İsviçre DSG/nFADP Özet — Hızlı Okuma
İsviçre, Avrupa'da kişi başı en yüksek online harcamaya sahip ülke — 2026'da 14,5 milyar CHF e-ticaret hacmi ve 8,9 milyon online alışverişçi. 1 Eylül 2023'te yürürlüğe giren yeni Veri Koruma Yasası (nFADP / revDSG), GDPR ile büyük ölçüde uyumlu ama üç kritik farkı var: (1) cezalar şirkete değil sorumlu gerçek kişiye (yönetici, DPO, IT müdürü) 250.000 CHF'ye kadar; (2) profilleme iki kategoriye ayrılır ve yüksek riskli profilleme açık rıza ister; (3) Türkiye gibi yeterli koruma listesinde olmayan ülkelere veri aktarımı Standart Sözleşme Maddeleri (Standardvertragsklauseln) ister. Türk satıcılar KVKK ile paralel uyum stratejisi izlemeli — bu rehber 10 başlıkta yol haritasını veriyor.
2026 İsviçre Veri Koruma Manzarası
İsviçre'nin hukuki manzarası karmaşıktır: federal DSG (Bundesgesetz über den Datenschutz), 26 kantonal düzenleme, sektörel mevzuat (FINMA, swissmedic) ve AB ile karşılıklı yeterlilik. Aşağıdaki kartlar 6 temel konuyu özetler.
DSG / nFADP — İsviçre Federal Yasası
1 Eylül 2023'ten beri yürürlükte · 7. revizyon · GDPR uyumlu ancak daha sıkı kişisel sorumluluk · 6 dil yükümlülüğü
KVKK — Kişisel Verilerin Korunması Kanunu
6698 sayılı, 7 Nisan 2016'da yürürlükte · Mart 2024 değişiklikleriyle GDPR'ye yaklaştı · VERBİS sicili zorunlu
GDPR — AB Genel Veri Koruma Tüzüğü
25 Mayıs 2018'den beri yürürlükte · İsviçre AB ile karşılıklı yeterlilik (Adequacy) sahibi · DSG ile %85+ örtüşme
FDPIC (EDÖB) — Federal Denetim Otoritesi
Bern merkezli · Hem federal organlara hem özel sektöre denetim · Soruşturma açma + tedbir kararı yetkisi
CMP — Çerez Yönetim Platformu
DSG açık opt-in zorunlu kılmaz ancak şeffaflık şart · AB ziyaretçiler için GDPR paralel akış · TCF v2.2 standardı
DPO + İsviçre Temsilcisi
DPO (Datenschutzberater) DSG'de tavsiye, GDPR'de zorunlu · İsviçre temsilcisi Madde 14 uyarınca yurt dışı şirketler için şart
İsviçre'de satışa hazır mısınız?
Zunapro DSG/nFADP uyum modülü, KVKK + DSG paralel kontrol panosu, FDPIC veri ihlali bildirim akışı, otomatik Verzeichnis ve İsviçre temsilcisi rehberi — hepsi tek panelde. Türk satıcılar için özel olarak tasarlandı.
1. İsviçre DSG (nFADP) Nedir? 2026 Görünüm
Yasanın Tarihsel Bağlamı
Bundesgesetz über den Datenschutz (DSG) ilk olarak 1992'de kabul edildi. 25 Eylül 2020'de Parlamento tam revizyon (Totalrevision) kararı aldı; yeni metin 1 Eylül 2023'te yürürlüğe girdi. Almancada revDSG veya nDSG, Fransızcada nLPD, İngilizcede nFADP (new Federal Act on Data Protection) olarak anılır.
Revizyonun motivasyonu AB karşılıklı yeterlilik (Adequacy) kararının sürdürülmesi — bu karar 15 Ocak 2024'te yenilendi. Türk satıcılar için sonuç: Almanya'ya GDPR uyumlu satış İsviçre uyumunu büyük ölçüde, ancak %100 değil, karşılar.
DSG'nin Üç Ayırt Edici Özelliği
nFADP'nin GDPR ve KVKK'dan ayrıldığı üç temel nokta vardır:
- Kişisel cezai sorumluluk — Yaptırım şirkete değil, ihlali kasten yapan/yaptıran gerçek kişiye uygulanır. Bir yönetici asgari yükümlülüklere uymadığı için 250.000 CHF kişisel ödeme yapar.
- Profilleme iki seviyeli — 'Normal profilleme' ve 'yüksek riskli profilleme' ayrımı. İkincisi açık rıza ister.
- Hızlandırılmış bilgilendirme — Veri toplandığı anda kapsamlı bilgilendirme (en az 8 bilgi kategorisi) zorunlu. Sonradan tamamlanması mümkün değil.
DSG Kimi Bağlar?
DSG Madde 3 'ülkesel uygulama' kuralını koyar. Aşağıdaki durumlardan biri varsa Türkiye'de kurulu satıcı olsanız bile DSG'ye tabisiniz:
- İsviçre'de fiziksel kuruluşunuz (şube, ofis, depo) var
- İsviçre'deki kişilerin verilerini işliyor ve onlara ürün/hizmet sunuyorsunuz (CHF fiyat, .ch alan adı, Almanca/Fransızca pazarlama, İsviçre adresine kargo bunun göstergeleridir)
- İsviçre'deki kişilerin davranışını izliyorsunuz (web sitesi analitik, fingerprinting, retargeting)
Pratik sonuç: shop.example.com.tr üzerinden CHF fiyatla Zürichli müşteriye satış yapan Türk satıcı DSG kapsamındadır — ve bu durum 2026 itibarıyla FDPIC tarafından aktif olarak takip edilmektedir.
💡 DSG sözlüğü tek bakışta
Almanca-Türkçe DSG/nFADP terim sözlüğü, Madde-bazlı özet ve KVKK paraleli tek dökümanda — Zunapro panelinde otomatik üretilir.
2. KVKK vs İsviçre DSG/nFADP — Türk Satıcı Karşılaştırması
Yan Yana Bakış
KVKK ve DSG, kavram düzeyinde benzer ama operasyonel düzeyde belirgin biçimde farklı iki rejim. Aşağıdaki tablo, Türk e-ticaret satıcısının günlük işletmesinde karşılaşacağı 8 alanda iki yasanın karşılaştırmasını gösterir:
| Konu | KVKK (Türkiye) | DSG / nFADP (İsviçre) |
|---|---|---|
| Yürürlük | 7 Nisan 2016 + Mart 2024 değişiklikleri | 1 Eylül 2023 (revize) |
| Denetim Otoritesi | KVKK Kurumu (Ankara) | FDPIC / EDÖB (Bern) |
| Sicil Yükümlülüğü | VERBİS — merkezi elektronik bildirim | Verzeichnis der Bearbeitungstätigkeiten — iç kayıt |
| İdari Para Cezası | Şirkete: 1.000.000+ TL'ye kadar | Sorumlu gerçek kişiye: 250.000 CHF'ye kadar |
| İhlal Bildirimi | 72 saat (kesin süre) | 'Mümkün olan en kısa sürede' (pratikte 72 saat) |
| Açık Rıza Eşiği | Özel nitelikli + yurt dışı aktarım | Hassas veri + yüksek riskli profilleme |
| Profilleme Ayrımı | Tek kategori | İki kategori (normal / yüksek riskli) |
| Yurt Dışı Aktarım | Kurul kararı + taahhütname / Bağlayıcı Şirket Kuralları | Yeterli koruma listesi / SCC / BCR / açık rıza |
Kritik Operasyonel Farklar
1. Cezanın muhatabı. KVKK Kurumu cezayı şirkete keser ve şirket sigortayla kapatır. DSG cezası ise sorumlu yöneticinin cebinden çıkar. Türk satıcının İsviçre'ye atadığı temsilci veya şube müdürü, ihlali bilerek yapmışsa şahsen ödeme yapar.
2. Sicilin niteliği. VERBİS, proaktif merkezi bildirim modelidir. DSG'nin Verzeichnis'i ise şirket içi dahili kayıttır, denetimde sunulur. Verzeichnis için her veri işleme aktivitesini saniye bazlı kayıt altına alan bir sistem gerekir.
3. Bilgilendirme zamanlaması. DSG, veri toplama anında en az 8 bilgi kategorisi (veri sorumlusu kimliği, işleme amaçları, alıcı kategorileri, aktarım yapılan ülkeler vb.) eksiksiz sunulmasını ister; sonradan ek yazışmayla tamamlanması geçerli kabul edilmez.
Türk satıcı için stratejik tavsiye: KVKK aydınlatma metninizi temel alıp DSG için 'genişletilmiş aydınlatma metni' (Erweiterte Datenschutzerklärung) hazırlayın. Zunapro, KVKK metnini Almanca/Fransızca/İtalyanca/İngilizce'ye otomatik çevirip DSG eksiklerini dolduran şablon üretir. DSG aydınlatma şablonunu görün →
📊 KVKK + DSG paralel uyum paneli
İki rejim, tek pano. VERBİS güncellemesi yaptığınızda Verzeichnis otomatik senkronize olur; KVKK ihlal bildirimi açtığınızda FDPIC bildirim taslağı paralel düşer.
3. Türk E-Ticaret Satıcısı İçin DSG Kapsamı
Hangi Veriler 'Kişisel Veri' Sayılır?
DSG Madde 5(a), kişisel veriyi geniş tanımlar: 'kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler'. E-ticaret bağlamında DSG kapsamındaki veriler:
- Klasik müşteri verisi — ad, e-posta, telefon, adres, doğum tarihi
- Sipariş ve ödeme — sipariş kalemleri, ödeme yöntemi, fatura adresi, kart son 4 hanesi
- IP adresi + tarayıcı parmak izi — DSG'de açıkça 'kişisel veri' olarak kabul edilir (KVKK'da da aynı)
- Çerez ID'leri — sadece zorunlu olmayanlar (analytics, marketing, retargeting)
- Müşteri segmenti — 'VIP', 'risk müşterisi', 'iade sıklığı yüksek' gibi etiketler profillemedir
- Müşteri hizmetleri kayıtları — ses kaydı, e-posta yazışmaları, chat transkriptleri
- İade ve şikayet kayıtları — hatta foto/video deliller
Hassas Veri (Besonders schützenswerte Personendaten)
DSG, KVKK'nın 'özel nitelikli kişisel veri' kavramına benzer şekilde 'özellikle korunmaya değer veri' kategorisi tanımlar. Bunlar:
- Dini, felsefi, siyasi veya sendika görüşleri
- Sağlık, mahremiyet, ırksal veya etnik köken bilgisi
- Sosyal yardım önlemlerine ilişkin veriler
- İdari/cezai kovuşturma ve yaptırım verileri
- Genetik veriler (DSG'nin yenisi)
- Biyometrik veriler — kişiyi tanımlamaya elveren (yüz tanıma, parmak izi)
E-ticaret pratiğinde hassas veriyle en çok karşılaşılan durumlar: (1) sağlık ürünleri satıcılarının sipariş kayıtları, (2) helal/kosher gıda satışında dini tercih çıkarımı, (3) yaş kontrolü için kimlik fotokopisi, (4) iade için fatura üzerinde sağlık beyanı.
Kapsam Dışı Kalanlar
DSG kapsam dışı: tüzel kişi verileri (2023 revizyonuyla çıkarıldı, GDPR ile uyum), anonim veri, kişisel/aile kullanımı. Pratik: B2B müşteri verisi (şirket adı, vergi no, iş e-postası) DSG dışıdır — ancak iletişim kişisinin kişisel verisi (ad, telefon, kişisel e-posta) kapsamdadır.
Veri İşleme Sorumlusu vs İşleyen
DSG, GDPR gibi 'sorumlu' (Verantwortlicher) ve 'işleyen' (Auftragsbearbeiter) ayrımı yapar:
- Satıcı (siz) — Veri Sorumlusu (Verantwortlicher)
- Pazaryeri (Galaxus, Brack, Microspot) — Genelde 'ortak sorumlu' (Mitverantwortlicher)
- Stripe, PayPal, TWINT — İşleyen; kendi ilişkilerinde sorumlu
- Mailchimp, SendGrid, Klaviyo — İşleyiciniz; DPA zorunlu
- Google Analytics, Meta Pixel — 'ortak sorumlu' (Joint Controller); paylaşım şeffaf belgelenmeli
📦 Veri envanteriniz tek panelde
Hangi servisin Verantwortlicher, hangisinin Auftragsbearbeiter olduğunu Zunapro otomatik etiketler ve KVKK 'veri sorumlusu / veri işleyen' ayrımıyla paralel kayıt tutar.
4. Veri Sahibi Hakları (DSG vs KVKK)
DSG'nin Tanıdığı Haklar
DSG veri sahibine 6 hak tanır: Bilgi alma (Auskunftsrecht — Md.25) 30 gün içinde ücretsiz yanıt; Düzeltme (Berichtigung — Md.32); Silme (Löschung — Md.32) KVKK'dan geniş kapsam; İşlemeyi sınırlandırma; Veri taşınabilirliği (Datenportabilität — Md.28) makine-okunur format; İtiraz profilleme ve doğrudan pazarlama için.
KVKK ile Karşılaştırma
KVKK Madde 11, veri sahibine 7 hak tanır: bilgi alma, başvurabileceği makamı bilme, işleme amacını ve uygun şekilde kullanılıp kullanılmadığını öğrenme, yurt içi/dışı aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzelttirme, silmesini/yok edilmesini isteme, zarar halinde tazminat isteme. DSG'den farklı iki nokta:
- Veri taşınabilirliği KVKK'da açıkça düzenlenmemiştir — DSG'de açıkça vardır (Madde 28).
- Tazminat KVKK Madde 11(g)'de bir hak olarak sayılır — DSG'de tazminat genel hukuk yolu olarak ayrı düzenlenir.
Talep Süreleri ve Operasyonel Yükümlülük
DSG'de yanıt süresi 30 gün, gerekçeli uzatma ile en fazla 3 aya kadar. KVKK'da yanıt süresi 30 gün, talep ücretsizdir. Pratik fark:
- DSG yanıtı resmi dil olarak Almanca/Fransızca/İtalyanca'dan biri olmalıdır (talep İngilizce gelse bile).
- KVKK yanıtı Türkçe verilmelidir.
- Veri sahibi 30 günlük sürede yanıt almazsa hem KVKK Kurumu'na hem FDPIC'e şikayet edebilir.
Yanıt Hazırlığı — 7 Adımlı Akış
- Kimlik doğrulama — Talep gerçekten veri sahibinden mi?
- Veri envanteri taraması — CRM, ERP, pazarlama, müşteri hizmetleri
- İstisna kontrolü — Yasal saklama yükümlülükleri (vergi, e-fatura)
- Üçüncü taraf verisi maskeleme
- Yanıt taslağı — Resmi dil + DSG transparency listesi
- Onay ve gönderim — Yönetici imzası, iletilebilir kanal
- Kayıt — Verzeichnis + KVKK Sicili'ne özet
30 gün net mi? Hayır — 'işlem günü' değil 'takvim günü'. Tatile çıkıyorsanız vekil tayin etmeyi unutmayın. Zunapro otomatik SLA sayacı ile 21. günde uyarı, 27. günde sıcak alarm verir. SLA panosunu görün →
🔍 Veri sahibi talep yönetimi
Auskunftsrecht'ten Löschung'a 6 talep tipinin tek panelden işlenmesi, otomatik veri envanteri taraması, Türkçe/Almanca paralel yanıt taslağı — Zunapro Compliance Hub.
5. Veri İhlali Bildirimi — FDPIC ve KVKK Karşılaştırması
İhlal Nedir?
DSG Madde 24 tanımı: kişisel verilerin kazara veya kasten kaybı, silinmesi, yok edilmesi, değiştirilmesi veya yetkisiz açıklanması/erişilmesi. KVKK Madde 12(5) tanımı neredeyse aynıdır. Pratik örnekler: yetkisiz erişim (hacker, eski çalışan), veri kaybı (yangın, fiziksel kayıp), yanlış alıcıya e-posta (CC/TO karışıklığı), şifrelenmemiş S3 bucket, çalınmış dizüstü/telefon, işyerinde ödeme bilgisi fotoğraflanması.
Bildirim Eşiği — Hangi İhlal Bildirilir?
Bu iki rejim arasındaki en kritik farktır:
- KVKK — 'en kısa sürede' (Kurum yorumuyla 72 saat içinde) Kurul'a bildirim zorunludur. Tüm ihlaller bildirilmelidir; risk seviyesi ayrımı yoktur.
- DSG — sadece 'veri sahibinin kişiliğine veya temel haklarına yüksek risk' oluşturan ihlaller bildirilir. Düşük riskli ihlal (örn. tek müşterinin halka açık adresinin sızması) bildirilmez ama iç kayıt tutulur.
DSG'nin 'yüksek risk' eşiği gri bir alan. FDPIC, 2024'te 'yüksek risk' yorumunu netleştiren rehber yayımladı; özetle: hassas veri ihlali, finansal veri ihlali, biyometrik veri ihlali, 100'den fazla kişiyi etkileyen ihlal ve sahteciliğe açık veri (kimlik no, adres+doğum tarihi) ihlali her zaman 'yüksek risk' kabul edilir.
Süre — 72 Saat Gerçekten Şart mı?
DSG 'mümkün olan en kısa sürede' (möglichst rasch) der; FDPIC rehberi GDPR ile uyumlu 72 saat referans alır. Pratik akış: 0-24 saat ihlal tespiti + hukuk/IT alarmı; 24-48 saat kapsam ve 'yüksek risk' değerlendirmesi; 48-72 saat FDPIC + KVKK Kurul paralel bildirim; 72 saat sonrası etkilenen kişilere bilgilendirme.
Bildirim İçeriği — 8 Zorunlu Alan
FDPIC bildirim formu (Almanca/Fransızca/İtalyanca) zorunlu alanlar: (1) ihlal niteliği ve tarihi, (2) etkilenen veri kategorileri ve kişi sayısı, (3) alınan tedbirler, (4) olası sonuçlar, (5) etkilenen kişilere bilgilendirme planı, (6) iletişim noktası (DPO/yönetici), (7) üçüncü ülke unsurları (Türkiye dahil), (8) diğer otoritelere bildirim durumu (KVKK Kurumu vb.).
İhlal sırasında en sık hata: 'Bildirim yapayım da kapansın' refleksi. FDPIC, gereksiz bildirimi ciddiyetsizlik göstergesi sayar; gereksizse iç kayıt yeterlidir. Önce 'yüksek risk mi?' değerlendir, sonra karar ver. Zunapro otomatik risk skorlama modülü 5 kritere dayalı puan verir. İhlal akışı şablonu →
⏱️ FDPIC + KVKK paralel 72 saat sayacı
İhlali Zunapro panelinde açtığınız anda iki sayaç başlar: KVKK Kurulu için Türkçe, FDPIC için Almanca taslak otomatik üretilir; hukuk ekibinin onayını bekler.
6. Sınır Ötesi Veri Aktarımı (Türkiye ↔ İsviçre)
Aktarım Yönü Hangi Yasayı Tetikler?
Türkiye → İsviçre aktarımı KVKK Madde 9 kapsamındadır. İsviçre → Türkiye aktarımı DSG Madde 16 kapsamındadır. Çoğu Türk satıcı her iki yönde aktarım yapar — paralel uyum şarttır.
Türkiye'nin Yeterlilik Statüsü
İsviçre Federal Konseyi, AB'nin 'adequacy' listesini esas alır ve kendisi de güncellenmiş bir liste tutar. Türkiye, ne AB ne İsviçre tarafından 'yeterli koruma sağlayan ülke' olarak kabul edilmektedir. Bunun pratik anlamı:
- İsviçre → Türkiye aktarımı için ek tedbir zorunludur: Standart Sözleşme Maddeleri (Standardvertragsklauseln, FDPIC onaylı versiyon), Bağlayıcı Şirket Kuralları (Binding Corporate Rules) veya açık ve bilgilendirilmiş veri sahibi rızası.
- FDPIC, 2024'te kendi onaylı Standart Sözleşme Maddeleri (SCC) şablonunu yayımladı; AB SCC'leri (EU SCC 2021) de DSG kapsamında geçerli kabul edilir ek protokol ile.
- Sözleşme imzalamak yeterli değildir; ayrıca Veri Aktarım Etki Değerlendirmesi (Transfer Impact Assessment — TIA) belgelenmelidir.
TIA — Veri Aktarım Etki Değerlendirmesi
TIA, 'Schrems II' kararından sonra Avrupa veri koruma rejimine giren araçtır. İsviçre de DSG bağlamında benimsemiştir. Değerlendirilecek 6 unsur:
- Hedef ülkede (Türkiye) veri koruma seviyesi — KVKK uyumu, Kurum'un yaptırım gücü
- Hedef ülkenin istihbarat/kolluk erişim yetkileri — 5651, MİT Kanunu, BTK
- Ek teknik tedbirler — uçtan uca şifreleme, anahtar İsviçre'de
- İdari tedbirler — sınırlı erişim, log, denetim
- Sözleşmesel tedbirler — alıcının taahhütleri, denetim hakkı
- Veri kategorisinin hassasiyeti
TIA, basit form-doldurma değil; ciddi hukuki ve teknik analizdir. Zunapro, TIA şablonu ve doldurulmuş örnekleri sunar.
Pratik Kombinasyonlar
| Senaryo | Gerekli Tedbir |
|---|---|
| İsviçreli müşteri verisi Türkiye'de barındırılıyor | FDPIC SCC + TIA + uçtan uca şifreleme |
| İsviçreli müşteri verisi AWS Frankfurt'ta | AB içinde — adequacy gereği DSG'de ek tedbir yok |
| İsviçreli müşteri verisi ABD bulutta (CRM, e-posta) | EU-US Data Privacy Framework + DSG add-on + TIA |
| Türk müşteri verisi İsviçre'de barındırılıyor | KVKK Madde 9 — Kurul kararı veya taahhütname; İsviçre yeterli koruma var |
| Türk + İsviçreli karışık veri Türkiye'de | FDPIC SCC + TIA + KVKK aydınlatma + açık rıza opsiyonu |
🌐 SCC + TIA şablon kütüphanesi
FDPIC onaylı Standart Sözleşme Maddeleri, EU SCC 2021 add-on, KVKK taahhütname örneği ve doldurulmuş TIA dökümanları — Zunapro panelinde tek tıkla.
7. Çerez, Pazarlama İzni ve Profilleme
İsviçre'de Çerez İzni Hukuki Çerçevesi
İsviçre'de çerezler iki yasa kesişiminde düzenlenir:
- DSG — kişisel veri içeren çerezler (analytics, marketing, retargeting) için şeffaflık, bilgilendirme ve itiraz hakkı şarttır.
- FMG (Fernmeldegesetz — Telekomünikasyon Yasası) Madde 45c — cihaza yerleştirilen tüm çerezler ve benzeri teknolojiler için kullanıcıya 'bilgi ve itiraz olanağı' sunulması zorunludur. Açık opt-in şart koşulmaz; opt-out yeterlidir.
Bu ayrım, İsviçre'yi GDPR'den önemli ölçüde farklı kılar. GDPR (ve onun ePrivacy yan kanunu) zorunlu olmayan tüm çerezler için açık opt-in ister; İsviçre yalnızca itiraz olanağı sunmanızı yeterli görür.
Pratikte Ne Yapılmalı?
2026'da İsviçre sitelerinin %78'i GDPR uyumlu opt-in CMP kullanır. Sebepler: (1) İsviçre sitelerinin %30+ trafiği AB'den geliyor; (2) Zürih gibi kantonlar federal yasadan sıkı yorum benimser; (3) Google Consent Mode v2 ve Meta Conversions API opt-in CMP zorluyor.
Pazarlama İzni — Newsletter ve SMS
- DSG — mevcut müşterilere benzer ürün/hizmet için 'soft opt-in' (UWG Madde 3); yeni müşteri için açık rıza şart.
- KVKK + İYS — ticari elektronik ileti için açık rıza ve İYS sicili zorunludur.
Pratik: İsviçreli ve Türk müşteriler için ayrı listeler tutun; iki liste karışırsa kaynak takibi imkansızlaşır.
Profilleme — İki Seviyeli Yaklaşım
DSG'nin GDPR'den ayrıldığı en ilginç nokta budur. İki kategori ayırt edilir:
- Normal Profilleme (Profiling) — Müşterinin tercih, davranış ve özelliklerine ilişkin otomatik değerlendirme. Bilgilendirme yeterlidir.
- Yüksek Riskli Profilleme (Hochrisiko-Profiling) — Veri sahibinin kişiliği üzerinde önemli özellikleri (sağlık, ekonomik durum, hareketler) değerlendiren profilleme. Açık (eksplicit) rıza şarttır.
E-ticaret pratiğinde örnekler:
- 'Önerilen ürünler' (collaborative filtering) → Normal profilleme
- 'Yeniden hedefleme reklamları' (retargeting) → Normal profilleme
- 'Risk müşterisi' etiketi (iade sıklığı, sahtecilik şüphesi) → Yüksek riskli profilleme
- 'Kredi skoru tabanlı taksit teklifi' → Yüksek riskli profilleme
- Sağlık ürünleri için satış geçmişine dayalı segmentasyon → Yüksek riskli profilleme
Pratik kural: Müşterinin kararını/hayatını etkileyebilecek bir karar varsa yüksek riskli profillemedir. 'Banner gösterimi' düşüktür, 'kredi reddi/onayı' yüksektir. Zunapro profilleme envanteri, aktivitelerinizi otomatik etiketler. Profilleme envanterini görün →
🍪 CMP + İYS paralel yönetimi
Çerez yönetim platformu (Cookiebot, OneTrust, Usercentrics) + Türk İYS sistemi paralel kayıt — İsviçreli ve Türk müşteri ayrı listeler, paralel onay akışları, otomatik raporlama.
8. İdari Para Cezaları ve Kişisel Sorumluluk
DSG Ceza Yapısının Üç Tabakası
nFADP cezayı üç düzeyde inceler:
'Sorumlu Kişi' Kim?
- Geschäftsführer / CEO / Genel Müdür — varsayılan sorumlu
- Datenschutzberater / DPO — görev tanımı veri korumayı kapsıyorsa
- IT Müdürü — teknik tedbir ihlallerinde
- İsviçre Temsilcisi (Madde 14) — yurt dışı şirketler için
Türkiye merkezli yönetici olsanız bile İsviçre savcılığı dava açabilir; İsviçre-Türkiye iade anlaşması mevcuttur. Temsilci görev tanımı net olmalı, veri koruma sorumluluğu yazılı devredilmelidir.
Şirket Sigortası Cezayı Kapsar mı?
Hayır — DSG cezası cezai yaptırım olduğu için D&O sigortası karşılamaz. GDPR cezası ise şirkete idari yaptırımdır, sigortayla kapatılabilir. Pratik: yönetici/temsilci kişisel Hukuki Koruma Sigortası (Rechtsschutzversicherung) yaptırmalı (~CHF 800-2.000/yıl); cezayı değil ama hukuk masraflarını karşılar.
KVKK Ceza Karşılaştırması
| Boyut | KVKK | DSG (nFADP) |
|---|---|---|
| Niteliği | İdari para cezası | Cezai yaptırım (Strafrechtlich) |
| Muhatabı | Tüzel kişi (şirket) | Gerçek kişi (yönetici) |
| Üst Sınır | ~1.000.000+ TL (yıllık güncellenir) | 250.000 CHF |
| Sigorta Kapsamı | Bazı durumlarda D&O | Asla kapsanmaz |
| Karar Mercii | KVKK Kurulu | Kantonal ceza mahkemesi |
🛡️ Yönetici sorumluluk koruması
Zunapro Compliance Hub, DSG yükümlülüklerinizi kayıt altına alarak 'gerekli özen' (Sorgfaltspflicht) savunmasını güçlendirir — cezai kovuşturmada kanıt zinciri sunar.
9. DPO/Temsilci Atama ve Sicil Yükümlülükleri
Datenschutzberater (DPO) — Tavsiye, Zorunluluk Değil
DSG'de DPO atanması zorunlu değildir; DSG Madde 10 atayan şirketlere DPIA için FDPIC danışmasından muafiyet, tek temas noktası avantajı ve 'gerekli özen' (Sorgfaltspflicht) karinesi tanır. Ancak GDPR Madde 37 üç durumda DPO'yu zorunlu kılar: (1) düzenli/sistematik geniş ölçekli izleme — e-ticaret retargeting bu kategoridedir; (2) geniş ölçekli hassas veri işleme; (3) kamu otoritesi olarak işleme.
İsviçre Temsilcisi (Madde 14)
Bu, Türk satıcılar için DSG'nin en somut yükümlülüğüdür. DSG Madde 14 şu durumlarda İsviçre'de bir temsilci (Vertretung) atamayı zorunlu kılar:
- Satıcı İsviçre dışında kurulu
- İşleme İsviçre'deki kişilerle bağlantılı
- İşleme amacı İsviçre'de ürün/hizmet sunmak veya davranış izlemek
- İşleme büyük ölçekli veya yüksek risk içeriyor
1, 2, 3 koşullarından üçü bir arada gerçekleşen ve 4. koşullardan en az birini sağlayan her satıcı temsilci atamak zorundadır. Pratikte: aylık 100+ İsviçreli müşterisi olan herkes bu kategoriye girer.
Temsilci Kim Olabilir?
İsviçre'de yerleşik gerçek kişi (avukat/danışman), tüzel kişi (LegalTech) veya İsviçre şubeniz. Tipik 2026 fiyatları: Temel CHF 1.500-2.500/yıl (isim+e-posta+adres, talep iletme); Genişletilmiş CHF 3.000-5.000/yıl (+FDPIC iletişimi, denetim temsili, Almanca yanıt); Tam DPO+Temsilci CHF 8.000-15.000/yıl (+uyum danışmanlığı, yıllık denetim, eğitim).
Verzeichnis der Bearbeitungstätigkeiten — İşleme Faaliyetleri Kaydı
DSG Madde 12 zorunlu kayıt içeriği: veri sorumlusu kimliği, işleme amaçları, veri sahibi/veri/alıcı kategorileri, üçüncü ülke aktarımları + dayanak, saklama süreleri, güvenlik tedbirleri özeti. 250'den az çalışanlı ve yüksek riskli işleme yapmayan KOBİ'ler bu kayıttan muaftır — ancak diğer şeffaflık yükümlülükleri devam eder.
VERBİS Paraleli
VERBİS içerik olarak Verzeichnis'e benzer ama yöntem farklıdır: VERBİS merkezi elektronik bildirim, Verzeichnis iç kayıttır. Akıllı strateji: tek veri kataloğundan her iki sicili otomatik üretmek. Zunapro Compliance Hub bunu yapar.
📜 Verzeichnis + VERBİS otomasyonu
Tek veri envanteri, iki resmi sicil — Zunapro Compliance Hub her aktivite değişikliğinde her iki kaydı senkron tutar. İsviçre temsilcisi yönlendirme programı dahil.
10. 2026 Uyum Yol Haritası — Adım Adım
1. Mevcut Durum Analizi (1. Hafta)
Önce yanıtlayın: Aylık kaç İsviçreli müşteri (100+ ise kesinlikle kapsamda)? Hangi veri kategorileri? Veriler nerede (Türkiye, İsviçre, AB, ABD)? Üçüncü taraflar (Stripe, Mailchimp, Google Analytics)? Temsilci var mı? Verzeichnis var mı?
2. İsviçre Temsilcisi Atama (2. Hafta)
- LegalTech firmaları karşılaştırması (VISCHER, MLL, Datenschutzpartner.ch, GetCompliant)
- Görev tanımı sözleşmesi — veri sahibi talepleri, FDPIC iletişimi, denetim temsili kapsamı
- Temsilci iletişimini footer + gizlilik politikasında yayımla
- Verzeichnis'e temsilciyi ekle
3. Verzeichnis Hazırlığı (3.-4. Hafta)
Her aktivite için bir kart. Tipik e-ticaret 12-18 aktivite: müşteri kayıt, sipariş işleme, ödeme (Stripe), kargo (Swiss Post/DPD), iade, müşteri hizmetleri, newsletter, web analitiği, sosyal medya pazarlama, CRM segmentasyon, çağrı merkezi kayıtları, sahtecilik önleme (3DS, Stripe Radar).
4. Aydınlatma Metni Güncellemesi (4.-5. Hafta)
Datenschutzerklärung Almanca/Fransızca/İtalyanca'da; asgari içerik: veri sorumlusu kimliği, temsilci, işleme amaçları + hukuki dayanak, veri kategorileri, alıcılar (Stripe/Google/Mailchimp ismiyle), üçüncü ülke aktarımları + dayanak, saklama süreleri, 6 hak, FDPIC şikayet hakkı, çerez listesi.
5. CMP (Çerez Yönetim Platformu) Kurulumu (6. Hafta)
- OneTrust/Cookiebot/Usercentrics/Iubenda seçimi (yıllık CHF 300-2.000)
- Site taranıp çerezler kategorize edilir
- Türkiye + İsviçre + AB için ayrı banner (geo-IP)
- Google Consent Mode v2 + Meta Conversions API
- Aylık otomatik tarama
6. SCC ve TIA Hazırlığı (7.-8. Hafta)
- FDPIC onaylı SCC'yi indir
- Her alıcı tüzel kişi için ayrı SCC imzala
- TIA hazırla — 6 unsurlu yapı
- Verzeichnis'e aktarım dayanağı olarak ekle
- Yıllık inceleme planı
7. İhlal Müdahale Planı (9. Hafta)
- İhlal komitesi (CEO + IT + Hukuk + Temsilci)
- 72 saat sayacı (Zunapro/Jira)
- FDPIC bildirim taslakları (DE+FR)
- KVKK Kurul şablonu (TR)
- Etkilenen kişi metin örnekleri
- Yıllık tabletop tatbikatı
8. Zunapro Entegrasyonu (10. Hafta)
- Zunapro panelinde oturum açın ve İsviçre modülünü aç
- Veri envanterinizi içe aktarın — Shopify, WooCommerce, Trendyol, özel sistem
- Verzeichnis'i otomatik oluşturun — Zunapro veri akışlarınızı tarayıp taslağı hazırlar
- KVKK + DSG aydınlatma metnini üretin — şirket bilgilerinizi girin, geri kalanı şablon doldursun
- Veri sahibi talep portalı — müşteriye public link, size onay arka ofisi
- İhlal akışı kur — 72 saat sayacı + paralel bildirim taslakları
- Canlıya geç — ilk uyum skorunuz 2-4 hafta içinde 90+'a ulaşır
İsviçre DSG uyumunu tek panelden yönetin
Verzeichnis + Aydınlatma + Veri Sahibi Talepleri + İhlal Yönetimi + SCC/TIA + KVKK paralel — Zunapro Compliance Hub Türk satıcılar için özel tasarlandı. 30 dakikalık kurulum, gerçek zamanlı uyum skoru, çok dilli müşteri arayüzü.
DSG Uyumunu Başlat →İsviçre DSG FAQ 2026 — Türk Satıcı Soruları
İsviçre DSG (nFADP) 2026'da Türk satıcıları neden ilgilendiriyor?
1 Eylül 2023'te yürürlüğe giren yeni İsviçre Veri Koruma Yasası (nFADP / revDSG), İsviçre'de bulunan kişilerin verilerini işleyen tüm satıcıları — Türkiye'de kurulu olsalar bile — kapsar. Schweiz.ch alan adı, CHF fiyatlandırma, Almanca/Fransızca/İtalyanca pazarlama veya İsviçre adreslerine sevkiyat yapıyorsanız doğrudan DSG kapsamındasınız.
2026 itibarıyla FDPIC kasıtlı ihlallerde 250.000 CHF'ye kadar kişisel para cezası uygulayabilmektedir; ceza yöneticinin cebinden çıkar, şirketten değil. Bu, GDPR ve KVKK'dan en kritik farktır.
KVKK ile İsviçre DSG arasındaki temel fark nedir?
KVKK (6698 sayılı kanun) tüzel kişiye 1.000.000+ TL'ye kadar idari para cezası uygularken İsviçre DSG cezayı doğrudan sorumlu gerçek kişiye (yönetici, DPO, kurucu) 250.000 CHF'ye kadar keser — şirkete değil. Bu cezai sigortayla kapsanmaz.
DSG ayrıca daha geniş bir 'profilleme' tanımı (normal + yüksek riskli ayrımı), daha sıkı bilgilendirme yükümlülüğü ve veri işleme kayıtları (Verzeichnis der Bearbeitungstätigkeiten) zorunluluğu getirir. KVKK'da Sicil (VERBİS) varken DSG'de iç kayıt yeterlidir — ancak FDPIC denetiminde sunulması zorunludur.
Türkiye'den İsviçre'ye veri aktarımı için ek tedbir gerekir mi?
İsviçre Federal Konseyi Türkiye'yi 'yeterli koruma sağlayan ülke' listesinde tutmamaktadır. Türkiye → İsviçre yönüne KVKK Madde 9 uygulanır ve İsviçre kaynaklı veri için tek yönde aktarım sorun değildir çünkü İsviçre KVKK için yeterli korumalı kabul edilir.
Ters yön (İsviçre → Türkiye) içinse DSG ek tedbir ister: FDPIC onaylı Standart Sözleşme Maddeleri (Standardvertragsklauseln), Bağlayıcı Şirket Kuralları (BCR) veya açık ve bilgilendirilmiş veri sahibi rızası. Ayrıca Veri Aktarım Etki Değerlendirmesi (TIA) belgelenmelidir. Türkiye'de barındırılan bir e-ticaret sunucusu İsviçreli müşteri verisi işliyorsa SCC + TIA paketini hazırlamanız şarttır.
İsviçre DSG cezaları gerçekten kişiye mi kesiliyor?
Evet — bu DSG'nin GDPR ve KVKK'dan en kritik farkıdır. DSG Madde 60-61 uyarınca bilgilendirme, açıklama veya güvenlik yükümlülüklerinin kasten ihlali durumunda ceza, sorumlu gerçek kişiye (yönetici, veri sorumlusu, IT müdürü) 250.000 CHF'ye kadar kesilir.
Şirket sigortası (D&O) bu cezayı karşılayamaz çünkü cezai yaptırım niteliğindedir, idari para cezası değil. Yönetici şahsen öder. Türk şirketlerin İsviçre'ye atadığı temsilci de aynı riske tabidir; bu yüzden görev tanımı ve yetki devri sözleşmeleri çok dikkatli hazırlanmalıdır.
İsviçre'de çerez izni (cookie consent) zorunlu mu?
İsviçre yasası GDPR/ePrivacy gibi açık 'opt-in' çerez izni şart koşmaz; FMG Madde 45c sadece kullanıcıya 'bilgi ve itiraz olanağı' sunulmasını ister — yani opt-out yeterlidir. Ancak DSG Madde 19-21 şeffaflık ve bilgilendirme yükümlülüğü getirir.
Uygulamada 2026 itibarıyla İsviçre site sahiplerinin %78'i GDPR uyumlu opt-in banner kullanır — çünkü İsviçreli ziyaretçilerin AB'den geldiği durumlar (ya da AB IP'leri ile gelen ziyaretçiler) ayırt edilemez. Türk satıcılar için pratik tavsiye: tek bir GDPR/DSG uyumlu çerez yönetim platformu (CMP) ile her iki rejimi de karşılayın; Türkiye için ayrıca İYS akışı kurun.
FDPIC'e veri ihlali bildirimini ne zaman yapmalıyım?
DSG Madde 24 uyarınca, 'veri sahibinin kişiliğine veya temel haklarına yüksek risk' oluşturan her ihlalin FDPIC'e 'mümkün olan en kısa sürede' (möglichst rasch) bildirilmesi zorunludur. GDPR'nin 72 saatlik katı süresi DSG'de yoktur, ancak uygulamada 72 saat referans alınır.
'Yüksek risk' kriteri: Hassas veri ihlali, finansal veri ihlali, biyometrik veri ihlali, 100'den fazla kişiyi etkileyen ihlal ve sahteciliğe açık veri (kimlik no, adres+doğum tarihi) ihlali her zaman 'yüksek risk' kabul edilir.
KVKK ise 72 saat içinde Kurul'a bildirim ister ve risk seviyesi ayrımı yapmaz — tüm ihlaller bildirilmelidir. Tek olay için her iki otoriteye paralel bildirim hazırlığı yapılmalıdır.
İsviçre temsilcisi atamak zorunlu mu?
Evet, DSG Madde 14 uyarınca İsviçre dışında kurulu (Türkiye dahil) ve İsviçre'de düzenli olarak veri işleyen şirketler İsviçre'de bir temsilci atamak zorundadır — şu üç koşul birden gerçekleşirse: (1) işleme İsviçre'deki kişilerle bağlantılı, (2) ürün/hizmet sunma veya davranış izleme amaçlı, (3) büyük ölçekli veya yüksek risk içeren.
KVKK'daki 'yurt dışı sorumlu temsilcisi' kavramına benzer. Tek kişi şirket de yeterlidir; LegalTech firmaları (VISCHER, MLL, Datenschutzpartner.ch) yıllık ~CHF 1.500-3.000 karşılığında temel temsilcilik hizmeti sunar. Genişletilmiş paket (FDPIC iletişimi + denetim temsili) ~CHF 3.000-5.000/yıl.
DSG'de 'profilleme' (Profiling) tanımı KVKK'dan farklı mı?
Evet, DSG iki kategori ayırır: 'Profilleme' (otomatik değerlendirme) ve 'Yüksek Riskli Profilleme' (Hochrisiko-Profiling). Yüksek riskli profilleme açık (eksplicit) rıza gerektirir — kredi skoru, sağlık profili, davranışsal reklamla 'risk müşterisi' etiketi gibi.
KVKK'da bu ayrım yoktur, tüm otomatik karar verme aynı kategoridedir. E-ticaret tarafında: kişiselleştirilmiş ürün önerisi normal profillemedir (sadece bilgilendirme yeterli); alışveriş davranışına göre 'risk müşterisi' etiketi yüksek risklidir ve ekstra rıza ister. Kredi skoru tabanlı taksit teklifi de yüksek riskli profillemedir.
KVKK Sicili (VERBİS) ile DSG kaydı (Verzeichnis) aynı şey mi?
Hayır — VERBİS, KVKK Kurumu'na merkezi olarak elektronik bildirim yapmayı gerektirir ve yıllık sayım eşiklerine (250+ çalışan veya 25M TL+ bilanço aktif toplamı) bağlıdır. DSG'nin Verzeichnis der Bearbeitungstätigkeiten'i ise iç kayıttır — şirketin kendisi tutar, FDPIC'e proaktif bildirim yapılmaz, ancak denetimde sunulması zorunludur.
250'den az çalışanı olan ve yüksek riskli işleme yapmayan şirketler Verzeichnis tutmaktan muaftır — ancak bu muafiyet diğer şeffaflık yükümlülüklerini kaldırmaz. Türk satıcılar pratikte hem VERBİS hem Verzeichnis'i paralel yürütmelidir; Zunapro tek veri envanterinden iki sicili otomatik üretir.
Stripe Switzerland ile ödeme alırken hangi veri koruma yükümlülükleri var?
Stripe Switzerland AG, İsviçre'de kurulu bir alt kuruluş olduğundan veri işleme ana akışı İsviçre içinde kalır; ancak Stripe'ın global altyapısı verilerinizi ABD'ye aktarabilir. Bu yüzden Stripe ile DPA (Data Processing Addendum) imzalamanız zorunludur.
Ayrıca müşterilerinize gizlilik politikanızda (Datenschutzerklärung) Stripe'ın işlediği veri kategorilerini açıkça belirtmeniz ve veri sahibinin 'profilleme' (fraud detection / Stripe Radar) hakkındaki itiraz hakkını sunmanız gerekir. PayPal Schweiz, TWINT AG, Klarna için de aynı kurallar geçerlidir.
Zunapro hangi DSG/nFADP yükümlülüklerini otomatikleştiriyor?
Zunapro İsviçre Hub'ı şunları otomatik yönetir:
(1) Verzeichnis der Bearbeitungstätigkeiten — sipariş, müşteri, pazarlama tüm veri akışlarını otomatik kayıt altına alır;
(2) Veri sahibi talepleri (Auskunftsrecht, Berichtigung, Löschung, Datenportabilität) için merkezi panel + 30 günlük SLA sayacı;
(3) FDPIC ihlal bildirim taslakları ve 72 saatlik sayaç + paralel KVKK Kurul bildirimi;
(4) Çerez yönetim platformu (CMP) entegrasyonu — GDPR + DSG paralel akış;
(5) Standart Sözleşme Maddeleri (Standardvertragsklauseln) şablonları üçüncü ülke aktarımları için;
(6) KVKK + DSG paralel uyum panosu, Türk satıcılar için ikili bildirim hazırlığı ve eş zamanlı VERBİS güncellemesi.
İsviçre DSG ile uyum için Zunapro entegrasyonu ne kadar sürer?
Tek bir tenant için DSG uyum modülünün aktivasyonu (Verzeichnis taslağı, çerez CMP'si, veri sahibi talep formu, FDPIC bildirim akışı) yaklaşık 30 dakika sürer. Mevcut ürün katalogunuz Shopify, WooCommerce, Trendyol veya özel sistemden ML destekli içe aktarmayla bir saatten kısa sürede senkronize olur.
Türk satıcılar için ek olarak KVKK aydınlatma metni şablonu otomatik üretilir — yalnızca şirket adınızı ve VERBİS sicil numaranızı girmeniz yeterlidir. İsviçre temsilcisi yönlendirme programı 5 onaylı partnerlik üzerinden çalışır; başvurudan sözleşme imzasına 3 iş günü tipiktir.
İsviçre'de güvenle satış yapmaya başlayın — DSG + KVKK paralel uyum 30 dakikada
nFADP Verzeichnis · FDPIC ihlal akışı · CMP entegrasyonu · SCC/TIA kütüphanesi · İsviçre temsilcisi yönlendirme · KVKK paralel sicil — hepsi tek panelde. Türk e-ticaret satıcısı için Zunapro Compliance Hub. Demo gerekmez, uzun sözleşme gerekmez.
🇨🇭 İsviçre'de Şimdi Başlayın →Bu konuda yardım alın
İlgili hizmetimiz: E-Ticaret