6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel veri işleyen her şirketi "veri sorumlusu" sıfatıyla bir dizi yükümlülük altına sokar. Bu yükümlülükler isteğe bağlı değildir; aydınlatmadan veri güvenliğine kadar her biri Kanun'un emredici hükümlerine dayanır ve ihlali idari para cezasıyla yaptırıma bağlanır. Cezaların üst sınırı 2026 yılı için 17 milyon Türk Lirasını aşar. Adana'daki sanayi ve ticaret işletmeleri de çalışan, müşteri ve tedarikçi verisi işledikleri ölçüde aynı kuralların muhatabıdır.
Aşağıda bir şirketin KVKK kapsamında taşıdığı temel yükümlülükleri, 2024 değişiklikleriyle gelen yeni kuralları, yurt dışına veri aktarımındaki yeni rejimi, veri ihlalinde işleyen 72 saatlik süreyi ve ihlal hâlinde uygulanan idari yaptırımların 2026 tutarlarını bulacaksınız. Tutarlar her yıl yeniden değerleme oranına göre değiştiği için, sayıların hangi yıla ait olduğunu izlemek tek başına önem taşır.
Kişisel Veri, Özel Nitelikli Veri ve Veri Sorumlusu
Yükümlülükleri kavramak için üç temel tanımı oturtmak gerekir. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir; ad, telefon, e-posta, TC kimlik numarası, hatta IP adresi buna dâhildir. Tüzel kişilere ait veriler KVKK kapsamında değildir. Bu ayrım pratikte sık karıştırılır: bir şirketin ticari unvanı korunmaz, ama o şirketin yetkilisinin cep numarası korunur.
Özel nitelikli (hassas) veriler daha sıkı korunur. Sağlık, cinsel hayat, din, mezhep, felsefi inanç, etnik köken, siyasi görüş, dernek-vakıf-sendika üyeliği, ceza mahkûmiyeti ile biyometrik ve genetik veriler bu gruba girer (KVKK m.6). Bu verilerin işlenmesi kural olarak yasaktır; ancak Kanun'da sayılan istisnalar veya açık rıza varsa işlenebilir. Sağlık verisi işleyen bir işyeri hekimliği ya da insan kaynakları birimi, bu nedenle ek güvenlik tedbirleri almak zorundadır.
Üçüncü kavram, veri sorumlusu ile veri işleyen ayrımıdır. Veri sorumlusu, verinin işlenme amaç ve vasıtalarını belirleyen kişidir; çoğu zaman şirketin kendisidir. Veri işleyen ise sorumlu adına veriyi işleyen taraftır: bulut hizmeti sağlayıcısı, bordro firması, çağrı merkezi gibi. Şirket, veri işleyenle yazılı bir sözleşme yapmak ve onun güvenlik tedbirlerini denetlemekle yükümlüdür. Burada gözden kaçan bir nokta var: veri işleyenin hatası, veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Bulut sağlayıcısının sızdırdığı veriden de Kurul karşısında şirket sorumlu tutulur.
Kişisel Veri İşlemenin Temel İlkeleri ve Hukuki Sebepleri
Her veri işleme faaliyeti, KVKK m.4'teki genel ilkelere uymak zorundadır. Veri hukuka ve dürüstlük kurallarına uygun işlenecek, doğru ve güncel tutulacak, belirli ve meşru amaçlarla sınırlı kalacak, amaçla bağlantılı ve ölçülü olacak, gereğinden uzun süre saklanmayacaktır. Uygulamada en çok ihlal edilen ilke "amaçla sınırlılık" ve "ölçülülük"tür: işe alım için toplanan özgeçmişin yıllarca silinmeden tutulması ya da tek bir hizmet için onlarca veri kaleminin istenmesi bu ilkeyi çiğner.
İlkelerin yanında, her işlemenin bir hukuki sebebi olmalıdır. KVKK m.5, kişisel verinin hangi hâllerde işlenebileceğini sayar: kanunlarda açıkça öngörülmesi, sözleşmenin ifası için zorunlu olması, veri sorumlusunun hukuki yükümlülüğü, ilgili kişinin kendisinin alenileştirmesi, bir hakkın tesisi-kullanılması-korunması ve veri sorumlusunun meşru menfaati. Bu sebeplerden biri varsa açık rıza gerekmez. Özel nitelikli verilerde ise hukuki sebep kataloğu daha dardır ve KVKK m.6'da ayrıca düzenlenir.
Veri Sorumlusunun Temel Yükümlülükleri
KVKK, veri sorumlusuna birbirini tamamlayan dört ana yükümlülük yükler. Bunların hangi sırayla yerine getirileceği değil, hepsinin birlikte sağlanması önemlidir.
İlki aydınlatma yükümlülüğüdür (KVKK m.10). Şirket, kişisel veriyi işlerken ilgili kişiye; verinin kim tarafından, hangi amaçla, hangi hukuki sebeple işlendiğini ve kimlere aktarılabileceğini bildirmek zorundadır. Aydınlatma her durumda geçerlidir; ilgili kişinin rızası olsun olmasın yapılır. Aydınlatmanın yazılı, sözlü, elektronik ya da çağrı merkezi gibi farklı kanallarla yapılması mümkündür, ama içeriğinin Kanun'da sayılan tüm kalemleri kapsaması gerekir.
İkincisi açık rızadır. Açık rıza, yalnızca işlemenin başka bir hukuki sebebe dayanmadığı hâllerde gerekir. Burada kritik bir ayrım var: aydınlatma her zaman zorunluyken, açık rıza her veri işleme faaliyeti için aranmaz. Bir işlem kanunda öngörülmüşse veya sözleşmenin ifası için zorunluysa, ayrıca rıza istenmez. Açık rıza belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir beyandır; bu üç unsurdan biri eksikse rıza geçersizdir.
Üçüncüsü veri güvenliği yükümlülüğüdür (KVKK m.12). Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve bunlara hukuka aykırı erişimi önlemek için uygun güvenlik düzeyini sağlayacak teknik ve idari tedbirleri almak zorundadır. Bu tedbirler şifreleme, erişim yetkilendirmesi, log kaydı, yetki matrisi ve düzenli sızma testlerini içerir. Kurul, "uygun güvenlik düzeyi"ni şirketin büyüklüğüne ve işlediği verinin niteliğine göre değerlendirir; özel nitelikli veri işleyen bir şirketten beklenen tedbir, sıradan müşteri verisi tutan bir işletmeden daha ağırdır.
Dördüncüsü VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydıdır (KVKK m.16). Belirli kriterleri aşan veri sorumluları sicile kayıt olmakla yükümlüdür; bu kayıt, şirketin işlediği veri kategorileri ve aldığı tedbirler hakkında şeffaflık sağlar. Kayıt yükümlüsü olup da süresinde kayıt yaptırmamak, başlı başına bir kabahattir.
VERBİS Kaydı: Kim Yükümlü, Kim İstisna?
VERBİS, Kurul tarafından tutulan kamuya açık bir sicildir. Kayıt yükümlülüğü herkese değil, Kurul'un belirlediği eşikleri aşan veri sorumlularına aittir. Uygulamada eşik, yıllık çalışan sayısı ile yıllık mali bilanço toplamı üzerinden belirlenir; ayrıca ana faaliyet konusu özel nitelikli veri işlemek olan veri sorumluları, eşik altında kalsalar dahi kayıtla yükümlü olabilir.
İstisnalar da Kurul kararlarıyla çizilir. Belirli çalışan sayısı ve mali büyüklük eşiğinin altındaki işletmeler, noterler, dernek-vakıf-sendikalar gibi bazı gruplar yalnızca kendi faaliyet alanlarına ilişkin verilerle sınırlı olmak üzere kayıttan muaf tutulmuştur. Buradaki tehlike, "ben küçüğüm, kayıt gerekmez" varsayımıdır. Eşik hesabı her yıl yeniden bakılması gereken bir konudur; büyüyen bir işletme, farkında olmadan kayıt yükümlüsü hâline gelebilir.
Aydınlatma ile Açık Rıza Aynı Metinde Olamaz
Şirketlerin en sık yaptığı hata, aydınlatma metni ile açık rıza beyanını tek bir belgede birleştirmektir. Basit görünen ama tehlikeli bir uygulamadır. Kişisel Verileri Koruma Kurulu, 26.07.2018 tarihli ve 2018/90 sayılı kararından bu yana iki sürecin ayrı ayrı yürütülmesi gerektiğini kabul eder ve bu ilkeyi sonraki ilke kararlarında da yinelemiştir.
Mantık şudur: aydınlatma bir bilgilendirmedir, rıza ise bir irade beyanıdır. İkisi aynı kutucukta birleştirilirse, ilgili kişinin rızası "özgür iradeyle" verilmiş sayılmaz; çünkü kişi bilgilendirmeyi okumadan rıza vermiş olabilir. Bu nedenle birleşik metinler hem geçersiz rıza hem de aydınlatma ihlali olarak iki ayrı yaptırıma konu olabilir.
İkinci yaygın hata, açık rızayı bir hizmetin ya da ödemenin ön şartı hâline getirmektir. Müşteriye "rıza vermezsen hizmeti alamazsın" denildiğinde rıza özgür iradeden çıkar ve geçersiz hâle gelir. Sözleşmenin ifası için zaten gerekli olan veriler bakımından rıza istemek de yanlıştır; orada hukuki sebep zaten sözleşmedir, ayrıca rıza alınması rızayı anlamsızlaştırır.
İlgili Kişinin Hakları
Şirketin yükümlülükleri, veri sahibinin (ilgili kişinin) haklarının aynasıdır. KVKK m.11, ilgili kişiye geniş bir hak kataloğu tanır. Kişi; verisinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında verinin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş verinin düzeltilmesini, kanundaki şartlar çerçevesinde verinin silinmesini veya yok edilmesini isteme, ve işlenen verinin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhine bir sonuç doğmasına itiraz etme haklarına sahiptir.
İlgili kişi bu taleplerini önce veri sorumlusuna iletir. Veri sorumlusu, başvuruyu en geç otuz gün içinde sonuçlandırmak zorundadır. Talep reddedilir, yetersiz yanıtlanır veya süresinde cevaplanmazsa, ilgili kişi otuz gün içinde Kurul'a şikâyette bulunabilir. Uygulamada şirketlere kesilen cezaların önemli bölümü, bu başvurulara süresinde ve yeterli yanıt verilmemesinden kaynaklanır. Bu nedenle şirketin bir "başvuru yönetimi" prosedürü kurması, sonradan doğacak cezaları önlemenin en basit yoludur.
2024 Değişiklikleri: Özel Nitelikli Veri ve Yurt Dışına Aktarım
KVKK'da köklü bir değişiklik, 7499 sayılı Kanun ile yapıldı. 12 Mart 2024 tarihli Resmî Gazete'de yayımlanan bu kanunun KVKK'yı ilgilendiren hükümleri 1 Haziran 2024'te yürürlüğe girdi. Değişiklik iki başlıkta yoğunlaşır: özel nitelikli verilerin işlenmesi (m.6) ve yurt dışına veri aktarımı (m.9).
Özel nitelikli veri tarafında, eski düzenlemedeki sağlık ve cinsel hayat verileri ile diğer hassas veriler arasındaki katı ayrım kaldırıldı. İşleme sebepleri genişletilerek düzenleme GDPR'ye yaklaştırıldı; artık bazı hâllerde açık rıza aranmaksızın, kanunda sayılan şartlara dayanarak özel nitelikli veri işlenebiliyor. Özellikle istihdam ilişkisi ile iş sağlığı ve güvenliğinden kaynaklanan işlemelerde işverenlere belirli bir kolaylık tanındı. Bu, işyeri hekimliği ve insan kaynakları süreçlerini doğrudan etkileyen bir değişikliktir.
Yurt dışına aktarım tarafında ise açık rıza merkezli eski anlayıştan, kademeli bir sistematiğe geçildi. Yeni rejimde şirketler, yurt dışına veri aktarımını üç yoldan biriyle yapar: yeterlilik kararı bulunan ülkelere aktarım, uygun güvencelere dayalı aktarım veya arızi (geçici) hâllerdeki istisnalar. Uygun güvenceler arasında en çok kullanılan araç, Kurul'un onayladığı standart sözleşmelerdir. Standart sözleşme imzalandıktan sonra, beş iş günü içinde Kurul'a bildirim yapılması zorunludur. Bu bildirimin yapılmaması başlı başına bir kabahat olarak düzenlenmiş ve 50.000 TL ile 1.000.000 TL arasında idari para cezasına bağlanmıştır.
Veri İhlali Yönetimi ve 72 Saat Kuralı
Bir veri ihlali yaşandığında şirketin önündeki saat işlemeye başlar. KVKK m.12/5, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusunun durumu "en kısa sürede" Kurul'a ve ilgili kişilere bildirmesini öngörür. Bu muğlak ifade, Kurul'un 24.01.2019 tarihli ve 2019/10 sayılı ilke kararıyla somutlaştırıldı: "en kısa süre" 72 saat olarak yorumlanır. Veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurul'a bildirim yapmakla yükümlüdür.
72 saat içinde haklı bir gerekçeyle bildirim yapılamazsa, gecikmenin nedeni de bildirimle birlikte Kurul'a açıklanır. İhlalden etkilenen ilgili kişilere de makul en kısa sürede bildirim yapılır; iletişim adresi biliniyorsa doğrudan, bilinmiyorsa şirketin web sitesi gibi uygun bir yöntemle.
Aynı ilke kararı, şirketlere bir "veri ihlali müdahale planı" hazırlama yükümlülüğü de getirir. Plan; ihlali kimin tespit edeceği, kime raporlanacağı, hangi belgenin hazır bulunacağı ve sorumluluğun kimde olduğu sorularını önceden cevaplamalıdır. Olay anında plan kurmaya kalkmak, hem 72 saatlik süreyi kaçırma hem de delil kaybı riski doğurur. Veri işleyen nezdinde gerçekleşen ihlallerde ise veri işleyen, gecikmeksizin veri sorumlusuna haber vermek zorundadır.
2026 İdari Para Cezaları
İhlal hâlinde uygulanan cezalar KVKK m.18'de düzenlenir ve alt-üst sınırları her yıl, Vergi Usul Kanunu uyarınca belirlenen yeniden değerleme oranına göre güncellenir. 2026 yılı için yeniden değerleme oranı yüzde 25,49 olarak uygulanmıştır. Kurul'un yayımladığı güncel tabloya göre 2026 yılı başlıca tutarlar şöyledir:
| İhlal türü | 2026 idari para cezası aralığı |
|---|---|
| Aydınlatma yükümlülüğünü yerine getirmeme | 85.437 TL – 1.709.200 TL |
| Veri güvenliği yükümlülüklerini yerine getirmeme | 256.357 TL – 17.092.242 TL |
| Kurul kararlarını yerine getirmeme | 427.263 TL – 17.092.242 TL |
| VERBİS kayıt ve bildirim yükümlülüğüne aykırılık | 256.357 TL – 17.092.242 TL |
| Veri ihlali / standart sözleşme bildirimini yapmama | 50.000 TL – 1.000.000 TL |
Tabloda gözden kaçan bir nokta, cezaların katlanabilmesidir. Kurul, tek bir veri ihlali olayında birden çok yükümlülüğün çiğnendiğini tespit ederse, her ihlal için ayrı ceza verebilir. Örneğin veri güvenliği tedbirlerinin alınmaması ile ihlal bildiriminin yapılmaması, aynı olayda iki ayrı cezaya yol açar. Üstelik Kurul, ağırlığa göre üst sınırı uygulayabilir. Bu nedenle "tek ceza ödeyip kurtulma" beklentisi gerçekçi değildir.
Cezaya itiraz yolu da 2024 değişikliğiyle yer değiştirdi. Eskiden Kurul'un idari para cezalarına karşı sulh ceza hâkimliğine itiraz ediliyordu. 1 Haziran 2024'ten sonra verilen cezalara karşı ise, tebliğden itibaren altmış gün içinde idare mahkemesinde iptal davası açılır. Bu tarihten önce sulh ceza hâkimliğinde görülmekte olan dosyalar, eski usulle o hâkimliklerde sonuçlandırılmaya devam eder. Cezanın itiraz mercii artık idari yargıdır; doğru merciye başvurmamak süre kaybına yol açar. İdari yargının yerleşik içtihadı, idari para cezalarının iptali davalarında somut gerekçe ve usulüne uygun bir savunma ister; Kurul kararının dayanağını ve ölçülülüğünü tartışmayan soyut itirazlar uygulamada sonuç vermez.
Şirketler İçin Uyum Adımları
KVKK uyumu dağınık belgeler yığını değil, sıralı bir süreçtir. Uygulamada işleyen bir uyum çalışması şu adımları izler:
| Adım | İçerik |
|---|---|
| 1. Veri envanteri | Hangi veri, hangi amaçla, nerede, ne kadar süre tutuluyor — tümü kayıt altına alınır |
| 2. Hukuki sebep tespiti | Her işleme faaliyeti için açık rıza mı yoksa KVKK m.5/6'daki başka bir sebep mi geçerli, belirlenir |
| 3. Aydınlatma metinleri | Çalışan, müşteri, ziyaretçi gibi her grup için ayrı aydınlatma metni hazırlanır |
| 4. Açık rıza süreçleri | Rıza gereken hâller için ayrı, özgür iradeyle alınan rıza mekanizması kurulur |
| 5. Teknik-idari tedbirler | Erişim yetkileri, şifreleme, loglama, yedekleme ve saklama-imha politikası uygulanır |
| 6. VERBİS kaydı | Kriter aşılıyorsa sicile kayıt yapılır ve güncel tutulur |
| 7. İhlal ve başvuru prosedürü | 72 saatlik ihlal müdahale planı ile ilgili kişi başvurularını yönetecek prosedür oluşturulur |
Bu adımlar bir kez yapılıp bırakılmaz. Yeni bir işleme amacı doğduğunda, yeni bir yazılım kullanıldığında veya yeni bir tedarikçiyle çalışıldığında envanter ve metinler güncellenir. Adana'daki çok sayıda işletmenin paylaştığı ortak hassasiyet de buradadır: Çukurova'nın yoğun tarım, lojistik ve imalat ticareti, tedarikçi ve nakliye zincirleri üzerinden sürekli veri akışı doğurur; bu da uyum döngüsünün bir kez kurulup unutulamayacak kadar canlı kalmasını gerektirir.
Sık Yapılan Hatalar
Şirketlerin yanılgıları birkaç başlıkta toplanır.
Birincisi, KVKK'yı yalnızca büyük şirketleri ilgilendiren bir konu sanmaktır. Oysa çalışan özlük dosyası tutan en küçük işletme bile veri sorumlusudur; ölçek, yükümlülüğü değil yalnızca VERBİS eşiğini etkiler.
İkincisi, bir kez hazırlanan aydınlatma metnini hiç güncellememektir. Yeni bir işleme amacı doğduğunda metin yenilenmezse, eldeki metin fiilen geçersiz hâle gelir.
Üçüncüsü, veri işleyenlerle (bulut sağlayıcı, muhasebe firması, çağrı merkezi) yazılı sözleşme yapmamaktır. Veri işleyenin kusuru veri sorumlusunun sorumluluğunu kaldırmadığından, sözleşmesiz çalışmak riski tümüyle şirkete yıkar.
Dördüncüsü, açık rızayı ödeme veya hizmet şartı hâline getirmektir. Bu, rızayı özgür iradeden çıkardığı için geçersiz kılar ve genellikle hem rıza geçersizliği hem de aydınlatma ihlali olarak değerlendirilir.
Beşincisi ve uygulamada en pahalıya mal olanı: veri ihlali yaşandığında 72 saatlik süreyi kaçırmaktır. Çoğu şirket ihlali fark eder ama "önce iç soruşturma yapalım, sonra bildiririz" diyerek süreyi geçirir. Oysa süre, ihlalin tam aydınlatılmasını değil, öğrenildiği andan itibaren bildirimi esas alır. Geç bildirim, esas ihlalin üzerine ikinci bir ceza ekler.
Sıkça Sorulan Sorular
Her şirket VERBİS'e kayıt olmak zorunda mı?
Hayır. Yalnızca Kurul'un belirlediği kriterleri aşan veri sorumluları kayıt yükümlüsüdür (KVKK m.16). Belirli yıllık çalışan sayısı ve mali büyüklük eşiğinin altındaki işletmeler istisna kapsamında olabilir; ancak ana faaliyeti özel nitelikli veri işlemek olanlar eşik altında dahi kayıtla yükümlü olabilir.
Aydınlatma ve açık rıza tek metinde verilebilir mi?
Verilemez. Kurul, 2018/90 sayılı kararından bu yana ikisinin ayrı ayrı yerine getirilmesini şart koşar. Aydınlatma bir bilgilendirme, açık rıza ise irade beyanıdır; tek metinde birleştirilirse rıza "özgür irade" unsurunu kaybeder.
Veri ihlalini ne kadar sürede bildirmek gerekir?
Kurul'un 2019/10 sayılı kararına göre KVKK m.12/5'teki "en kısa süre" ifadesi 72 saat olarak yorumlanır. Veri sorumlusu, ihlali öğrendiği andan itibaren en geç 72 saat içinde Kurul'a bildirmek zorundadır; etkilenen kişilere de makul en kısa sürede bildirim yapar.
Yurt dışına veri aktarımı için ne gerekir?
2024 değişikliğinden sonra üç yoldan biri kullanılır: yeterlilik kararı, uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları) veya arızi istisnalar. Standart sözleşme kullanımı, imzadan itibaren beş iş günü içinde Kurul'a bildirilir.
KVKK cezasına nereye itiraz edilir?
1 Haziran 2024'ten sonra verilen idari para cezalarına karşı, tebliğden itibaren altmış gün içinde idare mahkemesinde iptal davası açılır. Bu tarihten önce sulh ceza hâkimliğinde başlamış dosyalar eski usulle sürer.
Sonuç
KVKK uyumu, tek seferlik bir belge hazırlama işi değil, sürekli yürütülen bir süreçtir. Aydınlatma (m.10), açık rıza, veri güvenliği (m.12) ve VERBİS (m.16) yükümlülükleri birlikte sağlanmadığında, 2026 itibarıyla 17 milyon lirayı aşan idari yaptırımlar gündeme gelir; üstelik bu cezalar tek olayda katlanabilir. 2024 değişiklikleriyle gelen özel nitelikli veri ve yurt dışı aktarım rejimi ayrı bir uyum başlığı doğurmuş, cezaya itiraz da artık idare mahkemesine taşınmıştır.
Kaynakça
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (R.G. 07.04.2016, No. 29677)
- 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (R.G. 12.03.2024, No. 32487)
- Kişisel Verileri Koruma Kurulu, 26.07.2018 tarihli ve 2018/90 sayılı Karar (aydınlatma–açık rıza ayrımı)
- Kişisel Verileri Koruma Kurulu, 24.01.2019 tarihli ve 2019/10 sayılı Karar (72 saatlik veri ihlali bildirimi)
- Kişisel Verileri Koruma Kurumu, 6698 sayılı Kanun Kapsamında İdari Para Cezası Tutarları
Sık Sorulan Sorular
Her şirket VERBİS'e kayıt olmak zorunda mı?
Aydınlatma ile açık rıza aynı metinde olabilir mi?
Veri ihlalini Kurul'a ne kadar sürede bildirmek gerekir?
KVKK cezaları her yıl değişir mi?
KVKK idari para cezasına nereye itiraz edilir?
Yorumlar
Yorum Yapın
E-posta adresiniz yayınlanmaz. Yorumunuz moderasyon onayından sonra görünecektir.
