KVKK Avukatı | Kişisel Veri ve Bilişim Hukuku

Bu sayfa kimin için: birey de, şirket de

KVKK iki ayrı kitleyi aynı anda ilgilendirir ve bu sayfa her ikisi için de yazıldı:

Veri sorumlusu işletmeler: çalışanı olan her şirket, e-ticaret ve internet siteleri, sağlık kuruluşları, eğitim kurumları, emlak ofisleri, muhasebe ve danışmanlık büroları, site ve apartman yönetimleri — yani müşterisinin, çalışanının ya da üyesinin verisini tutan herkes.
Kişisel verisi ihlal edilen bireyler: verisi izinsiz paylaşılan, rızası olmadan ticari ileti (SMS/e-posta) alan, eski işvereni ya da bir şirket tarafından verisi hukuka aykırı işlenen kişiler.

Eğer ilk gruptaysanız hedefiniz cezadan ve itibar kaybından korunmak; ikinci gruptaysanız hedefiniz Kurula şikâyet, verinin silinmesi ve gerektiğinde tazminat. Aşağıda iki tarafı da somut adımlarla anlatıyoruz.

Pratik not: Çoğu KVKK cezası dava değil, basit bir önlemle (VERBİS kaydı, aydınlatma metni, veri güvenliği tedbiri) önlenebilecek eksikliklerden çıkıyor. Erken hareket, sonradan ödenecek cezadan her zaman ucuzdur.

KVKK nedir, hangi mevzuata dayanır?

Kişisel verilerin korunması Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenir; Kanun 7 Nisan 2016'da yürürlüğe girmiştir. Anayasa'nın 20. maddesinin son fıkrası da kişisel verilerin korunmasını temel bir hak olarak güvence altına alır. Kanunu uygulayan kurum Kişisel Verileri Koruma Kurumu, karar veren organ ise Kişisel Verileri Koruma Kurulu'dur (kısaca Kurul). Günlük uygulamayı asıl şekillendiren, Kurul'un yayımladığı kararlar ve ilke kararlarıdır.

İlgili mevzuat: Temel kurallar 6698 sayılı KVKK'da; yurt dışına aktarım rejimi 7499 sayılı Kanun'la 12.03.2024'te yeniden yazılmış, ayrıntı ise ikincil düzenlemeler (Yurt Dışına Aktarım Yönetmeliği 10.07.2024, VERBİS ve veri silme yönetmelikleri) ve Kurul kararlarıyla doldurulmuştur. Kişisel veriye yönelik suçlar ise ayrıca 5237 sayılı Türk Ceza Kanunu (TCK) m. 135-140 ile bilişim sistemine girme/engelleme/bozma suçları m. 243-246 kapsamında ele alınır.

Kanun hem veri sorumlusunu (verinin işleme amaç ve araçlarını belirleyen) hem de onun adına veri işleyen veri işleyeni kapsar; Türkiye'de yerleşik birey ve kurumların verisini işleyen yurt dışı şirketler de belirli hâllerde Kanun kapsamına girer.

Kişisel veri ve özel nitelikli veri nedir?

Kişisel veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir: ad-soyad, T.C. kimlik numarası, telefon, e-posta, adres, IP, konum, kamera kaydı, hatta tek başına anlam taşımasa da kişiyi tanınır kılan veri parçaları. Özel nitelikli (hassas) kişisel veri ise daha sıkı korunur: sağlık, cinsel hayat, ırk, etnik köken, din-mezhep, siyasi düşünce, sendika üyeliği, ceza mahkûmiyeti, biyometrik ve genetik veriler (KVKK m. 6).

Dikkat: Sağlık ve biyometrik veri işleyen işletmeler (klinikler, güzellik merkezleri, parmak izli giriş sistemi kuran şirketler) çok daha ağır yükümlülük altındadır. Bu verilerin işlenmesi kural olarak açık rızaya veya kanunun öngördüğü istisnai hâllere bağlıdır ve Kurul bu alanı yoğun denetler.

Veri işlemenin hukuka uygunluğu: açık rıza ve diğer şartlar

Kişisel veri ancak bir hukuka uygunluk sebebine dayanılarak işlenebilir. Bu sebepler KVKK m. 5'te sayılmıştır: kanunlarda açıkça öngörülmesi, sözleşmenin kurulması/ifası için zorunluluk, hukuki yükümlülük, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi-kullanılması-korunması ve veri sorumlusunun meşru menfaati. Bunlar yoksa açık rıza gerekir.

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Önceden işaretlenmiş kutucuk, hizmet alma şartına bağlanmış "mecburi" onay ya da topluca alınan genel rıza geçerli değildir.

Sık yapılan hata: Her şeyi açık rızaya dayandırmak. Açık rıza her an geri alınabildiği için kırılgan bir zemindir. Çoğu işlemde (örneğin iş sözleşmesi, fatura, hukuki yükümlülük) m. 5'teki başka bir sebep daha sağlamdır. Hangi faaliyetin hangi sebebe dayanacağını faaliyet bazında belirlemek gerekir.

Aydınlatma yükümlülüğü (aydınlatma metni)

Veri sorumlusu, veriyi elde ederken ilgili kişiyi bilgilendirmek zorundadır (KVKK m. 10). Aydınlatma metni; kimliğinizi, verinin hangi amaçla ve hukuki sebeple işlendiğini, kimlere aktarılabileceğini, toplama yöntemini ve ilgili kişinin haklarını açıkça içermelidir. Açık rızadan ayrı ve ondan önce yerine getirilmesi gereken bir yükümlülüktür.

İnternet sitesi gizlilik politikası, işe alım formu, müşteri sözleşmesi, kamera kaydı bilgilendirmesi — hepsi ayrı ayrı aydınlatma gerektirir. Eksik veya genel-geçer kopyala-yapıştır metinler Kurul denetiminde ilk takılınan noktadır. Doğru aydınlatma altyapısını ve sözleşmelerinizdeki veri işleme hükümlerini birlikte kurgularız.

VERBİS kaydı: kim, ne zaman kayıt olmalı?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK m. 16 uyarınca tutulan kamuya açık bir sicildir. Kapsamdaki veri sorumluları, veri işlemeye başlamadan önce VERBİS'e kaydolmak ve Kişisel Veri İşleme Envanteri hazırlamak zorundadır. Kayıt yükümlülüğünün kapsamı ve istisnaları; yıllık çalışan sayısı ve yıllık mali bilanço gibi ölçütlere göre Kurul kararlarıyla belirlenir — bu eşikler değişebildiği için güncel durumun teyidi gerekir.

Dikkat: VERBİS kaydının yapılmaması, Kurul'un en sık ceza kestiği eksikliklerden biridir; çünkü görünür ve nettir. Yurt dışında yerleşik veri sorumluları ise Türkiye'de bir temsilci atayarak kayıt olur. Kayıt + envanter sürecini baştan sona biz yürütebiliriz.

İlgili kişinin hakları ve başvuru-cevap süreleri

KVKK m. 11 herkese kendi verisi üzerinde haklar tanır: verisinin işlenip işlenmediğini öğrenme, bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme, düzeltilmesini, silinmesini veya yok edilmesini isteme, üçüncü kişilere bildirilmesini talep etme ve işlemenin sonucuna itiraz etme.

İlgili kişi önce veri sorumlusuna başvurur; veri sorumlusu talebi en geç 30 gün içinde ücretsiz olarak (Kurul'un belirlediği hâllerde ücret alınabilir) sonuçlandırmak zorundadır (m. 13). Başvuru reddedilir, yetersiz yanıtlanır ya da süresinde cevaplanmazsa, ilgili kişi Kurula şikâyet yoluna gidebilir (m. 14). Şirket tarafındaysanız başvuru-cevap iş akışını ve şablonlarını kurarız; birey tarafındaysanız başvuru ve şikâyet dilekçelerinizi biz hazırlarız.

Veri ihlali ve 72 saat kuralı

Kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi (siber saldırı, fidye yazılımı, çalınan dizüstü, yanlış e-posta gönderimi, yetkisiz erişim) hâlinde veri sorumlusu bunu en kısa sürede Kurula bildirmek zorundadır (KVKK m. 12/5). Kurul'un 24.01.2019 tarihli 2019/10 sayılı kararı bu süreyi, ihlalin öğrenilmesinden itibaren kural olarak 72 saat olarak yorumlar; ayrıca etkilenen ilgili kişilere de makul sürede bildirim yapılması gerekir.

Saat işliyor: 72 saat çok kısadır ve süre, ihlali "öğrendiğiniz" anda başlar — soruşturmayı bitirdiğinizde değil. Önceden hazırlanmış bir olay müdahale planı (kim karar verir, ne bildirilir, hangi ifadelerle) ile, gecikmiş bildirim nedeniyle ikinci bir ihlal işlemekten kurtulursunuz.

Kişisel verilerin yurt dışına aktarımı (2024 değişikliği)

Verinin yurt dışına gönderilmesi (yurt dışı sunucu, bulut hizmeti, yurt dışındaki ana şirket ya da grup sistemi) ayrı ve sıkı kurallara tabidir. Bu rejim 7499 sayılı Kanun'la 12.03.2024'te ve buna bağlı 10.07.2024 tarihli Yurt Dışına Aktarım Yönetmeliği ile köklü biçimde değişti. Eski "taahhütname + Kurul izni" yaklaşımı yerine, kademeli bir yapı geldi:

Aktarım yolu	Ne zaman uygulanır
Yeterlilik kararı	Kurul'un yeterli koruma sağladığına karar verdiği ülke/sektör/uluslararası kuruluşa aktarım
Uygun güvenceler	Standart sözleşme (SCC), bağlayıcı şirket kuralları (BCR), yazılı taahhüt veya onaylı diğer güvenceler
İstisnai hâller (arızi)	Açık rıza, sözleşmenin ifası gibi sınırlı ve olaya özgü hâller (m. 9'daki arızi hâller)

Standart sözleşme bildirimi: Standart sözleşmeye dayanılarak aktarım yapıldığında, imzalı sözleşmenin imza tarihinden itibaren 5 iş günü içinde Kurula bildirilmesi gerekir. Bu adım kolayca atlanır ve Kurul tarafından kolayca tespit edilir; aktarım sürecinize baştan yerleştiririz.

Soruşturma, idari para cezası ve suç boyutu

Yaptırım iki koldan gelir. Birincisi, Kurul'un KVKK m. 18 uyarınca verdiği idari para cezalarıdır: aydınlatma yükümlülüğüne aykırılık, veri güvenliği tedbirlerinin alınmaması (m. 12), VERBİS kaydının yapılmaması ve Kurul kararlarına uymama gibi hâllerde uygulanır. Tutarlar her yıl yeniden değerleme oranında artırıldığı için gerçek risk sürekli yükselir; bu nedenle tarihi geçecek bir rakam vermek yerine her dosyada o yılın güncel tutarı üzerinden değerlendirme yaparız.

Ceza boyutu (TCK): Kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi veya yayılması TCK m. 135-140 kapsamında suçtur ve hapis cezası gerektirir. Bu nedenle şirketin idari para cezası ile aynı anda, şirket içindeki gerçek kişiler kişisel ceza sorumluluğuyla da karşılaşabilir. Bilişim sistemine hukuka aykırı erişim, sistemi engelleme/bozma ve banka-kredi kartı kötüye kullanımı ise TCK m. 243-246 kapsamındadır.

Bir şikâyet ya da resen soruşturma açıldığında Kurul nezdinde savunmanızı hazırlar, sürecinizi yönetir ve gerektiğinde Kurul kararına karşı idari yargıda iptal davası yolunu kullanırız.

Bilişim suçları: mağdur ve şüpheli tarafında destek

Bilişim hukuku yalnızca uyumdan ibaret değildir. Sıklıkla karşılaştığımız uyuşmazlıklar şunlardır: hesap ele geçirme (hacklenme), kimlik avı (phishing) ve dolandırıcılık, fidye yazılımı saldırıları, izinsiz çekilen/yayılan fotoğraf ve videolar, sosyal medyada hakaret ve iftira, sahte hesaplar, izinsiz ticari elektronik ileti (spam), telif ve veri ihlalleri.

Mağdursanız: suç duyurusu ve şikâyet dilekçesi, içeriğin erişime engellenmesi / yayından kaldırılması (5651 sayılı İnternet Kanunu kapsamında sulh ceza hâkimliğine başvuru), delillerin usulüne uygun tespiti ve tazminat talebinde yanınızdayız.
Hakkınızda işlem varsa: ifade ve savunma sürecinizde, soruşturma ve kovuşturma aşamasında ceza hukuku ekibimizle birlikte hukuki desteğinizi sağlarız.

Yurt dışından da uyum mümkün

Türkiye'de ofisinizin olması şart değil. Türkiye'deki kişilerin verisini işleyen yurt dışı şirketler, Türkiye'de bir temsilci atayarak VERBİS'e kaydolur ve KVKK yükümlülüklerini yerine getirir. Vekâletname ile (yurt dışında düzenlenip apostil şerhi konularak ve tercüme edilerek ya da Türk konsolosluğunda imzalanarak) VERBİS kaydınızı yapar, Türk hukukuna uygun politika ve metinlerinizi hazırlar, aktarım mekanizmalarınızı kurar ve Kurul önünde sizi temsil ederiz. Bu hizmet, şirketler hukuku ve ticari faaliyetinizin diğer ayaklarıyla doğal biçimde bağlanır.

Şirketlerin en sık yaptığı KVKK hataları

Denetimde en çok karşılaşılan eksikler kısa bir listede toplanır: VERBİS kaydının hiç yapılmaması veya güncellenmemesi; her şeyin doğru hukuki sebep yerine açık rızaya dayandırılması; aydınlatma metninin olmaması ya da kopyala-yapıştır olması; veri güvenliği tedbirlerinin (erişim yetkileri, log kayıtları, şifreleme, sözleşmeli veri işleyen denetimi) alınmaması; yurt dışı aktarımın hukuki dayanak ve 5 günlük standart sözleşme bildirimi olmadan yapılması; 72 saatlik ihlal bildirim penceresinin kaçırılması; ve saklama-imha politikası bulunmaması.

Bu eksiklerin her biri denetimden önce ucuza, denetimden sonra pahalıya kapanır. İş hukuku tarafında çalışan verisi, özlük dosyası ve kamera kayıtları da aynı disipline tabidir; iki alanı birlikte değerlendiririz.

Neden KVKK ve bilişim hukuku avukatıyla çalışmalısınız?

KVKK, metni okunarak değil; Kurul'un sürekli artan kararları ve ilke kararları okunarak uygulanan bir alandır. 2024 aktarım reformu hâlâ yerleşmekte, idari para cezaları her yıl güncellenmekte, bilişim suçlarında ise hız ve usule uygun delil tespiti dosyanın kaderini belirlemektedir. Bir avukatla çalışmak; Kurul'un bir VERBİS kaydından ya da ihlal bildiriminden ne beklediğini bilerek hareket etmek, soruşturma açıldığında savunmayı doğru kurmak ve mağdursanız haklarınızı zamanında kullanmak demektir. Sorularınız varsa durumunuzu bize anlatın; doğru adımı birlikte belirleyelim.

KVKK uyum ve uyuşmazlık sürecini nasıl yürütüyoruz

Durum tespiti ve risk analizi

Şirketseniz hangi verileri tuttuğunuzu, nereye aktığını ve yurt dışına gidip gitmediğini KVKK karşısında ölçer, eksikleri çıkarırız. Bireyseniz ihlalin niteliğini ve elinizdeki delili değerlendiririz.

Yükümlülük haritası ve öncelik planı

KVKK'nın sizden tam olarak ne beklediğini (kayıt, aydınlatma, hukuki sebep, aktarım, güvenlik) öncelik sırasına koyar, net bir yol haritası sunarız.

VERBİS kaydı, envanter ve politikalar

VERBİS kaydınızı ve kişisel veri işleme envanterinizi hazırlar; aydınlatma metni, açık rıza metni, gizlilik politikası, saklama-imha ve veri güvenliği politikalarınızı düzenleriz.

Yurt dışı aktarım mekanizması

Doğru aktarım yolunu (yeterlilik, standart sözleşme, bağlayıcı şirket kuralları veya arızi hâl) kurar; standart sözleşmede 5 iş günlük Kurul bildirimini yaparız.

İhlal ve başvuru prosedürleri

72 saatlik veri ihlali müdahale planınızı ve ilgili kişi başvuru-cevap iş akışınızı, ekibinizin gerçekten kullanabileceği şablonlarla kurarız.

Kurul ve yargı temsili

Şikâyet veya soruşturma hâlinde Kurul nezdinde savunmanızı hazırlar; gerekirse idari yargıda iptal davasını ve bilişim suçlarında ceza sürecini yürütürüz.

Sürekli uyum ve eğitim

Mevzuat ve Kurul kararları değiştikçe programınızı güncel tutar, çalışanlarınıza farkındalık eğitimi vererek uyumun kâğıt üzerinde değil sahada da yaşamasını sağlarız.

KVKK ve bilişim hukuku — sık sorulan sorular

KVKK avukatı tam olarak ne yapar?

KVKK avukatı; veri sorumlusu uyum sürecini (VERBİS kaydı, aydınlatma ve açık rıza metinleri, veri işleme envanteri, politikalar) kurar, yurt dışı aktarım mekanizmalarını oluşturur, veri ihlali bildirimini yönetir, Kişisel Verileri Koruma Kurulu önündeki soruşturma ve idari para cezalarında savunma yapar ve gerektiğinde idari yargıda iptal davası açar. Bilişim suçlarında ise mağdur veya şüpheli tarafında hukuki destek verir.

Küçük işletmem de KVKK'ya uymak zorunda mı?

Çalışanı, müşterisi ya da üyesi olan ve onların kişisel verisini tutan her işletme KVKK kapsamındaki veri sorumlusudur. VERBİS kayıt yükümlülüğünün kapsamı çalışan sayısı ve yıllık mali bilanço gibi ölçütlere göre değişebilse de; aydınlatma, hukuka uygun işleme ve veri güvenliği yükümlülükleri kayıt eşiğine bakılmaksızın küçük işletmeler için de geçerlidir.

VERBİS kaydı nedir, kaydolmazsam ne olur?

VERBİS (Veri Sorumluları Sicili), KVKK m. 16 uyarınca tutulan kamuya açık bir kayıt sistemidir. Kapsamdaki veri sorumlusu, veri işlemeye başlamadan önce kaydolmalı ve kişisel veri işleme envanteri hazırlamalıdır. Kaydın yapılmaması Kurul'un en sık ceza kestiği eksiklerdendir; bu nedenle eşik kapsamında olup olmadığınızı baştan belirlemek gerekir.

Açık rıza ile aydınlatma metni aynı şey mi?

Hayır. Aydınlatma metni (m. 10), veriyi işlerken kişiyi bilgilendirme yükümlülüğüdür ve her hâlde gereklidir. Açık rıza ise (m. 5) yalnızca başka bir hukuki sebep yoksa gereken, geri alınabilir bir onaydır. Önce aydınlatma yapılır; rıza gerekiyorsa ayrıca ve aydınlatmadan bağımsız biçimde alınır.

Veri ihlalini ne kadar sürede bildirmem gerekir?

KVKK m. 12/5 ihlalin 'en kısa sürede' bildirilmesini ister. Kurul'un 24.01.2019 tarihli 2019/10 sayılı kararı bunu, ihlali öğrenmenizden itibaren kural olarak 72 saat olarak yorumlar. Ayrıca etkilenen ilgili kişilere de bildirim yapılması gerekir. Süre, soruşturmayı bitirdiğinizde değil, ihlali öğrendiğinizde başlar.

Kişisel verileri yurt dışındaki sunucuya/ana şirkete aktarabilir miyim?

Evet, ancak 7499 sayılı Kanun'la gelen yeni rejimdeki bir hukuki yola dayanarak: Kurul'un yeterlilik kararı, uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, taahhütname) veya sınırlı arızi hâller (açık rıza, sözleşmenin ifası gibi). Standart sözleşmeye dayandığınızda imzalı sözleşmeyi 5 iş günü içinde Kurula bildirmeniz gerekir.

2024'te KVKK'da ne değişti?

7499 sayılı Kanun (12.03.2024) ve buna bağlı 10.07.2024 tarihli Yurt Dışına Aktarım Yönetmeliği, yurt dışı veri aktarım rejimini köklü biçimde değiştirdi. Eski izin/taahhütname ağırlıklı yapı yerine; yeterlilik kararı, uygun güvenceler ve arızi hâllerden oluşan kademeli bir yapı geldi.

KVKK idari para cezaları ne kadar?

Cezalar KVKK m. 18 uyarınca; aydınlatma yükümlülüğüne aykırılık, veri güvenliği tedbirlerinin alınmaması, VERBİS kaydının yapılmaması ve Kurul kararlarına uymama gibi hâllerde uygulanır. Tutarlar her yıl yeniden değerleme oranında artırıldığı için, hızla eskiyecek bir rakam yerine her dosyada o yılın güncel tutarı üzerinden değerlendirme yaparız.

Veri ihlali yüzünden hapis cezası alınabilir mi?

Kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi veya yayılması TCK m. 135-140 kapsamında suçtur ve hapis cezası gerektirir. Bu ceza sorumluluğu, şirkete kesilen idari para cezasından bağımsızdır ve şirket içindeki gerçek kişilere yönelebilir.

Verim izinsiz paylaşıldı / hacklendim, ne yapabilirim?

Öncelikle delilleri usulüne uygun tespit edip, içeriğin 5651 sayılı İnternet Kanunu kapsamında erişime engellenmesi/yayından kaldırılması için sulh ceza hâkimliğine başvurulabilir. Ayrıca cumhuriyet başsavcılığına suç duyurusu, Kurula şikâyet ve şartları varsa maddi-manevi tazminat davası yolları açıktır.

İzinsiz reklam SMS'i / e-postası alıyorum, hakkım var mı?

Evet. İzniniz olmadan gönderilen ticari elektronik iletiler hem 6563 sayılı Kanun hem de KVKK yönünden ihlal oluşturabilir. İlgili kişi olarak önce veri sorumlusuna başvurabilir, sonuç alamazsanız Kurula şikâyet ve ilgili idari mercilere başvuru yollarını kullanabilirsiniz.

Yurt dışında yerleşik şirketiz, Türkiye'de ofisimiz yok; yine de uyum sağlayabilir miyiz?

Evet. Türkiye'deki kişilerin verisini işliyorsanız Türkiye'de bir temsilci atayarak VERBİS'e kaydolabilir ve yükümlülükleri yerine getirebilirsiniz. Noter onaylı ve apostilli bir vekâletname ile kaydınızı yapar, Türk hukukuna uygun metinlerinizi hazırlar, aktarım mekanizmalarınızı kurar ve Kurul önünde sizi temsil ederiz; süreç büyük ölçüde uzaktan yürütülebilir.

KVKK Avukatı: Kişisel Verilerin Korunması ve Bilişim Hukuku