KVKK uyumlu yapay zeka chatbot; WhatsApp, Instagram veya web sitesinde müşteri mesajlarını yanıtlarken 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun aydınlatma, açık rıza, veri saklama/imha ve yurt dışına aktarım kurallarına eksiksiz uyan otomasyon sistemidir. Chatbot'u kullanan işletme, hukuken "veri sorumlusu" sayılır ve tüm sorumluluk ona aittir.

Hukuki uyarı: Bu yazı genel bilgilendirme amaçlıdır, hukuki danışmanlık değildir. İşletmenizin özel durumu için bir avukata veya KVKK uzmanına danışın. Bilgiler Temmuz 2026 itibarıyla geçerli mevzuata dayanır.

Chatbot kullanan işletme neden "veri sorumlusu"dur?

Bir AI chatbot ile müşteri mesajı toplayan işletme, KVKK m.3 uyarınca "veri sorumlusu"dur; çünkü verinin işlenme amacını ve yöntemini o belirler. Chatbot sağlayan yazılım firması ise genellikle "veri işleyen" konumundadır. Bu ayrım kritiktir: ceza ve yükümlülük, sözleşmeyi imzalayan işletmeye düşer, yazılıma değil.

  • Veri sorumlusu: Chatbot'u kullanan işletme (KOBİ, ajans, e-ticaret sitesi). Aydınlatma, rıza ve güvenlik ondan beklenir.
  • Veri işleyen: Chatbot platformu. İşletme adına, onun talimatıyla veri işler; aralarında bir veri işleme sözleşmesi olmalıdır.
  • Neden önemli: "Yazılım firması hallediyordur" varsayımı yanlıştır; Kurul cezayı doğrudan işletmeye keser.

Aydınlatma yükümlülüğü chatbot'ta nasıl yerine getirilir?

Aydınlatma yükümlülüğü (KVKK m.10), sohbet başlamadan önce müşteriye kim olduğunuzu, verisini hangi amaçla işlediğinizi ve nereye aktardığınızı bildirmenizle yerine getirilir. Chatbot'ta bu, ilk mesajda gösterilen kısa bir bilgilendirme + aydınlatma metnine giden link ile sağlanır. Aydınlatma her veri işlemede zorunludur ve rızadan bağımsızdır.

Pratik uygulama

  • İlk temas mesajı: "Mesajlarınız [Firma Adı] tarafından talebinizi yanıtlamak amacıyla işlenir. Detay: [Aydınlatma Metni linki]" şeklinde otomatik açılış.
  • Yapay zeka kullanımı açıkça belirtilmeli: Kurul ilke kararları, otomatik/yapay zeka destekli işlemede şeffaflığı vurgular; müşteriye bir botla konuştuğu gizlenmemelidir.
  • Aydınlatma ≠ açık rıza: KVKK Kurulu, tek bir onay kutusunda aydınlatma ve rızayı birleştirmeyi ("okudum, onaylıyorum") sakıncalı bulur; ikisi ayrı sunulmalıdır.

Açık rıza ne zaman gerekir? (m.9 yurt dışı aktarım)

Açık rıza, yalnızca verinin işlenmesi için kanunda başka bir hukuki sebep yoksa gereklidir. Müşterinin "talebini yanıtlamak" için mesajını işlemek genelde sözleşmenin kurulması/ifası kapsamındadır ve ayrı rıza istemez. Ancak veri yurt dışındaki bir yapay zeka modelinde işlenecekse (OpenAI, Google, Meta sunucuları gibi), yurt dışına aktarım için ek güvence veya açık rıza devreye girer.

  • Rıza gerekmeyen hal: Müşterinin kendi başlattığı sorusunu yanıtlamak (m.5/2 — sözleşme/meşru menfaat). Türkiye içinde işlenen veride ek rıza şart değildir.
  • Rıza/güvence gereken hal: Mesaj içeriği yurt dışındaki bir AI modeline gönderiliyorsa, m.9 uyarınca uygun güvence (standart sözleşme) veya açık rıza gerekir.
  • Pazarlama izni: Chatbot verisini sonradan kampanya/reklam için kullanacaksanız, bu ayrı ve açık bir rıza ister (İYS + KVKK m.9).

Yurt dışına veri aktarımında 2024 sonrası standart sözleşme rejimi nedir?

10 Temmuz 2024'te yürürlüğe giren yönetmelikle (Resmî Gazete 32598) Türkiye, GDPR'a benzer bir aktarım rejimine geçti. Artık yurt dışına aktarım için üç yol var: yeterlilik kararı, uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, taahhütname) veya istisnalar. AI chatbot verisi yabancı sunucuda işleniyorsa bu rejim doğrudan sizi ilgilendirir.

Standart sözleşmenin kuralları

  • Değiştirilemez: Kurul'un yayımladığı standart sözleşme metni aynen imzalanır; üzerinde değişiklik yapılamaz.
  • 5 iş günü bildirim: İmzadan itibaren 5 iş günü içinde Kurul'a bildirim zorunludur; bildirmeme ayrı bir idari para cezası doğurur.
  • Taahhütname yolu: Standart sözleşme uygun değilse, tarafların hazırladığı taahhütname Kurul iznine sunulur.

Veri saklama ve imha: mesaj içeriği ve "verilerimi sil" talepleri

KVKK, kişisel veriyi işleme amacı ortadan kalkınca silmeyi, yok etmeyi veya anonim hale getirmeyi zorunlu kılar (m.7). Chatbot mesajları sınırsız saklanamaz; bir saklama ve imha politikası tanımlamanız gerekir. Ayrıca müşteri m.11 uyarınca "verilerimi sil" derse, en geç 30 gün içinde yanıt vermek ve talebi yerine getirmek zorunludur.

  • Belirli saklama süresi: Her veri kategorisi için makul bir süre belirleyip saklama-imha politikanıza yazmalısınız; "her zaman saklarım" hukuka aykırıdır.
  • Silme talebi (m.11): Müşteri chatbot üzerinden bile "verilerimi sil" diyebilir; bu bir başvurudur ve 30 günlük yanıt süresi işler.
  • Anonimleştirme: Fatura gibi VUK gereği 10 yıl tutulması gereken kayıtlar silinemez; bu durumda kişisel alanlar maskelenerek/anonimleştirilerek uyum sağlanır.

2026 cezai riskleri: KVKK idari para cezaları ne kadar?

2026 için yeniden değerleme oranı %25,49 uygulanmış ve KVKK idari para cezaları güncellenmiştir. Aydınlatma yükümlülüğünü yerine getirmeme cezası 85.437 TL'den başlar; veri güvenliği ihlallerinde üst sınır 17 milyon TL'yi aşar. Chatbot gibi otomatik sistemlerde şeffaflık ve güvenlik eksiği doğrudan bu yaptırımlara girer.

İhlal türü (2026) Alt sınır Üst sınır
Aydınlatma yükümlülüğünü yerine getirmeme 85.437 TL 1.709.200 TL
Veri güvenliği yükümlülüklerini yerine getirmeme 256.357 TL 17.092.242 TL
Kurul kararlarını yerine getirmeme 427.263 TL 17.092.242 TL
Standart sözleşme bildirim yükümlülüğü ihlali 90.308 TL 1.806.177 TL

Kaynak: KVKK 2026 güncel idari para cezası tutarları (1 Ocak 2026'dan itibaren işlenen ihlaller için geçerli; her yıl yeniden değerlemeyle güncellenir). Kurul kararları giderek "politikanın kağıt üzerinde varlığına" değil, uygulamanın fiilen nasıl işlediğine bakıyor.

Bu ölçekte neden önemli? Mesai dışı mesaj gerçeği

KVKK uyumu soyut bir yük değil; chatbot zaten iş için gerekli. DoWaba platform verisine göre (Ocak–Haziran 2026) gelen WhatsApp mesajlarının %57,6'sı mesai saatleri (hafta içi 09:00–18:00) dışında geliyor; Instagram DM'lerinde bu oran %65,8'e çıkıyor. Yani müşterilerin çoğuna insan yetişemiyor. 6 ayda 26.700'den fazla gelen mesaj ve 2.700'den fazla sesli çağrı işlendi; yapay zeka botunun medyan ilk yanıt süresi 23 saniye, mesajların %67,5'i 60 saniye içinde ve %75,5'i 2 dakika içinde yanıtlandı. Bu kadar veri akan bir kanalda KVKK uyumu sonradan eklenen değil, baştan kurulan bir özellik olmalı.

DoWaba'nın yaklaşımı: KVKK'yı baştan tasarlamak

DoWaba, Türkiye pazarına özel geliştirilmiş bir platform olarak KVKK uyumunu bir eklenti değil temel mimari kabul eder. Bu, veriyi yurt dışında işleyip sonradan uyum kılıfı giydiren bazı yabancı araçlardan ayrışan bir yaklaşımdır. Dürüst olmak gerekirse: yapay zeka modelleri (Gemini gibi) yurt dışında çalıştığı için mesaj içeriği aktarımı olur; bu yüzden DoWaba yurt dışı aktarımı gizlemez, rıza ve aydınlatma kapılarıyla yönetir.

  • 90 gün mesaj saklama: Mesaj içeriği varsayılan 90 gün sonra otomatik olarak silinir/anonimleştirilir; sınırsız saklama yapılmaz.
  • Kişisel veri maskeleme: Yapay zekaya gönderilen içerikte hassas alanların maskelenmesi için modül; veri minimizasyonu ilkesini destekler.
  • "Verilerimi sil" otomasyonu: Müşteri chatbot'a silme talebi ilettiğinde bunun bir m.11 başvurusu olarak işlenmesi ve verinin silinmesi otomatikleştirilir.
  • Aydınlatma metni otomatiği: İlk temas mesajına aydınlatma bilgilendirmesi ve link eklenmesi kanal kanal yapılandırılabilir.
  • Türkiye odağı: Fatura kayıtlarının silinmeyip anonimleştirilmesi (VUK 10 yıl), İYS entegrasyonu ve 11 TR e-ticaret entegrasyonu gibi yerel gereklilikler baştan düşünülür.

WhatsApp, Instagram ve yapay zeka sesli çağrı merkezi dahil tüm kanalları KVKK çerçevesinde tek panelde yönetmek isterseniz hemen başlayabilir, müşterilerinize KVKK uyumlu çözüm sunmak isteyen ajanslar ise çözüm ortağı programını inceleyebilir.

DoWaba ve yabancı chatbot platformları KVKK açısından nasıl kıyaslanır?

Temmuz 2026 itibarıyla popüler yabancı chatbot araçları güçlü otomasyon sunar ama KVKK'ya özel değildir; Türkiye bağlamını işletmenin kendisi kapatmak zorunda kalır. Aşağıdaki tablo yalnızca doğrulanmış bilgilerle hazırlanmıştır.

Özellik Manychat DoWaba
Başlangıç fiyatı 14 $/ay'dan başlar (Mart 2026 yeni fiyatlandırma; AI eklentisi ayrı ücretli) TL bazlı planlar (dowaba.com)
Uyum çerçevesi GDPR + Data Privacy Framework; KVKK'ya özel modül belirtilmiyor KVKK odaklı (retention, maskeleme, silme otomasyonu)
Veri işleme yeri ABD/AB sunucuları (yurt dışı aktarım işletmenin sorumluluğunda) TR odaklı; AI aktarımı rıza/aydınlatma ile yönetilir
Türkçe/otomatik dil Yerleşik otomatik dil algılama yok; akışlar elle çoğaltılır Türkçe arayüz + çok dilli AI yanıt
TR e-ticaret entegrasyonu Belirtilmiyor (doğrulanmadı) 11 TR platform entegrasyonu

Adil olmak gerekirse Manychat, akış kurgusu ve ölçek konusunda olgun ve yaygın bir üründür. Ancak KVKK'nın gerektirdiği yurt dışı aktarım güvencesi, Türkçe aydınlatma ve yerel imha politikası gibi yükleri işletmenin kendisi taşımak zorunda kalır.

Sık sorulan sorular

Chatbot kullanınca VERBİS'e kayıt olmam gerekir mi?

Chatbot'la kişisel veri işliyorsanız, VERBİS kayıt yükümlülüğü işletmenizin çalışan sayısı ve yıllık mali bilanço gibi eşiklere bağlıdır. Bu eşikleri aşıyorsanız kayıt zorunludur; küçük işletmeler için istisnalar olabilir. Kesin değerlendirme için KVKK uzmanına danışın.

Müşteri chatbot'a "verilerimi sil" yazarsa ne yapmalıyım?

Bunu KVKK m.11 kapsamında bir başvuru olarak kabul edip en geç 30 gün içinde yanıtlamanız ve saklama zorunluluğu (örneğin fatura) yoksa veriyi silmeniz gerekir. DoWaba'da bu talep otomatik olarak işlenebilir; manuel takip riskini azaltır.

Yapay zeka modeli yurt dışındaysa KVKK'yı otomatik ihlal etmiş olur muyum?

Hayır, ihlal otomatik değildir. Yurt dışına aktarım, uygun güvence (2024 standart sözleşme rejimi) veya açık rıza ile hukuka uygun yapılabilir. Kritik olan bunu gizlememek, aydınlatma metninde belirtmek ve gereken güvenceyi sağlamaktır.

Aydınlatma metnini her mesajda mı göstermeliyim?

Her mesajda değil; ilk temasta bir kez bilgilendirme yapmak ve tam aydınlatma metnine erişilebilir bir link sunmak yeterlidir. Önemli olan verinin işlenmeye başladığı anda kişinin bilgilendirilmiş olmasıdır.