KVKK Nedir?
Kişisel Verilerin Korunması Kanunu (KVKK), 6698 sayılı kanun olarak 7 Nisan 2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. KVKK, kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunmasını amaçlar ve kişisel verileri işleyen gerçek ve tüzel kişilerin uymaları gereken usul ve esasları düzenler.
Avrupa Birliği'nin Genel Veri Koruma Tüzüğü'nden (GDPR) ilham alan KVKK, Türkiye'deki tüm işletmeleri kapsamaktadır. Kişisel veri işleyen her kuruluş, ister çok uluslu bir şirket ister tek kişilik bir işletme olsun, KVKK'ya uyum sağlamakla yükümlüdür.
2026 yılında Kişisel Verileri Koruma Kurulu'nun denetim ve yaptırım faaliyetleri yoğunlaşmış durumdadır. Uyumsuzluk tespit edilen işletmelere ciddi idari para cezaları uygulanmakta ve bu cezalar her yıl güncellenmektedir. Bu rehber, işletmelerin KVKK uyum sürecini adım adım yönetmesine yardımcı olmayı hedeflemektedir.
Temel Kavramlar
KVKK'yı doğru anlamak ve uygulamak için öncelikle kanunun temel kavramlarını bilmek gerekir.
Kişisel Veri
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri örnekleri şunlardır:
- Ad, soyad, T.C. kimlik numarası, doğum tarihi
- Telefon numarası, e-posta adresi, ev adresi
- IP adresi, çerez bilgileri, konum verileri
- Banka hesap numarası, kredi kartı bilgileri
- Sağlık bilgileri, biyometrik veriler
- Fotoğraf, video, ses kayıtları
- Eğitim bilgileri, iş deneyimi, özgeçmiş
Özel Nitelikli Kişisel Veri
Bazı kişisel veriler, hassas nitelikleri nedeniyle özel koruma altındadır. Bu veriler ancak kanunda belirtilen sınırlı koşullar altında işlenebilir:
- Irk, etnik köken
- Siyasi düşünce, felsefi inanç, din, mezhep
- Kılık ve kıyafet
- Dernek, vakıf ya da sendika üyeliği
- Sağlık ve cinsel hayat bilgileri
- Ceza mahkumiyeti ve güvenlik tedbirleri
- Biyometrik ve genetik veriler
KVKK'nın Temel İlkeleri
KVKK, kişisel verilerin işlenmesinde uyulması gereken temel ilkeleri belirlemiştir. Bu ilkeler, tüm veri işleme faaliyetlerinin çerçevesini oluşturur.
Hukuka ve Dürüstlük Kurallarına Uygun Olma
Kişisel veriler, hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir. Veri sahiplerinin makul beklentilerine uygun hareket edilmeli ve veri işleme faaliyetleri şeffaf olmalıdır.
Doğru ve Gerektiğinde Güncel Olma
İşlenen kişisel verilerin doğru ve güncel olması sağlanmalıdır. Yanlış veya güncelliğini yitirmiş verilerin düzeltilmesi veya silinmesi için gerekli mekanizmalar oluşturulmalıdır.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Kişisel veriler, belirli, açık ve meşru amaçlar doğrultusunda işlenmelidir. Veri toplama amacı belirsiz veya gizli olmamalıdır.
Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Toplanan kişisel veriler, belirlenen amaçla bağlantılı ve bu amacın gerektirdiği ölçüde olmalıdır. İhtiyaç duyulmayan veriler toplanmamalıdır.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Kişisel veriler, ilgili mevzuatta öngörülen süre boyunca veya işlendikleri amaç için gerekli olan süre boyunca saklanmalıdır. Saklama süresi sona eren veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Veri Sorumlusu ve Veri İşleyen
KVKK'da iki temel aktör tanımlanmıştır: veri sorumlusu ve veri işleyen. Bu iki kavramın doğru anlaşılması, sorumlulukların belirlenmesi açısından kritiktir.
Veri Sorumlusu
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir işletme, çalışanlarının, müşterilerinin ve tedarikçilerinin kişisel verilerini işlediğinde veri sorumlusu sıfatıyla hareket eder.
Veri sorumlusunun temel yükümlülükleri:
- Aydınlatma yükümlülüğü (veri sahiplerini bilgilendirme)
- Veri güvenliğini sağlama
- VERBİS'e kayıt olma (gerekli hallerde)
- İlgili kişilerin başvurularını yanıtlama
- Kurul kararlarına uyma
- Veri ihlalini bildirme
Veri İşleyen
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Örneğin, bir şirketin bordro hizmetini dışarıdan aldığı muhasebe firması, çalışan verilerini işleyen veri işleyendir.
Veri işleyenin yükümlülükleri:
- Veri sorumlusunun talimatlarına uygun hareket etme
- Veri güvenliğini sağlama
- Gizlilik yükümlülüğüne uyma
- İşleme amacı sona erdiğinde verileri iade etme veya silme
Kişisel Veri İşlemenin Hukuki Dayanakları
KVKK, kişisel verilerin işlenmesi için belirli hukuki dayanaklar öngörmüştür. Veri işleme faaliyetinin hukuka uygun olabilmesi için bu dayanaklardan en az birinin mevcut olması gerekir.
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Açık rıza, diğer hukuki dayanakların bulunmadığı durumlarda başvurulacak son çaredir.
Kanunlarda Açıkça Öngörülme
Kanunda açıkça belirtilmiş durumlarda kişisel veriler, açık rıza aranmaksızın işlenebilir. Örneğin, vergi mevzuatı gereği müşteri faturalarının saklanması.
Sözleşmenin İfası
Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan kişisel verilerin işlenmesi için açık rıza gerekmez. Örneğin, bir e-ticaret siparişinin teslimi için adres bilgisinin işlenmesi.
Meşru Menfaat
Veri sorumlusunun meşru menfaatlerinin korunması için veri işlenmesi gerekiyorsa ve ilgili kişinin temel hak ve özgürlüklerine zarar vermiyorsa, açık rıza aranmaz. Bu dayanak, orantılılık değerlendirmesi gerektirir.
Diğer Hukuki Dayanaklar
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayati çıkarlarının korunması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi
- İlgili kişinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, kullanılması veya korunması
İlgili Kişi Hakları
KVKK, kişisel verileri işlenen gerçek kişilere (ilgili kişi) önemli haklar tanımıştır. Veri sorumluları, bu hakların kullanılabilmesi için gerekli mekanizmaları oluşturmakla yükümlüdür.
İlgili Kişinin Hakları
- Bilgi edinme hakkı: Kişisel verilerin işlenip işlenmediğini öğrenme
- Bilgi talep etme hakkı: Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
- Amaç öğrenme hakkı: Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Üçüncü kişileri bilme hakkı: Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Düzeltme hakkı: Kişisel verilerin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
- Silme hakkı: Kişisel verilerin silinmesini veya yok edilmesini isteme
- İtiraz hakkı: İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme
- Tazminat hakkı: Kanuna aykırı veri işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
Başvuru Süreci
İlgili kişiler, haklarını kullanmak için veri sorumlusuna yazılı olarak veya kayıtlı elektronik posta (KEP), güvenli elektronik imza veya veri sorumlusuna daha önce bildirilen e-posta adresi aracılığıyla başvurabilir. Veri sorumlusu, başvuruyu en geç 30 gün içinde sonuçlandırmalıdır.
VERBİS Kaydı
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri sorumlularının kaydolmak zorunda olduğu, Kişisel Verileri Koruma Kurulu tarafından tutulan kamuya açık bir kayıt sistemidir.
Kayıt Yükümlülüğü
Aşağıdaki veri sorumluları VERBİS'e kayıt olmak zorundadır:
- Yıllık çalışan sayısı 50'den çok olan gerçek ve tüzel kişi veri sorumluları
- Yıllık mali bilanço toplamı 100 milyon TL'den çok olan gerçek ve tüzel kişi veri sorumluları
- Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları
- Yurt dışında yerleşik veri sorumluları
VERBİS'e Bildirilecek Bilgiler
- Veri sorumlusunun ve varsa temsilcisinin kimlik ve adres bilgileri
- Kişisel verilerin hangi amaçla işleneceği
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Kişisel veri güvenliğine ilişkin alınan tedbirler
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
Teknik Tedbirler
KVKK, veri sorumlularının kişisel verilerin güvenliğini sağlamak için uygun teknik tedbirler almasını zorunlu kılar. Kişisel Verileri Koruma Kurulu, asgari teknik tedbirleri rehberlerinde detaylı olarak açıklamıştır.
Zorunlu Teknik Tedbirler
- Yetkilendirme matrisi: Kişisel verilere erişimi, görev ve sorumluluklar çerçevesinde sınırlayın
- Erişim kontrolleri: Rol bazlı erişim kontrolü (RBAC) uygulayın
- Şifreleme: Kişisel verileri hem durağan halde hem de aktarım sırasında şifreleyin
- Log kayıtları: Kişisel verilere erişim ve işleme faaliyetlerini kayıt altına alın
- Güvenlik duvarı: Ağ güvenliğini sağlayın
- Güncel yazılım: Tüm yazılımları ve işletim sistemlerini güncel tutun
- Antivirüs/Antimalware: Zararlı yazılımlara karşı koruma sağlayın
- Yedekleme: Düzenli yedekleme yapın ve yedekleri güvenli ortamda saklayın
- Penetrasyon testi: Düzenli olarak güvenlik açığı taraması ve sızma testi yaptırın
- Veri maskeleme/anonimleştirme: Test ortamlarında gerçek kişisel veri kullanmayın
İdari Tedbirler
Teknik tedbirlerin yanı sıra, organizasyonel düzeyde alınması gereken idari tedbirler de KVKK uyumunun ayrılmaz parçasıdır.
Zorunlu İdari Tedbirler
- Kişisel veri işleme envanteri: Hangi verilerin, hangi amaçla, nasıl ve ne kadar süre işlendiğini detaylı olarak belgeleyin
- Gizlilik politikaları: Kapsamlı gizlilik politikası ve çerez politikası hazırlayın
- Aydınlatma metinleri: Her veri toplama noktası için aydınlatma metni oluşturun
- Çalışan eğitimleri: Düzenli KVKK farkındalık eğitimleri düzenleyin
- Gizlilik sözleşmeleri: Çalışanlar ve tedarikçilerle gizlilik sözleşmeleri imzalayın
- Veri işleme sözleşmeleri: Veri işleyenlerle yazılı sözleşme yapın
- Veri saklama ve imha politikası: Verilerin ne kadar süre saklanacağını ve nasıl imha edileceğini belirleyin
- Veri ihlali müdahale planı: İhlal durumunda izlenecek prosedürleri tanımlayın
Veri İhlali Bildirimi
Kişisel veri ihlali, kişisel verilerin kanuna aykırı olarak ifşa edilmesi, erişilmesi, değiştirilmesi veya kaybedilmesidir. Veri sorumluları, bir ihlal tespit ettiğinde belirli bildirim yükümlülüklerine tabidir.
Bildirim Süreci
- Kurula bildirim: Veri ihlalinin öğrenilmesinden itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır
- İlgili kişilere bildirim: İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurması muhtemel ise en kısa sürede ilgili kişilere de bildirim yapılmalıdır
Bildirimde Yer Alması Gereken Bilgiler
- İhlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği
- İhlalden etkilenen kişisel veri kategorileri ve tahmini kişi sayısı
- İhlalin olası sonuçları
- İhlalin olumsuz etkilerini azaltmak için alınan veya alınması önerilen tedbirler
- İrtibat kişisinin adı ve iletişim bilgileri
Yaptırımlar
KVKK'ya aykırı hareket eden veri sorumluları hakkında idari para cezaları uygulanmaktadır. Ceza miktarları her yıl yeniden değerleme oranına göre güncellenmektedir.
İdari Para Cezaları
| İhlal Türü | Ceza Aralığı |
|---|---|
| Aydınlatma yükümlülüğünü yerine getirmeme | Kanunda belirtilen alt ve üst sınırlar arasında |
| Veri güvenliği yükümlülüklerini yerine getirmeme | Kanunda belirtilen alt ve üst sınırlar arasında |
| Kurul kararlarını yerine getirmeme | Kanunda belirtilen alt ve üst sınırlar arasında |
| VERBİS'e kayıt ve bildirim yükümlülüğünü yerine getirmeme | Kanunda belirtilen alt ve üst sınırlar arasında |
İdari para cezalarının yanı sıra, ilgili kişiler tarafından açılacak tazminat davaları ve itibar kaybı da önemli yaptırımlar arasında sayılmalıdır. Kurul kararları kamuoyuyla paylaşıldığından, ihlal yapan şirketlerin isimleri kamuya açık hale gelmektedir.
KVKK ve GDPR Karşılaştırması
KVKK, Avrupa Birliği'nin GDPR'ından (General Data Protection Regulation) büyük ölçüde esinlenmiş olmakla birlikte, önemli farklılıklar içermektedir.
| Özellik | KVKK | GDPR |
|---|---|---|
| Yürürlük Tarihi | 7 Nisan 2016 | 25 Mayıs 2018 |
| Kapsam | Türkiye'deki tüm veri sorumluları | AB vatandaşlarının verilerini işleyen tüm kuruluşlar (küresel) |
| Açık Rıza | Genel ilke, istisnalar mevcut | Altı hukuki dayanak eşit düzeyde |
| Veri Koruma Görevlisi | Zorunlu değil (irtibat kişisi atanır) | Belirli durumlarda zorunlu |
| İhlal Bildirimi | 72 saat içinde Kurul'a | 72 saat içinde yetkili otoriteye |
| Yurt Dışı Aktarım | Kurul onayı veya yeterli koruma | Yeterlilik kararı, standart sözleşme hükümleri |
| Cezalar | Kanunda belirtilen sabit aralıklar | Cironun %4'üne kadar veya 20 milyon Euro |
| Unutulma Hakkı | Açıkça düzenlenmemiş (yorum yoluyla) | Açıkça düzenlenmiş (Madde 17) |
| Taşınabilirlik Hakkı | Açıkça düzenlenmemiş | Açıkça düzenlenmiş (Madde 20) |
Uluslararası İşletmeler İçin Öneriler
Hem Türkiye'de hem de AB'de faaliyet gösteren işletmeler için öneriler:
- Her iki düzenlemenin de gerekliliklerini karşılayacak kapsamlı bir veri koruma programı oluşturun
- GDPR'ın daha kapsamlı gerekliliklerini temel alarak KVKK uyumunu da sağlayın
- Yurt dışı veri aktarımı için her iki düzenlemenin kurallarına uyum sağlayın
- Her iki yargı alanı için de ayrı aydınlatma metinleri hazırlayın
KVKK Uyum Kontrol Listesi
İşletmenizin KVKK uyumunu değerlendirmek için aşağıdaki kontrol listesini kullanabilirsiniz:
Organizasyonel Hazırlık
- KVKK uyum ekibi veya sorumlu kişi atanmış mı?
- İrtibat kişisi belirlenmiş ve Kurul'a bildirilmiş mi?
- Kişisel veri işleme envanteri hazırlanmış mı?
- VERBİS kaydı yapılmış mı (gerekli ise)?
Hukuki Uyum
- Tüm veri işleme faaliyetleri için hukuki dayanak belirlenmiş mi?
- Aydınlatma metinleri tüm veri toplama noktalarına yerleştirilmiş mi?
- Açık rıza metinleri hazırlanmış ve uygulanıyor mu?
- Veri işleme sözleşmeleri tüm veri işleyenlerle imzalanmış mı?
- Gizlilik sözleşmeleri çalışanlarla imzalanmış mı?
Teknik Uyum
- Erişim kontrol mekanizmaları uygulanıyor mu?
- Kişisel veriler şifreleniyor mu?
- Log kayıtları tutuluyor mu?
- Düzenli yedekleme yapılıyor mu?
- Güvenlik açığı taraması ve sızma testi yapılıyor mu?
Süreç Uyumu
- İlgili kişi başvuru süreci tanımlanmış mı?
- Veri ihlali müdahale planı hazırlanmış mı?
- Veri saklama ve imha politikası oluşturulmuş mu?
- Çalışan eğitimleri düzenli yapılıyor mu?
- Düzenli iç denetimler gerçekleştiriliyor mu?
Uyum Sürecinde Sık Yapılan Hatalar
İşletmelerin KVKK uyum sürecinde sıkça yaptığı hatalar ve bunlardan kaçınma yolları:
Her Şey İçin Açık Rıza Almaya Çalışmak
Açık rıza, KVKK'daki hukuki dayanaklardan yalnızca biridir. Sözleşmenin ifası, meşru menfaat veya hukuki yükümlülük gibi diğer dayanaklar daha uygun olabilir. Gereksiz yere açık rıza almak, hem kullanıcı deneyimini olumsuz etkiler hem de rıza geri çekildiğinde sorun yaratabilir.
Aydınlatma Metnini Gizli Tutmak
Aydınlatma metinleri uzun ve karmaşık yasal metinler yerine, anlaşılır bir dille yazılmalı ve kolayca erişilebilir olmalıdır. Katmanlı aydınlatma yaklaşımı (kısa bilgilendirme ile detaylı metne yönlendirme) tercih edilmelidir.
Bir Kere Yap ve Unut Yaklaşımı
KVKK uyumu tek seferlik bir proje değil, sürekli devam eden bir süreçtir. Yeni veri işleme faaliyetleri başladığında envanter güncellenmeli, düzenli denetimler yapılmalı ve mevzuat değişiklikleri takip edilmelidir.
Yurt Dışı Aktarımı Göz Ardı Etmek
Bulut hizmetleri kullanıldığında kişisel verilerin yurt dışına aktarılması söz konusu olabilir. Google Analytics, Mailchimp, AWS gibi hizmetlerin sunucuları yurt dışında yer aldığından, bu aktarımlar için KVKK'nın yurt dışı aktarım kurallarına uyulmalıdır.
Sonuç
KVKK uyumu, işletmeler için hem yasal bir zorunluluk hem de müşteri güveninin inşası açısından stratejik bir fırsattır. Kişisel verilerin korunmasına verilen önem, müşterilerin ve iş ortaklarının güvenini artırır ve rekabet avantajı sağlar.
Uyum sürecine sistematik bir yaklaşımla başlamak, önce mevcut durumu analiz etmek, ardından eksiklikleri gidermek ve son olarak sürekli iyileştirme mekanizmaları kurmak doğru stratejidir. Teknik tedbirlerin yanı sıra idari tedbirlerin de eksiksiz uygulanması, çalışan farkındalığının artırılması ve düzenli denetimlerin gerçekleştirilmesi, başarılı bir KVKK uyum programının temel taşlarıdır.
Unutulmamalıdır ki veri koruma, sadece cezalardan kaçınmak için değil, bireylerin temel haklarını korumak ve dijital dünyada güven ortamı oluşturmak için yapılması gereken doğru bir uygulamadır.
