Rehber · E-ticaret · KVKK

E-ticaret Consent Rehberi 2026

E-ticaret sitesi işletmek consent açısından en zor pazarlardan biri. Meta Pixel, GA4, TikTok pikseli, Hotjar, mail aboneliği, SMS — hepsi farklı kategoride, farklı yasal çerçeve altında. Bu sayfa KVKK + ETBİS + İYS'i e-ticaret özelinde nasıl bir araya getirdiğini, sıkça yapılan 5 hatayı ve doğru akışı anlatıyor.

Son güncelleme: 2026-04-25

E-ticarette consent neden zor?

Çünkü kullanıcı sayısı çok, etkileşim noktası çok, üçüncü taraf araç sayısı çok. Tipik bir orta ölçek e-ticaret sitesinde 8-15 farklı çerez sağlayıcısı oluyor: GA4, Meta Pixel, TikTok Pixel, Hotjar, Intercom, Trendyol/Hepsiburada gibi pazaryeri scripti, cargo entegrasyonu, ödeme sağlayıcı, chat botu, bir-iki tane reklam ağı.

Bunlar arasında tüm pazarlama amaçlı olanlar açık onay gerektirir. Onay alınmadan ateşlenirse veri işleme ihlali sayılır. KVKK denetiminde Kurum, banner'ın nasıl gösterildiğine kadar inceleyebiliyor — pasif onay, pre-checked checkbox, kategori ayrımı yok gibi konular cezayla sonuçlanmış vakalar var.

Ek olarak e-ticaret operatörü için ETBİS kaydı ve pazarlama iletişimi için İYS (İleti Yönetim Sistemi) de devrede. Bunlar KVKK'dan ayrı sistemler ama uyum birbirine bağlı.

E-ticarette KVKK gereklilikleri

Aşağıdaki 5 nokta her e-ticaret sitesinde olmalı — boyut fark etmez:

1

Çerez kategorileri ve aydınlatma

Zorunlu / analitik / pazarlama / üçüncü taraf — her kategori ayrı onay. Aydınlatma metninde hangi çerezin ne için kullanıldığı, kim tarafından, ne kadar süreyle saklandığı yazmalı.

2

Pazarlama izni (İYS)

Ticari elektronik ileti göndereceksen (newsletter, SMS, WhatsApp, push) İYS kaydı zorunlu. Onay tarihini, kanalını, IP'sini saklayabilmen gerekiyor.

3

ETBİS bilgileri

E-ticaret operatörü olarak ETBİS'e kayıt zorunlu. ETBİS bilgilerini sitede gösterdiğin yer KVKK'dan farklı ama uyumlu olmalı.

4

Veri sorumlusu kimliği

Aydınlatma metninde veri sorumlusunun (şirketin) tam adı, MERSİS, vergi dairesi, adres, e-posta yer almalı. Pazaryeri satıcısıysan kendi şirketin yazılır, pazaryerinin değil.

5

DSAR — silme / erişim talepleri

Müşteri 'verilerimi sil' veya 'verilerimi göster' dediğinde 30 gün içinde cevap verme zorunluluğu var. Süreç tanımlı ve takip edilebilir olmalı.

E-ticarette sıkça yapılan 5 hata

Bu listenin hepsi KVKK Kurumu'nun verdiği kararlarda referans gösterdiği konular:

1. Sepete eklemeden önce 3rd party pixel'ı ateşlemek

Meta Pixel, GA4, TikTok Pixel — kullanıcı banner'ı görmeden bunlar ateşlenirse rıza alınmamış sayılır. Veriler işlenmiş olur, ihlal denetimde görünür.

2. 'Kabul ediyorum' kutucuğunu önceden işaretli bırakmak

KVKK ve GDPR — ikisi de aynı şeyi söyler: pasif onay onay değildir. Pre-checked checkbox'lar geçersiz.

3. Pazarlama izni ile çerez iznini karıştırmak

Newsletter / SMS / WhatsApp pazarlama izni İYS üzerinden Ticari Elektronik İleti Yönetim Sistemi'ne kayıt olmalı. Çerez izni bambaşka — ikisi ayrı tutulmalı, birlikte tek kutucukta sorulmamalı.

4. Çerez politikasını sadece footer link'i olarak bırakmak

Banner gösterilmeli + çerez politikasına link verilmeli + kategori bazında 'kabul / reddet / özelleştir' seçenekleri olmalı. 'Footer'da link var, kabul ettin' yaklaşımı KVKK'da geçerli değil.

5. Re-consent (yeniden onay) için süreç olmaması

Yeni bir 3rd party araç eklediğinde ya da çerez politikasını değiştirdiğinde mevcut kullanıcılardan tekrar onay alınmalı. Versiyon takibi yoksa bu yapılamaz.

Doğru consent akışı (e-ticaret)

Aşağıdaki diyagramı kafanda tut — yanına e-ticaret özel adımları ekledik:

Doğru sıra

  1. Sayfa açılır — sadece zorunlu çerezler aktif (oturum, sepet)
  2. Banner görünür — kategori bazlı kabul/red/özelleştir seçenekleri
  3. Kullanıcı seçim yapar
  4. Seçime göre 3rd party scriptler ateşlenir (Meta, GA4, TikTok)
  5. Newsletter / SMS aboneliği için ayrı ekranda İYS uyumlu açık rıza
  6. Onay timestamp + IP saklanır (denetim için)
  7. Kullanıcı isterse her an /preferences'tan onay değiştirebilir

Yanlış sıra

  1. Sayfa açılır — Meta Pixel, GA4, TikTok hepsi anında ateşlenir
  2. Banner footer'da küçük "çerez kullanıyoruz" yazısı
  3. Newsletter checkbox kayıt formunda pre-checked
  4. Onay tarihi/IP saklanmıyor
  5. 3rd party araç eklenince mevcut kullanıcıdan re-consent yok
  6. Kullanıcı onayını geri çekme yolu yok

Veribenim bu listenin neresine yardım eder?

Net konuşalım — Veribenim consent yönetim aracı, İYS değil ETBİS değil. Yardım ettiği yerler:

Çerez kategorileri ve banner

Kategori bazlı kabul/red, Shadow DOM ile siten CSS'ini bozmadan, mobilde de düzgün.

Çerez tarayıcı (cookie scanner)

Sitende dolaşıp 3rd party çerezlerin envanterini çıkarır — hangi araçlar gerçekten ateşleniyor görürsün.

Onay timestamp + IP saklama

Denetim sorulduğunda her onayın zamanı, IP'si, hangi versiyonu kabul ettiği belgelenmiş halde.

Re-consent versiyonlama

Çerez politikası değişince yeni versiyon yayınlanır, eski onay geçersiz, kullanıcıya tekrar sorulur.

DSAR (silme/erişim) yönetimi

Müşteri talepleri panelden takip — 30 gün cevap süresi sayacı dahil.

Veribenim'in yapmadığı şeyler:

  • • İYS kaydı / onay listesi — bu İYS'nin kendi sistemi, sen direkt iys.org.tr'den yönetiyorsun.
  • • ETBİS başvurusu — sen kendi başvurunu yaparsın.
  • • Aydınlatma metni / KVKK politikası yazımı — şablonlarımız var ama avukat değiliz; hukuki danışmanlık değil.

E-ticaret siteni 30 dakikada KVKK uyumlu hâle getir

Banner'ı 2 dakikada kuruyorsun. Çerez taraması bir dakika çalışıyor. Onayların timestamp'ı, versiyonlaması, re-consent — hepsi otomatik. Aydınlatma metnini dolduran şablonlar dahil.

Ücretsiz hesap aç Fiyatları gör →

Bu sayfa 2026-04-25 itibarıyla KVKK, ETBİS ve İYS resmi mevzuatına dayanan rehberdir; hukuki tavsiye değildir. Hatalı bir bilgi gördüysen legal@veribenim.com'a yaz, düzeltirim.