KVKK, yani Kişisel Verilerin Korunması Kanunu, kişilerin özel hayatını ve temel haklarını korumak amacıyla kişisel verilerin hukuka uygun şekilde işlenmesini düzenleyen önemli bir kanundur. Günümüzde isim, telefon numarası, kimlik bilgisi, adres, sağlık verisi, banka bilgileri ve dijital izler gibi birçok kişisel veri; şirketler, kamu kurumları, internet siteleri ve uygulamalar tarafından işlenmektedir. Bu nedenle KVKK, hem bireylerin kişisel verileri üzerindeki haklarını bilmesi hem de veri işleyen kişi ve kurumların yasal yükümlülüklerini yerine getirmesi açısından büyük önem taşır. Bu yazıda KVKK’nın ne olduğu, kimleri kapsadığı ve kişisel verilerin nasıl korunması gerektiği açıklanmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu, özünde bireyin kendi verileri üzerindeki kontrolünü ve verisel özerkliğini yasal bir güvence altına alan temel bir hukuki dayanaktır. Her şeyin dijitalleştiği günümüz teknoloji dünyasında bu düzenleme, mahremiyet hakkını sadece teknik bir prosedür olmaktan çıkarıp, insan onurunun dijital bir yansıması haline getirmektedir. Kanun, verinin akışını durdurmayı değil; bu akışı şeffaflık, dürüstlük ve hesap verebilirlik ilkeleriyle disipline ederek bireyi, veri sorumluları karşısında asimetrik bir güç kaybından korumayı amaçlamaktadır.
Bu yazımızda; kişisel veri kavramının hukuki mahiyeti, veri işleme faaliyetinin zeminini oluşturan temel şartlar ve veri sorumlularının başta aydınlatma yükümlülüğü olmak üzere uyması gereken idari ve teknik kriterler anlatılmış olup ayrıca; VERBİS kayıt süreci, ihlal durumunda öngörülen idari yaptırımlar ve veri sahibinin anayasal güvence altındaki başvuru hakları, güncel uygulamalar ışığında ele alınmıştır.
KVKK’NIN AÇILIMI VE YASAL DAYANAĞI
KVKK’nın açılımı, Kişisel Verilerin Korunması Kanunu olup 7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak hukukumuzda yerini almıştır. İşbu kanun doğrudan Anayasa’nın 20. maddesinde teminat altına alınan “Özel Hayatın Gizliliği” hakkının dijital ve fiziksel alandaki karşılığıdır. 2010 yılındaki anayasa değişikliğiyle bireyin kendi verileri üzerindeki tasarruf yetkisinin anayasal bir güvenceye bağlanması, KVKK’nın zeminini oluşturmuştur.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU’NUN AMACI
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaktır. Kanun, dijitalleşen bilgilerin bireyin verileri üzerindeki denetim yetkisini yitirmemesini ve verinin suistimal edilmesini önlemektedir.
Hukuki düzlemde bu amaç, verinin işlenme sürecini tamamen yasaklamak değil; bu süreci belirli bir disiplin, şeffaflık ve hesap verebilirlik çerçevesine oturtmaktır. Veri sorumlularının uyması gereken yükümlülükler ile veri işleme faaliyetlerinde takip edilecek usul ve esaslar bu doğrultuda düzenlenmiştir. Anayasa’nın 20. maddesinde güvence altına alınan “kişisel verilerin korunmasını isteme hakkı”, işbu kanunun anayasal dayanağıdır.
KİŞİSEL VERİ NEDİR?
Kişisel veri kavramı, 6698 sayılı Kanun’un 3. maddesindeki lafzi tanımının ziyade, bireyin maddi ve manevi varlığını dijital veya fiziksel dünyada temsil eden tüm izlerin hukuki bir iz düşümüdür; zira burada korunan temel değer, sadece bir isim veya rakam dizini değil, o bilginin bir gerçek kişiyi toplum içerisinde ne derece “tekilleştirebildiği” gerçeğidir.
Kanun koyucu, verinin kimliği “belirli veya belirlenebilir” kılmasına vurgu yaparak bir koruma alanı inşa etmiştir; bu da demek oluyor ki, bugün bir kişinin biyometrik verisinden tutun da harcama alışkanlıklarına, IP adresinden ailevi bağlarına kadar uzanan geniş bir yelpaze, başka veri setleriyle eşleştiği anda o bireyin mahremiyetine açılan bir kapı hükmüne geçer. Dolayısıyla bir veriyi kişisel kılan esas unsur, onun bir kayıt ortamında bulunmasından ziyade, yaşayan ve somut bir insanla kurduğu kopmaz illiyet bağıdır. Bu bağlamda, bireyin kişilik hakkının bir parçası kabul edilen bu veriler, veri sorumluları tarafından ancak kanunun çizdiği meşruiyet sınırları, şeffaflık ve dürüstlük ilkeleri çerçevesinde işlenebilecek hukuki değerler niteliğindedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİ NEDİR?
6698 sayılı Kanun’un 6. maddesinde sınırlı sayıda (numerus clausus) sayılan özel nitelikli kişisel veriler, ifşa edilmeleri veya hukuka aykırı şekilde işlenmeleri halinde ilgili kişinin mağduriyetine ya da ayrımcılığa maruz kalmasına yol açabilecek mahiyetteki “hassas” bilgilerdir. Kanun koyucu bu verileri; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler olarak belirleyerek genel verilerden ayırmıştır.
Bu verilerin işlenmesi, nitelikleri gereği daha sıkı bir koruma rejimine tabi tutulmuş; ilgilinin açık rızası olmaksızın işlenmeleri kural olarak yasaklanmış ve ancak kanunda öngörülen sınırlı sayıdaki hallerde işlenmelerine cevaz verilmiştir. Özellikle sağlık ve cinsel hayata ilişkin veriler için daha da ağırlaştırılmış bir koruma usulü öngören bu düzenleme, bireyin özel alanına müdahaleyi engellemeyi ve veri sorumlusuna Kurul tarafından belirlenen ek güvenlik önlemlerini alma yükümlülüğünü yükleyerek en üst düzeyde hukuki güvence sağlamayı amaçlamaktadır.
VERİ İŞLEME ŞARTLARI NELERDİR?
6698 sayılı Kanun’un 5. maddesinde tahkim edilen kişisel veri işleme şartları, özünde verinin işlenmesine cevaz veren hukuki meşruiyet kalıpları olup; veri sorumlusunun “hukuka uygunluk” savunmasını üzerine inşa edeceği tekil veya kümülatif dayanak noktalarıdır. Türk hukuk sisteminde kişisel verilerin korunması asıl, işlenmesi ise ancak bu maddede numerus clausus (sınırlı sayı) ilkesiyle sayılan istisnai hallerin varlığı halinde mümkün olan bir istisnadır; bu bağlamda “açık rıza” her ne kadar birincil meşruiyet kaynağı olarak zikredilse de, rızanın bulunmadığı durumlarda kanun koyucu; sözleşmenin ifası, kanuni yükümlülüğün ifası, fiili imkansızlık veya bir hakkın tesisi gibi nesnel gerekçeleri “hukuka aykırılığı ortadan kaldıran haller” olarak düzenlemiştir.
Keza, ilgili kişinin verisini bizzat kamuoyuna sunmasıyla tecelli eden aleniyet kazandırma hali ile veri sorumlusunun, öznenin temel haklarını zedelemeden takip ettiği “meşru menfaat” dengesi, modern veri hukukunun esneklik ve koruma arasındaki o ince çizgisini temsil eder. Netice itibarıyla, bu sınırlı sayıdaki hukuki sebeplerden en az birine dayanmayan her türlü süreç, veri sorumlusunu ağır idari para cezaları ve tazminat yükümlülükleriyle karşı karşıya bırakan bir “hukuki zafiyet” alanına dönüştürecektir.
AÇIK RIZA NEDİR VE NE ZAMAN GEREKİR?
Hukuki bir terim olan açık rıza, aslında bir kişinin kendi bilgileri üzerinde sahip olduğu “kendi geleceğine karar verme hakkının” göstergesidir. Bu rıza, sadece bir “evet” veya basit bir onaydan daha fazlasıdır. Bir onayın hukuk önünde geçerli olabilmesi için; hangi konuda verildiğinin net olması, kişinin bu konuda tam olarak bilgilendirilmiş olması ve hiçbir baskı altında kalmadan, tamamen kendi özgür iradesiyle bu kararı vermiş olması gerekir. Bu üç şarttan biri bile eksikse, verilen onay geçersiz sayılır.
Veri işleme faaliyetinin hukuka uygunluğu başka bir kanuni gerekçeye dayandırılamıyorsa, açık rıza bir “şart-ı vakı” (olmazsa olmaz) haline gelir. Özellikle şu alanlarda açık rıza kaçınılmazdır:
- Özel Nitelikli Kişisel Verilerin İstisnai İşlenmesi: Kanun’un 6. maddesinde sınırlı sayıda sayılan sağlık ve cinsel hayat dışındaki özel nitelikli veriler, ancak kanunlarda öngörülen hallerde veya ilgili kişinin açık rızasıyla işlenebilir. Kanuni bir düzenlemenin bulunmadığı durumlarda (örneğin biyometrik veri kullanımı), açık rıza tek yasal dayanaktır.
- Yurt Dışına Veri Aktarım Rejimi: Verilerin güvenli ülke listesinde yer almayan veya yeterli korumanın taahhüt edilmediği coğrafyalara aktarımı (bulut bilişim hizmetleri, yabancı menşeli yazılımlar vb.), 9. madde uyarınca kural olarak ilgili kişinin açık rızasına tabidir.
- Ticari Elektronik İletiler ve Profilleme: Veri sahibinin tüketim alışkanlıklarının analiz edilerek kendisine özelleştirilmiş pazarlama teklifleri sunulması veya ticari iletiler gönderilmesi faaliyetleri, “meşru menfaat” sınırlarını aşan ve doğrudan kişinin özerkliğine müdahale eden eylemler olduğu için rıza şartına bağlıdır.
- Hizmet Koşulundan Bağımsız Veri İşleme: Bir sözleşmenin ifası için gerekli olmayan, ancak veri sorumlusunun ek fayda sağlamayı amaçladığı yan veri işleme süreçleri (örneğin müşteri memnuniyet anketleri veya üçüncü taraf reklam iş ortaklarıyla veri paylaşımı) için açık rıza alınması yasal bir zorunluluktur.
VERİ SORUMLUSU VE VERİ İŞLEYEN ARASINDAKİ FARKLAR NEDİR?
Kişisel verilerin işlenmesi sürecinde sorumluluk hiyerarşisinin belirlenmesi hem idari yaptırımlar hem de hukuki tazminat yükümlülükleri açısından önem taşır; bu noktada veri sorumlusu ile veri işleyen arasındaki temel fark, veri üzerindeki “karar verici irade” noktasıdır. Veri sorumlusu, işleme faaliyetinin amacını ve yöntemini tayin eden, veri kayıt sistemini kurup yöneten asıl süjedir; yani verinin neden ve nasıl işleneceğine dair kararları alan, bu sürecin hukuki riskini üstlenen makamdır.
Öte yandan veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak ve sadece onun talimatları doğrultusunda teknik operasyonu yürüten, genellikle dışarıdan hizmet alınan üçüncü bir tarafı ifade eder. Bir dış kaynak kullanımında (outsourcing), örneğin bir bulut depolama hizmeti veya bordrolama firması veriye temas etse de veri üzerinde bağımsız bir karar yetkisi bulunmadığı sürece “işleyen” sıfatını korur. Ancak veri işleyenin, kendisine verilen talimatların dışına çıkarak veriyi kendi amaçları doğrultusunda kullanmaya başlaması durumunda, o faaliyet bakımından artık “veri sorumlusu” sıfatıyla doğrudan sorumlu tutulacağı ve kanuni yükümlülüklerin muhatabı olacağı unutulmamalıdır.
KVKK KİMLERİ KAPSAR?
6698 sayılı Kanun, koruma kalkanını sadece gerçek kişilerin hukuksal varlığına özgülerken, bu verilerle temas eden tüm kişi ve kurumları ise sorumluluk altına sokmaktadır. Başka bir şekilde ifade etmek gerekirse; kanun “verisi işlenen sıradan vatandaşı” korumayı hedeflerken, bu veriyi kullanan şirket veya şahıs fark etmeksizin herkesi belirli kurallara uymaya mecbur bırakır.
Bu bağlamda kanun, verisi işlenen taraf bakımından hiçbir ayrım gözetmeksizin yalnızca yaşayan insanları kapsama dahil ederken, anonim hale getirilmiş veya tüzel kişilere ait ticari sır niteliğindeki bilgileri bu özel koruma rejiminin dışında bırakmıştır. Öte yandan, veriyi işleyen tarafa bakıldığında ise kapsam oldukça geniştir; zira ister bir şahıs işletmesi olsun ister bir holding, hatta kamu kurumu veya dernek statüsünde bulunsun, kişisel veri işleyen her türlü tam veya kısmi otomatik sistem bu hukuki disipline uymakla mükelleftir.
Dolayısıyla, bir veri sorumlusunun “ben kamu kurumuyum” ya da “ben küçük bir esnafım” diyerek muafiyet iddiasında bulunması, kanunun emredici hükümleri karşısında karşılık bulmayacak; verinin işlendiği her mecrada, veri sahibi gerçek kişinin haklarını koruyan bu genel çerçeve eksiksiz bir şekilde uygulanacaktır.
ŞİRKETLER İÇİN KVKK YÜKÜMLÜLÜKLERİ
Şirketler için KVKK uyum süreci, sadece yasal bir zorunluluk değil, işlevsel bir risk ve itibar yönetimidir. Günümüz dijital çağında kişisel veri, bir işletmenin en değerli varlıklarından olduğu kadar, hatalı yönetilmesi durumunda en büyük hukuki yükümlülüğün de kaynağıdır. Bu kapsamda şirketlerin üzerine düşen yükümlülükler, kurumsal yapının sürdürülebilirliği için önem arz etmektedir.
Veri Envanteri ve İşleme Şartlarının Tespiti
Uyumun başlangıç noktası, şirketin hangi departmanda, hangi amaçla ve hangi hukuki sebebe (sözleşme, kanun, açık rıza vb.) dayanarak veri işlediğinin belirlenmesidir. “Veri Envanteri” olarak adlandırılan bu belge, bir şirketin veri güvenliği politikasının temel taşıdır. Envanteri eksik veya hatalı olan bir kurumun, diğer yükümlülüklerini eksiksiz yerine getirmesi hukuken mümkün olmayacaktır.
Şeffaflık ve Aydınlatma Borcu
Veri sorumlusu sıfatını haiz şirketler, verisini işledikleri her bir bireye karşı “bilgi verme” borcu altındadır. Bu, sadece bir metnin web sitesine konulması değil; verinin hangi kanallarla aktığı, nerede saklandığı ve ne zaman imha edileceği konusunda veri sahibine sunulan bir dürüstlük taahhüdüdür.
Teknik ve İdari Güvenlik
Şirketler, işledikleri verilerin yetkisiz üçüncü kişilerin eline geçirilmesini önlemek adına çift katmanlı bir koruma sağlamak zorundadır:
İdari Düzeyde: Çalışanlarla yapılan gizlilik sözleşmeleri, periyodik eğitimler ve veri koruma disiplinini içeren iç politikalar.
Teknik Düzeyde: Şifreleme (encryption), sızma testleri, log kayıtlarının güvenliği ve veri sızıntısı önleme (DLP) sistemleri.
VERBİS ve Bildirim Mekanizmaları
Veri kayıtlarının işlenmesinden sonra veri kategorilerini kamuya açık olan VERBİS sistemine beyan etmeleri emredici bir kuraldır.
Sözleşmelerin Revizyonu ve Denetim
Şirketlerin sadece kendi iç süreçleri değil, veri paylaştıkları tedarikçiler ve iş ortaklarıyla olan münasebetleri de inceleme altındır. Üçüncü taraflarla akdedilen hizmet sözleşmelerine “veri koruma klozları” eklenmesi ve bu tarafların periyodik olarak denetlenmesi, şirketin sorumluluktan kurtulabilmesi (exculpation) adına önemli bir araçtır.
VERBİS NEDİR VE KİMLER KAYIT OLMAK ZORUNDADIR?
Veri Sorumluları Sicil Bilgi Sistemi, bilinen adıyla VERBİS, kişisel veri işleme faaliyetlerinin şeffaflık ve hesap verebilirlik ilkeleri uyarınca kamuya açık bir şekilde beyan edildiği, Kişisel Verileri Koruma Kurumu denetimindeki merkezi bir sicil platformudur. Bu sistem, sanılanın aksine kişisel verilerin kendisinin yüklendiği bir depo değil, veri sorumlularının hangi kategorideki verileri, hangi amaçlarla, ne kadar süreyle ve kimlere aktararak işlediklerine dair genel bir “üst verinin” kategorik olarak incelendiği bir beyan meclisidir.
Kayıt zorunluluğu noktasında ise Kurul tarafından belirlenen nesnel kriterler esas alınmakta olup; yıllık çalışan sayısı 50’den fazla olan veya yıllık mali bilanço toplamı 100 milyon TL’yi aşan gerçek ve tüzel kişi veri sorumluları ile ana faaliyet konusu özel nitelikli kişisel veri işlemek olan tüm veri sorumluları (hastaneler, muayenehaneler, eczaneler vb.) bu sisteme kayıt olmakla mükelleftir. Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları için de herhangi bir eşik değer aranmaksızın kayıt yükümlülüğü baki kılınmıştır. İşbu sicile kayıt ve bildirim yükümlülüğünün yerine getirilmemesi durumunda Kanun’un 18. maddesi uyarınca yüksek tutarlı idari para cezalarıyla karşılaşılması kaçınılmazdır.
AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR?
Aydınlatma yükümlülüğü, veri sorumlusunun veri sahibine karşı borçlu olduğu bir “şeffaflık borcu” olup; esasen bireyin kendi verileri üzerindeki kontrolünü yitirmemesi adına tasarlanmış bir ön kabul mekanizmasıdır. Bu yükümlülük, salt bir metnin web sitesine konulmasından ibaret teknik bir detay değil, veri işleme faaliyetinin “hukuki dürüstlük” testinden geçip geçemeyeceğini belirleyen temel kriterdir. Bir veri sorumlusu, veriyi elde ettiği anda; kim olduğunu, bu veriyi hangi spesifik amaca hizmet etmesi için topladığını ve bu sürecin arkasındaki yasal dayanağı (sözleşme, kanun, meşru menfaat vb.) açıkça ortaya koymakla mükelleftir.
Burada dikkat edilmesi gereken bir önemli husus da aydınlatmanın rızadan bağımsız bir zorunluluk olmasıdır; yani kişi verisinin işlenmesine onay verse de vermese de o verinin akıbeti hakkında önceden ve eksiksiz bilgilendirilme hakkına sahip olmasıdır. Uygulamada “anlaşılır ve sade bir dil” kullanımı, bu yükümlülüğün geçerlilik şartı olarak kabul edilir; zira karmaşık hukuk terimleri arasına gizlenmiş, ucu açık ve muğlak aydınlatma metinleri, Kişisel Verileri Koruma Kurulu nezdinde “hiç yapılmamış” sayılma riskiyle karşı karşıyadır.
VERİ GÜVENLİĞİ TEDBİRLERİ NELERDİR?
6698 sayılı Kanun’un 12. Maddesinde düzenlenen veri güvenliği yükümlülüğü, veri sorumlusu bakımından sadece bir teknik tercih değil, verinin işlenmesi sürecindeki hukuka aykırılıkları ve yetkisiz erişimleri bertaraf etmeye matuf emredici bir özen borcudur. Bu yükümlülük çerçevesinde veri sorumlusu, işletme bünyesindeki verilerin mahremiyetini ve bütünlüğünü korumak adına Kişisel Verileri Koruma Kurulu tarafından da kabul gören “İdari” ve “Teknik” tedbirleri almak zorundadır.
- İdari Tedbirler: Yönetişim ve Kurumsal Disiplin
İdari tedbirler, veri güvenliğinin “insan” ve “süreç” yönetimi katmanlarını kapsar ve teknik önlemlerin üzerine inşa edileceği hukuki zemini oluşturur. Bu kapsamda, kurum içerisinde veri işleme faaliyetlerinin sınırlarını çizen bir “Kişisel Veri Envanteri” hazırlanması ve personelin veri koruma hukuku konusundaki farkındalığını artıracak periyodik eğitimlerin icrası olmazsa olmazdır. Ayrıca, dış hizmet alımlarında veri işleyenler ile akdedilen sözleşmelerin veri koruma klozları ile tahkim edilmesi ve kurum içi erişim yetkilerinin “bilmesi gereken kadar” (need-to-know) prensibiyle sınırlandırılması, idari denetimin temelini oluşturmaktadır.
- Teknik Tedbirler: Bilişim Altyapısı ve Dijital Savunma
Teknik tedbirler, verilerin dijital ortamda saklanması ve aktarılması süreçlerinde siber riskleri minimize etmeye yönelik bilişim sistemlerini ifade eder. Bu noktada; sistemlerdeki zayıf noktaların tespiti için yapılan sızma testleri, verilerin yetkisiz kişilerin eline geçmesi halinde okunmasını engelleyen şifreleme (encryption) yöntemleri ve ağ güvenliğini sağlayan güvenlik duvarları (firewall) kritik öneme haizdir. Bunun yanı sıra, sistem üzerindeki her türlü hareketin (log kayıtlarının) değiştirilemez şekilde kayıt altına alınması ve olası bir veri kaybı senaryosuna karşı etkin bir yedekleme mekanizmasının hazır tutulması, teknik yeterliliğin ispatı bakımından veri sorumlusunun en güçlü argümanlarıdır.
KVKK KAPSAMINDA İDARİ PARA CEZALARI
6698 sayılı Kanun’un 18. maddesinde düzenlenen idari para cezaları, her yıl Vergi Usul Kanunu uyarınca ilan edilen “Yeniden Değerleme Oranı” nispetinde güncellenmekte olup; 2026 yılı için bu oran %25,49 olarak belirlenmiştir.
2026 yılı itibarıyla uygulanacak güncel yaptırımların alt ve üst limitleri şu şekildedir:
| İhlal Türü (KVKK Md. 18) | Alt Sınır (TL) | Üst Sınır (TL) |
| Aydınlatma Yükümlülüğüne Aykırılık | 85.437 | 1.709.200 |
| Veri Güvenliği Yükümlülüklerine Aykırılık | 256.357 | 17.092.242 |
| Kurul Kararlarına Aykırılık | 427.263 | 17.092.242 |
| VERBİS Kayıt ve Bildirim Yükümlülüğüne Aykırılık | 341.809 | 17.092.242 |
| Yurt Dışı Aktarımı (Standart Sözleşme) Bildirim İhlali | 90.308 | 1.806.177 |
KVKK İHLALİ DURUMUNDA YAPILMASI GEREKENLER
Kişisel veri güvenliğinin ihlal edilmesi, bir şirket veya kurum için sadece bilgisayar sistemlerindeki bir teknik hata olarak görülmemelidir. Eğer birinin bilgileri çalınır, izinsiz değiştirilir veya erişilemez hale gelirse, bu durum doğrudan o verileri korumakla görevli olan kurumun, 6698 sayılı Kanun’un 12. maddesinde belirtilen “dikkat ve denetim görevini” yerine getirmediği anlamına gelir. Yani hukuk, böyle bir sızıntı yaşandığında, kurumun verileri korumak için yeterli özeni göstermediğini varsayarak sorumluluğu ona yüklemektedir.
Bir veri sızıntısı yaşandığında, bu süreci hukuki bir titizlikle ve kanunun belirlediği hak düşürücü süreler içerisinde yönetilmelidir. Bu yaklaşım, hem kurumun ağır para cezalarıyla karşılaşmasını engellemek hem de gelecekte açılabilecek tazminat davalarına karşı güçlü bir savunma kurabilmek için önem arz etmektedir. İhlalin hemen ardından izlenmesi gereken hukuki yol ve strateji şu adımlardan oluşmaktadır:
1. Müdahale ve Delil Tespitinin Adli Bilişim Standartlarında İcrası
İhlalin öğrenildiği “ilk an” (prima facie), teknik müdahalenin ötesinde bir hukuki delil emniyeti sürecidir. İhlal kaynağının izolasyonu sağlanırken, ilgili bilişim sistemleri üzerindeki log kayıtlarının (izleklerin) ve trafik verilerinin değiştirilemezliğinin sağlanması, ileride tesis edilecek “kusursuzluk” ispatı veya rücu davaları için temel dayanak noktasıdır.
2. Bildirim Yükümlülüğü: 72 Saat Kuralı
Kişisel Verileri Koruma Kurulu’nun yerleşik içtihatları ve 24.01.2019 tarihli ilke kararı uyarınca; veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bildirimde bulunmakla mükelleftir. Bu bildirim, bir suç ikrarı değil, kanundan doğan bir “şeffaflık borcu”dur. Bildirimde ihlalin muhtemel neticeleri, etkilenen veri süjelerinin kategorizasyonu ve zararı minimize etmeye matuf alınan teknik ve idari tedbirler tahkik edilebilir bir şekilde bildirilmelidir.
3. İlgili Kişilerin Bilgilendirilmesi ve Zararın Sınırlandırılması
Veri sahibi gerçek kişilerin, kendi hukuki menfaatlerini koruyabilmeleri amacıyla ihlalin kendilerine de makul olan en kısa sürede bildirilmesi icap eder. Bu bildirim, “dürüstlük kuralı” (TMK m. 2) çerçevesinde, veri sahiplerinin haklarını kullanmalarına olanak tanıyacak netlikte olmalıdır. Aksi takdirde, bildirimin geciktirilmesi, veri sorumlusunun kusurunun ağırlaşmasına ve manevi tazminat taleplerinin hukuki zemin kazanmasına sebebiyet verebilecektir.
4. Hesap Verebilirlik İlkesi ve İhlal Kayıtlarının Arşivlenmesi
Kurul’a bildirim eşiğinin altında kalan durumlar da dahil olmak üzere, her türlü veri güvenliği ihlali, Kanun m. 12/7 uyarınca kurum bünyesinde kayıt altına alınmalıdır. Bu kayıtlar, ihlalin nedenleri, olguları ve sonuçları ile alınan karşı önlemleri içeren bir “hukuki rapor” niteliğinde olup, ispat vasıtası olarak teyid edilecektir.
5. Rücu Mekanizması ve Sözleşme Hukuku Çerçevesinde Sorumluluk
İhlalin, bir dış hizmet sağlayıcı (Veri İşleyen) kusurundan kaynaklanması durumunda, taraflar arasındaki hizmet sözleşmesinde yer alan “Veri Koruma ve Gizlilik” hükümlerine dayanarak zararın rücu edilmesi süreci işletilmelidir. Veri sorumlusunun, işleyeni denetleme yükümlülüğünü (culpa in vigilando) layıkıyla yerine getirdiğini ispatlaması, kurumun sorumluluktan tamamen kurtulması ya da suçun asıl kaynağına (örneğin hatayı yapan alt yükleniciye) yönlendirilmesi noktasında, savunma dayanağı olacaktır.
KVKK İLE GENERAL DATA PROTECTİON REGULATİON (GDPR) ARASINDAKİ FARKLAR
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), her ne kadar Avrupa Birliği müktesebatına uyum gayesiyle mülga 95/46/AT sayılı Direktif ’in temel prensipleri üzerine inşa edilmiş olsa da güncel Avrupa Genel Veri Koruma Tüzüğü (GDPR) ile mukayese edildiğinde gerek normatif hiyerarşisi gerekse müeyyide rejimi bakımından kendine özgü ve karakteristik farklılıklar arz etmektedir. Bu iki düzenleme arasındaki ayrım, sadece zamansal bir güncelleme farkından ibaret olmayıp; “yerellik” ve “etki alanı” gibi temel doktriner kabullerde, veri süjesine tanınan hakların kapsamı ve yaptırımın mali boyutunun nispi/maktu ayrımı üzerinden tecelli etmektedir.
Özellikle Avrupa’daki GDPR kurallarının merkezinde yer alan “hesap verebilirlik” (yani kurumun her adımını ispatlaması) anlayışına karşılık, Türkiye’deki KVKK’nın daha çok “resmi prosedürlere ve kayıt işlemlerine” odaklanan yapısı, uluslararası iş yapan şirketler için kafa karıştırıcı bir ikilem yaratmaktadır. Bu durum hem yurt içindeki hem de yurt dışındaki kurallara aynı anda uyum sağlamaya çalışan yöneticiler için dikkatle incelenmesi gereken iki farklı hukuki yol anlamına gelmektedir.
KVKK ve GDPR arasındaki temel farklar şu şekilde sıralanabilir:
1. Şahsi ve Yer Bakımından Uygulama Alanı (Scope of Application)
GDPR, “yerellik ilkesi”ni aşarak “etki ilkesi”ni (extraterritoriality) benimsemiştir. Avrupa Birliği sınırları içerisinde yerleşik olmasa dahi, AB’deki veri süjelerine mal veya hizmet sunan ya da onların davranışlarını izleyen tüm veri sorumluları GDPR’ın uygulama alanına girmektedir. KVKK ise kural olarak mülkilik ilkesine dayanmakla birlikte, Türkiye’deki veri öznelerini hedef alan yurt dışı yerleşik veri sorumlularını VERBİS kayıt yükümlülüğü ve yerel temsilci atama zorunluluğu üzerinden denetim altına almaktadır.
2. Özel Nitelikli Kişisel Verilerin Kategorizasyonu
KVKK m. 6 çerçevesinde özel nitelikli veriler numerus clausus (sınırlı sayı) ilkesine göre belirlenmiştir; “kılık ve kıyafet” ile “dernek, vakıf veya sendika üyeliği” gibi unsurlar doğrudan bu kategoride sayılmıştır. GDPR’da ise “hassas veri” kavramı daha dar bir çerçevede ele alınmakla birlikte, biyometrik verilerin işlenme amacı (kişinin benzersiz şekilde teşhis edilmesi) verinin niteliğini tayin eden temel kriter olarak belirlenmiştir.
3. Unutulma Hakkı ve Veri Taşınabilirliği (Right to Erasure & Data Portability)
GDPR, dijital dünyanın bir zorunluluğu olan “Unutulma Hakkı” (Right to be Forgotten) ve verilerin bir platformdan diğerine transferini mümkün kılan “Veri Taşınabilirliği” (Data Portability) haklarını açıkça regüle etmiştir. KVKK metninde bu haklar doğrudan bu adlarla müstakil birer madde olarak yer almasa da sildirme ve yok etme talepleri (m. 11), Yargıtay içtihatları ve Kurul kararları marifetiyle Türk hukuk sisteminde “Unutulma Hakkı”nın yansıması olarak uygulama alanı bulmaktadır.
4. Veri Koruma Görevlisi (DPO) ve Veri Koruma Etki Değerlendirmesi (DPIA)
GDPR, belirli ölçekteki veri işleme faaliyetleri için “Veri Koruma Görevlisi” (Data Protection Officer – DPO) istihdamını ve yüksek riskli işlemler öncesinde “Veri Koruma Etki Değerlendirmesi” (DPIA) yapılmasını yasal bir zorunluluk olarak öngörür. Türk hukukunda ise mevzuat düzeyinde bir DPO zorunluluğu bulunmamakta; bunun yerine veri sorumlusu ile Kurul arasındaki iletişimi sağlayan “İrtibat Kişisi” mekanizması işletilmektedir.
5. Yaptırım Rejimindeki Mali Ölçek Farklılıkları
İdari para cezaları noktasında GDPR, veri sorumlusunun küresel cirosunun %4’üne veya 20 milyon Euro’ya kadar (hangisi yüksekse) ulaşabilen, caydırıcılığı en üst düzeyde tutan bir “nispi ceza” sistemi öngörmektedir. KVKK ise her yıl yeniden değerleme oranına göre güncellenen “maktu ceza” alt ve üst limitlerini (2026 yılı itibarıyla üst sınır yaklaşık 17 milyon TL) esas almaktadır. Bu durum, ölçek ekonomisi bağlamında büyük teknoloji şirketleri için GDPR yaptırımlarının çok daha ağır bir mali risk teşkil etmesine sebebiyet vermektedir.
KVKK BAŞVURU VE ŞİKÂYET SÜRECİ
6698 sayılı Kanun’un 13, 14 ve 15. maddelerinde hüküm altına alınmış olan başvuru ve şikayet mekanizması, veri süjesinin (ilgili kişinin) ihlal edilen haklarını iade alabilmesi ve veri sorumlusunun denetlenmesini sağlayan, sıkı şekil şartlarına ve hak düşürücü sürelere tabi bir usul hukuk prosedürüdür. Bu süreç, doğrudan yargı yoluna başvurmadan evvel tüketilmesi gereken bir “zorunlu idari başvuru” silsilesini ihtiva eder.
Hukuki terminoloji ve usul ekonomisi çerçevesinde süreç şu aşamalardan oluşmaktadır:
Veri Sorumlusuna Başvuru Zorunluluğu (Ön Şart)
Kişisel Verileri Koruma Kurulu’na (Kurul) şikayet yoluna başvurabilmenin ön koşulu, Kanun m. 13 uyarınca öncelikle veri sorumlusuna müracaat edilmesidir. İlgili kişi, haklarına halel getiren veri işleme faaliyetiyle ilgili taleplerini; yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da veri sorumlusuna daha önce bildirilen ve sistemde kayıtlı bulunan elektronik posta adresi vasıtasıyla iletmelidir. Veri sorumlusu, bu talebi niteliğine göre en geç otuz gün içinde ücretsiz olarak (ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kurulca belirlenen tarifedeki ücret mukabilinde) sonuçlandırmakla mükelleftir.
Şikayet Hakkının Doğumu ve Hak Düşürücü Süreler
Veri sorumlusunun başvuruyu reddetmesi, verilen cevabın yetersiz bulunması veya otuz günlük yasal sürede cevap verilmemesi (zımni ret) hallerinde ilgili kişi için şikayet hakkı doğar. Kanun m. 14 uyarınca şikayet; veri sorumlusunun cevabının öğrenildiği tarihten itibaren otuz ve her halükarda başvuru tarihinden itibaren altmış gün içinde Kurul’a yapılmalıdır. Bu sürelerin ihlali, talebin usulden reddi neticesini doğurur.
Kurul Tarafından İnceleme ve Karar İstihsali
Kurul, kendisine intikal eden şikayet üzerine veya ihlal iddiasını ciddi bulması halinde resen inceleme başlatır. İnceleme safhasında veri sorumlusu, Kurul tarafından talep edilen bilgi ve belgeleri on beş gün içinde sunmak zorundadır. Kurul, inceleme sonucunda bir ihlal tespit ederse, bu ihlalin giderilmesi için veri sorumlusuna talimat verir veya ihlalin büyüklüğüne göre idari para cezasına hükmeder. Şikayet üzerine yapılan incelemede Kurul, altmış gün içinde bir karar vermezse, susma “ret” hükmündedir ve bu durumda yargı yolu açılır.
İdari Kararlara Karşı Yargı Yolu
Kurul’un nihai kararları idari işlem niteliğindedir. Bu kararlara karşı, tebliğ tarihinden itibaren İdari Yargılama Usulü Kanunu (İYUK) çerçevesinde yetkili idare mahkemelerinde iptal davası ikame edilebilir. Ancak unutulmamalıdır ki, idari para cezalarına karşı yapılacak itirazlar, Kabahatler Kanunu uyarınca Sulh Ceza Hakimlikleri nezdinde görülmektedir; bu durum KVKK yargılamasındaki usulü ikiliği ortaya koymaktadır.
KİŞİSEL VERİ SAHİBİNİN HAKLARI
6698 sayılı Kanun’un 11. maddesinde düzenlenmiş olan “İlgili Kişinin Hakları”, bireyin kendi verileri üzerindeki mutlak tasarruf yetkisini ve bilgi üzerindeki özne sıfatını koruma altına alan bir haklar bütünüdür. Anayasa’nın 20. maddesinde düzenlenen “Özel Hayatın Gizliliği” ve “Kişisel Verilerin Korunmasını İsteme Hakkı”nın alt norm düzeyindeki tezahürü olan bu yetkiler, veri sorumlusuna karşı ileri sürülebilen nispi haklar mahiyetindedir.
Kişisel veri sahibinin sahip olduğu haklar şu şekilde tasnif edilmektedir:
Bilgi Edinme ve Erişim Hakkı
Veri süjesi, veri sorumlusuna müracaat ederek kendisiyle ilgili kişisel veri işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme ve işlemenin amacına uygunluğunu denetleme yetkisine sahiptir. Bu hak, veri sorumlusunun şeffaflık ve hesap verebilirlik yükümlülüğünün bir yansıması olup, bireyin dijital dünyadaki “bilgi geleceğini tayin hakkı”nın temelini oluşturmaktadır.
Düzeltme, Sildirme ve Yok Etme Hakkı
Eksik veya yanlış işlenen verilerin düzeltilmesini isteme hakkı ile Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde (işleme amacının ortadan kalkması, hukuki sebebin sükutu vb.) verilerin silinmesini veya yok edilmesini talep etme yetkisi, verinin güncelliği ve doğruluğu ilkelerini teminat altına alır. Özellikle “silme” talebi, verinin bir daha geri getirilemeyecek şekilde sistemden çıkartılmasını ifade eden teknik ve hukuki bir müdahaledir.
Üçüncü Kişilere Bildirim Hakkı
Düzeltme, silme veya yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme hakkı, verinin yayılım gösterdiği tüm mecralarda korunmasını amaçlayan bir “takip hakkı” niteliğindedir. Bu sayede, veri sorumlusu nezdinde yapılan bir düzeltme işlemi, verinin paylaşıldığı tüm paydaşlar nezdinde de hüküm ifade eder.
Münhasıran Otomatik Sistemlerle Analize İtiraz Hakkı
İlgili kişi, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına (örneğin kredi notu analizi veya profil oluşturma) itiraz etme hakkına sahiptir. Bu hak, algoritmalara dayalı kararların birey üzerindeki olumsuz etkilerini denetlemeye matuf hukuki bir kalkan işlevi görür.
Zararın Tazmini Hakkı
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrayan birey, bu zararın giderilmesini talep etme yetkisine sahiptir. Söz konusu tazminat talebi, adli yargı mercileri önünde genel hükümler uyarınca ikame edilecek bir tam yargı veya tazminat davasının konusunu teşkil eder.
SIKÇA SORULAN SORULAR (SSS)
KVKK nedir?
Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı ve veri işleyenlerin yükümlülüklerini disipline etmeyi amaçlayan 6698 sayılı temel kanundur.
KVKK ne zaman yürürlüğe girmiştir?
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir.
KVKK kimleri kapsar?
Verisi işlenen tüm gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsar.
Kişisel veri nedir?
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin ad-soyad, T.C. kimlik numarası, e-posta adresi gibi her türlü bilgidir.
Özel nitelikli kişisel veri nedir?
İfşası halinde kişinin mağduriyetine veya ayrımcılığa maruz kalmasına yol açabilecek; sağlık, ceza mahkumiyeti, din, etnik köken ve biyometrik veriler gibi kanunda sınırlı sayıda sayılmış hassas verilerdir.
Hangi veriler KVKK kapsamında korunur?
Belirli bir gerçek kişiyle ilişkilendirilebilen tüm dijital ve fiziksel veriler kanun koruması altındadır; ancak anonim hale getirilmiş veriler bu kapsamın dışındadır.
KVKK’ya göre veri işleme şartları nelerdir?
Temel kural açık rızadır; ancak kanunlarda açıkça öngörülme, sözleşmenin ifası, veri sorumlusunun hukuki yükümlülüğü veya meşru menfaat gibi istisnai şartların varlığı halinde rıza aranmaksızın işleme yapılabilir.
Açık rıza nedir?
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır.
Açık rıza hangi durumlarda gereklidir?
Kanunun 5. ve 6. maddelerinde sayılan diğer hukuki meşruiyet sebeplerinden hiçbirinin bulunmadığı durumlarda veri işlemek için mutlak surette gereklidir.
Açık rıza olmadan veri işlenebilir mi?
Evet; kanunda belirtilen istisnai şartlardan (sözleşme ifası, kanuni yükümlülük vb.) en az biri mevcutsa veri işlenmesi hukuka uygundur.
Veri sorumlusu kimdir?
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri işleyen kimdir?
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, genellikle dışarıdan hizmet alınan üçüncü taraflardır.
Veri sorumlusu ile veri işleyen arasındaki fark nedir?
Veri sorumlusu işleme faaliyetinin “neden” ve “nasıl” yapılacağına karar veren asıl otorite iken; veri işleyen, bu talimatları teknik düzeyde icra eden operasyonel birimdir.
Şirketler için KVKK yükümlülükleri nelerdir?
Veri envanteri hazırlamak, aydınlatma yükümlülüğünü yerine getirmek, veri güvenliğini sağlamak, VERBİS’e kaydolmak ve veri sahibi başvurularını yanıtlamak gibi idari ve teknik ödevlerdir.
VERBİS nedir?
Veri sorumlularının, veri işleme faaliyetlerini kategorik bazda beyan ettikleri kamuya açık sicil sistemidir.
VERBİS kaydı kimler için zorunludur?
Belirlenen yıllık çalışan sayısı (50’den fazla) veya mali bilanço eşiğini (100 milyon TL) aşanlar ile ana faaliyeti özel nitelikli veri işlemek olan tüm veri sorumluları için zorunludur.
Aydınlatma yükümlülüğü nedir?
Veri sorumlusunun, verileri elde ederken ilgili kişiye verinin kim tarafından, hangi amaçla ve hangi hukuki sebeple işleneceğini bildirme borcudur.
KVKK kapsamında veri güvenliği nasıl sağlanır?
Yetki matrisi, siber güvenlik yazılımları gibi teknik tedbirler ile çalışan eğitimleri ve veri koruma sözleşmeleri gibi idari tedbirlerin kümülatif olarak uygulanmasıyla sağlanır.
KVKK’ya aykırılığın cezası nedir?
İhlalin niteliğine göre idari para cezası uygulanabileceği gibi, Türk Ceza Kanunu kapsamında hapis cezası ve özel hukuk çerçevesinde tazminat sorumluluğu doğabilir.
KVKK idari para cezaları ne kadar?
2026 yılı güncel rakamlarına göre ihlalin türüne bağlı olarak 85.437 TL ile 17.092.242 TL arasında değişen maktu cezalardır.
KVKK ihlali durumunda ne yapılmalıdır?
Derhal teknik müdahale yapılarak ihlal durdurulmalı, kanıtlar güvenceye alınmalı ve süresi içinde Kurul’a ve ilgili kişilere bildirim yapılmalıdır.
Veri ihlali kaç saat içinde bildirilmelidir?
Veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirmekle yükümlüdür.
KVKK ile GDPR arasındaki farklar nelerdir?
GDPR küresel çapta etki ilkesini ve cirosal ceza sistemini benimsemişken, KVKK mülkilik ilkesi ve maktu ceza rejimi üzerinden daha spesifik yerel düzenlemeler içermektedir.
Kişisel veri sahibi hangi haklara sahiptir?
Bilgi edinme, düzeltme, sildirme, işleme faaliyetine itiraz etme ve uğradığı zararın tazminini talep etme haklarına sahiptir.
KVKK başvuru ve şikâyet süreci nasıl işler?
Önce veri sorumlusuna başvurulmalı; başvurunun reddi veya 30 gün içinde yanıtlanmaması halinde, bu tarihten itibaren 30 gün içinde Kurul’a şikâyette bulunulmalıdır.
KVKK kapsamında tazminat davası açılabilir mi?
Evet; verilerin kanuna aykırı işlenmesi nedeniyle zarara uğrayanlar, genel hükümler uyarınca adli yargı mercilerinde maddi ve manevi tazminat davası açabilirler.
YAZAR
