2026 KVKK İdari Para Cezaları: Güncel Tablo ve Hesaplama Kriterleri
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
2026 yılında KVKK idari para cezaları %25,49 yeniden değerleme oranıyla artırılmıştır.
En yüksek tek kalem ceza 17.092.242 TL'ye ulaşmaktadır; üç ayrı ihlal kategorisi bu üst sınırı paylaşır.
Tek bir olay birden fazla ihlal kategorisine giriyorsa her biri için ayrı ayrı ceza uygulanır; toplam yaptırım 17 milyon TL'yi çok aşabilir.
Kurul, cezayı belirlerken etkilenen kişi sayısı, şirketin ekonomik büyüklüğü, kusur derecesi, bildirim hızı ve proaktif tedbirler gibi kriterleri değerlendirir.
Ceza güncellemesi Vergi Usul Kanunu'nun mükerrer 298. maddesi uyarınca yapılır; yıllık yeniden değerleme oranı doğrudan ceza miktarını belirler.
İdari para cezasına ek olarak TCK m. 135-138 kapsamında hapis cezası da söz konusu olabilir.
1 Haziran 2024'ten itibaren cezalara itiraz mercii Ankara İdare Mahkemeleridir; süre 60 gündür.
Cezalar Nasıl Güncellenir? Yeniden Değerleme Mekanizması
KVKK'nın 18. maddesi, idari para cezalarının her yıl güncellenmesini öngörür. Güncelleme mekanizması doğrudan 5326 sayılı Kabahatler Kanunu'nun 17. maddesinin 7. fıkrasına dayanır.
Bu fıkra şu kuralı koyar: idari para cezaları her takvim yılı başından geçerli olmak üzere, 213 sayılı Vergi Usul Kanunu'nun mükerrer 298. maddesi uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılarak uygulanır.
Yeniden değerleme oranı nedir? Vergi Usul Kanunu kapsamında her yıl Hazine ve Maliye Bakanlığı tarafından ilan edilen ve idari para cezaları, vergi matrahları ve diğer mali tutarların güncellenmesinde kullanılan yıllık artış oranıdır.
2026 Yılı Oranı
2026 yılı için yeniden değerleme oranı %25,49 olarak belirlenmiş ve Resmi Gazete'de ilan edilmiştir. Bu oran, 1 Ocak 2026'dan itibaren tüm KVKK idari para cezalarına uygulanmaktadır.
Tarihsel Karşılaştırma
Yıl | Yeniden Değerleme Oranı |
|---|---|
2020 | %9,11 |
2021 | %36,20 |
2022 | %122,93 |
2023 | %58,46 |
2024 | %43,93 |
2025 | %25,49 |
2026 | %25,49 |
Bu tablo, ceza tutarlarının yıldan yıla nasıl katlandığını somut biçimde gösterir. 2016'da kanunun çıkışında 5.000 TL olan aydınlatma ihlali alt sınırı, 2026'da 85.437 TL'ye ulaşmıştır.
2026 Yılı KVKK İdari Para Cezaları: Tam Tablo
Kategori 1: Aydınlatma Yükümlülüğü İhlali (Madde 18/1-a)
2025 | 2026 | |
|---|---|---|
Alt Sınır | 68.083 TL | 85.437 TL |
Üst Sınır | 1.362.021 TL | 1.709.200 TL |
Ne zaman uygulanır? Kişisel veri toplandığı anda ilgili kişiye aydınlatma yapılmaması, aydınlatma metninin eksik veya yanıltıcı olması, metnin fiilen erişilemez biçimde sunulması.
Kategori 2: Veri Güvenliği Yükümlülüklerinin Yerine Getirilmemesi (Madde 18/1-b)
2025 | 2026 | |
|---|---|---|
Alt Sınır | 204.285 TL | 256.357 TL |
Üst Sınır | 13.620.402 TL | 17.092.242 TL |
Ne zaman uygulanır? Teknik ve idari güvenlik tedbirlerinin alınmaması, veri ihlalinin süresinde bildirilmemesi, şifreleme-erişim kontrolü-MFA gibi temel güvenlik önlemlerinin yokluğu, çalışan eğitimlerinin verilmemesi, veri işleyenle DPA yapılmamış olması.
Kategori 3: Kurul Kararlarının Yerine Getirilmemesi (Madde 18/1-c)
2025 | 2026 | |
|---|---|---|
Alt Sınır | 340.476 TL | 427.263 TL |
Üst Sınır | 13.620.402 TL | 17.092.242 TL |
Ne zaman uygulanır? Kurul'un veri silme, işleme durdurma veya düzeltme kararlarının süresinde yerine getirilmemesi, Kurul tarafından talep edilen bilgi ve belgelerin sunulmaması.
Kategori 4: VERBİS Kayıt ve Bildirim Yükümlülüğü İhlali (Madde 18/1-ç)
2025 | 2026 | |
|---|---|---|
Alt Sınır | 272.380 TL | 341.809 TL |
Üst Sınır | 13.620.402 TL | 17.092.242 TL |
Ne zaman uygulanır? VERBİS'e kayıt yükümlülüğü olmasına rağmen kayıt yapılmaması, kayıt bilgilerinin güncellenmemesi, eksik veya yanıltıcı bilgi girilmesi.
Kategori 5: Yurt Dışına Veri Aktarımında Bildirim Yükümlülüğü İhlali (Madde 18/1-d)
2025 | 2026 | |
|---|---|---|
Alt Sınır | 71.965 TL | 90.308 TL |
Üst Sınır | 1.439.300 TL | 1.806.177 TL |
Ne zaman uygulanır? Kanun'un 9. maddesinin 5. fıkrasında öngörülen bildirim yükümlülüğünün yerine getirilmemesi. Bu kategori 7499 sayılı Kanun'la eklenen yeni bir kabahat türüdür.
Ceza Kümülasyonu: Tek Olay, Çoklu Ceza
Kurul uygulamasında tek bir olay birden fazla ihlal kategorisine girebilir. Bu durumda her kategori için ayrı ayrı ceza uygulanır.
Somut örnek: bir şirketin müşteri veritabanı hacklenir. İnceleme sonucunda şu tespitler yapılır: web sitesinde aydınlatma metni eksik (m. 18/1-a), şifreleme ve MFA gibi güvenlik tedbirleri alınmamış (m. 18/1-b) ve ihlal 72 saat içinde bildirilmemiş (m. 18/1-b kapsamında ek değerlendirme).
Bu senaryoda şirkete en az iki ayrı kategoriden ceza kesilir. Yalnızca veri güvenliği ve aydınlatma kategorileri birleştiğinde bile toplam ceza teorik olarak 18.801.442 TL'ye (1.709.200 + 17.092.242) ulaşabilir.
Kurul Cezayı Nasıl Belirler? Takdir Yetkisi Kriterleri
Alt sınır ile üst sınır arasındaki geniş aralıkta Kurul'un takdir yetkisi büyüktür. 2025-2026 dönemi kararlarından çıkarılan kriterler şunlardır.
Cezayı Artıran Kriterler
Etkilenen kişi sayısı: 100 kişiyi etkileyen ihlal ile 1 milyon kişiyi etkileyen ihlal arasında ceza miktarı doğrudan farklılaşır. Kurul, etkilenen kişi sayısını ceza belirlemenin en temel kriterlerinden biri olarak kullanmaktadır.
Şirketin ekonomik büyüklüğü: Kurul, mali bilanço büyüklüğünü esas alan bir algoritma tablosu kullanır. Holdingler ve büyük ölçekli şirketlere üst sınıra yakın cezalar uygulanırken, KOBİ'ler için alt sınıra yakın tutarlar belirlenir. Ancak KOBİ'ler için bile alt sınır yüz binlerce TL düzeyindedir.
Özel nitelikli verinin etkilenmesi: Sağlık, biyometrik veya ceza kaydı gibi özel nitelikli verilerin ihlali, genel nitelikli verilere kıyasla çok daha ağır cezalandırılır.
Kasıt veya ağır ihmal: İhlalin kasıtlı biçimde gerçekleştirilmesi veya ağır ihmal sonucu oluşması cezayı belirgin biçimde artırır.
İhlalin gizlenmeye çalışılması: En ağır artırıcı nedendir. Kurul, gizleme tespit ettiğinde üst sınırdan ceza uygulama eğilimindedir.
Tekerrür: Aynı ihlal bir yıl içinde tekrarlanırsa ceza iki katına çıkar.
Cezayı Azaltan Kriterler
Hızlı bildirim: 72 saatten önce bildirimi tamamlamak güçlü bir hafifletici etkendir.
Proaktif güvenlik tedbirleri: İhlalden önce alınan teknik tedbirlerin (şifreleme, MFA, penetrasyon testi) ve idari tedbirlerin (çalışan eğitimi, politikalar, DPA sözleşmeleri) belgelenmesi cezayı önemli ölçüde düşürür.
İşbirliği ve şeffaflık: Kurul ile iletişimde şeffaf davranmak, talep edilen bilgileri süresinde ve eksiksiz sunmak olumlu değerlendirilir.
Zararın sınırlı olması: İhlalin ilgili kişiler üzerinde ciddi bir zarar doğurmadığının tespitiyle ceza azaltılabilir.
Derhal düzeltme: İhlalden sonra güvenlik açığının hızla kapatılması ve ek tedbirlerin süratle uygulanması olumlu karşılanır.
2026 Emsal Kararlarından Öne Çıkan Tespitler
Dış Hizmet Alımı Sorumluluğu Kaldırmaz
Aktif Yatırım Bankası kararında (Ocak 2026), dış yazılım şirketindeki güvenlik açığı nedeniyle 45.000 müşteri verisi sızmıştır. Kurul, "tedarik zincirindeki güvenlik açığının veri sorumlusunun yükümlülüğünü ortadan kaldırmayacağını" vurgulayarak bankaya ağır yaptırım uygulamıştır.
MFA Yokluğu ve Eğitim Eksikliği Ağırlaştırıcı
Global Lojistik kararında, çalışanın phishing linkine tıklaması sonucu 12.000 veri sızmıştır. Kurul, şirkette çok faktörlü kimlik doğrulama bulunmamasını ve çalışan eğitimlerinin yetersiz olduğunu tespit ederek cezayı alt sınırdan uzaklaştırmıştır.
Kamuoyu İlanı Yaptırımı
Vodafone Net kararında (Şubat 2026), para cezasına ek olarak ihlalin kamuoyuna ilan edilmesine karar verilmiştir. Bu yaptırım, şirketin itibarı açısından mali cezadan çok daha ağır sonuçlar doğurabilir.
İdari Para Cezası Dışındaki Yaptırımlar
KVKK yaptırımları idari para cezasıyla sınırlı değildir.
Veri silme/yok etme talimatı: Kurul, hukuka aykırı işlenen verilerin silinmesini veya yok edilmesini emredebilir.
İşleme durdurma: Belirli veri işleme faaliyetlerinin geçici veya kalıcı olarak durdurulmasına karar verilebilir.
Kamuoyu ilanı: İhlalin kamuoyuyla paylaşılmasına karar verilebilir; bu yaptırım itibar kaybı açısından en ağır sonuçları doğurur.
TCK kapsamında hapis cezası: Hukuka aykırı veri elde etme (TCK m. 135), verileri yayma (TCK m. 136) ve verileri yok etme (TCK m. 138) eylemleri 1-4 yıl hapis cezasıyla yaptırıma bağlanmıştır. İdari para cezası ile cezai yaptırım birbirinden bağımsız uygulanır.
Cezalara İtiraz: İdare Mahkemesi Süreci
1 Haziran 2024'te yürürlüğe giren düzenleme ile Kurul'un idari para cezalarına itiraz mercii Sulh Ceza Hakimliği'nden Ankara İdare Mahkemelerine taşınmıştır.
Dava açma süresi: Kararın tebliğinden itibaren 60 gün.
Yetkili mahkeme: Ankara İdare Mahkemeleri (HSK'nın 2026 yılı düzenlemesiyle ihtisas mahkemeleri belirlenmiştir).
Yürütmenin durdurulması: Dava açmak cezanın tahsilini otomatik olarak durdurmaz; mahkemeden ayrıca yürütmenin durdurulması kararı talep edilmelidir.
Anayasa Mahkemesi yolu: İdari yargı yolları tüketildikten sonra, orantılılık ilkesi ihlali veya adil yargılanma hakkı ihlali gerekçesiyle bireysel başvuru yapılabilir.
Sık Sorulan Sorular
KVKK cezaları 2026'da ne kadar?
2026 yılında KVKK idari para cezaları %25,49 oranında artırılmıştır. Aydınlatma ihlalinde 85.437–1.709.200 TL, veri güvenliği ihlalinde 256.357–17.092.242 TL, Kurul kararına uymamada 427.263–17.092.242 TL ve VERBİS ihlalinde 341.809–17.092.242 TL arasında ceza uygulanır.
Ceza miktarını kim belirler?
Kişisel Verileri Koruma Kurulu belirler. Kurul, alt sınır ile üst sınır arasında etkilenen kişi sayısı, şirketin ekonomik büyüklüğü, ihlalin kasıt veya ihmalden kaynaklanması, bildirim hızı ve proaktif tedbirler gibi kriterleri değerlendirerek takdir yetkisini kullanır.
Birden fazla ihlal için tek ceza mı kesilir?
Hayır. Tek bir olay birden fazla ihlal kategorisine giriyorsa her biri için ayrı ayrı ceza uygulanır. Örneğin veri güvenliği ihlali + aydınlatma eksikliği birlikte tespit edildiğinde iki ayrı ceza kesilir.
KOBİ'ler de aynı cezayı mı alır?
Alt ve üst sınırlar tüm şirketler için aynıdır. Ancak Kurul, ceza miktarını belirlerken şirketin mali bilanço büyüklüğünü dikkate alır. KOBİ'ler genellikle alt sınıra yakın cezalar alırken, büyük ölçekli şirketlere üst sınıra yakın tutarlar uygulanır.
KVKK cezasına itiraz edebilir miyim?
Evet. Kararın tebliğinden itibaren 60 gün içinde Ankara İdare Mahkemeleri'nde iptal davası açabilirsiniz. Yürütmenin durdurulması da ayrıca talep edilebilir. İdari yargı yolları tüketildikten sonra Anayasa Mahkemesi'ne bireysel başvuru da mümkündür.
Cezalar her yıl artıyor mu?
Evet. KVKK cezaları her yıl Vergi Usul Kanunu'nun mükerrer 298. maddesi uyarınca belirlenen yeniden değerleme oranında artırılır. Bu oran enflasyona bağlı olarak değişir; yüksek enflasyon dönemlerinde cezalar dramatik biçimde artar.
Okuyucular Bunları da Soruyor
2016'dan bu yana cezalar kaç kat arttı?
Kanunun çıkışındaki 2016 rakamları ile 2026 rakamları karşılaştırıldığında: aydınlatma ihlali alt sınırı 5.000 TL'den 85.437 TL'ye (yaklaşık 17 kat), veri güvenliği ihlali üst sınırı 1.000.000 TL'den 17.092.242 TL'ye (yaklaşık 17 kat) yükselmiştir.
Devam eden ihlaller için hangi yılın cezası uygulanır?
Kurul, devam eden (kesintisiz) ihlallerde ihlalin tespit edildiği tarihteki güncel limitleri uygulamaktadır. Örneğin 2024'te yapılması gereken VERBİS kaydı hâlâ tamamlanmamışsa Kurul 2026 tutarlarını esas alır.
Siber sigorta KVKK cezalarını karşılar mı?
Bazı poliçeler KVKK cezalarını kapsayabilir; ancak bu tamamen poliçenin kapsamına bağlıdır. Poliçenizi inceleyerek "idari para cezaları" kaleminin teminat dahilinde olup olmadığını doğrulamanız önerilir.
TBMM'de görüşülen cirosal ceza sistemi nedir?
2026 içinde yasallaşması beklenen yasa teklifi ile GDPR benzeri cirosal ceza sistemine (yıllık cironun %2 ila %4'ü) geçilmesi planlanmaktadır. Bu düzenleme yürürlüğe girerse büyük ölçekli şirketlerin karşı karşıya olduğu mali risk katlanarak artacaktır.
Sonuç
KVKK idari para cezaları, 2026 yılında yeniden değerleme oranının etkisiyle tarihi zirvelere ulaşmıştır. 17 milyon TL'yi aşan üst sınırlar, birden fazla kategoriden kümülatif ceza uygulaması ve tekerrür halinde iki katına çıkan tutarlar, KVKK uyumunu artık yalnızca hukuki değil, doğrudan mali bir risk yönetimi konusu haline getirmiştir.
Kurul'un takdir yetkisi geniştir; ancak bu yetki keyfi değildir. Proaktif güvenlik tedbirleri, hızlı bildirim, şeffaf iletişim ve düzenli uyum denetimleri cezayı önemli ölçüde azaltan faktörlerdir. Tersine, gizleme, geç bildirim ve tedbir yokluğu üst sınıra yakın cezalara zemin hazırlar.
Güneş Partners olarak KVKK ceza süreçlerinde savunma hazırlığı, idare mahkemesinde itiraz davaları ve proaktif uyum danışmanlığı alanlarında şirketlere hukuki destek sağlıyoruz. Ceza riskinizi değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 18, 5326 sayılı Kabahatler Kanunu m. 17/7, 213 sayılı Vergi Usul Kanunu mükerrer m. 298, KVKK Kurumu'nun 31 Aralık 2025 tarihli 2026 ceza tablosu duyurusu ve 2025-2026 dönemi Kurul emsal kararları temelinde hazırlanmıştır. KVKK ceza süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.