Türkiye Veri Gizliliği Yasaları: KVKK, 7499 Sayılı Kanun ve 2024 Sınır Ötesi Aktarım Reformu

Türkiye'nin başlıca veri gizliliği mevzuatı olan 6698 sayılı Kanun (KVKK), Türkiye'de bulunan tüm bireylerin kişisel verilerinin korunmasını düzenler. 1 Haziran 2024'te yürürlüğe giren 7499 sayılı Kanun, sınır ötesi aktarım kurallarını köklü şekilde değiştirmiş ve eski rıza ve onay modelini yeterlilik kararları, standart sözleşme hükümleri ve sınırlı istisnalardan oluşan üç katmanlı bir çerçeveyle değiştirmiştir.
Türkiye'nin veri gizliliği rejimi; bir kanuna, anayasal bir hakka ve 2023'ten bu yana istikrarlı biçimde daha kararlı hâle gelen bağımsız bir denetim otoritesine dayanmaktadır. Bu rejimi anlamak, hem 2016 yılındaki ilk kanunu hem de kişisel verilerin ülke dışına gönderilme biçimini kökten değiştiren 2024 tarihli büyük reformları kavramayı gerektirir.
Hızlı Yanıt: Türkiye'nin Veri Koruma Çerçevesi
Türkiye'nin başlıca veri koruma kanunu, kısaca KVKK olarak anılan ve resmi olarak 6698 sayılı Kanun olarak adlandırılan Kişisel Verilerin Korunması Kanunu'dur. 7 Nisan 2016 tarihinde yürürlüğe girmiş olup Türkiye'nin ilk kapsamlı veri koruma mevzuatıdır.
Denetleyici kurum, Kişisel Verileri Koruma Kurumu'dur. Kurumun dokuz üyeden oluşan karar organı olan Kişisel Verileri Koruma Kurulu, bağlayıcı kararlar almakta, soruşturmalar yürütmekte, para cezaları uygulamakta ve düzenleyici rehberlik yayımlamaktadır.
Mart 2024'te Türkiye Büyük Millet Meclisi, 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Kanun'u kabul etmiştir. KVKK'ya ilişkin hükümler 1 Haziran 2024'te yürürlüğe girmiş olup 1 Eylül 2024'e kadar süren bir geçiş dönemi öngörülmüştür. Bu mevzuat, KVKK'nın yürürlüğe girmesinden bu yana yapılan en kapsamlı değişikliktir.
Anayasal Dayanak: Madde 20 ve 2010 Değişikliği
Türkiye'nin veri koruma çerçevesinin açık bir anayasal temeli bulunmaktadır. 1982 yılında kabul edilen Türkiye Cumhuriyeti Anayasası'nın ilk hâli, özel hayatın gizliliğine ilişkin 20. madde hükümleri kapsamında mahremiyeti genel olarak korumaktaydı. 2010 yılında yapılan önemli bir anayasa değişikliğiyle, 13 Mayıs 2010 tarihli ve 27580 sayılı Resmî Gazete'de yayımlanan 20. maddeye 3. fıkra eklenmiştir.
20/3. madde, herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğunu düzenlemektedir. Bu hüküm, kişisel veriler hakkında bilgilendirilme, bu verilere erişme, düzeltilmesini veya silinmesini isteme ve verilerin öngörülen amaçlara uygun kullanılıp kullanılmadığını öğrenme hakkını açıkça tanımaktadır. Ayrıca, kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceğini belirtmektedir.
2010 değişikliği, kanun koyucuya kişisel verilerin korunmasına ilişkin özel bir kanun çıkarma yükümlülüğü getirmiştir. Bu anayasal zorunluluk, altı yıl sonra, 2016 yılında KVKK'nın kabul edilmesiyle sonuçlanmıştır. Bu anayasal temel, Türkiye'yi veri korumanın yalnızca sıradan bir mevzuata dayandığı birçok ülkeden ayırmakta ve mahremiyet ile veri korumayı Türk hukukunun en üst katmanına yerleştirmektedir.
Türkiye ayrıca, Avrupa Konseyi'nin Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi'ne (108 Sayılı Sözleşme) taraftır; bu sözleşme, anayasal ve yasal çerçeveyi uluslararası hukuk yükümlülükleriyle desteklemektedir.
KVKK'nın Kapsamı
KVKK, Türkiye'de bulunan bireylerin kişisel verilerini işleyen her gerçek veya tüzel kişiye uygulanır. Bu kapsama Türk şirketleri, Türkiye'de yerleşik kişilere mal veya hizmet sunan yabancı kuruluşlar ve Türkiye'deki bireylerin davranışlarını izleyen organizasyonlar dâhildir.
KVKK kapsamında kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. Bu tanım geniştir ve isimleri, kimlik numaralarını, e-posta adreslerini, IP adreslerini, konum verilerini ve bir bireyi doğrudan veya dolaylı olarak tanımlayabilecek diğer her türlü bilgiyi kapsar.
Kanun, otomatik işlemeye olduğu kadar, bir veri kayıt sisteminin parçasını oluşturması kaydıyla otomatik olmayan işlemeye de uygulanır. Kuruluşları temel yükümlülüklerden muaf tutan veya bu yükümlülükleri tetikleyen bir gelir veya çalışan sayısı eşiği bulunmamakla birlikte, yurt içi veri sorumluları için VERBİS kayıt eşikleri mevcuttur.
Veri İşlemenin Temel İlkeleri
KVKK'nın 4. maddesi, tüm kişisel veri işleme faaliyetlerini yöneten temel ilkeleri düzenlemektedir. Bu ilkeler, çoğu modern veri koruma çerçevesindekilere benzerdir.
Veriler hukuka ve dürüstlük kuralına uygun olarak işlenmelidir. İşlemenin geçerli bir hukuki dayanağı bulunmalı ve ilgili kişiyi yanıltmamalıdır. Tüm işleme, belirli, açık ve meşru bir amaca bağlı olmalıdır. Veri sorumluları, belirtilen amaç için gerekli olandan daha fazla veri toplayamaz.
Doğruluk zorunludur. Veri sorumlularının verileri güncel tutması ve tespit edilen yanlışlıkları düzeltmesi gerekir. Veriler, işlemenin amacının gerektirdiği süre kadar saklanabilir. Bu amaç gerçekleştiğinde veya kanuni saklama süresi dolduğunda, verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
İşleme İçin Hukuki Dayanaklar
KVKK'nın 5. maddesi, kişisel verilerin hukuka uygun şekilde işlenebileceği koşulları düzenlemektedir. Temel dayanak açık rızadır. Ancak, rıza olmaksızın işlemeye izin veren çeşitli alternatif dayanaklar da mevcuttur.
Kanunlarda açıkça öngörülmesi, rızasını açıklayamayacak durumdaki bir kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, verinin ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması hâllerinde, rıza aranmaksızın işleme yapılabilir.
KVKK'nın meşru menfaat dayanağı, GDPR kapsamındakinden daha dar yorumlanmaktadır. KVKK Kurulu tarihsel olarak açık rızayı tercih edilen hukuki dayanak olarak vurgulamış olup, meşru menfaate dayanan kuruluşlar daha ağır bir ispat yükü taşımaktadır.
Özel Nitelikli Kişisel Veri Kategorileri

KVKK'nın 6. maddesi özel nitelikli kişisel veri kategorilerini tanımlamakta ve bunlara daha sıkı işleme koşulları getirmektedir. Bu kategoriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık verileri, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri kapsar.
7499 sayılı Kanun'dan önce, KVKK sağlık ve cinsel hayat verileri ile diğer hassas kategoriler arasında ayrı bir iç ayrım yapmakta ve her bir gruba farklı hukuki koşullar uygulamaktaydı. 2024 değişikliği bu iç ayrımı kaldırmıştır. Tüm özel nitelikli veriler artık birleştirilmiş bir dizi hukuki dayanağa tabidir.
Değiştirilmiş 6. madde uyarınca, kanunlarda açıkça öngörülmesi, rızasını açıklayamayacak durumdaki bir kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması, verinin ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi veya kullanılması için işlemenin zorunlu olması, istihdam veya iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi için gerekli olması ya da dernek ve vakıflar tarafından yalnızca kendi üyelerine yönelik ve üçüncü kişilere ifşa edilmeksizin işlenmesi hâllerinde, hassas veriler açık rıza olmaksızın işlenebilir.
Değişiklik ayrıca, yeterli gizlilik ve teknik güvenlik önlemlerinin sağlanması kaydıyla, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla sağlık meslek mensupları tarafından yapılan işlemeye ilişkin istisnayı da genişletmiştir.
Özel nitelikli verilerin tüm işlenmesi, KVKK Kurulu'nun belirleme yetkisine sahip olduğu ek koruyucu önlemlere uyulmasını gerektirmeye devam etmektedir.
KVKK Kurulu ve Kişisel Verileri Koruma Kurumu
Kişisel Verileri Koruma Kurumu (KVKK Kurumu), bağımsız denetim organıdır. Dokuz üyeden oluşan Kurul, beşi Türkiye Büyük Millet Meclisi tarafından seçilen ve dördü Cumhurbaşkanı tarafından atanan üyelerden meydana gelmektedir. Kurul üyeleri altı yıllık bir görev süresi için görev yapmakta ve bağımsız hareket etmeleri beklenmektedir.
Kurulun uygulama yetkileri geniştir. Şikâyetleri inceler, re'sen soruşturmalar yürütür, düzeltici işlem yapılmasını gerektiren bağlayıcı kararlar alır, idari para cezaları uygular, kılavuzlar ve düzenleyici rehberlik yayımlar, sınır ötesi veri aktarım mekanizmalarını onaylar veya reddeder ve VERBİS sicilini yönetir.
Kurum Başkanlığı, günlük idari işleri yürütmekte, VERBİS kayıtlarını işlemekte, soruşturma çalışmalarını desteklemekte ve Kurumun internet sitesinde ihlal bildirimlerinin yayımlanması dâhil kamuoyu iletişimini yönetmektedir.
2023'ten bu yana Kurul, uygulama faaliyetlerini hızlandırmıştır. Sohbet robotları, derin sahte içerikler (deepfake) ve yapay zekâ sistemleri gibi yeni teknoloji konularında rehberlik yayımlamış ve dijital platformlar ile finansal kuruluşlara yönelik denetimini genişletmiştir.
VERBİS: Veri Sorumluları Sicili
KVKK'nın en dikkat çekici özelliklerinden biri, VERBİS olarak bilinen Veri Sorumluları Sicil Bilgi Sistemi'dir. Kamuya açık bu çevrimiçi sicil, veri sorumlularının Türkiye'de kişisel veri işlemeye başlamadan önce kaydolmasını zorunlu kılmaktadır.
Kayıt işlemi, veri sorumlusunun işlenen kişisel veri kategorilerini, işleme amaçlarını, veri konusu kişi kategorilerini, verinin aktarıldığı alıcıları, öngörülen saklama sürelerini ve sınır ötesi veri aktarımlarını beyan etmesini gerektirir. Bu bilgilerdeki her türlü değişikliğin yedi gün içinde güncellenmesi gerekmektedir.
Yurt İçi Kayıt Eşikleri
Türkiye'de kurulu veri sorumluları için, 50 veya daha fazla çalışanı olması ya da yıllık bilanço toplamının 100 milyon TL veya üzerinde olması hâlinde kayıt zorunludur. Daha küçük kuruluşlar için bir muafiyet mevcuttur; ancak bu muafiyet yalnızca asıl faaliyet konusunun özel nitelikli veri işleme olmaması hâlinde geçerlidir. Asıl faaliyeti hassas veri işleme olan veri sorumluları, 10 veya daha fazla çalışanı ya da en az 10 milyon TL yıllık bilançosu varsa kaydolmak zorundadır.
Bu eşikler, Eylül 2025'te yayımlanan ve 1 Ekim 2025'te yürürlüğe giren bir değişiklikle yeniden düzenlenmiştir. Değişiklik, hem çalışan hem de mali eşikleri güncellemiş ve küçük veri sorumluları için özel nitelikli veri işleme ölçütünü netleştirmiştir.
Yabancı Veri Sorumluları
Yurt içi eşikler yabancı veri sorumlularına uygulanmaz. Türkiye'deki bireylerin kişisel verilerini işleyen herhangi bir yabancı kuruluş, büyüklüğünden, personel sayısından veya yıllık gelirinden bağımsız olarak VERBİS'e kaydolmak zorundadır. Yabancı veri sorumlularının ayrıca Türkiye'de ikamet eden yerel bir temsilci ataması gerekir. Bu temsilci, KVKK Kurumu ve haklarını kullanmak isteyen ilgili kişiler için başlıca irtibat noktası görevi görür.
VERBİS Uygulama Faaliyetleri
KVKK Kurulu, 2024 yılında VERBİS kayıt yükümlülüğünü sıkı bir şekilde uygulamaya başlamıştır. Ağustos 2024'te Kurul, 16.350 kuruluşu uyumsuzluk gerekçesiyle incelemeye almış ve toplam yaklaşık 504 milyon TL (yaklaşık 14 milyon EUR) tutarında ceza uygulamıştır. Kamu kurumları dâhil olmak üzere hem yurt içi hem de yabancı veri sorumluları yaptırımla karşılaşmıştır. Meta ve WhatsApp, eksik VERBİS kaydı nedeniyle her biri yaklaşık 2,6 milyon TL para cezasına çarptırılmıştır.
2024 Değişikliği: 7499 Sayılı Kanun
7499 sayılı Kanun, geniş kapsamlı, çok sektörlü bir reform tasarısı olarak kabul edilmiştir. KVKK'ya ilişkin hükümleri, 6698 sayılı Kanun'un 6, 9 ve 18. maddelerini değiştirmiş olup, değişiklikler 1 Haziran 2024'te yürürlüğe girmiş ve 1 Eylül 2024'e kadar süren bir geçiş dönemi öngörülmüştür.
Değişiklik iki amaçla yönlendirilmiştir: Türkiye'nin sınır ötesi aktarım çerçevesini GDPR'ın V. Bölümü ile uyumlu hâle getirmek ve hassas veri işleme için hukuki dayanakları genişletmek. Her ikisi de, orijinal 2016 kanununun işletmeler için pratik zorluklar yarattığı ve AB ortaklarıyla sürtüşmeye yol açtığı alanlardı.
Sınır Ötesi Veri Aktarımları: Yeni Üç Katmanlı Çerçeve

- maddede yapılan 2024 değişiklikleri, KVKK tarihindeki en önemli değişikliği temsil etmektedir. 7499 sayılı Kanun'dan önce, uluslararası veri aktarımları ya ilgili kişinin açık rızasını ya da KVKK Kurulu tarafından vaka bazında onaylanan bir taahhüdü gerektirmekteydi. Bu süreç yavaştı, belirsizlik yaratıyordu ve sistematik sınır ötesi veri akışlarının yönetimini zorlaştırıyordu. Yeni çerçeve bunun yerine üç mekanizmadan oluşan bir hiyerarşi getirmiştir.
1. Katman: Yeterlilik Kararları
KVKK Kurulu, belirli bir ülkenin, bir ülke içindeki belirli bir sektörün veya uluslararası bir kuruluşun KVKK ile esasen eşdeğer düzeyde veri koruma sağladığını tanıyan resmi yeterlilik kararları verebilir. Böyle bir karar mevcut olduğunda, kişisel veriler, ek bir yetkilendirme veya sözleşmesel mekanizma gerekmeksizin 5. ve 6. maddeler kapsamındaki olağan hukuki dayanaklar kullanılarak bu hedefe aktarılabilir.
Türk yeterlilik rejiminin dikkat çekici bir özelliği, sektörel düzeyde de uygulanabilmesidir. Bir ülke genel olarak yeterli bulunmamış olsa dahi, o ülke içindeki belirli bir sektöre yeterlilik statüsü verilebilir. Yeterlilik kararları, en az dört yılda bir periyodik olarak gözden geçirilmektedir.
2026 yılı başı itibarıyla, KVKK Kurulu henüz yeterli ülkeler veya sektörlere ilişkin kesinleşmiş bir liste yayımlamamıştır. Bu belirleme süreci gelişmeye devam etmekte olup, kuruluşlar çoğu aktarım hedefi için henüz bir yeterlilik kararına dayanamamaktadır.
2. Katman: Uygun Güvenceler
Bir yeterlilik kararı bulunmadığında, veri sorumluları üç güvence mekanizmasından birine dayanabilir.
Standart Sözleşme Hükümleri (SCC), KVKK Kurulu tarafından yayımlanan önceden onaylı örnek sözleşmelerdir. Veri sorumlusundan veri sorumlusuna ve veri sorumlusundan veri işleyene aktarımları kapsayan farklı modüller hâlinde sunulmaktadır. Hükümlerin değişiklik yapılmaksızın olduğu gibi kabul edilmesi gerekir. Veri kategorileri, amaçlar ve güvenlik önlemleri gibi operasyonel ayrıntıları ele almak için ek ekler eklenebilir; ancak hükmün ana metni değiştirilemez.
Sözleşme imzalandıktan sonra, tarafların KVKK Kurumu'nun elektronik Veri Aktarım Modülü aracılığıyla imza tarihinden itibaren beş iş günü içinde bildirimde bulunması gerekir. İmza günü sıfırıncı gün olarak sayılır; bildirimin, imzayı takip eden beşinci iş gününün sonuna kadar tamamlanması gerekir. 2024 yılı sonu itibarıyla, Haziran-Aralık döneminde Modül üzerinden yaklaşık 1.345 standart sözleşme bildirimi yapılmış olup bu durum, kuruluşların yeni mekanizmayı hızla benimsediğini göstermektedir.
Bildirim, Kurul onayı anlamına gelmemektedir. Aktarımın hukuka uygunluğu, Kurul tarafından onaylanmış hüküm metninin doğru şekilde kabul edilmesinden kaynaklanmaktadır. Bildirim, Kurum'un izlemesine yardımcı olan idari bir başvurudur.
Bağlayıcı Şirket Kuralları (BCR), çok uluslu kuruluşların grup içi aktarım çerçeveleri oluşturmasına imkân tanır. BCR'lerin onay için KVKK Kurulu'na sunulması ve veri güvenliği, şeffaflık ve ilgili kişi haklarının uygulanmasına ilişkin taahhütler dâhil olmak üzere, katılan tüm grup kuruluşları genelinde yeterli koruma standartlarının sağlandığını göstermesi gerekir.
Yazılı taahhütnameler üçüncü bir seçenektir. Bir veri sorumlusu veya veri işleyen, yabancı alıcıyla, her iki tarafı da yeterli koruma standartlarına bağlayan özel bir yazılı sözleşme hazırlayabilir. SCC'lerden farklı olarak, yazılı taahhütnameler önceden onaylanmış bir Kurul şablonuna dayanmaz. Aktarımlar başlamadan önce bireysel yetkilendirme için Kurul'a sunulması gerekir. Bu mekanizma, alışılmadık aktarım ilişkileri için esneklik sağlar; ancak SCC'lere göre daha fazla hazırlık süresi gerektirir.
3. Katman: İstisnai Haller
Ne bir yeterlilik kararı ne de bir güvence mekanizması mevcut veya uygulanabilir olduğunda, belirli sınırlı istisnalar belirli koşullarda aktarımlara izin vermektedir. Bunlar arasında, ilgili kişinin açık ve bilgilendirilmiş rızasına dayanan aktarımlar, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası için gerekli olan aktarımlar, rıza alınamadığında ilgili kişinin hayatı veya beden bütünlüğünün korunması için hayati önem taşıyan aktarımlar ve bir hakkın tesisi veya kullanılması için gerekli olan aktarımlar bulunmaktadır.
1 Eylül 2024 itibarıyla, açık rıza artık düzenli veya tekrarlanan uluslararası aktarımlar için bir dayanak olarak kullanılamamaktadır. İstisna anlamındaki rıza, yalnızca arızi, sistematik olmayan aktarımları kapsamaktadır. Bu değişiklik, yapısal mekanizmaların yerine kullanılan süregelen genel rıza uygulamasını ortadan kaldırmaktadır.
2024 değişiklikleri ayrıca, yalnızca veri sorumlularının değil, veri işleyenlerin de sınır ötesi aktarımlarda bulunmasına açıkça izin vererek, orijinal mevzuattaki bir boşluğu kapatmıştır.
Sınır Ötesi Aktarım Yönetmeliği ve Rehberi
KVKK, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliği 10 Temmuz 2024'te yayımlayarak yeni 9. madde çerçevesinin uygulama ayrıntılarını sunmuştur. Ocak 2025'te Kurum, mekanizmaların hiyerarşisini ve her biri için usul gerekliliklerini netleştiren ek rehberler yayımlamıştır. Rehber, veri sorumlularına hedef ülkedeki koruma düzeyini değerlendirmelerini, bu değerlendirmeyi belgelemelerini ve sonuca göre uygulanabilir mekanizmayı seçmelerini talimatlandırmaktadır.
VERBİS ve Sınır Ötesi Aktarımlar
Sınır ötesi veri aktarımı yapan kuruluşların, bu aktarımları VERBİS kayıtlarına yansıtması gerekir. Yabancı alıcı kategorileri, ilgili ülkeler ve kullanılan aktarım mekanizması eksiksiz olarak beyan edilmelidir. Bir aktarım düzenlemesindeki her türlü değişikliğin VERBİS'te yedi gün içinde güncellenmesi gerekir.
Veri İhlali Bildirimi
KVKK, sıkı ihlal bildirimi yükümlülükleri getirmektedir. Bir kişisel veri ihlali tespit edildiğinde, veri sorumlusunun resmi Kişisel Veri İhlali Bildirim Formu'nu kullanarak 72 saat içinde KVKK Kurulu'na bildirimde bulunması gerekir. 72 saatlik süre, ihlalin yalnızca BT departmanı tarafından ilk fark edildiği andan değil, veri sorumlusunun yönetiminin ihlalden haberdar olduğu andan itibaren işlemeye başlar.
Türkiye'nin bildirim yükümlülüğü, GDPR'dakinden dikkat çekici biçimde daha geniştir. GDPR, yalnızca ihlalin gerçek kişilerin hak ve özgürlükleri açısından risk oluşturması muhtemel olduğunda bildirim gerektirmektedir. KVKK'da böyle bir risk eşiği bulunmamaktadır. Tüm ihlallerin, ciddiyetinden veya bireylere zarar verme olasılığından bağımsız olarak Kurul'a bildirilmesi gerekir.
Bildirimde, ihlalin niteliği, etkilenen kişisel veri kategorileri ve yaklaşık sayısı, etkilenen ilgili kişilerin yaklaşık sayısı, olası sonuçlar ve ihlali gidermek için alınan veya önerilen tedbirler açıklanmalıdır. Veri sorumlusu bildirimi 72 saat içinde tamamlayamıyorsa, gecikmenin nedenleri belgelenmeli ve bildirime eklenmelidir.
Veri sorumlularının, etkilenen ilgili kişileri de koruyucu tedbirler alabilmeleri için gecikmeksizin bilgilendirmesi gerekir. Kurul ayrıca, daha geniş kamuoyu bildirimini gerekli gördüğü durumlarda veri sorumlusuna, internet sitesi veya diğer kanallar aracılığıyla bir ihlal bildirimi yayımlama talimatı verebilir.
25 Aralık 2025'ten itibaren, KVKK Kurumu'nun internet sitesinde yayımlanan ihlal bildirimleri en fazla 60 gün sonra kaldırılmaktadır. Bu değişiklik, önceki süresiz saklama uygulamasının yerine geçen 2025/2451 sayılı Kurul Kararı ile getirilmiştir. Etkilenen tüm bireylerin daha önce doğrudan bilgilendirildiğini gösterebilen veri sorumlularının bildirimleri daha erken kaldırılabilir.
KVKK'ya tabi her veri sorumlusunun, iç bildirim zincirlerini belirleyen, bildirim sorumluluğunu atayan ve olayların belgelenmesi ile araştırılmasına ilişkin prosedürler oluşturan test edilmiş bir ihlal müdahale planı bulundurması beklenmektedir.
İlgili Kişi Hakları

KVKK'nın 11. maddesi, bireylere kişisel verileri hakkında kapsamlı bir dizi hak tanımaktadır. 2024 değişiklikleri, bu hakların birçoğunu güçlendirerek GDPR standartlarına yaklaştırmıştır.
İlgili kişiler, kişisel verilerinin işlenip işlenmediğini öğrenebilir. İşleniyorsa, işlemenin niteliği hakkında bilgi talep edebilir. İşleme amacını ve verilerin bu amaca uygun kullanılıp kullanılmadığını öğrenebilir. Verilerinin aktarıldığı yurt içindeki veya yurt dışındaki üçüncü kişileri öğrenebilir. Eksik veya yanlış verilerin düzeltilmesini talep edebilir. İşlemeyi gerektiren sebepler ortadan kalktığında veya saklama süresi dolduğunda verilerin silinmesini veya yok edilmesini talep edebilir.
İlgili kişiler, yapılan düzeltme veya silme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini talep edebilir. Münhasıran otomatik sistemler aracılığıyla yapılan ve kendileri aleyhine bir sonuç doğuran işlemeye itiraz edebilirler. Ayrıca hukuka aykırı işleme nedeniyle uğradıkları zararın tazminini talep edebilirler.
2024 değişikliklerinin ardından, veri taşınabilirliği hakları uygulamada güçlendirilmiş olup bireylere verilerini alma ve aktarma konusunda daha güçlü bir imkân tanınmıştır. Otomatik karar almaya karşı korumalar da güçlendirilmiştir.
Bu hakları kullanmak için, ilgili kişinin öncelikle veri sorumlusuna yazılı bir başvuruda bulunması gerekir. Veri sorumlusunun 30 gün içinde yanıt vermesi gerekir. Veri sorumlusu talebi reddeder, yetersiz bir yanıt verir veya yanıt vermezse, ilgili kişi, yanıtı öğrendiği tarihten itibaren 30 gün içinde veya başvuru tarihinden itibaren 60 gün içinde KVKK Kurulu'na şikâyette bulunabilir. Şikâyetler, KVKK Şikâyet Modülü aracılığıyla sunulmaktadır.
KVKK ile GDPR Karşılaştırması: Temel Benzerlikler ve Farklar
KVKK ve AB'nin Genel Veri Koruma Tüzüğü (GDPR), Avrupa veri koruma geleneğinde ortak bir kökene sahiptir. Türkiye'nin 108 Sayılı Sözleşme üyeliği ve AB'ye katılım adaylığı, KVKK'nın tasarımını şekillendirmiştir. Ancak, 2024 reformlarından sonra bile anlamlı farklılıklar devam etmektedir.
Bölgesel kapsam. GDPR, kuruluşun nerede yerleşik olduğundan bağımsız olarak AB'de yerleşik kişilerin verilerini işleyen her kuruluşa uygulanır. KVKK, Türkiye'de yerleşik kişileri hedef alan yabancı kuruluşlara uygulanır; ancak sınır ötesi uygulaması pratikte daha az gelişmiştir.
Hukuki dayanaklar. Her iki kanun da açık rızayı, sözleşmenin ifasını, hukuki yükümlülükleri, hayati menfaatleri ve meşru menfaatleri tanımaktadır. KVKK'nın meşru menfaat dayanağı daha dar yorumlanmakta olup Kurul tarihsel olarak açık rızayı tercih etmiştir.
Ceza düzeyleri. GDPR, 20 milyon EUR'ya veya küresel yıllık cirosunun yüzde 4'üne kadar para cezası öngörmektedir. KVKK'nın 2026 yılı azami idari para cezası yaklaşık 17 milyon TL olup, güncel döviz kurlarıyla kabaca 460.000 ila 490.000 EUR'ya karşılık gelmektedir. KVKK, idari para cezalarını, bireyler için hapis cezası dâhil olmak üzere Türk Ceza Kanunu aracılığıyla cezai yaptırımlarla desteklemektedir.
VERBİS ile Veri Koruma Görevlisi (DPO) ve Veri Koruma Etki Değerlendirmesi (DPIA) karşılaştırması. KVKK, GDPR'de doğrudan bir karşılığı bulunmayan VERBİS kaydını gerektirmektedir. GDPR, belirli yüksek riskli veya büyük ölçekli işleme bağlamlarında Veri Koruma Etki Değerlendirmesi ve Veri Koruma Görevlisi bulundurulmasını gerektirmektedir. Ne DPO ne de DPIA, KVKK tarafından resmi olarak zorunlu kılınmamıştır; ancak birçok uygulayıcı bunları en iyi uygulama olarak önermektedir.
İhlal bildirimi eşiği. GDPR risk temelli bir eşik kullanmaktadır. KVKK ise herhangi bir eşik olmaksızın tüm ihlaller için bildirim gerektirmektedir.
Aktarımlar için yeterlilik. Her iki kanun da yeterlilik kararları, SCC'ler ve BCR'ler ile sonuçlanan katmanlı bir aktarım çerçevesi kullanmaktadır. Türkiye'nin çerçevesi, 2024 reformunun ardından GDPR'ın V. Bölümü örnek alınarak tasarlanmıştır. Ancak Türkiye henüz herhangi bir yeterlilik kararı vermemiş olup, bu durum SCC'leri çoğu uluslararası aktarım için başlıca pratik mekanizma hâline getirmektedir.
Cezalar ve Uygulama
2026 Yılı İdari Para Cezaları
KVKK kapsamındaki idari para cezaları, Türkiye'nin kanuni yeniden değerleme oranına göre her yıl güncellenmektedir. 2026 yılı için yeniden değerleme oranı, 27 Kasım 2025 tarihli ve 33090 sayılı Resmî Gazete uyarınca 2025 rakamlarına eklenerek yüzde 25,49 olarak belirlenmiştir. Kesin 2026 ceza aralıkları şu şekildedir:
- İlgili kişileri aydınlatma yükümlülüğüne uymama: asgari 85.437 TL, azami 1.709.200 TL
- Veri güvenliği yükümlülüklerini yerine getirmeme: asgari 256.357 TL, azami 17.092.242 TL
- Kurul kararlarına uymama: asgari 427.263 TL, azami 17.092.242 TL
- VERBİS'e kaydolmama veya bildirim yapmama: asgari 341.809 TL, azami 17.092.242 TL
- Sınır ötesi aktarımlara ilişkin standart sözleşme hükümlerini Kurum'a bildirmeme: asgari 90.308 TL, azami 1.806.377 TL
Son kategori, SCC bildirim yükümlülüğü için özel bir uygulama aracı olarak 2024 değişikliğiyle eklenmiştir.
İdari para cezalarına daha önce sulh ceza mahkemelerinde itiraz edilebilmekteydi. 7499 sayılı Kanun bunu değiştirmiştir: cezalara artık idari mahkemelerde itiraz edilmekte olup bu usul değişikliği, KVKK rejiminin idari hukuk niteliğiyle uyumludur.
Cezai Yaptırımlar
KVKK'nın 17. maddesi, ciddi ihlalleri, veri koruma suçları için hapis cezası öngören Türk Ceza Kanunu'na (5237 sayılı Kanun) atıfta bulunmaktadır:
- Kişisel verilerin hukuka aykırı olarak kaydedilmesi: 1 ila 3 yıl hapis cezası; hassas kategoriler için artırılmış cezalar uygulanır
- Kişisel verilerin başkalarına hukuka aykırı olarak verilmesi veya hukuka aykırı yollarla ele geçirilmesi: 2 ila 4 yıl hapis cezası
- Kanunen gerektiğinde verilerin silinmemesi veya anonim hâle getirilmemesi: 1 ila 2 yıl hapis cezası
Bu hükümler gerçek kişilere uygulanmakta olup, şirket yöneticileri ve yetkilileri veri koruma ihlalleri nedeniyle kişisel cezai sorumlulukla karşılaşabilir.
Dikkat Çekici Uygulama Kararları
2024 yılında KVKK Kurulu'nun toplam cezaları 552 milyon TL'yi aşmıştır. En büyük tek dalga, 16.350 kuruluşa yönelik Ağustos 2024 VERBİS uyumsuzluğu uygulaması olup yaklaşık 504 milyon TL tutarında ceza ile sonuçlanmıştır. Kamu kurumları dâhil olmak üzere hem yurt içi hem de yabancı veri sorumluları bu kapsama dâhil edilmiştir.
Dikkat çekici bireysel uygulamalar arasında, eksik VERBİS kaydı nedeniyle Meta ve WhatsApp'a her biri yaklaşık 2,6 milyon TL uygulanan cezalar bulunmaktadır. Twitch, 35.000'den fazla Türk kullanıcıyı etkileyen bir veri ihlali nedeniyle 2024 yılında 2 milyon TL ceza almıştır.
2025 yılında KVKK Kurumu, Sermaye Piyasası Kurulu ile bir iş birliği protokolü imzalamıştır. Bu durum, kişisel veri işleyen finansal kuruluşlar ve halka açık şirketler üzerindeki ortak denetimin genişlediğine işaret etmekte ve finans sektöründe koordineli soruşturmalar ile kurumlar arası uygulamanın habercisi niteliğindedir.
Gelişen Konular: Yapay Zekâ, Sohbet Robotları ve Derin Sahte İçerikler
KVKK Kurumu, yeni teknoloji konularında somut rehberlik yayımlamaya başlamıştır. 2024 yılında Kurum, ChatGPT dâhil sohbet robotları, derin sahte içerikler ve çeşitli yapay zekâ tabanlı veri işleme kategorileri için hukuki dayanaklar hakkında bilgi notları yayımlamıştır. Bu rehberlik henüz bağlayıcı düzenlemeler şeklinde değildir; ancak gelecekteki uygulamanın yönüne işaret etmektedir.
Kurulun görüşü, kişisel veri işleyen yapay zekâ sistemlerinin, hukuka uygun işleme dayanağı, veri minimizasyonu, şeffaflık ve ilgili kişi hakları gerekliliklerini de içeren KVKK'nın tam çerçevesine tabi olduğu yönündedir. Türkiye'de yerleşik kişilerin kişisel verilerini işleyen yapay zekâ araçları kullanan kuruluşların, hukuki dayanağı belgelemesi, ilgili kişi aydınlatma metinleri hazırlaması ve yabancı yapay zekâ sağlayıcılarına yapılan veri aktarımlarının sınır ötesi aktarım rejimine uygun olup olmadığını değerlendirmesi gerekir.
Kurum ayrıca, büyük teknoloji platformlarına yönelik soruşturmaların giderek hem veri koruma hem de rekabet hukuku boyutlarını taşıdığını belirterek, META soruşturması ve AB'deki benzer eylemlerin izlediği modele işaret etmiştir.
Kuruluşlar İçin Uyumluluk Kontrol Listesi
KVKK'ya tabi kuruluşların, uyumluluk oluşturmak ve sürdürmek için aşağıdaki alanları ele alması gerekir.
Türkiye'de herhangi bir kişisel veri işlemeden önce VERBİS'e kaydolun. Yabancı veri sorumluları büyüklüklerinden bağımsız olarak kaydolmalı ve Türkiye'de ikamet eden bir temsilci atamalıdır. Genel eşiklerin altında kalan yurt içi veri sorumluları, asıl faaliyetleri özel nitelikli veri işleme ise yine de kaydolmalıdır.
Her kişisel veri işleme faaliyeti için hukuka uygun bir dayanak belirleyin ve belgeleyin. Başka bir dayanağın daha uygun ve istikrarlı olduğu durumlarda açık rıza varsayılan seçim olmamalıdır.
Tüm sınır ötesi veri aktarımlarını haritalandırın ve uygulanabilir aktarım mekanizmasını belirleyin. SCC kullanıyorsanız, değişiklik yapmadan uygulayın ve Veri Aktarım Modülü aracılığıyla beş iş günü içinde KVKK'ya bildirimde bulunun. Yazılı taahhütname kullanıyorsanız, aktarımlar başlamadan önce Kurul yetkilendirmesi alın.
Teknik ve idari veri güvenliği önlemlerini uygulayın. Periyodik olarak iç denetim programları sürdürün ve uyumluluk önlemlerini belgeleyin.
Tüm ihlaller için, ciddiyetinden bağımsız olarak Kurul'a 72 saat içinde bildirim yapılmasını destekleyen bir veri ihlali müdahale planı hazırlayın ve test edin. Planı en az yılda bir kez gözden geçirin.
İlgili kişi başvurularına 30 gün içinde yanıt verin. Başvuruları alma, doğrulama ve işleme sürecini sürdürün.
İşleme faaliyetlerinde, veri kategorilerinde, alıcılarda veya aktarım düzenlemelerinde herhangi bir değişiklik olduğunda VERBİS kaydını yedi gün içinde güncelleyin.
Yapay zekâ ve otomatik işleme faaliyetlerini KVKK gereklilikleri açısından gözden geçirin. Türkiye'de yerleşik kişilerin kişisel verilerini işleyen sohbet robotları veya yapay zekâ tabanlı araçları içeren işleme için şeffaflık bildirimleri hazırlayın.
Ayrıca Bakınız
Kayıt hukuku, telefon dinleme ve Türk Ceza Kanunu rıza kuralları için bkz. Türkiye Kayıt Yasaları.
Frequently Asked Questions
KVKK yabancı şirketlere uygulanır mı?
Evet. KVKK, kuruluşun nerede yerleşik olduğundan bağımsız olarak, Türkiye'de bulunan bireylerin kişisel verilerini işleyen her gerçek veya tüzel kişiye uygulanır. Yabancı veri sorumlularının, Türkiye'de kişisel veri işlemeden önce VERBİS'e kaydolması ve Türkiye'de ikamet eden yerel bir temsilci ataması gerekir. Yabancı veri sorumluları için büyüklüğe dayalı bir muafiyet bulunmamaktadır.
2024 KVKK değişiklikleri (7499 Sayılı Kanun) neyi değiştirdi?
1 Haziran 2024'te yürürlüğe giren 7499 sayılı Kanun, KVKK'da üç önemli değişiklik yapmıştır. İlk olarak, eski sınır ötesi aktarım sistemini; yeterlilik kararları, standart sözleşme hükümleri veya bağlayıcı şirket kuralları ve sınırlı istisnalardan oluşan üç katmanlı bir çerçeveyle değiştirmiştir. 1 Eylül 2024 itibarıyla, açık rıza artık düzenli veya tekrarlanan uluslararası aktarımlar için geçerli değildir. İkinci olarak, sağlık ve cinsel hayat verilerine yönelik ayrı muameleyi kaldırarak özel nitelikli kişisel verilerin işlenmesine ilişkin hukuki dayanakları genişletmiştir. Üçüncü olarak, imzalanan standart sözleşme hükümlerinin beş iş günü içinde KVKK Kurumu'na bildirilmemesi için yeni bir ceza kategorisi eklemiştir.
KVKK kapsamında standart sözleşme hükümleri nasıl işler?
Standart sözleşme hükümleri, KVKK Kurulu tarafından yayımlanan ve veri sorumlusundan veri sorumlusuna ile veri sorumlusundan veri işleyene aktarımları kapsayan önceden onaylı örnek sözleşmelerdir. Hükümlerin değişiklik yapılmaksızın kabul edilmesi gerekir. İmzalandıktan sonra, her iki tarafın da elektronik Veri Aktarım Modülü aracılığıyla beş iş günü içinde KVKK Kurumu'na bildirimde bulunması gerekir. Bildirim, Kurul onayı anlamına gelmez; idari bir başvurudur. Aktarımın hukuka uygunluğu, Kurul tarafından onaylanmış metnin doğru şekilde uygulanmasından kaynaklanır.
2026 için KVKK cezaları nelerdir?
2026 yılı idari para cezaları, ihlal kategorisine bağlı olarak 85.437 TL ile 17.092.242 TL arasında değişmektedir. En yüksek cezalar, veri güvenliği ihlalleri, Kurul kararlarına uymama ve VERBİS'e kayıtsızlık için uygulanmaktadır. Türk Ceza Kanunu kapsamındaki cezai yaptırımlar arasında, hukuka aykırı veri kaydı için 1 ila 3 yıl, hukuka aykırı veri verme veya ele geçirme için 2 ila 4 yıl ve gerektiğinde verileri silmeme için 1 ila 2 yıl hapis cezası bulunmaktadır.
VERBİS nedir ve kimler kaydolmak zorundadır?
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), Türkiye'nin kamuya açık Veri Sorumluları Sicili'dir. Veri sorumlularının kişisel veri işlemeye başlamadan önce kaydolması gerekir. Yurt içi veri sorumluları, 50 veya daha fazla çalışanı ya da 100 milyon TL veya üzerinde yıllık bilançosu varsa kaydolmak zorundadır. Asıl faaliyeti özel nitelikli veri işleme olan veri sorumluları, daha düşük eşiklerde (10 çalışan veya 10 milyon TL bilanço) kaydolmak zorundadır. Yabancı veri sorumluları büyüklüklerinden bağımsız olarak kaydolmak zorundadır. Eşikler, 1 Ekim 2025'te yürürlüğe giren Eylül 2025 tarihli bir değişiklikle yeniden düzenlenmiştir.
Türkiye'nin ihlal bildirimi yükümlülüğü GDPR'dan nasıl farklıdır?
KVKK, veri sorumlularının herhangi bir kişisel veri ihlalini tespit ettikten sonra 72 saat içinde KVKK Kurulu'na bildirimde bulunmasını gerektirmektedir. Yalnızca bireyler için risk oluşturması muhtemel olduğunda bildirim gerektiren GDPR'ın aksine, KVKK'da herhangi bir risk eşiği bulunmamaktadır. Tüm ihlallerin, ciddiyetinden bağımsız olarak bildirilmesi gerekir. 25 Aralık 2025'ten itibaren, KVKK internet sitesinde yayımlanan ihlal bildirimleri, önceki süresiz saklama uygulamasının yerine geçen 2025/2451 sayılı Kurul Kararı uyarınca en fazla 60 gün sonra kaldırılmaktadır.
Türkiye'de veri korumasının anayasal dayanağı nedir?
2010 yılında yapılan bir değişiklikle eklenen Türkiye Cumhuriyeti Anayasası'nın 20/3. maddesi, kişisel verilerin korunması hakkını açıkça tanımaktadır. Bu madde her bireye, kişisel verileri hakkında bilgilendirilme, bu verilere erişme, düzeltilmesini veya silinmesini isteme ve verilerin hukuka uygun bir amaç doğrultusunda kullanılıp kullanılmadığını öğrenme hakkı tanımaktadır. Hüküm ayrıca kanun koyucuya özel bir veri koruma kanunu çıkarma talimatı vermiş olup bu, 2016 yılında KVKK'nın kabul edilmesiyle sonuçlanmıştır.
Sources and References
- Kişisel Verilerin Korunması Kanunu No. 6698 (KVKK) - Resmi İngilizce Metin(kvkk.gov.tr).gov
- KVKK - 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun Amacı ve Kapsamı(kvkk.gov.tr).gov
- KVKK - Veri Güvenliğine İlişkin Yükümlülükler(kvkk.gov.tr).gov
- KVKK - Kişisel Veri İhlali Bildirimine İlişkin 2019/10 Sayılı Kurul Kararı(kvkk.gov.tr).gov
- KVKK - Özel Nitelikli Kişisel Verilerin İşlenme Koşulları(kvkk.gov.tr).gov
- KVKK - İlgili Kişinin Hakları(kvkk.gov.tr).gov
- KVKK - Kurul'a Şikâyette Bulunma Hakkı(kvkk.gov.tr).gov
- KVKK - Veri Sorumluları Sicili Hakkında Yönetmelik (VERBİS)(kvkk.gov.tr).gov
- KVKK - Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik(kvkk.gov.tr).gov
- Türkiye Cumhuriyeti Anayasası, Madde 20 (2010 değişikliğiyle)(mevzuat.gov.tr).gov
- 7499 Sayılı Kanun - Ceza Muhakemesi Kanunu ve Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete)(mevzuat.gov.tr).gov
- IAPP - Türk Veri Koruma Hukukunda Uzun Süredir Beklenen Değişiklikler(iapp.org)
- IAPP - 2024 Türkiye Veri Koruma Değişikliklerine Yakından Bakış(iapp.org)
- CottGroup - 2026 Yılı KVKK İdari Para Cezası Tutarları(cottgroup.com)
- Chambers and Partners - Türkiye'de Veri Koruma ve Gizlilik Hukuku: 2025 için Temel Gelişmeler ve Öngörüler(chambers.com)
- IBA - Türkiye'de Zorunlu Veri Koruma Uyumluluğu: VERBİS Kaydı ve Uygulama Faaliyetleri(ibanet.org)
- Erdem & Erdem - Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Rehber Neyi Düzenliyor (Ocak 2025)(erdem-erdem.av.tr)
- Moral Law - 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda Değişiklikler (7499 Sayılı Kanun)(moral.av.tr)
- CMS - KVKK Kurul Kararı 2025/2451: Veri İhlali Bildirimlerinin Yayım Süresi 60 Günle Sınırlandırıldı(cms.law)