Hukuk pratiğimde gördüğüm en büyük sancılardan biri, Türk şirketlerinin Avrupa ile iş yaparken karşılaştığı "veri engeliydi". Ancak 2024 ortasında başlayan ve 2026'da ikincil düzenlemelerle tamamlanan KVKK reformu, Türkiye'yi Avrupa veri ekosisteminin tam merkezine yerleştirdi. Artık yerel kanunumuz, küresel altın standart olan GDPR ile %99 oranında uyumlu.
1. Yurt Dışına Veri Aktarımı: Prangalar Çözüldü
Eskiden yurt dışına (örneğin bir bulut servisine) veri aktarmak için her seferinde "açık rıza" almak veya Kurul'un onayını beklemek gerekiyordu. Bu, modern iş dünyası için imkansıza yakın bir yüktü.
Yeni Mekanizmalar
- Yeterlilik Kararı: Kişisel Verileri Koruma Kurulu (KVKK), artık belirli ülkeleri veya sektörleri "güvenli" ilan edebiliyor.
- Standart Sözleşme Maddeleri (SCCs): Kurul tarafından yayınlanan standart metinler imzalandığı anda, başka bir izne gerek kalmaksızın veri aktarımı yapılabiliyor.
- Bağlayıcı Şirket Kuralları: Çok uluslu şirketler, kendi iç işleyişleri için onaylı kurallar zinciri oluşturabiliyor.
2. KVKK ile GDPR Arasındaki Temel Farklar
Sıkça sorulan soru şu: "KVKK reformu sonrasında GDPR ile tam uyum sağlandı mı?" Kısa cevap: büyük ölçüde evet, ancak bazı yapısal farklılıklar devam ediyor.
| Konu | KVKK (2024 Sonrası) | GDPR |
|---|---|---|
| Uygulama Alanı | Türkiye'de yerleşik veri sorumluları | AB/AEA'daki veri sahiplerine yönelik işlemler |
| Yeterlilik Kararı | KVK Kurulu verir | Avrupa Komisyonu verir |
| Veri İhlali Bildirimi | 72 saat (Kurul'a) | 72 saat (yetkili otorite) |
| DPO Zorunluluğu | Büyük ölçekli işlemler için zorunlu | Kamu kurumları ve yüksek riskli işlemler için zorunlu |
| Ceza Üst Sınırı | Yıllık ciro yüzdesi (GDPR benzeri) | Global cironun %4'üne kadar |
| Otomatik Karar Verme | İtiraz hakkı tanınmış | Açıkça düzenlenmiş (Madde 22) |
| Rıza Geri Çekme | Mevcut | Mevcut |
| Veri Taşınabilirliği | 2024 reformuyla eklendi | GDPR Madde 20 |
Bu tabloda dikkat çeken en önemli nokta: Türkiye artık GDPR'ın ruhunu büyük ölçüde benimsemiş olsa da, yeterlilik kararı verme yetkisi farklı organlara aittir. Bu durum, özellikle Türkiye'nin AB tarafından "yeterli" ülke olarak tanınması sürecinde kritik rol oynuyor.
Türkiye'nin AB Yeterlilik Kararı Beklentisi
Türkiye, 2024 reformuyla birlikte AB'nin yeterlilik kararı listesine girme sürecini fiilen başlattı. Eğer bu karar çıkarsa, Türk şirketlerin Avrupalı ortaklarıyla kurduğu her veri aktarım mekanizması — SCCs dahil — büyük ölçüde basitleşecek. Avrupa Komisyonu'nun bu kararı için AB-Türkiye müzakerelerinin önümüzdeki iki yıl içinde somutlaşması bekleniyor.
3. Yurt Dışı Veri Aktarımı için Standart Sözleşme Maddeleri (SCCs)
KVK Kurulu'nun yayımladığı Standart Sözleşme Maddeleri (SCCs), Türk şirketler için oyun değiştirici bir araç. Daha önce her aktarım için Kurul onayı bekleyen şirketler, artık bu standart metinleri imzalayarak yasal bir zemine kavuşabiliyor.
SCCs'nin Kapsamı
SCCs iki temel senaryo için düzenlenmiştir:
Senaryo 1 — Veri Sorumlusundan Veri Sorumlusuna Aktarım (C2C): Örneğin Türk bir banka, müşteri verilerini Almanya'daki bir muhabir bankaya aktarıyorsa, her iki taraf da "veri sorumlusu" sıfatıyla SCCs'i imzalar.
Senaryo 2 — Veri Sorumlusundan Veri İşleyene Aktarım (C2P): Türk bir e-ticaret şirketi, müşteri verilerini ABD'deki bir e-posta pazarlama hizmetine aktarıyorsa, şirket "veri sorumlusu", hizmet sağlayıcı ise "veri işleyen" sıfatıyla anlaşmayı imzalar. AWS, Azure, Google Cloud ve benzeri büyük bulut sağlayıcılarının Türk müşterileriyle olan ilişkisi tipik olarak bu kategoriye girer.
Uygulamada Dikkat Edilmesi Gerekenler
SCCs'i imzalamak yeterli değil. Kurul, sözleşme öncesinde bir Transfer Etki Değerlendirmesi (Transfer Impact Assessment — TIA) yapılmasını beklediğinin sinyalini verdi. Bu değerlendirme, hedef ülkenin hukuki ortamının kişisel veri koruma açısından yeterliliğini ele alıyor. Hedef ülkede yoğun kamu güvenliği gözetimi varsa (örneğin bazı yargı bölgelerinde mevcut olan toplu veri erişim yasaları), ek teknik önlemlerin (şifreleme, pseudonymization) alınması gerekebilir.
4. Veri Koruma Görevlisi (DPO) Dönemi
Sadece veriyi "kaydetmek" yetmiyor; verinin "yaşam döngüsünü" yönetecek bir otorite gerekiyor. Yeni regülasyonla birlikte, belirli ölçeğin üzerindeki veri sorumluları için Veri Koruma Görevlisi (DPO) atamak bir seçenek değil, hukuki bir zorunluluk haline geldi. Bu uzmanlar, sadece hukuku değil, bilgi güvenliği süreçlerini de yönetmekle sorumlu.
DPO Zorunluluğu Kimleri Kapsıyor?
Reform sonrasında Kurul'un yönlendirmeleri incelendiğinde, DPO zorunluluğunun temel olarak şu kategorileri kapsadığı görülüyor:
- Yılda 1 milyonun üzerinde veri sahibini etkileyen işlemler yürüten şirketler
- Özel nitelikli kişisel verileri (sağlık, biyometrik, genetik veriler) düzenli olarak işleyen kuruluşlar
- Kamu kurumları ve kamu hizmetleri sağlayan özel kuruluşlar
DPO, şirketin çalışanı olabileceği gibi dışarıdan bir uzman veya danışmanlık firması da olabilir. Ancak DPO'nun bağımsızlığı yasal güvence altına alınmış durumda: görevinden azledilemez ve çıkar çatışması yaratabilecek başka bir unvan taşıyamaz.
5. Veri İhlali Bildirimi: Türkiye'de 72 Saatlik Kural
2024 reformunun en pratik getirilerinden biri, veri ihlali bildirim zorunluluğunun GDPR ile eşleştirilmesi. Artık Türkiye'de de "fark ettikten itibaren 72 saat" kuralı geçerli.
Bildirimin İçeriği Ne Olmalı?
İlk 72 saatte Kurul'a yapılacak bildirimde en azından şunlar bulunmalı:
- İhlalın niteliği ve etkilenen yaklaşık veri sahibi sayısı
- Veri Koruma Görevlisi'nin (varsa) iletişim bilgileri
- İhlalin olası sonuçları
- Alınan veya alınması planlanan önlemler
İlk bildirim eksik bilgilerle de yapılabilir. Önemli olan 72 saatlik süreye riayet etmek. Eksik bilgiler, ardından gelecek bir ek bildirimle tamamlanabilir.
Etkilenen Kişilere Bildirim
Eğer ihlal, kişilerin hak ve özgürlüklerini ciddi ölçüde riske atıyorsa, etkilenen veri sahiplerine de "gecikmeksizin" bildirim yapılmalı. Bu bildirim yazılı, e-posta veya siteye duyuru yoluyla olabilir; ancak içeriğin açık ve sade Türkçe olması bekleniyor.
KVK Kurulu'nun bu alandaki kararları incelendiğinde, bildirimi geciktiren veya hiç yapmayan şirketlerin ihlalin kendisinden bağımsız olarak ayrıca cezalandırıldığı görülüyor. Bir ihlal yaşandıktan sonra asıl sorunu büyüten en yaygın hata, hukuk departmanının bu bildirimi "mahkemede aleyhimize kullanılır" kaygısıyla ertelemesidir. Bu yaklaşım hem yanlış hem de pahalıdır.
6. Açık Rıza Mekanizmaları: Ne Değişti, Ne Değişmedi?
Reform, açık rıza konusunda hem köklü değişiklikler hem de korunan alanlar getirdi.
Değişmeyen İlkeler
Açık rızanın geçerli olabilmesi için hâlâ şu koşulların tümü aranmaktadır:
- Özgürlük: Rıza, bir hizmetin sunulmasına koşul olarak bağlanamaz
- Belirlilik: Hangi amaçla, hangi veriler için rıza alındığı açıkça belirtilmeli
- Bilgilendirilmişlik: Kişi, rıza vermeden önce yeterli bilgiye sahip olmalı
- Açık irade beyanı: Onay kutusu önceden işaretli olamaz; sessizlik rıza sayılmaz
Değişen Unsurlar
Reform sonrasında dikkat çeken önemli bir değişiklik: çerez rızası standartları. Eskiden pek çok Türk sitesi çerez politikalarını sadece bir banner ile geçiştiriyordu. Artık pazarlama ve analitik çerezler için gerçek anlamda granüler (tekil, kategoriye göre ayrıştırılmış) rıza almak zorunlu. Bu, özellikle Google Analytics, Meta Pixel ve benzeri araçlar kullanan şirketleri doğrudan etkiliyor.
Rıza geri çekme mekanizmasında da önemli bir değişiklik var: Geri çekme, rıza verme kadar kolay olmalı. Bir uygulama rıza almak için tek adım kullanıyorsa, geri çekmek için de tek adım yetmeli. KVK Kurulu, bu konuda şikâyetin yoğun olduğu fintech ve e-ticaret sektörlerini öncelikli izleme kapsamına aldı.
7. Yapay Zeka ve Otomatik Karar Verme: KVKK'nın Yaklaşımı
2026 itibarıyla en çok tartıştığımız konu: "Yapay zekayı eğitirken kullanılan kişisel veriler ve AI'ın aldığı kararların hukuki statüsü."
Otomatik Karar Verme Yasağı
Reform ile birlikte KVKK'ya eklenen hüküm açık: Bir kişi hakkında yalnızca otomatik işlemeye dayalı ve onun hukuki durumunu veya benzer biçimde önemli ölçüde etkileyen bir karar alınamaz. Bu yasağın istisnaları dar tutulmuş:
- Kişinin açık rızası
- Sözleşmenin ifası için zorunluluk
- Kanunun açıkça izin vermesi
Bu hüküm, kredi skorlama sistemleri, işe alım algoritmaları ve sigorta risk değerlendirmeleri açısından ciddi sonuçlar doğuruyor. Finans sektöründeki şirketler, otomatik kredi reddini artık "algoritmik bir karar" olarak değil, insan denetimi altında alınan bir karar olarak belgelemek zorunda.
Yapay Zeka Eğitimi ve Anonimleştirme
- Önemli Değişiklik: Kişisel verilerin anonimleştirilmesi süreçlerinde artık daha katı matematiksel standartlar aranıyor. "Adı sil, yeter" mantığı çoktan tarihe karıştı. K-anonimlik, diferansiyel gizlilik gibi teknik kriterler tartışmaya girdi.
- Profilleme Yasağı: Kişilerin rızası olmadan yapay zeka algoritmalarıyla "otomatik karar verme" süreçlerine dahil edilmesi, ağır tazminat yükümlülükleri doğuruyor.
KVK Kurulu, 2025 yılında yayımladığı rehber belgede, yapay zeka sistemlerinin kullandığı kişisel verilere ilişkin Veri Koruma Etki Değerlendirmesi (DPIA) yapılmasını zorunlu kıldı. Bu değerlendirme yapılmadan büyük ölçekli yapay zeka projelerinin hayata geçirilmesi, başlı başına bir ihlal nedeni sayılıyor.
8. İdari Para Cezaları: 2024-2026 KVK Kurulu Kararları
KVKK ihlallerinde artık sadece "maktu" cezalar değil, GDPR'da olduğu gibi küresel cironun belirli bir yüzdesi üzerinden hesaplanan cezalar gündemde. Bu, veri güvenliğini bir "BT birimi masrafı" olmaktan çıkarıp, bir "yönetim kurulu riski" haline getirdi.
Ceza Kategorileri
| İhlal Türü | Ceza Aralığı |
|---|---|
| Aydınlatma yükümlülüğünü yerine getirmeme | 13.000 TL – 1.000.000 TL |
| Veri güvenliği önlemlerini almama | 40.000 TL – 2.000.000 TL |
| Kurul kararlarına uymama | 50.000 TL – 2.000.000 TL |
| Veri ihlalini bildirmeme / geç bildirme | 40.000 TL – 2.000.000 TL |
| Yurt dışına izinsiz veri aktarımı | 40.000 TL – 2.000.000 TL |
(Ceza miktarları her yıl yeniden değerleme katsayısıyla güncellenmektedir.)
KVK Kurulu'nun Öne Çıkan Karar Temaları
Kurul'un 2024-2026 yılları arasındaki kararları incelendiğinde bazı kalıplar dikkat çekiyor:
Teknik tedbirsizlik: Kurul, yetersiz şifreleme veya açık bırakılan veritabanları nedeniyle yaşanan ihlallerde, şirketin olayı kendi başına tespit edip edemediğine bakıyor. Olayı üçüncü tarafların ihbarıyla öğrenen şirketler daha ağır cezayla karşılaşıyor.
Çerez uyumsuzluğu: Özellikle büyük e-ticaret ve fintech platformlarına yönelik çerez denetimlerinde, granüler rıza almaksızın pazarlama çerezleri yerleştiren şirketler cezalandırıldı. Bazı kararlarda "önceden işaretli onay kutusu" kullanımı tek başına ihlal nedeni sayıldı.
Açık rıza olmaksızın veri paylaşımı: Grup şirketleri arasında ayrı bir rıza alınmaksızın veri paylaşıldığı iddiasıyla açılan soruşturmalar, 2025 yılında belirgin biçimde arttı. Kurul, "aynı holding bünyesindeyiz" gerekçesinin hukuki dayanak oluşturmadığını defalarca teyit etti.
Veri minimizasyonu ihlalleri: İşin yürütülmesi için gerekli olmayan verilerin toplanması ve saklanması, ayrı bir ihlal kategorisi olarak ele alınmaya başlandı. Özellikle işe alım süreçlerinde aday adaylardan gereksiz belgeler talep eden şirketler bu kapsamda incelendi.
9. Şirketler için 5 Adımlı Uyum Kontrol Listesi
30 yıllık tecrübemle şirketlere pratik bir yol haritası sunuyorum. Aşağıdaki beş adım, bir veri koruma programının temel iskeletini oluşturuyor:
Adım 1 — Veri Envanterini Güncelleyin
2024 öncesi envanterler artık hukuken yetersiz sayılıyor. Envanter, hangi kişisel verinin toplandığını, hangi amaçla işlendiğini, nerede saklandığını, kiminle paylaşıldığını ve saklama süresini içermeli. Bu belge aynı zamanda Kurul denetimine hazırlığın birincil kanıtı.
Adım 2 — Standart Sözleşmeleri Revize Edin
Yurt dışı tedarikçilerinizle (Azure, AWS, Google, Salesforce vb.) olan sözleşmelerinizi KVK Kurulu'nun yayımladığı güncel SCC şablonlarıyla uyumlu hale getirin. Eski tarihli ve Kurul'un onaylamadığı formatlarda kalan sözleşmeler, hukuki koruma sağlamaz.
Adım 3 — DPIA Sürecini Kurun
Yüksek riskli veri işleme faaliyetleri için — özellikle büyük veri, yapay zeka ve profilleme projeleri — projeye başlamadan önce Veri Koruma Etki Değerlendirmesi yapın. Bu değerlendirme hem bir yasal yükümlülük hem de iyi yönetişimin kanıtı.
Adım 4 — İhlal Müdahale Planı Hazırlayın
72 saatlik bildirim kuralı, reaktif değil proaktif bir yaklaşım gerektiriyor. Kimin ne zaman hangi adımı atacağını, Kurul ile nasıl iletişim kurulacağını ve etkilenen kişilere bildirimin nasıl yapılacağını önceden belirleyin. Bu planı yılda en az bir kez masaüstü tatbikatla test edin.
Adım 5 — Çalışan Eğitimini Sürekli Kılın
En güçlü siber güvenlik sistemi bile, bir çalışanın yanlışlıkla tıkladığı link kadar zayıftır. Yıllık farkındalık eğitimi yeterli değil; özellikle yeni çalışanlar için işe alım sürecine entegre edilmiş, role özgü eğitim programları oluşturun. KVK Kurulu'nun son kararlarında "çalışan hatası" kaynaklı ihlallere verilen cezalar, şirketin eğitim kayıtlarını sunup sunamamasına göre farklılaştı.
Önemli Not: Bu makale genel bilgilendirme amaçlıdır. Şirketinizin KVKK ve GDPR uyum süreçleri için profesyonel hukuki danışmanlık almanız önerilir.
Yazar Hakkında: 30 yıllık deneyime sahip bir hukuk müşaviri olarak, kişisel verilerin korunması hukuku ve uluslararası veri aktarımı düzenlemelerinde uzmanlaşmış durumdayım. Bu makalede paylaştığım analizler, yasal metinler ve Kurul kararları üzerine kurulmuştur.
İlgili İçerikler
- KVKK Yönetmeliği: Veri Taşıyıcılığı Hakkı ve Yapay Zeka Uygulamaları
- KVKK Uyumluluk Kontrol Listesi 2026
- VERBİS Kayıt Yükümlülüğü: Kimler Zorunlu, Nasıl Başvurulur?
- KVKK Nedir? 2026 Kapsamlı Rehber
- SaaS/Yazılım Şirketleri için KVKK+GDPR Uyum Rehberi — GDPR ve KVKK'yı eş zamanlı karşılamanın pratik adımları
Bu konuyu Regulfy ile yönetin → KVKK Veri Koruma Çözümü
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →