Bir işletme sahibi olarak kapınızdan içeri giren her müşteri, size yalnızca ürün ya da hizmet almak için gelmiyor; ad soyadından telefon numarasına, adresinden alışveriş alışkanlıklarına kadar bir dizi kişisel veriyi de emanet ediyor. Mesleki pratikte en sık karşılaştığımız sorunlardan biri, bu verilerin hangi çerçevede işlendiğinin yazılı bir belgeyle güvence altına alınmamış olması. İşte tam bu noktada Müşteri Veri Gizlilik Sözleşmesi devreye giriyor. 2026 yılı itibariyle KVKK denetimlerinin sıklaşması ve idari para cezalarının üst sınırlarının yeniden güncellenmesiyle birlikte, bu sözleşme artık "olsa iyi olur" değil, "olmazsa olmaz" bir belge hâline geldi.
Geçtiğimiz ay ofisimize başvuran orta ölçekli bir e-ticaret firması, müşteri listesinin eski bir çalışan tarafından rakip firmaya aktarıldığını fark etmişti. Elimize ulaştırdıkları evraklar arasında ne işçiyle imzalanmış bir gizlilik taahhüdü ne de müşterilerle yapılmış bir veri işleme sözleşmesi vardı. Sonuç tahmin edebileceğiniz gibi; hem Kişisel Verileri Koruma Kurulu'na şikâyet hem de itibar kaybı. Bu yazıda, böyle durumların önüne geçecek bir Müşteri Veri Gizlilik Sözleşmesi'ni nasıl kuracağınızı, hangi maddeleri mutlaka içermesi gerektiğini ve 2026 mevzuatına göre dikkat edilmesi gereken noktaları adım adım ele alacağım.
Müşteri Veri Gizlilik Sözleşmesi Nedir ve Neden Gereklidir?
Kısaca tanımlamak gerekirse, bu sözleşme; veri sorumlusu sıfatını taşıyan işletmenin, müşterisinden elde ettiği kişisel verileri hangi amaçla, ne kadar süreyle, hangi güvenlik önlemleriyle ve kimlerle paylaşarak işleyeceğini düzenleyen yazılı bir hukuki metindir. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 10. maddesi veri sorumlusuna "aydınlatma yükümlülüğü" getirirken, 11. madde ilgili kişiye haklarını kullanma imkânı tanır. Sözleşme, bu iki yükümlülüğün ispata elverişli bir belgeye dönüşmüş hâlidir.
Müşteri Veri Gizlilik Sözleşmesi Şablonunu Hemen Oluşturun
Profesyonel şablon, tüm zorunlu maddelerle birlikte 5 dakikada hazır.
Sözleşmeyi OluşturPeki neden aydınlatma metni tek başına yetmiyor? Çünkü aydınlatma metni tek yönlüdür; siz bilgilendirirsiniz, müşteri okur. Oysa sözleşme çift yönlüdür: Tarafların rıza beyanı, karşılıklı yükümlülükleri ve ihlal hâlinde başvurulacak yolları belirler. 6098 sayılı Türk Borçlar Kanunu'nun genel sözleşme hükümleri çerçevesinde de bu belge, bir irade uyuşmasının somut delili hâline gelir.
Hangi İşletmelerin Bu Sözleşmeyi İmzalaması Gerekir?
- Üyelik sistemiyle çalışan e-ticaret siteleri ve pazaryerleri
- Sağlık kuruluşları, klinikler ve estetik merkezleri
- Hukuk büroları, mali müşavirlik ofisleri gibi profesyonel danışmanlık firmaları
- Emlak ofisleri, sigorta acenteleri, finans kuruluşları
- Kargo, lojistik ve kurye hizmeti veren firmalar
- Güzellik salonları, spor salonları ve abonelik esaslı hizmet sağlayıcılar
Eğer siz de yukarıdaki gruplardan birindeyseniz ya da müşteri verisiyle düzenli temas kuran herhangi bir sektörde faaliyet gösteriyorsanız, bu belgeyi bir an önce hazırlamanız gerekiyor. Standart bir şablon üzerinden yürümek yerine, faaliyet alanınıza özgü maddeleri içeren bir metin kullanmak hem denetimlerde hem de olası uyuşmazlıklarda sizi koruyacaktır. Sözleşme analiz aracımız ile mevcut sözleşme taslağınızın KVKK uyumunu birkaç dakika içinde kontrol edebilirsiniz.
Müşteri Veri Gizlilik Sözleşmesi'nde Mutlaka Bulunması Gereken Maddeler
Bir sözleşmenin hukuki olarak geçerli ve denetime dayanıklı olması için belirli unsurları içermesi şart. Uygulamada gördüğümüz en yaygın hata, sözleşmelerin sadece "veriler korunacaktır" gibi muğlak ifadelerle geçiştirilmesi. Oysa Kişisel Verileri Koruma Kurulu'nun 2025 yılı sonunda yayımladığı rehber, somut ifadelerin altını özellikle çiziyor.
Temel Sözleşme Maddeleri
- Tarafların Kimlik Bilgileri: Veri sorumlusu işletmenin ticaret unvanı, MERSİS numarası, adresi; müşterinin ad, soyad ve iletişim bilgileri.
- İşlenen Veri Kategorileri: Kimlik, iletişim, finans, sağlık, konum, görsel/işitsel kayıt gibi sınıflandırma.
- İşleme Amaçları: Sözleşmenin ifası, pazarlama, yasal yükümlülük, meşru menfaat gibi hukuki sebepler ayrı ayrı belirtilmeli.
- Saklama Süreleri: Her veri kategorisi için ayrı süre tanımlanmalı (örneğin faturalar için 10 yıl, pazarlama verileri için 2 yıl gibi).
- Aktarım Bilgisi: Yurt içi/yurt dışı aktarım yapılacaksa alıcı grupları açıkça yazılmalı.
- Güvenlik Tedbirleri: Şifreleme, erişim kısıtlaması, log kayıtları gibi teknik önlemler.
- İlgili Kişi Hakları: KVKK m.11'deki haklar tek tek sayılmalı.
- Uyuşmazlık Çözümü: Yetkili mahkeme ve uygulanacak hukuk.
Açık Rıza ile Kapsamlı Rıza Ayrımı
6698 sayılı Kanun'un 5. ve 6. maddeleri, bazı veri işleme faaliyetleri için açık rıza aranmadığını belirtir. Ancak pazarlama amaçlı veri işleme, özel nitelikli kişisel verilerin işlenmesi ya da yurt dışına aktarım söz konusu olduğunda açık rıza zorunludur. Sözleşmenizde bu iki kategori birbirine karıştırılmamalı, ayrı kutucuklar veya ayrı imza alanlarıyla ayrıştırılmalıdır. Yargıtay 11. Hukuk Dairesi'nin 2025 tarihli bir kararında, tek bir onay kutucuğuyla hem sözleşme ifası hem de pazarlama rızası alınmasının "rızanın özgür iradeyle verilmiş sayılamayacağı" şeklinde yorumlandığını hatırlatmak isterim.
2026 Yılı İtibariyle Geçerli Süreler, Harçlar ve İdari Para Cezaları
Veri gizliliği ihlalleri sadece itibar sorunu yaratmıyor; aynı zamanda ciddi mali yaptırımlara da yol açıyor. 6698 sayılı Kanun'un 18. maddesi uyarınca belirlenen idari para cezaları, 2026 yılı yeniden değerleme oranıyla güncellenmiş durumda. Aşağıdaki tabloda hem sürelere hem de güncel ceza aralıklarına dair bir özet bulacaksınız.
| İhlal Türü / İşlem | Yasal Süre | 2026 İdari Para Cezası (TL) |
|---|---|---|
| Aydınlatma yükümlülüğüne aykırılık | — | 68.000 – 1.362.000 |
| Veri güvenliği tedbirlerine aykırılık | — | 204.000 – 13.620.000 |
| Kurul kararına uymama | — | 340.000 – 13.620.000 |
| VERBİS'e kayıt yükümlülüğü ihlali | — | 272.000 – 13.620.000 |
| İlgili kişi başvurusuna cevap süresi | 30 gün | — |
| Kurul'a şikâyet süresi | 30 gün (veri sorumlusu cevabı sonrası) / 60 gün (cevap gelmezse) | — |
| Veri ihlali bildirim süresi | 72 saat | — |
Tablodaki rakamlar, 2026 yılı için Hazine ve Maliye Bakanlığı'nca açıklanan yeniden değerleme oranına göre güncellenmiştir. Güncel tutarları ve mevzuat metninin son hâlini Resmî Gazete'nin arşivinden (mevzuat.gov.tr) ve Kişisel Verileri Koruma Kurumu'nun resmî sitesinden (kvkk.gov.tr) teyit etmenizi tavsiye ederim.
Sözleşme Hazırlarken Dikkat Edilmesi Gereken Pratik Noktalar
Teoride her şey güzel görünür, asıl mesele uygulamada ortaya çıkar. Son dönemde Kurul'a intikal eden dosyalarda gördüğümüz tipik hatalar şunlar:
- Kopyala-yapıştır şablon kullanımı: Kuaförün sözleşmesinin avukat bürosunda kullanılması, faaliyet alanına uygun olmayan veri kategorileri içerdiği için geçersiz sayılabiliyor.
- Tarih ve versiyon bilgisinin bulunmaması: Sözleşme güncellendiğinde hangi tarihten itibaren hangi metnin geçerli olduğu belirsiz kalıyor.
- Çerez politikasının sözleşmeye eklenmemesi: Online platformlarda bu, KVKK ihlali olarak kabul ediliyor.
- Yurt dışı aktarım maddesinin eksik bırakılması: Bulut hizmeti, e-posta pazarlama aracı ya da ödeme altyapısı yurt dışındaysa bu mutlaka belirtilmeli.
- İmza yerine yalnızca "onay kutucuğu" kullanılması: Fiziksel mağazalarda kağıt imza, dijital ortamda ise elektronik imza ya da zaman damgalı onay mekanizması önerilir.
6102 sayılı Türk Ticaret Kanunu'nun 18. maddesi, tacirin basiretli bir iş adamı gibi davranma yükümlülüğünü düzenler. Bu yükümlülük, müşteri verilerinin korunmasında da uygulanır; yani "bilmiyordum" savunması tacirler için genellikle kabul görmez. İstanbul Bölge Adliye Mahkemesi 17. Hukuk Dairesi'nin 2025 tarihli bir kararında, veri ihlali yaşayan bir e-ticaret firmasının tazminat sorumluluğu değerlendirilirken tam da bu madde referans alınmıştı.
Dijital Onay Süreci İçin İpuçları
Fiziksel ıslak imza her zaman mümkün olmayabilir. Dijital ortamda geçerli bir onay süreci için şunlara dikkat edin:
- Onay kutucukları önceden işaretli olmamalı (pre-ticked box yasağı).
- Açık rıza ile sözleşme onayı ayrı kutucuklarda sunulmalı.
- Onay anında IP adresi, tarih ve saat bilgisi log olarak kaydedilmeli.
- Kullanıcı istediğinde rızasını kolayca geri çekebilmeli; geri çekme mekanizması erişilebilir olmalı.
- Sözleşme metninin PDF kopyası onayın ardından kullanıcıya e-posta ile iletilmeli.
Bu sürecin teknik altyapısını kurmak için hukuki metin hazırlığının yanı sıra yazılım tarafında da entegrasyon gerekebilir. Sözleşme Cepte üzerinden hazırlayacağınız sözleşmeler, dijital onay süreçlerine uygun şekilde versiyonlanabilir ve arşivlenebilir şekilde sunulur.
Sözleşme İhlali Halinde Müşterinin ve İşletmenin Hakları
Bir veri ihlali meydana geldiğinde zincirleme sorumluluklar devreye girer. Öncelikle veri sorumlusu, ihlalin farkına vardığı andan itibaren 72 saat içinde Kurul'a bildirim yapmak zorundadır. Bu süre, Kurul'un 2019 tarihli ilke kararından bu yana sabit olup 2026 itibariyle de geçerliliğini korumaktadır. Aynı zamanda ihlalden etkilenen müşterilere de makul süre içinde bilgilendirme yapılması gerekir.
Müşteri yönünden bakıldığında ise 6698 sayılı Kanun'un 14. maddesi, ilgili kişinin veri sorumlusuna başvurduktan sonra cevap alamaması ya da cevabın yetersiz bulunması hâlinde Kurul'a şikâyet hakkını düzenliyor. Ayrıca 6098 sayılı Türk Borçlar Kanunu'nun 49. maddesi çerçevesinde maddi ve manevi tazminat talebi için genel mahkemelerde dava açılabilir. e-Devlet (edevlet.gov.tr) üzerinden KVKK şikâyet başvurusu yapmak da mümkün.
Sözleşmenizde ihlal hâlinde uygulanacak cezai şart maddesini net biçimde düzenlerseniz, olası uyuşmazlıklarda ispat yükü hafifler. Cezai şart miktarının makul sınırlar içinde kalmasına dikkat edin; aksi hâlde TBK'nın 182. maddesi uyarınca hâkim tarafından indirilebilir. Detaylı sözleşme kalemlerinin fiyatlandırılmasına ilişkin fiyatlandırma sayfamız üzerinden güncel paketleri inceleyebilirsiniz.
Sıkça Sorulan Sorular
Müşteri Veri Gizlilik Sözleşmesi ile Aydınlatma Metni aynı şey midir?
Hayır, aynı değildir. Aydınlatma metni tek taraflı bir bilgilendirmedir ve KVKK m.10 kapsamında zorunludur. Sözleşme ise karşılıklı hak ve yükümlülükleri düzenleyen, imzayla taahhüt altına alınan iki taraflı bir belgedir. İdeal uygulama, ikisini birlikte kullanmaktır.
Sözleşmeyi kendim hazırlayabilir miyim yoksa mutlaka avukattan mı almalıyım?
Küçük ölçekli işletmeler için mevzuata uygun hazırlanmış şablonlar üzerinden ilerlemek mümkündür. Ancak sağlık, finans, hukuk gibi özel nitelikli veri işleyen sektörlerde mutlaka uzman desteği alınmasını tavsiye ederim. Şablon kullanacaksanız da faaliyet alanınıza özelleştirilmiş olmasına özen gösterin.
Müşterim sözleşmeyi imzalamayı reddederse hizmet vermeyi durdurabilir miyim?
Sözleşmenin ifası için zorunlu veriler söz konusuysa (örneğin fatura için TCKN), bu verilerin işlenmesine izin verilmemesi hâlinde hizmet sunulamaz. Ancak pazarlama gibi açık rıza gerektiren faaliyetler için rıza vermeme, hizmeti reddetme gerekçesi olamaz. Bu iki durumu ayrıştırmak kritik.
Sözleşme ne sıklıkla güncellenmeli?
Mevzuatta bir değişiklik olduğunda, faaliyet alanınızda genişleme ya da daralma olduğunda veya yeni bir veri işleme faaliyeti başladığınızda güncellemelisiniz. En iyi pratik, yılda en az bir kez gözden geçirilmesidir.
Yurt dışındaki bulut hizmetini kullanırken sözleşmeye ne yazmalıyım?
Hangi bulut sağlayıcının kullanıldığı, sağlayıcının hangi ülkede bulunduğu, verilerin hangi amaçla aktarıldığı ve Kurul'un belirlediği güvenli ülkeler listesi çerçevesinde durumun nasıl ele alındığı açıkça belirtilmelidir. Açık rıza ya da standart sözleşme maddeleri mekanizmalarından hangisine dayanıldığı da yazılmalıdır.
VERBİS kaydı ile Müşteri Veri Gizlilik Sözleşmesi arasında nasıl bir ilişki var?
VERBİS, işletmenizin hangi verileri işlediğini Kurum'a beyan etmenizi sağlayan bir sicildir. Sözleşme ise müşteriyle aranızdaki ilişkiyi düzenler. İkisi birbirini tamamlar: VERBİS'te beyan ettiğiniz veri kategorileriyle sözleşmede belirttiğiniz veri kategorileri tutarlı olmalıdır.
Sözleşmeyi Türkçe dışında bir dilde de hazırlamak gerekir mi?
Müşteri kitleniz yabancı uyrukluları kapsıyorsa, en azından İngilizce bir versiyonun bulunması faydalıdır. Hukuki geçerlilik açısından Türkçe metin esas alınsa da çeviri metnin varlığı, rızanın bilinçli verildiğinin ispatı açısından önemlidir.
Müşteri verilerinizi koruma altına almak, aslında işletmenizin geleceğine yapılmış en sessiz ama en etkili yatırımlardan biri. Bir veri ihlali yaşandıktan sonra hasar kontrolü yapmak, baştan doğru bir sözleşme hazırlamaktan çok daha maliyetli. Bir sonraki müşteriniz kapınızdan içeri girdiğinde, ona sadece kaliteli bir hizmet değil, verilerinin güvende olduğuna dair somut bir güvence de sunabilmek için bugün hazırlıklara başlayın. Sorularınız için iletişim sayfamız üzerinden ekibimize her zaman ulaşabilirsiniz.
Alakalı Araçlar
Bu konu hakkında diğer platformlarımızdan da faydalanın.
Genel Taahhütname
taahhut
Fazla Mesaim Ödenmiyor
Haftalık 45 saati aşan çalışmalar için %50 zamlı fazla mesai ücreti.
Veraset ve İntikal Vergisi
Miras yoluyla intikal eden mal varlığında ödenecek vergiyi basamaklı olarak hesaplar. Yasal Dayanak: 193 sayılı Gelir Vergisi Kanunu, 488 sayılı Damga Vergisi Kanunu, 3065 sayılı KDV Kanunu.
Daha Fazla Rehber
Tüm Sözleşme Şablonları
200+ profesyonel sözleşme şablonu