KVKK Uyum Danışmanlığı
Kişisel Verilerin Korunması Kanunu (KVKK)
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de kişisel verilerin işlenmesine ilişkin temel çerçeveyi çizer. Bu sayfa, KVKK kapsamındaki yükümlülükleri, VERBİS sürecini, olası cezaları ve uyum adımlarını sade şekilde özetler.
KVKK (6698 sayılı Kanun) Nedir / Ne Değildir?
KVKK (Kişisel Verilerin Korunması Kanunu, 6698 sayılı Kanun), gerçek kişilere ait kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunmasını amaçlayan bir çerçevedir.
"KVKK sadece VERBİS" gibi yaygın yanlış vardır. Oysa VERBİS, KVKK'nın bir bileşenidir; KVKK çok daha geniş kapsamlı yükümlülükler getirir: aydınlatma, açık rıza, güvenlik tedbirleri, veri saklama süreleri, taşınma hakkı, veri sorumlusu/işleyen rolleri, uyum süreçleri, uygun alt yapılar, veri aktarımı vb.
KVKK, şirketlerin "veri işlememe hakkı" dahil birçok kişisel veri haklarını tanır. Kısacası: KVKK, VERBİS'ten ibaret değildir. KVKK, kurumun veri yönetişimini baştan kurgulamasını gerektirir.
Kimler KVKK'ya Uyum Sağlamalı?
Kısaca: kişisel veri işleyen herkes. KVKK yalnızca büyük şirketleri değil, her ölçekte işletmeyi, kamu kurumunu, sivil toplum kuruluşunu ve serbest çalışanı da kapsar.
E-ticaret sitesi yöneten bir girişimci, çalışan verilerini saklayan bir fabrika, müşteri verisi tutan bir yazılım firması ya da danışan bilgisi işleyen bir psikolog — hepsi bu kanun kapsamındadır.
Kişisel veri işliyorsanız, KVKK'ya uyum sağlamanız yasal bir zorunluluktur.
KVKK Kapsamındaki İdari Para Cezaları (2025)
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 18. maddesi uyarınca, yükümlülüklere uymayan veri sorumluları hakkında idari para cezaları uygulanabilir. 2025 yılı için yeniden değerleme oranlarıyla birlikte güncellenmiş ceza aralıkları:
| İhlal Türü | 2025 Yılı Cezası (TL) | Kanun Maddesi |
|---|---|---|
| Aydınlatma yükümlülüğünü yerine getirmemek | 68.083 – 1.362.021 | Madde 18/1-a |
| Veri güvenliğine ilişkin yükümlülüklere aykırılık | 204.285 – 13.620.402 | Madde 18/1-b |
| Kurul kararlarına uymamak | 340.476 – 13.620.402 | Madde 18/1-c |
| VERBİS'e kayıt veya bildirim yükümlülüğüne uymamak | 272.380 – 13.620.402 | Madde 18/1-ç |
Bu cezalar, Kişisel Verileri Koruma Kurulu (KVKK Kurulu) tarafından yapılan incelemeler sonucunda uygulanır. Ceza miktarı, ihlalin niteliğine, kurumun büyüklüğüne ve alınan önlemlerin yeterliliğine göre belirlenir.
Ayrıca, Türk Ceza Kanunu'nun 135–140. maddeleri uyarınca kişisel verilerin hukuka aykırı işlenmesi, yayılması veya silinmemesi durumlarında 1 yıldan 4 yıla kadar hapis cezası da öngörülmektedir.
VERBİS Nedir, Kimler Kayıt Olmalı? Güncel Durum
VERBİS, "Veri Sorumluları Sicil Bilgi Sistemi"dir. Veriyi işleyen kurumların, işledikleri kişisel veriler, veri kategorileri, amaçlar, aktarılan taraflar, güvenlik önlemleri gibi bilgileri beyan ettikleri merkezi sistemdir.
- Yıllık çalışan sayısı 50'yi aşan veya mali bilançosu 100 milyon TL'yi geçen kurumlar
- Ana faaliyetinde özel nitelikli kişisel veri işleyenler (örneğin sağlık verileri, biyometrik veriler vs.)
- Kamu kurumları da bu yükümlülüğe dahildir.
4 Eylül 2025 tarihli ve 2025/1572 sayılı Kurul Kararı ile; ana faaliyeti özel nitelikli veri işlemek olmasına rağmen çalışan sayısı 10'dan az ve yıllık bilançosu 10 milyon TL'den az olan kurumlar VERBİS'e kayıt yükümlülüğünden istisna tutulmuştur.
- Yeni yükümlü olan kurumlar, yükümlülüğün doğduğu tarihten itibaren 30 gün içinde sisteme kayıt olmalıdır.
- Mevcut kayıtların herhangi bir bilgisi değiştiğinde 7 gün içinde güncelleme yapılmalıdır.
Yaptırımlar: Kayıt yapılmaması veya bildirimde eksiklik olması durumunda yukarıda bahsedilen idari para cezaları uygulanır.
Yurtdışına Veri Aktarımı / Uluslararası Veri Transferi
KVKK, kişisel verilerin yurt dışına aktarılması hallerini özel olarak düzenler. Bir kurum, Türkiye'den başka ülkeye kişisel veri aktaracaksa; aktarılan ülkenin veri koruma standartlarının en az KVKK düzeyinde olması, standart sözleşmeler kullanılması, ek önlemler alınması gibi şartlar aranır.
Kimi durumlarda standart veri aktarım sözleşmeleri (standard contractual clauses) veya özel onay mekanizmaları gerekebilir.
Eğer bu bildirim süreci yapılmazsa, bildirim yükümlülüğüne aykırılık cezası uygulanabilir (örneğin: aktarım bildirim yükümlülüğüne aykırı hareket edenlere ceza: 71.965 TL ile 1.439.300 TL arası)
Bu başlık, özellikle SaaS, bulut hizmeti, yazılım, e-ticaret gibi sınırlar ötesi hizmet veren kurumlar için kritik bir konudur.
KVKK Uyum Süreci Nasıl İlerler? (Danışmanlık Modeli)
Kuruma özel veri işleme süreçleri, veri akışları, sistem altyapısı incelenir. Eksiklikler ve riskler haritalanır.
Aydınlatma metinleri, gizlilik politikası, açık rıza metinleri, iç denetim prosedürü, veri saklama ve silme prosedürleri hazırlanır.
Veri envanteri çıkarılır, VERBİS sistemine kayıt yapılır ve bildirimler gerçekleştirilir.
Erişim kontrolü, şifreleme, yedekleme, izleme, sızma testi, farkındalık eğitimi gibi teknik & idari önlemler devreye sokulur.
Uygulamanın etkinliği test edilir, eksikler varsa düzeltilir.
Gerekirse bağımsız denetim, sistem incelemesi yapılır. Kurumun uyum düzeyi belgelemeye hazırlanır.
Veri akışları değiştikçe, teknolojiler evrildikçe sistem güncellenir. Yıllık iç denetim, gözetim gibi süreç devam eder.