Düzenleyici ve Sektörel

Türkiye'de Kişisel Verilerin Korunması (KVKK)

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki yükümlülüklerinizi, günlük uyum süreçlerinden yurt dışına veri aktarımına ve Kurul soruşturmalarına kadar her aşamada karşılamanıza destek oluyoruz.

Türkiye’de kişisel verilerin korunması, 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenir. Kanun, Avrupa standartlarını yakından örnek almış olup, Mart 2024 değişiklikleri ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyuma daha da yaklaşmıştır. Türkiye’de faaliyet gösteren ya da Türk pazarına girmeyi planlayan her şirket için KVKK uyumu artık sonradan ele alınacak bir ayrıntı değil, temel bir gerekliliktir; işe alımınızı, satışınızı, pazarlamanızı ve bilişim sistemlerinizi ilk günden itibaren biçimlendirir.

Genel çerçeveye kuş bakışı

KVKK, Kişisel Verileri Koruma Kurumu’nun karar organı olan Kişisel Verileri Koruma Kurulu tarafından uygulanır. Kurul; bağlayıcı kararlar alır, şikâyetleri inceler, rehber ilkeler yayımlar ve idari para cezaları uygular. Kurul’un yayımladığı kararlar uygulamada büyük önem taşır: salt özel bir uyuşmazlıktan farklı olarak, şirketiniz aleyhine verilmiş bir Kurul kararı çoğu kez kamuya açıklanır; dolayısıyla bir uyum ihlali, mali sonucunun yanında itibari bir olaya da dönüşebilir.

Kanun, tanıdık bir tanımlar bütününe dayanır:

  • Veri sorumlusu — kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi. Bu tanım, işlemesi Türkiye’deki kişileri etkileyen yurt dışı yerleşik kuruluşları da kapsar.
  • Veri işleyen — veri sorumlusunun verdiği yetkiye dayanarak onun adına verileri işleyen kişi.
  • İşleme — verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, açıklanması, aktarılması ve silinmesi dâhil, kişisel veriler üzerinde gerçekleştirilen hemen hemen her işlem.

Pratikte kimi bağlar

Türk tüketicilere satış yapıyor, Türkiye’de personel çalıştırıyor ya da ülkedeki kullanıcılardan veri toplayan bir internet sitesi veya uygulama işletiyorsanız — sunucularınız ve merkeziniz yurt dışında olsa bile — neredeyse kesinlikle KVKK anlamında veri sorumlususunuz. Uygulamada ilk uyum sorusu nadiren “Kanun bize uygulanır mı?” olur; asıl mesele “Boşluklarımız nerede ve riskimiz ne kadar?” sorusudur.

İşlemenin hukuka uygunluk sebepleri

Kural olarak kişisel veriler, yalnızca veri sahibinin açık rızası ile işlenebilir. Açık rıza; özgür iradeyle verilmiş, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olmalıdır — önceden işaretlenmiş bir kutucuk veya kullanım koşullarının içine gömülmüş “her şeyi kabul ediyorum” türü bir hüküm, Kurul önünde ayakta kalmaz.

KVKK ardından, rıza aranmaksızın işlemenin hukuka uygun sayıldığı belirli istisnaları düzenler; örneğin işleme:

  • kanunlarda açıkça öngörülmüşse;
  • bir sözleşmenin kurulması veya ifası için gerekliyse;
  • veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunluysa;
  • rızasını açıklayamayacak durumdaki bir kişinin yaşamı veya beden bütünlüğünün korunması için zorunluysa; ya da
  • ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için gerekliyse.

Özel nitelikli kişisel veriler — sağlık, biyometrik ve genetik veriler, din ve felsefi inanç, etnik köken ve ceza mahkûmiyeti verileri dâhil — daha sıkı koşullara tabidir ve çoğu kategori için açık rıza veya kanunda öngörülen özel bir dayanak gerektirir. En sık şikâyet ve ceza doğuran kategoriler de bunlardır; bu nedenle (örneğin özlük dosyalarında veya sağlık hizmetlerinde) bu verilerin işlenmesi özel bir dikkat ister.

Sık yapılan ve pahalıya patlayan bir hata, açık rızayı her derde deva bir çözüm gibi kullanmaktır. Bir sözleşmenin içine gömülü, hizmetin ön koşulu hâline getirilmiş veya geri alınması imkânsız kılınmış rıza, geçerli bir rıza değildir — ve buna dayanmak, tüm işleme faaliyetinizi hukuka aykırı hâle getirebilir.

Veri sahibinin hakları

KVKK, kişilere güçlü bir haklar bütünü tanır. Veri sahibi:

  • kişisel verilerinin işlenip işlenmediğini öğrenme ve buna ilişkin bilgi talep etme;
  • işlenme amacını ve verilerin bu amaca uygun kullanılıp kullanılmadığını öğrenme;
  • verilerin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme;
  • eksik veya yanlış işlenmiş verilerin düzeltilmesini ve işlenme sebepleri ortadan kalkmışsa silinmesini veya yok edilmesini isteme;
  • verilerin yalnızca otomatik sistemlerle analiz edilmesi sonucu aleyhine çıkan sonuca itiraz etme; ve
  • hukuka aykırı işleme sebebiyle uğradığı zararın tazminini talep etme haklarına sahiptir.

Veri sorumluları bu taleplere kanuni süre içinde cevap vermek zorundadır; sonuçsuz kalan başvurular Kurul’a taşınabilir. Uygulamada bu, ilk talep gelmeden önce işleyen bir başvuru mekanizması kurmanız gerektiği anlamına gelir: izlenen bir iletişim kanalı, hazır bir cevap şablonu ve bu süreçten sorumlu bir iç birim — talep geldikten sonra değil, öncesinde.

VERBİS kaydı

Veri sorumlularının büyük çoğunluğu, işleme faaliyetine başlamadan önce Veri Sorumluları Sicili VERBİS’e kaydolmak zorundadır. Kayıt; hangi verileri, hangi amaçlarla işlediğinizi, kimlerle paylaştığınızı ve hangi güvenlik tedbirlerini aldığınızı üst düzeyde tanımlar. Kurul, yıllık ciro ve çalışan sayısına göre daha küçük ölçekli veri sorumlularına sınırlı bir muafiyet tanır; ancak bu eşik dardır ve varsayılmak yerine somut olarak doğrulanmalıdır.

Türkiye’de yerleşik olmayan yabancı veri sorumluları için ek bir adım vardır: bunlar genellikle ülkede bir veri sorumlusu temsilcisi atamak ve kaydı bu temsilci aracılığıyla yaptırmak zorundadır. VERBİS’i atlamak, en sık cezalandırılan ihlallerden biridir; çünkü tespiti Kurul için kolaydır — bir veri sorumlusu ya sicilde görünür ya görünmez.

2024 reformu sonrası yurt dışına veri aktarımı

Kişisel verilerin yurt dışına aktarımı, geçmişte KVKK’nın en kısıtlayıcı bölümüydü ve yıllarca, ortak İK, CRM veya bulut sistemleri işleten çok uluslu gruplar için en büyük baş ağrısıydı. Mart 2024 değişiklikleri bu rejimi baştan düzenledi. Kişisel veriler artık aşağıdaki yollarla yurt dışına aktarılabilir:

  • aktarım yapılacak ülke için Kurul tarafından verilmiş bir yeterlilik kararı;
  • standart sözleşme, bağlayıcı şirket kuralları veya Kurulca onaylanan bir taahhütname gibi uygun güvenceler; ya da
  • veri sahibinin açık ve aydınlatılmış rızası dâhil, arızi aktarımlar için öngörülen belirli istisnai hâller.

Standart sözleşmeler, imzalanmasının ardından öngörülen süre içinde Kurum’a bildirilmek zorundadır. Bu değişiklik, çok uluslu gruplara Türk hukukunda daha önce bulunmayan, GDPR tarzı ve uygulanabilir mekanizmalar kazandırmıştır — ancak bu mekanizmalar yalnızca evrak fiilen hazır ve zamanında dosyalanmışsa sizi korur.

Grubunuz Türk çalışan veya müşteri verisini bir ana şirkete, bulut sağlayıcısına ya da yurt dışındaki ortak hizmet merkezine taşıyorsa, bu aktarımın KVKK kapsamında belgelenmiş bir hukuki dayanağı olmalıdır. Bunu yalnızca küresel bir GDPR politikasına güvenerek yapmak yeterli değildir.

KVKK ve GDPR yan yana

Hâlihazırda bir GDPR programı yürüten gruplar için Türkiye’deki işin kapsamını belirlemenin en hızlı yolu, iki rejimin nerede ayrıştığına bakmaktır:

KonuGDPRKVKK
Asıl hukuka uygunluk sebebiEşdeğer altı hukuki dayanakKural olarak açık rıza + sayılan istisnalar
Sicil yükümlülüğüGenel bir sicil yokÇoğu veri sorumlusu için VERBİS kaydı
Yabancı veri sorumlularıBazı hâllerde AB temsilcisiVeri sorumlusu temsilcisi + VERBİS kaydı
Yurt dışına aktarımYeterlilik, standart sözleşme, BCRMart 2024’ten beri uyumlu; ancak standart sözleşmeler Kurum’a bildirilmeli
UygulamaUlusal denetim makamlarıKVKK Kurulu; cezalar her yıl yeniden değerleme oranında güncellenir

Pratik sonuç: GDPR’a uyumlu bir grubun genellikle programını baştan kurması değil, odaklı bir yerel katman eklemesi gerekir — Türkçe aydınlatma metinleri, VERBİS ve dosyalanmış aktarım belgeleri.


Yaptırımlar ve cezalar

Uyumsuzluk gerçek bir risk taşır. Kurul; veri güvenliği yükümlülüklerinin ihlali, Kurul kararlarına uyulmaması veya VERBİS kaydının ihmali gibi durumlarda, her yıl yeniden değerleme oranında güncellenen idari para cezaları uygulayabilir. Ayrı olarak 5237 sayılı Türk Ceza Kanunu, kişisel verilerin hukuka aykırı kaydedilmesini, ele geçirilmesini ve yok edilmemesini suç olarak düzenler; bu da şirket içindeki gerçek kişileri bireysel cezai sorumlulukla karşı karşıya bırakabilir. Zarar gören kişiler ayrıca 6098 sayılı Türk Borçlar Kanunu (TBK) kapsamında maddi ve manevi tazminat davası açabilir.

Kurul kararlarının çoğu yayımlandığından, ciddi bir ihlalin pratikteki bedeli çoğu kez ilan edilen ceza tutarını aşar: muhtemel iş ortakları, yatırımcılar ve müşteriler bu kararı görebilir.

Kurul bir inceleme başlatırsa — bu genellikle bir ilgili kişi şikâyeti veya bildirilen bir veri ihlali üzerine olur — yazılı savunmanızın kalitesi büyük önem taşır. İnceleme büyük ölçüde dosya üzerinden yürür: Kurul sorular sorar, süreler verir ve sunduğunuz belgelere göre karar verir. Cevabın geç, eksik ya da destekleyici kayıtlar (rıza kayıtları, aydınlatma metinleri, güvenlik politikaları) olmadan verilmesi, kendi başına bir uyumsuzluk işareti olarak değerlendirilir. Herhangi bir olaydan önce hazırlanmanın en doğrudan karşılığını verdiği alanlardan biri tam da budur.

Uygulamada uyum neye benzer

Türkiye’de faaliyet gösteren şirketler:

  • işleme faaliyetlerini envanterle haritalandırmalı ve doğru kayıt tutmalı;
  • uygun aydınlatma metinleri hazırlamalı ve gerektiğinde geçerli açık rıza almalı;
  • VERBİS kaydını tamamlamalı ve güncel tutmalı;
  • verileri yurt dışına aktarmadan önce aktarım mekanizmalarını kurmalı;
  • teknik ve idari güvenlik tedbirlerini ve bir ihlal müdahale planını hayata geçirmeli; ve
  • uyumun tepkisel değil yerleşik olması için personel eğitimi vermelidir.

Müvekkillerimize sürecin tümünde destek veriyoruz: boşluk analizi ve politika hazırlığından VERBİS bildirimlerine, aktarım sözleşmelerine, ihlal bildirimlerine ve Kurul önünde temsile kadar. En sık karşılaştığımız kalıp, GDPR’a genel olarak uyumlu bir şirketin, bu nedenle Türkiye’de de uyumlu olduğunu varsaymasıdır; oysa çoğu zaman değildir — çünkü VERBİS, açık rızanın asıl sebep oluşu ve yerel bildirim kuralları devreye girer. Erken ve yapılandırılmış uyum, iş işten geçtikten sonra bir soruşturmaya yanıt vermekten çok daha az maliyetlidir.

KVKK uyumunu nasıl kuruyoruz

  1. 01

    Boşluk analizi

    Veri akışlarınızı haritalayıp mevcut uygulamanızı KVKK ile karşılaştırıyor, en riskli boşlukları önce işaretliyoruz.

  2. 02

    Aydınlatma ve rıza

    Her işleme faaliyetine özel, hukuka uygun aydınlatma metinleri ve geçerli açık rıza mekanizmaları hazırlıyoruz.

  3. 03

    VERBİS kaydı

    VERBİS bildiriminizi hazırlayıp dosyalıyoruz — Türkiye'de yerleşik değilseniz önce veri sorumlusu temsilcisini atayarak.

  4. 04

    Aktarım mekanizmaları

    Veri Türkiye'den çıkmadan önce standart sözleşme, bağlayıcı şirket kuralları veya başka bir hukuki yolu kuruyor, Kurum'a bildirimi zamanında yapıyoruz.

  5. 05

    Sürekli uyum

    Personeli eğitiyor, ilgili kişi başvuru süreci ile ihlal müdahale planını kuruyor ve dokümantasyonu Kurul uygulaması geliştikçe güncel tutuyoruz.

Sıkça sorulan sorular

KVKK nedir ve kimler için geçerlidir?

KVKK, Türkiye'nin kişisel verilerin korunmasına ilişkin temel düzenlemesi olan 6698 sayılı Kanun'dur. Türkiye'de bulunan kişilerin kişisel verilerini işleyen her gerçek veya tüzel kişiye uygulanır; işlemesi Türkiye'deki kişileri etkileyen, yurt dışında yerleşik veri sorumluları da kapsama girer. Uygulamada, Türk müşteriniz, çalışanınız veya kullanıcınız varsa, Türkiye'de bir ofisiniz olmasa bile Kanun size ulaşır.

Şirketimin VERBİS'e kaydolması gerekir mi?

Veri sorumlularının büyük çoğunluğu, işleme faaliyetine başlamadan önce Veri Sorumluları Sicili (VERBİS) kaydını yaptırmak zorundadır. Kurul'un belirlediği çalışan sayısı ve yıllık ciro eşiklerine göre bazı veri sorumluları muaftır; ancak muafiyet dardır ve her olayda ayrıca değerlendirilmelidir. Türkiye'de yerleşik olmayan yabancı veri sorumluları ise genellikle bir veri sorumlusu temsilcisi atamak ve yine VERBİS'e kaydolmak zorundadır.

Kişisel verileri yurt dışına aktarabilir miyim?

Evet, ancak yalnızca KVKK'da öngörülen hukuki yollardan biriyle. Mart 2024 değişiklikleri; mevcut yeterlilik kararı ve açık rıza yollarının yanına standart sözleşme, bağlayıcı şirket kuralları ve diğer güvenceleri ekleyerek rejimi GDPR'a yaklaştırmıştır. Standart sözleşmeler, imzalanmasının ardından öngörülen süre içinde Kurum'a bildirilmek zorundadır.

KVKK'nın ihlali hangi yaptırımlara yol açar?

Kurul, her yıl yeniden değerleme oranında güncellenen idari para cezaları uygulayabilir. Ayrıca 5237 sayılı Türk Ceza Kanunu kapsamında kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi ve yok edilmemesi bakımından ayrı bir cezai sorumluluk doğar. Veri sahipleri uğradıkları zarar için tazminat da talep edebilir; üstelik Kurul kararları çoğu kez yayımlandığından, ceza itibari bir riske de dönüşür.

Veri sahibinin KVKK kapsamındaki başlıca hakları nelerdir?

Kişiler; verilerinin işlenip işlenmediğini öğrenebilir, bilgi ve erişim talep edebilir, verilerin aktarıldığı üçüncü kişileri öğrenebilir, düzeltilmesini veya silinmesini isteyebilir, yalnızca otomatik sistemlerle yapılan analiz sonucu aleyhlerine çıkan bir sonuca itiraz edebilir ve hukuka aykırı işleme nedeniyle uğradıkları zararın tazminini talep edebilir. Veri sorumluları bu talepleri kanuni süre içinde cevaplamak zorundadır.

KVKK ile AB'nin GDPR'ı arasındaki fark nedir?

İki rejim aynı yapıyı ve büyük ölçüde aynı kavramları paylaşır; 2024 reformu da uluslararası aktarımlar bakımından aradaki farkı daralttı. Ancak önemli farklar sürmektedir: KVKK hâlâ açık rızayı asıl hukuka uygunluk sebebi olarak konumlandırır, VERBİS kaydının doğrudan bir GDPR karşılığı yoktur, süreler ile ceza tutarları ayrışır ve uygulama Türk Kurulu'nun kendi yayımladığı kararlara göre şekillenir. Yalnızca GDPR için kurulmuş bir uyum, KVKK'yı otomatik olarak karşılamaz.