Ana içeriğe geç

Web Uygulamanızda Kullanıcılara E-posta Göndermenin Yasal Sınırları: KVKK, Ticari Elektronik İletiler ve İYS Rehberi - Turklex.ai

Sistem güncelleme, şifre sıfırlama veya pazarlama e-postası göndermek isteyen geliştiriciler ve girişimciler için KVKK, 6563 sayılı Kanun ve İYS yükümlülüklerine yönelik kapsamlı bir uyum rehberi.

Turklex.ai May 13, 2026 8 min read
kvkk iys ticari elektronik ileti veri koruma hukuki uyum

Giriş: Dijital Dünyada E-posta Gönderimi ve Hukuki Çerçeve

Web uygulamalarının yaygınlaşmasıyla birlikte kullanıcılara e-posta gönderimi, her yazılım geliştiricisinin ve girişimcinin karşılaştığı temel bir operasyonel ihtiyaç haline gelmiştir. Kullanıcıya bir sistem güncellemesi bildirmek, şifre sıfırlama bağlantısı göndermek veya yeni bir özelliği duyurmak — bunların her biri teknik açıdan basit görünse de Türk hukuku açısından birden fazla mevzuat katmanını ilgilendirmektedir.

Bu alanda iki temel düzenleme öne çıkar:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) — Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir (KVKK m. 1).
  • 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik — Ticari elektronik iletilerin gönderim koşullarını, onay mekanizmasını ve İleti Yönetim Sistemi (İYS) yükümlülüklerini düzenler.

Bu blog yazısında, sistem güncelleme maili göndermek isteyen geliştiriciler ve girişimciler için yasal yükümlülükler adım adım ele alınacak; hangi mailin ticari ileti sayıldığı, KVKK kapsamında ne yapılması gerektiği ve İYS’ye kayıt zorunluluğu gibi kritik konular açıklığa kavuşturulacaktır.

Sistem Güncelleme Maili Ticari İleti mi? Kritik Ayrım

Gönderilecek mailin hukuki niteliğinin doğru belirlenmesi, uygulanacak hukuki rejimi doğrudan etkiler. Bu ayrım, uyum sürecinin en kritik ilk adımıdır.

Onay Gerektirmeyen Durumlar

Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik’in 6. maddesi uyarınca; alıcının kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini vermesi hâlinde, temin edilen mal veya hizmetlere ilişkin değişiklik, kullanım ve bakıma yönelik ticari elektronik iletiler için ayrıca onay alınmaz.

Buna göre aşağıdaki türdeki mailler için önceden onay aranmaz:

  • Sistem güncelleme bildirimleri
  • Güvenlik uyarıları ve şifre sıfırlama
  • Hizmet kesintisi duyuruları
  • Kullanım koşulları değişikliği bildirimleri
  • Bakım planlaması bildirimleri

Onay Gerektiren Durumlar

Mailin içeriği aşağıdaki unsurlardan birini taşıyorsa ticari ileti sayılır ve önceden onay zorunlu hale gelir:

  • Ürün veya hizmet tanıtımı
  • Pazarlama ve kampanya duyuruları
  • Kutlama ve temenni içerikleri (yılbaşı, bayram vb.)
  • İşletmenin tanınırlığını artırmaya yönelik içerikler

Karma içerik uyarısı: Bir mail hem teknik bildirim hem de tanıtım unsuru içeriyorsa, ticari unsur nedeniyle mailin tamamı ticari ileti kapsamına girer.

İstanbul Bölge Adliye Mahkemesi 3. Hukuk Dairesi – 2024/8 E., 2024/353 K. sayılı kararında da bu ayrım açıkça vurgulanmıştır: Alıcının iletişim bilgisini bizzat vermesi halinde, temin edilen hizmetle ilgili değişiklik/kullanım/bakım iletileri için ayrıca onay aranmayacağı; ancak ticari ileti niteliğindeki iletiler için İYS üzerinden onay alınması ya da İYS dışında alınan onayların 3 iş günü içinde sisteme yüklenmesi gerektiği teyit edilmiştir.

KVKK Kapsamındaki Temel Yükümlülükler

Kullanıcıların e-posta adresini toplamak ve bu adrese ileti göndermek, 6698 sayılı KVKK kapsamında bir kişisel veri işleme faaliyetidir. E-posta adresi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bir bilgi olarak kişisel veri tanımına girer (KVKK m. 3/d). Bu nedenle veri sorumlusu sıfatıyla yerine getirilmesi gereken başlıca yükümlülükler şunlardır:

1. Amaç Sınırlılığı İlkesi (KVKK m. 4)

Kişisel veriler ancak belirli, açık ve meşru amaçlar için işlenebilir; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. E-posta adresi yalnızca kullanıcıya beyan edilen amaçla kullanılmalıdır. Kayıt sırasında “sistem bildirimleri için” toplanan e-posta adresi, sonradan pazarlama amacıyla kullanılamaz.

2. Aydınlatma Yükümlülüğü (KVKK m. 10)

Kişisel verilerin elde edilmesi sırasında veri sorumlusu, ilgili kişilere şu konularda bilgi vermekle yükümlüdür:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği
  • Kişisel verilerin hangi amaçla işleneceği
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi
  • İlgili kişinin KVKK m. 11 kapsamındaki hakları

Pratik uygulama: Kayıt formunda veya gizlilik politikasında kullanıcıya e-postasının hangi amaçla kullanılacağı açıkça bildirilmelidir.

3. Veri Güvenliği (KVKK m. 12)

Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. E-posta listesinin güvenli tutulması, yetkisiz erişime karşı şifreleme, erişim kontrolü ve düzenli denetim gibi önlemler bu kapsamdadır.

4. VERBİS Kaydı (KVKK m. 16)

Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS) kaydolmak zorundadır. Kurul’un belirlediği objektif kriterlere göre istisna kapsamında olup olmadığınız kontrol edilmelidir.

Ticari İleti Gönderilecekse: İYS Yükümlülükleri ve Onay Süreci

Gönderilecek mailler ticari ileti kapsamına giriyorsa, KVKK yükümlülüklerine ek olarak İleti Yönetim Sistemi (İYS) mevzuatı devreye girer. İşte adım adım yapılması gerekenler:

İYS’ye Kayıt Zorunluluğu

Ticari elektronik ileti göndermek isteyen gerçek ve tüzel kişiler İYS’ye kaydolmak zorundadır. İYS üzerinde onayı bulunmayan alıcılara ticari elektronik ileti gönderilemez.

Onay Süreci

DurumYükümlülük
İYS üzerinden onay alınmasıDoğrudan geçerli; ek işlem gerekmez
İYS dışında onay alınması3 iş günü içinde İYS’ye yüklenmeli
İYS’ye yüklenmeyen onaylarGeçersiz kabul edilir
Tacir/esnaf alıcılarRet hakkı kontrolü İYS üzerinden yapılmalı

İleti İçeriği Zorunlulukları

Her ticari elektronik iletinin başlığında veya içeriğinde şu bilgiler yer almalıdır:

  • Tacirler için: MERSİS numarası ve ticaret unvanı
  • Esnaflar için: Ad-soyad ve T.C. kimlik numarası veya vergi kimlik numarası
  • Tüm iletilerde: Ret (abonelikten çıkma) imkânı sağlayan bağlantı

Ret Taleplerinin Yönetimi

Alıcının ret talebinin derhal yerine getirilmesi ve İYS’de güncellenmesi zorunludur. İstanbul Bölge Adliye Mahkemesi 3. Hukuk Dairesi – 2024/8 E., 2024/353 K. sayılı kararında da İYS üzerinden alınmayan onayların 3 iş günü içinde sisteme yüklenmesi gerektiği; yüklenmeyenlerin geçersiz sayılacağı ve tacir/esnaf alıcılar için ret hakkı kontrolünün İYS üzerinden yapılması zorunluluğu teyit edilmiştir.

Üçüncü Taraf Mail Servisi Kullanımında KVKK Aktarım Kuralları

E-posta gönderimi için üçüncü taraf bir mail servisi (bulut tabanlı e-posta altyapısı, transactional mail servisleri vb.) kullanılıyorsa, kullanıcıların e-posta adreslerinin bu servise aktarılması KVKK kapsamında bir kişisel veri aktarımı sayılır.

Yurt İçi Aktarım (KVKK m. 8)

Kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü kişilere aktarılamaz. Ancak KVKK m. 5/2’de sayılan şartlardan birinin bulunması hâlinde (örneğin sözleşmenin ifası için zorunlu olması) açık rıza aranmaksızın aktarım mümkündür.

Yurt Dışı Aktarım (KVKK m. 9)

Mail servisinin sunucuları yurt dışında ise ek kurallar devreye girer:

  • Aktarılacak ülkede yeterli korumanın bulunup bulunmadığı değerlendirilmelidir
  • Yeterli koruma bulunmayan ülkelere aktarımda, Kurul’un belirlediği yöntemlerden biri uygulanmalıdır
  • Aktarılacak ülkedeki bağımsız veri koruma kurumunun varlığı, idari ve adli başvuru yolları, uluslararası sözleşmelere taraf olma durumu gibi kriterler gözetilmelidir

Önerilen Tedbirler

  • Üçüncü taraf mail servisi ile Veri İşleme Sözleşmesi (DPA) imzalanması
  • Aydınlatma metninde aktarıma ilişkin bilgi verilmesi
  • Veri sorumlusu ile veri işleyen arasındaki müşterek sorumluluk kapsamında güvenlik tedbirlerinin sözleşmeye bağlanması (KVKK m. 12/2)

Pratik Kontrol Listesi: Uyum İçin Yapılması Gerekenler

A. Teknik Bildirim Niteliğindeki Mailler İçin

  1. Aydınlatma metni ekleyin — Kayıt formuna veya gizlilik politikasına KVKK m. 10 kapsamında aydınlatma metni yerleştirin; e-postanın hangi amaçla kullanılacağını açıkça belirtin.
  2. Amaç sınırlılığına uyun — E-posta adresini yalnızca beyan edilen amaçla kullanın (KVKK m. 4).
  3. Veri güvenliği tedbirlerini alın — E-posta listesini şifreleyin, erişim yetkilerini sınırlayın, düzenli denetim yapın (KVKK m. 12).
  4. VERBİS kaydını kontrol edin — Kurul’un belirlediği kriterlere göre kayıt yükümlülüğünüz varsa VERBİS’e kaydolun (KVKK m. 16).

B. Ticari İleti Gönderilecekse Ek Olarak

  1. Ticari ileti onayı alın — Kayıt sırasında veya ayrı bir adımda, açık ve anlaşılır şekilde onay alın.
  2. Onayı İYS’ye kaydedin — İYS dışında alınan onayları 3 iş günü içinde İYS’ye yükleyin; yüklemezseniz onay geçersiz sayılır.
  3. Kimlik bilgisi ve ret bağlantısı ekleyin — Her iletide MERSİS numarası/ticaret unvanı ve abonelikten çıkma bağlantısı bulunmalıdır.
  4. Ret taleplerini yerine getirin — Alıcının ret talebini derhal uygulayın ve İYS’de güncelleyin.

C. Üçüncü Taraf Servis Kullanılıyorsa Ek Olarak

  1. Veri İşleme Sözleşmesi (DPA) imzalayın — Mail servisi sağlayıcısıyla KVKK uyumlu bir sözleşme yapın.
  2. Yurt dışı aktarım kurallarını gözetin — Sunucular yurt dışındaysa KVKK m. 9 kapsamındaki yükümlülükleri yerine getirin.

İstanbul Bölge Adliye Mahkemesi 3. Hukuk Dairesi – 2024/8 E., 2024/353 K. sayılı kararında da ticari elektronik ileti onayı ve İYS yükümlülüğünün kapsamı ayrıntılı biçimde incelenmiş; onay gerektirmeyen istisnalar ile İYS’ye kayıt zorunluluğu netleştirilmiştir.

Turklex ile Hukuki Uyum Sürecinizi Kolaylaştırın

KVKK uyum süreçleri, aydınlatma metni hazırlama, gizlilik politikası oluşturma ve ticari elektronik ileti mevzuatına uygun belge taslakları hazırlamak zaman alıcı ve uzmanlık gerektiren işlerdir. Turklex, bu süreçleri yapay zeka destekli hukuki araçlarıyla kolaylaştırır.

Turklex Ne Sunar?

  • Aydınlatma metni ve gizlilik politikası oluşturma: KVKK m. 10’a uygun, sektörünüze özel aydınlatma metinlerini dakikalar içinde hazırlayın.
  • Ticari ileti uyum belgeleri: İYS kayıt sürecinize rehberlik eden, onay metni taslakları ve ret mekanizması şablonları.
  • Veri İşleme Sözleşmesi (DPA) taslakları: Üçüncü taraf servis sağlayıcılarla yapılacak sözleşmelerin KVKK uyumlu taslakları.
  • Güncel mevzuat ve içtihat takibi: KVKK, Ticari Elektronik İletiler Yönetmeliği ve ilgili Kurul kararlarındaki değişiklikleri otomatik olarak izleyin.
  • Hukuki analiz ve risk değerlendirmesi: Gönderim planınızın mevzuata uygunluğunu yapay zeka destekli analiz ile kontrol edin.

Neden Turklex?

  • Zaman tasarrufu: Saatler süren hukuki araştırma ve belge hazırlama sürecini dakikalara indirin.
  • Maliyet avantajı: Her bir belge için ayrı danışmanlık ücreti ödemek yerine, platform üzerinden ihtiyacınız olan tüm belgelere erişin.
  • Güncellik garantisi: Mevzuat değişikliklerini anlık takip eden sistem sayesinde belgeleriniz her zaman güncel kalsın.
  • Avukatlar ve girişimciler için: Hem hukuk profesyonellerinin iş akışını hızlandırır hem de teknik ekiplerin hukuki uyum sürecini anlamasını kolaylaştırır.

Web uygulamanızın e-posta gönderim süreçlerini hukuka uygun hale getirmek için Turklex’i hemen deneyin. KVKK uyumunuzu sağlayın, İYS yükümlülüklerinizi eksiksiz yerine getirin ve kullanıcılarınızla güvenle iletişim kurun.

Yayın Tarihi: 13/05/2026


Bu yazı, Turklex platformunun mevcut özelliklerine genel bir bakış sunmaktadır. Detaylı bilgi ve demo talepleri için bizimle iletişime geçebilirsiniz.