Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunGDPR Uygulama Kılavuzu: e-Ticaret ve ERP Sistemleri için Veri Gizliliği
GDPR'nin yürürlüğe girdiği 2018'den bu yana, düzenleyiciler 5,3 milyar Euro'nun üzerinde para cezası kesti. Meta'ya 2023'te verilen en büyük para cezası - 1,2 milyar Euro - hiçbir şirketin cezalandırılamayacak kadar büyük olmadığını gösterdi. Ancak düzenleme en çok, şirketlerin önemli miktarda kişisel veriyi hukuk ekipleri ve küresel şirketlerin uyumluluk bütçeleri olmadan işlediği orta pazar düzeyinde darbe alıyor.
E-ticaret işletmeleri ve ERP'ye bağımlı şirketler için GDPR, müşteri verilerini depolayan her sisteme dokunur: çevrimiçi mağazanız, CRM'niz, sipariş yönetiminiz, e-posta pazarlamanız ve analizleriniz. Bu kılavuzda pratik, makale bazında bir uygulama planı sunulmaktadır.
Önemli Çıkarımlar
- Veri eşleme tartışmaya açık olmayan ilk adımdır --- envanterine almadığınız verileri koruyamazsınız
- Rıza yönetimi tek bir onay kutusu yerine ayrıntılı, amaca özel katılımlar gerektirir
- DSAR otomasyonu önemlidir --- 30 günlük yanıt süresi, büyük ölçekte manuel işlemlere yer bırakmaz
- ERP sisteminiz muhtemelen en büyük kişisel veri havuzunuzdur ve ilk günden itibaren uyumluluk için yapılandırılmalıdır
GDPR'nin Dijital İşletmelere Yönelik Kapsamını Anlamak
GDPR, nerede yerleşik olduğuna bakılmaksızın, AB'de ikamet edenlerin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Dünya çapında nakliye yapan bir e-Ticaret şirketi veya Avrupalı kullanıcıları olan bir SaaS platformu için, bölge dışı erişim, GDPR'yi kaçınılmaz kılmaktadır.
Neler Kişisel Veri Olarak Sayılır
GDPR kapsamındaki kişisel veriler çoğu şirketin beklediğinden daha kapsamlıdır:
| Veri Kategorisi | Örnekler | Yaygın Olarak Bulunan |
|---|---|---|
| Kimlik verileri | Ad, e-posta, telefon, adres | CRM, sipariş sistemi, ERP iletişim bilgileri |
| Finansal veriler | Kredi kartı bilgileri, banka hesapları, faturalar | Ödeme işlemcisi, muhasebe modülü |
| Davranış verileri | Göz atma geçmişi, satın alma modelleri, tıklama verileri | Analitik, pazarlama otomasyonu |
| Teknik veriler | IP adresleri, cihaz kimlikleri, çerezler | Web sunucusu günlükleri, CDN, analizler |
| İletişim verileri | E-posta içeriği, sohbet transkriptleri, destek biletleri | Yardım masası, e-postayla pazarlama, CRM notları |
| Konum verileri | GPS koordinatları, teslimat adresleri, IP coğrafi konumu | Mobil uygulamalar, gönderim modülü, analiz |
| İstihdam verileri | Maaş, performans değerlendirmeleri, devam | İK modülü, bordro sistemi |
Çoğu işletme için kritik olan, ERP sistemlerinin (Odoo, SAP veya başka türlü) modüllerinde bu veri kategorilerinin her birini içerdiğidir.
Adım 1: Veri Eşleme ve İşleme Envanteri
GDPR'nin 30. Maddesi, İşleme Faaliyetlerinin Kaydının (ROPA) yapılmasını gerektirir. Bu isteğe bağlı bir belge değildir; yasal bir gerekliliktir ve diğer her şeyin temelidir.
Verilerinizi Nasıl Haritalayabilirsiniz?
Kişisel verileri işleyen her sistem için aşağıdakileri belgeleyin:
- Hangi kişisel veriler toplanır (belirsiz kategoriler değil, belirli alanlar)
- Neden toplanıyor (yasal dayanak --- rıza, sözleşme, meşru menfaat, yasal yükümlülük)
- Nerede saklandığı yer (veritabanı, sunucu konumu, bulut bölgesi)
- Kimin erişimi var (roller, üçüncü taraflar, alt işleyiciler)
- Ne kadar süreyle saklanır (saklama süresi gerekçesi ile birlikte)
- Nasıl korunur (şifreleme, erişim kontrolleri, anonimleştirme)
Uygulama Kontrol Listesine İlişkin GDPR Maddesi
| GDPR Makalesi | Gereksinim | Uygulama Eylemi |
|---|---|---|
| Sanat. 5 | Veri minimizasyonu | Tüm formları denetleyin --- ihtiyacınız olmayan alanları kaldırın |
| Sanat. 6 | Yasal dayanak | Her işleme faaliyetinin yasal dayanağını belgeleyin |
| Sanat. 7 | Onay koşulları | Parçalı, geri çekilebilir onay mekanizmaları uygulayın |
| Sanat. 12-14 | Şeffaflık | Anlaşılır, katmanlı gizlilik bildirimleri yayınlayın |
| Sanat. 15-20 | Veri sahibi hakları | 30 günlük SLA ile DSAR işleme iş akışını oluşturun |
| Sanat. 17 | Silme hakkı | Sistemler arasında kademeli olarak veri silme işlemini uygulayın |
| Sanat. 20 | Veri taşınabilirliği | Kişisel verilerin JSON/CSV dışa aktarımını etkinleştirin |
| Sanat. 25 | Tasarım gereği gizlilik | Varsayılan ayarlar gizliliği korumalı olmalıdır |
| Sanat. 28 | İşleyici anlaşmaları | Kişisel verileri işleyen tüm satıcılarla DPA'lar yürütün |
| Sanat. 30 | İşleme kayıtları | ROPA'yı düzenli güncellemelerle koruyun |
| Sanat. 32 | Güvenlik önlemleri | Şifreleme, erişim kontrolü, takma ad verme |
| Sanat. 33-34 | İhlal bildirimi | Denetleyici makama 72 saatlik bildirim süreci |
| Sanat. 35 | Etki değerlendirmesi | Yüksek riskli işleme için DPIA'ları yürütün |
| Sanat. 37-39 | Veri Koruma Görevlisi | Ölçeğin işlenmesine göre gerekiyorsa DPO'yu atayın |
2. Adım: Rıza Yönetimi
GDPR kapsamındaki onay serbestçe verilmeli, spesifik, bilgilendirilmiş ve net olmalıdır. Önceden işaretlenmiş onay kutuları ve genel onay günleri sona erdi.
E-Ticaret için Onay Mimarisi
E-Ticaret platformunuzun birden fazla bağımsız onay mekanizmasına ihtiyacı vardır:
Pazarlama izni. E-posta pazarlaması, SMS pazarlaması ve kişiselleştirilmiş reklamcılık için ayrı katılım. Her kanalın kendi onay kutusuna ihtiyacı vardır. Ön seçim yok.
Analitik onayı. Ayrıntılı seçime olanak tanıyan çerez izni başlığı: gerekli çerezler (izin gerekmez), analiz çerezleri, pazarlama çerezleri, tercih çerezleri. İzin verilene kadar komut dosyalarını engelleyen uygun bir Onay Yönetimi Platformu (CMP) uygulayın.
İşlemsel iletişim. Sipariş onayları, gönderim güncellemeleri ve hesap güvenliği uyarıları için onay gerekmez; bunlar "sözleşme zorunluluğu" kapsamına girer (Madde 6(1)(b)). Ancak pazarlama içeriğini işlem e-postalarına gizlice sokmayın.
Üçüncü taraf paylaşımı. Verileri iş ortaklarıyla (bağlı kuruluş ağları, inceleme platformları, analiz sağlayıcıları) paylaşırsanız, her paylaşım ilişkisinin kendi açıklaması ve uygun olduğu durumlarda izin alınması gerekir.
ERP Sistemlerinde Uygulama
Odoo ve benzeri ERP sistemlerinde izin takibini aşağıdaki şekilde uygulayın:
- İletişim modeline izin alanları ekleyin:
marketing_consent,analytics_consent,consent_date,consent_source - Kullanıcının kabul ettiği gizlilik bildiriminin tam sürümünü kaydedin
- Tüm modüllere yayılan bir onay geri çekme mekanizması uygulayın
- Tüm izin değişikliklerini zaman damgalarıyla birlikte değişmez bir denetim takibine kaydedin
Çerez Uyumluluğu
GDPR'nin eGizlilik Direktifi ile desteklenen çerez gereklilikleri şunları gerektirir:
- Açık izin alınmadan gerekli olmayan çerezler ayarlanmaz
- "Kabul Et" ve "Reddet" düğmeleri için eşit önem (koyu desenler yok)
- Granüler çerez kategorisi seçimi
- Kolay rızanın geri alınması
- Denetim amacıyla tutulan çerez onay kayıtları
Adım 3: Veri Sahibi Erişim İstekleri (DSAR'lar)
15-22. Maddeler AB sakinlerine kendi verileri üzerinde güçlü haklar veriyor. 30 gün içinde yanıt vermeniz gerekir ve süre, kimliğinizi doğruladığınızda değil, isteğin alınmasıyla başlar.
DSAR Türleri ve Yanıt Gereksinimleri
| Sağ | Makale | Yanıt Son Tarihi | Neleri Sağlamalısınız |
|---|---|---|---|
| Erişim | Sanat. 15 | 30 gün | Tüm kişisel verilerin kopyası + işleme ayrıntıları |
| Düzeltme | Sanat. 16 | 30 gün (veya "gereksiz gecikme olmaksızın") | Yanlış verileri düzeltin |
| Silme | Sanat. 17 | 30 gün (veya "gereksiz gecikme olmaksızın") | Yasal zorunluluk olmadığı sürece verileri silin |
| Kısıtlama | Sanat. 18 | 30 gün | İşlemeyi durdurun ancak verileri koruyun |
| Taşınabilirlik | Sanat. 20 | 30 gün | Makine tarafından okunabilir dışa aktarma (JSON/CSV) |
| İtiraz | Sanat. 21 | 30 gün | Belirli bir amaç için işlemeyi durdurma |
DSAR İş Akışı Oluşturma
Büyük ölçekte, manuel DSAR işleme sürdürülemez. Otomatik bir iş akışı oluşturun:
- Giriş. DSAR'lar için özel e-posta adresi ve web formu. Makbuzun otomatik olarak onaylanması.
- Kimlik doğrulama. Aşırı ek veri toplamadan talepte bulunanın kimliğini doğrulayın.
- Veri keşfi. Tüm sistemlerde otomatik arama: ERP, CRM, e-postayla pazarlama, analiz, yardım masası, yedeklemeler.
- Yanıt derlemesi. Verileri yapılandırılmış bir formatta toplayın. Erişim istekleri için işleme amaçlarını, kategorileri, alıcıları, saklama sürelerini ve verilerin kaynağını ekleyin.
- İnceleme. Göndermeden önce hukuk/gizlilik ekibinin incelemeleri. Üçüncü taraf kişisel verilerini düzenleyin.
- Karşılama. 30 gün içinde yanıt gönderin. İsteği, yanıtı ve zaman çizelgesini günlüğe kaydedin.
- Silme yürütmesi. Silme istekleri için, yedeklemeler de dahil olmak üzere tüm sistemlerde silme işlemini basamaklandırın (yasal saklama gereklilikleri için belgelenen istisnalar hariç).
ERP'ye Özel DSAR Zorlukları
ERP sistemleri, kişisel verilerin modüller arasında derinlemesine entegre olması nedeniyle benzersiz DSAR zorlukları sunar:
- Müşterinin adı kişiler, faturalar, teslimat siparişleri, destek biletleri ve muhasebe girişlerinde görünür
- Mali kayıtların, silme hakkını geçersiz kılan yasal saklama gereksinimleri (genellikle 7-10 yıl) olabilir
- Mali kayıtların silinmesine genellikle takma ad verilmesi tercih edilir: işlem verilerini muhasebe amaçları doğrultusunda saklarken adın yerine anonim bir tanımlayıcı kullanın
Adım 4: Veri Minimizasyonu ve Saklanması
Madde 5(1)(c), kişisel verilerin "yeterli, ilgili ve gerekli olanla sınırlı" olmasını gerektirir. Madde 5(1)(e), verilerin "gerektiğinden daha uzun süre saklanmamasını" gerektirir.
Pratik Veri Minimizasyonu
Her veri toplama noktasını denetleyin:
- Kayıt formları. Kayıt sırasında gerçekten doğum tarihinize, cinsiyetinize veya telefon numarasına ihtiyacınız var mı? Değilse, bunları kaldırın.
- Ödeme akışları. Yalnızca siparişi yerine getirmek için gerekenleri toplayın. Gereksiz hesaplar oluşturmaktan kaçınmak için misafir ödemesi önerin.
- Analitik. Gizliliği koruyan analizleri kullanın (Plausible, Fathom) veya daha az veri toplama için GA4'ü yapılandırın. IP anonimleştirme, kısaltılmış çerez süresi, devre dışı bırakılmış kullanıcı kimliği takibi.
- ERP alanları. Kişilere, siparişlere ve diğer modüllere eklenen özel alanları inceleyin. Belgelenmiş bir iş amacına hizmet etmeyenleri kaldırın.
Veri Türüne Göre Saklama Politikası
| Veri Türü | Önerilen Saklama | Yasal Dayanak |
|---|---|---|
| Müşteri hesap verileri | İlişki süresi + 30 gün | Sözleşme |
| Sipariş/işlem verileri | 7-10 yıl (vergi/muhasebe kanunları) | Yasal yükümlülük |
| Pazarlama izin kayıtları | Onay süresi + 3 yıl | Meşru menfaat (kanıt) |
| Destek biletleri | karardan 2 yıl sonra | Meşru menfaat |
| Web sitesi analitiği | 14-26 ay | Onay |
| Çalışan İK verileri | Çalışma süresi + yasal süre | Yasal zorunluluk |
| Başarısız ödeme girişimleri | 90 gün | Meşru menfaat |
| Başvuru/CV verileri | 6 ay (daha uzun süre izin verilmediği sürece) | Onay |
ERP'nizde Saklamayı Otomatikleştirme
Saklama politikalarını otomatik olarak uygulayacak şekilde ERP sisteminizi yapılandırın:
- Saklama tarihi geçmiş kayıtları tanımlayan planlanmış işler
- Raporlama için toplu verileri korurken kişisel verileri genel değerlerle değiştiren anonimleştirme komut dosyaları
- Silinen verilerin yedeklemelerde süresiz olarak kalmamasını sağlayan yedekleme rotasyon politikaları
- Yasal bekletmeler ve devam eden anlaşmazlıklar için belgelenmiş istisnalar
Adım 5: İşleyici Anlaşmaları ve Satıcı Yönetimi
Madde 28, kişisel verileri sizin adınıza işleyen her satıcıyla yazılı bir Veri İşleme Anlaşması (DPA) yapılmasını gerektirir. Bu hoş bir şey değil, yasal bir gereklilik.
Temel DPA Maddeleri
Her DPA şunları içermelidir:
- İşlemenin konusu ve süresi
- İşlemenin niteliği ve amacı
- İşlenen kişisel veri türleri
- Veri konularının kategorileri
- Kontrolörün yükümlülükleri ve hakları
- Alt işleyici onay süreci
- Veri ihlali bildirim yükümlülükleri (gereksiz gecikme olmaksızın)
- Fesih üzerine verilerin silinmesi veya iadesi
- Denetleyicinin denetim hakları
- Sınır ötesi transfer mekanizmaları (SCC'ler veya yeterlilik kararları)
Satıcı Uyumluluk Değerlendirmesi
Aşağıdakileri değerlendiren bir satıcı risk değerlendirmesi oluşturun:
- Satıcının yayınlanmış bir DPA'sı var mı? (Çoğu büyük SaaS sağlayıcısı bunu yapar)
- Satıcı hangi sertifikalara sahiptir? (SOC2, ISO 27001)
- Satıcı verileri nerede saklıyor? (Veri yerleşimi hakkındaki kılavuzumuza bakın)
- Satıcı alt işlemciler kullanıyor mu ve bunlar nasıl yönetiliyor?
- Satıcının ihlal bildirimi zaman çizelgesi nedir?
GDPR'nin genel uyumluluk ortamına nasıl uyduğuna dair daha geniş bir bakış için kurumsal uyumluluk el kitabımıza bakın.
Sıkça Sorulan Sorular
GDPR yalnızca iş bağlantıları olan B2B şirketleri için geçerli midir?
Evet. GDPR, iş e-posta adresleri ve doğrudan telefon numaraları da dahil olmak üzere AB'de ikamet edenlerin tüm kişisel verileri için geçerlidir. Adı geçen bir kişinin iş e-postası ([email protected]) gibi iş iletişim verileri kişisel verilerdir. Genel şirket e-postaları ([email protected]) değildir. Çoğu B2B şirketi kişisel verileri CRM sistemleri, e-posta pazarlaması ve web sitesi analitiği yoluyla işler.
Veri denetleyicisi ile veri işleyicisi arasındaki fark nedir?
Veri denetleyicisi, kişisel verilerin işlenme amaçlarını ve yöntemlerini belirler; bu genellikle kendi müşteri verileriniz için sizin şirketinizdir. Veri işleyici, verileri denetleyici adına işler; buna SaaS sağlayıcılarınız, bulut sağlayıcılarınız ve ödeme işleyicileriniz dahildir. Denetleyicilerin daha geniş GDPR yükümlülükleri vardır ancak işleyicilerin aynı zamanda Madde 28 gerekliliklerine uymaları ve kendi işleme kayıtlarını tutmaları gerekir.
Pazarlama için rıza yerine "meşru menfaate" güvenebilir miyiz?
Teorik olarak evet ama pratikte doğrudan pazarlama risklidir. ICO (İngiltere) ve CNIL (Fransa), e-posta pazarlamasının genel olarak hem GDPR hem de eGizlilik Direktifi kapsamında izin gerektirdiği konusunda katı bir tutum benimsemiştir. Meşru menfaat, bazı yargı bölgelerinde B2B pazarlama için işe yarayabilir, ancak bir Meşru Menfaat Değerlendirmesini (LIA) belgelemeniz ve net bir devre dışı bırakma mekanizması sağlamanız gerekir. Şüphe duyduğunuzda onay alın.
Yedeklemelerde depolanan veriler için GDPR'yi nasıl ele alacağız?
Yedeklemeler gerçek bir zorluk teşkil ediyor. ICO, belirli kayıtları yedeklemelerden silmenin teknik olarak pratik olmayabileceğini kabul etti. Kabul edilen yaklaşım, silinen veri konularının bir "bastırma listesini" tutmak ve yedeklemeler geri yüklendiğinde silme işlemlerini uygulamaktır. Bu yaklaşımı gizlilik politikanızda ve DSAR yanıtlarınızda belgeleyin. Yedekleme saklama sürelerinin mümkün olduğu kadar kısa olduğundan emin olun.
Küçük bir e-Ticaret işletmesi gerçekte hangi cezalarla karşı karşıya kalabilir?
Manşet cezalar milyonları bulsa da, denetim otoriteleri cezaları belirlerken şirket büyüklüğünü ve cirosunu dikkate alıyor. Küçük işletmelerin gelirleriyle orantılı olarak uyarı, emir veya para cezası alma olasılıkları daha yüksektir. Ancak, itibar kaybı ve düzeltme maliyeti, para cezası olmadan da yıkıcı olabilir. En güvenli yaklaşım proaktif uyumluluktur.
Sırada Ne Var
GDPR uyumluluğu tek seferlik bir proje değil, işletmeniz büyüdükçe, veri işleme faaliyetleriniz değiştikçe ve düzenleyici rehberlik geliştikçe gelişmesi gereken sürekli bir programdır. İyi haber şu ki, GDPR uyumluluğu diğer tüm uyumluluk çerçeveleri için güçlü bir temel oluşturuyor.
ECOSIRE, GDPR uyumlu e-Ticaret ve ERP sistemlerini sıfırdan oluşturur. Odoo ERP uygulamalarımız izin yönetimini, DSAR otomasyonunu, denetim izlerini ve saklama politikasının uygulanmasını içerir. Yapay zeka destekli veri keşfi ve gizlilik otomasyonu için OpenClaw AI platformumuzu keşfedin. GDPR hazırlık değerlendirmesi planlamak için Bize ulaşın.
ECOSIRE tarafından yayınlandı — işletmelerin Odoo ERP, Shopify eCommerce ve OpenClaw AI genelinde yapay zeka destekli çözümlerle ölçeklenmesine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Odoo ERP ile İşinizi Dönüştürün
Operasyonlarınızı kolaylaştırmak için uzman Odoo uygulaması, özelleştirme ve destek.
İlgili Makaleler
Odoo ve NetSuite Pazar Ortası Karşılaştırması: Tam Satın Alma Rehberi 2026
2026'da orta ölçekli pazar için Odoo ve NetSuite karşılaştırması: özellik bazında puanlama, 50 kullanıcı için 5 yıllık TCO, uygulama zaman çizelgeleri, sektöre uygunluk ve iki yönlü geçiş kılavuzu.
E-ticaret için Yapay Zeka İçerik Üretimi: Ürün Açıklamaları, SEO ve Daha Fazlası
E-ticaret içeriğini yapay zeka ile ölçeklendirin: ürün açıklamaları, SEO meta etiketleri, e-posta kopyası ve sosyal medya. Kalite kontrol çerçeveleri ve marka sesi tutarlılığı kılavuzu.
Yapay Zeka Destekli Dinamik Fiyatlandırma: Geliri Gerçek Zamanlı Olarak Optimize Edin
Talep esnekliği modellemesi, rakip izleme ve etik fiyatlandırma stratejileriyle geliri optimize etmek için yapay zeka dinamik fiyatlandırmasını uygulayın. Mimari ve yatırım getirisi kılavuzu.
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.