KVKK Uyumlu WhatsApp Business Kullanımı: Cezalar, Riskler ve Çözümler
Taner Ultanir
KVKK uyumlu WhatsApp Business kullanımı, artık Türkiye'deki her işletme için zorunlu bir altyapı gereksinimine dönüştü. Kişisel Verileri Koruma Kurulu 2024'te toplamda 459 milyon TL idari para cezası uyguladı — 2020'deki 17 milyon TL'ye kıyasla 27 kat artış (KVKK Faaliyet Raporu, 2024). Bu cezaların büyük bölümü izinsiz ticari iletişim ve veri güvenliği ihlallerinden geliyor. WhatsApp üzerinden izinsiz reklam göndermek yasaktır; KVKK gereği müşteri verilerini nasıl toplayıp işleyeceğinizi bilmek zorundasınız.
İzinsiz WhatsApp/SMS gönderimi mesaj başına 100.000 TL'ye kadar ceza getirir. Kişisel WhatsApp'ta müşteri verisi saklamak KVKK ihlaline yol açar. Kurumsal API + CRM altyapısı ile açık rıza yönetimi, veri şifreleme ve otomatik silme süreçlerini uyumlu hale getirirsiniz.
KVKK WhatsApp Cezaları Ne Kadar? Gerçek Rakamlar
KVKK ihlallerinde cezalar caydırıcı seviyelere ulaştı. 6698 sayılı Kanun'un 18. maddesine göre 2024 yılı itibarıyla güncel ceza aralıkları şöyle:
| İhlal Türü | Ceza Aralığı | Tipik Senaryo |
|---|---|---|
| Aydınlatma yükümlülüğü ihlali | 13.000 - 266.000 TL | Gizlilik politikası yok veya yetersiz |
| Veri güvenliği ihlali | 40.000 - 2.650.000 TL | Müşteri verileri şifresiz saklanıyor |
| Kurul kararlarına aykırılık | 53.000 - 2.650.000 TL | Silme talebine uyulmaması |
| VERBiS'e kayıt ihlali | 53.000 - 2.650.000 TL | Veri sorumlusu kaydı yapılmamış |
| İzinsiz ticari iletişim (İYS) | 10.000 - 100.000 TL/mesaj | WhatsApp'tan izinsiz kampanya |
Cezalar her yıl katlanarak artıyor: 2020'de 17 milyon TL olan toplam, 2024'te 459 milyon TL'ye fırladı — beş yılda 27 katına çıktı (KVKK Faaliyet Raporu, 2024). 1.000 kişiye izinsiz kampanya gönderirseniz minimum 10 milyon TL ceza riskiyle karşılaşırsınız. 2026'da bu riskle karşılaşmamak için altyapınızı şimdiden hazırlamak gerekiyor.
WhatsApp Kullanırken Hangi KVKK İhlallerine Düşebilirsiniz?
Çoğu işletme farkında olmadan kişisel veri koruma ihlali yapıyor. Müşteri iletişimi süreçlerindeki en yaygın riskler şunlar:
❌ Kişisel telefonda müşteri verisi
Çalışanın kişisel telefonunda müşteri numaraları saklanıyor. Çalışan işten ayrılınca veriler de gidiyor — hem veri kaybı hem denetim dışı veri işleme.
❌ Grup listelerine izinsiz ekleme
Müşterileri WhatsApp gruplarına rıza almadan ekliyorsunuz. Gruba eklenince diğer müşterilerin numaralarını da görebiliyor — üçüncü kişilerle veri paylaşımı.
❌ Yayın listesiyle toplu mesaj
Kişisel WhatsApp veya Business uygulamasında yayın listesi kullanarak kampanya gönderiyorsunuz. İYS'de kaydı olmayan kişiye ticari ileti göndermek başına 10.000-100.000 TL KVKK WhatsApp cezası demek.
❌ Silme taleplerini karşılayamama
Müşteri "verilerimi silin" dediğinde, kişisel telefonlardaki konuşma geçmişini, rehber kaydını ve yedekleri silmeniz gerekir. Kişisel telefonlarda bu pratikte imkânsızdır.
WhatsApp Business API kullandığınızda veriler kişisel telefonlarda değil, Invekto'nun güvenlik ve uyumluluk altyapısında şifreli olarak saklanır. Silme talepleri tek tuşla yerine getirilir.
KVKK Kapsamında WhatsApp İçin Geçerli Açık Rıza Nasıl Alınır?
KVKK'nın 5. maddesi veri işleme için "açık rıza" şartı koyar. Açık rızanın geçerli sayılabilmesi için üç unsur gerekli:
- Bilgilendirilmiş olmalı: Müşteri hangi verilerinin, ne amaçla, ne kadar süreyle işleneceğini bilmeli
- Özgür irade ile verilmeli: Hizmet şartı olarak dayatılamaz ("Onaylamadan devam edemezsiniz" — GEÇERSİZ)
- Belirli bir konuya yönelik olmalı: Genel bir "Her şeyi kabul ediyorum" ifadesi geçersizdir
Web Sitesinde Onay Formu
İnternet sitenizdeki formu dolduran müşterinin iletişim iznini işaretlemesini sağlamalısınız. Kutucuk önceden işaretli (pre-checked) olmamalıdır.
"Kişisel verilerimin işlenmesine ilişkin Aydınlatma Metni'ni okudum, anladım. Tarafıma WhatsApp ve SMS kanalıyla kampanya ve bilgilendirme mesajları gönderilmesine izin veriyorum."
"Şartları ve koşulları kabul ediyorum" (neyi kabul ettiği belli değil — geçersiz rıza)
İleti Yönetim Sistemi (İYS) Kaydı Neden Zorunlu?
Ticari elektronik ileti göndermek için İYS kaydı zorunludur. İYS, Ticaret Bakanlığı'nın yönettiği merkezi bir kayıt sistemidir. WhatsApp Business yasal uyumluluk sürecinin temel adımlarından biri budur.
- Hizmet sağlayıcı kaydı: İşletmenizi iys.org.tr üzerinden kaydedin
- İzin yükleme: Mevcut müşteri izinlerini sisteme yükleyin (tarih, kanal, izin kaynağı)
- Ret yönetimi: Müşteri ret hakkını kullandığında 3 iş günü içinde sisteme işleyin
- Kanal bazlı izin: WhatsApp, SMS ve e-posta için ayrı ayrı izin alın
İYS'de kaydı olmayan alıcıya ticari ileti göndermek, her mesaj başına 10.000-100.000 TL KVKK ihlali cezasıyla sonuçlanır. 1.000 kişiye izinsiz kampanya gönderirseniz minimum 10 milyon TL ceza riskiyle karşı karşıya kalırsınız.
WhatsApp Business API ile KVKK Uyumu Nasıl Sağlanır?
Kişisel WhatsApp kullanımında müşteri verileri şıahsi telefonlarda, denetimsiz biçimde kalır. WhatsApp Business API ile bu riskleri ortadan kaldırırsınız. Invekto'nun KVKK uyumlu altyapısı aşağıdaki karşılaştırmayı pratikte mümkün kılıyor:
| Müşteri Verisi KVKK Gerekliliği | Kişisel WhatsApp | WhatsApp Business API |
|---|---|---|
| Veri şifreleme | ❌ Cihaz bağımlı | ✓ Sunucu tarafı şifreleme |
| Veri silme talebi | ❌ Her cihazda manuel | ✓ Merkezi silme |
| Erişim kontrolü | ❌ Telefonu olan herkes | ✓ Rol bazlı yetkilendirme |
| Denetim izi (log) | ❌ Kayıt yok | ✓ Tüm işlemler loglanır |
| İzin yönetimi | ❌ Manuel takip | ✓ CRM entegreli otomatik |
| Veri lokalizasyonu | ❌ WhatsApp sunucuları | ✓ Tercih edilen bölge |
WhatsApp Opt-In Süreci Adım Adım Nasıl Çalışır?
WhatsApp Business API'de mesaj gönderebilmek için müşterinin "opt-in" vermesi gerekir. Bu süreci doğru yönetmek hem KVKK uyumu hem müşteri memnuniyeti için kritik:
- Müşteri size mesaj attığında (Organic Opt-in): 24 saatlik pencere açılır, serbestçe yanıt verebilirsiniz. Bu en güvenli yöntemdir.
- Web formu ile opt-in: Sitenizde "WhatsApp üzerinden bilgi almak istiyorum" kutucuğu — tarih, IP ve formun ekran görüntüsünü kaydedin.
- 24 saat geçtikten sonra: Sadece Meta onaylı şablon mesaj gönderebilirsiniz.
- Müşteri "dur" dediğinde: Hemen listeden çıkarın. Akıllı mesajlaşma sistemiyle "dur", "iptal", "istemiyorum" gibi anahtar kelimeleri otomatik yakalayıp listeden çıkarma işlemini otomatikleştirebilirsiniz.
KVKK Uyum Kontrol Listesi
Aşağıdaki listeyi ticari iletişim başlatmadan önce eksiksiz tamamlayın:
Aydınlatma metni web sitesinde yayında ve güncel
Açık rıza formu ayrı onay kutucuklarıyla (pre-checked değil)
İYS kaydı tamamlanmış, izinler yüklenmiş
VERBiS kaydı yapılmış (50+ çalışan veya yıllık 25M TL üstü ciro)
Veri işleme envanteri hazırlanmış (hangi veri, ne amaçla, nerede)
Kişisel cihazlarda veri yok — tüm müşteri verileri kurumsal sistemde
Veri silme süreci tanımlı ve test edilmiş (30 gün içinde)
Ret yönetimi otomatik — "istemiyorum" diyen anında listeden çıkıyor
Çalışan eğitimi verilmiş (KVKK farkındalık, veri güvenliği)
Veri ihlal bildirim süreci tanımlı (72 saat içinde Kurul'a bildirim)
Sektöre Göre Hangi Ek Önlemler Gerekiyor?
E-Ticaret
E-ticaret şirketleri sipariş onayı ve kargo bildirimi mesajlarını "sözleşmenin ifası" kapsamında gönderebilir (açık rıza gerekmez). Ancak sepet terk hatırlatması ve kampanya mesajları için açık rıza şarttır.
Sağlık
Sağlık sektöründe hasta verileri "özel nitelikli kişisel veri" kategorisindedir. Randevu hatırlatması bile sağlık durumuna ilişkin bilgi içerdiğinden ek önlemler gerekir.
Finans
Finans sektörü BDDK ve SPK düzenlemelerine de tabidir. WhatsApp üzerinden finansal veri paylaşımında ek şifreleme ve saklama kuralları geçerlidir.
Sıkça Sorulan Sorular
WhatsApp'tan müşteriye mesaj atmak için her zaman izin gerekir mi?
Hayır. Müşteri size önce mesaj attıysa, 24 saat içinde izinsiz yanıt verebilirsiniz. Ancak kampanya, promosyon ve pazarlama mesajları için her durumda açık rıza ve İYS kaydı gerekir.
Müşteri "verilerimi silin" derse ne yapmalıyım?
30 gün içinde tüm kişisel verileri silmeniz veya anonimleştirmeniz gerekir. CRM sisteminizde kişinin tüm iletişim geçmişi, konuşma logları ve rehber kaydı silinmeli. Yasal saklama yükümlülüğü olan veriler (fatura vb.) hariç.
Sipariş onayı mesajı için ayrıca izin almam gerekir mi?
Hayır. Sipariş onayı, kargo bildirimi ve fatura gibi işlemsel mesajlar "sözleşmenin ifası" kapsamındadır ve ayrıca açık rıza gerektirmez. Ancak bu mesajlara promosyon içeriği eklerseniz, o kısım için izin gerekir.
KVKK ihlali cezası işletmelere hangi durumlarda kesilir?
En sık ceza sebepleri: izinsiz ticari ileti gönderimi, aydınlatma yükümlülüğünü yerine getirmeme, veri güvenliği ihlali (şifresiz saklama, yetkisiz erişim) ve silme taleplerini karşılamama. KVKK Kurulu şikâyet üzerine veya re'sen denetim başlatır.
Küçük işletmeler de KVKK'ya tabi mi?
Evet. KVKK tüm gerçek ve tüzel kişileri kapsar — tek kişilik şirketler dahil. Çalışan sayısı veya ciro fark etmez. Kişisel veri işleyen herkes kanun kapsamındadır.
Sonuç
KVKK uyumlu WhatsApp Business kullanımı bir yük değil, müşteri güvenini kazandıran bir rekabet fırsatıdır. KVKK WhatsApp cezaları her yıl katlanarak artıyor — 2024'te 459 milyon TL'ye ulaştı. Kişisel telefonlarda müşteri verisi saklamak en büyük risk kaynağı; Invekto'nun KVKK uyumlu altyapısı bu riski ortadan kaldırır.
- İzinsiz ticari ileti mesaj başına 10.000-100.000 TL KVKK ihlali cezası
- Kişisel telefonlarda veri saklama = denetim dışı veri işleme
- WhatsApp Business API ile şifreli, denetlenebilir, silinebilir altyapı
- Güvenlik ve uyumluluk altyapısı ile tüm gereksinimleri karşılayın
- CRM sisteminizi KVKK uyumlu altyapıyla entegre edin
Finansal kuruluşlar için
Finans, fintech, ödeme ve sigorta kuruluşlarının müşteri iletişim katmanı, kullanıcı bazlı yetki, veri maskeleme ve kayıtlı görüşme yapılarıyla kurumsal düzeyde yönetilmelidir. Tek panel yapısı, kurumun KVKK uyum süreçlerini destekler; tek başına uyum garantisi vermez.
Finansal İletişim Altyapısı sayfası
Taner Ultanir
Kurucu & CEO, Invekto
2016'dan beri 500+ isletmeye WhatsApp Business API ve CRM cozumleri sunan Invekto'nun kurucusu. 10 yili askin suredir musteri iletisimi, otomasyon ve e-ticaret alanlarinda aktif olarak calisiyor.
LinkedIn Profili →Risk Almayın, Güvenli Başlayın
Invekto'nun KVKK uyumlu altyapısı ile müşteri verilerinizi güvenle yönetin.