KVKK Nedir? Açılımı, Anlamı ve 2026 Şirket Yükümlülükleri Rehberi
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
KVKK açılımı, "Kişisel Verilerin Korunması Kanunu" anlamına gelir. Aynı kısaltma "Kişisel Verileri Koruma Kurumu" ve "Kişisel Verileri Koruma Kurulu" için de kullanılır.
6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.
KVKK'nın amacı, kişisel verilerin işlenmesinde özel hayatın gizliliğini ve temel hak ve özgürlükleri korumaktır.
Kanun, gerçek ve tüzel kişi ayrımı yapmadan kişisel veri işleyen tüm şirketleri, kamu kurumlarını ve kuruluşları kapsar; ancak yalnızca gerçek kişilerin verilerini korur.
2026 yılında KVKK aydınlatma yükümlülüğüne aykırılık cezası 85.437 TL ile 1.709.200 TL, veri güvenliği ihlali cezası ise 256.357 TL ile 17.092.242 TL arasında değişir.
Bu Yazıda Ne Var?
Bu yazıda KVKK'nın açılımını, anlamını, 6698 sayılı Kanun'un kapsamını, kişisel veri tanımını, şirketlerin yükümlülüklerini ve KVKK ihlal cezalarını ele alıyoruz. Hem bireyler hem de işletmeler için KVKK'nın ne anlama geldiğini Resmi Gazete metni ve Kişisel Verileri Koruma Kurumu kararları çerçevesinde net biçimde sunuyoruz.
KVKK Açılımı Nedir?
KVKK, "Kişisel Verilerin Korunması Kanunu"nun resmi kısaltmasıdır. Türk hukuk düzeninde bu kısaltma birden fazla anlam taşır.
Kısaltma | Açılımı |
|---|---|
KVKK | Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) |
KVKK | Kişisel Verileri Koruma Kurumu (KVKK Kurumu) |
KVKK | Kişisel Verileri Koruma Kurulu (KVKK Kurulu) |
Pratik kullanımda "KVKK'ya uymak" ifadesi kanunu, "KVKK'ya başvurmak" ifadesi kurumu ya da kurulu işaret eder. Bağlam genellikle hangi anlamın kastedildiğini netleştirir.
KVKK ne demek? KVKK, "Kişisel Verilerin Korunması Kanunu"nun kısaltmasıdır. 7 Nisan 2016'da yürürlüğe giren 6698 sayılı bu kanun, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini koruyan yasal çerçeveyi oluşturur.
6698 Sayılı Kanun Ne Zaman ve Neden Çıkarıldı?
KVKK'nın çıkış sürecinin arkasında uzun bir hukuki ve uluslararası geçmiş bulunur.
1981: Avrupa Konseyi'nin "108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi" imzaya açıldı; Türkiye bu sözleşmeyi imzalayan ülkeler arasındadır.
2010: Türkiye Cumhuriyeti Anayasası'nın 20. maddesine "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir" hükmü eklendi.
18 Ocak 2016: Kişisel Verilerin Korunması Kanunu Tasarısı TBMM Başkanlığı'na sevk edildi.
24 Mart 2016: Tasarı TBMM Genel Kurulu'nda kanunlaştı.
7 Nisan 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu, 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girdi.
2017: Kişisel Verileri Koruma Kurumu fiilen faaliyete geçti.
7 Nisan 2018: Kanun öncesi işlenen kişisel verilerin uyumlu hale getirilmesi için tanınan iki yıllık geçiş süresi sona erdi.
KVKK, Avrupa Birliği'nin önce 95/46/EC sayılı Veri Koruma Direktifi, ardından 2018'de yürürlüğe giren GDPR (Genel Veri Koruma Tüzüğü — General Data Protection Regulation) ile uyumlu biçimde hazırlanmıştır. Türkiye'nin AB uyum sürecinin önemli bir aşaması olarak kayda geçer.
KVKK'nın Amacı Nedir?
Kanunun 1. maddesinde amaç açık biçimde belirtilmiştir:
Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Bu amaç, kanunun iki yönlü işlevini ortaya koyar: bir yandan bireyleri korumak, diğer yandan veri işleyen kuruluşların yükümlülüklerini düzenlemek. Kanun, "veriyi işleyenler" ile "verisi işlenenler" arasında dengeli bir hukuki çerçeve kurar.
KVKK'nın Kapsamı: Kimleri Bağlar?
Kanunun 2. maddesi kapsamı net biçimde çizmiştir.
Kanun Kimleri Korur?
KVKK yalnızca gerçek kişilerin kişisel verilerini korur. Tüzel kişilere (şirketler, dernekler, vakıflar) ait veriler bu kanun kapsamında değildir. Çünkü kanun açıkça "kişisel verileri işlenen gerçek kişiler" ifadesini kullanır.
Kanun Kimleri Bağlar?
Kanun, kişisel veri işleyen tüm kuruluşları kapsar:
Kamu kurumları, özel şirketler, dernekler, vakıflar, kooperatifler, hastaneler, okullar, bankalar, e-ticaret platformları, sosyal medya şirketleri, ofis ve iş yerleri, dijital pazarlama ajansları, çağrı merkezleri ve daha pek çok kuruluş bu kapsamdadır. Şirketin büyüklüğü, çalışan sayısı veya cirosu fark etmez; veri işleyen herkes KVKK kapsamına girer.
Hangi Veriler Kapsam Dahilindedir?
Kanun, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verileri kapsar.
Bu noktada kritik bir ayrım vardır: rastgele bir kağıda yazılan ad-soyad-telefon, veri kayıt sisteminin parçası değilse KVKK kapsamına girmez. Ancak bu bilgiler bir CRM sistemine, müşteri kartına veya bir kayıt defterine sınıflandırılarak işlendiğinde KVKK kapsamı doğar.
Kişisel Veri Nedir?
Kanunun 3. maddesi kişisel veriyi şu şekilde tanımlar:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Bu geniş tanım, pek çok bilginin kişisel veri kapsamına girmesini sağlar.
Genel Kişisel Veri Örnekleri
Kimlik bilgileri: Ad, soyad, T.C. kimlik numarası, doğum tarihi, doğum yeri.
İletişim bilgileri: Telefon numarası, e-posta adresi, ev adresi, iş adresi.
Finansal veriler: Banka hesap bilgileri, kredi kartı bilgileri, gelir bilgisi.
Dijital veriler: IP adresi, çerez bilgileri, sosyal medya hesap kullanıcı adları, konum verileri.
Görsel-işitsel veriler: Fotoğraf, video kaydı, ses kaydı.
Özel Nitelikli Kişisel Veriler
Kanunun 6. maddesi bazı veri türlerini "özel nitelikli" olarak ayrı koruma altına alır. Bu veriler için işleme şartları çok daha sıkıdır:
Sağlık verileri, cinsel hayat bilgileri, ırk veya etnik köken, siyasi düşünce, felsefi inanç, dini inanç, mezhep, kılık ve kıyafet, dernek-vakıf-sendika üyeliği, ceza mahkumiyeti, güvenlik tedbirleri ve biyometrik-genetik veriler bu kategoride yer alır.
Özel nitelikli verilerin işlenmesi kural olarak yasaktır; ancak ilgili kişinin açık rızası veya kanunda öngörülen istisnaların varlığı halinde işlenebilir.
Veri Sorumlusu ve Veri İşleyen Kavramları
KVKK kapsamında üç temel rol vardır.
İlgili Kişi
Kişisel verisi işlenen gerçek kişidir. Yani siz ve ben.
Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir e-ticaret sitesi, bankası, hastane veya işveren şirket bu kategoridedir.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. Bulut hizmet sağlayıcıları, çağrı merkezi şirketleri, muhasebe büroları bu kategoride değerlendirilebilir.
Sorumluluk açısından önemli olan: KVKK ihlalinde idari para cezasının asıl muhatabı veri sorumlusudur. Veri işleyenle yapılan dış kaynak sözleşmesi, veri sorumlusunu sorumluluktan kurtarmaz.
KVKK'nın Temel İlkeleri
Kanunun 4. maddesi, kişisel verilerin işlenmesinde uyulması zorunlu beş temel ilkeyi düzenler.
Hukuka ve dürüstlük kurallarına uygun olma: Veriler şeffaf ve adil biçimde işlenmelidir.
Doğru ve gerektiğinde güncel olma: Yanlış verilerin işlenmesi veya güncellenmemesi, bireyin haklarını ihlal eder.
Belirli, açık ve meşru amaçlar için işlenme: Hangi amaçla veri toplandığı net olmalı; başka amaçla kullanılmamalıdır.
Amaçla bağlantılı, sınırlı ve ölçülü olma: Gerekenden fazla veri toplanmamalı; sadece gereken kadarıyla yetinilmelidir.
Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanma: Süresi dolan veriler silinmeli, yok edilmeli veya anonimleştirilmelidir.
Şirket Yükümlülükleri: KVKK'ya Nasıl Uyum Sağlanır?
KVKK kapsamında bir şirketin yerine getirmesi gereken temel yükümlülükler şunlardır.
Aydınlatma Yükümlülüğü (Madde 10)
Şirket, kişisel veri topladığı her durumda veri sahibine kimin veriyi topladığını, hangi amaçla işlediğini, kimlere aktarabileceğini ve haklarını açık biçimde bildirmek zorundadır.
Açık Rıza Alınması (Madde 5-6)
Kanunun öngördüğü diğer hukuki şartlar karşılanmıyorsa veri işleme için açık rıza alınması zorunludur. Açık rıza özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirilmiş biçimde verilmelidir.
VERBİS Kaydı (Madde 16)
Belirli büyüklükteki veri sorumluları, VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt yaptırmak zorundadır. Çalışan sayısı ve mali bilanço eşiklerine göre yükümlülük belirlenir.
Veri İşleme Envanteri
VERBİS'e kayıtlı veri sorumluları, hangi verileri, hangi amaçla, nerede ve ne kadar süre sakladıklarını gösteren envanter oluşturmak zorundadır.
Veri Güvenliği Tedbirleri (Madde 12)
Şirket, işlediği kişisel verilerin güvenliğini sağlamak için teknik ve idari tedbirler almakla yükümlüdür. Bunlar arasında şifreleme, erişim yetkilendirmesi, çalışan eğitimleri ve veri güvenliği politikaları yer alır.
Veri İhlali Bildirimi
Bir veri ihlali yaşandığında, ihlalin öğrenildiği andan itibaren 72 saat içinde Kurul'a ve ilgili kişilere bildirim yapılması zorunludur.
KVKK İhlal Cezaları (2026 Yılı)
KVKK kapsamındaki idari para cezaları her yıl yeniden değerleme oranına göre güncellenir. 2026 yılı için yeniden değerleme oranı %25,49 olarak uygulanmıştır.
İhlal Türü | 2026 Alt Sınır | 2026 Üst Sınır |
|---|---|---|
Aydınlatma yükümlülüğü ihlali | 85.437 TL | 1.709.200 TL |
Veri güvenliği ihlali | 256.357 TL | 17.092.242 TL |
Kurul kararına uymama | 427.263 TL | 17.092.242 TL |
VERBİS kayıt ihlali | 341.809 TL | 17.092.242 TL |
Yurt dışı veri aktarımında bildirim ihlali | 90.308 TL | 1.806.177 TL |
Şirketler birden fazla ihlalde her biri için ayrı ayrı ceza alabilir. Aynı zamanda Türk Ceza Kanunu kapsamında kişisel verileri hukuka aykırı olarak elde etmek, paylaşmak veya yok etmek hapis cezası da gerektirebilir (TCK m. 135-138).
KVKK ile GDPR Arasındaki Farklar
KVKK büyük ölçüde GDPR'a benzer; ancak bazı önemli farklılıklar vardır.
Kriter | KVKK | GDPR |
|---|---|---|
Yürürlük Tarihi | 7 Nisan 2016 | 25 Mayıs 2018 |
Coğrafi Kapsam | Türkiye | AB ve AB vatandaşlarına hizmet sunan tüm şirketler |
Maksimum Ceza | 17.092.242 TL (2026) | 20 milyon Euro veya küresel cironun %4'ü |
DPO Atama | Zorunlu değil | Belirli durumlarda zorunlu |
Bildirim Süresi | 72 saat | 72 saat |
Veri Sahibi Yaşı | 18 (yetişkinlik yaşı) | 16 (üye devletler 13'e indirebilir) |
GDPR, AB pazarına yönelik faaliyet gösteren Türk şirketlerini de doğrudan etkiler. Bu nedenle pek çok Türk şirketi hem KVKK hem GDPR uyumunu birlikte yönetmek zorundadır.
İlgili Kişinin Hakları (Madde 11)
KVKK kapsamında kişisel verisi işlenen herkes şu haklara sahiptir:
Kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içi veya yurt dışında kimlere aktarıldığını bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, silinmesini veya yok edilmesini talep etme, düzeltilen veya silinen verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhine bir sonuç doğmasına itiraz etme, kanuna aykırı işleme nedeniyle zarar görmesi halinde tazminat talep etme.
Bu haklar ilk olarak veri sorumlusuna başvurularak kullanılır. Veri sorumlusu 30 gün içinde yanıt vermek zorundadır. Tatmin edici yanıt alınmazsa Kişisel Verileri Koruma Kurulu'na şikayet hakkı doğar.
Sık Sorulan Sorular
KVKK ne demek?
KVKK, "Kişisel Verilerin Korunması Kanunu"nun kısaltmasıdır. 7 Nisan 2016'da yürürlüğe giren 6698 sayılı bu kanun, kişisel verilerin işlenmesinde bireylerin temel haklarını korur ve veri işleyen kuruluşların yükümlülüklerini düzenler.
KVKK açılımı nedir?
KVKK açılımı "Kişisel Verilerin Korunması Kanunu"dur. Aynı kısaltma "Kişisel Verileri Koruma Kurumu" ve "Kişisel Verileri Koruma Kurulu" için de kullanılır; bağlam genellikle hangi anlamın kastedildiğini netleştirir.
KVKK ne zaman yürürlüğe girdi?
6698 sayılı KVKK, 7 Nisan 2016 tarihinde 29677 sayılı Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Kanunun bazı maddeleri için iki yıllık geçiş süresi tanınmış ve bu süre 7 Nisan 2018'de sona ermiştir.
KVKK kimleri kapsar?
KVKK, kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar — kamu kurumları, özel şirketler, dernekler, vakıflar dahil. Ancak yalnızca gerçek kişilerin verilerini korur; tüzel kişi verileri kapsam dışındadır.
KVKK'ya uymazsam ne olur?
KVKK'ya aykırılık hem idari para cezası hem de Türk Ceza Kanunu kapsamında hapis cezasıyla sonuçlanabilir. 2026 yılında idari para cezaları 85.437 TL'den başlayıp 17.092.242 TL'ye kadar ulaşabilir. Tekerrür halinde cezalar daha da artar.
Kişisel veri ne demek?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad-soyad, telefon, kimlik numarası, e-posta, adres, sağlık bilgileri, IP adresi ve fotoğraf gibi pek çok bilgi kişisel veri kapsamındadır.
KVKK ile GDPR aynı mı?
Hayır, ancak büyük ölçüde benzer. KVKK Türkiye'de, GDPR ise Avrupa Birliği'nde geçerlidir. İki düzenleme paralel prensipler taşımakla birlikte ceza tutarları, DPO zorunluluğu ve bazı detaylarda farklılıklar gösterir.
Okuyucular Bunları da Soruyor
Şirketim küçük, KVKK'ya uymam gerekiyor mu?
Evet. KVKK şirket büyüklüğüne göre ayrım yapmaz. Kişisel veri işleyen her şirket — tek kişilik bir işletme dahi olsa — KVKK kapsamındadır. VERBİS kaydı gibi bazı yükümlülükler ölçeğe göre değişebilir, ancak aydınlatma ve veri güvenliği yükümlülükleri evrenseldir.
KVKK aydınlatma metni nedir?
Aydınlatma metni, veri sorumlusunun kişisel verileri hangi amaçla, hangi hukuki dayanakla işlediğini ve veri sahibinin haklarını açıklayan belgedir. Web sitesi, sözleşme ekleri, başvuru formları gibi yerlerde bulundurulması zorunludur.
KVKK Kurumu'na nasıl şikayet edilir?
Önce veri sorumlusuna yazılı başvuru yapılması gerekir. 30 gün içinde tatmin edici yanıt alınmazsa veya 60 gün içinde başvuru reddedilirse e-Devlet üzerinden Kişisel Verileri Koruma Kurulu'na şikayet edilebilir.
KVKK için avukatla mı çalışmalıyım?
KVKK uyum süreci hem hukuki hem de teknik bilgi gerektiren çok katmanlı bir süreçtir. Aydınlatma metinlerinin doğru hazırlanması, VERBİS başvurusu, veri envanteri, açık rıza politikaları ve Kurul savunmaları gibi konularda alanında uzman bir avukatla çalışmak hem ceza riskini azaltır hem de süreci hızlandırır.
KVKK'da çocukların verisi nasıl işlenir?
KVKK'da çocuklara özel ayrı bir yaş sınırı belirlenmemiştir; medeni kanun uyarınca 18 yaşının altındaki kişiler ergin sayılmaz ve velilerinin rızası gerekir. GDPR'da bu yaş 16 olarak belirlenmiştir.
Sonuç
KVKK, dijital çağda bireylerin en temel haklarından biri olan kişisel veri mahremiyetini koruyan, Türkiye'nin Avrupa Birliği uyum sürecinin önemli bir parçası olan bir kanundur. 7 Nisan 2016'dan bu yana yürürlükte olan 6698 sayılı Kanun, hem bireyler hem de şirketler için kapsamlı yükümlülükler getirir.
Şirketler için KVKK uyumu artık yalnızca bir tercih değil, hukuki bir zorunluluk ve ticari itibarın temel taşıdır. 2026 yılında ceza miktarlarının önceki yıllara göre belirgin artış göstermesi, uyum sürecini ertelenebilir bir konu olmaktan çıkarmıştır.
Şirketinizin KVKK uyum süreci, aydınlatma metinleri, VERBİS kaydı, veri envanteri veya bir Kurul soruşturmasındaki savunma için Güneş Partners olarak yanınızdayız. Süreçlerinizi değerlendirmek üzere bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verileri Koruma Kurumu yayınları ve güncel Kurul kararları temelinde hazırlanmıştır. KVKK uyum süreçlerinde ve veri ihlali durumlarında profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.