Türkiye'de veri koruma kanunu olan KVKK (Kişisel Veri Koruma Kanunu), yaklaşık 850 milyon Euro ekonomiye mali yük getirmiş, binlerce işletmeyi uyum yükümlülüğü altına almıştır. 2026 yılında KVKK'da yapılan güncellemeler, özellikle yapay zeka alanında yeni sorumluluklar getirmiştir. Bu rehber, KVKK'nin temelini, işletmelerin yükümlülüklerini ve 2026 güncellemelerini açıklamaktadır.

KVKK Nedir?

KVKK (Kişisel Veri Koruma Kanunu), Türkiye'de kişisel verilerin işlenmesi, saklanması ve korunmasını düzenleyen kanundur. 2016 yılında yürürlüğe giren bu kanun, aslında Avrupa Birliği'nin GDPR kanununa benzer şekilde tasarlanmıştır.

KVKK'nın Amacı

  1. Kişilerin Hak ve Özgürlüğünün Korunması: Özel yaşamının gizliliği, kişiliğinin korunması
  2. Bilgi Güvenliğinin Sağlanması: Veri ihlallerinin engellenmesi
  3. Uygun Veri İşleme: Verinin sadece amaçlı ve uygun şekilde işlenmesi
  4. Bireylerin Hakları: Bilgi alma, düzeltme, silme haklarının tanınması

Kapsam

KVKK, bütün özel ve kamu kuruluşlarını kapsar:

  • Şirketler
  • Kamu kurumları
  • Dernek ve vakıflar
  • Müteahhitler
  • Bağlı kuruluşlar

Tek İstisna: Tamamen hukuki amaçlı olmayan kişisel veriler (örneğin, kişi defteri)

Korunan Veriler Nelerdir?

Kişisel Veri Tanımı

KVKK'ya göre kişisel veri: "Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi"

Kişisel Veri Örnekleri

Tanımlayıcı Bilgiler:

  • Ad, soyadı
  • Kimlik numarası
  • Pasaport numarası
  • Vergi numarası

İletişim Bilgileri:

  • E-mail adresi
  • Telefon numarası
  • Ev adresi
  • İş adresi

Finansal Bilgiler:

  • Banka hesap numarası
  • IBAN
  • Kredi kartı numarası
  • Maaş ve ücret bilgileri

Sağlık Bilgileri:

  • Tıbbi geçmiş
  • Doktor kayıtları
  • Reçete bilgileri
  • Aşı kayıtları

Biometrik Veriler:

  • Parmak izi
  • Yüz tanıma verileri
  • İris verileri
  • Ses tanıma verileri

Özel Kategori Veriler (Ek Korunan Veriler)

Bazı veriler daha da özel korunmaktadır:

  • Irkı, etnisitesi
  • Siyasi düşüncesi
  • Dini inancı
  • Sendika üyeliği
  • Ceza ve güvenlik kayıtları
  • Genetik bilgiler
  • Biyometrik veriler (tanımlamaya yönelik)

Bu verilerin işlenmesi çok daha sıkı koşullar altında yapılır.

İşletmenizin Yükümlülükleri

1. Veri Envanteri Tutmak

İşletmeniz, sahip olduğu bütün kişisel veriler için bir Veri Envanteri (Veri Haritası) hazırlamalıdır.

Envanterde Olması Gerekenler:

  • Verinin adı (Ad, Email, Telefon vb.)
  • Verinin kaynağı (İnternet formu, CRM sistemi, mağaza vb.)
  • Veri işleme amacı (Pazarlama, muhasebe, uyum vb.)
  • Veri saklama süresi (3 ay, 1 yıl, müşteri yaşama kadar)
  • Veriyi alan kişiler (Pazarlama ekibi, muhasebe vb.)
  • Verilerin saklanması yerleri (Türkiye, Bulut vb.)

2. Aydınlatma Beyanı Hazırlamak

Veri toplayan her yerinde (web sitesi, mağaza, telefon vb.) bir Aydınlatma Beyanı bulunmalıdır. Bu beyan, kişileri verilerinin nasıl kullanılacağı konusunda bilgilendirir.

Beyanın İçermeleri Gerekenler:

  • Veri Sorumlusunun Kimliği
  • Verinin Kullanım Amacı
  • Saklama Süresi
  • Veri Güvenliği Önlemleri
  • Kişinin Hakları (Bilgi alma, düzeltme, silme, işlemeyi durdurma)

3. Veri İşleme Sözleşmesi İmzalamak

Verilerinizi başkasına (yazılım sağlayıcı, bulut hizmeti sağlayıcı vb.) işlettiriyorsanız, bir Veri İşleme Sözleşmesi imzalamalısınız.

Sözleşmede Olması Gerekenler:

  • Verilerin işlenme amacı
  • Veri işleyicinin sorumlulukları
  • Güvenlik önlemleri
  • Alt yüklenici kuralları
  • Verilerin geri dönüşü veya silinmesi

4. Veri İhlali Durumunda Bildirim Yapmak

Verilerinizin çalınması, kaybolması veya yetkisiz erişim durumunda:

  • Kişiye bildir: En geç 3 gün içinde
  • KVKK Kurulu'na bildir: En geç 3 gün içinde (ancak bazı durumlarda)

İhlal Örnekleri:

  • Yazılımın hacklenip müşteri verilerinin çalınması
  • Kâğıt dosyaların yangında yanması
  • Çalışanın veriler içeren bilgisayarını kaybetmesi

5. Veri Sorumlusu ve Veri İşleyicisini Tayin Etmek

Veri Sorumlusu: Verinin nasıl, neden işleneceğine karar veren (örneğin, şirketiniz) Veri İşleyici: Veri Sorumlusunun talimatı altında veriyi işleyen (örneğin, bulut sağlayıcısı)

Bu rollerin açık olarak belirlenmiş olması gerekir.

2026 Güncellemeleri

Yapay Zeka Uyumu

2026'da KVKK'ya eklenen en önemli bölüm Yapay Zeka ve Makine Öğrenmesi ilgili kurallardır.

Yapay Zeka Eğitim Verileri

Kural: Eğitim verileriniz KVKK'nın içeriği kapsamında bulunmalıdır.

Yanlış: Türkiye dışında eğitim verisi satın almak ve KVKK izni olmadan kullanmak ✅ Doğru: Eğitim verisinin KVKK kapsamında olduğunu belgelemek

Model Kartları

Her yapay zeka modeliniz için bir Model Kartı hazırlanmalıdır:

Model Kartı Şablonu:

Model Adı: Müşteri Risk Tahmini Modeli
Oluşturma Tarihi: 15 Nisan 2026
Eğitim Verileri: 10,000 müşteri kaydı
Veri Kaynağı: CRM sistemi (2020-2026)
Amaç: Kredi riskini tahmin etmek
Doğruluk Oranı: %94
Önyargılar (Bias): Cinsiyet veya yaşa dayalı ayrımcılık tespit edilmedi
Sınırlamalar: Modeli oluştururken dışlanan veri grupları
Güncellenme Sıklığı: Ayda bir
Sorumlu Ekip: Veri Bilimi Ekibi

Otomatik Karar Alma

KVKK'ya göre, bir kişinin hakkında tamamen otomatik karar verilmesi (insan müdahalesi olmadan) yasaktır.

Örnekler:

  • ❌ Kredi başvurusunun otomatik olarak reddedilmesi (hiçbir insan bakan yok)
  • ✅ Kredi başvurusunun otomatik olarak reddedilmesi öncesi bir insan müdürün gözden geçirmesi

Veri Anonimleştirme

KVKK'nın 2026 güncellemesine göre, eğitim verileriniz anonimleştirilmiş olmalıdır.

Anonimleştirme Yöntemleri:

  • Ad ve kimlik numarasını kaldırmak
  • Adres yerine şehir merkezi kullanmak
  • Yaş yerine yaş aralığı (20-30) kullanmak
  • Değerleri rastgele biraz değiştirmek (Noise ekleme)

Veri Taşınabilirliği

Kişiler, kendi verilerinin dijital bir kopya alabilirler (örneğin, XML format).

Örnek Senaryo:

  • Müşteri, "Benim tüm verilerimi ister misiniz?"
  • İşletmeniz 30 gün içinde tüm veriyi elektronik formatta vermek zorundadır

Cezalar

KVKK uyumsuzluğunun cezaları çok ağırdır:

İhlal Ceza
Veri Envanteri tutmama 50,000 - 500,000 ₺
Aydınlatma Beyanı yok 50,000 - 500,000 ₺
Veri İhlalini rapor etmeme 100,000 - 1,000,000 ₺
Veri güvenliği yetersiz 50,000 - 1,000,000 ₺
Kişinin silme hakkını tanımama 10,000 - 100,000 ₺
Yapay zeka modelini belgelememek 50,000 - 500,000 ₺

İşletmenizin Uyum Kontrol Listesi

Adım 1: Veri Envanteri (İlk Ay)

  • [ ] Sahip olduğunuz tüm kişisel verileri listele
  • [ ] Her verinin amacını, saklama süresini belirle
  • [ ] Veriyi alan kişileri kaydet
  • [ ] Belgele

Adım 2: Aydınlatma Beyanları (1-2. Ay)

  • [ ] Web siteni için aydınlatma beyanı hazırla
  • [ ] E-mail bültenin için aydınlatma beyanı hazırla
  • [ ] Mağazadaki formlara beyan ekle

Adım 3: Veri Güvenliği (2-3. Ay)

  • [ ] Yazılımların şifreleme destekleyip desteklemediğini kontrol et
  • [ ] Yedek sistem yap (Backup)
  • [ ] Personel eğitimi (Veri güvenliği nedir, phishing nedir)

Adım 4: Veri İhlali Prosedürü (3. Ay)

  • [ ] Veri ihlali durumunda kimi arayacağını belirle
  • [ ] İhlali raporlama formunu hazırla
  • [ ] KVKK Kurulu'na nasıl bildirim yapacağını öğren

Adım 5: Kişi Hakları (4. Ay)

  • [ ] Bilgi talep etme prosedürü oluştur
  • [ ] Silme (unutulma) hakkı prosedürü oluştur
  • [ ] İtiraz prosedürü oluştur

Adım 6: Yapay Zeka Uyumu (4-5. Ay) 2026 Yenisi

  • [ ] Kullanılan yapay zeka modellerini listele
  • [ ] Model kartları hazırla
  • [ ] Eğitim verilerinin KVKK kapsamını kontrol et
  • [ ] Anonimleştirme yöntemlerini belirle

Kaynaklar

  • KVKK Kurulu: https://www.kvkk.gov.tr
  • KVKK Kanunu: https://www.kvkk.gov.tr/kanun
  • Kişisel Veri Koruma Rehberi: https://www.kvkk.gov.tr/rehber
  • 2026 Güncellemeleri: https://www.kvkk.gov.tr/2026

İlgili İçerikler

Veri koruma ve KVKK uyumluluğu hakkında daha derinlemesine bilgi için, bu yazının olduğu KVKK Kümesine ait diğer içerikleri inceleyebilirsiniz:

📚 Temel Rehberler

Bu yazı, KVKK'nın kapsamlı rehberidir. Adım adım ilerlemeniz için:

🔗 Pratik Rehberler

  1. KVKK Uyumluluk Kontrol Listesi 2026 — KVKK şartlarına uyum için adım adım kontrol listesi
  2. KVKK Yönetmeliği 2026: Veri Taşıyıcılığı ve Yapay Zeka — 2026 güncellemeleri, veri taşınabilirliği ve yapay zeka düzenlemeleri
  3. KVKK vs GDPR: Türkiye Veri Koruma Hukuku Karşılaştırması — KVKK ve GDPR arasındaki benzerlikler ve farklar

Regulfy ile Otomatikleştirin

KVKK uyumluluğunu manuel olarak izlemek karmaşık ve hata açısından risklidir. Regulfy'nin KVKK takip sistemi ile:

  • KVKK değişiklikleri ve yeni rehber belgelerini takip edin
  • Veri güvenliği prosedürlerini merkezi olarak yönetin
  • Yapay zeka uyumluluğu ve veri taşınabilirliği kurallarını izleyin
  • Uyumluluk kontrol listelerinizi otomatik olarak güncelleyin

Fiyatlandırma planlarını inceleyin →

İlgili Konular: