Güncel KVKK Cezaları ve Kararlar
Türkiye’de veri koruma hukuku, artık sadece hukuk departmanlarının ilgilendiği teknik bir detay değil, yönetim kurullarının masasında duran en büyük risk kalemlerinden biri. 6698 sayılı KVKK’nın yürürlüğe girdiği 2016 yılından bu yana, Kişisel Verileri Koruma Kurulu (Kurul) yüzlerce emsal karara imza attı.
Özellikle 2024 yılında gerçekleşen 7499 sayılı Kanun değişikliği ile Avrupa standartlarına (GDPR) daha da yaklaşan sistemde; “kağıt üzerinde uyum” dönemi kapandı. Artık şirketlerin “süreç bazlı, dinamik ve hesap verebilir” bir yapı kurması gerekiyor.
Hangi “masum” görünen pazarlama taktiklerinin milyonluk cezalara yol açtığını ve veri ihlali durumunda nasıl aksiyon almanız gerektiğini örneklerle anlatır.
1. Veri Koruma Hukukunun Temel Dinamikleri: “Ölçülülük” İlkesi
Veri koruma hukuku, özünde “özel hayatın gizliliği” ile “ekonomik gereklilikler” arasında hassas bir denge kurar. Kurul, kararlarında Kanun’un 4. maddesindeki genel ilkeleri adeta bir “anayasal norm” gibi uygular.
Normatif Güç: “İhtiyacın Kadar Al”
Kurul’un en sık başvurduğu denetim aracı, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesidir. Örneğin, bir e-ticaret sitesinin kargo gönderimi için müşterinin doğum tarihini gün/ay/yıl olarak istemesi ölçüsüzdür. Yaş doğrulaması gerekiyorsa sadece “doğum yılı” yeterlidir.
Dürüstlük Kuralı: Şeffaflık Bir Tercih Değil
Aydınlatma metinlerini okunamaz puntolarla yazmak veya veri işleme amacını gizlemek dürüstlük kuralı ihlalidir. Kurul, kullanıcının neye “evet” dediğini net olarak anlamasını şart koşar.
2. Açık Rıza Mekanizmasının Krizi ve “Hizmet Şartı” Yasağı
“Açık rıza aldık, her şeyi yapabiliriz” düşüncesi, Türk şirketlerinin en büyük yanılgısıdır. Rızanın geçerli olabilmesi için “özgür irade” ile açıklanması gerekir.
WhatsApp Kararı: “Ya Verini Ver Ya Da Git” Diyemezsiniz
2021 WhatsApp vakasında Kurul iki kritik noktaya değindi:
- Hizmetin İfası Şartı (Bundled Consent): Mesajlaşma hizmeti için reklam amaçlı veri paylaşımı ön koşul yapılamaz.
- Battaniye Rıza (Blanket Consent): Tek bir butonla birden fazla farklı amaç için onay alınması yasaktır.
Amazon Türkiye Kararı ve “Opt-in” Zorunluluğu
- Önceden İşaretli Kutucuklar Yasaktır: Kullanıcı aktif bir hareketle kendisi işaretlemelidir.
- Sessiz Kalmak Rıza Değildir: Kutucuğu kaldırmayı unutmak onay sayılmaz.
3. Biyometrik Verilerin İşlenmesi: Kırmızı Çizgi
Parmak izi, yüz tanıma veya retina gibi veriler değiştirilemezdir. Bu nedenle Kurul, biyometrik veri işlemeye karşı son derece katı bir tutum sergilemektedir.
Spor Salonları ve İş Yerleri
Spor salonlarında veya iş yerlerinde mesai takibi için parmak izi istenmesi “ölçüsüzlük” olarak kabul edilir. Kartlı geçiş veya QR kod gibi daha az müdahaleci yöntemler varken biyometrik veri kullanılması hukuka aykırı duyulmaktadır.
4. Dijital İzleme, Çerezler ve Online Mahremiyet
“Çerezleri kabul etmezsen sitemi okuyamazsın” (Cookie Wall) yaklaşımı yasaklanmıştır. Kullanıcıya “Kabul Et” seçeneği sunulduğu kadar belirgin bir şekilde “Reddet” seçeneği de sunulmalıdır. Pazarlama çerezleri varsayılan olarak “KAPALI” gelmelidir.
5. Veri Güvenliği, Siber Saldırılar ve 72 Saat Kuralı
Bir siber saldırıya uğradığınızda, KVKK nezdinde sadece mağdur değil, aynı zamanda kapıyı açık bırakan “fail” olabilirsiniz.
- Rate Limiting: Seri giriş denemelerini engellemek.
- 2FA: İki faktörlü doğrulama katmanı.
- CAPTCHA: Bot saldırılarını durdurmak.
İhlal tespit edildiğinde en geç 72 saat içinde Kurul’a bildirim yapılması yasal zorunluluktur.
6. Yurt Dışına Veri Aktarımında Yeni Rejim (2024 Reformu)
10 Temmuz 2024 yönetmeliği ile Standart Sözleşmeler (SCC) dönemi başladı. Gmail, AWS veya yurt dışı merkezli CRM kullanımı bu kapsama girer. Sözleşme imzalandıktan sonra 5 iş günü içinde Kurul’a bildirilmelidir.
7. Gelecek Vizyonu: Yapay Zeka ve 2026
Veri koruma hukuku yerinde saymıyor. Gelecek, Yapay Zeka (AI) ve Büyük Veri regülasyonlarında yatıyor. 2026 vizyonunda Algoritmik Şeffaflık ve Deepfake ile Mücadele en kritik başlıklar olacak.
Nesil Teknoloji © 2026 · Tüm Hakları Saklıdır.
