Türkiye’de Kişisel Verilerin Korunması Mevzuatı: 2026 Kapsam ve Uygulama Raporu
Modern iş dünyasında veri, artık sadece bir bilgi parçası değil, en kıymetli ekonomik varlıklardan biri. Ancak bu varlığı yönetmek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte ciddi bir disiplin gerektiriyor. 2016’da başlayan bu yolculuk, 2024 reformları ve 2026 VERBİS güncellemeleriyle bambaşka bir boyuta taşındı.
Bu rapor; işletmenizin “Veri Sorumlusu” mu yoksa “Veri İşleyen” mi olduğunu netleştiriyor, 100 Milyon TL’lik yeni VERBİS eşiğini analiz ediyor ve yurt dışına veri aktarımında (örneğin bulut kullanırken) başınızın ağrımaması için gereken “Standart Sözleşme” modellerini masaya yatırıyor. Amacımız, sizi hukuki jargonun içinde boğmak değil, işletmenizi koruyacak stratejik bir yol haritası sunmak.
VERBİS Güncellemesi: Kayıt eşikleri yükseltildi. Ana faaliyeti özel nitelikli veri işleme olmayanlar için sınır 50 çalışan veya 100 Milyon TL mali bilanço.
Kritik Değişiklik: Yurt dışı veri aktarımında “açık rıza” dönemi kapandı; artık Standart Sözleşmeler ve 5 günlük bildirim süresi esas.
Yeni Risk: Standart sözleşme bildirimini yapmayan hem veri sorumlusuna hem de veri işleyene ceza kesiliyor.
Yargı Yolu: Kurul kararlarına itiraz artık Sulh Ceza değil, İdare Mahkemelerine yapılıyor.
1. Temel Kavramlar: Kimler Kapsamda? Veri Sorumlusu ve Veri İşleyen Farkı
KVKK, özünde “hayatta olan gerçek kişilerin” verisini korur. Yani bir şirketin vergi numarası veya cirosu KVKK kapsamında değildir; ancak o şirketin genel müdürünün adı, soyadı veya cep telefonu numarası kişisel veridir. Kanun’un muhatabı ise bu verileri işleyen herkestir. Burada en çok karıştırılan iki kavramı netleştirmek, sorumluluğun kime ait olduğunu anlamak için hayati önem taşır: Veri Sorumlusu ve Veri İşleyen.
Veri Sorumlusu Kimdir?
Veri sorumlusu, veri işlemenin “neden” ve “nasıl” yapılacağına karar veren patrondur. Veri kayıt sistemini kuran, verinin ne kadar saklanacağını belirleyen ve hukuki sorumluluğu doğrudan üstlenen kişidir (genellikle tüzel kişiliğin kendisi). Örneğin, çalışanlarının maaş bordrosunu düzenleyen bir şirket, “Veri Sorumlusu”dur.
Veri İşleyen Kimdir?
Veri işleyen ise, veri sorumlusundan aldığı yetki ve talimatla teknik işlemi yapan taraftır. Kendi namına karar almaz, sadece verilen görevi icra eder. Örneğin, şirketin maaş bordrolarını hazırlayan dış kaynaklı muhasebe firması veya verilerinizi sakladığınız bulut hizmet sağlayıcısı “Veri İşleyen”dir.
| Kriter | Veri Sorumlusu | Veri İşleyen |
|---|---|---|
| Karar Yetkisi | İşlemenin amacını ve yöntemini belirler. (Patron) | Talimatlara göre teknik işlem yapar. (Uygulayıcı) |
| Hukuki Sorumluluk | Cezaların ve tazminatların asıl muhatabıdır. | Sözleşmesel sorumluluğu vardır; ancak 2024 sonrası bazı bildirimlerden doğrudan sorumludur. |
| VERBİS Kaydı | Zorunludur (Şartları sağlıyorsa). | Kayıt yükümlülüğü yoktur. |
2. Kişisel Veri İşleme Şartları ve Anayasal İlkeler
Kişisel veriler, “sınırsız ve gelişigüzel” işlenemez. Kanun’un 4. maddesi, her türlü veri işleme faaliyetinin uyması gereken anayasal ilkeleri belirlemiştir. Bir veri işleme faaliyeti yasal dayanağa sahip olsa bile, bu ilkelere aykırıysa (örneğin, amaçsızca çok fazla veri toplanıyorsa) hukuka aykırı kabul edilir.
Vazgeçilmez 5 İlke
- Hukuka ve dürüstlük kuralına uygunluk: İlgili kişiyi yanıltmamak, şeffaf olmak.
- Doğru ve güncel olma: Verinin yanlış tutulmasından kaynaklı mağduriyetleri önlemek.
- Belirli, açık ve meşru amaç: “Gelecekte lazım olur” mantığıyla veri toplamamak.
- Bağlantılı, sınırlı ve ölçülü olma (Veri Minimizasyonu): Sadece işin yapılması için gereken kadar veri almak.
- Gerekli süre kadar muhafaza: İşi biten veriyi silmek, yok etmek veya anonimleştirmek.
Açık Rıza Her Şeyin Çözümü Mü?
Yaygın kanının aksine, her veri işleme faaliyeti için “Açık Rıza” almak zorunda değilsiniz. Hatta bazı durumlarda rıza almak hatalı bir uygulamadır. Kanun, ticari hayatın akışını bozmamak için 5. ve 6. maddelerde rıza gerektirmeyen halleri (İstisnaları) saymıştır.
Örneğin; bir e-ticaret sitesinin ürünü kargolamak için adresinizi alması “Sözleşmenin İfası”dır, rıza gerekmez. Bir şirketin çalışanının SGK bildirimini yapması “Hukuki Yükümlülük”tür. İşyeri güvenliği için kamera kaydı alınması ise “Meşru Menfaat” kapsamında değerlendirilebilir.
Dikkat: 2024 değişikliği ile özel nitelikli kişisel verilerin (sağlık, biyometrik vb.) işlenmesi konusunda “kanunda öngörülme” şartı genişletilmiş ve sağlık verilerinin işlenmesindeki bazı hukuki tıkanıklıklar giderilmiştir.
3. KVKK Muafiyet Rejimi: Kanun Kimlere Dokunmaz?
KVKK, her veri işleme faaliyetine müdahale etmez. Kanun’un 28. maddesi, “Tam İstisnalar” ve “Kısmi İstisnalar” olmak üzere iki kategori belirlemiştir. Bu alanları bilmek, gereksiz bürokrasiden kaçınmanızı sağlar.
Tam İstisnalar (Kanun Hiç Uygulanmaz)
Bu hallerde aydınlatma yapmanıza, veri güvenliği tedbiri almanıza veya VERBİS’e kayıt olmanıza gerek yoktur.
- Kişisel ve Ailevi Faaliyetler: Telefon rehberinizdeki numaralar veya ailenizle paylaştığınız fotoğraflar. (Üçüncü kişilere vermemek kaydıyla).
- Resmi İstatistik ve Anonimleştirme: TÜİK gibi kurumların verileri anonimleştirerek istatistik üretmesi.
- Yargı Faaliyetleri: Mahkemelerin ve savcılıkların soruşturma/kovuşturma sırasındaki işlemleri.
Kısmi İstisnalar (Bazı Maddeler Uygulanmaz)
Bu hallerde Kanun genel olarak geçerlidir; ancak Aydınlatma Yükümlülüğü ve İlgili Kişi Hakları gibi maddeler askıya alınır.
- Suç işlenmesinin önlenmesi veya suç soruşturması.
- Devletin ekonomik ve mali çıkarlarının (Vergi denetimi vb.) korunması.
- İlgili kişinin kendisi tarafından alenileştirilmiş veriler (Örn: Kartvizitini herkese dağıtması).
4. 2025/2026 Güncel VERBİS Kayıt Eşikleri
Veri Sorumluları Sicili (VERBİS), şirketlerin hangi verileri işlediğini beyan ettiği kamusal bir panodur. Ancak her şirket bu sicile kayıt olmak zorunda değildir. Kişisel Verileri Koruma Kurulu, ekonomik koşulları göz önüne alarak 2025 yılında eşikleri ciddi oranda yükseltti.
04.09.2025 tarihli ve 2025/1572 sayılı Karar ile belirlenen yeni limitler, işletmelere nefes aldıracak cinsten.
| Kategori | Çalışan Sayısı | Mali Bilanço Toplamı | Durum |
|---|---|---|---|
| Ana Faaliyeti Özel Veri Olmayanlar | < 50 | < 100 Milyon TL | Muaf |
| Ana Faaliyeti Özel Veri Olmayanlar | ≥ 50 | Herhangi bir miktar | Kayıt Zorunlu |
| Özel Nitelikli Veri İşleyenler (Sağlık vb.) | < 10 | < 10 Milyon TL | Muaf (Yeni!) |
| Özel Nitelikli Veri İşleyenler (Sağlık vb.) | ≥ 10 | Herhangi bir miktar | Kayıt Zorunlu |
Kritik Detaylar ve Püf Noktaları
- Bilanço Nedir?: Muafiyet hesabında cironuza (hasılat) bakılmaz; vergi beyannamenizdeki “Aktif Toplamı” veya “Pasif Toplamı” esas alınır.
- Çalışan Sayısı Hesabı: Tamamlanmış bir yılın 12 ayından en az 7’sinde Muhtasar beyannamesinde bildirilen çalışan sayısı dikkate alınır.
- Sağlık Sektörü Devrimi: Eskiden doktorlar, diş hekimleri ve eczacılar çalışan sayısına bakılmaksızın kayıt zorundaydı. Yeni düzenleme ile 10 çalışan ve 10 Milyon TL eşiğinin altındaki küçük muayenehaneler ve eczaneler de VERBİS yükümlülüğünden kurtuldu.
5. 2024 Reformu: Yurt Dışına Veri Aktarımı ve Standart Sözleşmeler
Şirket sunucularınız yurt dışında mı? Google Drive, AWS, Microsoft Azure veya Mailchimp kullanıyor musunuz? O zaman teknik olarak yurt dışına veri aktarıyorsunuz demektir. 7505 sayılı Kanun değişikliği öncesinde, bu işlem için neredeyse her zaman “Açık Rıza” gerekiyordu ve bu sürdürülebilir değildi.
2024 Reformu ile sistem tamamen değişti. Artık üç kademeli bir yapı var:
- Yeterlilik Kararı: Kurul’un “güvenli ülke” ilan ettiği yerlere (henüz liste çok sınırlı) doğrudan aktarım.
- Uygun Güvenceler (En Yaygın Yöntem): Yeterlilik kararı yoksa, tarafların imzalayacağı “Standart Sözleşmeler” ile aktarım.
- İstisnai Haller: Arızi ve tek seferlik durumlar.
Standart Sözleşme Tuzağına Düşmeyin
Yeni sistemin en kritik noktası şudur: Yurt dışındaki hizmet sağlayıcı ile imzaladığınız (veya click-wrap ile kabul ettiğiniz) Standart Sözleşmeyi, imzalandıktan sonra 5 iş günü içinde Kurul’a bildirmek zorundasınız.
Daha da önemlisi, bu bildirim yükümlülüğünü yerine getirmemenin cezası hem Veri Sorumlusu (Siz) hem de Veri İşleyen (Hizmet Sağlayıcı) için geçerlidir. Bu nedenle, kullandığınız bulut hizmetlerinin güncel KVKK sözleşmelerini kontrol etmeniz şarttır.
6. 2025 Cezaları ve Yeni Yargı Yolu
KVKK uyumluluğu bir tercih değil, mali bir zorunluluktur. İdari para cezaları her yıl yeniden değerleme oranına göre artmaktadır. 2025 yılı için belirlenen tavan cezalar işletmeleri sarsacak boyuttadır.
2025 Yılı İdari Para Cezası Limitleri
- Aydınlatma Yükümlülüğüne Aykırılık: 1.362.021 TL’ye kadar.
- Veri Güvenliği (Siber Güvenlik) Tedbirlerini Almama: 13.620.402 TL’ye kadar.
- Kurul Kararını Yerine Getirmeme: 13.620.402 TL’ye kadar.
- VERBİS Kayıt ve Bildirim İhlali: 13.620.402 TL’ye kadar.
- Standart Sözleşme Bildirim İhlali (Yeni): 1.439.300 TL’ye kadar.
Yargı Yolunda Makas Değişimi
Eskiden Kurul tarafından kesilen cezalara itiraz için Sulh Ceza Hakimliklerine gidiliyordu. Ancak yeni düzenleme ile birlikte, Kurul’un idari yaptırım kararlarına karşı artık İdare Mahkemelerinde dava açılması gerekmektedir. Bu durum, sürecin daha teknik ve idari hukuk prosedürlerine uygun yürütülmesini zorunlu kılıyor.
7. Sık Sorulan Sorular
VERBİS’e kayıtlı değilim, yine de ceza yer miyim?
Evet. VERBİS muafiyeti sadece sicile kayıt yükümlülüğünü kaldırır. Veri güvenliğini sağlamazsanız, aydınlatma yapmazsanız veya bir siber saldırıda verileri çaldırırsanız (veri ihlali), Kurul size yine milyonluk cezalar kesebilir.
Yurt dışı firması Türkiye’de ofisi yoksa ne olacak?
KVKK, Türkiye’deki kişilerin verisini işleyen yabancı şirketleri de kapsar. Eğer Türkiye’de yerleşik değillerse, bir “Veri Sorumlusu Temsilcisi” atamak zorundalar. Bu temsilci, tebligatları alır ve Kurul ile iletişimi sağlar.
Çalışanların WhatsApp kullanması sorun mu?
WhatsApp sunucuları yurt dışında olduğu için, kurumsal verilerin (müşteri listesi, şirket içi belgeler) WhatsApp üzerinden paylaşılması “Yurt Dışına Veri Aktarımı” sayılır. Uygun güvence (Taahhütname/Sözleşme) yoksa bu işlem KVKK riskleri taşır.
SMS ile gönderilen doğrulama kodları yasal mı?
Kurul’un güncel kararlarına göre; doğrulama kodu gönderirken aynı zamanda reklam onayı almaya çalışmak veya aydınlatma yapmadan SMS göndermek hukuka aykırıdır. Amaç sadece güvenlik olmalı ve kullanıcı açıkça bilgilendirilmelidir.
İlgili hizmet: KVKK hakkında detaylı bilgi hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
