Şirketler ve Ticaret Hukuku

KVKK Uyum Süreci: Şirketler İçin Adım Adım Rehber

18 Eylül 202413 dk okuma
İnceleyen Lexin Legal · Güncelleme 14 Haziran 2026

Kişisel veri işleyen her şirket, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlusu sıfatıyla bir dizi yükümlülüğü yerine getirmek zorundadır: aydınlatma metni hazırlamak, gereken hallerde açık rıza almak, VERBİS'e kaydolmak, veri güvenliği önlemlerini almak ve ihlalleri 72 saat içinde Kurul'a bildirmek. Bu yükümlülükler ihmal edildiğinde 2026 yılı için on milyonlarca liraya ulaşabilen idari para cezaları gündeme gelir. Bu rehber; KVKK uyum sürecinin adımlarını, VERBİS kayıt eşiklerini, 12 Mart 2024 reformuyla (7499 sayılı Kanun) değişen yurt dışına veri aktarımı kurallarını ve güncel 2026 ceza bandlarını Türkiye'de faaliyet gösteren şirketler için sade biçimde anlatır.

KVKK Kimleri Kapsar? Veri Sorumlusu Kimdir?

KVKK, gerçek kişilere ait kişisel verileri tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olarak işleyen herkesi kapsar. Yani çalışanı, müşterisi, tedarikçisi veya web sitesi ziyaretçisi olan hemen hemen her şirket Kanun'un muhatabıdır.

Kanun'un merkezindeki iki kavramı doğru ayırmak gerekir:

  • Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Çoğu durumda şirketin kendisidir.
  • Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen kişi; örneğin bordro hizmeti aldığınız muhasebe firması, bulut sunucu sağlayıcınız veya çağrı merkeziniz.

Bu ayrım önemlidir, çünkü Kanun'daki idari para cezalarının büyük kısmı doğrudan veri sorumlusuna kesilir. Dışarıdan hizmet aldığınızda veri işleyenle aranızda sorumlulukları düzenleyen bir veri işleme sözleşmesi bulunması gerekir.

KVKK ile ilgilenmesi gereken işletmeler

Sektör fark etmeksizin şu faaliyetlerden biri varsa KVKK gündeminizdedir:

  • Çalışan özlük dosyası, bordro, işe alım başvurusu tutmak.
  • Müşteri/üye/abone kayıtları, e-ticaret sipariş verileri tutmak.
  • Web sitesinde çerez, analitik veya iletişim formu kullanmak.
  • CCTV (güvenlik kamerası) ile görüntü kaydı almak.
  • SMS, e-posta ya da arama yoluyla ticari elektronik ileti göndermek.
Kanun ne diyor: KVKK m. 4 uyarınca kişisel veriler ancak hukuka ve dürüstlük kurallarına uygun, belirli ve meşru amaçlarla, ölçülü ve amaçla bağlantılı biçimde işlenebilir; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Bu ilkeler tüm veri işleme faaliyetlerinin zeminidir.

Kişisel Veriyi İşlemenin Hukuki Şartı: Açık Rıza mı, İstisna mı?

KVKK'da kişisel veri işlemenin temel kuralı şudur: Ya ilgili kişinin açık rızası bulunacak, ya da Kanun'da sayılan işleme şartlarından (istisnalardan) en az biri gerçekleşecek. Açık rıza alınmadan işleme yapılabilmesi için mutlaka bir istisnaya dayanılmalıdır.

KVKK m. 5/2'deki başlıca işleme şartları şunlardır:

  • Kanunlarda açıkça öngörülmesi.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması (örneğin satış sözleşmesi için müşteri adres bilgisi).
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi (örneğin SGK bildirimleri).
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması.
Uygulamada: Açık rıza, çoğu zaman düşünüldüğü gibi her şeyin çözümü değildir. Açık rıza özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olmak zorundadır. Bir hizmetin ön şartı haline getirilen, baştan işaretli kutucukla alınan ya da geri alınamayan rıza geçersiz sayılır. Bu nedenle mümkün olduğunda rıza yerine m. 5/2'deki bir işleme şartına dayanmak daha sağlamdır.

Özel nitelikli (hassas) kişisel veriler

Sağlık, cinsel hayat, din, ırk, etnik köken, siyasi düşünce, felsefi inanç, dernek/vakıf/sendika üyeliği, kılık-kıyafet, ceza mahkûmiyeti ve biyometrik/genetik veriler özel nitelikli kişisel veridir ve daha sıkı korunur. 12 Mart 2024 reformuyla KVKK m. 6 yeniden düzenlenmiş; sağlık ve cinsel hayat verileri için ayrı tutulan dar rejim kaldırılarak işleme şartları yeniden yapılandırılmıştır. Yine de bu veriler kural olarak açık rıza veya Kanun'da sayılan özel bir şart bulunmadan işlenemez ve bunlar için Kurul'un belirlediği ek güvenlik tedbirleri alınmalıdır.

Aydınlatma Yükümlülüğü: Aydınlatma Metni Nasıl Hazırlanır?

Kişisel veri işleyen her veri sorumlusu, verisini işlediği kişiyi önceden bilgilendirmek zorundadır. Bu, KVKK m. 10'da düzenlenen aydınlatma yükümlülüğüdür ve açık rızadan bağımsız, her halükârda yerine getirilmesi gereken bir borçtur.

Aydınlatma metninde asgari olarak şu hususlara yer verilmelidir:

  • Veri sorumlusunun (ve varsa temsilcisinin) kimliği.
  • Kişisel verilerin hangi amaçla işleneceği.
  • İşlenen verilerin kimlere ve hangi amaçla aktarılabileceği.
  • Veri toplamanın yöntemi ve hukuki sebebi.
  • İlgili kişinin KVKK m. 11'deki hakları (bilgi talep etme, düzeltme, silme, itiraz vb.).

Aydınlatma; verinin elde edilmesi sırasında yapılmalıdır. Web sitesinde ziyaretçi formu, işe alımda aday, çalışanlar, müşteriler, ziyaretçiler ve kamera kaydı için ayrı ayrı uygun aydınlatma metinleri bulunması beklenir.

Sık yapılan hata: Aydınlatma metni ile açık rıza beyanını tek bir metinde, tek imzayla birleştirmek Kurul tarafından eleştirilen bir uygulamadır. Aydınlatma bir bilgilendirmedir; açık rıza ise ayrı, özgür bir iradedir. İkisini ayrı belgeler halinde kurgulamak gerekir.

Aydınlatma ve açık rıza metinlerinin, çerez politikalarının ve veri işleme sözleşmelerinin hazırlanması için KVKK ve bilişim hukuku avukatı desteği almak, sonradan ceza riskiyle karşılaşmamak adına yerinde olur.

VERBİS Kaydı Zorunlu mu? Kimler Kayıt Olmak Zorunda?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının tutulduğu kamuya açık bir kayıt sistemidir. Kural olarak kişisel veri işleyen veri sorumluları, işleme faaliyetine başlamadan önce VERBİS'e kaydolmak ve bir irtibat kişisi belirlemekle yükümlüdür.

Ancak kayıt zorunluluğu herkes için geçerli değildir. Kişisel Verileri Koruma Kurulu, belirli eşiklere göre muafiyet ve kapsam belirlemiştir. Genel ölçütler şunlardır:

  • Yıllık çalışan sayısı ve yıllık mali bilanço toplamı belirli eşiklerin altında kalan veri sorumluları için (ana faaliyeti özel nitelikli veri işleme olmamak kaydıyla) muafiyet öngörülmüştür.
  • Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları (örneğin hastaneler, laboratuvarlar) eşik aranmaksızın kayıt yükümlüsü olabilir.
  • Kamu kurumları ve bazı meslek grupları için farklı düzenlemeler mevcuttur.
Tavsiye: Çalışan sayısı ve bilanço eşikleri ile muafiyet kapsamları Kurul kararlarıyla zaman zaman güncellenmektedir. "Küçük şirketiz, kapsam dışıyız" varsayımıyla hareket etmek yerine, kendi durumunuzu güncel eşiklere göre özel olarak değerlendirmek gerekir. Kayıt yükümlülüğü olduğu halde kaydolmamak ağır idari para cezasıyla karşılaşmanın en sık nedenlerinden biridir.

VERBİS'teki irtibat kişisi; Kurul ve ilgili kişilerle iletişimi sağlayan bir bağlantı noktasıdır. Bu kişi, kararları denetleyen bağımsız bir veri koruma görevlisi değildir; yetkisi yalnızca iletişim ve bildirimle sınırlıdır.

Veri Güvenliği Yükümlülüğü: Hangi Tedbirler Alınmalı?

KVKK m. 12, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak için uygun teknik ve idari tedbirleri alma yükümlülüğü getirir. Bu, uyum sürecinin en çok cezaya konu olan alanlarından biridir; zira veri ihlali yaşandığında Kurul ilk olarak yeterli güvenlik tedbirinin alınıp alınmadığına bakar.

Kurul'un rehberlerinde öne çıkan tedbirler iki başlıkta toplanır:

  • İdari tedbirler: Kişisel veri envanteri çıkarmak, kurum içi politika ve prosedürler oluşturmak, çalışanlara gizlilik taahhütnamesi imzalatmak ve farkındalık eğitimi vermek, erişim yetkilerini sınırlamak, veri işleyenlerle sözleşme yapmak.
  • Teknik tedbirler: Yetkilendirme ve erişim kontrolü, güncel anti-virüs ve güvenlik duvarı, şifreleme, yedekleme, log (kayıt) tutma, sızma testleri ve güvenlik açığı taramaları.

Veri ihlali olursa ne yapılmalı? (72 saat kuralı)

Kişisel verilerin hukuka aykırı şekilde başkaları tarafından ele geçirilmesi halinde veri sorumlusu, bu durumu öğrendiği tarihten itibaren en kısa sürede ve 72 saat içinde Kurul'a bildirmek zorundadır (Kurul'un 2019/10 sayılı kararı). Ayrıca ihlalden etkilenen ilgili kişilere de makul en kısa sürede bilgi verilmelidir.

Dikkat: 72 saat çok kısadır ve ihlal anında planlama yapmaya vakit kalmaz. Bu nedenle önceden yazılı bir ihlal müdahale prosedürü hazırlamak, ihlali kimin tespit edip kime raporlayacağını ve Kurul bildiriminin nasıl yapılacağını belirlemek kritik önemdedir.

Yurt Dışına Veri Aktarımı: 2024 Reformu Neyi Değiştirdi?

Kişisel verinin yurt dışındaki bir sunucuya, grup şirketine veya hizmet sağlayıcıya aktarılması, KVKK'nın en çok ihlal edilen ve 2024'te en köklü değişen alanıdır. 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Kanun ile KVKK m. 9 yeniden yazılmış; 10 Temmuz 2024 tarihli Yönetmelik ile uygulama esasları belirlenmiştir. Eski, büyük ölçüde açık rızaya dayalı katı model yerini kademeli bir sisteme bırakmıştır.

Süreye dikkat: Süregelen (mutad) yurt dışı aktarımlar için eski açık rıza yöntemi yalnızca geçiş dönemiyle, 1 Eylül 2024 tarihine kadar uygulanabilmiştir. Bu tarihten sonra düzenli aktarımların aşağıdaki yeni mekanizmalardan birine dayanması gerekir; tek başına açık rıza yeterli değildir.

Artık kişisel veri yurt dışına üç yoldan biriyle aktarılabilir:

  1. Yeterlilik kararı: Kurul'un, aktarımın yapılacağı ülke, sektör veya uluslararası kuruluş hakkında verdiği yeterlilik kararının bulunması.
  2. Uygun güvenceler: Yeterlilik kararı yoksa; Kurul tarafından ilan edilen standart sözleşme, bağlayıcı şirket kuralları (grup içi aktarımlar için), yazılı taahhütname gibi uygun güvencelerden birinin sağlanması.
  3. Arızi (istisnai) haller: Açık rızaya veya sözleşmenin ifası, bir hakkın tesisi gibi belirli kanuni sebeplere dayalı, süreklilik arz etmeyen tek seferlik aktarımlar.
5 iş günü bildirimi: Aktarım Kurul'un standart sözleşmesine dayanıyorsa, veri sorumlusu veya veri işleyen, sözleşmenin imzalanmasından itibaren 5 iş günü içinde Kurul'a bildirim yapmak zorundadır. Standart sözleşmenin Türkçe metni esastır ve değiştirilmeden kullanılmalıdır. Bu 5 günlük bildirimi kaçırmanın artık ayrı bir idari para cezası vardır.

Hangi güvence sizin için uygun?

  • Tek bir Türk şirketinin yurt dışındaki ana şirkete İK veya müşteri verisi aktarması için genellikle Kurul'un standart sözleşmesi pratik çözümdür; Türkçe metin değiştirilmeden imzalanır ve 5 iş günü içinde bildirilir.
  • Çok sayıda şirket ve ülke arasında veri akışı olan gruplar için bağlayıcı şirket kuralları daha ağır bir onay süreci gerektirse de tüm grubu tek çatı altında kapsadığı için tercih edilebilir.
  • Nadiren yaşanan tek seferlik bir aktarım için arızi haller uygun olabilir; ancak düzenli, sürekli akışlar bu istisnaya dayandırılmamalıdır.

Bu aktarımların arkasındaki veri işleme sözleşmelerinin ve standart sözleşmelerin hazırlanıp denetlenmesi için sözleşme avukatı ve ticaret hukuku avukatı desteği almak, çok taraflı veri akışlarında özellikle önem taşır.

GDPR Türk Şirketini Bağlar mı? (AB'ye Satış Yapanlar İçin)

Yalnızca yurt içine yönelik faaliyet gösteren şirketler için cevap çoğunlukla hayırdır; sizin için asıl mevzuat KVKK'dır. Ancak Avrupa Birliği'ndeki kişilere mal/hizmet sunan ya da onların davranışlarını izleyen Türk şirketleri, AB Genel Veri Koruma Tüzüğü'nün (GDPR) yer bakımından genişletilmiş kapsamına (m. 3) girebilir. Bu durumda şirket hem KVKK'ya hem GDPR'a aynı anda uymak zorunda kalır.

Bir Türk şirketini GDPR'a bağlayan tipik haller şunlardır:

  • AB'deki müşterilere yönelik, euro fiyatlandırması, AB dillerinde ödeme ve AB'ye kargo sunan bir e-ticaret sitesi işletmek.
  • AB'deki kullanıcıları hedefleyen reklam, profilleme veya davranışsal pazarlama yapmak.
  • AB'de yerleşik uzaktan çalışanların verilerini işlemek.
Önemli ayrım: Türkçe bir web sitesinin Avrupa'dan erişilebilir olması tek başına GDPR'ı tetiklemez. GDPR, AB'deki kişileri hedeflediğinizde devreye girer; euro fiyatı, AB diliyle satış, AB'ye teslimat ya da AB'ye yönelik reklam bunun işaretidir.

Avrupa Birliği, Türkiye için bir yeterlilik kararı vermemiştir. Bu nedenle ters yöndeki aktarımlar, yani AB'den Türkiye'ye GDPR kapsamında veri aktarımı, kendi güvencelerine (genellikle AB Komisyonu standart sözleşmelerine) ihtiyaç duyar. Sonuç olarak AB ile veri alışverişi yapan gruplar çoğu zaman iki ayrı sözleşme setini birlikte yürütür.

İlgili Kişinin Hakları ve Başvuru Süreci

KVKK m. 11, verisi işlenen kişiye (ilgili kişiye) bir dizi hak tanır. Şirketlerin bu hakların kullanımına yönelik bir başvuru mekanizması kurmuş olması beklenir; aksi halde başvurular cezaya dönüşebilir.

İlgili kişinin başlıca hakları şunlardır:

  • Kişisel verisinin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme.
  • İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme.
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme.
  • Eksik/yanlış işlenmişse düzeltilmesini isteme.
  • Şartların ortadan kalkması halinde silinmesini veya yok edilmesini isteme.
  • İşlemenin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhe bir sonucun ortaya çıkmasına itiraz etme.
  • Hukuka aykırı işleme nedeniyle zarara uğraması halinde zararın giderilmesini talep etme.

Başvuru ve şikâyet yolu

İlgili kişi önce veri sorumlusuna başvurur. Veri sorumlusu, talebi niteliğine göre en kısa sürede ve en geç 30 gün içinde sonuçlandırmak zorundadır. Başvuru reddedilir, yetersiz yanıtlanır veya süresinde cevap verilmezse ilgili kişi, cevabı öğrendiği tarihten itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul'a şikâyette bulunabilir.

Uygulamada: Kurul'a yapılan şikâyetlerin önemli bir kısmı, şirketlerin başvuruya hiç yanıt vermemesi veya geç yanıt vermesi nedeniyle aleyhe sonuçlanır. Bu yüzden gelen başvuruları kayıt altına alan, süreleri takip eden basit bir iç süreç kurmak en pratik korunma yoludur.

KVKK'ya Uyum İçin Yol Haritası

Türkiye'de faaliyet gösteren bir şirket için savunulabilir bir KVKK uyum programı genellikle şu adımları içerir:

  • Veri envanteri çıkarın. Hangi kişisel verileri, kimlerden, hangi amaçla topladığınızı; nerede sakladığınızı ve kimlerle (bulut sağlayıcı, grup şirketi, yurt dışı dahil) paylaştığınızı haritalandırın.
  • Hukuki sebepleri belirleyin. Her işleme faaliyeti için açık rızaya mı yoksa m. 5/2'deki bir işleme şartına mı dayandığınızı netleştirin.
  • Aydınlatma ve rıza metinlerini hazırlayın. Çalışan, müşteri, ziyaretçi, aday ve kamera için uygun aydınlatma metinleri ile gerektiğinde ayrı açık rıza beyanları oluşturun.
  • VERBİS kaydını tamamlayın. Eşikleri karşılıyorsanız kaydolun ve bilgileri güncel tutun.
  • Aktarım mekanizmalarını kurun. Yurt dışı aktarım varsa standart sözleşme/bağlayıcı şirket kurallarını uygulayın ve 5 iş günü bildirimini yapın.
  • Veri güvenliği tedbirlerini alın. Teknik ve idari tedbirleri uygulayın, çalışanlara eğitim ve gizlilik taahhüdü, ihlal müdahale prosedürü oluşturun.
  • Saklama ve imha politikası yapın. Verileri ne kadar süreyle tutacağınızı belirleyip süresi dolanları KVKK'ya uygun şekilde silin, yok edin veya anonim hale getirin.

Çerezler ve web sitesi uyumu

Web siteleri KVKK ihlallerinin sık kaynağıdır. Siteniz çerez, analitik veya izleme pikseli kullanıyorsa; net bir çerez aydınlatması, zorunlu olmayan çerezler için doğru hukuki sebep ve ziyaretçiye ne topladığınızı anlatan bir aydınlatma metni gerekir. AB'ye yönelik bir siteniz varsa aynı çerez bildiriminin GDPR'ın rıza kurallarını da karşılaması gerektiğini unutmayın.

Bu adımlar bir araya geldiğinde teknik, idari ve hukuki katmanları birlikte yürüten bir çalışma gerektirir. Belirli durumunuza göre yükümlülüklerinizin değerlendirilmesi için KVKK avukatı ile görüşebilir veya iletişim sayfamız üzerinden bizimle iletişime geçebilirsiniz.

KVKK Cezaları Ne Kadar? (2026 İdari Para Cezaları)

KVKK'ya aykırılık, her yükümlülük için ayrı ayrı idari para cezasıyla yaptırıma bağlanmıştır. KVKK m. 18'deki cezalar maktu (alt-üst sınırı belirli) niteliktedir ve her yıl ocak ayında yeniden değerleme oranıyla güncellenir. Aşağıdaki tutarlar 2026 yılı için açıklanan bandlardır (2025 yeniden değerleme oranı %25,49; 27 Kasım 2025 tarihli düzenleme, 1 Ocak 2026'da yürürlük).

KVKK aykırılığı (2026 bandı)İdari para cezası aralığı
Aydınlatma yükümlülüğüne aykırılık (m. 10)85.437 – 1.709.200 TL
Veri güvenliği tedbirlerine aykırılık (m. 12)256.357 – 17.092.242 TL
VERBİS kayıt yükümlülüğüne aykırılık341.809 – 17.092.242 TL
Yurt dışı aktarımda standart sözleşme bildirimini yapmama90.308 – 1.806.377 TL
Süreye dikkat: KVKK ceza bandları her ocakta yeniden değerleme oranına göre değişir. Bir tutara dayanmadan önce o yıl için geçerli güncel rakamı mutlaka teyit edin.

İdari ceza dışındaki riskler

Mali cezanın yanında başka sonuçlar da gündeme gelebilir:

  • Cezai sorumluluk: Kişisel verilerin hukuka aykırı kaydedilmesi, hukuka aykırı verilmesi veya ele geçirilmesi ve süresinde yok edilmemesi, Türk Ceza Kanunu (5237) m. 135-140 kapsamında ayrıca suç oluşturabilir ve hapis cezasını gerektirebilir.
  • Tazminat: İlgili kişi, hukuka aykırı işleme nedeniyle uğradığı maddi ve manevi zararın giderilmesini genel hükümlere göre talep edebilir.
  • İtibar kaybı ve düzeltici işlemler: Kurul, ceza dışında verinin silinmesi/düzeltilmesi gibi düzeltici talimatlar da verebilir.
Kanun ne diyor: İdari para cezalarına karşı, tebliğden itibaren süresi içinde sulh ceza hâkimliğine başvurularak itiraz edilebilir. Cezaya muhatap olunması halinde itiraz süresinin kaçırılmaması, ceza hukuku ve idari yargı boyutunun birlikte değerlendirilmesi önem taşır.

Sıkça sorulan sorular

KVKK'ya kimler uymak zorunda?

Gerçek kişilere ait kişisel verileri otomatik yollarla veya bir veri kayıt sisteminin parçası olarak işleyen herkes KVKK kapsamındadır. Çalışanı, müşterisi, tedarikçisi, ziyaretçisi veya web sitesi olan hemen hemen tüm şirketler veri sorumlusu sıfatıyla Kanun'un yükümlülüklerine tabidir; sektör veya büyüklük fark etmeksizin temel ilkeler herkes için geçerlidir.

VERBİS kaydı zorunlu mu, kimler muaf?

Kural olarak kişisel veri işleyen veri sorumluları VERBİS'e kaydolmak ve irtibat kişisi belirlemek zorundadır. Ancak Kurul, yıllık çalışan sayısı ve mali bilanço toplamı belirli eşiklerin altında kalan, ana faaliyeti özel nitelikli veri işleme olmayan veri sorumluları için muafiyet öngörmüştür. Bu eşikler güncellenebildiğinden kendi durumunuzu güncel Kurul kararlarına göre değerlendirmek gerekir.

Aydınlatma metni ile açık rıza aynı şey mi?

Hayır. Aydınlatma (KVKK m. 10), kişiye verisinin nasıl işlendiğini önceden bilgilendiren ve her halükârda yapılması gereken bir yükümlülüktür. Açık rıza ise belirli bir işleme için özgür iradeyle verilen ayrı bir onaydır. İkisinin tek metinde, tek imzayla birleştirilmesi Kurul tarafından eleştirilen bir uygulamadır; ayrı belgeler halinde kurgulanmaları beklenir.

2024 reformu yurt dışına veri aktarımında neyi değiştirdi?

12 Mart 2024 tarihli 7499 sayılı Kanun ve 10 Temmuz 2024 tarihli Yönetmelik, eski açık rıza temelli modeli kademeli bir sistemle değiştirdi: yeterlilik kararı, uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, taahhütname) ve arızi haller. Süregelen aktarımlar için eski açık rıza yöntemi yalnızca 1 Eylül 2024'e kadar geçerliydi. Standart sözleşmeye dayanan aktarımların imzadan itibaren 5 iş günü içinde Kurul'a bildirilmesi gerekir.

Veri ihlalini ne kadar sürede bildirmek gerekir?

Kişisel verilerin hukuka aykırı biçimde başkaları tarafından ele geçirilmesi halinde, veri sorumlusu durumu öğrendiği tarihten itibaren en kısa sürede ve 72 saat içinde Kurul'a bildirmek zorundadır (Kurul'un 2019/10 sayılı kararı). Ayrıca ihlalden etkilenen ilgili kişilere de makul en kısa sürede bilgi verilmesi gerekir.

KVKK cezası ne kadardır?

Cezalar her yükümlülük için ayrı maktu bandlar halindedir ve her ocak ayında yeniden değerleme oranıyla güncellenir. 2026 için örnek bandlar: aydınlatma yükümlülüğüne aykırılık yaklaşık 85.437–1.709.200 TL, veri güvenliği tedbirlerine aykırılık 256.357–17.092.242 TL, VERBİS kaydını yapmamak 341.809–17.092.242 TL. Bir tutara dayanmadan önce ilgili yılın güncel rakamı teyit edilmelidir.

GDPR benim Türk şirketimi de bağlar mı?

Yalnızca yurt içine yönelik faaliyet gösteriyorsanız genellikle hayır; sizin için asıl mevzuat KVKK'dır. Ancak AB'deki kişilere mal/hizmet sunuyor (euro fiyatı, AB diliyle satış, AB'ye teslimat) ya da onların davranışlarını izliyorsanız, GDPR'ın m. 3 genişletilmiş kapsamına girebilir ve KVKK ile GDPR'a aynı anda uymanız gerekebilir.

İlgili kişinin başvurusuna kaç günde cevap vermeliyim?

Veri sorumlusu, ilgili kişinin KVKK m. 11 kapsamındaki taleplerini niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorundadır (işlemin ayrıca bir maliyet gerektirmesi halinde Kurul'ca belirlenen tarife uygulanabilir). Başvuru reddedilir veya süresinde yanıtlanmazsa ilgili kişi Kurul'a şikâyette bulunabilir.

Açık rıza her işleme için zorunlu mu?

Hayır. Açık rıza, ancak KVKK m. 5/2'deki işleme şartlarından (kanunda öngörülme, sözleşmenin ifası, hukuki yükümlülük, meşru menfaat gibi) hiçbiri bulunmadığında gereken son çaredir. Mümkün olduğunda bu işleme şartlarından birine dayanmak, geri alınabilen ve geçersiz sayılabilen rızaya kıyasla daha sağlam bir hukuki zemin sunar.

Bu konuda avukata mı ihtiyacınız var?Sürecin tamamını, açık ve sabit bir ücretle baştan sona yürütüyoruz.
Bir avukatla görüşün

İlgili yazılar

Şirket Eser Sahibi Olabilir mi? Mali Haklar Kime Ait Olur?Şirket Nasıl Kurulur? Türleri, Sermaye, Adımlar ve MaliyetSerbest Bölgede Şirket Nasıl Kurulur? Vergi Avantajları, Süreç ve Maliyet
Başlayalım

Dilinizi konuşan bir Türk avukatla görüşün.

Ticari, kurumsal veya kişisel meselenizi bize iletin; gerçek bir Türk avukattan net, sabit ücretli bir yanıt alın — genellikle bir iş günü içinde.

★★★★★ 4.9 60 Google yorumu · Mondaq, Clutch ve Trustpilot'ta yer aldık
Randevu alın WhatsApp'tan yazın veya e-posta: info@lexinlegal.com
WhatsApp'tan yazın
Gerçek bir avukat yanıtlar — genelde gün içinde
WhatsAppE-postaRandevu alın