Hukuk pratiğimde gördüğüm en büyük sancılardan biri, Türk şirketlerinin Avrupa ile iş yaparken karşılaştığı "veri engeliydi". Ancak 2024 ortasında başlayan ve 2026'da ikincil düzenlemelerle tamamlanan KVKK reformu, Türkiye'yi Avrupa veri ekosisteminin tam merkezine yerleştirdi. Artık yerel kanunumuz, küresel altın standart olan GDPR ile %99 oranında uyumlu.

1. Yurt Dışına Veri Aktarımı: Prangalar Çözüldü

Eskiden yurt dışına (örneğin bir bulut servisine) veri aktarmak için her seferinde "açık rıza" almak veya Kurul'un onayını beklemek gerekiyordu. Bu, modern iş dünyası için imkansıza yakın bir yüktü.

Yeni Mekanizmalar

  • Yeterlilik Kararı: Kişisel Verileri Koruma Kurulu (KVKK), artık belirli ülkeleri veya sektörleri "güvenli" ilan edebiliyor.
  • Standart Sözleşme Maddeleri (SCCs): Kurul tarafından yayınlanan standart metinler imzalandığı anda, başka bir izne gerek kalmaksızın veri aktarımı yapılabiliyor.
  • Bağlayıcı Şirket Kuralları: Çok uluslu şirketler, kendi iç işleyişleri için onaylı kurallar zinciri oluşturabiliyor.

2. KVKK ile GDPR Arasındaki Temel Farklar

Sıkça sorulan soru şu: "KVKK reformu sonrasında GDPR ile tam uyum sağlandı mı?" Kısa cevap: büyük ölçüde evet, ancak bazı yapısal farklılıklar devam ediyor.

Konu KVKK (2024 Sonrası) GDPR
Uygulama Alanı Türkiye'de yerleşik veri sorumluları AB/AEA'daki veri sahiplerine yönelik işlemler
Yeterlilik Kararı KVK Kurulu verir Avrupa Komisyonu verir
Veri İhlali Bildirimi 72 saat (Kurul'a) 72 saat (yetkili otorite)
DPO Zorunluluğu Büyük ölçekli işlemler için zorunlu Kamu kurumları ve yüksek riskli işlemler için zorunlu
Ceza Üst Sınırı Yıllık ciro yüzdesi (GDPR benzeri) Global cironun %4'üne kadar
Otomatik Karar Verme İtiraz hakkı tanınmış Açıkça düzenlenmiş (Madde 22)
Rıza Geri Çekme Mevcut Mevcut
Veri Taşınabilirliği 2024 reformuyla eklendi GDPR Madde 20

Bu tabloda dikkat çeken en önemli nokta: Türkiye artık GDPR'ın ruhunu büyük ölçüde benimsemiş olsa da, yeterlilik kararı verme yetkisi farklı organlara aittir. Bu durum, özellikle Türkiye'nin AB tarafından "yeterli" ülke olarak tanınması sürecinde kritik rol oynuyor.

Türkiye'nin AB Yeterlilik Kararı Beklentisi

Türkiye, 2024 reformuyla birlikte AB'nin yeterlilik kararı listesine girme sürecini fiilen başlattı. Eğer bu karar çıkarsa, Türk şirketlerin Avrupalı ortaklarıyla kurduğu her veri aktarım mekanizması — SCCs dahil — büyük ölçüde basitleşecek. Avrupa Komisyonu'nun bu kararı için AB-Türkiye müzakerelerinin önümüzdeki iki yıl içinde somutlaşması bekleniyor.

3. Yurt Dışı Veri Aktarımı için Standart Sözleşme Maddeleri (SCCs)

KVK Kurulu'nun yayımladığı Standart Sözleşme Maddeleri (SCCs), Türk şirketler için oyun değiştirici bir araç. Daha önce her aktarım için Kurul onayı bekleyen şirketler, artık bu standart metinleri imzalayarak yasal bir zemine kavuşabiliyor.

SCCs'nin Kapsamı

SCCs iki temel senaryo için düzenlenmiştir:

Senaryo 1 — Veri Sorumlusundan Veri Sorumlusuna Aktarım (C2C): Örneğin Türk bir banka, müşteri verilerini Almanya'daki bir muhabir bankaya aktarıyorsa, her iki taraf da "veri sorumlusu" sıfatıyla SCCs'i imzalar.

Senaryo 2 — Veri Sorumlusundan Veri İşleyene Aktarım (C2P): Türk bir e-ticaret şirketi, müşteri verilerini ABD'deki bir e-posta pazarlama hizmetine aktarıyorsa, şirket "veri sorumlusu", hizmet sağlayıcı ise "veri işleyen" sıfatıyla anlaşmayı imzalar. AWS, Azure, Google Cloud ve benzeri büyük bulut sağlayıcılarının Türk müşterileriyle olan ilişkisi tipik olarak bu kategoriye girer.

Uygulamada Dikkat Edilmesi Gerekenler

SCCs'i imzalamak yeterli değil. Kurul, sözleşme öncesinde bir Transfer Etki Değerlendirmesi (Transfer Impact Assessment — TIA) yapılmasını beklediğinin sinyalini verdi. Bu değerlendirme, hedef ülkenin hukuki ortamının kişisel veri koruma açısından yeterliliğini ele alıyor. Hedef ülkede yoğun kamu güvenliği gözetimi varsa (örneğin bazı yargı bölgelerinde mevcut olan toplu veri erişim yasaları), ek teknik önlemlerin (şifreleme, pseudonymization) alınması gerekebilir.

4. Veri Koruma Görevlisi (DPO) Dönemi

Sadece veriyi "kaydetmek" yetmiyor; verinin "yaşam döngüsünü" yönetecek bir otorite gerekiyor. Yeni regülasyonla birlikte, belirli ölçeğin üzerindeki veri sorumluları için Veri Koruma Görevlisi (DPO) atamak bir seçenek değil, hukuki bir zorunluluk haline geldi. Bu uzmanlar, sadece hukuku değil, bilgi güvenliği süreçlerini de yönetmekle sorumlu.

DPO Zorunluluğu Kimleri Kapsıyor?

Reform sonrasında Kurul'un yönlendirmeleri incelendiğinde, DPO zorunluluğunun temel olarak şu kategorileri kapsadığı görülüyor:

  • Yılda 1 milyonun üzerinde veri sahibini etkileyen işlemler yürüten şirketler
  • Özel nitelikli kişisel verileri (sağlık, biyometrik, genetik veriler) düzenli olarak işleyen kuruluşlar
  • Kamu kurumları ve kamu hizmetleri sağlayan özel kuruluşlar

DPO, şirketin çalışanı olabileceği gibi dışarıdan bir uzman veya danışmanlık firması da olabilir. Ancak DPO'nun bağımsızlığı yasal güvence altına alınmış durumda: görevinden azledilemez ve çıkar çatışması yaratabilecek başka bir unvan taşıyamaz.

5. Veri İhlali Bildirimi: Türkiye'de 72 Saatlik Kural

2024 reformunun en pratik getirilerinden biri, veri ihlali bildirim zorunluluğunun GDPR ile eşleştirilmesi. Artık Türkiye'de de "fark ettikten itibaren 72 saat" kuralı geçerli.

Bildirimin İçeriği Ne Olmalı?

İlk 72 saatte Kurul'a yapılacak bildirimde en azından şunlar bulunmalı:

  1. İhlalın niteliği ve etkilenen yaklaşık veri sahibi sayısı
  2. Veri Koruma Görevlisi'nin (varsa) iletişim bilgileri
  3. İhlalin olası sonuçları
  4. Alınan veya alınması planlanan önlemler

İlk bildirim eksik bilgilerle de yapılabilir. Önemli olan 72 saatlik süreye riayet etmek. Eksik bilgiler, ardından gelecek bir ek bildirimle tamamlanabilir.

Etkilenen Kişilere Bildirim

Eğer ihlal, kişilerin hak ve özgürlüklerini ciddi ölçüde riske atıyorsa, etkilenen veri sahiplerine de "gecikmeksizin" bildirim yapılmalı. Bu bildirim yazılı, e-posta veya siteye duyuru yoluyla olabilir; ancak içeriğin açık ve sade Türkçe olması bekleniyor.

KVK Kurulu'nun bu alandaki kararları incelendiğinde, bildirimi geciktiren veya hiç yapmayan şirketlerin ihlalin kendisinden bağımsız olarak ayrıca cezalandırıldığı görülüyor. Bir ihlal yaşandıktan sonra asıl sorunu büyüten en yaygın hata, hukuk departmanının bu bildirimi "mahkemede aleyhimize kullanılır" kaygısıyla ertelemesidir. Bu yaklaşım hem yanlış hem de pahalıdır.

6. Açık Rıza Mekanizmaları: Ne Değişti, Ne Değişmedi?

Reform, açık rıza konusunda hem köklü değişiklikler hem de korunan alanlar getirdi.

Değişmeyen İlkeler

Açık rızanın geçerli olabilmesi için hâlâ şu koşulların tümü aranmaktadır:

  • Özgürlük: Rıza, bir hizmetin sunulmasına koşul olarak bağlanamaz
  • Belirlilik: Hangi amaçla, hangi veriler için rıza alındığı açıkça belirtilmeli
  • Bilgilendirilmişlik: Kişi, rıza vermeden önce yeterli bilgiye sahip olmalı
  • Açık irade beyanı: Onay kutusu önceden işaretli olamaz; sessizlik rıza sayılmaz

Değişen Unsurlar

Reform sonrasında dikkat çeken önemli bir değişiklik: çerez rızası standartları. Eskiden pek çok Türk sitesi çerez politikalarını sadece bir banner ile geçiştiriyordu. Artık pazarlama ve analitik çerezler için gerçek anlamda granüler (tekil, kategoriye göre ayrıştırılmış) rıza almak zorunlu. Bu, özellikle Google Analytics, Meta Pixel ve benzeri araçlar kullanan şirketleri doğrudan etkiliyor.

Rıza geri çekme mekanizmasında da önemli bir değişiklik var: Geri çekme, rıza verme kadar kolay olmalı. Bir uygulama rıza almak için tek adım kullanıyorsa, geri çekmek için de tek adım yetmeli. KVK Kurulu, bu konuda şikâyetin yoğun olduğu fintech ve e-ticaret sektörlerini öncelikli izleme kapsamına aldı.

7. Yapay Zeka ve Otomatik Karar Verme: KVKK'nın Yaklaşımı

2026 itibarıyla en çok tartıştığımız konu: "Yapay zekayı eğitirken kullanılan kişisel veriler ve AI'ın aldığı kararların hukuki statüsü."

Otomatik Karar Verme Yasağı

Reform ile birlikte KVKK'ya eklenen hüküm açık: Bir kişi hakkında yalnızca otomatik işlemeye dayalı ve onun hukuki durumunu veya benzer biçimde önemli ölçüde etkileyen bir karar alınamaz. Bu yasağın istisnaları dar tutulmuş:

  • Kişinin açık rızası
  • Sözleşmenin ifası için zorunluluk
  • Kanunun açıkça izin vermesi

Bu hüküm, kredi skorlama sistemleri, işe alım algoritmaları ve sigorta risk değerlendirmeleri açısından ciddi sonuçlar doğuruyor. Finans sektöründeki şirketler, otomatik kredi reddini artık "algoritmik bir karar" olarak değil, insan denetimi altında alınan bir karar olarak belgelemek zorunda.

Yapay Zeka Eğitimi ve Anonimleştirme

  • Önemli Değişiklik: Kişisel verilerin anonimleştirilmesi süreçlerinde artık daha katı matematiksel standartlar aranıyor. "Adı sil, yeter" mantığı çoktan tarihe karıştı. K-anonimlik, diferansiyel gizlilik gibi teknik kriterler tartışmaya girdi.
  • Profilleme Yasağı: Kişilerin rızası olmadan yapay zeka algoritmalarıyla "otomatik karar verme" süreçlerine dahil edilmesi, ağır tazminat yükümlülükleri doğuruyor.

KVK Kurulu, 2025 yılında yayımladığı rehber belgede, yapay zeka sistemlerinin kullandığı kişisel verilere ilişkin Veri Koruma Etki Değerlendirmesi (DPIA) yapılmasını zorunlu kıldı. Bu değerlendirme yapılmadan büyük ölçekli yapay zeka projelerinin hayata geçirilmesi, başlı başına bir ihlal nedeni sayılıyor.

8. İdari Para Cezaları: 2024-2026 KVK Kurulu Kararları

KVKK ihlallerinde artık sadece "maktu" cezalar değil, GDPR'da olduğu gibi küresel cironun belirli bir yüzdesi üzerinden hesaplanan cezalar gündemde. Bu, veri güvenliğini bir "BT birimi masrafı" olmaktan çıkarıp, bir "yönetim kurulu riski" haline getirdi.

Ceza Kategorileri

İhlal Türü Ceza Aralığı
Aydınlatma yükümlülüğünü yerine getirmeme 13.000 TL – 1.000.000 TL
Veri güvenliği önlemlerini almama 40.000 TL – 2.000.000 TL
Kurul kararlarına uymama 50.000 TL – 2.000.000 TL
Veri ihlalini bildirmeme / geç bildirme 40.000 TL – 2.000.000 TL
Yurt dışına izinsiz veri aktarımı 40.000 TL – 2.000.000 TL

(Ceza miktarları her yıl yeniden değerleme katsayısıyla güncellenmektedir.)

KVK Kurulu'nun Öne Çıkan Karar Temaları

Kurul'un 2024-2026 yılları arasındaki kararları incelendiğinde bazı kalıplar dikkat çekiyor:

Teknik tedbirsizlik: Kurul, yetersiz şifreleme veya açık bırakılan veritabanları nedeniyle yaşanan ihlallerde, şirketin olayı kendi başına tespit edip edemediğine bakıyor. Olayı üçüncü tarafların ihbarıyla öğrenen şirketler daha ağır cezayla karşılaşıyor.

Çerez uyumsuzluğu: Özellikle büyük e-ticaret ve fintech platformlarına yönelik çerez denetimlerinde, granüler rıza almaksızın pazarlama çerezleri yerleştiren şirketler cezalandırıldı. Bazı kararlarda "önceden işaretli onay kutusu" kullanımı tek başına ihlal nedeni sayıldı.

Açık rıza olmaksızın veri paylaşımı: Grup şirketleri arasında ayrı bir rıza alınmaksızın veri paylaşıldığı iddiasıyla açılan soruşturmalar, 2025 yılında belirgin biçimde arttı. Kurul, "aynı holding bünyesindeyiz" gerekçesinin hukuki dayanak oluşturmadığını defalarca teyit etti.

Veri minimizasyonu ihlalleri: İşin yürütülmesi için gerekli olmayan verilerin toplanması ve saklanması, ayrı bir ihlal kategorisi olarak ele alınmaya başlandı. Özellikle işe alım süreçlerinde aday adaylardan gereksiz belgeler talep eden şirketler bu kapsamda incelendi.

9. Şirketler için 5 Adımlı Uyum Kontrol Listesi

30 yıllık tecrübemle şirketlere pratik bir yol haritası sunuyorum. Aşağıdaki beş adım, bir veri koruma programının temel iskeletini oluşturuyor:

Adım 1 — Veri Envanterini Güncelleyin

2024 öncesi envanterler artık hukuken yetersiz sayılıyor. Envanter, hangi kişisel verinin toplandığını, hangi amaçla işlendiğini, nerede saklandığını, kiminle paylaşıldığını ve saklama süresini içermeli. Bu belge aynı zamanda Kurul denetimine hazırlığın birincil kanıtı.

Adım 2 — Standart Sözleşmeleri Revize Edin

Yurt dışı tedarikçilerinizle (Azure, AWS, Google, Salesforce vb.) olan sözleşmelerinizi KVK Kurulu'nun yayımladığı güncel SCC şablonlarıyla uyumlu hale getirin. Eski tarihli ve Kurul'un onaylamadığı formatlarda kalan sözleşmeler, hukuki koruma sağlamaz.

Adım 3 — DPIA Sürecini Kurun

Yüksek riskli veri işleme faaliyetleri için — özellikle büyük veri, yapay zeka ve profilleme projeleri — projeye başlamadan önce Veri Koruma Etki Değerlendirmesi yapın. Bu değerlendirme hem bir yasal yükümlülük hem de iyi yönetişimin kanıtı.

Adım 4 — İhlal Müdahale Planı Hazırlayın

72 saatlik bildirim kuralı, reaktif değil proaktif bir yaklaşım gerektiriyor. Kimin ne zaman hangi adımı atacağını, Kurul ile nasıl iletişim kurulacağını ve etkilenen kişilere bildirimin nasıl yapılacağını önceden belirleyin. Bu planı yılda en az bir kez masaüstü tatbikatla test edin.

Adım 5 — Çalışan Eğitimini Sürekli Kılın

En güçlü siber güvenlik sistemi bile, bir çalışanın yanlışlıkla tıkladığı link kadar zayıftır. Yıllık farkındalık eğitimi yeterli değil; özellikle yeni çalışanlar için işe alım sürecine entegre edilmiş, role özgü eğitim programları oluşturun. KVK Kurulu'nun son kararlarında "çalışan hatası" kaynaklı ihlallere verilen cezalar, şirketin eğitim kayıtlarını sunup sunamamasına göre farklılaştı.


Önemli Not: Bu makale genel bilgilendirme amaçlıdır. Şirketinizin KVKK ve GDPR uyum süreçleri için profesyonel hukuki danışmanlık almanız önerilir.

Yazar Hakkında: 30 yıllık deneyime sahip bir hukuk müşaviri olarak, kişisel verilerin korunması hukuku ve uluslararası veri aktarımı düzenlemelerinde uzmanlaşmış durumdayım. Bu makalede paylaştığım analizler, yasal metinler ve Kurul kararları üzerine kurulmuştur.


İlgili İçerikler