KVKK'ya uygun sosyal medya otomasyonu: Türkiye'de dikkat edilmesi gereken 5 nokta
KVKK kapsamında sosyal medya otomasyonu kullanırken veri işleme izni, cloud sunucu konumu, aydınlatma metni ve ceza riskinden korunma pratikleri.
KVKK neden sosyal medya aracını da ilgilendirir?
KVKK (Kişisel Verilerin Korunması Kanunu) 2016'dan bu yana yürürlükte ve her geçen yıl denetim sıklaşıyor. Çoğu KOBİ "biz zaten müşteri verisi tutmuyoruz" diye düşünse de sosyal medya otomasyon araçları genelde müşteri listesi içeri aktarma, takipçi analizleri, kampanya hedefleme brief'leri gibi kişisel veri içeren süreçlere dokunur.
Bu yazıda 5 ana noktada — veri işleme izni, hassas veri sınıflandırması, cloud sağlayıcı seçimi, aydınlatma metni örnekleri ve ceza riski — pratik bir yol haritası paylaşıyoruz. Amaç: hukuk jargonuna dalmadan operasyonel bir kontrol listesi.
1. Veri işleme izni: kim, ne için, ne kadar süre?
KVKK'nın temel sorusu üç kelimedir: kim, ne, ne kadar. Bir sosyal medya aracına kullanıcı listesi yüklediğinizde "biz kampanya hedefleme için pazarlama amacıyla bu veriyi 12 ay süreyle işleyeceğiz" gibi bir cümleyi aydınlatma metninde müşterinize taahhüt etmiş olmanız gerekir.
Pratik adım: aracınızın processing purpose alanında bu bilgiyi sakladığına ve DPA (veri işleyen sözleşmesi) imzalayabildiğine emin olun. Markio kayıt sırasında DPA indirilebilir; Supabase EU üzerinden işlenir, saklama süresi limiti kullanıcı seviyesinde ayarlanır.
2. Sosyal medya otomasyonunda hassas veri riskleri
Hassas veri — sağlık, etnik köken, siyasi görüş, inanç — sosyal medya content brief'lerinde beklenmedik şekilde görünebilir. Örneğin hedef kitleniz "astım hastası olan ebeveynler" ise sağlık verisi kapsamına girersiniz. Bu verileri AI aracına aktarmadan önce anonimleştirmek, hedefleme parametrelerini dolaylı hale getirmek gerekir.
Pratik adım: brief'lerinizde doğrudan hassas kategori kullanmak yerine "nefes açıcı ürünler için ebeveyn segmenti" gibi dolaylı hedefleme yazın. AI aracınızın hassas veri filtrelemesi var mı kontrol edin — Markio brief'te tespit ettiği hassas kategorilere uyarı verir.
3. Cloud sağlayıcı seçimi: veri nerede tutuluyor?
Araç seçiminde çoğu kişinin atladığı en kritik soru: veriniz fiziksel olarak hangi ülkede tutuluyor? ABD sunucuları (CLOUD Act kapsamında) KVKK için ek aktarım iznleri gerektirir; AB sunucuları GDPR eşdeğerliği sayesinde daha rahat.
Popüler sağlayıcılar ve bölgeleri: Supabase (EU West — Frankfurt ideal), Vercel (Edge — çoğunlukla AB), Railway (multi-region, config gerekir), AWS (Frankfurt seçilebilir), Firebase (Google — default ABD, bölge seçilebilir). Markio Supabase EU + Vercel + Railway EU kullanır; veri Türkiye'den en fazla 60-100ms uzakta.
Pratik adım: aracın privacy policy'sinde "data location" aramasını yapın; geçilmesi gereken sınır sayısı ne kadar azsa riskiniz o kadar düşük.
4. Aydınlatma metni örnekleri
Bir aydınlatma metni çok teknik olmamalı; yasa bir son kullanıcının anlamasını bekler. İşte sosyal medya otomasyon için kullanabileceğiniz bir şablon başlangıç:
"Şirketimiz sosyal medya kampanyalarının hazırlanması amacıyla ad, soyad, e-posta, telefon ve etkileşim geçmişiniz gibi verileri işlemektedir. Veriler Markio platformu üzerinden AB bölgesindeki sunucularda saklanır ve pazarlama hedefleme amacıyla 24 ay süreyle işlenir. İstediğiniz zaman veri silme veya erişim hakkınızı kullanabilirsiniz."
Bu şablonu işletmenize göre uyarlayın; saklama süresi, amaç ve veri türleri alanlarını netleştirin.
5. Cezadan korunma + Markio KVKK altyapısı
KVKK cezaları 2026 itibarıyla 50.000 TL'den başlayıp ihlal büyüklüğüne göre milyonlara ulaşabiliyor. En sık ceza nedenleri: (a) aydınlatma yapılmadan veri toplama, (b) DPA'sız üçüncü parti veri aktarımı, (c) veri silme talebine cevap verilmemesi.
Markio bu üç riski altyapıda kapatır: kayıt sırasında aydınlatma onayı, LemonSqueezy/Supabase DPA'ları, /settings altında data-export ve delete-account butonları. Kullanıcı 7 gün içinde hesabını sildiğinde tüm brief, content ve memory verisi cascade ile silinir; audit log 12 ay tutulur.
Pratik adım: kullandığınız tüm AI araçlarının DPA'sını indirip fiziksel veya dijital bir klasörde saklayın; denetimde en çok istenen belge budur.
Sonuç ve sonraki adımlar
KVKK sosyal medya otomasyonunda karmaşık görünse de temeli netleşince operasyonel bir süreç olur: doğru sağlayıcı + doğru aydınlatma + doğru saklama süresi. Markio bu üç kapıyı kapatacak altyapıyla gelir.
Markio'yu 7 gün ücretsiz dene → /register
Markio'yu 7 gün ücretsiz dene
Kredi kartı gerekmez. Türkçe native üretim, KVKK uyumlu altyapı.
Ücretsiz hesap aç