1. Bölüm: Veri Toplama ve Rıza Yönetimi (KVKK & ETK)
İnternet sitenizdeki her form (kayıt, iletişim, bülten), bir veri toplama noktasıdır. Hukuki olarak “bilmiyorum” deme şansınız yoktur.
- Aydınlatma Metni: Verilerin kim tarafından, hangi amaçla işleneceğini açıklar. Formun hemen altında, onay kutusu gerektirmeyen ancak erişilebilir bir link olmalıdır.
- Açık Rıza (Checkbox): “Kampanyalardan haberdar olmak istiyorum” kutucuğu asla önceden işaretli olamaz. Kullanıcı bunu kendi iradesiyle işaretlemelidir.
- Ayrıştırma İlkesi: Üyelik sözleşmesi onayı ile pazarlama izni (SMS/Mail) aynı kutucuğa bağlanamaz. Her biri için ayrı onay alınmalıdır.
2. Bölüm: Olmazsa Olmaz Hukuki Metinler
Bu metinler sitenizin “kullanım kılavuzu”dur. Eksikliği durumunda Tüketici Hakem Heyeti kararlarında doğrudan haksız sayılırsınız.
- Mesafeli Satış Sözleşmesi (MSS): Her siparişe özel üretilir. Ürün, fiyat, teslimat ve iade şartlarını içerir.
- Ön Bilgilendirme Formu: MSS’nin özetidir. Ödeme butonuna basılmadan hemen önce kullanıcıya gösterilmelidir.
- Çerez (Cookie) Politikası: Sitenizde kullanılan takip kodlarını (Pixel, Analytics vb.) kullanıcıya bildirir ve yönetme şansı tanır.
- İptal ve İade Koşulları: Müşterinin 14 günlük cayma hakkını nasıl kullanacağını net bir dille anlatmalıdır.
3. Bölüm: Güvenli Ödeme Altyapısı
Kredi kartı verilerini işlemek büyük sorumluluktur. Teknik olarak en güvenli yol, veriye hiç dokunmamaktır.
- Iyzico, PayTR gibi Aracı Kurumlar: Bu sistemler “iFrame” veya “Redirect” yöntemini kullanır. Kart bilgileri sizin sunucunuza uğramaz, doğrudan BDDK lisanslı kurumun şifreli havuzuna gider.
- PCI-DSS Uyumluluğu: Eğer kart saklama (Tokenization) yapacaksanız, altyapınızın bu global güvenlik standardına sahip olması gerekir. Aracı kurumlar bu yükü sizin üzerinizden alır.
- 3D Secure: Sahte işlem (fraud) riskine karşı banka onay kodunun zorunlu tutulması hem sizi hem müşteriyi korur.
4. Bölüm: Doğrulama ve İletişim Mekanizması
E-posta onayı, sitenizin “çöp veri” ile dolmasını engeller ve hukuki ispat niteliği taşır.
- Üyelikli Alışverişte “Double Opt-in”: Kayıt olan kullanıcıya aktivasyon linki gönderilir. Bu sayede e-postanın sahibi doğrulanır. KVKK açısından, verinin sahibine ait olduğunun teyidi için en güçlü yöntemdir.
- Misafir Alışverişinde OTP (Tek Kullanımlık Şifre): Üye olmayan kullanıcılar için ödeme aşamasında SMS veya e-posta ile bir kod gönderilerek “doğru kişi” tespiti yapılır.
- Sipariş Onay ve Fatura: Satın alma bittiği an, sistem otomatik olarak “Siparişiniz Alındı” mailini ve ardından e-faturayı iletmelidir. Bu, Mesafeli Sözleşmeler Yönetmeliği gereği zorunluluktur.
| Madde | Durum | Öncelik |
| SSL Sertifikası aktif mi? | [ ] | Kritik |
| MSS ve Ön Bilgilendirme Formu her siparişte oluşuyor mu? | [ ] | Kritik |
| Pazarlama izinleri (ETK) ayrı kutucukla mı alınıyor? | [ ] | Yüksek |
| E-posta konfirmasyon eklentisi kurulu ve çalışıyor mu? | [ ] | Yüksek |
| İleti Yönetim Sistemi (İYS) entegrasyonu var mı? | [ ] | Orta |
Önemli Not: Bu rehber teknik bir çerçeve sunar. Şirketinizin ölçeğine ve sattığınız ürün grubuna (gıda, kozmetik, yazılım vb.) göre bu metinlerin bir hukuk müşaviri tarafından gözden geçirilmesi hayati önem taşır.
