GDPR ve web sitesi 2026: Avrupalı KOBİ'ler için uyumluluk rehberi

GDPR 2026'da 8 yaşına basıyor, ancak Cookiebot 2025 araştırmasına göre Avrupalı KOBİ sitelerinin %70'i hâlâ kısmen uyumsuz durumda. Mart 2024'te zorunlu hâle gelen Consent Mode v2, DSA, Privacy Shield'ın sona ermesi ve Data Privacy Framework olarak yeniden doğuşu, ve dark patterns konusundaki yeni kararlar arasında zemin sürekli değişiyor. İşte OptionWeb'in 2026'da tüm müşteri sitelerinde uyguladığı kontrol listesi.

1. Google Consent Mode v2 zorunlu

6 Mart 2024'ten itibaren Google, Avrupalı kullanıcılarla Google Ads ve Google Analytics kullanmak için Consent Mode v2 uygulamasını şart koşar. Consent Mode v2 olmadan kampanyalarınız artık optimizasyon için AEA verilerini kullanamaz ve dönüşümler büyük ölçüde eksik raporlanır.

Pratikte Google'a 7 onay parametresi iletilmelidir: ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Google sertifikalı bir CMP (Consent Management Platform) bunu otomatik olarak yönetir.

OptionWeb tavsiyesi: Aylık 100k görüntülemeye kadar olan KOBİ'ler için Axeptio (UX, fiyat, AB merkezi); üstünde, otomatik çoklu alan adı taraması gerekirse Cookiebot.

2. Dark pattern içermeyen çerez bandı

Fransız CNIL ve Avrupa otoriteleri 2024-2025'te çerez bandı yaptırımlarını çoğalttı. Açıkça yasak desenler: 'Tümünü reddet' butonu 'Kabul et'ten daha az görünür ya da gizli, zorunlu olmayan çerezler için önceden işaretli kutular, sayfa kaydırma = örtük onay, banner'ın seçim yapılmadan kapatılması = kabul.

Katı kural: 'Tümünü kabul et' ve 'Tümünü reddet' aynı görsel düzeyde — aynı boyut, aynı renk, aynı konum. Reddetmek kabul etmek kadar kolay olmalıdır. Fransız bir KOBİ, sadece 'Reddet' butonu iki kat daha küçük olduğu için 2024'te 8.000 € ceza aldı.

3. İşleme faaliyetleri kaydı

İşleme faaliyetleri kaydı, 250'den fazla çalışanı olan her kuruluş için zorunludur ve bunun altındakiler için şiddetle önerilir. Denetlenen bir KOBİ için, otoritenin isteyeceği ilk belgedir.

Her işleme için (bülten, iletişim formu, ödeme, işe alım, muhasebe) belgeleyin:

• Amaç — Bu verileri neden topladığınız (ör. aylık bülten göndermek).
• Hukuki dayanak — Onay, sözleşme, yasal yükümlülük, meşru menfaat, kamu yararı görevi veya hayati menfaatler.
• Veri kategorileri — E-posta, ad, IP, davranış, banka bilgileri vb.
• Kişi kategorileri — Potansiyel müşteriler, müşteriler, çalışanlar, alt yükleniciler, adaylar.
• Alıcılar — Verileri kim alır: iç ekip, alt işleyiciler (Mailchimp, Stripe), partnerler.
• AB dışı transferler — Geçerliyse: ülke, hukuki dayanak (SCC, BCR, yeterlilik kararı).
• Saklama süresi — Aktif + ara arşiv + yasal arşiv.
• Güvenlik önlemleri — Şifreleme, erişim kontrolü, yedekleme, ekip eğitimi.

Pratik format: Excel veya Notion tablosu, her yeni işlemede güncellenir. Otoriteler ücretsiz şablon sunar. İlk kez oluşturmak için 1-2 günlük çalışma hesaplayın.

4. Barındırma ve AB dışı transferler

Schrems II kararından (Temmuz 2020) bu yana, Avrupalı kullanıcıların bulunduğu bir web sitesini Standard Contractual Clauses ve etki analizi olmadan AWS US, Google Cloud US veya Azure US üzerinde barındırmak = açık uyumsuzluk. Temmuz 2023'teki AB-ABD Data Privacy Framework, DPF sertifikalı ABD barındırıcıları için durumu istikrarlı hâle getirdi, ancak kalan risk sürüyor (iptal davası beklemede).

KOBİ'ler için basit çözüm: AB barındırıcısı (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). AB dışı transfer yok = tartışma yok. Bu, OptionWeb'de Verpex (Hollanda veri merkezi) ile varsayılan tercihimizdir.

Vazgeçilmez ABD alt işleyicileri için (Stripe, Mailchimp, HubSpot, Google Workspace) yapılması gerekenler:

1. Alt işleyicinin DPF sertifikasını dataprivacyframework.gov üzerinden doğrulayın
2. Onunla bir DPA (Veri İşleme Anlaşması) imzalayın (genellikle ToS yoluyla otomatik)
3. DPA'ya ekli SCC'leri (Standard Contractual Clauses) doğrulayın
4. İşleme kaydında transferi ve hukuki dayanağını belgeleyin
5. Transferi gizlilik politikasında açıkça belirtin

5. VKK: zorunlu mu değil mi?

Veri Koruma Görevlisi (VKK / DPO) yalnızca 3 durumda zorunludur: kamu otoritesi, kişilerin büyük ölçekli sistematik izlenmesi, hassas verilerin (sağlık, görüşler, din, biyometri) büyük ölçekli işlenmesi. KOBİ'lerin %95'i için zorunlu değildir.

Ancak B2C KOBİ'ler veya e-ticaret için şiddetle önerilir: paylaşımlı bir dış VKK aylık 200-500 € tutar ve denetim durumunda hukuki güvence sağlar. Üç seçenek:

6. Kullanıcı hakları (erişim, silme)

Her kullanıcının uygulanabilir 6 hakkı vardır: erişim, düzeltme, silme (unutulma hakkı), kısıtlama, taşınabilirlik, itiraz. Bir KOBİ talebi 1 ay içinde işlemelidir (gerekçeli karmaşık vakalar için 2 aya kadar uzatılabilir).

Asgari kurulum: özel bir e-posta adresi (privacy@alanadiniz.eu), 'GDPR talebi' etiketli iletişim formu, talebi tanımlamak, verileri bulmak, dışa aktarmak veya silmek ve kullanıcıyı bilgilendirmek için belgelenmiş iç prosedür.

7. Saklama süreleri

Verileri 'her ihtimale karşı' saklamak = GDPR ihlali. Her veri kategorisinin gerekçeli bir saklama süresi olmalıdır. KOBİ şablonu:

8. Erişilebilir gizlilik politikası

Özel sayfa, her sayfanın altbilgisinde bağlantı, açık dilde yazılmış (okunaksız hukuki dil yok). Şunları içermelidir: veri sorumlusunun kimliği, amaçlar ve hukuki dayanaklar, saklama süreleri, kullanıcı hakları ve nasıl kullanılacağı, varsa AB dışı transferler, üçüncü taraf alt işleyicilerin listesi (Google Analytics, Mailchimp vb.), atanmışsa VKK, otoriteye şikayet hakkı (KVKK Türkiye'de KVKK Kurumu, Fransa'da CNIL).

Her yeni alt işleyici veya yeni amaç için güncelleyin. Son güncelleme tarihi sayfanın üstünde görünür olsun.

Son cezalar: akılda tutulması gerekenler

GDPR cezaları 2024'te yalnızca Meta (1,2 milyar €), TikTok (345 M€) ve Uber (290 M€) için kümülatif olarak bir milyar avroyu aştı. KOBİ'lerde yaptırımlar daha mütevazı kalsa da yinelenen gerekçeler çarpıcıdır:

• Gizli veya daha küçük 'Reddet' butonu — 2024'te 5.000 € ile 100.000 € arasında tekrarlanan yaptırımlar.
• Doğrulanmış double opt-in olmadan bülten — Tipik vaka: onay kanıtı olmadan liste içe aktaran KOBİ için 10.000 € ceza.
• Aşırı saklama süresi — CV'leri 'her ihtimale karşı' 10 yıl saklamak = yaptırım. Önerilen sınır 2 yıl.
• SCC olmadan ABD alt işleyicisine transfer — DPF olmayan ABD pazarlama aracı kullanan KOBİ'ye karşı 2025 yaptırımı: 25.000 €.
• Gizlilik politikasının olmaması veya eksik olması — Şikâyet durumunda asgari 5.000 € ceza neredeyse sistematik.