Tüm yazılar

KVKK uyumlu e-posta pazarlama: Madde 5 + İYS rehberi

KVKK Madde 5 açık rıza, İYS (İleti Yönetim Sistemi) zorunluluğu, BTK pre-flight kontrol, çift opt-in pattern. Sahada uygulanabilir checklist.

Türkiye’de B2C e-posta pazarlamasının iki temel hukuki ayağı var: KVKK (6698 Sayılı Kişisel Verilerin Korunması Kanunu) ve İYS (İleti Yönetim Sistemi — Ticari Elektronik İleti Yönetim Sistemi, 6563 Sayılı Kanun çerçevesi). Bu rehberde her ikisinin pratik uygulamasına bakalım.

Hukuki danışmanlık değildir. Bu yazı pratik uygulama notu içerir; konuya özel hukuki görüş için bir avukatla çalışın. Sendnomi panelinde VERBİS asistanı ve KVKK iletişim akışı yerleşiktir, ama nihai sorumluluk veri sorumlusunundur.

1. KVKK Madde 5 — açık rıza

KVKK Madde 5, kişisel verinin işlenmesinin sınırlı sebepler dışında açık rıza ile mümkün olduğunu söyler. E-posta pazarlama için kritik istisnalar:

  • Sözleşmenin kurulması veya ifası için gerekli olması (5/2-c): Sipariş onayı, fatura, şifre sıfırlama gibi transactional maillere açık rıza gerekmez.
  • Veri sorumlusunun meşru menfaati (5/2-f): Mevcut müşterilere benzer ürün/hizmet tanıtımı dar yorumla mümkün — ama İYS engeline tabidir (aşağıda).

Pazarlama (promotional) için açık rıza ŞART. Açık rıza tanımı KVKK Madde 3(1)(a):

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Sahada uygulama

Çift opt-in (double opt-in) pattern:

  1. Kullanıcı abonelik formuna e-posta + checkbox’ı işaretler (“ticari elektronik ileti almak istiyorum”).
  2. Sistem onay maili gönderir (transactional — açık rıza ihtiyacı YOK).
  3. Kullanıcı linke tıklar, rıza kaydı oluşur.
  4. İYS’ye iletilir (aşağıda).

Tek opt-in (sadece form checkbox) hukuken yetersiz değildir, ama spam complaint riskini artırır ve ispat zincirini zayıflatır.

Aydınlatma metni şart:

Form’un altına KVKK Madde 10 uyarınca aydınlatma:

  • Veri sorumlusu kim (firmanız)
  • Hangi veri işlenir (e-posta, isim, tıklama davranışı vs.)
  • Hangi amaçla (pazarlama, segmentasyon)
  • Saklama süresi
  • Madde 11 hakları (silme, düzeltme, taşıma)

2. İYS — İleti Yönetim Sistemi

6563 sayılı kanun ve 2020 sonrası gelen tebliğler ile BTK İleti Yönetim Sistemi (iys.org.tr) Türkiye’de ticari elektronik ileti gönderiminin merkezi izin kaydı haline geldi.

Kim kapsamda?

  • Hizmet sağlayıcılar (e-ticaret, SaaS, hizmet firmaları) B2C ticari mail gönderiyorsa zorunlu.
  • B2B (alıcı tacir veya esnaf) için İYS şart değil — ama KVKK açık rıza yine de yerinde.

Sistem nasıl çalışır?

İki taraf var:

  • Hizmet sağlayıcı (sen) → İYS’ye onay/red bildirir.
  • Vatandaş → İYS portalından izinlerini görür, geri çekebilir.

Pre-flight kontrol (Madde 5): Her ticari mail göndermeden ÖNCE, alıcının İYS’de izni olup olmadığını kontrol etmek zorundasın. İzin yoksa gönderim suç.

Sendnomi entegrasyonu

Sendnomi’de İYS entegrasyonu proxy mimari üzerine kurulu: senin İYS hesabının credentials’ları (Sandbox veya Prod) Sendnomi paneline girilir, biz pre-flight + bulk onay kontrolünü senin adına yaparız. Credentials sende kalır, biz vault’ta encrypted tutarız.

İlk 5.000 onaya kadar İYS ücretsiz başvuru hakkı vardır (HS — Hizmet Sağlayıcı kayıt formu). Sonrası tier’lı ücret.

3. Pratik checklist

  • Açık rıza form: checkbox + aydınlatma + çift opt-in onay maili
  • Aydınlatma metni: Madde 10 zorunlu elementler dolu
  • VERBİS kaydı: kapsamdaysan (50+ çalışan veya yıllık ciro eşiği üstü) — Sendnomi panelinde wizard var
  • İYS HS başvurusu: B2C gönderim öncesi şart
  • İYS pre-flight: her ticari mail öncesi izin kontrolü (Sendnomi otomatik yapar)
  • Madde 11 akışı: “verilerimi sil” linki rapor maillerinin altında — Sendnomi panelinde default açık
  • Saklama süreleri: liste içi/dışı kayıt için belirlenmiş
  • Audit log: rıza alındı/iptal edildi tüm event’ler kayıtlı (KVKK Madde 12)
  • Veri yerleşkesi: KVKK Md.9 uyumlu AB veri merkezi (imzalı DPA + denetlenebilir veri-konumu) → Sendnomi’de varsayılan

4. Sık yapılan hatalar

  1. Hazır satın alınan listeye gönderim — rıza ispatı yok, doğrudan KVKK + İYS ihlali. Spam complaint + ceza riski.
  2. Tek opt-in checkbox + immediately spam’a başlamak — onay maili göndermeden listeye eklemek hukuken kabul edilebilir ama ispat zayıf.
  3. İYS onayını “evet bağışla” gibi gizli butonla almak — özgür irade testini geçmez. Default unchecked + ayrı çubuk şart.
  4. Saklama süresini sonsuz tutmak — KVKK işlenme amacı kalkmış veriyi silmeyi gerektirir. Inactive contact için 12-24 ay sonra otomatik temizlik.
  5. Aydınlatma metnini “kullanım koşulları” altına gömmek — Madde 10 metnin görünür ve ayrı sunulmasını gerektirir.

Sonuç

KVKK + İYS uyumluluğu bir bürokrasi engeli değil — pazarlama listenin uzun vadede sağlıklı kalmasının teknik altyapısıdır. Rıza ile gelen liste, suppression listesini saygılı tutan operatör, ve denetlenebilir audit log — üçü deliverability skorunu yıllarca koruyan asıl bileşenlerdir.

Sendnomi’de KVKK + İYS akışları yerleşik. Detaylı belgeler →

— Yazılım Koçu