电商网站的KVKK与Cookie政策合规指南

电子商务处于KVKK（个人数据保护法，Kişisel Verilerin Korunması Kanunu）与电子商务立法的交汇地带。众多业务活动——客户档案管理、支付信息处理、Cookie数据采集、电子邮件营销及定向广告投放——并非各自独立，而是产生相互关联的合规义务。作为多年来为安塔利亚电商企业提供法律咨询服务的律师事务所，我们在本指南中系统阐释电商网站必须遵守的基本法律框架。

数据保护视角下的电商企业定位

电商企业在不同业务阶段处理客户的个人数据（kişisel veri）：

• 注册与登录阶段；
• 下单阶段（姓名、地址、电话、电子邮件）；
• 支付阶段（银行卡信息）；
• 配送阶段（向快递公司共享信息）；
• 营销活动阶段（电子邮件通讯、定向广告）；
• 客户行为分析阶段（Cookie及追踪工具）；
• 退货与投诉处理阶段。

上述每个阶段均须依据KVKK进行合规评估。

注册阶段的合规义务

隐私告知（Aydınlatma Metni）

客户注册时必须向其出示隐私告知书（aydınlatma metni）。告知书须清晰说明：

• 数据控制者（veri sorumlusu）身份；
• 所处理的数据类别；
• 数据处理目的；
• 数据接收方（快递公司、支付服务商、云服务提供商）；
• 数据存储期限；
• 数据主体（ilgili kişi）的权利。

最常见的落地方式是在"我接受（Kabul Ediyorum）"勾选框之前展示隐私告知书。

明确同意（Açık Rıza）

与隐私告知书分开，针对营销目的的数据处理必须单独获取明确同意（açık rıza）。该同意须满足以下条件：

• 不得将其作为完成注册的强制前提（不得通过预先勾选的复选框变相获取同意）；
• 须可随时撤回；
• 须针对具体事项（电子邮件营销、短信营销、定向广告应分别单独获取同意）。

Cookie政策（Çerez Politikası）

网站上的Cookie属于个人数据处理行为。符合KVKK及国际标准的Cookie管理须包含以下要素：

Cookie告知横幅（Çerez Bildirimi Afişi）

网站应在用户首次访问时展示Cookie信息横幅（çerez bildirim afişi）。横幅须：

• 说明所使用的Cookie种类；
• 区分必要Cookie（zorunlu çerez）与可选Cookie（isteğe bağlı çerez）；
• 为用户提供分别接受可选Cookie的选项；
• 以一键方式实现接受或拒绝操作。

Cookie政策文本（Çerez Politikası Metni）

网站须设立独立页面，载明详细Cookie政策（detaylı çerez politikası），内容应涵盖：

• 所使用Cookie的完整清单；
• Cookie提供方（本站还是第三方）；
• Cookie用途；
• 数据保留期限；
• 用户更改Cookie偏好设置的方式。

第三方Cookie（Üçüncü Taraf Çerezler）

Google Analytics、Facebook Pixel、Hotjar等第三方工具处理个人数据并向境外传输数据。使用上述工具须：

• 获取用户的明确同意；
• 适用KVKK规定的跨境数据传输机制之一。

订单与支付阶段

客户在下单过程中产生的数据：

• 基于合同订立及履行目的进行处理——**合同（sözleşme）**可作为充分的法律依据；
• 存储支付信息须采取额外的安全保障措施；
• 应优先选用符合PCI-DSS等国际标准的支付基础设施；
• 须与支付服务提供商签订数据处理协议（veri işleme sözleşmesi）。

远程销售合同义务（Mesafeli Satış Sözleşmesi）

电商范畴内的销售行为构成远程销售合同（mesafeli satış sözleşmesi），须遵守电子商务立法。主要义务包括：

• 预先告知（ön bilgilendirme）——产品特性、价格、运费、交货期、撤销权等；
• 撤销权（cayma hakkı）——通常自交货之日起特定期限内有效；
• 退货程序（iade prosedürü）——行使撤销权时适用；
• 向客户发送订单确认及合同文本。

电子邮件与短信营销

在土耳其，发送电子商业信息（电子邮件、短信、即时消息）须履行**İYS（消息管理系统，İleti Yönetim Sistemi）**注册义务。具体要求：

• 未经事先明确同意，不得发送商业信息；
• 每条信息中须提供简便的拒绝订阅选项；
• 已拒绝接收的用户不得再次发送信息；
• 须通过İYS完成同意验证与记录留存。

违反İYS规定将面临高额行政处罚。

定向广告与再营销（Yeniden Hedefleme）

基于客户在网站上的行为投放定向广告（Facebook、Google Ads等），须满足以下条件：

• 须获取明确同意；
• 该目的须在隐私告知书中明确载明；
• 须遵守跨境数据传输规则；
• 用户须能在Cookie横幅中拒绝此类Cookie。

数据泄露通知义务（Veri İhlali Bildirimi）

当电商网站遭遇网络攻击、数据泄露或安全事故时：

• 须尽快向**个人数据保护委员会（Kişisel Verileri Koruma Kurumu，KVKK）**进行通报；
• 须向受影响的客户告知数据泄露情况；
• 须采取具体措施以降低事件影响。

隐瞒数据泄露或迟延通报将导致额外处罚。

VERBİS注册（Veri Sorumluları Sicil Bilgi Sistemi）

当电商企业的客户数量及数据处理规模超过特定门槛时，须强制完成VERBİS注册。注册内容须申报：

• 所处理的数据类别；
• 处理目的；
• 数据共享对象；
• 存储期限。

完成注册后，须制定个人数据存储与销毁政策（kişisel veri saklama ve imha politikası）。

面向外国客户的服务与GDPR

向欧洲客户销售商品的土耳其电商企业还须遵守欧盟《通用数据保护条例》（GDPR）。GDPR与KVKK在许多方面相似，但规定了额外义务：

• 特定条件下须指定数据保护官（DPO，Veri Koruma Görevlisi）；
• 须进行数据保护影响评估（DPIA，Veri Koruma Etki Değerlendirmesi）；
• 须在欧盟境内指定授权代表。

消费者仲裁委员会与消费者法院（Tüketici Hakem Heyeti ve Tüketici Mahkemesi）

电商领域的客户争议处理：

• 特定金额以下的争议提交消费者仲裁委员会（Tüketici Hakem Heyeti）；
• 较大金额的争议提交消费者法院（Tüketici Mahkemesi）；
• 客户可在其住所所在地提起诉讼，这意味着安塔利亚企业面临全国范围内的诉讼可能性。

建立完善的投诉管理与客户关系体系，有助于降低上述法律成本。

实践合规步骤

1. 在网站主要页面添加隐私告知书（aydınlatma metni）。
2. 部署**Cookie横幅（çerez afişi）并建立Cookie政策（çerez politikası）**页面。
3. 完成İYS注册并建立同意管理机制。
4. 确保**远程销售合同流程（mesafeli satış sözleşmesi süreçleri）**符合法律规定。
5. 完成VERBİS注册并制定个人数据存储与销毁政策。
6. 签订数据处理协议（veri işleme sözleşmeleri）——涵盖支付、物流、托管服务提供商。
7. 制定数据泄露应急响应预案（veri ihlali müdahale planı）。
8. 开展员工数据保护培训（personel eğitimi）。

法律支持

针对安塔利亚电商企业，MONA HUKUK提供端到端合规服务：隐私告知书与Cookie政策起草、İYS协调管理、远程销售合同文本制定、KVKK合规建设，以及按需提供的GDPR附加服务。在快速增长的电商市场中，筑牢法律合规基础，方能为可持续发展奠定专业的风险管理体系。

请发送电子邮件至 contact@monahukuk.com 或拨打 +90 (242) 606 14 32 安排安塔利亚咨询。