KVKK Rehberi (Kişisel Verilerin Korunması)

Temel Kavramlar

Kişisel Veri Tanımı

Gerçek kişiye ilişkin, kimliği belirli veya belirlenebilir olan her türlü bilgi.

Özel Nitelikli Kişisel Veriler

Sağlık, ceza mahkumiyeti, biyometrik bilgiler gibi hassas veriler.

Taraflar

• Veri Sorumlusu: Veri işlemenin amaç ve vasıtalarını belirleyen
• Veri İşleyen: Veri sorumlusunun talimatı ile veri işleyen
• İlgili Kişi: Verileri kendisine ait olan gerçek kişi

İşleme Koşulları

Genel Kural

Açık rıza gereklidir.

İstisnalar

• Kanunlarda açıkça öngörülmesi
• Sözleşmenin ifası
• Meşru menfaat

Özel Nitelikli Verilerin Korunması

Özel nitelikli kişisel veriler için işleme koşulları daha katıdır.

İlgili Kişinin Hakları

1. Kişisel verilerinin işlenip işlenmediğini öğrenme
2. İşlenmişse buna ilişkin bilgi talep etme
3. İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurtiçinde veya yurtdışında aktarıldığı üçüncü kişileri bilme
5. Eksik veya yanlış işlenmişse düzeltilmesini isteme
6. Silinmesini veya yok edilmesini isteme
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonucun ortaya çıkmasına itiraz etme
8. Kanuna aykırı işlenmesi sebebiyle zarara uğranması hâlinde zararın giderilmesini talep etme

Kurumsal Yükümlülükler

VERBİS Kaydı

Kişisel Verileri Koruma Kurulu'na Veri Sorumluları Sicil Bilgi Sistemi kaydı gereklidir.

Aydınlatma Yükümlülüğü

Veri sahipleri işleme hakkında bilgilendirilmelidir (6698 sayılı Kanun m.10).

Veri İhlali Bildirimi

Kanun (6698 m.12/5), kişisel veri ihlalinin en kısa sürede Kurul'a ve ilgili kişiye bildirilmesini öngörür. Sıkça kullanılan 72 saat süresi doğrudan kanun metninde değil, KVKK Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararıyla "en kısa süre" yorumu olarak belirlenmiştir: veri sorumlusu ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul'a bildirir. İlgili kişilere bildirim ise makul sürede yapılır.

Güvenlik Önlemleri

Teknik ve idari güvenlik önlemleri alınmalıdır (6698 sayılı Kanun m.12).

Yaptırımlar

İdari Para Cezaları

6698 sayılı Kanun m.18 tek bir birleşik bant öngörmez; idari para cezası ihlal türüne göre değişir ve her takvim yılı başında Vergi Usul Kanunu mük.298 uyarınca yeniden değerleme oranıyla otomatik artırılır. 2026 yeniden değerleme oranı %25,49 olarak belirlenmiştir (27.11.2025 tarih ve 33090 sayılı Resmî Gazete, 585 Sıra No'lu VUK Genel Tebliği).

KVKK'nın 31.12.2025 tarihli duyurusuna göre 2026 yılı güncel idari para cezası bandı şöyledir:

| İhlal türü | Alt sınır | Üst sınır | |---|---|---| | Aydınlatma yükümlülüğü (m.10) | 85.437 TL | 1.709.200 TL | | Veri güvenliği yükümlülükleri (m.12) | 256.357 TL | 17.092.242 TL | | Kurul kararlarına uymama (m.15) | 427.263 TL | 17.092.242 TL | | VERBİS sicile kayıt/bildirim yükümlülüğü | 341.809 TL | 17.092.242 TL |

Özetle 2026 yılı için tutarlar yaklaşık 85.437 TL ile 17.092.242 TL arasında değişmektedir. İdari para cezaları ihlal türüne göre farklılaşır ve her yıl yeniden değerleme oranıyla güncellenir.

Önemli: Bu tutarlar her takvim yılı başında otomatik olarak güncellenir. Başvuru/değerlendirme tarihindeki güncel tutarı mutlaka KVKK resmi sitesinden (kvkk.gov.tr/Icerik/8145) teyit ediniz.

Ceza Yaptırımları

Kişisel verilere ilişkin hapis cezaları 6698 sayılı Kanun'un kendisinde değil, 6698 m.17'nin atıf yaptığı Türk Ceza Kanunu m.135-140 hükümlerinde düzenlenir. Süreler tek bir "1-4 yıl" bandı olmayıp suç tipine göre değişir:

• TCK m.135 (kişisel verileri hukuka aykırı kaydetme): 1 - 3 yıl hapis
• TCK m.136 (verileri hukuka aykırı verme/yayma/ele geçirme): 2 - 4 yıl hapis
• TCK m.138 (verileri yok etmeme): 1 - 2 yıl hapis

Özel nitelikli (hassas) verilere ilişkin suçlarda ceza yarı oranında artırılır (TCK m.135/2). Kısaca: kişisel verilere ilişkin suçlarda 6698 m.17 yollamasıyla TCK m.135-140 uygulanır; eyleme göre 1 yıldan 4 yıla kadar (kaydetme 1-3 yıl, hukuka aykırı verme/ele geçirme 2-4 yıl) hapis cezası öngörülür.

Başvuru Süreci

1. Veri sorumlusuna yazılı başvuru (m.13): İlgili kişi, taleplerini önce veri sorumlusuna yazılı olarak iletir. Veri sorumlusu, başvuruyu talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde sonuçlandırır (m.13/2).
2. Kişisel Verileri Koruma Kurulu'na şikâyet (m.14): Başvuru reddedilir, verilen cevap yetersiz bulunur veya başvuruya süresinde cevap verilmezse; ilgili kişi cevabı öğrendiği tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kurul'a şikâyette bulunur (m.14/1). Veri sorumlusu 30 gün içinde hiç cevap vermezse, sürenin dolmasıyla doğrudan şikâyet edilebilir (KVKK Kurulu 24.01.2019 t. 2019/9 sayılı kararı).
3. Hukuki yollara başvuru: Kanuna aykırı işleme nedeniyle zarara uğrayan ilgili kişi, genel hükümler çerçevesinde yargı yoluyla maddi ve manevi tazminat talep edebilir (m.11/1-ğ ve m.14/3).

Not: İdari para cezası tutarları, başvuru süreleri ve TCK hapis cezası aralıkları zaman içinde mevzuat değişiklikleriyle güncellenebilir; tutarlar her yıl yeniden değerleme oranıyla otomatik artar. Somut durumunuzda işlem yapmadan önce güncel tutar ve süreleri KVKK resmi sitesinden (kvkk.gov.tr) ve yürürlükteki mevzuattan teyit ediniz veya bir KVKK avukatına danışınız.

Sıkça Sorulan Sorular

KVKK kapsamında kimler veri sorumlusudur? Veri işlemenin amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek veya tüzel kişiler veri sorumlusudur. İşletmeler, dernekler, hastaneler ve serbest meslek mensupları çoğu zaman bu kapsama girer.

Kişisel verilerimin izinsiz işlendiğini düşünüyorum, ne yapabilirim? Öncelikle veri sorumlusuna yazılı başvuru yaparsınız; 30 gün içinde tatmin edici cevap alamazsanız KVKK Kurulu'na şikâyette bulunabilir, ayrıca uğradığınız zarar için tazminat davası açabilirsiniz.

İdari para cezaları her yıl değişiyor mu? Evet. İdari para cezaları her takvim yılı başında Vergi Usul Kanunu mük.298 uyarınca yeniden değerleme oranıyla otomatik artırılır. Güncel tutarı KVKK resmi sitesinden teyit etmek gerekir.

KVKK ihlali aynı zamanda suç oluşturur mu? Evet. İdari para cezasının yanı sıra, 6698 m.17 yollamasıyla TCK m.135-140 kapsamında hapis cezası gerektiren suçlar da söz konusu olabilir.

Gaziantep'te KVKK Danışmanlığı

Gaziantep'te faaliyet gösteren işletmeler, KOBİ'ler, sağlık kuruluşları ve serbest meslek sahipleri için KVKK uyum süreçleri (VERBİS kaydı, aydınlatma metinleri, açık rıza yönetimi, veri envanteri, ihlal bildirimi ve Kurul başvuruları) konusunda hukuki destek sağlıyoruz. KVKK uyumunuzu güvence altına almak ve olası idari para cezalarından korunmak için bizimle iletişime geçebilirsiniz.

Bilişim hukuku kapsamında Gaziantep KVKK avukatı olarak veri ihlali, Kurul şikâyetleri ve kişisel verilere ilişkin ceza davalarında size yardımcı olabiliriz. Detaylı bilgi ve randevu için iletişim sayfamızdan bize ulaşın.