KVKK Kurulu 2025 yılında toplamda 183 milyon TL idari para cezası uyguladı; 2026'da yeniden değerleme oranı %25,49 olarak güncellendi. Alt sınır artık 85.437 TL, üst sınır ise 17 milyon TL'yi aşıyor. Pek çok şirket "KVKK uyumundayız" sanırken Kurul, veri envanteri eksikliği ve açık rıza hataları nedeniyle ceza kesiyor. Bu rehber, KVKK uyumluluk programını sıfırdan kurmanın operasyonel yol haritasını sunuyor.
1. KVKK Uyumluluk Programının Yasal Çerçevesi
1.1 Kapsam ve Sorumluluk Tespiti
KVKK (6698 sayılı Kanun) Türkiye'de yerleşik her gerçek ve tüzel kişiyi kapsar. Yurt dışındaki bir şirket Türkiye'deki kullanıcıların verisini işliyorsa yine kapsama girer. Uyumluluk programı kurmanın ilk adımı, şirketin KVKK'daki rolünü belirlemektir:
| Rol | Tanım | Sorumluluk |
|---|---|---|
| Veri Sorumlusu | Verinin amacını ve araçlarını belirler | Tüm KVKK yükümlülükleri |
| Veri İşleyen | Sorumlu adına veri işler | Sözleşme + güvenlik tedbirleri |
| Ortak Veri Sorumlusu | İki kuruluş birlikte karar verir | Anlaşma + müşterek sorumluluk |
Çoğu şirket tek başına veri sorumlusu olduğundan tam uyumluluk yükümlülüğü altındadır. SaaS sağlayıcılar genellikle hem veri işleyen (müşteri verisi) hem veri sorumlusu (çalışan verisi) konumundadır.
1.2 VERBİS Kaydı Zorunluluğu
Yıllık çalışan sayısı 50'yi aşan veya yıllık mali bilanço toplamı 100 milyon TL'yi geçen veri sorumluları VERBİS'e kayıt yaptırmak zorundadır. Kayıt yapılmaması KVKK m.18 uyarınca 85.437–1.709.224 TL idari para cezasına neden olur.
VERBİS kaydında beyan edilmesi gereken bilgiler:
- Veri sorumlusu temsilcisi (tüzel kişiler için zorunlu)
- İşlenen veri kategorileri ve işleme amaçları
- Veri aktarımı yapılan ülkeler
- Veri saklama süreleri
- Alınan teknik ve idari güvenlik tedbirleri
2. Veri Envanteri: Uyumluluk Programının Temeli
2.1 Veri Envanteri Neden Kritik?
Kurul denetimlerinde en sık saptanan eksiklik, eksik veya güncel olmayan veri envanteridir. Envanter olmadan hangi verinin işlendiğini, nerede saklandığını ve ne zaman silineceğini kanıtlamak mümkün değildir.
2.2 Veri Envanteri Nasıl Hazırlanır?
Veri envanteri hazırlama süreci dört aşamada yürütülür:
Aşama 1 — Veri Keşfi: Kurumda işlenen tüm kişisel verilerin tespit edilmesi
- Departmanlarla röportaj (İK, Pazarlama, BT, Hukuk, Satış)
- Mevcut sistemlerin taranması (CRM, ERP, e-posta sunucuları, bulut depolama)
- Form ve anket çıktılarının analizi
Aşama 2 — Veri Sınıflandırması: Verilerin KVKK kategorilerine göre ayrıştırılması
| Kategori | Örnekler | Özel Nitelikli mi? |
|---|---|---|
| Kimlik | Ad, soyad, T.C. no | Hayır |
| İletişim | E-posta, telefon, adres | Hayır |
| Finansal | IBAN, kredi kartı, gelir | Hayır |
| Sağlık | Tanı, ilaç, kan grubu | Evet |
| Biyometrik | Parmak izi, yüz tanıma | Evet |
| Ceza mahkumiyeti | Sabıka kaydı | Evet |
Özel nitelikli kişisel veriler için açık rıza zorunludur; meşru menfaat, sözleşme ifası gibi diğer hukuki sebepler geçersizdir.
Aşama 3 — İşleme Faaliyeti Kaydı: Her işleme faaliyeti için:
- Amaç ve hukuki dayanak (m.5-6)
- Veri kategorisi ve ilgili kişi grubu
- Alıcılar ve aktarım yapılan ülkeler
- Saklama süresi ve silme politikası
Aşama 4 — Sürekli Güncelleme: Envanter statik bir belge değil yaşayan bir kayıttır. Yeni sistem devreye alındığında, iş süreçleri değiştiğinde veya yılda en az bir kez güncellenmesi zorunludur.
3. Açık Rıza ve Aydınlatma Yükümlülükleri
3.1 Geçerli Açık Rıza Koşulları
KVKK m.3 uyarınca açık rızanın üç unsuru vardır:
- Belirli bir konuya ilişkin olması — "her türlü veri işleme" gibi genel ifadeler geçersiz
- Bilgilendirmeye dayanması — Aydınlatma önceden yapılmış olmalı
- Özgür iradeyle açıklanması — Hizmet sözleşmesine bağlı kılınamaz
Yaygın hatalar:
- Önceden işaretlenmiş onay kutusu → Geçersiz (pasif rıza)
- "Devam ederseniz kabul etmiş sayılırsınız" → Geçersiz (zımni rıza)
- Rıza beyanının aydınlatma metninden önce alınması → Geçersiz
- Geri alma mekanizması olmaması → KVKK m.7'ye aykırı
3.2 Aydınlatma Metni Standartları
KVKK m.10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca aydınlatma metni şunları içermelidir:
- Veri sorumlusunun ve varsa temsilcisinin kimliği
- İşlemenin amacı
- İşlemenin hukuki sebebi
- Aktarım yapılan taraflar ve aktarım amacı
- Veri toplama yöntemi
- İlgili kişinin KVKK m.11 hakları
Katmanlı aydınlatma (short notice + detaylı metin) Kurul tarafından kabul görmektedir. Aydınlatma metni, İngilizce veya başka bir dilde değil Türkçe hazırlanmalıdır.
4. Teknik ve İdari Güvenlik Tedbirleri
4.1 İdari Tedbirler
Kurul Kararı 2018/10 sayılı Kişisel Veri Güvenliği Rehberi kapsamında:
- Veri güvenliği politikası: Yazılı, güncel, tüm personele duyurulmuş
- Personel eğitimi: Yılda en az bir kez KVKK farkındalık eğitimi
- Veri işleyen denetimi: Üçüncü taraflarla KVKK şartlarını içeren sözleşme
- Kişisel veri saklama ve imha politikası: Saklama süreleri, imha yöntemleri ve periyodik imha takvimi
4.2 Teknik Tedbirler
| Tedbir | Uygulama |
|---|---|
| Şifreleme | Kritik veriler AES-256, iletişim TLS 1.2+ |
| Erişim kontrolü | En az ayrıcalık, çok faktörlü kimlik doğrulama |
| Log yönetimi | Erişim kayıtları en az 2 yıl saklanmalı |
| Yedekleme | Kritik veriler için günlük yedek + coğrafi olarak ayrı lokasyon |
| Sızma testi | Yılda en az bir kez penetrasyon testi |
| Ağ güvenliği | Güvenlik duvarı, IPS/IDS, ağ segmentasyonu |
Bulut hizmetleri kullanılıyorsa, hizmet sağlayıcının VERBİS kaydı veya muadil belgelendirmesi talep edilmelidir.
5. Veri İhlali Müdahale Planı
5.1 Bildirim Yükümlülükleri
KVKK m.12/5 uyarınca veri güvenliği ihlali öğrenildiğinden itibaren 72 saat içinde Kurula bildirim zorunludur. İlgili kişilere bildirim ise Kurulun değerlendirmesi doğrultusunda yapılır.
72 saatlik süre çok kısadır. Bildirim planı önceden hazırlanmamış şirketler bu süreyi tutturamıyor.
5.2 İhlal Müdahale Sürecinin Aşamaları
TESPİT (0-4 saat)
↓
SINIRLANDIRMA — Etkilenen sistemi izole et, yetkisiz erişimi engelle (4-12 saat)
↓
DEĞERLENDİRME — Etkilenen veri kategorileri, kişi sayısı, risk düzeyi (12-36 saat)
↓
KURUL BİLDİRİMİ — e-Devlet üzerinden (72 saat içinde)
↓
KURTARMA — Sistemi temizle, güvenli versiyona geç
↓
DÖKÜMANTASYON — İhlal kayıt defteri güncelle
↓
ÖNLEM — Tekrarı engellemek için kontroller güçlendir
İhlal kayıt defteri: Her veri ihlali belgelenmeli ve Kurulun talep etmesi durumunda sunulmak üzere saklanmalıdır. Bu belge: ihlal tarihi, tespit tarihi, etkilenen veriler, etkilenen kişi sayısı, alınan önlemler ve bildirim tarihi bilgilerini içermelidir.
6. İlgili Kişi Taleplerine Yanıt Sistemi
KVKK m.11 uyarınca ilgili kişi başvurularına 30 gün içinde yanıt verilmesi zorunludur. Talep karmaşıksa Kurul onayıyla bu süre 60 güne uzatılabilir.
Sık gelen talepler ve hazırlık:
| Talep Türü | Hazırlık Gereksinimleri |
|---|---|
| Erişim talebi | Hangi verinin işlendiğini anında sorgulanabilir veri envanteri |
| Silme/imha | Saklama süresi dolan veriler için otomatik imha sistemi |
| Düzeltme | Merkezi veri kaynağı, dağık veri sorunları giderilmiş olmalı |
| İşlemeye itiraz | İtiraz sonrası işlemi durdurma mekanizması |
| Veri taşınabilirliği | Makine okunabilir format (JSON, CSV) export özelliği |
Başvurular VERBİS'te kayıtlı e-posta veya şirket başvuru formuna yapılabilir. Yanıt sürecini takip eden bir iç sistem kurulmaması 30 günlük sürenin kaçırılmasına neden olur.
7. KVKK Ceza Sistemi ve Risk Değerlendirmesi
7.1 2026 İdari Para Cezası Bantları
| İhlal Türü | Ceza Aralığı |
|---|---|
| Aydınlatma yükümlülüğüne aykırılık | 85.437 — 1.709.224 TL |
| Veri güvenliği tedbirlerinin alınmaması | 171.875 — 5.128.870 TL |
| VERBİS kaydının yapılmaması | 85.437 — 1.709.224 TL |
| Kurul kararına uymama | 342.680 — 17.092.242 TL |
Aynı ihlalin tekrarlanması halinde ceza iki katına çıkabilir. Cezaların yanı sıra Kurul, kişisel veri işlemenin durdurulmasına karar verebilir; bu durum iş sürekliliğini doğrudan tehdit eder.
7.2 Risk Matrisi
Tüm veri işleme faaliyetleri için olasılık × etki matrisi kurulması önerilir:
- Yüksek risk: Özel nitelikli veri, geniş ölçekli profilleme, otomatik karar verme → Veri koruma etki değerlendirmesi (DPIA) zorunlu
- Orta risk: Müşteri veritabanı, pazarlama segmentasyonu → Düzenli denetim
- Düşük risk: Çalışan iletişim bilgileri, muhasebe kayıtları → Standart güvenlik tedbirleri
8. Uygulama Yol Haritası
Birinci Aşama (1-3 Ay) — Temel Uyum
- [ ] Veri envanterini hazırla ve veri akış diyagramını çıkar
- [ ] VERBİS kaydını yap veya güncelle
- [ ] Aydınlatma metinlerini ve açık rıza formlarını gözden geçir
- [ ] Veri işleyenlerle KVKK maddesini içeren sözleşme eklerini hazırla
- [ ] Kişisel veri saklama ve imha politikasını belgele
İkinci Aşama (3-6 Ay) — Güvenlik Altyapısı
- [ ] Teknik güvenlik tedbirlerini uygula ve belgele
- [ ] Çalışanlar için KVKK farkındalık eğitimi ver
- [ ] İhlal müdahale planını ve 72 saatlik bildirim sürecini kur
- [ ] İlgili kişi başvuru sistemi ve takip mekanizması kur
- [ ] Yüksek riskli faaliyetler için DPIA yap
Üçüncü Aşama (6-12 Ay) — Olgunlaşma
- [ ] İç denetim ve periyodik uyum değerlendirmesi yap
- [ ] Penetrasyon testi ve güvenlik açığı taraması gerçekleştir
- [ ] Veri işleyen sağlayıcıları yıllık denetle
- [ ] Kurul kararlarını takip et, mevzuat değişikliklerine uyum sağla
- [ ] Uyumluluk programının etkinliğini ölç ve raporla
9. Sonuç
KVKK uyumluluk programı, tek seferlik bir proje değil süregelen bir operasyondur. Veri envanterinden VERBİS kaydına, açık rızadan ihlal müdahalesine kadar her bileşen birbiriyle bağlantılıdır. Kurul denetimleri giderek daha sistematik hale geliyor; şirketlerin yasal kılavuzlarla değil, belgeli ve işleyen bir uyum programıyla karşılık vermesi gerekiyor.
Bu rehber bilgilendirme amaçlıdır. Spesifik hukuki danışmanlık için KVKK alanında uzman avukat veya danışmanla görüşünüz.
İlgili İçerikler
- KVKK Nedir? Kişisel Veri Koruma Kanunu — Tanım ve Yükümlülükler — 6698 sayılı Kanunun temel kavramları, veri kategorileri ve ceza bantları
- KVKK Uyumluluk Checklist 2026: 15 Adımlı Kurul Denetim Hazırlığı — Denetim öncesi 15 maddelik kontrol listesi
- KVKK Aydınlatma Metni Nasıl Hazırlanır? — Tebliğe uygun aydınlatma metni şablonu ve dikkat edilmesi gerekenler
Bu konuyu Regulfy ile yönetin → KVKK Veri Koruma Çözümü
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →