E-Ticaret İçin Hukuk: KVKK, GDPR ve Mesafeli Satış Sözleşmesi

E-Ticaret İçin Hukuk: KVKK, GDPR ve Mesafeli Satış Sözleşmesi — 2026 Pratik Rehberi

E-ticaret hukuku biraz "sigorta" gibi: ihtiyacınız olduğunda elinizde olması gereken, olmadığında pahalıya patlayan bir konu. Buyukweb hosting müşterilerinden gelen "site açtım, hangi yasal sayfaları koymalıyım, KVKK için ne yapmalıyım, ETBİS kaydı nasıl?" sorularını bir araya topladım. Avukat değilim — yıllardır e-ticaret altyapısı sağlayan biri olarak yazıyorum; karmaşık davalarda mutlaka avukat görüşü alın, ama site açılışı, sözleşme şablonları, KVKK uyumu gibi pratik sorularda buradaki maddeler çoğu KOBİ'ye yetiyor. 2026'da çerçeve değişiklikleri: ETBİS yönetmeliği 2024 güncellemesi tam yerleşti, KVKK ceza üst sınırları yıllık endekslemeyle arttı, AB GDPR'da veri aktarımı için SCC standartları sıkılaştı.

Türk E-Ticaret Yasal Çerçeve Hiyerarşisi

Türkiye'de e-ticaret yapan bir işletme aşağıdaki kanunların kesişiminde çalışır:

Kanun	Numara	E-ticaret etkisi
Tüketicinin Korunması	6502	Cayma hakkı, mesafeli satış, ön bilgilendirme
Elektronik Ticaret	6563	ETBİS kaydı, e-posta izni, pazaryeri yükümlülüğü
KVKK	6698	Aydınlatma, açık rıza, VERBİS, çerez
GDPR	AB 2016/679	AB'ye satış yapan Türk siteleri için
Vergi Usul Kanunu	213	E-fatura, e-arşiv, e-defter
Elektronik İmza	5070	Sözleşmelerin elektronik imzalanması

Mesafeli Sözleşmeler Yönetmeliği 6502'nin alt düzenlemesidir; her sipariş için sözleşme + ön bilgilendirme zorunluluğu buradan gelir. 6563'ün 2024 yönetmelik güncellemesi pazaryerleri ile e-ticaret işletmesi arasındaki sorumluluk farkını netleştirdi.

ETBİS Kaydı: Kim, Ne Zaman, Nasıl?

ETBİS (Elektronik Ticaret Bilgi Sistemi), Ticaret Bakanlığı'nın yürüttüğü kayıt sistemidir. 6563'e göre e-ticaret yapan tüm işletmeler — şahıs, limited, anonim — ETBİS'e kaydolmak zorundadır; sadece bilgilendirme amaçlı (satış yapmayan) kurumsal sitelere kayıt zorunlu değil. Kayıt adımları: e-Devlet ile etbis.ticaret.gov.tr'ye giriş, MERSİS/vergi no/web URL/hizmet türü (e-ticaret işletmesi mi, aracı hizmet sağlayıcı mı) bilgilerinin girilmesi, onay sonrası atanan ETBİS numarasının sitenizin altbilgisinde gösterilmesi.

2024 yönetmelik sonrası net işlem hacmi ve ciroya göre orta ve büyük ölçekli e-ticaret işletmesi kategorileri tanımlandı; bu kategorilere giren işletmeler için ek yükümlülükler var (ürün güvenliği denetimi, fikri mülkiyet şikayetlerini hızlı işleme alma, aldatıcı tasarım yasağı). Eşikler yıllık güncellenir; 2026 için kesin rakamları ETBİS portalından kontrol edin.

KVKK Uyumu — Türkiye'de E-Ticaret İçin

KVKK (6698 sayılı kanun) tüm e-ticaret sitelerinin temel sorumluluğudur. Ad, soyad, adres, e-posta, telefon, IP, çerez ID — bunların hepsi kişisel veridir.

Aydınlatma Metni — 6 Zorunlu Unsur

KVKK md.10'a göre veri sorumlusu (yani siz) ilgili kişiyi şu konularda aydınlatmak zorundadır: (1) veri sorumlusunun kimliği (şirket ünvanı, MERSİS, adres, varsa temsilci), (2) işlenme amacı (sipariş, teslimat, fatura, pazarlama, analitik), (3) hukuki sebep (sözleşme ifası, açık rıza, kanuni yükümlülük, meşru menfaat), (4) aktarılan kişi/kuruluşlar (kargo, ödeme kuruluşu, hosting, e-posta servisi), (5) toplama yöntemi (form, çerez, telefon, fiziki belge), (6) ilgili kişinin hakları (md.11: bilgi alma, düzeltme, silme, itiraz, başvuru yolu). Metin sitenizin altbilgisinde her sayfadan erişilebilir olmalı. Buyukweb'in KVKK Aydınlatma Metni sayfası yapı örneği olarak incelenebilir.

Açık Rıza vs. Aydınlatma — Karıştırılan İki Kavram

Aydınlatma bilgilendirmedir, her veri işlemede yapılır. Açık rıza işlemin hukuki sebebi başka bir gerekçeye (sözleşme, kanun, meşru menfaat) dayanmıyorsa zorunludur (örn. pazarlama e-postası). Açık rızanın 3 niteliği: özgür irade (hizmet için "rıza ver" zorunluluğu olamaz), bilgilendirilmiş (ne için rıza verdiğini bilen kullanıcı), belirli konuya ilişkin ("genel rıza" geçersiz). Ön onaylı checkbox (kullanıcı işaretlemeden gelen tikli kutu) yasaktır.

VERBİS Kaydı ve Veri İhlali Bildirimi

VERBİS (Veri Sorumluları Sicili) KVKK md.16 düzenlemesidir. 2026 itibariyle yıllık çalışan sayısı 50+ veya yıllık mali bilanço toplamı belirli eşiği aşan veri sorumluları kayıt yaptırmak zorundadır; yurt dışında yerleşik veri sorumluları için Türkiye'de temsilci gerekir. Eşikler yıllık güncellenir, son durum verbis.kvkk.gov.tr'de. KOBİ'lerin birçoğu eşiğin altında kalır ama büyüdükçe kayıt yükümlülüğü doğar.

Veri ihlali (sızma, yanlış gönderim, sistem ele geçirme) tespit edildiğinde 72 saat içinde Kurum'a bildirim zorunludur. Etkilenen ilgili kişilere makul sürede bildirim yapılır. Bildirim yapmamak para cezalarının ağır halini doğurur.

Cezalar (2026 Güncel Aralıklar)

KVKK idari para cezaları yıllık yeniden değerleme oranıyla güncellenir. Aydınlatma aykırılığı onbinlerden yüzbinler TL, veri güvenliği aykırılığı yüzbinlerden milyonlar TL, Kurul kararına uymama tek ihlalde milyonlarca TL'ye ulaşabilir. Güncel rakamlar için kvkk.gov.tr idari para cezaları sayfasına bakın.

GDPR — Türk E-Ticaret Sitesi Kapsam İçinde mi?

GDPR (AB Genel Veri Koruma Tüzüğü), AB içinde hizmet veren ya da AB vatandaşlarının verisini işleyen tüm kuruluşlara uygulanır. Türk bir e-ticaret sitesi iki durumda kapsamdadır: AB'ye satış yapıyorsa (İngilizce/Almanca dil seçeneği, EUR fiyat, AB'ye kargo) veya AB ziyaretçinin davranışını izliyorsa (analitik, profilleme, hedefleme).

KVKK ile GDPR Farkları

Konu	KVKK (TR)	GDPR (AB)
Yaş eşiği (çocuk rızası)	18 yaş altı veli rızası	16 (devlete göre 13'e kadar)
DPO zorunluluğu	Tavsiye	250+ çalışan veya yüksek risk için zorunlu
Veri ihlali bildirim	72 saat	72 saat
DSAR cevap süresi	30 gün	30 gün (uzatma 60 gün)
Yurt dışına aktarım	Yeterli koruma kararı + taahhüt	Adequacy decision + SCC + BCR
Maksimum ceza	Yıllık endeksli, milyon TL	20M EUR veya yıllık ciro %4

AB satışı yapıyorsanız Privacy Policy'yi en azından İngilizce yayınlayın, çerez banner'ı granüler kontrol ile GDPR uyumlu hale getirin, kullanıcı verilerini görme/silme/taşıma talepleri (DSAR) için süreç kurun, profilleme/otomatik karar/hassas veri işliyorsanız DPIA (Veri Koruma Etki Değerlendirmesi) yapın, AB dışına veri aktaran 3. taraf sözleşmelerine SCC ekleyin ve gerekiyorsa DPO atayın.

Mesafeli Satış Sözleşmesi — Zorunlu Unsurlar ve Cayma Hakkı

Mesafeli Sözleşmeler Yönetmeliği'ne göre internet üzerinden yapılan her satışta tüketiciye ön bilgilendirme ve mesafeli satış sözleşmesi sunulması zorunludur; iki belge çoğu zaman aynı içeriği taşır, ön bilgilendirme sözleşmenin imzalanmadan önce gösterilen halidir.

Sözleşme/Ön Bilgilendirmede Bulunması Gerekenler

Satıcı ünvanı, MERSİS, adres, telefon, e-posta; ürün/hizmetin temel nitelikleri ve teslimat süresi; toplam fiyat (KDV + kargo dahil); ödeme yöntemi; 14 gün cayma hakkı ve kullanım şekli; cayma istisnaları; şikayet/uyuşmazlık yolu.

Cayma Hakkı — 14 Gün ve İstisnalar

Tüketici, ürünün teslim alındığı günden itibaren 14 gün içinde gerekçesiz iade edebilir. İade kargo ücreti satıcıya aittir (aksi yönde sözleşme maddesi geçersiz). İstisnalar: kişiye özel ısmarlama, çabuk bozulan/son kullanma tarihi yakın ürünler, ambalajı açılan tek kullanımlık ürünler (kozmetik, hijyen), erişilen/indirilen dijital içerik, ifa edilen hizmetler, süreli yayınlar (tek seferlik), bahis/şans oyunları.

Tüketici Uyuşmazlık Çözümü

Belirli parasal sınırın altındaki uyuşmazlıklar Tüketici Hakem Heyeti'ne (il/ilçe, ücretsiz), üzeri Tüketici Mahkemesi'ne taşınır. 2026 parasal sınırı yıllık güncellenir; tuketici.ticaret.gov.tr'de yayımlanır. Başvuru e-Devlet üzerinden de yapılabilir.

Çerez Yönetimi — KVKK Uyumlu Banner

Çerezler IP/ID üzerinden ilgili kişiye bağlanabildiği için kişisel veridir. KVKK ve GDPR çerez yönetiminde benzer prensipler getirir.

Çerez Kategorileri

Kategori	Örnek	Rıza?
Zorunlu	Oturum, sepet, güvenlik	Hayır
Performans/Analitik	GA4, server-side analytics	Evet
Tercih/İşlevsel	Dil tercihi, tema	Evet veya bilgilendirme
Pazarlama/Reklam	Facebook Pixel, Google Ads	Evet

Banner UI Kuralları

KVKK Kurumu çerez rehberi (2022) ve GDPR'a göre banner şu kurallara uymalı: tek başına "Kabul Et" yasak, 3 buton standardı ("Tümünü Kabul" + "Sadece Zorunlu" + "Tercihleri Yönet"), reddetmek kabul etmek kadar kolay olmalı, pazarlama/analitik/tercih için ayrı granüler toggle ve rıza kaydı 12 ayda bir yenilenmeli. WordPress + WooCommerce için yaygın eklentiler: Complianz, Cookiebot, CookieYes, Real Cookie Banner — GDPR + KVKK uyumlu modlar, aydınlatma şablonu, çerez kategorizasyonu ve otomatik tarama sunar.

// Manuel implementasyon — vanilla JS iskelet
function initCookieBanner() {
  if (localStorage.getItem('cookie_consent_v2')) return;
  const banner = document.createElement('div');
  banner.id = 'cookie-banner';
  banner.innerHTML = '<p>Çerez kullanıyoruz. <a href="/cerez-politikasi">Detaylar</a></p>'
    + '<button id="cookie-all">Tümünü Kabul</button>'
    + '<button id="cookie-required">Sadece Zorunlu</button>'
    + '<button id="cookie-manage">Tercihleri Yönet</button>';
  document.body.appendChild(banner);

  document.getElementById('cookie-all').onclick = () => {
    saveConsent({ necessary: true, analytics: true, marketing: true });
    loadAnalyticsScripts(); loadMarketingScripts(); banner.remove();
  };
  document.getElementById('cookie-required').onclick = () => {
    saveConsent({ necessary: true, analytics: false, marketing: false });
    banner.remove();
  };
  document.getElementById('cookie-manage').onclick = () => showPreferenceModal();
}

function saveConsent(prefs) {
  localStorage.setItem('cookie_consent_v2', JSON.stringify({
    ...prefs, timestamp: new Date().toISOString(), version: 2,
  }));
}

E-Fatura ve E-Arşiv — Vergi Tarafı

Vergi Usul Kanunu (213) ve GİB tebliğleri çerçevesinde e-ticaret işletmeleri belirli ciro/sektör eşiklerinde e-fatura ve e-arşiv sistemine geçmek zorundadır. 2026 itibariyle e-arşiv tüm e-ticaret işletmeleri için (B2C satışlarda) zorunlu, e-fatura brüt satış hasılatı belirli eşiği aşan mükellefler için zorunlu (eşik her yıl güncellenir), e-defter ise e-fatura'ya geçenler için takip eden yıl başında devreye girer. GİB portalı veya özel entegratör üzerinden başvuru yapılır; WooCommerce, OpenCart, PrestaShop için e-fatura/e-arşiv eklenti çözümleri yaygındır.

E-Ticaret Sitesinde Bulunması Gereken Yasal Sayfalar

Footer'da link olması gereken zorunlu sayfalar: Hakkımızda/İletişim (şirket ünvanı, MERSİS, ticaret sicil, vergi no, adres, telefon, e-posta, ETBİS no), Mesafeli Satış Sözleşmesi, Ön Bilgilendirme Formu, KVKK Aydınlatma Metni, Çerez Politikası, Gizlilik Politikası (KVKK + GDPR varsa + DSAR), İade ve İptal Politikası (14 gün cayma + istisnalar), Kullanım Koşulları. Buyukweb'in Sözleşme ve KVKK Aydınlatma sayfaları yapı olarak referans alınabilir.

Hosting Sağlayıcı KVKK Sözleşmesi (DPA)

KVKK md.12'ye göre veri işleyen ile veri sorumlusu arasında yazılı sözleşme zorunludur. Hosting sağlayıcı e-ticaret işletmesinin verisini saklayan/işleyen rolündedir. Buyukweb tarafında cPanel Web Hosting Bursa Tier 3'te Türkiye lokasyonludur, WordPress Hosting WooCommerce için LiteSpeed + LSCache ile uyumlu altyapı sunar, E-Ticaret VDS yüksek hacimli mağazalar için site sahibine tam kontrol verir; Sözleşme ve KVKK Aydınlatma metinleri kayıt sırasında onaylanır. Sizin tarafınızdan KVKK metinleri ve süreçleri ayrıca hazırlanmalı; altyapı tarafında veri işleyen sözleşmesi ve fiziksel/mantıksal güvenlik Buyukweb tarafından sağlanır.

WooCommerce KVKK Onay Kutusu Örneği

Kayıt formuna açık rıza kutusu eklemek için tipik bir snippet:

add_action('woocommerce_register_form', function() {
    woocommerce_form_field('kvkk_consent', [
        'type' => 'checkbox',
        'class' => ['form-row-wide'],
        'label' => '<a href="/kvkk-aydinlatma" target="_blank">KVKK Aydinlatma Metni</a>ni okudum, kabul ediyorum. (Zorunlu)',
        'required' => true,
        'default' => 0,  // on onayli kutu yasak
    ], 0);
});

add_action('woocommerce_register_post', function($u, $e, $errors) {
    if (empty($_POST['kvkk_consent'])) {
        $errors->add('kvkk_error', 'KVKK aydinlatma metnini kabul etmelisiniz.');
    }
}, 10, 3);

// Tarih + IP ispat icin
add_action('woocommerce_created_customer', function($cid) {
    update_user_meta($cid, 'kvkk_consent', 1);
    update_user_meta($cid, 'kvkk_consent_date', current_time('mysql'));
    update_user_meta($cid, 'kvkk_consent_ip', $_SERVER['REMOTE_ADDR']);
});

Default 0 — kutu işaretlenmemiş başlar; kullanıcı kendi iradesiyle onaylar. Tarih ve IP ispat için kaydedilir.

E-Ticaret Hukuk Pratik Checklist (10 Madde)

1. ETBİS kaydı tamamlandı, numara footer'da görünür.
2. MERSİS, vergi no, adres, telefon Hakkımızda/İletişim sayfasında doğru.
3. KVKK Aydınlatma Metni 6 zorunlu unsuru içeriyor, her sayfadan link var.
4. Açık rıza kutuları (kayıt, checkout, pazarlama) ön onaylı değil, granüler.
5. Çerez banner 3 butonlu, granüler kontrol var, ilk yüklemede non-essential script çalışmıyor.
6. Mesafeli Satış Sözleşmesi ve Ön Bilgilendirme Formu sipariş öncesi gösteriliyor, onay alınıyor.
7. Cayma hakkı bilgisi (14 gün, istisnalar) sözleşmede ve iade sayfasında net.
8. VERBİS eşik kontrolü yapıldı, gerekiyorsa kayıt tamamlandı (ya da gerekçeli yapılmadı).
9. E-fatura/E-arşiv entegrasyonu ciro durumuna göre yapıldı.
10. Hosting sağlayıcı ile DPA mevcut; veri ihlali bildirim süreci dokümante edildi.

Sıkça Sorulan Sorular

ETBİS kaydı şahıs şirketi için zorunlu mu?

Evet. Şirket türünden bağımsız olarak e-ticaret yapan tüm gerçek/tüzel kişi işletmeler ETBİS kapsamındadır.

VERBİS eşiği nedir, kayıt zorunluluğum var mı?

Eşik iki kriterli: yıllık çalışan sayısı 50+ veya yıllık mali bilanço toplamı belirli üst sınırı aşma. Birçok küçük e-ticaret işletmesi eşiğin altında kalır. Eşik yıllık güncellenir, verbis.kvkk.gov.tr son durumu yayımlar. Eşiğin altındaysanız da KVKK'nın diğer yükümlülükleri (aydınlatma, açık rıza, güvenlik) geçerlidir.

Cayma hakkı 14 günü hangi durumlarda kullanılamaz?

Kişiye özel ısmarlama, çabuk bozulan ürünler, ambalajı açılan tek kullanımlık ürünler (kozmetik, hijyen), erişilen/indirilen dijital içerik, ifa edilen hizmetler, süreli yayınlar, bahis/şans oyunları. İstisnaları sözleşmede ve ürün sayfasında açıkça belirtmezseniz cayma hakkı korunur.

GDPR Türkiye'deki bir e-ticaret sitesini kapsar mı?

AB'den müşteri kabul ediyorsanız (Almanca/İngilizce dil, EUR fiyat, AB'ye kargo) veya AB ziyaretçinin davranışını izliyorsanız evet. Sadece Türkiye'ye satış yapan, sadece Türkçe site GDPR kapsamı dışında kalır.

Aydınlatma metni var, açık rıza da almam gerekiyor mu?

İkisi farklı amaçlar için. Aydınlatma her veri işlemede yapılır. Açık rıza, işlemenin hukuki dayanağı başka bir gerekçeye (sözleşme, kanun, meşru menfaat) dayanmıyorsa zorunludur. Sipariş için ad/adres işlemek sözleşme ifasıdır, açık rıza gerekmez ama aydınlatma gerekir; pazarlama e-postası için açık rıza şart.

Hosting sağlayıcımdan DPA istemem gerekir mi?

Evet, KVKK md.12 yazılı sözleşme zorunluluğu getirir. Türkiye merkezli sağlayıcılarda kayıt sırasında imzalanan kullanıcı sözleşmesi + KVKK aydınlatma metni bu kapsamı karşılar; yurt dışı sağlayıcılar için ek SCC gerekebilir. Sözleşmeyi saklayın, denetimde gösterilebilir kılın.

KVKK ihlali olursa ne yapmalıyım?

72 saat içinde kvkk.gov.tr veri ihlal bildirimi formundan Kurum'a bildirim yapın, etkilenen ilgili kişilere makul sürede bildirim (e-posta yeterli olabilir) ekleyin. Kapsam, etkilenen kişi sayısı, alınan tedbirler kayıt altına alınır.

Pazarlama e-postası göndermek için ne gerekir?

6563 ve KVKK çerçevesinde açık rıza + abonelik bağlantısı (unsubscribe) + İleti Yönetim Sistemi (İYS) kaydı gerekir. İYS ticari elektronik ileti gönderenleri ve onayları kayıt altına alan merkezi sistemdir.

WooCommerce için hangi KVKK eklentilerini kullanabilirim?

Çerez banner için Complianz, Cookiebot, CookieYes, Real Cookie Banner. Veri silme/dışa aktarma için WP yerleşik "Tools > Erase Personal Data" WooCommerce ile entegre çalışır; DSAR formu için Gravity Forms/WPForms ile özel akış kurulabilir.

E-fatura ne zaman zorunlu olur?

Brüt satış hasılatı GİB eşiğini geçen mükellefler sonraki yıl başından itibaren e-fatura kapsamındadır. E-arşiv ise B2C satışlarda eşiği daha düşüktür; çoğu küçük e-ticaretçi e-arşiv kapsamındadır. Son durum ebelge.gib.gov.tr'de.

---

E-ticaret hukuk yükümlülüklerinin temelini bir sefer doğru kurmak, sonradan ortaya çıkan ihlal/şikayet/dava risklerini büyük oranda azaltır. KVKK aydınlatma metni, mesafeli satış sözleşmesi, çerez banner ve ETBİS kaydı dört temel direği oluşturur; üzerine VERBİS, e-fatura, GDPR (varsa) eklenir. Adım adım ilerlendiğinde 1-2 hafta içinde tüm sayfa ve süreçler tamamlanabilir. Buyukweb tarafında altyapı (Türkiye lokasyonlu veri merkezi, yedekleme, güvenlik) hazır; hukuki metinlerinizin içeriği ise kendi süreçlerinize göre hazırlanmalı — bu rehber genel bilgi niteliğindedir, davalı durumlarda mutlaka avukat görüşü alın.

İlgili Büyükweb Hizmetleri

E-ticaret siteniz için Türkiye lokasyonlu, KVKK uyumlu altyapı:

• cPanel Web Hosting
• WordPress Hosting (WooCommerce için)
• E-Ticaret VDS
• VDS Sunucu
• Buyukweb Sözleşme
• Buyukweb KVKK Aydınlatma Metni

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.