Türkiye KVKK: Kişisel Verilerin Korunmasına Uyum

Türkiye'nin Kişisel Verilerin Korunması Kanunu (KVKK — 6698 Sayılı Kişisel Verilerin Korunması Kanunu) 7 Nisan 2016'da yürürlüğe girerek Türkiye'yi AB dışında GDPR uyumlu kapsamlı veri koruma mevzuatını yürürlüğe koyan ilk ülkelerden biri haline getirdi. Türkiye'nin büyüyen dijital ekonomisi, önemli nüfusu (85 milyon) ve hem Avrupa hem de Orta Doğu pazarlarına hizmet veren işletmeler için bir merkez olma rolü nedeniyle KVKK uyumluluğu, uluslararası kuruluşlar için giderek daha önemli bir husus haline geldi.

KVKK, Kişisel Verileri Koruma Kurumu (Kişisel Verileri Koruma Kurumu — KVKK Kurumu veya KVK Kurumu) tarafından yönetilir ve Kişisel Verileri Koruma Kurulu (Kişisel Verileri Koruma Kurulu) tarafından yürütülür. Kurul aktif olarak rehberlik yayınladı, şikayetleri araştırdı ve önemli para cezaları uyguladı; 2025 itibarıyla ihlal başına 19,8 milyon ₺'ye (620.000 ABD Doları) varan cezalar uygulandı.

Önemli Çıkarımlar

• KVKK, veri sorumlusunun nerede yerleşik olduğuna bakılmaksızın, Türk bireylerinin kişisel verilerini işleyen gerçek ve tüzel kişiler için geçerlidir.
• Genel kişisel veriler için yedi işleme koşulu bulunmaktadır; hassas kişisel veriler için sekiz
• Özel nitelikli kişisel veri; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, biyometrik ve genetik verileri içermektedir.
• Veri sahiplerinin erişim, düzeltme, silme ve otomatik kararlara itiraz dahil olmak üzere sekiz hakkı vardır
• Sınır ötesi veri aktarımları Kurul tarafından yeterliliğin tespiti veya açık rıza gerektirmektedir
• Belirli eşikleri karşılayan veri sorumluları için VERBİS kaydı (Veri Sorumluları Sicili) zorunludur
• Ciddi ihlallerde gecikme olmaksızın ve 72 saat içinde Kurula veri ihlali bildirimi yapılması gerekir
• 19,8 milyon ₺'ye kadar idari para cezası; Türk Ceza Kanunu kapsamında cezai sorumluluk

---

KVKK Çerçevesi ve Bölgesel Kapsam

Uygulanabilirlik

KVKK aşağıdakiler için geçerlidir:

• Kişisel verileri tamamen veya kısmen otomatik yollarla işleyen gerçek ve tüzel kişiler
• Kişisel verileri verilerin bir dosyalama sisteminin parçası olması durumunda otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler

Bölge dışı erişim: KVKK, GDPR Madde 3 ile aynı açık ifadelerle ülke dışı uygulamayı açıkça belirtmemektedir. Ancak Kurul, KVKK'nın, Facebook/Meta ve diğer uluslararası şirketlere karşı icra davalarında da yansıtılan şekilde, Türkiye'deki bireylerin kişisel verilerini işleyen yurtdışı veri kontrolörleri için geçerli olduğu görüşünü benimsemiştir. Türkiye dışındaki Türk bireylere ürün/hizmet sunan veya Türk bireylerin verilerini işleyen veri sorumlularının KVKK yükümlülüklerini değerlendirmesi gerekmektedir.

Muafiyetler: KVKK aşağıdakiler için geçerli değildir:

• Kişisel verilerin gerçek kişiler tarafından tamamen kişisel faaliyetler amacıyla işlenmesi
• Kişisel verilerin cezai soruşturma ve kovuşturma amacıyla işlenmesi
• Anonimleştirilmiş kişisel verilerin istatistiksel amaçlarla işlenmesi
• Sanat ve edebiyat için işleme
• Gazetecilik, akademik, sanatsal veya edebi amaçlarla işleme (sınırlamalarla birlikte)
• Milli savunma, güvenlik ve kamu güvenliği kapsamında işleme

---

İşleme Koşulları

5. madde kişisel verilerin hangi şartlarda işlenebileceğini düzenlemektedir. En az bir koşulun karşılanması gerekir:

6. Veri sahibinin açık rızası

7. Yasanın açıkça öngördüğü — mevzuatın açıkça gerektirdiği veya izin verdiği işleme

8. Hayatın veya fiziksel bütünlüğün korunması — veri sahibinin veya üçüncü tarafın rıza sağlayamadığı durumlarda

9. Sözleşme gerekliliği — bir sözleşmenin imzalanması veya yerine getirilmesi için gerekli işlemler

10. Yasal yükümlülük — veri denetleyicisinin yasal yükümlülüğünün yerine getirilmesi

11. Veri sahibi verileri kamuya açıklamıştır — kişi verileri açıklamıştır

12. Bir hakkın tesisi, kullanılması veya korunması — yasal işlemler için gerekli

Hassas Kişisel Veri Koşulları (Madde 6): Hassas kişisel veriler yalnızca:

1. Veri sahibinin açık rızası ile
2. İzin alınmadan, yalnızca belirli kategoriler için:

• Sağlık ve cinsel hayat verileri: Sağlık sektöründe yer alan kişilerin sır saklama yükümlülüğü altında veya kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, bakım/tedavi hizmetleri ile sağlık hizmetlerinin planlanması ve yönetimi amacıyla
• Diğer hassas veriler (ırk, etnik köken, din, sendika üyeliği vb.): Yasaların açıkça öngördüğü durumlarda işlenmesine izin verilir

Hassas kişisel veri; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri içermektedir.

---

Veri Sahibi Hakları

Madde 11, veri sahiplerine aşağıdaki hakları vermektedir — taleplere 30 gün içinde ücretsiz olarak yanıt verilmelidir:

Hakların kullanılması: Veri sahipleri yazılı taleplerde bulunur (veya veri sorumlusu tarafından belirtilen yöntemle). Kontrolörlerin 30 gün içinde yanıt vermesi gerekir. Talebin reddedilmesi halinde veri sahibi 30 gün içinde Kurula şikâyette bulunabilir.

---

##VERBİS Kaydı

Madde 16, veri sorumlularının kişisel verileri işlemeye başlamadan önce Veri Sorumluları Siciline (VERBİS — Veri Sorumluları Sicili) kaydolmalarını gerektirmektedir. Kayıt şunları gerektirir:

• Kontrolörün kimliği ve iletişim bilgileri
• İşleme amaçları
• Aktarılan veri grupları ve alıcılar
• Transfer amaçları
• İşlenen veri kategorileri
• Alınan güvenlik önlemleri
• Saklama süreleri

VERBİS kaydına ilişkin muafiyetler (Kurul kararlarıyla belirlenir):

• Yıllık çalışan sayısı 50'den az VE yıllık mali tablo 25 milyon Türk Lirasını aşmamak
• Yalnızca veri sahibinin kendi yararına işlemek
• Hassas verilerin işlenmediği sınırlı bir amaç için işlenmesi

Önemli: VERBİS kaydından muaf olsa dahi diğer tüm KVKK yükümlülükleri geçerlidir. VERBİS muafiyeti yalnızca kayıt zorunluluğunu ortadan kaldırır.

Yurtdışı veri sorumluları: Kurul, KVKK'ya tabi yurt dışı veri sorumlularının da muafiyet kapsamında olmaması halinde VERBİS'e kayıt yaptırması gerektiğini belirlemiştir.

---

Veri Sorumlularının Yükümlülükleri

Gizlilik Bildirimi

Veri denetleyicileri, veri sahiplerini aşağıdakilerin toplanması sırasında veya öncesinde bilgilendirmelidir:

• Kontrolörün ve temsilcisinin kimliği (varsa)
• İşleme amaçları
• Kişisel verilerin alıcıları ve aktarım amaçları
• Veri toplama yöntemi ve hukuki dayanağı
• 11. Madde kapsamında veri sahibinin hakları

Dil: Türk bireylere hizmet veren operasyonlarda Türkçe olmalıdır.

Veri Denetleyici Temsilcisi

KVKK, GDPR Madde 27'de olduğu gibi yurt dışı kontrolörler için açık bir şekilde bir Türk temsilci gerektirmese de Kurulun uygulama uygulaması, yurt dışı kontrolörlerin Türkiye'de bir irtibat noktası belirlemesi gerektiğini göstermiştir. Sınır ötesi transferlere ilişkin 2024 tarihli bir Kurul düzenlemesinin bu gerekliliği resmileştirmesi bekleniyor.

Veri Minimizasyonu ve Amaç Sınırlaması

4. Madde temel veri işleme ilkelerini belirlemektedir:

• Hukuka uygunluk ve iyi niyet
• Doğruluk ve güncellik
• Belirli, açık ve meşru amaçlarla işleme
• Amaca uygunluk, kısıtlama ve orantılılık
• Kanunda öngörülen veya amacın gerektirdiği süre kadar saklama

Güvenlik Önlemleri (Madde 12)

Veri sorumluları aşağıdakileri önlemek için gerekli her türlü teknik ve idari tedbiri almalıdır:

• Kişisel verilerin hukuka aykırı işlenmesi
• Kişisel verilere hukuka aykırı erişim
• Kişisel verilerin kaybı, yok edilmesi veya değiştirilmesi

Kurul özel teknik yönergeler yayınladı. Temel gereksinimler şunları içerir:

• Hassas kişisel verilerin saklanması ve iletilmesinde şifrelenmesi
• Erişim kontrolü ve kimlik doğrulama yönetimi
• Denetim günlüğü
• Sızma testi (en az yılda bir kez)
• Personele yönelik eğitim

---

Sınır Ötesi Veri Aktarımı

9 ve 9/A maddeleri uluslararası veri aktarımlarını düzenlemektedir. Anahtar kısıtlamalar:

Genel yasak: Kişisel veriler, aşağıdaki koşullardan biri karşılanmadığı sürece **veri sahibinin açık rızası olmadan yurt dışına aktarılamaz:

1. Yeterli koruma: Hedef ülke, yeterli korumayı sağlayacak şekilde Kurul tarafından belirlenmiştir; ve işleme koşullarından biri karşılanıyor

2. Taahhüt: Yurt dışındaki alıcı, yeterli korumanın sağlanacağına dair yazılı bir taahhütte bulunur; Yönetim de transfere onay verdi

3. Standart Sözleşme Maddeleri: 2024 KVKK değişiklikleri, GDPR yaklaşımına göre modellenen SCC'leri uygulamaya koymaktadır; yeterli olmayan ülkelere yapılan transferlerde Kurul onaylı standart sözleşme hükümleri kullanılabilir

4. Bağlayıcı Şirket Kuralları: Grup içi transferler için onaylanmış BCR'ler

5. İstisnai devirler: Açık rızanın alınamadığı ve devrin hukuki işlemler, hayati çıkarlar, hakların kullanılması, resmi görevlerin yerine getirilmesi için gerekli olduğu durumlar

Yeterlilik tespiti yapılan ülkeler: Kurul bir liste tutar; 2026 başı itibarıyla sınırlı sayıda ülkeyi onayladı. AB'nin Türkiye ile karşılıklı bir yeterlilik düzenlemesi yoktur (KVKK'nın GDPR uyumuna rağmen), yani AB→Türkiye ve Türkiye→AB transferleri SCC'leri veya açık rızayı gerektirir.

Bulut hizmetleri için pratik gerçeklik: Türkiye'de faaliyet gösteren birçok işletme, Türkiye dışında barındırılan bulut hizmetlerini kullanıyor. Mevcut KVKK gereklilikleri uyarınca, her bireyin yurt dışına aktarılan verileri için açık rıza almaları veya aktarım düzenlemesi için SCC/BCR'leri uygulamaları gerekmektedir.

---

İhlal Bildirimi

KVKK'nın orijinal kanununda açık bir ihlal bildirimi zaman çizelgesi belirtilmemiştir. Ancak Kurul kararları ve uygulama kılavuzu şunları belirlemektedir:

• Kurul'a bildirim: Gereksiz gecikme olmaksızın ve kişisel veri ihlalinin öğrenilmesinden itibaren en geç 72 saat içinde
• Veri sahiplerine bildirim: İhlalin veri sahiplerinin haklarını etkilemesi muhtemelse - gereksiz gecikme olmaksızın
• kvkk.gov.tr portalında yer alan Kurul bildirim formunu kullanın

Bildirim içeriği:

• İhlalin niteliği ve kategorileri/etkilenen kişilerin yaklaşık sayısı
• Kategoriler ve etkilenen kayıtların yaklaşık sayısı
• Veri koruma irtibat kişisinin iletişim bilgileri
• İhlalin olası sonuçları
• Alınan veya önerilen önlemler

---

Yönetim Kurulunun Yaptırımları ve Cezaları

Kişisel Verileri Koruma Kurulu'nun Cumhurbaşkanı tarafından atanan yedi üyesi bulunmaktadır. Şunları yapma yetkisine sahiptir:

• Şikayetleri araştırın
• Resen soruşturma yürütmek
• Bağlayıcı kararlar verin
• İdari para cezası verilmesi
• Uyumluluk emirlerini yayınlayın

İdari para cezaları (yıllık olarak güncellenir):

Ceza cezaları: Türk Ceza Kanunu'nun 135-140. maddeleri uyarınca, kişisel verilerin hukuka aykırı olarak kaydedilmesi, üçüncü kişilere verilmesi, yok edilmesi veya kullanılması 1-4 yıl hapis cezasıyla sonuçlanabilmektedir. Hassas verilerin kötüye kullanılması cezaları artırır.

Önemli yaptırımlar: Kurul, şu kişilere para cezaları da dahil olmak üzere önemli kararlar vermiştir: WhatsApp (gizlilik politikası değişiklikleri yoluyla yasa dışı sınır ötesi transfer için 1,95 milyon ₺), Trendyol (veri güvenliği eksiklikleri için çoklu davalar), Meta/Facebook (WhatsApp veri paylaşımı için 3 milyon ₺) ve çeşitli Türk bankaları ve telekom operatörleri.

---

KVKK Uyumluluk Kontrol Listesi

• KVKK'nın uygulanabilirliği belirlendi (Türkiye operasyonları veya Türk bireylerin verileri işlendi)
• VERBİS kaydı tamamlandı veya muafiyet onaylandı
• Hassas veri tanımlamayı da içeren kişisel veri envanteri tamamlandı
• Her aktivite için belgelenen işleme koşulları
• Belgelenen hassas veri işleme koşulları (açık rıza veya özel muafiyet)
• Gerekli tüm unsurları içerecek şekilde Türkçe olarak hazırlanmış gizlilik bildirimi
• Veri sahibi hakları prosedürleri belgelendi (30 günlük yanıt)
• Sınır ötesi transfer değerlendirmesi tamamlandı - mekanizma yürürlükte (SCC'ler, onay veya yeterlilik)
• Uygulanan güvenlik önlemleri: şifreleme, erişim kontrolü, denetim günlüğü
• Sızma testi yapıldı ve sonuçlar belgelendi
• İhlal bildirim prosedürü belgelendi (72 saatlik Kurul bildirimi)
• Saklama programları belgelendi ve otomatik silme yapılandırıldı
• Personelin KVKK yükümlülüklerine ilişkin eğitimleri tamamlandı
• VERBİS girişleri güncel tutulmuştur

---

Sıkça Sorulan Sorular

VERBİS nedir ve işletmem için kayıt zorunlu mudur?

VERBİS (Veri Sorumluları Sicili), Türkiye'nin Veri Sorumluları Sicili olup, kişisel verileri işleyen kuruluşların kamuya açık kaydıdır. Kurulca belirlenen muafiyetten yararlanamayan veri sorumlularının kayıt yaptırması zorunludur. Muaf kategoriler, hassas verileri işlemeyen küçük kuruluşları (50'den az çalışanı VE yıllık cirosu 25 milyon TL'den az) içerir. Kişisel verileri ticari amaçlarla işleyen diğer tüm kuruluşların, işleme başlamadan önce kayıt olmaları gerekmektedir. Kayıt yaptırmayanlara 1,96 milyon ₺'ye kadar idari para cezası uygulanacaktır.

KVKK, GDPR ile karşılaştırıldığında nasıldır?

KVKK ve GDPR yapı ve ilkeler bakımından benzerdir; her ikisi de yasal dayanaklar, veri sahibi hakları, kontrolör/işleyici çerçeveleri ve veri güvenliği yükümlülükleri oluşturur. Temel farklar: (1) KVKK'nın işleme koşulları daha azdır (GDPR'nin 6'sına karşılık 7, ancak KVKK'nın koşulları içerik bakımından farklıdır); (2) KVKK sınır ötesi transferler daha kısıtlayıcıdır — Türkiye AB'ye uygun bir ülke değildir, dolayısıyla AB→Türkiye ve Türkiye→AB aktarımları SCC'leri veya izni gerektirir; (3) VERBİS kaydının doğrudan GDPR eşdeğeri yoktur; (4) KVKK cezai yaptırımları daha kapsamlıdır; (5) KVKK'nın uygulama yaklaşımı uluslararası veri akışları üzerinde daha kısıtlayıcı olmuştur.

Şirketimin Türkiye'de yerel bir temsilciye ihtiyacı var mı?

KVKK'nın, Türk temsilcisi için GDPR Madde 27'ye benzer açık bir gerekliliği bulunmamaktadır. Ancak Kurul, yurt dışındaki şirketlere karşı icra işlemleri başlatmıştır ve VERBİS'e kayıt olmak ve Kurul soruşturmalarına yanıt vermek de dahil olmak üzere pratik uyumluluk, Türkçe iletişim ve Türk hukuki süreçleri içerisinde yanıt verme becerisini gerektirmektedir. Birçok yurt dışı şirket, fiili temsilci olarak bir Türk hukuk bürosunu veya uyum ortağını görevlendirmektedir. 2024 KVKK değişikliklerinin yurt dışı kontrolörlere yönelik temsili gereklilikleri açıklığa kavuşturması bekleniyor.

AWS veya Azure kullanan Türk işletmelerinin sınır ötesi transfer seçenekleri nelerdir?

AWS ve Azure'un Türkiye'de veri merkezleri bulunmaktadır (AWS ve Azure'un her ikisinin de İstanbul bölgeleri vardır). Türkiye bölgesindeki hizmetlerin kullanılması sınır ötesi transfer sorunlarını önler. Türkiye dışı bulut bölgeleri kullanıyorsanız sınır ötesi aktarım mekanizmasına ihtiyacınız var. Şu anda birincil seçenekler şunlardır: (1) açık bireysel izin (büyük ölçekli bulut kullanımı için operasyonel açıdan zordur); (2) taahhüt — yurtdışındaki alıcı, Kurul tarafından onaylanan, verileri korumaya yönelik yazılı bir taahhütte bulunur (Kurul onay süreci uzundur); (3) 2024 yılında yapılan değişikliklerle uygulamaya konulan, Kurul onaylı KHS'ler. Birçok işletme, rızaya dayalı yaklaşımlardan geçiş yapmadan önce SCC şablonlarına ilişkin Kurul rehberliğini bekliyor.

Hangi tür ihlaller en yüksek KVKK cezasını gerektirir?

En yüksek idari para cezaları (19,6 milyon TL'ye kadar) sınır ötesi transfer ihlallerine yöneliktir. Veri güvenliği yükümlülüğünün ihlali halinde 9,8 milyon TL'ye kadar para cezası uygulanıyor. Kurul kararlarına uymamak aynı zamanda yüksek para cezalarını da beraberinde getiriyor (9,8 milyon TL'ye kadar). Uygulamada Kurul, en büyük cezaları hukuka aykırı sınır ötesi aktarımlar (özellikle sosyal medya platformlarına), yetersiz teknik önlemlerden kaynaklanan veri güvenliği ihlalleri ve bildirim yükümlülüklerine sistematik olarak uyulmaması nedeniyle vermektedir. Kişisel verilerin kasıtlı olarak hukuka aykırı olarak kaydedilmesi veya sağlanması durumunda cezai yaptırımlar (Türk Ceza Kanunu kapsamında hapis cezası) saklıdır.

---

Sonraki Adımlar

Türkiye'nin KVKK'sı, aktif uygulama, özel teknik standartlar ve karmaşık sınır ötesi transfer kurallarına sahip zorlu bir uyumluluk çerçevesidir. Türk mevzuatı, Kurul kararları ve mevzuat değişiklikleri yoluyla gelişmeye devam ederken, uyumluluğun sürdürülmesi sürekli izlemeyi gerektirmektedir.

ECOSIRE, Türkiye'de faaliyet gösteren işletmelere KVKK uyumluluk değerlendirmeleri, VERBİS kayıt desteği, veri koruma kontrollerinin teknik uygulaması ve sınır ötesi aktarım mekanizması seçimi konularında yardımcı olmaktadır.

Başlayın: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. Türk veri koruma kanunu, Kurul kararları ve mevzuat değişiklikleri yoluyla sürekli değişime tabidir. Kuruluşunuza özel tavsiyeler için nitelikli Türk hukuk müşavirine danışın.