WhatsApp, Amazon ve Büyük Teknoloji Cezaları: Türkiye'deki KVKK Uygulaması (2026)
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Büyük teknoloji şirketleri, hem GDPR hem KVKK kapsamında milyarlarca euro ve milyonlarca TL ceza ile karşılaşmıştır.
WhatsApp, Türkiye'de KVKK Kurulu tarafından 1.950.000 TL ceza almıştır (2021); ayrıca GDPR kapsamında İrlanda DPC'den €225 milyon ceza almıştır.
Amazon, GDPR kapsamında Lüksemburg CNDP'den €746 milyon ceza almıştır (2021); ancak bu karar Mart 2026'da iptal edilmiştir.
Meta (Facebook/Instagram), GDPR'da toplam €2,4 milyar üzerinde ceza ile en çok cezalandırılan şirkettir; KVKK kapsamında da Türkiye'de incelemeye alınmıştır.
Cezaların ortak noktası: hizmet şartına bağlanan rıza, yetersiz aydınlatma ve yurt dışı veri aktarımı güvencesizliği.
Bu kararlar doğrudan Türk şirketlerini de etkiler: Kurul, büyük teknoloji şirketlerine verilen uluslararası cezaları emsal çerçeve olarak kullanmaktadır.
Neden Büyük Teknoloji Cezaları Türk Şirketlerini İlgilendirir?
"Bu cezalar büyük teknoloji şirketlerine, bize değil" düşüncesi yaygın bir yanılgıdır. KVKK Kurulu, kararlarında GDPR uygulamasını ve uluslararası emsal kararları sıklıkla referans alır. Kurul'un açık rıza yorumu, aydınlatma standardı ve hizmet şartı tuzağı değerlendirmesi büyük ölçüde bu uluslararası kararların çizdiği çerçeveden beslenir.
Ayrıca büyük teknoloji şirketlerinin hizmetlerini kullanan Türk şirketleri (WhatsApp Business kullanan bir KOBİ, Amazon Web Services üzerinde veri depolayan bir e-ticaret sitesi, Meta reklamlarıyla müşteri hedefleyen bir ajans) bu kararların pratik sonuçlarından doğrudan etkilenir.
WhatsApp: Şeffaflık Krizi
KVKK Cezası: 1.950.000 TL (2021)
Kurul, WhatsApp hakkında 2021 yılında gerçekleştirdiği inceleme sonucunda şirkete 1.950.000 TL idari para cezası uygulamıştır.
İhlalin özü: WhatsApp, Ocak 2021'de gizlilik politikasını güncelleyerek kullanıcılara "ya yeni koşulları kabul edin ya da uygulamayı kullanamazsınız" seçeneği sunmuştur. Güncelleme, kullanıcı verilerinin Meta şirketler grubuyla paylaşılmasını öngörüyordu.
Kurul'un tespitleri: Aydınlatma yükümlülüğünün yeterince yerine getirilmediği, kullanıcılara sunulan bilgilendirmenin açık ve anlaşılır olmadığı, hizmetin devamının koşulların kabulüne bağlanmasının açık rıza ilkesiyle bağdaşmadığı tespit edilmiştir.
Hizmet şartı tuzağı boyutu: Kurul, "ya kabul et ya da çık" modelinin KVKK'nın açık rıza tanımındaki özgür irade unsurunu ihlal ettiğini değerlendirmiştir. Hizmet kullanımının koşulların kabulüne bağlanması, rızanın özgür iradeyle verilmediğinin açık göstergesidir.
GDPR Cezası: €225 Milyon (İrlanda DPC, 2021)
İrlanda Veri Koruma Komisyonu (DPC), WhatsApp'a şeffaflık yükümlülüğünün ihlali gerekçesiyle €225 milyon ceza kesmiştir. Başlangıçta DPC tarafından önerilen ceza çok daha düşüktü; ancak EDPB'nin (Avrupa Veri Koruma Kurulu) bağlayıcı kararıyla tutar yükseltilmiştir.
Kararın kritik noktası: WhatsApp'ın gizlilik politikası, kullanıcılara ve kullanıcı olmayanlara (WhatsApp kullanıcılarının rehberindeki kişiler) yönelik veri işleme faaliyetlerini yeterince açık biçimde anlatmamıştır. EDPB, şeffaflık yükümlülüğünün yalnızca metnin varlığıyla değil, metnin gerçekten anlaşılabilir olmasıyla yerine getirilmiş sayılacağını vurgulamıştır.
Çıkarım
WhatsApp vakası, hem Türkiye'de hem Avrupa'da aynı mesajı veriyor: gizlilik politikası güncellemelerinde "ya kabul et ya da çık" modeli hukuka aykırıdır ve şeffaflık yalnızca metin yayımlamakla sağlanmaz.
Amazon: Reklam Hedeflemede Rıza Sorunu
GDPR Cezası: €746 Milyon (Lüksemburg CNDP, 2021) — Mart 2026'da İptal
Lüksemburg Ulusal Veri Koruma Komisyonu (CNDP), Amazon'a reklam hedefleme sisteminde geçerli rıza almadığı gerekçesiyle GDPR tarihinin en yüksek ikinci cezasını kesti.
İhlalin özü: Soruşturma, Fransız sivil toplum kuruluşu La Quadrature du Net aracılığıyla 10.000 kişinin yaptığı toplu şikayetle başlamıştır. Amazon, kullanıcıların kişisel verilerini davranışsal reklam amacıyla işlerken GDPR'ın gerektirdiği şeffaflık ve rıza standartlarını karşılamamıştır.
Mart 2026 Gelişmesi: Lüksemburg Mahkemesi, Mart 2026'da bu cezayı iptal etmiştir. İptal kararının gerekçesi henüz tam olarak kamuoyuyla paylaşılmamış olmakla birlikte, prosedürel nedenler ve yetki tartışmalarının belirleyici olduğu değerlendirilmektedir.
Kritik çıkarım: Bu iptal, yüksek cezaların yargısal denetimden geçebileceğini ve otorite kararlarının her zaman nihai olmadığını gösterir. Ancak iptal kararı, Amazon'un reklam hedefleme uygulamalarının hukuka uygun olduğu anlamına gelmez; yalnızca o spesifik ceza kararının usul yönünden geçersiz sayıldığını ifade eder.
Amazon France Logistique: €32 Milyon (CNIL, 2024)
Amazon'un Fransa lojistik operasyonunda el tarayıcılarıyla çalışanları aşırı ayrıntılı izlediği tespit edilmiştir. Tarayıcı hareketsizliği, hızlı tarama süreleri ve performans göstergeleri çalışanların davranışlarının dakika bazında takip edilmesini sağlıyordu.
CNIL tespiti: İzleme orantısız bulunmuştur. Çalışanların sürekli ve ayrıntılı biçimde takip edilmesi, iş hukuku ve veri koruma mevzuatının çizdiği sınırları aşmaktadır.
Türkiye yansıması: Bu karar, Türkiye'de depo, lojistik ve üretim sektörlerindeki çalışan izleme uygulamalarını doğrudan ilgilendirir. KVKK'nın ölçülülük ilkesi aynı standardı gerektirir.
Meta (Facebook/Instagram): Seri Rekor Kırıcı
Meta, GDPR tarihinin en çok cezalandırılan şirketidir. Yalnızca İrlanda DPC tarafından verilen cezaların toplamı €2,4 milyar'ı aşmaktadır.
Meta'nın Üst 6 GDPR Cezası
Sıra | Tutar | Yıl | İhlal Nedeni |
|---|---|---|---|
1 | €1,2 milyar | 2023 | AB-ABD veri transferi |
2 | €405 milyon | 2022 | Instagram çocuk verileri |
3 | €390 milyon | 2023 | Geçersiz hukuki dayanak |
4 | €265 milyon | 2022 | 533M kullanıcı veri sızıntısı |
5 | €251 milyon | 2024 | 2018 veri ihlali |
6 | €91 milyon | 2024 | Şifrelerin düz metin saklanması |
En Büyük Ceza: €1,2 Milyar (Mayıs 2023) — Veri Transferi
İrlanda DPC, Meta'nın AB kullanıcılarının kişisel verilerini yeterli güvence mekanizması olmadan ABD'ye aktarmaya devam etmesine karşılık GDPR tarihinin en yüksek cezasını vermiştir.
Arka plan: AB Adalet Divanı'nın Schrems II kararı (2020) ile AB-ABD Privacy Shield çerçevesi geçersiz kılınmıştı. Meta, bu karar sonrasında veri transferlerini alternatif güvence mekanizmalarıyla desteklemesi gerekirken standart sözleşme hükümlerine (SCC) dayanmaya devam etmişti. EDPB, SCC'lerin ABD'nin gözetim yasaları karşısında yeterli koruma sağlamadığına karar vermiştir.
Türkiye yansıması: 7499 sayılı Kanun ile KVKK'nın yurt dışı veri aktarımı kuralları GDPR ile uyumlu hale getirilmiştir. ABD merkezli bulut sağlayıcılar ve SaaS platformları kullanan Türk şirketleri, aynı transfer sorunuyla karşı karşıyadır.
Hizmet Şartı Tuzağı: €390 Milyon (Ocak 2023)
Meta, GDPR yürürlüğe girmeden hemen önce Facebook ve Instagram kullanım koşullarını değiştirerek kullanıcıları davranışsal reklamcılığa "sözleşme" dayanağıyla onay vermeye dolaylı biçimde zorlamıştır. DPC, "sözleşme" hukuki dayanağının davranışsal reklamcılık için geçerli olmadığına karar vermiştir.
Mekanizma: Meta, kullanıcıya "hizmetimizi kullanarak davranışsal reklam gösterilmesini kabul ediyorsunuz" demiş; bunu açık rıza değil "sözleşmenin ifası" olarak nitelendirmiştir. DPC ve EDPB bu yaklaşımı reddetmiştir: davranışsal reklam hizmetin sunulması için zorunlu değildir; dolayısıyla sözleşme dayanağı geçersizdir.
Hizmet şartı tuzağının tanımı: Kullanıcının bir hizmetten yararlanabilmesi için kişisel verilerinin hizmetle doğrudan ilgisi olmayan amaçlarla (reklam, profilleme, üçüncü taraflarla paylaşım) işlenmesine onay vermek zorunda bırakılmasıdır.
Çocuk Verileri: €405 Milyon (Eylül 2022)
Instagram'ın 13-17 yaş arası kullanıcıların iletişim bilgilerini (e-posta ve telefon) iş hesaplarında varsayılan olarak herkese açık tutması cezalandırılmıştır.
Kurul ve KVKK perspektifi: KVKK'da çocuklara özel bir yaş sınırı belirlenmemiş olsa da Medeni Kanun uyarınca 18 yaş altı kişiler ergin sayılmaz. Kurul'un Şubat 2026'da sosyal medya platformları hakkında resen inceleme başlatması (TikTok, Instagram, Facebook, YouTube, X, Discord) çocuk verisi konusundaki artan duyarlılığı somut biçimde göstermektedir.
GDPR ile KVKK Cezalarının Karşılaştırması
Kriter | GDPR | KVKK |
|---|---|---|
Maksimum ceza | €20 milyon veya küresel cironun %4'ü | 17.092.242 TL (2026, sabit tutar) |
Ceza hesaplama yöntemi | Ciro bazlı (çarpan etkisi) | Sabit alt-üst sınır aralığı |
En yüksek verilen ceza | €1,2 milyar (Meta, 2023) | ~2 milyon TL (WhatsApp, 2021) |
Cezanın caydırıcılığı | Büyük şirketler için yüksek | Büyük şirketler için düşük |
Yargı yolu | Ulusal idari mahkemeler | Ankara İdare Mahkemeleri |
İtiraz başarı oranı | Değişken (Amazon iptal örneği) | Henüz yeterli içtihat yok |
Cirosal ceza planı | Mevcut | TBMM'de teklif aşamasında |
Cirosal Ceza Tartışması
KVKK'nın mevcut sabit tutarlı ceza sistemi, büyük ölçekli şirketler için caydırıcılık açısından yetersiz kalmaktadır. Milyarlarca TL ciro yapan bir şirket için 17 milyon TL'lik üst sınır operasyonel maliyetin küçük bir kesri olabilir.
TBMM'ye sunulan ve 2026 içinde yasallaşması beklenen yasa teklifi ile cirosal ceza sistemine (yıllık cironun %2 ila %4'ü) geçilmesi planlanmaktadır. Bu düzenleme yürürlüğe girerse Türkiye'deki KVKK cezaları GDPR standardına yaklaşacak ve büyük şirketler için caydırıcılık dramatik biçimde artacaktır.
Hizmet Şartı Tuzağı: Derinlikli Analiz
WhatsApp, Meta ve Amazon kararlarının ortak noktası hizmet şartı tuzağıdır. Bu model, farklı biçimlerde pek çok Türk şirketinde de uygulanmaktadır.
Tuzağın Yaygın Biçimleri
"Kabul etmeden devam edemezsiniz" modeli: Web sitesinde veya uygulamada tüm veri işleme koşullarını tek bir "Kabul Ediyorum" butonuna bağlamak. Kullanıcı butona basmadan hizmeti kullanamaz.
Gizli bundling (paket dayatma): Hizmet için zorunlu olan veri işleme faaliyetleri ile zorunlu olmayan faaliyetleri (pazarlama, profilleme, üçüncü taraflarla paylaşım) tek bir onay mekanizmasında birleştirmek.
Sözleşme dayanağı kamuflajı: Meta'nın yaptığı gibi, aslında açık rıza gerektiren bir veri işleme faaliyetini "sözleşmenin ifası" olarak nitelendirerek rıza almaktan kaçınmak.
KVKK Açısından Hizmet Şartı Tuzağının Hukuki Durumu
KVKK'nın açık rıza tanımındaki üç unsur bu modeli doğrudan geçersiz kılar.
Özgür irade: "Ya kabul et ya da hizmeti kullanama" seçeneği özgür iradeyi ortadan kaldırır.
Belirli bir konuya ilişkin olma: Tüm veri işleme amaçlarını tek bir onaya bağlamak "belirlilik" unsurunu ihlal eder.
Bilgilendirilmeye dayanma: Karmaşık ve uzun koşullar metninin kullanıcı tarafından gerçekten okunup anlaşıldığı varsayılamaz.
Kurul'un 2026/347 sayılı İlke Kararı ile aydınlatma ve açık rıza metinlerinin ayrı düzenlenmesi zorunluluğu, hizmet şartı tuzağının önlenmesine yönelik ek bir güvence mekanizması oluşturmuştur.
Türk Şirketleri İçin Pratik Dersler
Ders 1: "Biz Küçüğüz, Bize Gelmez" Yanılgısı
Kurul, büyük teknoloji şirketlerine ceza verdiği gibi KOBİ'lere de ceza vermektedir. WhatsApp kararının mantığı — hizmet şartına bağlanan rıza geçersizdir — bir e-ticaret sitesinin üyelik formunda uyguladığı aynı modele de birebir uygulanır.
Ders 2: Aydınlatma Metnini Gerçekten Okunabilir Yapın
WhatsApp ve Meta kararlarının ortak tespiti: metin mevcut ama anlaşılmaz. Uzun, hukuki jargonla dolu, küçük puntoyla yazılmış veya alt sayfalara gömülmüş metinler aydınlatma yükümlülüğünü karşılamaz. Katmanlı aydınlatma (kısa özet + detaylı metin) en güvenli yöntemdir.
Ders 3: Hizmet İçin Zorunlu Olan Veriyi, Pazarlama Verisinden Ayırın
Meta'nın €390 milyon cezasının verdiği en net ders budur. Siparişi teslim etmek için gereken adres bilgisi sözleşme dayanağıyla işlenebilir; ancak aynı müşteriye reklam göstermek için profilleme yapılması ayrı bir hukuki dayanak (genellikle açık rıza) gerektirir. İki amacı tek onaya bağlamak hukuka aykırıdır.
Ders 4: Yurt Dışı Aktarım Güvencesini Sağlayın
Meta'nın €1,2 milyar cezası yurt dışı veri transferi sorununa dayanır. ABD merkezli bulut, CRM veya pazarlama araçları kullanan her Türk şirketi aynı riskle karşı karşıyadır. 7499 sayılı Kanun sonrası güvence mekanizmalarından birinin (yeterlilik kararı, standart sözleşme) uygulanması zorunludur.
Ders 5: Çocuk Verisine Özel Dikkat
Instagram'ın €405 milyon cezası ve Kurul'un Şubat 2026'da sosyal medya platformları hakkında resen inceleme başlatması, çocuk verisi konusundaki denetim baskısının arttığını göstermektedir. Çocuklara yönelik hizmet sunan platformlar, varsayılan gizlilik ayarlarını en yüksek seviyede tutmalıdır.
Sık Sorulan Sorular
WhatsApp Türkiye'de KVKK cezası aldı mı?
Evet. Kurul, 2021 yılında WhatsApp'a aydınlatma yükümlülüğü ihlali ve hizmet şartına bağlanan rıza gerekçesiyle 1.950.000 TL ceza uygulamıştır.
Amazon'un €746 milyon cezası iptal mi edildi?
Evet. Lüksemburg Mahkemesi, Mart 2026'da bu cezayı iptal etmiştir. Ancak iptal prosedürel nedenlerle gerçekleşmiş olup Amazon'un reklam uygulamalarının hukuka uygun bulunduğu anlamına gelmez.
KVKK cezaları GDPR kadar yüksek mi?
Hayır, şu an için hayır. GDPR cirosal ceza sistemi uygularken KVKK sabit tutarlı ceza sistemi kullanmaktadır. Ancak TBMM'de cirosal ceza teklifi görüşülmektedir; yasallaşırsa aradaki fark önemli ölçüde kapanacaktır.
WhatsApp Business kullanan şirketim risk altında mı?
Evet. WhatsApp Business üzerinden gönderilen ticari iletiler İYS kapsamındadır ve müşteri onayı gerektirir. Ayrıca müşteri verilerinin WhatsApp sunucuları üzerinden işlenmesi yurt dışı veri aktarımı sayılır.
Büyük teknoloji cezalarından Türk şirketleri nasıl etkilenir?
İki yoldan etkilenir. Birincisi, Kurul bu kararları emsal çerçeve olarak kullanır; aynı ihlal kalıpları Türk şirketlerine de uygulanır. İkincisi, büyük teknoloji şirketlerinin hizmetlerini kullanan Türk şirketleri, bu şirketlerin veri işleme pratiklerinden doğrudan etkilenir (yurt dışı aktarım, veri paylaşımı, çerez yönetimi).
Hizmet şartına bağlanan rıza neden geçersiz?
KVKK'nın açık rıza tanımı "özgür iradeyle verilme" şartı içerir. Hizmet kullanımının rızaya bağlanması, kullanıcıyı "ya kabul et ya da hizmetten vazgeç" durumuna düşürür. Bu durumda rıza özgür iradeyle verilmiş sayılmaz. WhatsApp, Meta ve Amazon kararları bu prensibi hem KVKK hem GDPR perspektifinden teyit etmektedir.
Okuyucular Bunları da Soruyor
Meta'nın Türkiye'de de KVKK cezası var mı?
Kurul, Şubat 2026'da TikTok, Instagram, Facebook, YouTube, X ve Discord hakkında çocukların kişisel verilerinin korunmasına ilişkin resen inceleme başlatmıştır. Bu inceleme devam etmekte olup sonucunda Meta'ya (Instagram, Facebook) KVKK cezası verilmesi mümkündür.
GDPR'da ceza alan şirketin Türkiye operasyonuna da ceza kesilir mi?
İki ayrı hukuki süreçtir. GDPR cezası AB'deki operasyonla ilgilidir; KVKK cezası Türkiye'deki veri işleme faaliyetleriyle ilgilidir. Aynı şirket her iki jurisdiksiyonda ayrı ayrı cezalandırılabilir.
Cirosal ceza sistemi ne zaman gelecek?
TBMM'ye sunulmuş bir yasa teklifi bulunmaktadır ve 2026 içinde yasallaşması beklenmektedir. Yürürlüğe girdiğinde ceza tavanı yıllık cironun %2-4'üne yükselecektir.
Bu kararlar, gizlilik politikamı nasıl etkilemeli?
Gizlilik politikanızda her veri işleme amacını ayrı ayrı ve somut biçimde belirtin. Hizmet için zorunlu olan amaçları pazarlama amaçlarından net biçimde ayırın. Aydınlatma ve açık rıza metinlerini ayrı belgeler olarak düzenleyin. Hizmet kullanımını rıza koşuluna bağlamayın. Bu adımlar WhatsApp, Meta ve Amazon kararlarının ortaya koyduğu standartlara uyum sağlar.
Sonuç
WhatsApp, Amazon ve Meta cezaları, veri koruma hukukunun küresel ölçekte nasıl uygulandığını somut biçimde göstermektedir. Bu cezaların ortak paydası — hizmet şartına bağlanan rıza, yetersiz aydınlatma ve güvencesiz yurt dışı aktarım — Türkiye'deki KVKK uygulamasının da temelini oluşturur.
Amazon'un €746 milyon cezasının iptal edilmesi, yargısal denetimin işlediğini gösterirken; Meta'nın €2,4 milyar toplam cezası düzenleyicilerin kararlılığını ortaya koymaktadır. Türkiye'de cirosal ceza sistemine geçiş planı, bu kararlılığın yerel düzeyde de artacağının açık işaretidir.
Güneş Partners olarak KVKK ve GDPR uyum danışmanlığı, gizlilik politikası hazırlığı, hizmet şartı tuzağı denetimi ve Kurul incelemesinde savunma alanlarında şirketlere hukuki destek sağlıyoruz. Uyum süreçlerinizi değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, KVKK Kurulu'nun WhatsApp kararı (2021), İrlanda DPC'nin WhatsApp (€225M), Meta (€1,2B, €405M, €390M, €265M, €251M, €91M) kararları, Lüksemburg CNDP'nin Amazon kararı (€746M) ve iptali (Mart 2026), CNIL'in Amazon France Logistique kararı (€32M), EDPB bağlayıcı kararları, 7499 sayılı Kanun'un yurt dışı aktarım değişiklikleri ve Kurul'un 2026/347 sayılı İlke Kararı temelinde hazırlanmıştır. KVKK ve GDPR uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.