KVKK uyumlu e-posta pazarlama: Madde 5 + İYS rehberi
KVKK Madde 5 açık rıza, İYS (İleti Yönetim Sistemi) zorunluluğu, BTK pre-flight kontrol, çift opt-in pattern. Sahada uygulanabilir checklist.
Türkiye’de B2C e-posta pazarlamasının iki temel hukuki ayağı var: KVKK (6698 Sayılı Kişisel Verilerin Korunması Kanunu) ve İYS (İleti Yönetim Sistemi — Ticari Elektronik İleti Yönetim Sistemi, 6563 Sayılı Kanun çerçevesi). Bu rehberde her ikisinin pratik uygulamasına bakalım.
Hukuki danışmanlık değildir. Bu yazı pratik uygulama notu içerir; konuya özel hukuki görüş için bir avukatla çalışın. Sendnomi panelinde VERBİS asistanı ve KVKK iletişim akışı yerleşiktir, ama nihai sorumluluk veri sorumlusunundur.
1. KVKK Madde 5 — açık rıza
KVKK Madde 5, kişisel verinin işlenmesinin sınırlı sebepler dışında açık rıza ile mümkün olduğunu söyler. E-posta pazarlama için kritik istisnalar:
- Sözleşmenin kurulması veya ifası için gerekli olması (5/2-c): Sipariş onayı, fatura, şifre sıfırlama gibi transactional maillere açık rıza gerekmez.
- Veri sorumlusunun meşru menfaati (5/2-f): Mevcut müşterilere benzer ürün/hizmet tanıtımı dar yorumla mümkün — ama İYS engeline tabidir (aşağıda).
Pazarlama (promotional) için açık rıza ŞART. Açık rıza tanımı KVKK Madde 3(1)(a):
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Sahada uygulama
Çift opt-in (double opt-in) pattern:
- Kullanıcı abonelik formuna e-posta + checkbox’ı işaretler (“ticari elektronik ileti almak istiyorum”).
- Sistem onay maili gönderir (transactional — açık rıza ihtiyacı YOK).
- Kullanıcı linke tıklar, rıza kaydı oluşur.
- İYS’ye iletilir (aşağıda).
Tek opt-in (sadece form checkbox) hukuken yetersiz değildir, ama spam complaint riskini artırır ve ispat zincirini zayıflatır.
Aydınlatma metni şart:
Form’un altına KVKK Madde 10 uyarınca aydınlatma:
- Veri sorumlusu kim (firmanız)
- Hangi veri işlenir (e-posta, isim, tıklama davranışı vs.)
- Hangi amaçla (pazarlama, segmentasyon)
- Saklama süresi
- Madde 11 hakları (silme, düzeltme, taşıma)
2. İYS — İleti Yönetim Sistemi
6563 sayılı kanun ve 2020 sonrası gelen tebliğler ile BTK İleti Yönetim Sistemi (iys.org.tr) Türkiye’de ticari elektronik ileti gönderiminin merkezi izin kaydı haline geldi.
Kim kapsamda?
- Hizmet sağlayıcılar (e-ticaret, SaaS, hizmet firmaları) B2C ticari mail gönderiyorsa zorunlu.
- B2B (alıcı tacir veya esnaf) için İYS şart değil — ama KVKK açık rıza yine de yerinde.
Sistem nasıl çalışır?
İki taraf var:
- Hizmet sağlayıcı (sen) → İYS’ye onay/red bildirir.
- Vatandaş → İYS portalından izinlerini görür, geri çekebilir.
Pre-flight kontrol (Madde 5): Her ticari mail göndermeden ÖNCE, alıcının İYS’de izni olup olmadığını kontrol etmek zorundasın. İzin yoksa gönderim suç.
Sendnomi entegrasyonu
Sendnomi’de İYS entegrasyonu proxy mimari üzerine kurulu: senin İYS hesabının credentials’ları (Sandbox veya Prod) Sendnomi paneline girilir, biz pre-flight + bulk onay kontrolünü senin adına yaparız. Credentials sende kalır, biz vault’ta encrypted tutarız.
İlk 5.000 onaya kadar İYS ücretsiz başvuru hakkı vardır (HS — Hizmet Sağlayıcı kayıt formu). Sonrası tier’lı ücret.
3. Pratik checklist
- Açık rıza form: checkbox + aydınlatma + çift opt-in onay maili
- Aydınlatma metni: Madde 10 zorunlu elementler dolu
- VERBİS kaydı: kapsamdaysan (50+ çalışan veya yıllık ciro eşiği üstü) — Sendnomi panelinde wizard var
- İYS HS başvurusu: B2C gönderim öncesi şart
- İYS pre-flight: her ticari mail öncesi izin kontrolü (Sendnomi otomatik yapar)
- Madde 11 akışı: “verilerimi sil” linki rapor maillerinin altında — Sendnomi panelinde default açık
- Saklama süreleri: liste içi/dışı kayıt için belirlenmiş
- Audit log: rıza alındı/iptal edildi tüm event’ler kayıtlı (KVKK Madde 12)
- Veri yerleşkesi: KVKK Md.9 uyumlu AB veri merkezi (imzalı DPA + denetlenebilir veri-konumu) → Sendnomi’de varsayılan
4. Sık yapılan hatalar
- Hazır satın alınan listeye gönderim — rıza ispatı yok, doğrudan KVKK + İYS ihlali. Spam complaint + ceza riski.
- Tek opt-in checkbox + immediately spam’a başlamak — onay maili göndermeden listeye eklemek hukuken kabul edilebilir ama ispat zayıf.
- İYS onayını “evet bağışla” gibi gizli butonla almak — özgür irade testini geçmez. Default unchecked + ayrı çubuk şart.
- Saklama süresini sonsuz tutmak — KVKK işlenme amacı kalkmış veriyi silmeyi gerektirir. Inactive contact için 12-24 ay sonra otomatik temizlik.
- Aydınlatma metnini “kullanım koşulları” altına gömmek — Madde 10 metnin görünür ve ayrı sunulmasını gerektirir.
Sonuç
KVKK + İYS uyumluluğu bir bürokrasi engeli değil — pazarlama listenin uzun vadede sağlıklı kalmasının teknik altyapısıdır. Rıza ile gelen liste, suppression listesini saygılı tutan operatör, ve denetlenebilir audit log — üçü deliverability skorunu yıllarca koruyan asıl bileşenlerdir.
Sendnomi’de KVKK + İYS akışları yerleşik. Detaylı belgeler →
— Yazılım Koçu