Pazartesi sabahı düşünün. Bir kullanıcı destek adresinize e-posta atıyor: "E-postamı unuttum, jane@example.com hesabına bakar mısınız?" AI ile yapılmış destek sohbetiniz Jane'in adını, adresini, telefonunu, kartının son dört hanesini ve son 30 günlük siparişlerini geri döndürüyor. Soruyu soran Jane değil. Öğleye kadar ekran görüntüsü sosyal medyada. Cuma günü veri koruma kurumu bir dosya açmış oluyor. Vibe ile yapılmış uygulamaların varsayılan olarak ürettiği türden bir ihlal bu ve işletmeniz için geçerli her modern gizlilik yasasının kesişiminde duruyor. Müşteri verisi taşıyan bir uygulama yayınladıysanız, yasa kapsamında siz veri sorumlususunuz. Cezalar teorik değil. Saat esnek değil. Bu yazı 2026'da müşterilere gerçekten ne borçlu olduğunuzu ve hepsini tek bir 360 derece incelemede nasıl kapsadığımızı anlatıyor. Bu genel bilgidir, yasal tavsiye değildir. Durumunuz için bir avukatla konuşun.
Uygulamayı siz yayınladıysanız, veri sorumlusu sizsiniz
Çoğu kurucunun yanlış varsaydığı ilk şey, kullandıkları platformun (Lovable, Cursor, Replit, bulut sağlayıcı, veritabanı satıcısı) yasal yükü taşıdığıdır. Taşımıyor. KVKK kapsamında veri sorumlusu, kişisel verinin neden ve nasıl işlendiğine karar verendir. Uygulamanızın müşteri adresi toplayacağına siz karar verdiyseniz, veri sorumlusu sizsiniz. Platformlar veri işleyendir. Veri işleyenlerin de yükümlülükleri vardır, ama düzenleyicinin önce adını söylediği ve önce hesap sorduğu kişi veri sorumlusudur. GDPR'da aynı role 'data controller' deniyor. CCPA'da 'business', LGPD'de 'controlador', DPDP Yasası'nda 'data fiduciary'. Etiket değişir. Sorumluluk değişmez.
Uygulamanızı bir AI aracıyla yapmış olmak yasa karşısındaki rolünüzü değiştirmiyor. AI aracı en fazla bir veri işleyendir. Siz hâlâ veri sorumlususunuz.
Bölgeye göre geçerli olan düzenlemeler
Beş düzenleme, 2026'da AI ile yapılmış uygulama yayınlayan kurucuların çoğunu kapsıyor. Her birinin kendi cezaları, bildirim süreleri ve müşteri hakları var. Aşağıdaki liste neyin onları tetiklediğini ve tetiklendiklerinde maliyetin ne olduğunu özetliyor. Bu genel bilgidir, yasal tavsiye değildir. Durumunuz için bir avukatla konuşun.
- KVKK (Türkiye, Kanun 6698): Türk kullanıcılarınız varsa geçerli. İdari para cezaları milyonlarca Türk lirasına ulaşıyor. Veri sorumlusu kamuya açık kararda adıyla yer alıyor.
- GDPR (AB + AEA): AB'de tek bir kullanıcınız bile varsa geçerli. Azami ceza: küresel yıllık gelirin %4'ü veya 20 milyon euro (hangisi yüksekse, Madde 83). İhlal bildirimi: farkına vardıktan 72 saat sonra (Madde 33).
- CCPA + CPRA (Kaliforniya): Kaliforniya'da iş yapıyorsanız ve gelir veya ölçek eşiklerini karşılıyorsanız geçerli. Yasal zararlar: olay başına kayıt başına 100 ila 750 ABD doları.
- LGPD (Brezilya): Brezilya'da yaşayan kişilerin verisini işlerken geçerli. Brezilya'daki gelirin %2'sine kadar ceza, olay başına 50 milyon real ile sınırlı.
- DPDP Yasası (Hindistan, 2023): Hindistan'daki kişisel verinin işlenmesi için geçerli. Olay başına 250 crore rupiye kadar ceza (yaklaşık 30 milyon ABD doları).
Uygulamanızda bir tane AB kullanıcısı varsa, GDPR uygulamanın tamamına uygulanır. Aynı mantık KVKK ve DPDP için de geçerli. Başka bir yerde olmakla muaf olmuyorsunuz.
72 saatlik ihlal bildirim saati ve kurucuların onu kaçırma nedeni
GDPR Madde 33, bir kişisel veri ihlalinden sonra düzenleyiciye bildirim yapmanız için size 72 saat veriyor. Türkiye'de KVKK benzer bir pencere veriyor. Saat, farkına vardığınızda başlıyor; hareket etmeye karar verdiğinizde, incelemenizi bitirdiğinizde veya bu konuda konuşmaya hazır hissettiğinizde değil. Kurucular bu saati üç nedenle kaçırır. Hata izlemeleri yoktu; bu yüzden farkındalık bir uyarıdan değil bir müşteri e-postasından geldi. Bunun bir ihlal sayılıp sayılmadığından emin değillerdi (çoğu sayılıyor). Veya önce düzeltmek, sonra bildirmek istediler. Düzenleyici zaman damgalarına baktığında hiçbiri savunma sayılmıyor.
AI ile yapılmış uygulamanızın bugün desteklemesi gereken müşteri hakları
Hem KVKK hem GDPR, müşterilerinize uygulamanızın bugün yerine getirmesi gereken belirli haklar veriyor; zamanınız olduğunda değil. Vibe ile yapılmış uygulamalar bu uç noktalara neredeyse hiç sahip değil. Bunlar isteğe bağlı değil.
- Erişim hakkı: bir müşteri kendisi hakkında tuttuğunuz her şeyi isteyebilir. Bir ayınız var (GDPR Madde 12, KVKK Madde 11).
- Silme hakkı ('unutulma hakkı'): bir müşteri verisini silmenizi isteyebilir (GDPR Madde 17). Sınırlı istisnalar geçerli.
- Taşınabilirlik hakkı: bir müşteri verisini taşınabilir bir formatta isteyebilir (GDPR Madde 20).
- Düzeltme hakkı: bir müşteri kendisi hakkındaki yanlış veriyi düzeltmenizi isteyebilir.
- İtiraz hakkı: bir müşteri belirli işlemlere, özellikle pazarlamaya itiraz edebilir.
- Eşdeğer haklar KVKK, CCPA, LGPD ve DPDP Yasası altında da bulunuyor.
360 derece incelemmiz güvenlik, işlevsellik ve yasal veri yönetimini kapsar
Çoğu mühendislik incelemesi güvenlikte duruyor. Çoğu hukuk incelemesi koduna hiç bakmıyor. Sonuç şu: kurucular her ikisi için ödüyor ve hâlâ ortadaki boşlukla kalıyor. Vibe ile yapılmış uygulamalar için 360 derece incelememiz, üçünü de tek geçişte kapsıyor.
- Güvenlik: yetkilendirme, hız sınırları, parola yönetimi, hata izleme, yayına alma sertleştirmesi.
- İşlevsellik: performans temelleri, güvenilirlik, lansmanınızın tutup tutmayacağına karar veren üretime hazırlık kontrol listesi.
- Yasal veri yönetimi: veri envanteri, işleme amacı incelemesi, hak uç noktaları (erişim, silme, taşınabilirlik), ihlal bildirimi hazırlığı ve ekibinizin avukatınıza verebileceği yazılı bir kontrol listesi.
- Çıktı: üçünü de kapsayan tek bir yazılı rapor, her konunun önceliği ve düzeltme maliyeti ile birlikte. Bizi işe alsanız da almasanız da rapor sizde kalıyor.
Biz hukuk firması değiliz ve yasal tavsiye vermiyoruz. Avukatınızın önemli olan boşlukları bulmasına yardım ediyoruz. 360 derece inceleme, onların işlerini iyi yapmaları için bizden ihtiyaç duydukları şeydir.
Bunu sizin için neden biz yapabiliriz
20+ yıldır yazılım geliştiriyoruz; Strapi'nin https://strapi.io/integrations/strapi-http-toolkit adresindeki entegrasyon listesinde resmi olarak yer alan açık kaynak araç setimiz @ibrahim-bayer/strapi-http-toolkit dahil. Gerçek kişisel veri taşıyan üretim uygulamaları işletiyoruz (https://kendinbak.ibgroup.dev adresindeki Kendin Bak, https://navigasyon.ibgroup.dev adresindeki Seyir Yardımcısı) ve müşteri verisi izolasyonunun ürünün tamamı olduğu çok kiracılı e-ticaret platformu Lean Cart'ı işletiyoruz (https://leancart.global). Sadece %10 ön ödemeyle Upwork emanetinde çalışıyoruz; beklentiyi karşılayamazsak ödeme yapmıyorsunuz.
Boşluğu düzenleyiciden önce bulun
AI ile yapılmış uygulamaların çoğu yukarıdaki gerekliliklerden en az birinde ilk gün başarısız oluyor. Düzeltme genellikle yeniden inşa değil, odaklı bir çalışma. Maliyet küçük. Düzenleyici bir dosya açtıktan sonra öğrenmenin maliyeti küçük değil. 360 derece incelemeyi şimdi yapın, yazılı raporu alın ve avukatınıza güvenle verin. Tam olarak nerede durduğunuzu bileceksiniz.
Yasal veri yönetimi kontrol listesi dahil ücretsiz 360 derece inceleme alın. Yazılı rapor. Baskı yok. Bizimle düzeltirseniz Upwork üzerinden güvenli ödeme.