların en yaygın yanılgısı: "KVKK uyumluyuz, RGPD'ye de uyumluyuz." Bu yanlıştır. KVKK (6698 sayılı, 2016) ile RGPD %70 örtüşür ama %30'luk farklar kritiktir; İspanya'da ayrıca LOPDGDD katmanı vardır.

Yan Yana Karşılaştırma Tablosu

Konu	KVKK (Türkiye)	RGPD + LOPDGDD (İspanya)
Yürürlük	7 Nisan 2016	RGPD: 25 May 2018 · LOPDGDD: 6 Ara 2018
Denetim Otoritesi	KVKK / Kişisel Verileri Koruma Kurumu	AEPD (Agencia Española de Protección de Datos)
İhlal Bildirim Süresi	"En kısa sürede" — pratikte 72 saat tavsiye	72 saat zorunlu (RGPD madde 33)
Maksimum Ceza	1.000.000 TL (yaklaşık 30.000 EUR) idari	20 milyon EUR veya cironun %4'ü
VERBİS / İşleme Kayıt	VERBİS sicil zorunlu	RGPD madde 30 işleme kayıtları (sicil değil iç belge)
DPO Zorunluluğu	VERBİS'te irtibat kişisi (DPO değil)	RGPD madde 37 + LOPDGDD madde 34 (16 sektör)
Veri Taşınabilirliği	YOK	VAR (RGPD madde 20)
Çocuk Rızası Yaşı	Net değil (genel ehliyet hükümleri)	14 yaş (LOPDGDD madde 7)
Yurt Dışı Aktarım	Kurul iznine bağlı (taahhütname)	SCC, BCR, Adequacy, türev mekanizmalar
Açık Rıza Niteliği	"Belirli, bilgilendirilmiş, özgür"	+ "geri alınabilir" + "spesifik" + ispat yükü
Cookie Onayı	KVKK'da örtük; ETBİS'te dolaylı	AEPD 2023 kılavuzu (7 kritik kural)
Veri Sahibi Hak Sayısı	11 madde (madde 11)	8 RGPD hakkı + 18 LOPDGDD dijital hak

En Önemli Üç Fark

1. Veri Taşınabilirliği (Portabilidad) — KVKK'da YOK. Veri sahibi verilerini makine-okur formatta (JSON, CSV, XML) alıp başka hizmete aktarabilir. Pratik: müşteri sipariş geçmişi + profil + favorileri indirebilmelidir.

2. 72 Saat İhlal Bildirimi — KVKK "en kısa sürede" esneklik tanır. RGPD madde 33 kesin 72 saat belirler; AEPD'nin sede.aepd.gob.es portalına bildirim şarttır. Aşıldığında gerekçe yazılı sunulur.

3. Hesap Verebilirlik (Responsabilidad Proactiva) — RGPD madde 5/2 KVKK'da bulunmayan ilkedir: uyumlu olmak yetmez, KANITLAMAK zorundasınız. İşleme kayıtları, DPIA, denetim izleri, rıza kayıtları ve eğitim belgeleri.

🇹🇷

Türk satıcı için kritik: KVKK uyumunuz iyi bir başlangıçtır ama yetmez. Zunapro, KVKK işleme kayıtlarınızı (VERBİS aktarması dahil) otomatik olarak RGPD madde 30 işleme kayıtları formatına genişletir ve eksik alanları (hukuki dayanak detayı, yurt dışı aktarım dayanağı, saklama süresi) doldurmanız için size uyarı ve şablon sunar. KVKK → RGPD geçiş aracı →

6. İhlal Cezaları ve Yaptırım Tarifesi

RGPD'nin İki Kademeli Ceza Yapısı

Kademe 1 — Madde 83/4: 10M EUR'ya kadar VEYA cironun %2'sine kadar. Kapsam: işleme kayıtları, DPO/AB Temsilcisi atamama, ihlal bildirim eksikliği, küçük güvenlik açıkları.
Kademe 2 — Madde 83/5: 20M EUR'ya kadar VEYA cironun %4'üne kadar. Kapsam: temel ilke ihlali, rızasız işleme, hak ihlali, hukuksuz uluslararası aktarım, AEPD kararlarına uymama.

Ceza Belirleme Kriterleri (madde 83/2)

AEPD ceza belirlerken 11 kriteri tartışır: ihlalin niteliği/ağırlığı/süresi, etkilenen kişi sayısı ve zarar, kasıt veya ihmal, zarar azaltma önlemleri, önceki teknik/organizasyonel önlemler (m. 25+32), önceki ihlaller, AEPD ile işbirliği, etkilenen veri kategorileri, ihlalin nasıl öğrenildiği (kendi mi bildirdi?), önceki AEPD önlemlerinin uygulanması, sertifikasyon ve davranış kuralları.

Karşılaştırmalı Ceza Aralıkları

Cookie İhlali

30K – 100K €

Banner yok, Reddet eksik, varsayılan rıza, scroll kabul

Orta İhlal

100K – 1M €

Güvenlik açığı, geç bildirim, eksik DPO, kötü şifreleme

Büyük İhlal

1M – 20M €

Yüz binler etkilenmiş, hak ihlali, uluslararası aktarım

Avrupa Çapında Rekor Cezalar (2020-2026)

Meta Ireland — 1,2 milyar EUR (2023, DPC): ABD'ye hukuksuz aktarım
Amazon Lüksemburg — 746M EUR (2021, CNPD): reklam profillemesi
Google LLC — 90M EUR (2022, CNIL): cookie ihlali
Vodafone España — 6,2M EUR (2026, AEPD): güvenlik açığı
Klarna — 720K EUR (2022, IMY): bilgilendirme eksikliği

7. Veri İhlali Bildirimi (Brecha de Seguridad)

RGPD Madde 33 — AEPD'ye 72 Saatlik Bildirim

Veri ihlali (brecha de seguridad) öğrenildiğinde veri sorumlusu 72 saat içinde AEPD'ye bildirim yapmak zorundadır. AEPD pratiği "öğrenildiği an"ı "ilk makul şüphenin doğduğu an" olarak yorumlar; siber saldırı tespit edilir edilmez sayaç başlar.

Bildirim İçeriği — Minimum Alanlar

Bildirim şunları içermelidir: ihlalin niteliği (kötü amaçlı yazılım, içeriden sızıntı, kayıp dizüstü), etkilenen kişi yaklaşık sayısı, etkilenen veri kategorileri (ad-soyad, e-posta, telefon, ödeme, sağlık), olası sonuçlar (kimlik hırsızlığı, finansal kayıp), alınan/alınacak teknik ve organizasyonel önlemler, DPO veya iletişim noktası bilgileri.

Madde 34 — Veri Sahibine Doğrudan Bildirim

İhlal veri sahipleri için yüksek risk taşıyorsa (ödeme kartı, parola, sağlık verisi), RGPD madde 34 doğrudan veri sahibine bildirim zorunluluğu getirir. Bildirim açık ve sade dilde olmalı, etkilenen şeyi, alınması gereken aksiyonu (parola değiştir, kart iptal et) ve şirketin önlemlerini açıklamalıdır. Bireysel bildirim "orantısız çaba" gerektiriyorsa kamu duyurusu yeterli olabilir.

AEPD Sede Elektronikası — Pratik Adımlar

sede.aepd.gob.es sitesine elektronik kimlikle (Cl@ve, DNIe, sertifika) gir
"Notificación de Brechas de Seguridad" formunu seç
Şirket bilgileri, DPO/iletişim, ihlal detaylarını gir
Belgeleri yükle (event log, etki analizi, önlem raporu) ve onay numarasını sakla
Bilgi eksikse takip bildirimleri yapılabilir (madde 33/4)

🚨

72 saat KÜÇÜK bir penceredir. Önceden hazır bir "Incident Response Plan" şarttır. Zunapro, bir güvenlik olayı saptandığında 72 saatlik geri sayım otomatik başlatır, AEPD bildirim formunu önceden doldurur, etkilenen kullanıcı listesini hazırlar ve DPO'ya alarm gönderir. İhlal yönetimi modülü →

8. DPO ve AB Temsilcisi — İki Farklı Rol

DPO (Delegado de Protección de Datos) Ne Zaman Zorunlu?

RGPD madde 37, üç durumda DPO atama zorunluluğu getirir: kamu kuruluşu, düzenli ve sistematik büyük ölçekli izleme (davranışsal reklamcılık, lokasyon takibi, biyometrik) veya büyük ölçekli özel nitelikli veri (sağlık, dini inanç, biyometrik, etnik köken). LOPDGDD madde 34 ek olarak 16 sektör belirler: telekom, eğitim, sigorta, sağlık, kredi bilgi sistemleri, finansal hizmetler, oyun, elektrik dağıtım, gazetecilik, mesleki birlikler, sigorta brokerleri, özel güvenlik.

Tipik B2C e-ticaret satıcısı genelde DPO atamak zorunda değildir; ancak büyük ölçekli profilleme (dinamik fiyatlandırma + retargeting + AI öneri) yapılıyorsa tartışmalı bir bölgededir.

DPO Özellikleri ve Bağımsızlığı

DPO çalışan ya da dış danışman olabilir. AEPD-onaylı sertifikasyon şemaları (Esquema AEPD-DPD) referans noktasıdır. DPO bağımsızdır: doğrudan üst yönetime raporlar, talimat almaz, görevden alma sebepleri kısıtlıdır.

AB Temsilcisi (Representante UE) — RGPD madde 27

Türk satıcıların en sık atladığı yükümlülük. AB dışında kurulu (Türkiye'de) ancak AB'de yerleşik kişilere mal/hizmet sunan veya davranışlarını izleyen veri sorumlusu/işleyen, AB üye devletinde yazılı atama ile bir temsilci belirlemek zorundadır. İspanya'ya satış yapan Türk firması bu kapsamdadır.

DPO vs AB Temsilcisi — Net Fark

Özellik	DPO	AB Temsilcisi
Hukuki Dayanak	RGPD m. 37-39	RGPD m. 27
Zorunluluk	Belirli kriterlerde	AB dışı her sorumlu
Konum	Herhangi bir yerde	AB üye devletinde
Rol	Uyum danışmanı, izleyici	AEPD iletişim noktası
Bağımsızlık	Zorunlu (m. 38)	Zorunlu değil
Belge	İç görevlendirme	Yazılı atama mektubu
İlan	Privacy policy + AEPD	Privacy policy + footer

AB Temsilcisi Hizmeti Almak

EDPS Solutions, Prighter, EU-Vertretung, EDPO gibi sağlayıcılar yıllık 800-3.500 EUR sabit ücretle hizmet sunar: AEPD yazışmalarının alınması, atama mektubu, sicil tutma, basit uyum raporlaması. Zunapro İspanya paketinde EDPO kurumsal partnerlik üzerinden hazır sunulur.

9. Üçüncü Ülke Aktarımları ve Türkiye-AB Veri Akışı

RGPD V. Bölüm — Aktarım Kuralları

AB'den AB dışına veri aktarımı RGPD'nin en katı düzenlediği konudur. Türkiye AB Komisyonu adequacy kararı KAPSAMINDA DEĞİLDİR (Andorra, Arjantin, İsrail, Japonya, Güney Kore, İsviçre, İngiltere ise kapsamdadır). Bu, RGPD madde 46 alternatif mekanizmalarının kullanılması gerektiği anlamına gelir.

Mevcut Aktarım Mekanizmaları

Adequacy Decision (m. 45) — Türkiye için YOK
Standart Sözleşme Maddeleri (SCC) 2021/914 — Haziran 2021 yeni nesil; en sık kullanılan
Binding Corporate Rules (BCR) — Çok uluslu gruplar için, AEPD onayı gerekir
Onaylanmış davranış kuralları + taahhüt (m. 46/2-e)
Sertifikasyon mekanizması (m. 46/2-f) — ENS, ISO 27701
İstisnai durumlar (m. 49) — Sürekli kullanılamaz

SCC 2021/914 — Modüler Yapı

Yeni SCC'ler dört modülden oluşur: Modül 1 Sorumlu→Sorumlu (Türk anaşirket→İspanyol bayi), Modül 2 Sorumlu→İşleyen (Türk hosting), Modül 3 İşleyen→İşleyen (alt işleyici), Modül 4 İşleyen→Sorumlu (geri akış).

Transfer Impact Assessment (TIA) — Schrems II Sonrası

Temmuz 2020 Schrems II kararından sonra SCC imzalamak yetmez — her aktarım için TIA yapmanız ve Türkiye hukukunun yeterli koruma sağlayıp sağlamadığını değerlendirmeniz gerekir. Türkiye için TIA: KVKK 2016 ve yönergeleri, 5651 sayılı internet kanunu ve trafik saklama, BTK tedbir yetkileri, MASAK ve adli makamların erişim yetkileri, ve ilave teknik önlemler (uçtan uca şifreleme, pseudonymization, anahtar AB'de tutma).

Pratik Sonuç — Türk Satıcı Ne Yapmalı?

İspanya müşteri verilerini Türkiye'deki sunucularda işlerseniz: (1) SCC modül 1 imzalanması, (2) TIA hazırlanması ve dosyalanması, (3) ek teknik önlemler (ödeme verisi AB'de, ad-adres Türkiye'de), (4) privacy policy'de aktarımın belirtilmesi, (5) veri sahibine SCC kopyası sunma. Alternatif: kritik verileri AB'de (Frankfurt, Madrid, Dublin) AWS/Azure/GCP üzerinde tutmak — aktarım azalır, TIA basitleşir.

🌍 Türkiye-AB veri akışı için hazır SCC paketi

Zunapro, KVKK→RGPD geçişi için SCC 2021/914 modülleri için ön doldurulmuş şablonlar, Türkiye TIA örneği ve veri haritalama aracı sunar. Saatler yerine dakikalar içinde uyumlu olun.

SCC + TIA Paketini Aç

10. İspanya E-Ticaret Sitesi İçin Zorunlu Yasal Metinler

Dört Metin — Eksiği İhlal

İspanya'da e-ticaret için dört zorunlu yasal metin vardır. Eksik veya yetersiz metin RGPD ve LSSI-CE ihlali sayılır.

1. Aviso Legal — LSSI-CE madde 10

LSSI-CE (Ley 34/2002) madde 10 gereği her sitede kolay erişilebilir şekilde bulunması gerekenler: şirket ticari unvanı, CIF/NIF, kayıtlı adres, ticaret sicil numarası, iletişim e-posta ve telefon, profesyonel sicil (gerekiyorsa), düzenleyici otorite bilgileri (örn. sigorta için DGSFP), KDV numarası ve fiyatlandırma açıklamaları.

2. Política de Privacidad — RGPD madde 13-14

Gizlilik politikası şu bilgileri içermelidir: veri sorumlusu kimliği ve iletişim, DPO iletişim (varsa), AB Temsilcisi (AB dışı satıcı için), işleme amaçları, her amaç için hukuki dayanak (RGPD m. 6), veri alıcıları (kargo, ödeme sağlayıcılar, marketing), yurt dışı aktarım bilgileri (SCC referansı), saklama süreleri, veri sahibi hakları, AEPD'ye şikayet hakkı, otomatik karar verme/profilleme ve veri kaynağı.

3. Política de Cookies

Cookie politikası ayrı sayfada banner'dan erişilebilir olmalı ve şunları sunmalı: çerez nedir, kullanılan tüm kategoriler (teknik, istatistik, pazarlama), her çerez için ad/sağlayıcı/amaç/süre/üçüncü taraf paylaşımı, tarayıcı yönetimi, CMP yeniden açma linki ve güncelleme tarihi.

4. Condiciones Generales de Contratación (CGC)

Real Decreto Legislativo 1/2007 (Tüketici Yasası) ve LSSI-CE çerçevesinde: sözleşme tarafları, satın alma süreci, fiyat/KDV/kargo, ödeme ve fatura, teslimat süreleri, 14 günlük cayma hakkı (m. 102), yasal garanti (3 yıl, 1 Ocak 2022'den itibaren), iade-değişim, Online Dispute Resolution (ODR) linki, uygulanacak hukuk ve yetkili mahkeme.

📜

Şablon kullanın ama özelleştirin. Hazır jenerik metinler RGPD'nin "spesifik olma" şartını ihlal eder. Zunapro, sizin pazaryeri konfigürasyonunuza, kullandığınız analytics/pixel'lere, ödeme sağlayıcılarınıza ve veri akışlarınıza göre kişiselleştirilmiş dört metin paketini İspanyolca, Türkçe ve İngilizce olarak üretir ve aylık AEPD karar/kılavuz güncellemelerini takip ederek otomatik revize eder. Yasal metin üretici →

Hızlı Karşılaştırma Tablosu — Tüm Konular Tek Bakışta

Aşağıdaki tablo bu rehberde işlenen 10 konunun pratik özetidir; uyum projenizin kontrol listesi olarak kullanın.

Konu	Düzenleme	Süre / Eşik	Tipik Ceza Aralığı
RGPD Temel İlkeler	RGPD m. 5-6	Her işleme	Çok ağır: 20M € / %4
LOPDGDD Dijital Haklar	LOPDGDD m. 79-97	14 yaş, 1 ay yanıt	Ağır: 40-300K €
AEPD Denetim	RGPD m. 58 + LOPDGDD m. 47-71	Şikayet sonrası	Çeşitli kademeler
Cookie Onayı	AEPD 2023 + LSSI-CE m. 22	Banner öncesi rıza, 24 ay yenileme	30-300K €
KVKK Karşılaştırması	KVKK 6698 + RGPD	Türk satıcı için ek	RGPD önceliklidir
İhlal Bildirimi	RGPD m. 33-34	72 saat AEPD'ye	50K-1M € (gecikmede)
DPO Atama	RGPD m. 37 + LOPDGDD m. 34	16 sektör + büyük ölçek	10M € / %2
AB Temsilcisi	RGPD m. 27	Türk satıcı için ZORUNLU	10M € / %2
Üçüncü Ülke Aktarım	RGPD m. 44-49	SCC + TIA	20M € / %4
Zorunlu Metinler (4)	LSSI-CE + RGPD + Tüketici	Sürekli	10K-150K €

Tabloyu nasıl okumalı: Türk satıcı için en kritik üç zorunluluk: AB Temsilcisi atama, AEPD-uyumlu cookie banner ve dört yasal metnin İspanyolca yayımlanması. Diğerleri (DPO, BCR, sektörel kayıtlar) faaliyet hacmine göre kademeli gündeme gelir. KVKK uyumu hiçbir alanda RGPD'nin yerine geçmez — bunlar tamamlayıcı sistemlerdir.

Uygulama Rota Haritası — Türk Satıcı için 7 Adım

1. Veri Haritası Çıkarın (Data Mapping)

Hangi veriler toplanıyor, nereye gidiyor, kim erişiyor, ne kadar saklanıyor? Tipik e-ticaret akışı: müşteri kaydı → sipariş → kargo → ödeme → fatura → CRM → newsletter → analytics. Her birinin hukuki dayanağını, alıcılarını ve saklama süresini RGPD madde 30 işleme kayıt belgesine yazın.

2. AB Temsilcisi Atayın

EDPO, Prighter veya benzer sağlayıcıyla yıllık sözleşme yapın. Atama mektubu ve irtibat bilgilerini alın; gizlilik politikası ve footer'a Temsilci adı/adres/iletişim ekleyin.

3. Dört Yasal Metni Yayımlayın

Aviso Legal, Política de Privacidad, Política de Cookies ve CGC metinlerini İspanyolca yazın (Türkçe/İngilizce alternatif eklenebilir). Footer'dan her sayfada erişilebilir olmalı; politika güncellemelerinde veri sahiplerini bilgilendirin.

CMP (Cookiebot, OneTrust, Didomi, Iubenda) veya Zunapro consent manager: "Reddet" butonu "Kabul Et" kadar görünür, varsayılan kategoriler "off", banner öncesi analytics yüklenmez, 24 ay sonra rıza yenilenir, footer'da kalıcı "Cookie ayarları" linki.

5. DSAR İş Akışı Kurun

RGPD 12-22 8 hak ve 1 ay yanıt süresi getirir. "Veri Sahibi Talep Formu" yayımlayın, tek panelden takip edin, SLA'ları izleyin. Zunapro DSAR modülü her talebi audit log ile izler.

6. İhlal Müdahale Planı

72 saat içinde aksiyon alabilmek için: olay tespit (SIEM, log monitoring), kim çağrılır listesi (DPO, hukuk, IT, yönetim), AEPD bildirim ve kullanıcı bildirim şablonları, basın açıklaması taslağı önceden hazır olmalı. Yılda 2 tatbikat.

7. Zunapro Compliance Hub ile Tek Panel

Zunapro'ya kaydolun ve İspanya modülünü açın
Veri haritası sihirbazını çalıştırın — Zunapro sizin Shopify/WooCommerce/PrestaShop/custom katalogunuzu okur, otomatik veri akış grafiği üretir
Yasal metin üreticisini açın — Aviso Legal, Política de Privacidad, Política de Cookies, CGC otomatik kişiselleştirilir
Cookie consent manager'ı entegre edin — Tek satır JS
AB Temsilcisi hizmetini etkinleştirin — EDPO partner anlaşması
DSAR ve ihlal modüllerini test edin — Tatbikat aracılığıyla
Canlıya alın — 1.000-SKU katalog için ortalama 45 dakika

İspanya RGPD+LOPDGDD uyumunu tek panelde merkezileştirin

AEPD-uyumlu cookie banner + 4 yasal metin + AB Temsilcisi + DSAR takibi + ihlal yönetimi + SCC paketleri — hepsi Zunapro İspanya panelinde. Türk satıcı için özel KVKK→RGPD geçiş aracı dahil.

İspanya Compliance Hub'a Geç →

İspanya Veri Koruma SSS 2026

RGPD ile LOPDGDD arasındaki fark nedir?

RGPD (GDPR), tüm AB üye devletlerinde doğrudan uygulanan AB Tüzüğü'dür (2016/679). LOPDGDD ise İspanya'nın bu tüzüğü ulusal hukuka uyarlayan 3/2018 sayılı Organik Kanunu'dur (5 Aralık 2018). LOPDGDD, RGPD'nin sessiz kaldığı konuları düzenler: çocukların rızası (14 yaş), dijital haklar, AEPD yetkileri, ölen kişilerin verileri ve sektörel istisnalar. Her iki düzenlemeye aynı anda uymak zorundasınız.

KVKK ile RGPD aynı mı?

Hayır, benzer ama önemli farklar var. KVKK (6698 sayılı, 2016) RGPD'den önce çıktı ve birçok temel kavramı paylaşır. Ancak RGPD daha katıdır: ihlal bildirimi 72 saat (KVKK "en kısa sürede"), DPO zorunluluğu daha geniş, cezalar çok yüksek (20M EUR / %4 vs KVKK 1K-1M TL), veri taşınabilirliği KVKK'da yok, çocuk rızası RGPD'de 16 (LOPDGDD 14) KVKK'da net değil. KVKK uyumu RGPD'nin yerine GEÇMEZ.

AEPD cezaları 2026'da ne kadar?

AEPD, RGPD madde 83 çerçevesinde iki kademeli ceza uygular: hafif ihlaller 10M EUR veya cironun %2'sine, ağır ihlaller 20M EUR veya cironun %4'üne kadar. 2026'te AEPD, Vodafone'a 6,2M EUR, Iberdrola'ya 3,3M EUR ve birçok e-ticaret sitesine cookie ihlali nedeniyle 30K-300K EUR cezalar uyguladı.

İspanya'ya satış yapan Türk satıcı için DPO atamak zorunlu mu?

Üç durumda zorunludur: (1) büyük ölçekli düzenli sistematik izleme, (2) özel nitelikli veri büyük ölçekli işleme, (3) kamu kuruluşu. Tipik B2C e-ticaret çoğunlukla takılmaz. LOPDGDD madde 34 ayrıca İspanya için 16 sektör belirler: bankacılık, sigorta, sağlık, telekom, kredi bilgi. AB dışı Türk satıcılar ayrıca RGPD madde 27 AB Temsilcisi atamak zorundadır — bu DPO ile aynı şey DEĞİLDİR.

Cookie onayı (çerez rızası) İspanya'da nasıl olmalı?

AEPD Temmuz 2023 kılavuzu: (1) zorunlu olmayan tüm çerezler için ÖNCEDEN açık rıza, (2) "Kabul Et" kadar görünür "Reddet" butonu, (3) kayan/scroll ile rıza yasak, (4) cookie wall yasak (bedelli alternatif yoksa), (5) varsayılan kategoriler kapalı, (6) yenileme azami 24 ay. İhlal cezaları 30K-300K EUR; AEPD 2024-2026'te 200+ site cezalandırdı.

Veri ihlali olduğunda ne yapmalıyım?

RGPD madde 33: ihlali öğrenmenizden itibaren 72 saat içinde AEPD'ye bildirim (sede.aepd.gob.es "Notificación de Brechas de Seguridad" formu). Bildirim: ihlalin niteliği, etkilenen kişi sayısı, olası sonuçlar, önlemler. Yüksek risk varsa madde 34 ile kişileri DOĞRUDAN bilgilendirin. Geç bildirim başlı başına ihlaldir — AEPD 2026'te sadece bu nedenle 50K-200K EUR cezalar uyguladı.

Pazaryerlerinde (Amazon.es, PcComponentes, El Corte Inglés) veri sorumluluğu kimde?

Çoğunlukla "müşterek veri sorumlusu" (corresponsables) konumundasınız — sipariş için temel veri (ad, adres, telefon) pazaryeri tarafından toplanıp size iletilir. Ancak satıcı bu verileri doğrudan pazarlama, CRM veya sipariş sonrası iletişim için kullandığı andan itibaren bağımsız sorumlu haline gelir; kendi Gizlilik Politikası, rıza mekanizması ve VAT defteri tutmak zorundadır. AEPD 2026 "Marketplaces y RGPD" kılavuzu bunu netleştirmiştir.

Veri sahibi hakları (acceso, supresión, portabilidad) nasıl yanıtlanır?

RGPD 12-22 8 hak tanır: erişim, düzeltme, silme/unutulma, kısıtlama, taşınabilirlik, itiraz, otomatik karar dışı kalma, bilgilendirilme. LOPDGDD 79-97 dijital haklar ekler. Talep alındığında 1 AY içinde yanıt zorunludur (karmaşıkta 2 ay uzatma yazılı gerekçeyle). Yanıtsız bırakmak başlı başına ihlaldir. Talepleri kanıtlanabilir kanalda almak, kimliği doğrulamak ve cevabı belgelemek esastır.

Stripe, PayPal, Redsys gibi ödeme sağlayıcıları kullanmak veri aktarımı sayılır mı?

Evet ve hayır. Stripe (İrlanda), PayPal (Lüksemburg), Redsys (İspanya) AB içi olduğu için RGPD V. Bölüm doğrudan tetiklenmez — ancak bunlar veri işleyen (encargado) konumundadır, dolayısıyla madde 28 gereği DPA imzalamak zorundasınız. Stripe ve PayPal verileri ABD'ye replikasyon yapabilir; EU-US Data Privacy Framework (Temmuz 2023) ile aktarım meşru, ancak privacy policy'de açıkça belirtilmelidir. PCI-DSS uyumu RGPD'nin yerine GEÇMEZ.

İspanya'da geçerli bir Aviso Legal ve Política de Privacidad nasıl olmalı?

İspanya'da DÖRT zorunlu yasal metin vardır: (1) Aviso Legal — LSSI-CE m. 10 gereği şirket adı, CIF/NIF, adres, sicil numarası, iletişim; (2) Política de Privacidad — RGPD m. 13-14 gereği veri sorumlusu, DPO, amaçlar, dayanaklar, saklama, haklar ve AEPD şikayet hakkı; (3) Política de Cookies — AEPD 2023 kılavuzuna uygun; (4) CGC — tüketici hakları, cayma, garanti, uyuşmazlık. Footer'da link şarttır.

Newsletter ve e-posta pazarlama için ne tür rıza gerekir?

İspanya'da çift düzenleme: RGPD madde 6/1-a + LSSI-CE madde 21. Soft opt-in: mevcut müşteriye benzer ürün için kolay çıkış (unsubscribe + "darse de baja") sunulması koşuluyla ek rıza olmadan pazarlama gönderilebilir. Bunun dışında ÖNCEDEN OPT-IN şart. Önceden işaretli checkbox YASAK, double opt-in önerilir. 2026'te AEPD soft opt-in koşullarını ihlal eden firmalara 20K-200K EUR cezalar uyguladı.

AB Temsilcisi (Representante UE - RGPD m. 27) Türk satıcı için zorunlu mu?

Evet, çoğu durumda. RGPD madde 3/2 gereği AB dışında kurulu ancak AB'deki kişilere mal/hizmet sunan veya davranışlarını izleyen bir sorumlu/işleyen, AB üye devletinde yazılı atama ile bir TEMSİLCİ belirlemek zorundadır. İspanya'ya satış yapan Türk firması bu kapsamdadır. İstisna sadece arızi (occasional) işleme içindir — düzenli e-ticaret BU İSTİSNAYA GİRMEZ. Atamamak madde 83/4 kapsamında 10M EUR/%2 cezası doğurur.

Zunapro RGPD/LOPDGDD uyumunda nasıl yardımcı olur?

Zunapro Compliance Hub sunar: (1) İspanyolca/Türkçe/İngilizce 4-belge şablonu, (2) AEPD 2023 + TCF v2.2 uyumlu cookie consent manager, (3) RGPD madde 30 işleme sicili otomatik, (4) veri sahibi taleplerini tek panelden takip, (5) 72 saatlik AEPD ihlal bildirim modülü, (6) Stripe/Redsys/PayPal hazır DPA şablonları, (7) AB Temsilcisi atama hizmeti, (8) çift opt-in newsletter sistemi. Pazaryeri sipariş verileri ve rızalar tek master ledger'da birleşir.

İspanya'da RGPD+LOPDGDD uyumlu satışa 45 dakikada başlayın

AEPD-uyumlu cookie banner · 4 yasal metin (TR/ES/EN) · AB Temsilcisi · DSAR ve ihlal yönetimi · SCC paketleri · KVKK→RGPD geçiş asistanı. Tek panel, demo yok, uzun sözleşme yok.

🇪🇸 İspanya'da Compliance Hub'ı Aç →

Bu konuda yardım alın

İlgili hizmetimiz: E-Ticaret

E-Ticaret →Ücretsiz görüşme

← Blog'a Dön

İspanya E-Ticaret için RGPD ve LOPDGDD 2026: AEPD Uyumu, Cookie Onayı ve Veri Koruma Rehberi