GDPR Danışmanlığı

Avrupa Birliği Genel Veri Koruma Tüzüğü (Regulation (EU) 2016/679 – GDPR) kapsamında; işleme faaliyeti kayıtlarından (ROPA) etki değerlendirmesine (DPIA), DPO ve AB Temsilcisi atamasından uluslararası veri aktarımına uçtan uca uyum hizmeti. Hukuk, teknik ve organizasyonel boyutu birlikte yöneten bir program.

Av. Rabia Dağcı
Av. Rabia Dağcı · CIPP/E 30 dakikalık ücretsiz GDPR ön görüşmesi

GDPR danışmanlığı, Regulation (EU) 2016/679 kapsamında veri sorumlusu ve veri işleyenlerin; işleme faaliyeti kayıtları (m.30 – ROPA), hukuki dayanak ve rıza yönetimi (m.6/7/9), şeffaflık ve aydınlatma (m.13-14), veri sahibi hakları (m.15-22), veri koruma etki değerlendirmesi (m.35 – DPIA), kişisel veri ihlali bildirimi (m.33-34) ve uluslararası aktarım (Bölüm V) yükümlülüklerini sistematik biçimde kurması için verilen uyum hizmetidir.

Tüzük yalnızca AB’de yerleşik kuruluşları değil; AB’deki kişilere mal veya hizmet sunan ya da davranışlarını izleyen Türkiye merkezli firmaları da kapsar (m.3/2). Süreç, EDPB rehberleri ve ISO/IEC 27701 (PIMS) çerçevesi esas alınarak yürütülür.

Güncelleme: 31 Mayıs 2026 Hukuki içerik gözden geçirme: Av. Rabia Dağcı, CIPP/E Mevzuat: Regulation (EU) 2016/679

GDPR Sizi Kapsıyor mu?

GDPR’ın uygulama alanı şirketin coğrafi konumuyla değil, veri öznesinin AB’de bulunmasıyla belirlenir. Tüzük m.3, üç durumda devreye girer:

  • Yerleşiklik (m.3/1): AB içinde bir işletme/şube üzerinden yürütülen işleme — verinin fiilen nerede işlendiğine bakılmaksızın.
  • Hedefleme (m.3/2-a): AB’deki kişilere mal veya hizmet sunulması (Avrupa dillerinde içerik, euro fiyatlandırma, AB’ye teslimat/üyelik gibi göstergeler).
  • İzleme (m.3/2-b): AB’deki kişilerin davranışlarının izlenmesi (çerez/tracking, profilleme, reklam ve analitik).

İkinci ve üçüncü durumda, AB’de yerleşik olmayan sorumlu/işleyenlerin yazılı bir AB Temsilcisi (m.27) ataması zorunludur. Uygulamada iki tipik profil öne çıkar: AB’ye satış yapan veya AB’deki kullanıcı verisini işleyen Türkiye merkezli firmalar (e-ihracat, SaaS, yazılım, turizm, lojistik) ve AB’de şube/iştiraki bulunan gruplar. Her iki profilde de yükümlülükler örtüşür; çalışmamız bu iki senaryoyu birlikte ele alır.

Hizmet Kapsamı

Hizmet üç ana modül üzerinden yürütülür. Her modül kurumun ölçeğine, sektörüne ve AB maruziyetinin niteliğine göre uyarlanır. Modüller birlikte ya da ihtiyaca göre ayrı ayrı alınabilir.

Hukuki ve Uyum Modülü

  • Hukuki dayanak ve rıza yönetimi (m.6, 7, 9) — meşru menfaat denge testi (LIA)
  • Şeffaflık ve aydınlatma metinleri (m.13-14) — web, ürün, IK, pazarlama
  • Veri sahibi hakları prosedürü ve DSAR akışı (m.15-22): erişim, silme (m.17), taşınabilirlik (m.20), itiraz (m.21)
  • Veri işleyen sözleşmesi / DPA (m.28) ve ortak veri sorumlusu düzenlemeleri (m.26)
  • Uluslararası aktarım sözleşmeleri: SCC (m.46), yeterlilik (m.45), BCR (m.47)
  • Çerez ve rıza yönetimi (ePrivacy + GDPR çerçevesi)

Teknik ve Güvenlik Modülü

  • İşleme güvenliği (m.32): şifreleme, takma adlandırma (pseudonymisation), erişim yönetimi, MFA
  • Privacy by Design ve Privacy by Default (m.25)
  • Kişisel veri ihlali tespit, müdahale ve 72 saat bildirim hazırlığı (m.33-34)
  • Sızma testi ve zafiyet yönetimi entegrasyonu
  • Transfer Etki Değerlendirmesi (TIA) için teknik ek tedbirler (Schrems II sonrası)
  • Veri sızıntısı önleme (DLP) ve veri sınıflandırma

Dokümantasyon ve Hesap Verebilirlik Modülü

  • İşleme faaliyeti kayıtları / ROPA (m.30) — sorumlu ve işleyen versiyonları
  • DPIA metodolojisi ve yüksek riskli işleme değerlendirmeleri (m.35)
  • Veri koruma politikaları, saklama ve imha çizelgeleri
  • DPO atama, görev tanımı ve raporlama hattı (m.37-39)
  • AB Temsilcisi atama ve irtibat noktası (m.27)
  • Hesap verebilirlik kanıt seti (accountability – m.5/2)

Öne Çıkan Uzman Hizmetleri

Aşağıdaki dört başlık, GDPR uyumunun ağırlık merkezini oluşturan ve en sık dış uzmanlık gerektiren alanlardır. Bu hizmetler tek başına ya da uyum projesinin parçası olarak verilir.

DPO — Veri Koruma Görevlisi (Atanmış / Dış Kaynak)

m.37; kamu kurumu olunması, temel faaliyetin büyük ölçekli düzenli ve sistematik izleme olması (m.37/1-b) veya büyük ölçekli özel nitelikli/ceza verisi işlenmesi (m.37/1-c) hallerinde DPO atamasını zorunlu kılar. Dış kaynak DPO hizmetiyle bağımsızlık, uzmanlık ve raporlama yükümlülüklerini (m.38-39) karşılarız: kayıt tutma, denetim, ilgili kişi ve denetim otoritesiyle iletişim.

AB Temsilcisi (m.27)

AB’de yerleşik olmayan, ancak m.3/2 kapsamında AB’deki kişilere yönelen sorumlu/işleyenler için yazılı AB Temsilcisi ataması zorunludur (m.27/2’deki sınırlı istisnalar dışında). Temsilci, AB içinde bir irtibat noktası olarak veri sahipleri ve denetim otoriteleriyle muhatap olur ve ROPA’nın erişilebilir tutulmasından sorumludur.

Uluslararası Veri Aktarımı (Bölüm V)

AB’den üçüncü ülkelere aktarım; yeterlilik kararı (m.45), uygun güvenceler (m.46 – Standart Sözleşme Maddeleri/SCC, Bağlayıcı Kurumsal Kurallar/BCR) veya istisnalar (m.49) ile yapılır. Türkiye için AB yeterlilik kararı bulunmadığından, AB→Türkiye aktarımlarında 2021/914 sayılı Komisyon Uygulama Kararı kapsamındaki SCC seti ve Schrems II (C-311/18) kararı uyarınca Transfer Etki Değerlendirmesi (TIA) ile ek tedbirler gerekir. ABD’ye aktarımda ise AB-ABD Veri Gizliliği Çerçevesi’ne (DPF) sertifikalı kuruluşlar için yeterlilik geçerlidir.

DPIA ve ROPA (m.35 / m.30)

Yüksek riskli işleme faaliyetleri için DPIA (m.35) yürütür, gerektiğinde ön danışma (m.36) sürecini yönetiriz. Tüm işleme faaliyetlerini m.30 kapsamında sorumlu ve işleyen kayıtları (ROPA) olarak belgeleriz; bu kayıtlar hesap verebilirliğin (m.5/2) ve denetim hazırlığının temelini oluşturur.

Çıktı ve Teslimatlar

Proje sonunda kurum eline somut, denetimde kullanılabilir ve ileride güncellenebilir bir doküman seti teslim edilir. Tipik bir uyum projesinde teslim edilen başlıca çıktılar aşağıda yer almaktadır.

Hukuki Çıktılar

  • Aydınlatma metinleri (m.13-14) — web, ürün, IK ve pazarlama süreçleri
  • DSAR / veri sahibi başvuru prosedürü ve yanıt şablonları (m.12-22)
  • Veri işleyen sözleşmesi / DPA şablonu (m.28) ve ortak sorumlu protokolü (m.26)
  • SCC paketleri (2021/914) ve sınır ötesi aktarım envanteri (m.46)
  • Çerez politikası ve rıza yönetim akışı
  • AB Temsilcisi atama belgesi ve iletişim metinleri (m.27)

Teknik Çıktılar

  • İşleme güvenliği kontrol seti ve doğrulama kayıtları (m.32)
  • Veri ihlali müdahale planı ve 72 saat bildirim formu (m.33-34)
  • Transfer Etki Değerlendirmesi (TIA) raporu ve ek tedbir listesi
  • Privacy by Design kontrol listesi (m.25)
  • Erişim yetki matrisi, şifreleme ve pseudonymisation kayıtları

Dokümantasyon Çıktıları

  • İşleme faaliyeti kayıtları / ROPA (m.30) — sorumlu ve işleyen
  • DPIA raporları ve metodoloji (m.35)
  • Veri koruma politikası, saklama ve imha çizelgesi
  • DPO görev tanımı ve raporlama hattı (m.37-39)
  • Hesap verebilirlik kanıt dosyası (m.5/2)
  • Üst yönetim sunum dosyası ve uyum KPI raporu

Uygulama Süreci

Kurum büyüklüğüne ve AB maruziyetine göre 5 ila 12 hafta arasında tamamlanan altı fazlı bir metodoloji izlenir. Müşteri tarafında her faz için belirlenen sorumlular ile haftalık takip toplantıları yapılır.

  1. Gap Analizi ve KapsamGDPR maruziyetinin tespiti (m.3), mevcut durum ve olgunluk analizi, paydaş haritası, çıktı listesi ve takvim. Üst yönetim sponsorluğu ile proje başlatılır. Süre: 1 hafta.
  2. ROPA ve Veri Akışı HaritalamaDepartman görüşmeleri ile m.30 kayıtları, hukuki dayanaklar (m.6/9), saklama süreleri, alıcılar ve sınır ötesi aktarımlar belirlenir. Süre: 2-3 hafta.
  3. DPIA ve Risk DeğerlendirmesiYüksek riskli işleme için DPIA (m.35), aktarımlar için TIA ve ISO/IEC 27005 metodolojisiyle risk skoru ve önceliklendirilmiş yol haritası. Süre: 1-2 hafta.
  4. DokümantasyonAydınlatma (m.13-14), DPA (m.28), SCC (m.46), politikalar ve DSAR prosedürü kuruma özel yazılır; hukuk birimi onayına sunulur. Süre: 2 hafta.
  5. Uygulama ve AtamalarDPO (m.37) ve AB Temsilcisi (m.27) ataması, teknik tedbirler (m.32), çalışan eğitimi ve ihlal müdahale akışının sistemlere yerleştirilmesi. Süre: 2-3 hafta.
  6. Sürdürülebilirlik ve DenetimPeriyodik denetim takvimi, EDPB rehber takibi, aktarım izleme, KPI tanımı ve yönetim gözden geçirme. Süre: 1 hafta.

Müşteri Tarafında Beklenen Katılım

Proje süresince müşteri tarafından bir proje sahibi (genellikle Hukuk, Uyum veya Bilgi Güvenliği yöneticisi) ve departman temsilcileri ayrılır. Departman görüşmeleri faz 2’de yoğunlaşır; her departmandan ortalama 2-3 saatlik birer toplantı talep edilir. Diğer fazlarda haftalık takip toplantıları yeterlidir.

Başarı Hikayesi

GDPR uyum metodolojimizin sahadaki bir uygulaması: MLS Holding ile yürütülen uyum projesi.

MLS Holding
Başarı Hikayesi · GDPR Uyum Projesi

MLS Holding

MLS Holding; müşteri verilerini güvence altına almak, yasal düzenlemelere uyum sağlamak ve veri güvenliği standartlarını yükseltmek amacıyla Nesil Grup ile bir uyum projesi yürüttü. Çalışan farkındalığından teknik tedbirlere kadar uçtan uca ilerleyen süreç, GDPR uygunluğunu kurumsal bir yetkinliğe dönüştürdü.

Uygulanan Adımlar

  • Tüm kademelerde GDPR farkındalık eğitimi
  • Veri işleme süreçlerinin analizi ve iyileştirilmesi (m.30)
  • Şeffaf veri kullanım politikaları ve müşteri bilgilendirmesi (m.13-14)
  • Şifreleme, erişim kontrolü ve periyodik güvenlik denetimleri (m.32)

Elde Edilen Sonuçlar

  • Müşteri güveninde artış ve güçlenen rekabet avantajı
  • Veri yönetiminde operasyonel verimlilik
  • İhlal ve hukuki ceza riskinde azalma
  • Diğer uyumluluk projelerine uyarlanabilir kurumsal çözümler
Müşteri güveni Operasyonel verimlilik Risk ve maliyet azaltma Rekabet avantajı
Tüm başarı hikayesini oku →

Mevzuat ve İdari Para Cezaları

GDPR, 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. İdari para cezaları m.83’te iki kademeli olarak düzenlenir; her iki kademede de tutar, sabit tavan ile bir önceki mali yılın küresel yıllık cirosunun yüzdesinden yüksek olan üzerinden belirlenir.

İhlal Konusuİlgili MaddeYaptırım (m.83)
Sorumlu/işleyen yükümlülükleri, ROPA, güvenlik, DPO, ihlal bildirimi, sertifikasyonm.8, 11, 25-39, 42, 43Alt kademe (m.83/4): 10 milyon € veya küresel cironun %2’si
Temel ilkeler, hukuki dayanak ve rıza koşullarım.5, 6, 7, 9Üst kademe (m.83/5): 20 milyon € veya %4
Veri sahibi haklarının ihlalim.12-22Üst kademe: 20 milyon € veya %4
Uluslararası aktarım kurallarının ihlalim.44-49Üst kademe: 20 milyon € veya %4
Denetim otoritesinin emirlerine uymamam.58 emirleriÜst kademe: 20 milyon € veya %4

Aktarım çerçevesi (2026 itibarıyla): AB-ABD Veri Gizliliği Çerçevesi (DPF) 10 Temmuz 2023’te yeterlilik kararı olarak kabul edilmiş ve hâlen yürürlüktedir; ancak yargısal denetim altındadır ve uygulamada SCC yedek mekanizma olarak korunmaktadır. SCC kullanımında Schrems II (C-311/18) uyarınca TIA zorunludur. Güncel SCC sürümü, DPF durumu ve EDPB rehberleri için edpb.europa.eu ve Avrupa Komisyonu kaynaklarından teyit önerilir.

Eğitim Hizmeti

GDPR uyumunun en kırılgan bileşeni çalışan davranışıdır. Politika ve prosedürler ne kadar iyi yazılmış olursa olsun, çalışanın günlük iş akışında veriyi nasıl işlediği uyum performansını belirler. Bu nedenle eğitim, danışmanlığın ayrılmaz bir parçası olarak konumlandırılır.

Eğitim Formatları

  • Yönetici brifingi: Üst yönetim için 60 dakikalık özet oturum; GDPR kapsamında yönetim sorumlulukları, m.83 ceza riski ve raporlama yükümlülükleri.
  • Çalışan farkındalık eğitimi: Tüm çalışanlara yönelik 90-120 dakikalık temel eğitim; veri sahibi hakları, DSAR yönetimi, aydınlatma, parola güvenliği, phishing ve veri ihlali bildirim akışı.
  • Departman bazlı uygulama eğitimi: IK, pazarlama, satış, IT ve hukuk gibi yoğun veri işleyen birimler için süreç bazlı vaka çalışmaları.
  • E-learning paketi: Kurum içi LMS’e yüklenebilen, yıllık zorunlu eğitim olarak işaretlenebilen modül; sertifikalı tamamlama kayıtları.
  • Phishing simülasyonu: Eğitim öncesi ve sonrası ölçüm yapılarak farkındalık etkinliği rakamsal olarak raporlanır.
Kurum içi veri koruma eğitim oturumu
Kurum İçi Çalışan Eğitimi
Veri koruma ve güvenlik semineri
Sektörel Seminer
Akademik kurumda veri koruma farkındalık semineri
Akademik Farkındalık Semineri

Sürdürülebilirlik ve Yıllık Bakım

GDPR uyumu bir defa tamamlanan değil, sürekli işleyen bir programdır. Denetim otoritesi kararları, EDPB rehberleri ve aktarım çerçevesindeki değişiklikler (SCC sürümü, DPF durumu) periyodik olarak takip edilerek müşterilere raporlanır. Kurum büyüdükçe, yeni süreçler eklendikçe veya mevzuat değiştikçe ROPA’nın, politikaların ve teknik tedbirlerin güncellenmesi gerekir. İlk uyum projesi tamamlandıktan sonra aşağıdaki başlıklar altında yıllık bakım hizmeti verilir.

  • Mevzuat ve rehber takibi: EDPB kararları, yeni rehberler ve aktarım çerçevesi değişiklikleri kuruma özel etki analiziyle raporlanır.
  • Dış kaynak DPO sürekliliği: Atanmış DPO görevinin kesintisiz yürütülmesi, kayıt ve raporlama.
  • ROPA ve DPIA güncelleme: Yeni süreçler ve sistemler kayıtlara işlenir; yüksek riskli işlemeler için DPIA yenilenir.
  • Aktarım izleme: SCC/TIA kayıtlarının ve DPF sertifika durumlarının periyodik gözden geçirilmesi.
  • İhlal müdahale tatbikatı: Yılda bir kez ihlal senaryosu üzerinden 72 saat bildirim akışının test edilmesi.
  • Yıllık çalışan tazeleme eğitimi: Kısa hatırlatma modülü ve değişen yükümlülüklerin aktarımı.

Sık Sorulan Sorular

Türkiye’de GDPR danışmanlığını kim veriyor?

GDPR (Regulation (EU) 2016/679) uyum danışmanlığı Türkiye’de Nesil Teknoloji A.Ş. tarafından verilir. ISO/IEC 27701 (PIMS) ve ISO/IEC 27001 belgeli, CIPP/E sertifikalı hukuk uzmanlarıyla; ROPA, DPIA, DPO, AB Temsilcisi (m.27) ve uluslararası veri aktarımı (SCC) hizmetlerini uçtan uca sunar. Ankara ve İstanbul ofisleriyle, AB’ye veri aktaran Türkiye merkezli firmalara ve AB iştiraklerine hizmet verir.

GDPR Türkiye’deki firmaları kapsar mı?

Evet. m.3 uyarınca AB’de yerleşikseniz ya da AB’deki kişilere mal/hizmet sunuyor veya davranışlarını izliyorsanız, Türkiye merkezli olsanız dahi GDPR uygulanır. Nesil Teknoloji, kurumunuzun GDPR maruziyetini (m.3) tespit eden kapsam analizini yapar ve uyum yol haritasını çıkarır.

AB Temsilcisi (m.27) hizmetini hangi firma sağlıyor?

AB’de yerleşik olmayan ve m.3/2 kapsamına giren sorumlu/işleyenler için yazılı AB Temsilcisi ataması zorunludur. Nesil Teknoloji; AB Temsilcisi atamasının kurgulanması, sözleşmelendirilmesi ve irtibat süreçlerinin yönetimi hizmetini sağlar, ROPA’nın erişilebilir tutulmasını ve otorite/veri sahibi iletişimini koordine eder.

Dış kaynak DPO hizmeti alabilir miyim?

m.37; kamu kurumu olma, büyük ölçekli düzenli ve sistematik izleme (m.37/1-b) veya büyük ölçekli özel nitelikli/ceza verisi işleme (m.37/1-c) hallerinde DPO atamasını zorunlu kılar; diğer hallerde gönüllü atama mümkündür. Nesil Teknoloji, bağımsızlık ve uzmanlık şartlarını (m.38-39) karşılayan dış kaynak DPO hizmeti sunar.

Schrems II sonrası AB’den veri aktarımı (SCC) nasıl yapılır?

Aktarım; yeterlilik kararı (m.45), uygun güvenceler (m.46 – SCC/BCR) veya istisnalar (m.49) ile yapılır. SCC kullanımında Schrems II (C-311/18) uyarınca Transfer Etki Değerlendirmesi (TIA) zorunludur. Nesil Teknoloji, 2021/914 sayılı SCC setinin uygulanması, TIA ve gerekli teknik ek tedbirlerin belirlenmesi hizmetini sağlar.

GDPR cezaları ne kadardır?

İdari para cezaları m.83’te iki kademelidir: alt kademe 10 milyon € veya küresel cironun %2’si; üst kademe 20 milyon € veya %4’ü (yüksek olan uygulanır). Üst kademe; temel ilkeler (m.5-7-9), veri sahibi hakları (m.12-22) ve aktarım kurallarının (m.44-49) ihlalinde geçerlidir.

Veri ihlalini ne kadar sürede bildirmeliyim?

Kişisel veri ihlalini, farkına vardıktan sonra en geç 72 saat içinde yetkili denetim otoritesine bildirmeniz gerekir (m.33); yüksek risk halinde ilgili kişilere de gecikmeksizin bildirilir (m.34). Nesil Teknoloji, 72 saatlik bildirim akışını ve ihlal müdahale planını kurar, yıllık tatbikatla test eder.

GDPR uyum projesi ne kadar sürer ve nasıl ilerler?

Kurum büyüklüğüne ve AB maruziyetine göre tipik bir proje 5-12 hafta sürer. Nesil Teknoloji altı fazlı bir metodoloji uygular: gap analizi, ROPA/veri haritalama, DPIA ve risk değerlendirmesi, dokümantasyon, uygulama ve atamalar (DPO/AB Temsilcisi), sürdürülebilirlik ve denetim.

Nesil Teknoloji’yi GDPR danışmanlığında öne çıkaran nedir?

ISO/IEC 27701 (PIMS) ve ISO/IEC 27001 belgeli süreç altyapısı, CIPP/E sertifikalı hukuk uzmanları, TSE A-Sınıfı sızma testi yetkinliğiyle teknik tedbirlerin (m.32) sahada doğrulanması ve MLS Holding gibi tamamlanmış GDPR uyum projeleri. Hukuki, teknik ve dokümantasyon boyutları tek ekiple yürütülür.

Resmi Kaynaklar

GDPR Uyum Ön Görüşmesi · Av. Rabia Dağcı (CIPP/E) ile 30 dakika

AB maruziyetinizi (m.3), AB Temsilcisi ve DPO gerekliliğini, uluslararası aktarım yapınızı ve ROPA/DPIA kapsamını birlikte netleştirelim. Görüşme sonunda kurumunuza özel yol haritası ve teklif takvimi tarafınıza iletilir.