Geçiş süreci içinde hukuka aykırı verilerle ne yapılmalıdır?

Geçiş süresi boyunca yapılan incelemelerde hukuka aykırı olduğu tespit edilen kişisel veriler için beklemek yerine derhal aksiyon alınmalı; bu veriler silinmeli, yok edilmeli veya uygun yöntemlerle anonim hale getirilmelidir. Ayrıca bu işlemlerin kayıt altına alınması ve gerektiğinde ispatlanabilir olması önemlidir.

KVKK Geçiş Süreleri Rehberi: Kanun Değişikliği, Uyum Takvimi ve Veri Sorumluları İçin Yol Haritası

KVKK Uyum · Geçiş Süreleri · Veri Sorumluları

KVKK Geçiş Süreleri Rehberi Kanun Yayımı, Uyum Takvimi ve Riskler

Q: Geçiş süresi sonrasında uyum sağlamamış olmak ne gibi riskler doğurur?

Süre bitiminde hala uyum sağlanmamış olması; idari para cezaları, tazminat talepleri, Kurul kararları ve ceza hukuku yaptırımlarına konu olabilir. Ayrıca veri ihlallerinin kamuoyuna yansıması, kurumun itibar kaybı, müşteri güveni kaybı ve iş ortaklıklarında zedelenme gibi dolaylı ancak yüksek etkili sonuçlara yol açabilir.

Kişisel verilerin korunmasına ilişkin kanunlarda yapılan değişiklikler ve yeni düzenlemeler, veri sorumluları açısından çoğunlukla geçiş süreleri ile birlikte yürürlüğe girer. Bu geçiş dönemleri; hâlihazırda işlenmiş kişisel verilerin durumu, eski rızaların geçerliliği ve belirli bir takvim içerisinde uyum sağlanması gereken yükümlülükleri sistematik biçimde kurgulamak için kritik öneme sahiptir.

Bu rehber, KVKK’nın geçici maddeleri ile tanınan geçiş sürelerini; kanun yayımı öncesi işlenmiş verilerin durumu, iki yıllık uyum süreci, bir yıllık rıza geçerliliği, yaptırımlar ve Türkiye’de faaliyet gösteren veri sorumluları için pratik uyum adımları üzerinden ele almaktadır.

Özet: Geçiş süresi, veri sorumlularına tanınmış bir “esneklik alanı” değil, belirli bir takvim içinde tamamlanması zorunlu uyum yükümlülüğüdür. Süre sonunda hukuka aykırı veriler için silme, yok etme veya anonim hale getirme; hukuka uygun olmayan işleme faaliyetleri için ise idari ve hukuki yaptırımlar söz konusu olabilir.

1. Hukuki Çerçeve: Geçiş Süresi Neden Tanınır?

Kişisel verilerin korunmasına ilişkin düzenlemelerde; kanunun ilk kez yürürlüğe girdiği veya kapsamlı değişiklik yapıldığı durumlarda, veri sorumlularına belirli bir geçiş süresi tanınması yaygın bir uygulamadır. Bu sürenin temel amacı, mevcut durumda işlenmekte olan kişisel verilerin yeni hukuki çerçeveye kontrollü ve planlı bir şekilde uyarlanmasını sağlamaktır.

KVKK’da yer alan geçici maddeler ile; kanunun yayımı tarihinden önce işlenmiş kişisel verilerin, kanunun yayımı tarihinden itibaren genellikle iki yıl içinde Kanun hükümlerine uygun hale getirilmesi öngörülmektedir. Bu süre içinde:

Hukuka aykırı olduğu tespit edilen kişisel verilerin derhâl silinmesi, yok edilmesi veya anonim hâle getirilmesi,
Hukuka uygun olarak alınmış rızaların, kanunda öngörülen şartları karşılaması halinde bir yıl içinde aksine bir irade beyanında bulunulmaması durumunda geçerli kabul edilmesi,
Veri işleme, aktarım, saklama ve imha süreçlerinin yeni düzenlemelerle uyumlu hâle getirilmesi,

Bu çerçevede, geçiş süresi; veri sorumlularına “ekstra tolerans” tanınan bir dönem olmaktan ziyade, uyumun takvime bağlandığı zorunlu bir revizyon dönemi olarak değerlendirilmelidir.

2. Geçiş Süresi Belirleme Yetkisi

Geçiş süresini belirleme yetkisi, esasen kanun koyucuya ve ilgili kanunla yetkilendirilen idari mercilere aittir. Türkiye özelinde:

Geçiş süresinin çerçevesi ve süresi, kanun ve geçici maddelerle belirlenir.
Uygulamaya ilişkin detaylar; yönetmelikler, Kurul kararları ve rehber dokümanlar ile somutlaştırılabilir.
Bazı durumlarda, yürürlük tarihi ve geçiş sürecine ilişkin ikincil takvimler, idari otorite tarafından belirlenebilir veya güncellenebilir.

Kurumsal ölçekte düşünüldüğünde, “geçiş süresi belirleme yetkisi” kavramı yalnızca mevzuat üreticileri için değil, aynı zamanda kurum içi yönetişim açısından da önemlidir. Örneğin, bir organizasyonda:

Üst yönetim, KVKK uyum projesinin kapsamını ve genel takvimini onaylar,
Proje yöneticisi veya KVKK uyum ekibi, departman bazlı geçiş takvimlerini ve iç kilometre taşlarını belirler,
Süreç sahipleri, kendi süreçlerindeki veri işleme faaliyetlerini belirlenen takvime göre uyumlu hâle getirmekle sorumludur.

Böylece, yasal düzeyde tanınan geçiş süresi; kurum içinde proje planı, kaynak yönetimi ve iş önceliklendirmesi ile somutlaştırılır.

3. Geçiş Süresi Uygulama Esasları

Geçiş süresi uygulama esasları; sürecin hangi tarihten başladığı, hangi tarihte sona erdiği, hangi veri işleme faaliyetlerini kapsadığı ve bu dönem içinde veri sorumlularının nasıl hareket etmesi gerektiğine ilişkin kuralları ifade eder.

3.1 Başlangıç ve Bitiş Tarihleri

Geçiş süresi, kural olarak kanunun veya değişikliğin yayımı tarihinden itibaren işlemeye başlar.
Sürenin sonunda, hâlâ uyumlu hâle getirilmemiş kişisel verilerin işlenmesi hukuka aykırı hâle gelir ve yaptırıma konu olabilir.

3.2 Kapsam: Hangi Veriler ve İşlemler?

Geçiş süresi, özellikle kanun yayımı tarihinden önce işlenmiş kişisel verilerin yeni düzenlemelerle uyumlu hâle getirilmesini hedefler.
Bu kapsamda; eski aydınlatma metinleri, rızalar, sözleşmeler, saklama süreleri ve aktarım uygulamaları gözden geçirilir.
Geçiş süresi boyunca yeni veri işleme faaliyetleri de doğrudan güncel mevzuata uygun şekilde kurgulanmalıdır; “eski mantıkla” yeni veri toplamak, sürenin koruma alanına girmez.

3.3 Süre İçindeki Sınırlar

Geçiş süresi; veri sorumlularına sınırsız bir serbestlik tanımaz. Aksine:

Açıkça kanuna açıkça aykırı, ölçüsüz veya amaç dışı veri işleme faaliyetleri sürdürülmemelidir.
Süre, planlı bir uyum programı için kullanılmalı; son güne bırakılan işlemler, hem operasyonel risk hem de hukuki risk doğurur.
Kurumlar, bu dönemde geçici idari ve teknik tedbirleri devreye alarak riskleri minimize etmelidir (örneğin, gereksiz veri toplamayı durdurmak, erişim yetkilerini daraltmak vb.).

4. Geçiş Süresi İçindeki Adımlar: Kuruluşlar Ne Yapmalı?

Geçiş süresinin etkin yönetimi, proje mantığıyla ilerleyen, planlı ve dokümante edilmiş bir yaklaşım gerektirir. Aşağıdaki adımlar, bu dönemi yapılandırmak için pratik bir çerçeve sunar:

4.1 Mevcut Durum Analizi ve Envanter

Tüm kişisel veri işleme faaliyetleri, departman bazlı olarak tespit edilir (İK, müşteri ilişkileri, satış, pazarlama, güvenlik, finans vb.).
Hâlihazırda işlenen veriler; amaç, hukuki sebep, saklama süresi, alıcı grupları ve teknik/idari tedbirler ile birlikte kişisel veri işleme envanterine işlenir.

4.2 Uyum Boşluklarının (Gap) Belirlenmesi

Eski aydınlatma metinleri, rıza metinleri, sözleşmeler ve politikalar, yeni kanun hükümleriyle karşılaştırılır.
Hukuka aykırı olduğu tespit edilen kişisel veriler belirlenir; bu veriler için silme, yok etme veya anonim hale getirme planı hazırlanır.
Eski rızaların, kanunun aradığı nitelikleri taşıyıp taşımadığı değerlendirilir; geçerli olmayan rızalar için yeni rıza süreçleri tasarlanır.

4.3 Politika, Süreç ve Sözleşme Güncelleme

Kişisel veri saklama ve imha politikası, bilgi güvenliği politikası, gizlilik taahhütleri ve çalışan sözleşmeleri güncellenir.
Tedarikçiler, iş ortakları ve grup şirketleri ile yapılan sözleşmelere; yeni kanun hükümlerine uygun veri işleyen/veri sorumlusu-kontrolör hükümleri eklenir.

4.4 Eğitim, İletişim ve Değişim Yönetimi

Çalışanlara; geçiş süresi, yeni kanun hükümleri ve süreçlerdeki değişiklikler hakkında hedefli eğitimler verilir.
Yönetim, departman yöneticileri ve kilit kullanıcılar ile düzenli bilgilendirme toplantıları yapılır.
Gerekirse, ilgili kişilere (müşteri, çalışan, tedarikçi) yönelik şeffaf iletişim yürütülür (örneğin aydınlatma metinlerinin güncellendiğinin bildirilmesi).

4.5 İzleme, Geri Bildirim ve Düzeltici Faaliyet

Geçiş süreci boyunca belirli aralıklarla iç denetim veya kontrol faaliyetleri yapılır.
Tespit edilen eksiklikler için düzeltici/önleyici aksiyonlar planlanır ve kayıt altına alınır.
Süre sonuna yaklaşılırken, kurum genelinde “hazırlık durumu” yeniden değerlendirilir.

5. Yaptırımlar ve İhlal Durumları

Geçiş süresi, uyulması zorunlu bir takvim olduğundan, sürenin sonunda hâlâ hukuka aykırı şekilde işlenen kişisel veriler ve uyumlu hâle getirilmemiş süreçler bakımından yaptırımlar gündeme gelebilir. Bu kapsamda:

İlgili kişilerin zarar görmesi halinde, tazminat sorumluluğu doğabilir.
Kanunda öngörülen yükümlülüklere aykırılık, idari para cezalarına ve Kurul kararlarına konu olabilir.
Ağır ihlallerde, ceza hukuku bakımından değerlendirme gündeme gelebilir.

Bunun yanında, kurumsal açıdan; veri ihlallerinin kamuya açıklanması, güven ilişkisinin zedelenmesi ve itibar kaybı gibi sonuçlar, çoğu zaman idari para cezasından daha ağır etkilere yol açmaktadır.

Kurumlar, geçiş süresini yalnızca “para cezasından kaçınmak” için değil, aynı zamanda veri yönetişimini güçlendirmek, süreçlerini optimize etmek ve dijital varlıklarını korumak için stratejik bir fırsat olarak görmelidir.

6. Geçiş Süresi Sonrası Durum: Yeni Normal ve Sürekli Uyum

Geçiş süresi sona erdiğinde, artık kalıcı rejim başlar. Bu noktada:

Kanun hükümlerine uygun hâle getirilmemiş kişisel verilerin işlenmesi devam ediyorsa, bu işlemler hukuka aykırı hale gelir.
“Geçiş sürecindeydik” savunması artık geçerliliğini yitirir; Kurul nezdinde değerlendirme doğrudan kalıcı düzenlemelere uyum üzerinden yapılır.
Uyum programı, bir proje statüsünden çıkar; süreklilik arz eden bir yönetim sistemi (policy management, denetim, periyodik gözden geçirme, iyileştirme) hâline gelir.

Bu nedenle, geçiş süresi boyunca kurulan yapının; yalnızca “süreyi doldurmak” için değil, kurumsal veri koruma kültürünü sürdürülebilir kılmak için tasarlanması gerekir. Aksi hâlde, süre bitiminde tekrar eden ihlaller ve reaktif aksiyonlarla karşılaşmak kaçınılmaz olacaktır.

7. İlgili Kaynaklar ve İletişim Kanalları

Geçiş sürecine ilişkin ayrıntılı bilgiye erişmek ve uygulamayı en güncel mevzuata göre kurgulamak için, veri sorumlularının aşağıdaki kaynakları düzenli olarak takip etmesi önemlidir:

Resmî Gazete: Kanun, geçici maddeler, yönetmelikler ve değişikliklerin yayımlandığı resmî kaynaktır.
Kişisel Verileri Koruma Kurumu (KVKK) web sitesi: Kurul kararları, rehberler, kamuya duyurular ve sıkça sorulan sorular bölümü, uygulamaya ışık tutar.
Sektörel rehberler ve akademik yayınlar: Özellikle bankacılık, sağlık, telekom, e-ticaret gibi regülasyonu yoğun sektörlerde yayımlanan rehberler, sektöre özgü pratikleri içerir.

Ayrıca, kapsamlı ve çok aktörlü yapılarda (holdingler, grup şirketleri, çok lokasyonlu şirketler vb.) geçiş sürecinin yönetimi için almak; hem uyum hızını artırmak hem de riskleri minimize etmek açısından önemli bir avantaj sağlar.

8.Geçiş Süresi, KVKK Uyum Yolculuğunun Kritik Başlangıç Noktasıdır

KVKK ve ilgili düzenlemeler çerçevesinde tanınan geçiş süreleri; veri sorumlularına hazırlık, uyarlama ve yeniden yapılandırma imkânı tanıyan, ancak süresi ve kapsamı net çizilmiş bir dönemdir. Bu dönemin etkin yönetimi:

Hukuka aykırı veri işleme faaliyetlerinin erken tespit edilmesini,
Eski rızaların ve sözleşmelerin yeni düzene uygunluğunun test edilmesini,
Politika, prosedür ve teknik kontrollerin modernize edilmesini,
Kurumsal veri koruma kültürünün temellerinin atılmasını sağlar.

Türkiye’de denetim pratiğinin ve Kurul kararlarının giderek arttığı bir ortamda, geçiş sürelerini sadece yasal zorunluluk olarak değil, aynı zamanda kurumsal olgunluk ve rekabet avantajı fırsatı olarak değerlendiren veri sorumluları, uzun vadede hem hukuki risklerini azaltmakta hem de müşteri ve çalışan nezdinde güven inşa etmektedir.

Sık Sorulan Sorular

KVKK kapsamında geçiş süresi ne anlama gelir?

Geçiş süresi; kanunun ilk kez yürürlüğe girmesi veya önemli değişiklikler sonrasında, veri sorumlularına mevcut veri işleme faaliyetlerini yeni hukuki çerçeveye uyarlamaları için tanınan sınırlı ve belirli bir zaman aralığıdır. Bu süre sonunda, uyum sağlanmamış verilerin işlenmesi hukuka aykırı hâle gelebilir.

Geçiş süresi hangi tarihi esas alır?

Geçiş süresi kural olarak, ilgili kanunun veya değişikliğin Resmî Gazete’de yayımlandığı tarihi esas alır. Bu tarihten itibaren iki yıllık uyum süresi gibi belirlenen süreler işlemeye başlar. Süre hesaplanırken, yayımlanma tarihi ve yürürlük tarihi arasındaki fark mutlaka dikkate alınmalıdır.

Kanun öncesi alınmış rızalar geçerli midir?

Geçici madde hükümlerine göre, kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması ve yeni düzenlemede aranan şartları karşılaması hâlinde geçerli kabul edilebilir. Ancak rızanın kapsamı, bilgilendirme seviyesi ve özgür irade kriterleri mutlaka yeniden değerlendirilmelidir.

Geçiş süresi içinde hukuka aykırı verilerle ne yapılmalıdır?

Geçiş süresi boyunca yapılan incelemelerde hukuka aykırı olduğu tespit edilen kişisel veriler için beklemek yerine derhâl aksiyon alınmalı; bu veriler silinmeli, yok edilmelidir veya uygun yöntemlerle anonim hâle getirilmelidir. Bu işlemlerin kayıt altına alınması ve ispatlanabilir olması önemlidir.

Geçiş süresi sonrasında uyum sağlamamış olmak ne gibi riskler doğurur?

Süre bitiminde hâlâ uyum sağlanmamış olması; idari para cezaları, tazminat talepleri, Kurul kararları ve ceza hukuku yaptırımlarına konu olabilir. Ayrıca veri ihlallerinin kamuoyuna yansıması, kurumun itibar kaybı, müşteri güveni kaybı ve iş ortaklıklarında zedelenme gibi dolaylı ancak yüksek etkili sonuçlara yol açabilir.

Geçiş süreci için uzman danışmanlık almak gerekli midir?

Çok lokasyonlu, karmaşık sistem mimarisine veya grup şirketi yapısına sahip kurumlarda; geçiş sürecinin tek başına yönetilmesi zor ve riskli olabilir. Bu nedenle, KVKK ve bilgi güvenliği alanında uzman danışmanlık almak; hem mevzuatla tam uyum sağlanmasına hem de iyi uygulama örneklerinin kuruma adapte edilmesine önemli katkı sunar.