Türkiye'de Soğuk E-posta ve KVKK: B2B Outbound için Yasal Uyumluluk Rehberi
23 Mart 2026 · 3 dk okuma · yazan Ahmet Faruk Yilmaz, Asphia Kurucusu
Özet
Türkiye'de B2B soğuk e-posta KVKK kapsamındadır. Meşru menfaat, kamuya açık iş verisi ve alıcının ticari rolüyle doğrudan ilgi, kampanyaya yasal dayanak sağlayabilir. Ön onay tüketici iletişiminde zorunludur. Kurumsal iletişimde ise bağlam ve şeffaflık belirleyicidir.
Türkiye’de B2B soğuk e-posta göndermek yasaldır, fakat kuralsız değildir. KVKK (Kişisel Verilerin Korunması Kanunu) ile Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik birlikte değerlendirilmelidir. Doğru kurgulanan bir outbound kampanyası her iki düzenlemeye de uyabilir.
KVKK B2B Outbound’ı Nasıl Etkiler?
KVKK, 2016 yılında yürürlüğe girdi ve Türkiye’deki kişisel veri işleme faaliyetlerini düzenliyor. Temel kural basit: Bir kişiye ait veriyi işlemek için geçerli bir hukuki dayanak gerekir.
B2B soğuk e-postada en sık kullanılan hukuki dayanak “meşru menfaat” hükmüdür (KVKK Md. 5/2-f). Temel hak ve özgürlüklere zarar vermeyen, meşru amaçlı bir veri işleme faaliyeti onay alınmadan yapılabilir. Örneğin bir şirketin satın alma direktörüne, göreviyle doğrudan ilgili bir çözümü kısaca tanıtan e-posta meşru menfaat savunmasına dayanabilir.
Tüketici iletişiminde kural farklıdır. Ticari İletişim Yönetmeliği tüketicinin açık onayını şart koşar. Bu yüzden B2B ve B2C outreach birbirinden net biçimde ayrılmalıdır.
6563 sayılı kanunun 6. maddesi tacire önceden onay almadan e-posta göndermeye izin veriyor. Okuyanlar biliyor.
GDPR ile Fark: Ne Değişiyor?
GDPR uyumlu soğuk e-posta ile KVKK aynı kurallara tabi değildir. İki düzenlemenin yapısı benzese de uygulamaları birebir örtüşmez.
GDPR’da meşru menfaat, daha yerleşik bir içtihatla destekleniyor. AB veri koruma otoritelerinin B2B soğuk e-posta rehberleri de daha net. KVKK uygulaması ise hâlâ gelişiyor ve her dava kendi koşullarıyla değerlendiriliyor.
Pratikte her iki mevzuat da şu üç temel beklentide örtüşür:
- Veri kaynağında şeffaflık: Veriyi nereden aldığınızı belirtin.
- Alıcının rolüyle doğrudan ilgi: Mesaj işle ilgili olmalı.
- Kolayca erişilebilir bir vazgeçme mekanizması.
Bu üç kriter, kampanyanın her iki düzenleme kapsamında da savunulabilmesini sağlar.
KVKK Uyumlu Soğuk E-posta Nasıl Yapılandırılır?
Uyumlu bir kampanya dört noktaya dayanır:
Veri kaynağı. LinkedIn gibi kamuya açık profesyonel platformlardan veya Apollo ve Clay gibi B2B veritabanlarından alınan meslek verileri, meşru menfaat savunmasını güçlendirir. Clay ile veri zenginleştirme sırasında tutulan alanları ve işleme yöntemini belgeleyin. Kurumsal denetimde bu kayda ihtiyacınız olur.
Mesajın içeriği ve uzunluğu. E-posta kısa, net ve alıcının sektörüyle ilgili olmalıdır. Kişiselleştirmeyi özel hayata değil, profesyonel role dayandırmak meşru menfaat savunmasını güçlendirir.
Kimlik ve şeffaflık. Her e-postada gönderici şirketin adı, adresi ve iletişim bilgileri yer almalıdır. Bilgiyi nereden aldığınızı tek cümleyle açıklamak güven verir ve şikayet riskini azaltır.
Vazgeçme mekanizması. Her iletide tek tıkla abonelikten çıkma imkanı sunmak yasal bir gerekliliktir. Teslim edilebilirliği de artırır. Spam’e düşmeden soğuk e-posta göndermek için bu mekanizmanın çalıştığını düzenli olarak kontrol edin.
Hangi Verilerden Kaçınmalısınız?
Uyumluluk riskinizi azaltmak için şu veri türlerinden uzak durun:
- Sağlık, din ve siyasi görüş gibi özel nitelikli kişisel veriler. B2B outreach için gereksizdir ve hukuki risk doğurur.
- Çok eski veya kaynağı belirsiz listeler. Verinin ne zaman ve nasıl toplandığını bilmiyorsanız, o veriyi kullanmak meşru menfaat savunmasını zayıflatır.
- Alıcının rolüyle ilgisiz kişisel ayrıntılar. Konum çıkarımları, aile bilgileri ve sosyal medya davranışları B2B e-posta için gereksiz ve risklidir.
Uygulamada: İnsan Onayı ve Sistem Kaydı
Mevzuat uyumu kampanya öncesinde yapılan tek seferlik bir kontrol değildir. Her kararın kaydı tutulmalıdır. Outbound motor kurulumlarında e-postaları gönderimden önce insan onayından geçirmek hem uyumluluğu hem de kaliteyi korur.
Kullandığınız listeyi, listeyi ne zaman aldığınızı, gönderilen mesajı ve onaylayan kişiyi kaydedin. KVKK Kurulu’nun olası bir soruşturmasında bu kayıtlar temel savunma araçlarınızdır.
Asphia’nın kurduğu outbound sistemlerde her gönderim bu süreçten geçer. Kampanyayla birlikte kurum içinde denetlenebilir bir uyumluluk kaydı da bırakıyoruz. Hizmetlerimiz hakkında daha fazla bilgi alabilirsiniz.
Türkiye’de B2B outbound yürütmek için her adımı belgeleyin, mesajı alıcının işiyle ilişkilendirin ve vazgeçmeyi kolaylaştırın. KVKK uyumu bu üç noktada başlar.
Sinyal sıralaması mailine gelsin.
Kime soğuk email atacağımıza karar vermek için sinyalleri S'den D'ye sıralıyoruz. Listeyi bir kez gönderiyoruz. Sonrasında başka mail yok.
Talebin alındı. Liste 24 saat içinde kutunda olacak.
Son bir adım: hazır talebi şu adrese gönder: faruk@asphia.consulting
Sık sorulan sorular
Türkiye'de soğuk e-posta göndermek yasal mı?
B2B soğuk e-posta, doğru kurgulandığında Türkiye'de yasaldır. KVKK'daki meşru menfaat hükmü ve Ticari İletişim Yönetmeliği'ndeki kurumsal istisna, ticari alıcılara yönelik kampanyalara yasal dayanak sağlayabilir. Kişisel olmayan meslek verileri kullanılmalı ve açık bir vazgeçme yolu sunulmalıdır.
KVKK ile GDPR arasındaki temel fark nedir?
KVKK, AB'nin GDPR düzenlemesini temel alsa da uygulamada bazı farklar vardır. GDPR meşru menfaati daha esnek tanımlar. KVKK'da ise kişisel veri işlemenin her adımı için açık bir hukuki dayanak göstermek gerekir. B2B iletişimde iki düzenleme de benzer savunmaları kabul eder.
İş e-posta adresi kişisel veri sayılır mı?
Evet. Kurumsal e-posta adresi belirli bir çalışanı gösterdiği için KVKK kapsamında kişisel veri sayılabilir. Bu nedenle çalışan adreslerine yapılan outreach, info@ gibi genel şirket adreslerine gönderilen iletilerden daha dikkatli bir hukuki çerçeve gerektirir.
Soğuk e-posta için onay almak zorunda mıyım?
Tüketicilere gönderilen ticari elektronik iletiler için açık onay zorunludur. B2B e-postada ise alıcının ticari rolüyle doğrudan ilgili, kısa ve bilgi amaçlı mesajlar meşru menfaat kapsamında değerlendirilebilir. Kampanya bu çerçevede tasarlanmalıdır.
KVKK uyumlu bir soğuk e-postada neler olmalı?
Mesaj kısa ve alıcının rolüyle ilgili olmalıdır. Kim olduğunuzu, veriyi nereden aldığınızı ve alıcının nasıl vazgeçebileceğini açıkça belirtin. Gönderici şirketin adı, adresi ve iletişim bilgileri de eksiksiz bulunmalıdır.
KVKK ihlali durumunda ne gibi yaptırımlar uygulanır?
Kişisel Verileri Koruma Kurumu (KVKK Kurulu) idari para cezası verebilir ve veri işleme faaliyetini durdurabilir. Ceza miktarı ihlal türüne ve ölçeğine göre değişir. Sistematik uyumsuzluk itibar riskini de beraberinde getirir.
Ahmet Faruk Yilmaz
Asphia kurucusu. Küçük ekipler için sinyal bazlı B2B outbound motorları kurar ve çalıştırır, beş pazardaki şirketlerle toplantı ayarladı. Soğuk e-posta, Clay, teslim edilebilirlik ve GTM mühendisliği üzerine yazıyor.
Bunu senin için çalıştıralım mı?
Ücretsiz GTM analizini al. Kuracağımız motoru tam olarak gösteririz.
Ücretsiz GTM analizini al →