İYS Rehberi: İzin alma, yönetme ve yasal yükümlülük

İYS (İleti Yönetim Sistemi), Türkiye'de ticari elektronik iletilerin (SMS, e-posta, arama) alıcı izinlerinin merkezi olarak kaydedildiği ulusal sistemdir; 6563 sayılı Elektronik Ticaret Kanunu kapsamında ticari içerikli ileti göndermek isteyen her hizmet sağlayıcının alıcının iznini İYS'ye işlemesi yasal zorunluluktur. Bilgilendirme amaçlı içerikler (sipariş onayı, randevu hatırlatması, OTP) İYS dışındadır; bu rehber ticari ileti gönderirken karşılaşacağınız izin akışını, sistemin teknik kurallarını ve iletiMerkezi entegrasyonunu açıklar.

Özet

İYS = ulusal ticari ileti izin kayıt sistemi. Ticari SMS göndermeden önce alıcı iznini İYS'ye işlemek zorunludur.
Bilgilendirme amaçlı SMS (sipariş, randevu, OTP, hizmet uyarısı) İYS dışındadır.
İzin alındığı günden itibaren 3 iş günü içinde İYS'ye işlenmelidir; geç işleme idari para cezasına tabidir.
İzin durumları: ONAY (göndermeye yetkili) veya RET (göndermek yasak). RET her zaman ONAY'ı geçersiz kılar.
iletiMerkezi'nde izinler panel veya iys-register endpoint'i ile (tek istekte 5000 kayıt) yüklenir; her gönderim öncesi send-sms iys=1 ile gerçek-zamanlı doğrulama otomatik tetiklenir, ek olarak iys-check ile alıcı bazında izin durumunu (ONAY / RET / kaynak / tarih) sorgulayabilirsiniz.

İYS nedir, neden var?

İYS, Türkiye'de ticari mesajlaşmanın "kim, kime, hangi izinle yazıyor" sorusunu merkezi bir kayıt altında tutar. Tüketici şikayet ettiğinde Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Ticaret Bakanlığı, gönderici hizmet sağlayıcıyı bu sistem üzerinden denetler. İYS kaydı ispat yükümlülüğüdür: izinli olduğunuzu ancak İYS'de kaydı varsa kanıtlayabilirsiniz.

İYS'yi işleten kurum İleti Yönetim Sistemi A.Ş. (kısaca İYS A.Ş.) olup TOBB Eğitim ve Kültür Vakfı (TOBEV) tek ortağı olarak Türkiye Odalar ve Borsalar Birliği (TOBB) yetkisiyle hizmet verir. iletiMerkezi gibi BTK lisanslı SMS sağlayıcıları, İYS A.Ş. API'sine erişerek müşterileri adına izin kaydı oluşturur ve sorgular.

Ticari mi, bilgilendirme mi?

İYS yükümlülüğü yalnızca ticari içerik için geçerlidir. Aradaki ayrım uygulamada en sık karıştırılan konudur:

Tür	İYS gerekli mi?	Tipik örnek
Bilgilendirme	Hayır	Sipariş onayı, kargo durumu, randevu hatırlatması, OTP, hizmet kesintisi uyarısı, fatura kesimi
Ticari	Evet	İndirim duyurusu, kampanya, yeni ürün lansmanı, sadakat programı bildirimi, anket daveti
Karma	Evet (içerik bütününe bakılır)	Sipariş bilgisi içinde "ayrıca yeni ürünümüze de göz atın" cümlesi

Pratik kural: Mesajda satın alma, kullanım, marka tercihini etkilemeye yönelik herhangi bir promosyon/teşvik varsa içerik ticaridir; İYS izni gerekir.

İzin alma akışı: web formu, çağrı, fiziki sözleşme

İYS izninin alınma kaynağı kayıtta belirtilir. iletiMerkezi'nin desteklediği kaynak değerleri aşağıdaki gibidir; izni nereden aldığınızı doğru kodlamak yasal kanıt zincirinde kritiktir:

Kaynak kodu	Anlamı
`HS_FIZIKSEL_ORTAM`	Fiziksel ortam (matbu form, broşür ile alınan onay)
`HS_ISLAK_IMZA`	Islak imzalı sözleşme
`HS_ETKINLIK`	Etkinlik / fuar / stand
`HS_EORTAM`	Elektronik ortam (genel)
`HS_WEB`	Web formu, web sitesi onay kutusu
`HS_MOBIL`	Mobil uygulama
`HS_MESAJ`	SMS üzerinden alınan onay
`HS_EPOSTA`	E-posta üzerinden alınan onay
`HS_CAGRI_MERKEZI`	Çağrı merkezi sesli veya tuşlamalı onay
`HS_SOSYAL_MEDYA`	Sosyal medya kanalı
`HS_ATM`	ATM ekranı üzerinden onay
`HS_KARAR`	İdari karar / yargı kararı kapsamında verilen izin (ilk kayıtta kullanılamaz)

İzin almanın yasal geçerliliği için form/kanal alıcıyı net bilgilendirmeli, "ticari elektronik ileti almayı onaylıyorum" ifadesi açık olmalı, ön-işaretli (pre-checked) onay kutusu kullanılmamalıdır.

3 iş günü kuralı

İzni aldığınız andan itibaren 3 iş günü içinde İYS'ye işlenmesi zorunludur. Bu süre yasal bir tampondur, müşteri reddi (RET) durumunda da geçerlidir: alıcı izni geri çektiğinde, sistemde bu kaydı 3 iş günü içinde güncellemezseniz sonraki gönderimlerinizde sorumluluk size kalır.

iletiMerkezi entegrasyonunda pratik akış:

Müşteri web formunu onayladığında ya da çağrı merkezinde "evet" dediğinde, sistemde anlık kayıt tutun.
Aynı gün veya en geç ertesi iş günü sonunda iys-register endpoint'ine batch (toplu) yükleyin.
Yanıttaki response.status.code değerini kontrol edin: 200 ise tüm batch kabul edildi; 422 dönerse tüm istek reddedildi (atomic davranış, bkz. aşağıda) ve hatalı kaydı bulup düzelttikten sonra batch'i tekrar gönderin.

ONAY ve RET semantiği

İYS'de bir alıcı için en güncel kayıt geçerlidir, yani:

Alıcı önce ONAY verdi, sonra RET etti > göndermek yasaktır (en güncel RET kazanır).
Alıcı önce RET etti, sonra yeniden ONAY verdi > gönderebilirsiniz, ama izni alma kanalını dosyalayın.
Bir kez kayıtlı RET, alıcı kendisi tekrar onay vermeden silinemez.

Bu semantiği kod tarafında uygulamak: ticari mesajlarda send-sms çağrısına iys=1 + iysList alanlarını ekleyin, backend gönderim akışına almadan önce gerçek-zamanlı İYS sorgusu yapar, izinsiz alıcıları (RET veya kayıt yok) düşürür ve sadece izinli alıcılar için kontör harcar. Audit veya operasyonel senaryolar için tek alıcının izin durumunu önceden öğrenmek istiyorsanız iys-check endpoint'ini kullanın (ONAY / RET / kaynak / tarih döner). Alıcı her an RET verebileceği için kendi tarafınızda izin durumu cache tutmayın, gönderim kararını backend'in gerçek-zamanlı sorgusuna bırakın.

Batch yükleme: 5000 kayıt sınırı ve atomic davranış

iys-register endpoint'i tek istekte 1-5000 izin kaydı kabul eder. Davranış atomic'tir: liste içinde tek bir kayıt geçersizse (source enum dışı, consentDate 3 günden eski, geçersiz numara formatı vb.) tüm istek reddedilir ve hangi kaydın geçersiz olduğunu söyleyen ek bir liste döndürülmez, yanıt yalnızca özet bir status taşır. Pratikte bu şu anlama gelir:

Yükleme öncesi her kaydı kendi tarafınızda doğrulayın (enum, tarih formatı, numara/e-posta formatı, +90 prefix'i, recipient/recipientType uyumu).
422 alırsanız batch'i parçalara bölüp (binary search benzeri) hangi kaydın bozduğunu kendi tarafınızda izole edin; sonra düzeltip yeniden gönderin.
5000 üstü liste varsa kendi tarafınızda chunk'layın; alıcı sayısı bu sınırı aşarsa 475 hata kodu döner.

Detay: iys-register API, iys-check API.

Sıkça sorulan sorular

S: OTP veya sipariş onayı SMS'i için İYS izni almam gerekir mi? Hayır. Bu içerikler bilgilendirme kapsamındadır ve İYS dışındadır. Ancak alıcının size telefon numarasını verirken bu tür bildirimleri alacağını bilmesi (KVKK aydınlatma metni) gerekir.

S: Müşteri "abonelikten çık" linkine bastığında ne yapmalıyım? 3 iş günü içinde iys-register ile status: RET kaydı yüklemelisiniz. Ardından bu numaraya ticari içerik göndermeyin. iletiMerkezi'nde add-blacklist endpoint'iyle hesap-içi de engelleyebilirsiniz.

S: KVKK izni almak İYS izni yerine geçer mi? Hayır. KVKK kişisel verinin işlenmesine, İYS ticari iletişime izindir. İkisi farklı yasal çerçevelerdir, ikisi de gereklidir. Detay: KVKK ve SMS.

S: İzin almadan ticari SMS gönderirsem ne olur? 6563 sayılı kanun ve İYS düzenlemeleri kapsamında alıcı başına idari para cezası uygulanır; tutarlar her yıl güncellenir, on binler/yüz binler TL mertebesindedir. Tekrar eden ihlallerde ceza katlanır.

S: APITEST başlığıyla göndereceğim test SMS'leri için İYS izni gerekir mi? APITEST başlığı yalnızca kendi test numaranıza gönderilebildiği için pratikte bir konu olmaz; yine de prod'a geçtikten sonra gerçek alıcılara giden ticari içerik için izin zorunluluğu geçerlidir.

S: B2B mesajda da İYS gerekli mi? Evet. Yasa alıcı tüzel kişi olduğunda da ticari ileti izni arar; alıcı tipi TACIR olarak işlenir.

iletiMerkezi'nde nasıl yapılır

Dört yol vardır:

Panel: Ayarlar > İYS sekmesinde tek tek veya Excel ile izin yükleyin, mevcut izinleri sorgulayın, ret işleyin.
API (iys-register): Tek istekte 5000'e kadar izin kaydı oluşturun. iys-register endpoint.
API (iys-check): Tek alıcı için güncel izin durumunu sorgulayın. iys-check endpoint.
Send-sms ile birleşik: send-sms çağrısında iys=1 parametresiyle birlikte alıcı listesi yollarsanız sistem gönderim öncesi izni doğrular ve izinsiz alıcıları otomatik düşürür.

Hesap aç, iys-register API, send-sms API

Son güncelleme: 2026-04-30 · English version