1 Mayıs 2024’te Hollanda Veri Koruma Otoritesi, Avrupa’daki veri ekiplerini sarsan bir başlık attı: Satış, e-ticaret ya da emlak tarafında çalışıyorsanız — kısacası web verisine dayanan herkes için — bu cümle muhtemelen içinizi düşürmüştür.
Anlıyorum. olarak her gün fiyat takibi, lead oluşturma ve pazar araştırması için web verisine ihtiyaç duyan iş ekipleriyle konuşuyoruz. Şikâyet hep aynı: Google’a “Avrupa’da web kazıma yasal mı” diye soruyorlar ve karşılarına çıkan cevapların hepsi “duruma göre değişir” demenin farklı versiyonları oluyor. Proje teslim tarihi yaklaşmışken ve kazıyacağınız URL listesi elinizdeyken bu pek de yardımcı bir yanıt değil.
Bu yüzden haftalarımı gerçek düzenlemeleri, veri koruma otoritelerinin rehberlerini, yaptırım kayıtlarını ve içtihatları inceleyerek daha kullanışlı bir şey hazırlamaya harcadım: pratik bir karar kontrol listesi, toparlanmış bir güvenlik önlemleri tablosu, gerçek ceza tutarları ve Avrupa’daki web sitelerini bir düzenleyiciyle ters düşmeden kazımanın adım adım rehberi. İster Amazon ürün fiyatlarını kazıyın ister bir dizinden B2B iletişim bilgilerini çekin, bu yazı size sınırların nerede olduğunu — ve doğru tarafta nasıl kalacağınızı — gösterecek.
Web Kazıma Nedir (ve Avrupa’daki İşletmeler Neden Umursamalı)?
Web kazıma, web sitelerindeki verilerin yapılandırılmış bir formata — bir tabloya, veritabanına, CRM’e — otomatik olarak aktarılmasıdır. Ürün adlarını ve fiyatlarını 200 sayfadan tek tek kopyalayıp yapıştırmak yerine, bir kazıyıcı her sayfayı ziyaret eder ve ihtiyacınız olan alanları düzenli sütunlara çeker.
Teknik olmayan ekipler için bu neden önemli? Çünkü web verisi gerçek iş kararlarını besler. Satış ekipleri dizinlerden lead kazır. E-ticaret yöneticileri rakip fiyatlarını her gün izler. Emlak analistleri ilan trendlerini portallar arasında takip eder. Pazar araştırmacıları kamuya açık yorumları ve puanları ölçekli biçimde toplar. hızla büyüyor ve şirketler her gün milyonlarca veri noktasını kazıyor.
Ama Avrupa’nın düzenleyici ortamı ABD’den farklı. GDPR, Database Directive ve gelişen veri koruma otoritesi rehberleri, “herkese açık” olmanın “serbestçe kullanılabilir” anlamına gelmediğini söylüyor. Hollanda veri koruma kurulu başkanı Aleid Wolfsen’in dediği gibi: “Herkese açık olması, otomatik olarak kazımaya izin verildiği anlamına gelmez.” Başlamadan önce kuralları anlamak opsiyonel değil — temiz bir veri seti ile altı haneli bir ceza arasındaki fark bu.
Avrupa’da Web Kazıma Yasal mı? Kısa Cevap
Web kazıma Avrupa’da özünde yasa dışı değildir. Ama yasallığı üç şeye bağlıdır: hangi veriyi kazıdığınız, nasıl kazıdığınız ve neden.
AB’de kazımayı yöneten üç örtüşen hukuki katman vardır:
- GDPR — kişisel veri kazıdığınız her durumda geçerlidir (isimler, e-postalar, telefon numaraları, IP adresleri, hatta takma adlı tanımlayıcılar).
- AB Database Directive — veriyi düzenlemek için “önemli yatırım” yapılan veritabanlarını korur.
- Sözleşme/Kullanım Şartları hukuku — birçok web sitesi ToS içinde kazımayı açıkça yasaklar ve AB mahkemeleri bu şartları uygulamıştır.
Kritik nokta şu: “herkese açık” demek “düzenlemesiz” demek değildir. Kişisel olmayan veriler bile veritabanı hakları veya sözleşme hukuku kapsamında korunabilir. Her kazıma projesinde bu üç katmana birlikte bakmak gerekir.
Web Kazımayı Düzenleyen Temel AB Yasaları
GDPR: Kişisel Veri Kazıdığınızda
Tanımlanabilir bir kişiye bağlı herhangi bir veri GDPR yükümlülüklerini tetikler. Buna isimler, e-posta adresleri, telefon numaraları, IP adresleri, fotoğraflar ve hatta yeniden tanımlanabilecek takma adlı veriler dahildir. Kişisel veri kazıdığınız anda GDPR kapsamında görevleri olan bir “veri sorumlusu” olursunuz:
- Hukuki dayanak (Madde 6): Veriyi işlemek için yasal bir nedene ihtiyacınız vardır. Toplu kazıma için rıza neredeyse hiç pratik değildir — milyonlarca kişiden kamusal olarak paylaştıkları bilgileri toplamadan önce izin isteyemezsiniz. En sık atıf yapılan dayanak meşru menfaattir (Madde 6(1)(f)), ancak üç parçalı belgelenmiş bir test gerektirir: (1) menfaatiniz meşrudur, (2) işleme bu menfaat için gereklidir ve (3) makul beklentileri dikkate alındığında veri sahiplerinin haklarına orantısız biçimde zarar vermez.
- Şeffaflık (Madde 14): Veriyi doğrudan kişiden toplamadığınız için, genellikle bir ay içinde ne topladığınızı, neden topladığınızı ve haklarını nasıl kullanabileceklerini bildirmelisiniz. Bireysel bildirim orantısızsa, Madde 14 içeriğinin tamamını içeren genel bir duyuru yayımlamanız gerekir.
- Veri minimizasyonu: Yalnızca gerçekten ihtiyaç duyduğunuz veriyi toplayın. Ürün fiyatlarını istiyorsanız satıcı e-posta adreslerini de çekmeyin.
- Saklama süreleri ve hak yönetimi: Saklama süreleri belirleyin, silme taleplerine uyun ve kaynak bilgisine erişim sağlayın.
(Mayıs 2024’te kabul edildi) bir katman daha ekledi: toplama, ön işleme, eğitim, istemler ve çıktı gibi farklı işleme aşamalarının her biri için ayrı hukuki dayanak analizi gerektiğini söyledi. EDPB, web kazıma için meşru menfaati reddetmedi; ancak uygun güvenlik önlemleriyle birlikte tam üç parçalı değerlendirmenin yapılmasında ısrar etti.
AB Database Directive: Verinin Nasıl Düzenlendiğini Korumak
Database Directive, verilerini elde etme, doğrulama veya sunma konusunda “önemli yatırım” yapan veritabanı oluşturucularına sui generis hak verir. Kazımanız böyle bir veritabanının “önemli bir kısmını” çıkarıyorsa, bu hakkı ihlal ediyor olabilirsiniz.
Pratikte eşik görece yüksektir. Büyük bir perakendeciden birkaç yüz ürün fiyatını kazımak muhtemelen bu kapsama girmez. Ancak bir rakibin tüm kataloğunu — on binlerce ilanı — toplu indirmek sınırı aşabilir; özellikle de bu, oluşturucunun yatırımını geri kazanma kabiliyetini tehdit ediyorsa. AB Adalet Divanı bu eşiği birkaç davada değerlendirmiştir ve temel soru her zaman orantılılıktır.
Çoğu ticari kazıma için — ürün sayfalarından belirli alanları çekmek, kategoriler arasında ilanları karşılaştırmak gibi — Database Directive daha düşük risklidir. Ama risk sıfır değildir ve kazıma kapsamınızı tasarlarken bunu akılda tutmaya değer.
Kullanım Şartları: Sözleşme Hukukunun Sürprizi
İnsanları en çok bu yakalar. Birçok web sitesi Kullanım Şartları’nda kazımayı yasaklar. Avrupa’da ToS ihlali ceza değil, medeni hukuk meselesidir; ancak yine de ihtiyati tedbirlere, sözleşme davalarına ve ciddi mali riske yol açabilir.
Bilmeniz gereken iki tür vardır: browsewrap (genellikle sayfanın altında bir bağlantı halinde bulunan pasif şartlar) kullanıcı aktif olarak kabul etmediği için uygulanması daha zordur. Clickwrap (bir kutuyu işaretlediğiniz veya “Kabul ediyorum”a tıkladığınız yapı) çok daha güçlüdür.
AB’deki dönüm noktası niteliğindeki dava Ryanair v. PR Aviation’dır: mahkeme, veritabanı hakları uygulanmasa bile Ryanair’in ToS’unu bir kazıyıcıya karşı uyguladı; çünkü kazıyıcı şartları kabul etmişti. Bu yüzden: kazımadan önce her zaman sitenin ToS’unu inceleyin. Eğer açıkça kazımayı yasaklayan bir clickwrap anlaşmasıysa, dikkatli ilerleyin — ya da bunun yerine API erişimi arayın.
DSM Direktifi ve AI Act: Araştırma ile Metin/Veri Madenciliği İstisnaları
Her kazıma aynı kısıtlamaları tetiklemez. Dijital Tek Pazar (DSM) Direktifi (2019) iki metin ve veri madenciliği (TDM) istisnası getirdi:
- Madde 3: Araştırma kurumları ve kültürel miras kuruluşları, hukuka uygun olarak erişilmiş içerik üzerinde TDM yapabilir.
- Madde 4: Hak sahibi açıkça vazgeçmedikçe (ör. robots.txt, ai.txt veya TDMRep başlıkları yoluyla) herkes — ticari kuruluşlar dahil — TDM yapabilir.
AB AI Act (Madde 53) ise yapay zekâ modeli sağlayıcılarına ek yükümlülükler getirir: TDM vazgeçme mekanizmalarına uymalı ve eğitim verisi kaynaklarını belgelendirmelidirler.
Bir istisna: Bu hükümler telif hakkı ve veritabanı haklarını kapsar, GDPR’ı değil. Eğer TDM’niz kişisel veri içeriyorsa, ayrıca ayrı bir GDPR hukuki dayanağına ihtiyacınız vardır.
Avrupa Verisi İçin “Bunu Kazıyabilir miyim?” Karar Kontrol Listesi
Bu bölüm, bu konuyu araştırmaya ilk başladığımda olmasını istediğim bölümdü. Her hukuki yazı “duruma göre değişir” der — peki karar ağacı gerçekte nasıl görünür? İşte net geçiş noktaları olan adım adım bir uyumluluk kontrol listesi. Her adım sizi ✅ devam et, ⚠️ güvenlik önlemi ekle veya 🛑 dur sonuçlarından birine götürür.
Adım 1: Veri Kişisel mi, Kişisel Olmayan mı?
Kişisel olmayan veri (ürün fiyatları, SKU numaraları, kişilerle bağlantılı olmayan işletme adresleri): daha düşük düzenleyici yük. Yine de Database Directive ve ToS’u kontrol etmeniz gerekir, ancak GDPR uygulanmaz. ✅ 3. adıma geçin.
Kişisel veri (isimler, e-postalar, telefon numaraları, fotoğraflar, bir kişiye bağlı her türlü tanımlayıcı): GDPR geçerlidir. ⚠️ 2. adıma devam edin.
Adım 2: Hangi GDPR Hukuki Dayanağı Geçerli?
- Rıza: Ölçekli kazıma için neredeyse hiç uygun değildir. 🛑 Çok dar ve özel bir senaryo yoksa.
- Meşru menfaat (Madde 6(1)(f)): En yaygın dayanak. Ancak belgelenmiş üç parçalı bir test gerektirir:
- Menfaatiniz meşrudur (ticari menfaat, göre uygun olabilir).
- Bu menfaat için işleme gereklidir.
- Denge testi: makul beklentiler dikkate alındığında menfaatiniz veri sahiplerinin haklarını geçersiz kılmaz.
- Kazımadan önce dengeleme testinizi belgeleyin. Verisini kazıdığınız kişilerin bu kullanımı makul olarak beklemesinin nedenini açıklayamıyorsanız, bu bir kırmızı bayraktır. ⚠️ Belgelenmiş meşru menfaat ile devam edin.
Adım 3: Sitenin ToS’u Kazımayı Kısıtlıyor mu?
- Kazımayı yasaklayan clickwrap anlaşması: 🛑 Yüksek risk. Alternatif veri kaynaklarını veya resmi API erişimini düşünün.
- Browsewrap veya ToS kısıtlaması yok: ⚠️ Daha düşük risk, ancak yine de robots.txt ve teknik karşı koyma sinyallerine saygı gösterin.
Adım 4: Database Directive Uygulanıyor mu?
- Hedef, veri düzenlenmesine önemli yatırım yapılmış bir veritabanı mı?
- Kazımanız bu veritabanının “önemli bir kısmını” mı çıkaracak?
- Her ikisine de evet ise: ⚠️ sui generis ihlal riski. Çekim kapsamınızı sınırlayın.
Adım 5: Araştırma veya TDM İstisnası Kapsamında mısınız?
- Kayıtlı bir araştırma kurumu veya kültürel miras kuruluşu musunuz? DSM Direktifi Madde 3 uygulanabilir. ✅
- Ticari TDM mi? Madde 4 vazgeçme sinyallerini kontrol edin (robots.txt, ai.txt, TDMRep). Site vazgeçtiyse, o kaynak için 🛑 durun.
Adım 6: Veri Koruma Otoritesi Tarafından Önerilen Güvenlik Önlemlerini Uyguladınız mı?
Yukarıdaki kapılardan geçtiyseniz, son adım CNIL, Hollanda veri koruma otoritesi ve EDPB’nin önerdiği güvenlik önlemlerini uygulamaktır. Bunlar bir sonraki bölümde ayrıntılı olarak ele alınıyor. ✅ Güvenlik önlemleriyle devam edin.
Veri Koruma Otoritesi Uyum Önlemleri: CNIL, Hollanda DPA ve EDPB Ne Öneriyor?
İncelediğim hiçbir rakip yazı, Avrupa’nın kazıma konusunda en aktif üç düzenleyicisinin güvenlik önlemlerini tek yerde toplamıyordu. Bu yüzden bu tabloyu , ve çapraz referanslayarak oluşturdum.
| Güvenlik Önlemi | CNIL | Hollanda DPA (AP) | EDPB Görev Gücü | Uygulama İpuçları |
|---|---|---|---|---|
| Madde 14 şeffaflık bildirimi | ✅ Gerekli | ✅ Gerekli | ✅ Gerekli | Kaynak kategorileri, amaçlar, hukuki dayanak, saklama, hak kanalları ve KVK iletişim bilgilerini listeleyen genel bir duyuru yayımlayın |
| Kazımadan önce DPIA | ✅ Önerilir (yüksek riskte zorunlu) | ✅ Gerekli | ✅ Gerekli | Başlamadan önce dengeleme testi, veri kategorileri, riskler ve azaltma önlemlerini belgeleyin |
| Veri minimizasyonu | ✅ Gerekli (kesin toplama kriterleri tanımlayın) | ✅ Gerekli | ✅ Gerekli | Kazıyıcıyı yalnızca gereken alanları çıkaracak şekilde yapılandırın; ilgisiz veriyi hemen silin |
| Hız sınırlama / robots.txt’ye uyum | ✅ Gerekli (robots.txt/CAPTCHA ile itiraz eden siteleri hariç tutun) | — | — | robots.txt’yi ayrıştırın, istekler arasına gecikme ekleyin, kullanıcı aracınızı tanımlayın |
| Takma adlandırma / anonimleştirme | ⚠️ Önerilir (toplamadan hemen sonra) | ✅ Şiddetle tavsiye edilir | ✅ Önerilir | Kimlikleri hash’leyin veya rastgeleleştirin; profil URL’lerini kaldırın; kimliğin gerekmediği yerlerde yüzleri bulanıklaştırın |
| Saklama süresi | ✅ Tanımlı sınır | ✅ Mümkün olduğunca kısa | ✅ Tanımlı sınır | Silme zamanlamalarını otomatikleştirin; ham önbelleği çıkarılan gerçeklerden ayırın |
| Vazgeçme / kara liste mekanizması | ✅ Önerilir (takdire bağlı ön itiraz) | ✅ Gerekli (Madde 21 itirazı) | ✅ Gerekli | Vazgeçme formu, alan adı kara listesi, kişi düzeyinde bastırma sağlayın |
| Hassas kaynakları hariç tutun | ✅ Gerekli (sağlık forumları, çocuklara yönelik siteler, pornografik siteler, soy ağacı siteleri) | ✅ Gerekli | ✅ Gerekli | Sağlık, din, siyaset, biyometri ve çocuklarla ilgili varsayılan blok listeleri tutun |
Bizim taraftan pratik bir not: Thunderbit’in özelliği, kullanıcıların tam olarak hangi sütunların çıkarılacağını tanımlamasına izin verir — fiyat, SKU, ürün adı gibi — böylece kazıyıcı yalnızca gerekeni toplar. Tüm sayfaları toplu olarak indirmiyorsunuz; amaç sınırlaması ve veri minimizasyonu ilkeleriyle uyumlu yapılandırılmış alanları seçiyorsunuz. Yine de hiçbir araç uyumsuz kazımayı yasal hale getirmez. Hukuki analiz her zaman önce gelir.
Kullanım Senaryonuza Göre Avrupa’da Web Kazıma Yasal mı? Sektöre Göre Rehber
Forumlarda en sık gördüğüm soru “kazıma yasal mı?” değil — “benim kazımam yasal mı?” Soyut GDPR teorisi buna cevap vermez. O yüzden işte yaygın kullanım senaryolarına göre bir döküm.
| Kullanım Senaryosu | Veri Türü | Temel Hukuki Riskler | Muhtemel Sonuç |
|---|---|---|---|
| E-ticaret fiyat takibi (herkese açık ürün listeleri) | Kişisel olmayan (fiyatlar, SKU'lar, ürün adları) | Database Directive sui generis; ToS ihlali | Kişisel veri yoksa ve veritabanının "önemli bir kısmı" sistematik olarak çıkarılmıyorsa genellikle daha düşük risk |
| B2B lead oluşturma (dizinlerden iletişim bilgileri) | Kişisel (isimler, e-postalar, telefon numaraları) | GDPR Madde 6 hukuki dayanak; Madde 14 bildirim; elektronik iletişim için ePrivacy | Daha yüksek risk — belgelenmiş meşru menfaat dengeleme testi ve bildirim yükümlülüğü gerekir |
| Emlak ilanları (portallardan mülk verileri) | Karışık (adresler kişisel olmayabilir; sahip isimleri kişiseldir) | Database Directive; ToS; sahip bağlantılıysa GDPR | Orta risk — sahip verisini anonimleştirin, ToS’u kontrol edin, robots.txt’ye uyun |
| Yapay zekâ eğitim verisi (ölçekli web içeriği kazıma) | Filtrelenmezse potansiyel olarak kişisel | GDPR + AB AI Act Madde 53 TDM yükümlülükleri | Yüksek risk — hem GDPR hem AI Act’e uyum gerekir; vazgeçme mekanizmaları ve güçlü filtreleme zorunlu |
Kamuya açık e-ticaret verisi gibi daha düşük riskli senaryolarda, yapılandırılmış şablonlar kullanan araçlar — örneğin Thunderbit’in — maruziyeti azaltır; çünkü gereksiz içerik toplamadan belirli, kişisel olmayan veri alanlarını çıkarırlar. Kişisel veri içeren daha yüksek riskli senaryolarda (örneğin lead oluşturma) hukuki analiz önce gelmelidir. Hiçbir kazıyıcı, ne kadar akıllı olursa olsun, uyumsuz toplamayı uyumlu toplamaya dönüştürmez.
AB vs. ABD vs. Birleşik Krallık: Web Kazıma Yasaları Nasıl Karşılaştırılır?
İşiniz sınırlar ötesinde faaliyet gösteriyorsa, kuralların nasıl farklılaştığını anlamanız gerekir. Bunu taranabilir bir yan yana tablo halinde sunan tek bir rakip yazı bulamadım, bu yüzden burada.
| Boyut | AB | ABD | BK (Brexit sonrası) |
|---|---|---|---|
| Temel hukuk | GDPR + Database Directive + ePrivacy | CFAA + eyalet yasaları (sınırlı federal veri gizliliği) | UK GDPR + Data Protection Act 2018 |
| Kamu verisi kazıma | Kişisel veri varsa yine de GDPR hukuki dayanağı gerekir | Genellikle hiQ v. LinkedIn kararına göre yasal (kamu verisi) | AB’ye benzer; ICO rehberliği geçerlidir |
| ToS yaptırımı | Medeni hukuk meselesi; Ryanair v. PR Aviation sui generis hakkı uyguladı | Van Buren CFAA’yı daralttı; ToS ihlali = suç değil | Medeni hukuk meselesi, AB’ye benzer |
| Veritabanı koruması | Sui generis hak (güçlü) | Eşdeğer federal hak yok | Sui generis hak korunuyor |
| AI/TDM istisnası | DSM Direktifi Madde 3–4; AI Act Madde 53 | Federal TDM istisnası yok (fair use doktrini) | BK bir TDM istisnası araştırıyor (2026 itibarıyla durakladı) |
| Temel yaptırım organı | Ulusal veri koruma otoriteleri (CNIL, Dutch AP vb.) | FTC + eyalet AG’leri | ICO |
| Son eğilim | Daha sıkı (Hollanda AP: kişisel veri için “neredeyse her zaman yasa dışı”) | hiQ sonrası daha izin verici | Orta düzey; genelde AB yönünü izliyor |
Avrupa web sitelerini veya Avrupalı sakinlere ait verileri kazıyorsanız, şirketiniz ABD’de ya da BK’da olsa bile AB kuralları geçerlidir.
Gerçek Cezalar ve Davalar: Yakalanırsanız Aslında Ne Olur? (2022–2026)
Bu bölüm, sorunun arkasındaki soruyu cevaplıyor: “Gerçek risk ne?” 2022’den Nisan 2026’ya kadar web kazıma veya kazınmış kişisel veri içeren tüm kamuya açık veri koruma otoritesi yaptırımlarını derledim.
| Yıl | Yaptırımcı | Hedef | İhlal | Ceza/Sonuç |
|---|---|---|---|---|
| 2022 | İtalyan Garante | Clearview AI | Hukuki dayanak olmadan yüz görüntülerini kazıma | 20 milyon € ceza + yasak + silme emri |
| 2022 | Hellenic DPA (Yunanistan) | Clearview AI | Aynı — yüz tanıma kazıması | 20 milyon € ceza + yasak + silme |
| 2022 | CNIL (Fransa) | Clearview AI | Yüz tanıma veritabanı | 20 milyon € ceza + günlük 100 bin € olası ceza |
| 2023 | CNIL (Fransa) | Clearview AI | 2022 emrine uyumsuzluk | 5,2 milyon € yaptırım ödemesi |
| 2023 | Avusturya DSB | Clearview AI | Herkese açık web’den 30 milyar+ yüz görüntüsü | Silme + AB temsilcisi emri (yayınlanmış ceza yok) |
| 2024 | Hollanda AP | Clearview AI | Yasadışı yüz tanıma verisi toplama | 30,5 milyon € ceza + uyum emirleri |
| 2024 | CNIL (Fransa) | KASPR | Lead oluşturma için LinkedIn iletişim verisi kazıma | 240.000 € ceza — 160 milyon kişi, kısıtlı görünürlükte veri, 5 yıllık saklama |
| 2024 | Irish DPC | X / Grok | Yapay zekâ eğitimi için kullanılan herkese açık gönderiler | Askıya alma anlaşması; 2025’te yasal soruşturma başlatıldı |
| 2024 | Irish DPC | Meta | Herkese açık Facebook/Instagram içeriğiyle planlanan LLM eğitimi | Meta, AB AI eğitim planlarını durdurdu |
| 2024 | İtalyan Garante | OpenAI | ChatGPT eğitim verisi + şeffaflık | 15 milyon € ceza verildi, Roma mahkemesi tarafından iptal edildi — Mart 2026 |
Kazıma/herkese açık web kategorisindeki toplam AB/AEA para cezası: 95 milyon €’nun üzerinde (iptal edilen OpenAI cezası hariç).
Bu büyük cezaların hepsi, herhangi bir hukuki dayanak olmaksızın biyometrik veya kişisel verinin toplu kazınmasını hedef aldı. Clearview milyarlarca yüz görüntüsü kazıdı. KASPR, kısıtlı görünürlüklü LinkedIn profillerinden gelen veriler dahil 160 milyon kişiyi kazıdı ve bunu beş yıl sakladı.
Kişisel olmayan herkese açık verinin orantılı, hedefli kazınması — ürün fiyatları veya SKU numaraları gibi — yaptırım konusu olmadı. Bu onu risksiz yapmaz, ama rakamları perspektife oturtmaya yardımcı olur.
Avrupa Web Siteleri Güvenli Şekilde Nasıl Kazınır: Adım Adım Rehber
- Zorluk: Başlangıç
- Gerekli Süre: ~15 dakika (uyum incelemesi dahil)
- İhtiyacınız Olanlar: Chrome tarayıcı, (ücretsiz katman çalışır), hedef URL ve yukarıdaki kontrol listesinin kısa bir gözden geçirilmesi
Adım 1: Amacınızı ve Veri İhtiyacınızı Tanımlayın
Herhangi bir aracı açmadan önce, veriye neden ihtiyaç duyduğunuzu ve tam olarak hangi alanlara ihtiyacınız olduğunu yazın. Bu sadece iyi bir uygulama değil — GDPR’ın amaç sınırlaması ve veri minimizasyonu ilkelerinin temelidir.
Örneğin: “Rekabetçi fiyatlandırma tablomuzu güncellemek için 50 Amazon ürün sayfasından ürün adları, fiyatlar ve stok durumuna ihtiyacım var.” Bu nettir. Bunu şu ifadeyle karşılaştırın: “Amazon’daki her şeyi kazımak istiyorum.” İlki minimizasyon testini geçer; ikincisi geçmez.
Adım 2: Uyumluluk Kontrol Listesini Çalıştırın
Yukarıdaki altı adımlı “Bunu Kazıyabilir miyim?” kontrol listesini geçin. Herhangi bir kapı 🛑 döndürürse, durun ve ilerlemeden önce hukuk danışmanına başvurun.
Amazon fiyat örneğimizi kapılardan geçirirsek: veri kişisel değildir (fiyatlar, SKU’lar, ürün adları) ✅, GDPR kişisel veri sorunu yok ✅, Amazon’un ToS’u gözden geçirilmelidir (kazımayı kısıtlar, bu nedenle mümkünse resmi ürün veri API’lerini düşünün) ⚠️ ve 50 ürün için Database Directive riski düşüktür ✅.
Adım 3: Doğru Kazıma Yaklaşımını Seçin
| Yöntem | Kullanım Kolaylığı | Uyumluluk Desteği | Bakım | Doğruluk |
|---|---|---|---|---|
| Elle kopyala-yapıştır | Düşük | N/A (neyi kopyaladığınızı siz kontrol edersiniz) | Yüksek (zaman alıcı) | Hata yapmaya açık |
| Kod tabanlı kazıyıcı (Python, Scrapy) | Düşük (kodlama gerekir) | Yerleşik yok | Yüksek (siteler değişince bozulur) | Bakım varsa yüksek |
| Thunderbit (AI destekli) | Çok yüksek | Yerleşik alan düzeyi minimizasyonu | Düşük (AI sayfa değişikliklerine uyum sağlar) | Yüksek |
| Resmi API | Orta | En yüksek (yapılandırılmış, yetkili erişim) | Düşük | En yüksek |
Dev ekibi olmayan iş kullanıcıları için en hızlı yol olur. Resmi API’leri olan sitelerde (Amazon’un Product Advertising API’si gibi) API her zaman en güvenli yoldur — ancak genellikle veri hacmi ve alanlarda sınırlamalar olur.
Adım 4: Kazıyıcınızı Uyumluluk İçin Yapılandırın
Thunderbit’te:
- Hedef sayfanıza gidin (ör. bir Amazon ürün listeleme sayfası).
- Chrome araç çubuğunuzdaki Thunderbit simgesine tıklayın ve “AI Suggest Fields” seçeneğini seçin. AI sayfayı tarar ve “Product Name”, “Price”, “Rating” ve “Stock Status” gibi sütunlar önerir.
- İhtiyacınız olmayan alanları kaldırın. AI “Seller Name” veya “Seller Email” öneriyor ve siz yalnızca fiyatlandırma verisine ihtiyaç duyuyorsanız, bu sütunları silin. Bu, pratikte veri minimizasyonudur.
- Kişisel tanımlayıcıları hariç tutmak” veya “yalnızca herkese açık fiyatlandırma verisini çıkar” gibi talimatlar eklemek için Field AI Prompt’u kullanın.
- Kamuya açık e-ticaret siteleri için Cloud Scraping seçin (daha hızlı, giriş gerekmez) ya da kimlik doğrulaması isteyen siteler için Browser Scraping kullanın.
- “Scrape”e tıklamadan önce robots.txt’nin kullanım senaryonuz için kazımayı yasaklamadığını doğrulayın. Bunu tarayıcınızda
[domain]/robots.txtadresine giderek kontrol edebilirsiniz.
Şimdi yalnızca yapılandırdığınız alanları içeren bir tablo önizlemesi görmelisiniz — gereksiz kişisel veri yok, gereksiz meta veri yok.
Adım 5: Veriyi Sorumlu Şekilde Dışa Aktarın, Saklayın ve Yönetin
Kazımadan sonra verinizi aktarın — Thunderbit bunların hepsine ücretsiz dışa aktarma desteği sunar.
Sonra:
- Bir saklama süresi belirleyin. Kazınan veriyi süresiz olarak saklamayın. Haftalık fiyat takibi yapıyorsanız, geçen ayın ham verisine muhtemelen ihtiyacınız yoktur.
- Kişisel veri toplandıysa (örneğin lead oluşturma için), hukuki dayanağınızı belgeleyin, bir Madde 14 şeffaflık bildirimi yayımlayın ve vazgeçme ile silme taleplerini ele almak için bir süreç kurun.
- Mümkün olduğunda silme takvimlerini otomatikleştirin. Thunderbit’in özelliği, aynı alan düzeyi yapılandırmayı korurken düzenli aralıklarla tekrarlanan kazımaları otomatikleştirebilir; böylece her çalıştırma uyum parametreleriniz içinde kalır.
Avrupa’da Kazıma Yaparken Uyumda Kalma İpuçları
Bu konuyu araştırırken ve uyumluluğa önem veren ekiplerle konuşurken öğrendiğim bazı uygulamalar:
- Yeni bir siteyi kazımadan önce her zaman ToS’u inceleyin. İki dakika sürer ve aylar sürecek hukuki baş ağrılarından kurtarabilir.
- Mümkünse API kullanın. Yapılandırılmıştır, yetkilidir ve en güvenli yoldur. Kazıma, varsayılan değil, yedek seçenek olmalıdır.
- Kişisel veri içeren her ölçekli proje için DPIA yapın. CNIL, yapay zekâ eğitim veri setlerinin yüksek risk oluşturabileceğini söylüyor ve DPIA, hesap verebilirliğinizin kanıtıdır. Daha küçük projelerde bile analizinizin belgelenmesi akıllıcadır.
- Bir kazıma günlüğü tutun. Neyi, ne zaman, nereden kazıdığınızı, hukuki dayanağınızı ve saklama sürenizi kaydedin. Bir veri koruma otoritesi bir gün sorarsa, elinizde olması iyi olur.
- Düzenleyici güncellemeleri takip edin. Veri koruma otoritesi rehberleri hızla değişiyor — CNIL Ocak 2026’da yeni AI scraping özetlerini yayımladı ve EDPB’nin daha fazla görüş yayımlaması bekleniyor. Bugünün kuralları yarın sıkılaşabilir.
- Kısıtlı veya hassas kaynaklardan kazıma yapmayın. CNIL’nin sağlık forumlarını, esas olarak çocuklar tarafından kullanılan siteleri, pornografik siteleri, soy ağacı sitelerini ve son derece yapılandırılmış kişisel veri sitelerini içerir. Bir kazıma projesi oluşturuyorsanız varsayılan bir kara liste tutun.
- Otomatik trafik operasyonel olarak çok önemlidir. göre botlar 2024’te toplam web trafiğinin %42’sini oluşturuyordu ve otomatik bot trafiği ilk kez insan trafiğini geçerek 2024’te %51’e ulaştı. Düzenleyiciler giderek bot davranışını, hızını ve atlatma tekniklerini risk ve adaletsizlik kanıtı olarak görüyor. Sorumlu bir kazıyıcı gibi davranmak — kullanıcı aracınızı tanıtmak, hız sınırlaması uygulamak, karşı koyma sinyallerine saygı göstermek — yalnızca nezaket değildir; hukuken de önemlidir.
Sonuç
Web kazıma Avrupa’da yasa dışı değildir. Ancak düzenlenmiştir — özellikle kişisel veri söz konusu olduğunda.
Hukuki sonuç, neyi kazıdığınıza (kişisel mi kişisel olmayan mı), nasıl kazıdığınıza (ToS, robots.txt, hız sınırlaması, alan düzeyi minimizasyonu) ve neden kazıdığınıza (belgelenmiş amaç ve hukuki dayanak) bağlıdır. Yaptırım kayıtları nettir: herhangi bir hukuki dayanak olmaksızın kişisel verinin kitlesel ve ayrım gözetmeyen kazınması, şirketlerin yedi ve sekiz haneli cezalara çarptırıldığı yerdir. Güvenlik önlemleriyle birlikte, kamuya açık kişisel olmayan verinin orantılı ve hedefli kazınması çok farklı bir risk kategorisinde yer alır.
Pratik çerçeve:
- Her kazıma projesinden önce karar kontrol listesini kullanın.
- Veri koruma otoritesi tarafından önerilen güvenlik önlemlerini uygulayın (şeffaflık, minimizasyon, saklama sınırları, vazgeçme mekanizmaları).
- Uyumluluğu tasarımdan itibaren destekleyen araçları seçin. Thunderbit’in AI destekli alan seçimi, yapılandırılmış çıkarımı ve özellikleri, yalnızca ihtiyacınız olan veriyi — ne eksik ne fazla — kazımayı kolaylaştırır.
- Her şeyi belgeleyin. Denge testi, kaynak listesi, saklama takvimi, DPIA. Bir düzenleyici sorarsa dosyanız savunmanız olur.
Zorunlu not: Bu makale bilgilendirme amaçlıdır, hukuki tavsiye değildir. Ölçekli kişisel veri içeren yüksek riskli senaryolarda nitelikli bir gizlilik avukatına danışın. Düzenlemeler değişiyor ve yanlış yapmanın bedeli gerçek.
Uyumlu, hedefli web kazımayı kendiniz denemek ister misiniz? küçük ölçekte yapılandırılmış çıkarımı denemenize olanak tanır — alanlarınızı tanımlayın, yalnızca ihtiyacınız olanı kazıyın ve birkaç tıkla dışa aktarın. Adım adım anlatımlar için da inceleyebilirsiniz.
SSS
1. Veriler herkese açık ise Avrupa’da web kazıma yasal mı?
Herkese açık olması, veri kişisel bilgi içeriyorsa onu GDPR kapsamından çıkarmaz. Hollanda veri koruma otoritesinin dediği gibi, “herkese açık olması otomatik olarak kazımaya izin verildiği anlamına gelmez.” Kişisel olmayan herkese açık veri (ürün fiyatları, SKU’lar) genellikle daha düşük risklidir, ancak yine de Database Directive’i ve sitenin Kullanım Şartları’nı kontrol etmeniz gerekir.
2. Avrupa web sitelerinden e-posta ve telefon numarası kazıyabilir miyim?
E-posta adresleri ve telefon numaraları GDPR kapsamında kişisel veridir. Hukuki bir dayanağa ihtiyacınız vardır — genellikle belgelenmiş bir dengeleme testiyle birlikte meşru menfaat — ve Madde 14 uyarınca bireyleri bilgilendirmelisiniz. CNIL, yeterli şeffaflık veya hukuki dayanak olmadan LinkedIn iletişim verilerini kazıdığı için KASPR’a 2024’te 240.000 € ceza kesti; yani bu alan aktif biçimde denetleniyor.
3. Avrupa’da yasa dışı web kazıma için en büyük ceza nedir?
Hollanda veri koruma otoritesi, 2024’te herkese açık web’den yasa dışı yüz tanıma verisi topladığı için Clearview AI’ya ceza verdi. AB’deki başka birkaç veri koruma otoritesi de Clearview’e ayrı ayrı 20 milyon € ceza verdi. 2022–2026 arasındaki toplam AB/AEA kazıma bağlantılı cezalar 95 milyon €’yu aşıyor.
4. robots.txt’ye uymak Avrupa’da web kazımayı yasal yapar mı?
robots.txt’ye uymak iyi uygulamadır ve uyumludur, ancak tek başına yasallığı garanti etmez. Hâlâ GDPR’a (kişisel veri söz konusuysa), Database Directive’e ve sitenin Kullanım Şartları’na uymanız gerekir. robots.txt uyumunu çok katmanlı bir uyumluluk çerçevesinin yalnızca bir katmanı olarak düşünün.
5. Avrupa’da web kazıma hukuku ABD’ye göre nasıl farklıdır?
AB çok daha sıkıdır. GDPR, herkese açık veri de dahil olmak üzere her türlü kişisel veriye uygulanır ve Database Directive yapılandırılmış veri setleri için güçlü koruma sağlar. ABD’de bu iki yasaya eşdeğer federal bir düzenleme yoktur; hiQ v. LinkedIn sonrasında herkese açık verinin kazınması genellikle yasaldır. Brexit sonrası BK ise ortadadır; UK GDPR ve korunmuş veritabanı hakları büyük ölçüde AB kurallarını yansıtır, ancak ICO yaptırımıyla. Sınır ötesi işletmeler için en yüksek çıtayı AB kuralları belirler — ve AB sakinlerine ait veri kazıyorsanız, şirketiniz nerede olursa olsun bu kurallar geçerlidir.
Daha Fazlasını Öğrenin