Şirket KVKK Uyum Süreci: 2026 Güncel Adım Adım Rehber
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
KVKK uyum süreci tek seferlik bir proje değil, sürekli yönetilmesi gereken bir yapıdır.
7499 sayılı Kanun'la 1 Haziran 2024 itibarıyla yurt dışı veri aktarımı ve özel nitelikli veri işleme kuralları köklü biçimde değişti.
2025/1572 sayılı Kurul Kararı ile VERBİS eşikleri güncellendi: 50'den az çalışan + 100 milyon TL altı bilanço = muafiyet (özel nitelikli veri işlemeyenler için).
2026 yılı itibarıyla KVKK idari para cezaları 85.437 TL'den 17.092.242 TL'ye kadar çıkabiliyor.
Uyum için 7 temel adım: envanter → politikalar → aydınlatma → açık rıza → VERBİS → sözleşmeler → eğitim.
VERBİS'ten muaf olmak, diğer KVKK yükümlülüklerini ortadan kaldırmıyor.
"Şirketimiz KVKK'ya Uyumlu mu?" Sorusunun Cevabı
Bu soruyu soran şirket sahiplerinin büyük çoğunluğu aynı iki noktada takılır: hangi yükümlülüklerin kendilerini bağladığını bilmemek ve nereden başlayacaklarını bilmemek.
KVKK uyumu, bir avukata dilekçe yazdırmak ya da web sitesine birkaç metin eklemekten çok daha fazlasıdır. Doğru kurgulandığında şirketinizi milyonlarca TL'lik cezadan, itibar kaybından ve veri ihlali risklerinden korur. Yanlış ya da eksik kurgulandığında ise "uyumluyuz" sanarak hareket etmek, denetimde tam cephe açık kalmak anlamına gelir.
Bu rehberde, 7499 sayılı Kanun'un getirdiği güncel çerçeve ile şirketinizin KVKK uyumunu başından sonuna nasıl kurması gerektiğini, 2026 yılı için geçerli ceza tutarlarıyla ve sektöre özel notlarla birlikte ele alıyoruz.
Bölüm 1: KVKK'nın Temel Kavramları
Uyum sürecini doğru yönetmek için önce birbirine karıştırılan birkaç kavramı netleştirmek gerekiyor.
Veri Sorumlusu Kimdir?
Kişisel verilerin işlenme amacını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Müşteri bilgilerini toplayan bir e-ticaret şirketi, çalışan özlük dosyalarını yöneten bir işletme ya da hasta kayıtlarını tutan bir klinik: hepsi veri sorumlusudur. KVKK'nın getirdiği yükümlülüklerin büyük bölümü veri sorumlusunu hedef alır.
Veri İşleyen Kimdir?
Veri sorumlusunun adına ve verdiği yetkiye dayanarak kişisel veri işleyen gerçek veya tüzel kişidir. Bulut yazılım sağlayıcınız, bordro yönetim şirketiniz veya çağrı merkeziniz bu kategoridedir. Kritik nokta: veri işleyen seçimi sorumluluğunuzu ortadan kaldırmaz; veri işleyenle yazılı sözleşme yapma yükümlülüğünüz kanundan kaynaklanır.
İlgili Kişi Kimdir?
Kişisel verisi işlenen gerçek kişidir. Müşterileriniz, çalışanlarınız, iş ortaklarınızın yetkilileri — hepsi "ilgili kişi" sıfatını taşır. İlgili kişinin KVKK kapsamında güçlü hakları vardır: bilgi alma, düzeltme talep etme, silme/yok etme isteme ve itiraz etme bunların başında gelir.
Kişisel Veri Kategorileri
KVKK iki temel kategori tanımlar.
Genel nitelikli kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad, soyad, T.C. kimlik numarası, telefon, e-posta, adres, IP adresi bu kapsamdadır.
Özel nitelikli (hassas) kişisel veri: Hukuki açıdan ayrı ve daha güçlü bir koruma rejimine tabidir. Sağlık verileri, biyometrik veriler, genetik veriler, ırk-etnik köken, siyasi düşünce, felsefi inanç, dini inanç, kılık-kıyafet, dernek-vakıf-sendika üyeliği, cinsel hayat ve ceza mahkûmiyeti bu kategoridedir.
Kritik ayrım: Genel nitelikli veri işlemek için kanunda sayılan hukuki dayanaklardan biri yeterlidir. Özel nitelikli veri işlemek ise kural olarak açık rıza gerektirir; kanundaki istisnalar dışında başka hukuki dayanakla özel nitelikli veri işlenemez.
Bölüm 2: 7499 Sayılı Kanun'la Gelen Değişiklikler (1 Haziran 2024 İtibarıyla)
KVKK, 7499 sayılı Kanun'la 12 Mart 2024'te önemli değişikliklere uğradı. Bu değişikliklerin KVKK'ya ilişkin maddeleri 1 Haziran 2024 itibarıyla yürürlüğe girdi ve şirketlerin uyum sürecini doğrudan etkiliyor.
Değişiklik 1: Özel Nitelikli Veri İşleme Şartları Genişledi
Daha önce özel nitelikli verilerin açık rıza olmadan işlenebileceği haller yalnızca "kanunda öngörülmüş" durumlarla sınırlıydı. 7499 sayılı Kanun'la bu istisnalar genişletildi. Artık açık rıza aranmaksızın özel nitelikli veri işlenebilecek haller şunlardır:
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi. Bu düzenleme özellikle işverenler açısından büyük önem taşıyor. Örneğin çalışanların iş sağlığı muayene sonuçlarının kaydedilmesi, sağlık ve güvenlik mevzuatı kapsamında artık açık rıza gerekmeksizin yapılabilmektedir.
Dernek, vakıf ve kar amacı gütmeyen kuruluşların üyelerine yönelik veri işleme. Bu kuruluşların kendi faaliyet alanlarındaki üyelerine ilişkin özel nitelikli verileri, belirli sınırlar dahilinde açık rıza almaksızın işleyebileceği düzenlenmiştir.
Değişiklik 2: Yurt Dışına Veri Aktarımında Köklü Yeniden Yapılanma
7499 sayılı Kanun'un getirdiği en kapsamlı değişiklik yurt dışı veri aktarımı alanındadır. Kanunun 9. maddesinde yapılan değişiklik, yurt dışına veri aktarımında daha önce çoğunlukla zorunlu olan açık rıza şartını genel bir kural olmaktan çıkarmış; aktarım için üç temel mekanizma belirlenmiştir.
Mekanizma 1 — Yeterlilik Kararı: Kurul'un yeterli koruma düzeyi sağladığına karar verdiği ülkelere, standart bir sözleşme ya da ek güvence olmaksızın veri aktarılabilir.
Mekanizma 2 — Uygun Güvence: Yeterlilik kararı olmayan ülkelere aktarım için standart sözleşmeler (Kurul tarafından yayımlanacak) veya bağlayıcı şirket kuralları kullanılır.
Mekanizma 3 — İstisnalar: Tek seferlik ve arızi aktarımlar için sınırlı istisnalar tanınmıştır; bunlar sürekli aktarımlar için uygulanamaz.
Bu değişiklik, özellikle yurt dışında bulut altyapısı kullanan, uluslararası CRM veya ERP sistemi çalıştıran ya da yurt dışındaki iş ortaklarıyla düzenli veri paylaşan şirketler için pratik bir dönüşümü zorunlu kılar.
1 Eylül 2024 geçiş süresi: Kanun, daha önce yalnızca açık rızaya dayalı yapılan yurt dışı aktarımların yeni mekanizmalardan birine uygun hale getirilmesi için 1 Eylül 2024 tarihine kadar süre tanıdı. Bu tarih geçti; dolayısıyla hâlâ eski açık rızaya dayalı bir yurt dışı aktarım düzeneği işletiyorsanız hukuki riskiniz devam ediyor.
Değişiklik 3: Yaptırım Yapısında Güncelleme
7499 sayılı Kanun, KVKK'nın 18. maddesindeki yaptırım hükümlerini de güncelledi. Bu güncellemeyle idari para cezalarının zaman bakımından uygulanma kuralları netleştirildi; ihlaller sona erdikten sonra devam eden etkiler için sorumluluk çerçevesi daha belirgin hale getirildi.
Bölüm 3: VERBİS Yükümlülükleri — 2025/1572 Sayılı Kararla Güncel Eşikler
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK kapsamında kişisel veri işleyen kuruluşların Kişisel Verileri Koruma Kurumu'na kayıt yaptırdığı ulusal sicildir.
Şirketinizin VERBİS'e Kayıt Yaptırması Gerekiyor mu?
Kişisel Verileri Koruma Kurulu'nun 04.09.2025 tarihli ve 2025/1572 sayılı kararıyla VERBİS muafiyet kriterleri yeniden düzenlendi. 1 Ekim 2025 itibarıyla geçerli olan tabloya göre kayıt yükümlülüğü şu şekilde işliyor.
VERBİS'e Kayıt Zorunlu Olanlar:
Kriter | Açıklama |
|---|---|
Çalışan sayısı 50 ve üzeri | Mali bilanço büyüklüğüne bakılmaksızın zorunlu |
Çalışan sayısı 50'nin altında, bilanço 100 milyon TL üzeri | Her iki kriteri de sağlamak gerekmez; birini sağlamak yeterli |
Ana faaliyet konusu özel nitelikli kişisel veri işleme + 10 veya üzeri çalışan | veya 10 milyon TL üzeri bilanço |
VERBİS'ten Muaf Olanlar:
Kriter | Açıklama |
|---|---|
Çalışan sayısı 50'nin altında + bilanço 100 milyon TL altı + ana faaliyeti özel nitelikli veri işleme değil | Her iki koşul birlikte sağlanmalı |
Ana faaliyet konusu özel nitelikli veri işleme olmakla birlikte çalışan sayısı 10'dan az + bilanço 10 milyon TL altı | Her iki koşul birlikte sağlanmalı (eczane, muayenehane, laboratuvar gibi) |
Önemli bir nokta: VERBİS'ten istisna olmak, KVKK'daki diğer yükümlülükleri ortadan kaldırmaz. Aydınlatma yükümlülüğü, veri güvenliği tedbirleri ve saklama-imha politikaları VERBİS kaydından bağımsız olarak tüm veri sorumlularını bağlar.
VERBİS'e Kayıt Süreci Nasıl İşler?
Kayıt yükümlülüğünün doğduğu tarihten itibaren (örneğin bilanço eşiğini aşıyorsanız kurumlar vergisi beyannamesini takiben) 30 gün içinde VERBİS üzerinden kayıt tamamlanmalıdır.
Kayıt sürecinde şu bilgilerin sisteme girilmesi zorunludur: veri sorumlusunun kimlik ve iletişim bilgileri, veri işleme amaçları, işlenen kişisel veri kategorileri, aktarılan alıcı grupları (yurt içi ve yurt dışı), veri saklama süreleri ve alınan teknik-idari güvenlik tedbirleri.
Bilgilerde değişiklik olması halinde 7 gün içinde VERBİS güncellenmesi zorunludur. Bu yükümlülüğün ihmal edilmesi ayrı bir ihlal kategorisi oluşturur.
Bölüm 4: Adım Adım KVKK Uyum Süreci
KVKK uyumunu yedi temel adımda ele alıyoruz. Bu adımlar doğrusal bir sırayla ilerler; biri tamamlanmadan bir sonrakine geçmek yapıyı zayıflatır.
Adım 1: Kişisel Veri Envanteri Hazırlamak
Uyum sürecinin temeli, şirketinizin hangi verileri, hangi amaçla, nereden topladığını ve nerede sakladığını gösteren kişisel veri işleme envanteridir.
Envanter şu soruları yanıtlar: Hangi veri kategorileri işleniyor? (çalışan, müşteri, tedarikçi vb.) Bu veriler hangi amaçla toplanıyor? Veriler fiziksel mi yoksa dijital ortamda mı saklanıyor? Hangi sistemlere (CRM, ERP, muhasebe yazılımı, e-posta sunucusu) işleniyor? Yurt dışına veri aktarımı var mı? Hangi üçüncü taraflarla (muhasebeci, yazılım şirketi, reklam ajansı) veri paylaşılıyor?
Envanter hazırlamak hem iç süreçlerinizi netleştirir hem de VERBİS'e girilecek bilgilerin temelini oluşturur. Kurulun inceleme başlattığı davalarda envanter, şirketin iyi niyetini ve uyum çabasını belgeleyen en önemli belgedir.
Adım 2: Hukuki Dayanak Tespiti
Envanter tamamlandıktan sonra, işlenen her veri kategorisi için hukuki dayanağın belirlenmesi gerekir. KVKK'nın 5. maddesi genel nitelikli veriler için altı hukuki dayanak sayar:
Kanunda açıkça öngörülmüş olması: İşverenin çalışan SGK bilgilerini işlemesi, noterlik hizmetlerinde kimlik verilerinin tutulması bu kapsamdadır.
Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması: Bir e-ticaret siparişini teslim etmek için adres ve telefon bilgisinin tutulması buna örnektir.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi: Fatura düzenlemek, vergi beyannamesi vermek gibi yasal zorunluluklar.
İlgili kişinin temel haklarına zarar vermemek kaydıyla meşru menfaat: Bu dayanak en çok tartışılan ve dikkatli kullanılması gereken dayanaktır; Kurul bu gerekçeyi dar yorumlamaktadır.
Hayati menfaatlerin korunması: Tıbbi acil durumlar gibi sınırlı hallerle uygulanır.
Açık rıza: Diğer hukuki dayanaklardan hiçbiri uygulanamıyorsa başvurulur. Önemli bir not: açık rıza özgür iradeyle verilmelidir; iş başvurusunda zorunlu kılınan onay veya hizmet alımına bağlanan rıza geçersizdir.
Adım 3: Aydınlatma Yükümlülüğünü Yerine Getirmek
Kişisel veri toplandığı her durumda ilgili kişiye aydınlatma yapılması zorunludur. Bu yükümlülük Kanun'un 10. maddesinde düzenlenmiştir.
Aydınlatma metni şu unsurları içermek zorundadır: veri sorumlusunun kimliği, işleme amacı, işlenen veri kategorileri, aktarılan kişi grupları, hukuki dayanak, verilerin yurt dışına aktarılıp aktarılmadığı ve ilgili kişinin hakları.
Kanallar: Müşteri için web sitesi gizlilik politikası, çerez bildirimi, sipariş formunda aydınlatma metni. Çalışan için işe alım sırasında imzalatılan aydınlatma formu. Kamera kaydı yapılan mekânlar için görünür yerde aydınlatma levhası.
Kurul'un 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı'yla önemli bir belirleme yapıldı: Açık rıza metni ve aydınlatma metni artık ayrı ayrı düzenlenmek zorunda. İkisi tek belgede birleştirilemez. Bu karar mevcut uyum belgelerini gözden geçirmeyi zorunlu kılmaktadır.
Adım 4: Açık Rıza Mekanizmalarını Kurmak
Açık rızaya dayalı veri işleme faaliyetleri varsa rızanın usulüne uygun alınması gerekir. Geçerli bir açık rıza şu üç şartı birlikte taşımalıdır:
Belirli bir konuya ilişkin olma: "Tüm verilerimin işlenmesine izin veriyorum" ifadesi geçersizdir. Her işleme amacı ayrı ayrı belirtilmelidir.
Bilgilendirmeye dayalı olma: Rıza, aydınlatma yapıldıktan sonra alınmalıdır.
Özgür iradeyle verilmiş olma: Hizmetin sunulmasının rızaya bağlanması, çalışma koşullarının rızaya bağlanması geçersizlik nedenidir.
Kanallar: Web sitelerinde çerez için onay kutucukları (varsayılan olarak işaretli olamaz), pazarlama iletişimi için ayrı onay kutusu, uygulamalarda izin ekranları.
Rızanın geri alınması da teknik olarak kolaylaştırılmak zorundadır. "Artık pazarlama e-postası almak istemiyorum" seçeneğinin gömülü menülerin derininde bulunması yeterli değildir.
Adım 5: Veri İşleme Sözleşmeleri (DPA)
Şirketiniz adına kişisel veri işleyen her üçüncü tarafla Veri İşleme Sözleşmesi (Data Processing Agreement — DPA) yapılması zorunludur. Bu sözleşmede yer alması gereken minimum unsurlar şunlardır:
Veri işleyenin yalnızca veri sorumlusunun talimatları doğrultusunda hareket edeceği, veri güvenliğine ilişkin teknik ve idari tedbirleri alacağı, alt işlemcilere veri aktarımında önceden onay alınacağı, veri ihlali halinde derhal bildirim yapılacağı ve sözleşme sona erdiğinde verilerin iade edileceği veya imha edileceği.
Çalıştığınız bulut yazılım sağlayıcıları, insan kaynakları yazılımları, ödeme sistemleri ve pazarlama araçları bu sözleşme kapsamına girer. Bu sözleşmeler yapılmadan gerçekleştirilen veri işleme, veri güvenliği ihlali kategorisinde değerlendirilebilir.
Adım 6: Veri Saklama ve İmha Politikaları
Kişisel verilerin işleme amacı ortadan kalktığında resen silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur (Kanun m. 7). Bu zorunluluk, periyodik imha süreciyle yerine getirilir.
Şirketler, hangi veri kategorisinin ne kadar süre saklanacağını, saklama süresinin dolması halinde nasıl imha edileceğini ve bu sürecin kim tarafından hangi sıklıkla yürütüleceğini gösteren Kişisel Veri Saklama ve İmha Politikası hazırlamak zorundadır.
Politikanın minimum içermesi gerekenler: veri kategorisi başına maksimum saklama süresi, imha yöntemleri (fiziksel belgelerin güvenli imhası, dijital verilerin kalıcı silinmesi, yedekleme sistemleri), periyodik imha takvimi ve imhadan sorumlu kişi veya birim.
Saklama sürelerine örnekler: İş başvurusu formları (pratikte 1-2 yıl), çalışan özlük dosyaları (iş ilişkisi boyunca ve ilişki sonrasında tabi olunan mevzuat süresi kadar), müşteri sipariş kayıtları (Türk Ticaret Kanunu uyarınca genellikle 10 yıl), kamera kayıtları (genel kural olarak en fazla 30 gün).
Adım 7: Çalışan Eğitimleri ve Farkındalık
KVKK uyumunun teknik ve hukuki altyapısı ne kadar güçlü olursa olsun, günlük operasyonlarda kişisel veriyle etkileşime giren çalışanlar eğitim almadığında ihlal riski en kritik noktada kalır.
Temel eğitim kapsamı: kişisel veri nedir, hangi veriler hassas kategoridedir, aydınlatma yükümlülüğü nedir ve nasıl yerine getirilir, veri ihlali nedir ve nasıl raporlanır, kişisel verilerin üçüncü kişilerle paylaşım kuralları, fiziksel ve dijital güvenlik uygulamaları.
Eğitimler yılda en az bir kez güncellenmeli ve işe alımlarda zorunlu oryantasyon modülü olarak verilmelidir. Eğitim kayıtları saklanmalı; Kurul incelemesinde çalışanlara eğitim verildiğini ispat edebilmek yükümlüden sorumluluğu önemli ölçüde azaltır.
Bölüm 5: 2026 Yılı KVKK İdari Para Cezaları
KVKK kapsamındaki idari para cezaları her yıl yeniden değerleme oranına göre artırılır. 2026 yılı için yeniden değerleme oranı %25,49 olarak uygulanmıştır.
İhlal Kategorisi | Kanun Maddesi | 2026 Alt Sınır | 2026 Üst Sınır |
|---|---|---|---|
Aydınlatma yükümlülüğü ihlali | 18/1-a | 85.437 TL | 1.709.200 TL |
Veri güvenliği yükümlülüklerinin yerine getirilmemesi | 18/1-b | 256.357 TL | 17.092.242 TL |
Kurul kararlarının yerine getirilmemesi | 18/1-c | 427.263 TL | 17.092.242 TL |
VERBİS kayıt ve bildirim yükümlülüğü ihlali | 18/1-ç | 341.809 TL | 17.092.242 TL |
Yurt dışı veri aktarımında bildirim ihlali | 18/1-d | 90.308 TL | 1.806.177 TL |
Birden fazla ihlal kategorisine giren şirketler her biri için ayrı ayrı ceza alır. Cezalar birbirini nakzetmez; toplanır.
Tekerrür riski: Aynı ihlal bir yıl içinde tekrarlandığında ceza iki katına çıkar. Kurul incelemesi sürerken aynı ihlale devam etmek de ağırlaştırıcı etken sayılır.
TCK riski: Hukuka aykırı kişisel veri işleme, elde etme veya ifşa etme eylemleri aynı zamanda 5237 sayılı Türk Ceza Kanunu'nun 135-138. maddeleri kapsamında hapis cezası gerektiren suçlar arasındadır.
Bölüm 6: Sektörel Özel Notlar
Her sektörün işlediği veri türleri ve tabi olduğu ek mevzuat farklıdır. Aşağıda en kritik dört sektör için öne çıkan uyum başlıklarını ele alıyoruz.
E-Ticaret Şirketleri
E-ticaret şirketleri hem müşteri kimlik ve ödeme verilerini hem de davranışsal veriler (çerez, oturum kaydı, satın alma geçmişi) işlemeleri nedeniyle en yoğun KVKK yükümlülüğüne tabi sektörler arasındadır.
Öne çıkan riskler: çerez duvarları (bazı siteler hâlâ çerezi reddetmeyi kapatıyor veya kasıtlı olarak zorlaştırıyor), ödeme verilerinin üçüncü taraf aracılara aktarımında sözleşme eksikliği, pazarlama iletişimi için İYS ve KVKK uyumunun birlikte yönetilememesi.
Kurul'un 11 Şubat 2026 tarihli İlke Kararı sadakat kartı programlarında doğrulama yapılmadan gerçekleştirilen kişisel veri işlemelerini açıkça ihlal saydı. Gıda, kozmetik, teknoloji, yapı market ve giyim sektörlerindeki tüm sadakat programı operatörlerini doğrudan etkiliyor.
Sağlık Kuruluşları (Hastane, Klinik, Muayenehane, Eczane)
Sağlık verileri özel nitelikli kişisel veri kategorisindedir; dolayısıyla daha sıkı bir koruma rejimi geçerlidir.
7499 sayılı Kanun'un getirdiği değişiklikle sağlık profesyonellerinin hasta verilerini iş sağlığı ve güvenliği ile sosyal güvenlik mevzuatı kapsamındaki hukuki yükümlülükler için artık açık rıza almaksızın işleyebileceği netleşti. Ancak bu ayrımın doğru yapılması kritiktir; tanı, tedavi ve ilaç verilerinin hangi kapsamda işlendiğinin yazılı olarak belgelenmesi şarttır.
VERBİS bağlamında: 2025/1572 sayılı karar ile çalışan sayısı 10'dan az ve bilançosu 10 milyon TL altında kalan muayenehaneler, eczaneler ve laboratuvarlar muafiyet kapsamına girdi.
Fintech ve Finansal Hizmetler
Bu sektör hem KVKK hem de Bankacılık Kanunu, MASAK mevzuatı gibi düzenlemelerle çakışan çok katmanlı bir uyum yükümlülüğü taşır.
Öne çıkan konular: müşteri kimlik doğrulama (KYC) süreçlerinde biyometrik veri işleme, kredi skorlama için üçüncü taraf veri kullanımı ve yurt dışına veri aktarımı (özellikle uluslararası ödeme ağları), mobil uygulama ile toplanan konum ve cihaz verilerinin hukuki dayanağı.
Eğitim Kurumları
Özel okullar, dershaneler ve online eğitim platformları öğrenci ve veli verilerini yoğun biçimde işler; öğrencilerin 18 yaş altı olması verinin özel koruma gerektirdiği anlamına gelir.
Öne çıkan konular: küçüklerin verilerinin ebeveyn rızasıyla işlenmesi, kamera sistemleri (sınıf içi veya bina kamerası), e-posta ve mesajlaşma uygulamaları üzerinden yapılan veri paylaşımı, üçüncü taraf eğitim platformlarına (yabancı dil uygulamaları, test platformları) veri aktarımı.
Bölüm 7: Veri İhlali Yaşanırsa Ne Yapılmalı?
Veri ihlali, kişisel verilerin kasıt veya ihmal sonucu yetkisiz biçimde açıklanması, ele geçirilmesi, değiştirilmesi veya kaybolmasıdır.
İhlal tespit edildiğinde iki kritik saat başlar:
72 Saatlik Kurul Bildirimi: KVKK m. 12/5 uyarınca, veri sorumlusu ihlali öğrenir öğrenmez 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapmak zorundadır. Bildirim ihlalbildirim.kvkk.gov.tr üzerinden yapılır.
İlgili Kişilere Bildirim: İhlalin ilgili kişiler açısından yüksek risk oluşturduğunun tespit edilmesi halinde, ilgili kişilere de makul sürede bildirim yapılmalıdır.
72 saat içinde bildirimi tamamlayamamak, ayrı bir ihlal kategorisi oluşturur ve ek yaptırıma yol açar. Dolayısıyla ihlal müdahale planı önceden hazırlanmış olmalı ve sorumlu kişi belirlenmiş olmalıdır.
İndirilebilir KVKK Uyum Kontrol Listesi
Aşağıdaki kontrol listesini şirketinizin mevcut uyum durumunu değerlendirmek için kullanabilirsiniz.
Temel Yapı
☐ Kişisel veri işleme envanteri hazırlandı mı?
☐ Her veri kategorisi için hukuki dayanak belirlendi mi?
☐ VERBİS kayıt yükümlülüğü analizi yapıldı mı?
☐ Kayıt yükümlüsüyseniz VERBİS kaydı tamamlandı mı?
Aydınlatma ve Rıza
☐ Web sitesinde güncel aydınlatma metni var mı?
☐ Çerez politikası ve banner mevcut mu?
☐ Açık rıza ve aydınlatma metinleri ayrı belgeler olarak düzenlendi mi? (2026/347 sayılı İlke Kararı gereği)
☐ Çalışan aydınlatma formu imzalandı mı?
☐ Kamera kaydı yapılan mekânlarda uyarı levhası var mı?
Sözleşmeler
☐ Üçüncü taraf veri işleyenlerle DPA sözleşmesi imzalandı mı?
☐ Yurt dışına veri aktarımı varsa yeni mekanizmalardan biri seçildi mi?
☐ Muhasebe, bordro, CRM yazılımı sağlayıcılarıyla veri işleme sözleşmesi var mı?
Politikalar
☐ Kişisel veri saklama ve imha politikası yazılı mı?
☐ Periyodik imha takvimi oluşturuldu mu?
☐ Veri ihlali müdahale planı hazır mı? Sorumlu kişi belirlendi mi?
Eğitim ve Operasyon
☐ Tüm çalışanlara KVKK eğitimi verildi mi?
☐ İşe alımda oryantasyon kapsamında KVKK eğitimi var mı?
☐ Eğitim kayıtları saklanıyor mu?
☐ İlgili kişi başvuruları için cevaplama süreci tanımlandı mı? (30 gün)
Yıllık Gözden Geçirme
☐ VERBİS bildirimleri güncel mi?
☐ Saklama süreleri geçen veriler imha edildi mi?
☐ Üçüncü taraf sözleşmeleri güncellendi mi?
☐ Yeni hizmet veya ürün başlatıldıysa veri akışı analiz edildi mi?
Sık Sorulan Sorular
KVKK uyum süreci ne kadar sürer?
Şirketin büyüklüğüne ve veri işleme faaliyetlerinin karmaşıklığına göre değişir. Küçük ölçekli bir işletmede temel uyum altyapısı 4 ila 8 hafta içinde kurulabilir. Orta ölçekli ve çok kanallı veri işleyen şirketlerde bu süre 3-6 aya uzar.
VERBİS kaydı ücretsiz mi?
Evet, VERBİS kaydı doğrudan Kurum'a herhangi bir ücret ödenmeksizin yapılır. Danışmanlık ve sistem hazırlığı maliyetleri ise değişkendir.
Şirketimiz küçük, yine de uyumlu olmak zorunda mıyız?
Evet. VERBİS'ten muafiyet, diğer KVKK yükümlülüklerini kaldırmaz. Aydınlatma yükümlülüğü, veri güvenliği ve açık rıza kuralları tek çalışanlı bir işletmeyi de kapsar.
Yurt dışı bulut servisi kullanıyoruz. Bu yurt dışına veri aktarımı sayılır mı?
Evet. Sunucuları yurt dışında bulunan bir yazılım hizmetine veri yüklemeniz, KVKK kapsamında yurt dışı veri aktarımı sayılır. 1 Haziran 2024 sonrasındaki düzenlemeye göre bu aktarım için yeterlilik kararı veya uygun güvence mekanizmalarından birinin kullanılması gerekir.
Açık rıza vermiş bir müşteri rızasını geri alırsa ne yapmalıyız?
Rıza geri alındığı andan itibaren o rızaya dayanan veri işleme faaliyeti durdurulmalıdır. Geri alma işlemi veriyi yasal olarak tutmanızı sağlayan başka bir hukuki dayanağınız olmadığı sürece mevcut verilerin imhasını da gerektirebilir.
KVKK uyumsuzluğunun tespitinde tek şikayet yeterli mi?
Evet. Bir çalışan, müşteri veya rakip tek bir şikayetiyle Kurul'a başvurarak soruşturma başlatılmasını talep edebilir. Bunun yanı sıra Kurul resen denetim de yapabilir.
Okuyucular Bunları da Soruyor
Şirket KVKK uyumu için öncelikle ne yapılmalıdır?
İlk adım kişisel veri envanteri çıkarmaktır. Hangi veriyi, hangi amaçla, nereden topladığınızı bilmeden doğru politika üretemez, doğru aydınlatma metni yazamazsınız. Envanter, uyumun tüm diğer adımlarına zemin oluşturan belgedir.
KOBİ'ler için KVKK uyum zorunluluğu büyük şirketlerden farklı mı?
Kanun büyük-küçük ayrımı yapmaz; ancak VERBİS kaydı gibi bazı yükümlülüklerde eşik bazlı muafiyetler mevcuttur. KOBİ'lerin avantajı yükümlülüklerin özünü değil kapsamını daraltmasıdır; aydınlatma ve veri güvenliği tüm ölçekteki şirketleri eşit biçimde bağlar.
KVKK uyumu için avukat şart mı?
Temel aydınlatma metni hazırlamak ve politika oluşturmak için bazı şablonlar yeterli olabilir. Ancak veri işleme sözleşmeleri, yurt dışı aktarım mekanizmaları, özel nitelikli veri işleme ve Kurul savunmaları için alanında uzman hukuki destek almak hem ceza riskini hem süreci yanlış yönetme ihtimalini önemli ölçüde azaltır.
KVKK kapsamında yapay zeka araçları kullanılabilir mi?
Evet, ancak dikkatli bir çerçeveyle. KVKK Kurumu'nun 5 Mart 2026'da yayımladığı "İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı" dokümanı, özellikle üçüncü taraf yapay zeka araçlarının iş süreçlerinde kullanımında kişisel veri güvenliğine ilişkin riskleri detaylandırmaktadır. Çalışan veya müşteri verilerinin yapay zeka araçlarına aktarılması, yurt dışı veri aktarım kurallarını tetikleyebilir.
Sonuç
KVKK uyum süreci, bir kez yapılıp rafa kaldırılan bir proje değil; şirketin büyümesi, iş modeli değişmesi ve mevzuatın evrilmesiyle sürekli güncellenmesi gereken yaşayan bir sistemdir.
7499 sayılı Kanun'un değişiklikleri, VERBİS eşiklerindeki güncellemeler ve Kurul'un son ilke kararları bu dinamizmi somut biçimde ortaya koyuyor. Özellikle açık rıza ile aydınlatma metninin artık ayrı belgeler olmasını zorunlu kılan 2026 tarihli ilke kararı, pek çok şirketin mevcut aydınlatma ve rıza mekanizmalarını gözden geçirmesini gerektiriyor.
Güneş Partners olarak KVKK uyum süreçlerinin her aşamasında — envanter hazırlığından VERBİS kaydına, veri işleme sözleşmelerinden Kurul savunmalarına — şirketlere kapsamlı hukuki destek sağlıyoruz. Uyum durumunuzu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7499 sayılı Kanun'la getirilen değişiklikler (1 Haziran 2024 itibarıyla), Kişisel Verileri Koruma Kurulu'nun 2025/1572, 2025/2393 ve 2026/347 sayılı kararları, KVKK Kurumu resmi duyuruları ve 2026 yılı güncel idari para ceza tablosu temelinde hazırlanmıştır. KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.