KVKK ve İçerik Üreticisi: Takipçi Verisini Kullanma Sınırları

Kayseri'de 38 bin takipçili bir yemek vlogger'ı, ConvertKit listesindeki 4.200 abonenin e-postasını yeni başlattığı affiliate kampanyasında kullandı. İki hafta sonra KVKK'dan idari para cezası bildirimi geldi: açık rıza belgelenememişti. Bu rehber, içerik üreticilerinin takipçi verisini hangi sınırlar içinde işleyebileceğini ve restoran ortaklıklarında karşılaşılan tipik tuzakları anlatıyor.

Açık rıza zorunluluğu: Madde 5'in pratik karşılığı

6698 sayılı KVKK madde 5/1 kişisel veri işlemeyi açık rıza şartına bağlar. Açık rıza üç unsuru aynı anda barındırmak zorundadır: belirli bir konuya ilişkin olmak, bilgilendirmeye dayanmak ve özgür iradeyle açıklanmış olmak. Pre-checked checkbox, bundle rıza ("hizmet şartlarını kabul ediyorum" altına gizlenmiş veri işleme) veya retroaktif rıza geçersizdir. Affiliate programa katılırken abonelerden alınan rıza, sadece bültene yöneliktir; üçüncü taraf restoran kampanyasına aktarım için yeni rıza gerekir.

İstisnalar dar yorumlanır: madde 5/2-f "meşru menfaat" düzenlemesi, takipçinin temel hak ve özgürlüklerine zarar vermemesi şartıyla işler. KVKK kararlarında pazarlama amaçlı e-posta gönderimi neredeyse hiçbir zaman meşru menfaat kapsamında değerlendirilmemiştir. Pratik sonuç: bülten = açık rıza, kampanya = ayrı açık rıza.

ConvertKit aydınlatma metni şablonu

Aydınlatma metni KVKK madde 10 gereği rıza formundan önce sunulmalıdır. Minimum içerik: veri sorumlusunun kimliği (creator gerçek ad + vergi numarası veya şahıs şirketi unvanı), işleme amaçları (bülten, ürün tanıtımı, affiliate komisyon raporlaması), aktarılan üçüncü taraflar (ConvertKit ABD, restoran X, ödeme sağlayıcı), saklama süresi (örn. abonelikten çıkıştan 2 yıl sonra silme), ilgili kişi hakları (madde 11: erişim, silme, itiraz).

• ConvertKit form yapısında "Custom Fields" bölümüne kvkk_riza alanı eklenir; opt-in zorunlu, pre-check kapalı.
• Confirmation email'inde aydınlatma metni linki + rıza tarihi kayıt altına alınır (audit log için).
• Üçüncü taraf kampanya için ayrı broadcast rıza segment'i; "I want creator deals" gibi açık etiket kullanılır.

Ref link'te takipçi adı: gizli ihlal

thMenu, Shopify Collabs veya Rakuten gibi platformlarda affiliate URL'lerin sonuna otomatik olarak takipçi tanımlayıcısı eklenmesi yaygındır. Örnek: menu.thmenu.com/x-restaurant?ref=ahmet_y. Bu yapı, takipçinin kullanıcı adını restorana ve analitik sağlayıcıya aktarır. Kullanıcı adı dolaylı kimlik bilgisidir (instagram profili → gerçek kimlik) ve KVKK kapsamında kişisel veridir.

Çözüm: hash'lenmiş veya rastgele tanımlayıcı kullanın. ?ref=a8f3k2 şeklinde 6-8 karakter rastgele alfanümerik, creator dashboard'da kendi takipçi adınızla map'lenir, ama dışarıya çıkmaz. Bu yaklaşım hem KVKK uyumlu hem GDPR pseudonymisation prensibine uygundur. thMenu affiliate dashboard'unda postback URL'ye sadece pseudonym gönderilir, gerçek kimlik creator hesabında tutulur.

FAQ

VBYS başvurusu zorunlu mu? Yıllık veri sorumlusu sayısı 50'yi veya bilanço 25 milyon TL'yi aşan creator'lar VBYS'ye kayıt zorunludur. Bireysel creator'lar genelde muafiyetten yararlanır ama 250.000+ takipçi bültenli profesyonel yapılar başvuru yapmalıdır.

İhlal durumunda ceza ne kadar? KVKK madde 18: aydınlatma yükümlülüğü ihlali 5.000-100.000 TL, veri güvenliği ihlali 15.000-1.000.000 TL arası. 2024'te içerik üreticilerine kesilen ortalama ceza 47.000 TL seviyesindeydi.

ConvertKit Avrupa sunucusu kullanmak şart mı? Hayır, yurt dışı aktarım KVKK madde 9 kapsamında açık rıza ile mümkündür. Ancak aydınlatma metninde ABD aktarımı açıkça belirtilmeli ve aboneye opt-out hakkı tanınmalıdır.

Faydalı buldunuz mu? Paylaşın.