0552 613 87 93info@dengeavukatlik.com Fikirtepe Mah. Kadıköy / İstanbulHafta içi 09:00–18:00

KVKK Avukatı İstanbul — Kişisel Verilerin Korunması ve Uyum Danışmanlığı

Denge Hukuk Bürosu olarak 2008'den bu yana Kadıköy'deki ofisimizden, şirketlere ve kurumsal müvekkillerimize 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında uyum projeleri, VERBİS kaydı, aydınlatma ve açık rıza metinleri, veri ihlali yönetimi ve Kurul başvuru–şikayet süreçlerinde hukuki danışmanlık veriyoruz.

KVKK REHBERLERİ

İşletmeniz için pratik KVKK uyum rehberleri

VERBİS Kayıt Rehberi 2026Kimler kayıt olmalı, nasıl yapılır, istisnalar. Oku →Veri İhlali Müdahale: 72 Saat Kuralıİhlalde ne yapmalı, Kurul'a bildirim, müdahale planı. Oku →

Hızlı Bilgi Panosu

6698 sayılı KVKK
72 saat veri ihlalinde Kurul'a bildirim
30 gün ilgili kişi başvurusuna yanıt
m.11 ilgili kişinin hakları
VERBİS veri sorumluları sicili
7499 2024 değişikliği (m.6 ve m.9)

KVKK Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve verileri işleyenlerin yükümlülüklerini düzenlemek amacıyla 2016 yılında yürürlüğe girmiştir. Kanun, Avrupa veri koruma hukukuyla (özellikle GDPR ile) paralel ilkeler taşır ve kişisel veri işleyen hemen her gerçek ve tüzel kişiyi ilgilendirir.

Bir kişiye ait ad-soyad, T.C. kimlik numarası, telefon, adres, e-posta, konum, ödeme bilgisi, sağlık verisi, görüntü ve ses kaydı gibi kimliği belirli veya belirlenebilir kılan her türlü bilgi kişisel veridir. Bu verileri toplayan, kaydeden, saklayan, aktaran ya da başka şekilde işleyen işletmeler Kanun kapsamında veri sorumlusu sıfatını taşır ve bir dizi yükümlülük altındadır.

2024 yılında yürürlüğe giren 7499 sayılı Kanun ile özel nitelikli kişisel verilerin işlenmesi (m.6) ve kişisel verilerin yurt dışına aktarılması (m.9) rejimi önemli ölçüde değişmiştir. Bu nedenle daha önce kurulmuş KVKK uyum sistemlerinin de güncellenmesi gerekmektedir.

Temel Kavramlar

Veri İşleme Şartları (m.5–6)

Kişisel veri işlemenin hukuka uygun olabilmesi için, açık rıza veya KVKK m.5'te sayılan diğer şartlardan en az birinin bulunması gerekir:

Bu şartlardan biri varsa açık rıza alınmasına gerek yoktur. Özel nitelikli verilerde ise işleme şartları m.6'da ayrıca ve daha dar düzenlenmiştir; 7499 sayılı değişiklikle özel nitelikli veriler için de m.5'e benzer şekilde genişletilmiş işleme sebepleri getirilmiştir.

Aydınlatma Yükümlülüğü ve Açık Rıza

KVKK uygulamasında en sık karıştırılan iki kavram aydınlatma ve açık rızadır:

Aydınlatma Yükümlülüğü (m.10)

Veri sorumlusu, verileri toplarken ilgili kişiyi; kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi–hukuki sebebi ve m.11'deki hakları konusunda bilgilendirmek zorundadır. Aydınlatma bir onay değildir; kişinin rızası olmasa da yapılır.

Açık Rıza

Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Yalnızca m.5/6'daki diğer işleme şartlarının bulunmadığı hallerde alınır. Bir hizmetin verilmesini açık rıza şartına bağlamak (rızayı "dayatmak") rızayı geçersiz kılar. Açık rıza her zaman geri alınabilir; bu nedenle gereksiz yere rızaya dayanmak işletme için risk yaratır.

VERBİS Kayıt Yükümlülüğü

VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), Kurul tarafından belirlenen kriterleri aşan veri sorumlularının kayıt olmak zorunda olduğu kamuya açık bir sicildir. Kayıt yükümlülüğü; yıllık çalışan sayısı, yıllık mali bilanço tutarı ve işlenen verinin niteliği (özel nitelikli veri işleyenlerde eşik daha düşüktür) gibi ölçütlere göre belirlenir. Bazı küçük ölçekli veri sorumluları istisna kapsamındadır.

Güncel duruma göre; ana faaliyeti özel nitelikli veri işlemek olmayan işletmeler için yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon TL'den çok ise kayıt zorunludur (eşik, Kurul'un 2023/1154 sayılı kararıyla 25 milyon TL'den 100 milyon TL'ye yükseltilmiştir). Ana faaliyeti sağlık, biyometri gibi özel nitelikli veri işlemek olanlar ise kural olarak eşiksiz kayıt yükümlüsüdür; yalnızca çalışanı 10'dan az ve bilançosu 10 milyon TL'den az olan mikro işletmeler istisnadır (Kurul 2025/1572). Kamu kurumları ve yurt dışında yerleşik veri sorumluları da kayıt yükümlüsüdür.

VERBİS kaydı, yalnızca bir form doldurmaktan ibaret değildir; doğru bir kayıt için önce kişisel veri işleme envanterinin çıkarılması gerekir. Eksik veya gerçeğe aykırı kayıt, idari yaptırım riski doğurur. Eşikler, istisna grupları ve kaydın adım adım nasıl yapıldığına dair ayrıntılar için VERBİS Kayıt Rehberi yazımıza göz atabilirsiniz.

Veri Güvenliği — Teknik ve İdari Tedbirler (m.12)

Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve verilere yetkisiz erişimi önlemek için uygun güvenlik düzeyini sağlamakla yükümlüdür. Başlıca tedbirler:

Bu tedbirlerin alınmamış olması, bir veri ihlali yaşanması halinde idari para cezasının ağırlaştırıcı unsuru olarak değerlendirilir.

Veri İhlali ve 72 Saat Kuralı

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi (siber saldırı, yetkisiz erişim, cihaz kaybı, hatalı gönderim vb.) bir veri ihlalidir. Bu durumda veri sorumlusu:

  1. İhlali öğrendiği tarihten itibaren en kısa sürede ve en geç 72 saat içinde Kurul'a bildirmek,
  2. İhlalden etkilenen ilgili kişilere de makul en kısa sürede bildirmek,
  3. İhlalin etkilerini sınırlandıracak teknik müdahaleleri yapmak ve süreci belgelemekle yükümlüdür.

72 saatlik süre, KVKK m.12/5 ve Kurul'un 24.01.2019 tarihli 2019/10 sayılı kararına dayanır ve ihlalin öğrenildiği andan başlar. Uygulamada çok kısadır; bu nedenle her işletmenin önceden hazırlanmış bir veri ihlali müdahale planı (sorumlu ekip, karar akışı, bildirim şablonları) bulunması kritik öneme sahiptir. Bildirim formunun içeriği ve 9 adımlı müdahale planı için Veri İhlali Müdahale Rehberi yazımızı inceleyebilirsiniz.

İlgili Kişinin Hakları (m.11)

Her ilgili kişi, veri sorumlusuna başvurarak şu haklarını kullanabilir:

Veri sorumlusu başvuruyu en geç 30 gün içinde sonuçlandırır. Başvuru reddedilir, yetersiz yanıtlanır veya süresinde yanıtlanmazsa ilgili kişi Kurul'a şikayette bulunabilir.

Yurt Dışına Veri Aktarımı (7499 Sayılı Değişiklik)

2024'te yürürlüğe giren 7499 sayılı Kanun, KVKK m.9'u yeniden düzenleyerek yurt dışına veri aktarımını kademeli bir rejime bağladı:

Yurt dışı merkezli bulut, e-posta, CRM veya yazılım hizmetleri kullanan işletmeler, mevcut aktarım altyapılarını bu yeni kurallara göre gözden geçirmeli ve gereken sözleşmesel güvenceleri kurmalıdır.

İdari Para Cezaları ve Ceza Sorumluluğu

KVKK m.18, çeşitli yükümlülük ihlalleri için idari para cezası öngörür:

Bu cezalar her takvim yılı yeniden değerleme oranında güncellenir ve fiilin ağırlığına göre yüksek tutarlara ulaşabilir. Güncel ceza tutarları için danışmanlık alınması önerilir.

Ayrıca kişisel verileri hukuka aykırı şekilde kaydetmek, aktarmak veya yok etmemek, Türk Ceza Kanunu m.135–140 kapsamında hapis cezası gerektiren ayrı bir suçtur. Yani KVKK uyumsuzluğu yalnızca idari değil, cezai sorumluluk da doğurabilir.

KVKK Hizmetlerimiz

Denge Hukuk Bürosu olarak, işletmenizin büyüklüğüne ve sektörüne göre uçtan uca KVKK uyum desteği sunuyoruz:

Kurul Uygulamasından Öne Çıkan İlkeler

Kişisel Verileri Koruma Kurulu'nun kamuya açık karar özetleri ve rehberlerinde yıllar içinde belirginleşen bazı yerleşik ilkeler, işletmeler için yol göstericidir:

Not: Yukarıdaki ilkeler, aşağıda künyeleriyle yer verdiğimiz Anayasa Mahkemesi ve Kişisel Verileri Koruma Kurulu kararlarında somutlaşmaktadır. Her somut olay kendi koşulları içinde değerlendirilmelidir.

KVKK uyumu, bir kez kurulan ve sonra unutulan bir belge seti değil; süreklilik gerektiren bir yönetim sistemidir. Yeni yazılımlar, tedarikçiler ve mevzuat değişiklikleri uyumun düzenli güncellenmesini zorunlu kılar.

Veri Korumasını Şekillendiren Kararlar

Kişisel verilerin korunması hukuku yalnızca mevzuat hükümlerinden ibaret değildir. Anayasa Mahkemesi'nin yargı içtihatları ile Kişisel Verileri Koruma Kurulu'nun (idari nitelikte olmakla birlikte uygulamada yol gösterici) kararları; sağlık verisi, çerezler, açık rıza ve unutulma hakkı gibi konularda uygulamanın nasıl şekillendiğini gösterir. Aşağıdaki seçki, künyeleri ve resmî kaynaklarıyla birlikte sunulmuştur.

ANAYASA MAHKEMESİ (Bireysel Başvuru) · B. No 2020/15944, 20.03.2025 · SAĞLIK VERİSİ

Sağlık Verisinin Rıza Olmadan Üçüncü Kişiye Verilmesi Hak İhlalidir

Başvurucunun sağlık bilgilerini içeren raporun, rızası olmadan bir yakınına verilmesi üzerine yapılan bireysel başvuruda Anayasa Mahkemesi, özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir. Karar, sağlık verisinin özel nitelikli veri olarak çok daha sıkı korumaya tabi olduğunu teyit eder.

İlke: Sağlık gibi özel nitelikli veriler, ilgilinin rızası olmadan üçüncü kişilerle paylaşılamaz; aksi anayasal kişisel verilerin korunmasını isteme hakkını ihlal eder.

Resmî kaynak (anayasa.gov.tr) →

ANAYASA MAHKEMESİ (Bireysel Başvuru) · B. No 2018/6161, 28.06.2022 · VERİYE ERİŞİM HAKKI

Kişinin Kendi Verilerine Erişim Talebinin Esası İncelenmelidir

Başvurucunun kendi telefon hattına ilişkin internet kullanımı, log kaydı ve IMEI gibi verilere erişim talebinin esası incelenmeden sonuçsuz bırakılması üzerine Anayasa Mahkemesi, kişisel verilerin korunmasını isteme hakkıyla bağlantılı etkili başvuru hakkının ihlal edildiği sonucuna varmıştır.

İlke: İlgili kişinin kendi kişisel verilerine erişim talebi esastan incelenmelidir; talebin görmezden gelinmesi etkili başvuru hakkını ihlal eder.

Resmî kaynak (anayasa.gov.tr) →

KVKK KURULU · 23.06.2020, 2020/481 · UNUTULMA HAKKI

Arama Motorları Veri Sorumlusudur; İndeksten Çıkarmada Denge Testi Yapılır

Kurul, arama motorlarını veri sorumlusu olarak nitelendirmiş; kişilerin ad-soyad ile çıkan sonuçların indeksten çıkarılması (unutulma hakkı) taleplerinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun bilgiyi edinme menfaati arasında denge testi yapılması gerektiğini belirlemiştir. Kişi önce doğrudan arama motoruna başvurmalı, sonuç alınmazsa Kurul'a şikayet edebilir.

İlke: Arama motorları veri sorumlusudur; indeksten çıkarma talepleri kişisel hak ile kamu yararı arasında denge testiyle değerlendirilir.

Resmî kaynak (kvkk.gov.tr) →

KVKK KURULU · 05.12.2018, 2018/143 · ECZANE — SAĞLIK VERİSİ

Eczanenin Sağlık Verisini İşleme Şartı Olmadan Paylaşması Hukuka Aykırıdır

Doktor kontrolünde ilaç kullanan kişinin sağlık verisinin, ilaçların temin edildiği eczane tarafından KVKK m.8'deki aktarım şartları sağlanmadan üçüncü kişiyle paylaşılması hukuka aykırı bulunmuş; Kanun'un 12. maddesine aykırılık nedeniyle idari para cezası uygulanmıştır.

İlke: Sağlık verisi, kanunda sayılan aktarım şartları sağlanmadan üçüncü kişilerle paylaşılamaz; aksi idari yaptırım gerektirir.

Resmî kaynak (kvkk.gov.tr) →

KVKK KURULU · 09.12.2019, 2019/372 · BASIN — ÖZEL NİTELİKLİ VERİ

Kamu Yararı Bulunmayan Sağlık Haberinde Özel Nitelikli Veri İhlali

Bir gazetede kişinin kanser tedavisi gördüğüne ilişkin bilginin paylaşılması üzerine Kurul, somut olayda kamu yararı bulunmadığını ve özel nitelikli kişisel verinin hukuka aykırı işlendiğini değerlendirerek 125.000 TL idari para cezası uygulamıştır.

İlke: Kamu yararı bulunmayan hallerde sağlık gibi özel nitelikli verilerin basında paylaşılması hukuka aykırıdır.

Resmî kaynak (kvkk.gov.tr) →

KVKK KURULU · 23.12.2022, 2022/1358 · ÇEREZLER

Zorunlu Olmayan Çerezler İçin Açık Rıza ve İlk Ziyarette Aydınlatma Gerekir

Kurul, sitenin işleyişi için zorunlu çerezlerde açık rıza aranmadığını; ancak reklam, pazarlama ve performans amaçlı zorunlu olmayan çerezlerin ilgili kişinin açık rızasına tabi olduğunu ve kullanıcılara siteye ilk ziyaretlerinde aydınlatma yapılması gerektiğini tespit ederek 300.000 TL idari para cezası uygulamıştır.

İlke: Zorunlu olmayan çerezler ancak açık rıza ile çalıştırılabilir; ilk ziyarette aydınlatma zorunludur.

Resmî kaynak (kvkk.gov.tr) →

KVKK KURULU İLKE KARARI · 18.02.2026, 2026/347 · AYDINLATMA & AÇIK RIZA

Aydınlatma Metni ile Açık Rıza Beyanı Ayrı Ayrı Düzenlenmelidir

Kurul, açık rızaya dayalı işlemlerde aydınlatma metni ile açık rıza metninin farklı başlıklar altında, ayrı beyanlarla düzenlenmesi gerektiğini; işlemenin açık rıza dışındaki bir hukuki sebebe dayandığı hallerde ise yalnızca aydınlatma yapılması, ayrıca açık rıza metni sunulmaması gerektiğini ilke kararıyla belirlemiştir.

İlke: Aydınlatma ve açık rıza ayrı metinler olmalı; rıza gerekmeyen işlemlerde gereksiz yere rıza alınmamalıdır.

Resmî kaynak (kvkk.gov.tr) →

Önemli: Yukarıdaki kararlar genel bilgilendirme amacıyla, künyeleri ve resmî kaynaklarıyla derlenmiştir. Anayasa Mahkemesi kararları yargı içtihadı; Kurul kararları idari nitelikte olup uygulamada yol gösterici emsallerdir. Her somut uyuşmazlık kendi koşulları içinde değerlendirilmelidir.

KVKK — Sıkça Sorulan Sorular

Kişisel verilerin korunması ve uyum süreçlerinde en sık yönelen 12 soruyu derledik. Somut durumunuz için mutlaka bir avukata danışmanızı tavsiye ederiz.

KVKK nedir, kimleri kapsar?

KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur. Kişisel verileri otomatik veya bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsar. Çalışanı, müşterisi veya üyesi olan hemen her işletme (KOBİ'ler dahil), dernek, vakıf ve kamu kurumu Kanun kapsamındadır.

VERBİS kaydı zorunlu mu?

VERBİS kaydı, Kurul'un belirlediği kriterleri (yıllık çalışan sayısı, mali bilanço, işlenen verinin niteliği) aşan veri sorumluları için zorunludur. Özel nitelikli veri işleyenlerde eşik daha düşüktür. Bazı küçük ölçekli veri sorumluları istisna kapsamındadır. Kayıt yükümlülüğünüz, işleme envanteri çıkarılarak netleştirilmelidir.

Açık rıza her zaman gerekli mi?

Hayır. Açık rıza, işlemenin yalnızca bir hukuki sebebidir. KVKK m.5'teki diğer şartlardan biri (kanuni yükümlülük, sözleşme, meşru menfaat vb.) varsa açık rıza aranmaz. Gereksizken rıza almak yanlıştır; çünkü açık rıza her zaman geri alınabilir ve işletmeye risk yaratır.

Aydınlatma metni ile açık rıza aynı şey mi?

Hayır. Aydınlatma (m.10) bir bilgilendirmedir; kişinin onayı gerekmez. Açık rıza ise bilgilendirmeye dayalı, özgür iradeyle verilen bir onaydır ve yalnızca başka bir hukuki sebep yoksa alınır. İkisini tek metinde birleştirmek Kurul uygulamasında sakıncalı bulunmaktadır.

Veri ihlali olduğunda ne yapmam gerekir?

Veri sorumlusu, ihlali öğrendiği tarihten itibaren en kısa sürede ve en geç 72 saat içinde Kurul'a bildirmek; etkilenen ilgili kişilere de makul en kısa sürede bildirim yapmakla yükümlüdür. 72 saat çok kısa olduğundan, önceden hazırlanmış bir veri ihlali müdahale planı kritik öneme sahiptir.

KVKK'ya uymazsam ne kadar ceza öderim?

KVKK m.18, aydınlatma ihlali, veri güvenliği tedbirlerini almama, Kurul kararına uymama ve VERBİS'e kayıtsızlık için idari para cezası öngörür. Cezalar her yıl yeniden değerleme oranında güncellenir ve fiilin ağırlığına göre yüksek tutarlara çıkabilir. Ayrıca verileri hukuka aykırı işlemek/aktarmak TCK m.135–140 kapsamında hapis cezası gerektiren ayrı bir suçtur.

İlgili kişi haklarını nasıl kullanır, nasıl yanıt vermeliyim?

İlgili kişi (m.11) öğrenme, bilgi talep etme, düzeltme, silme/yok etme, aktarılan tarafları öğrenme ve zararın giderilmesi haklarına sahiptir. Veri sorumlusu başvuruyu en geç 30 gün içinde sonuçlandırmalıdır. Süresinde/yeterince yanıtlanmazsa ilgili kişi Kurul'a şikayet edebilir. İşletmelerin bir başvuru yönetim prosedürü kurması önemlidir.

Kişisel veriyi yurt dışına aktarabilir miyim?

Yurt dışı aktarım, 7499 sayılı Kanun ile değişen KVKK m.9'a tabidir: önce Kurul'un yeterlilik kararı, yoksa uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, taahhütname), onlar da yoksa sınırlı istisnai haller. Yurt dışı bulut/e-posta/yazılım kullanan işletmeler altyapılarını bu kurallara göre güncellemelidir.

Çalışan verilerini işlerken nelere dikkat etmeliyim?

Özlük, SGK, bordro, sağlık raporu, kamera ve performans verisi çoğunlukla iş sözleşmesi ve kanuni yükümlülüğe dayanır; bu hallerde açık rıza almak yanlıştır çünkü çalışan-işveren ilişkisinde rızanın özgürlüğü tartışmalıdır. Sağlık verileri, biyometrik giriş ve işyeri kameraları özel dikkat ister. Çalışan aydınlatma metni, gizlilik taahhütnamesi ve erişim yetkilendirmesi mutlaka kurulmalıdır.

Web sitemde çerez kullanıyorum, ne yapmalıyım?

Zorunlu olmayan analitik/pazarlama çerezleri kişisel veri işleme niteliği taşıyabilir. Sitede çerez bildirimi (banner), çerez politikası ve tercih yönetimi sunulması; zorunlu olmayan çerezlerin önceden onay alınmadan çalıştırılmaması beklenir. Çerez envanterinin çıkarılması tavsiye edilir.

KVKK danışmanlığı tek seferlik mi, sürekli mi?

Uyum projesi (envanter, metinler, VERBİS, tedbirler) bir kez kurulur; ancak uyum süreklilik ister. Yeni süreçler, tedarikçiler, mevzuat değişiklikleri, ilgili kişi başvuruları ve olası ihlaller düzenli takip gerektirir. Bu nedenle birçok işletme sürekli (abonelik tipi) danışmanlık modelini tercih eder.

Küçük bir işletmeyim, yine de KVKK beni bağlar mı?

Evet. KVKK'nın kapsamı işletme büyüklüğüne göre değil, kişisel veri işleyip işlemediğinize göre belirlenir. Tek çalışanı veya müşteri listesi olan küçük işletme de veri sorumlusudur ve aydınlatma, veri güvenliği gibi temel yükümlülüklere tabidir. Yalnızca VERBİS gibi bazı yükümlülüklerde ölçek bazlı istisnalar olabilir.

Yazar Hakkında

Av. Ömrü Feyzioğlu
Av. Ömrü Feyzioğlu Kurucu Ortak Avukat · Kurumsal Hukuk & KVKK

İstanbul Üniversitesi Hukuk Fakültesi mezunu (2006). İstanbul Barosu Sicil No: 36130. Kurucu ortağı olduğu Denge Hukuk Bürosu'nda 2008'den bu yana ticaret, şirketler ve kişisel verilerin korunması hukuku alanında kurumsal müvekkillere danışmanlık vermektedir. KVKK uyum projeleri, veri ihlali yönetimi ve sürekli kurumsal danışmanlık konularında çalışmaktadır.

DAHA FAZLA OKUYUN

Bu Konuda Blog Yazılarımız

KVKK uyumuna dair güncel ve uygulamaya yönelik rehberler.

İşletmenizi KVKK'ya Uyumlu Hale Getirelim

VERBİS kaydı, aydınlatma–rıza metinleri, veri ihlali yönetimi ve sürekli KVKK danışmanlığı için randevu talep edebilirsiniz.

Randevu Talep Et   0552 613 87 93