KVKK ve dijitalleşmenin hızlanmasıyla birlikte şirketlerin, çalışanların, müşterilerin ve iş ortaklarının verileri her zamankinden daha fazla işlenmeye başladı. E-posta listeleri, kamera kayıtları, internet sitesi formları, çerezler, bordro dosyaları, sağlık raporları, özgeçmişler ve çağrı merkezi kayıtları artık günlük ticari hayatın olağan parçaları. Tam da bu noktada KVKK, yani 6698 sayılı Kişisel Verilerin Korunması Kanunu, hem bireylerin temel haklarını koruyan hem de veri işleyen gerçek ve tüzel kişilere önemli yükümlülükler getiren temel düzenleme olarak karşımıza çıkıyor. Kanunun amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyenlerin uyacağı usul ve esasları belirlemektir.

KVKK nedir?

KVKK, Türkiye’de kişisel verilerin hangi şartlarda işlenebileceğini, veri sorumlularının hangi kurallara uyması gerektiğini ve ilgili kişilerin hangi haklara sahip olduğunu düzenleyen temel kanundur. Kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Yani yalnızca ad, soyad ve T.C. kimlik numarası değil; telefon numarası, e-posta adresi, IP bilgisi, özlük dosyası verileri, lokasyon bilgisi ve kimi durumlarda fotoğraf ya da ses kaydı da kişisel veri sayılabilir.

Bu nedenle KVKK sadece büyük teknoloji şirketlerini ilgilendiren teknik bir alan değildir. Personel çalıştıran, müşteri kaydı tutan, güvenlik kamerası kullanan, pazarlama yapan, internet sitesi üzerinden form toplayan veya tedarik ilişkisi yürüten hemen her işletme açısından doğrudan önem taşır. Özellikle şirketler bakımından mesele yalnızca “veri toplamak” değil; bu verinin hangi hukuki sebebe dayanılarak işlendiğini, ne kadar süre tutulacağını, kimlere aktarılacağını ve nasıl korunacağını hukuka uygun şekilde belirlemektir.

Kişisel veri ve özel nitelikli kişisel veri arasındaki fark nedir?

KVKK bakımından her kişisel veri aynı ağırlıkta değerlendirilmez. Bazı veriler, niteliği gereği daha hassas kabul edilir. Kurumun rehberlerinde; sağlık verileri, ceza mahkûmiyeti ve güvenlik tedbirleri bilgileri, biyometrik ve genetik veriler gibi alanların özel nitelikli kişisel veri kapsamında ele alındığı görülmektedir. Bu tür veriler, yanlış kullanıldığında kişi bakımından ayrımcılık veya ciddi mağduriyet riski doğurabildiği için daha sıkı kurallara tabidir.

2024 yılında yapılan önemli değişiklikle, özel nitelikli kişisel verilerin işlenmesine ilişkin 6. maddede yeni işleme şartları getirildi ve bu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girdi. Aynı değişiklik paketi, yurt dışına veri aktarımı rejiminde de yeni bir çerçeve oluşturdu; eski düzenlemenin bir kısmı ise geçiş süreci kapsamında 1 Eylül 2024 tarihine kadar uygulanmaya devam etti. Bu yüzden bugün KVKK uyumu denildiğinde, özellikle sağlık verileri, çalışan verileri ve sınır ötesi veri akışları bakımından 2024 sonrası rejimin dikkate alınması gerekir.

Açık rıza her zaman gerekli midir?

Uygulamada en sık yapılan hatalardan biri, her veri işleme faaliyetinin mutlaka açık rızaya dayanması gerektiğinin sanılmasıdır. Oysa Kurumun rehberlerine göre kişisel verilerin işlenme şartları kanunda sayma yoluyla belirlenmiştir ve açık rıza bunlardan sadece biridir. Açık rıza dışındaki hukuki işleme şartlarından biri mevcutsa ayrıca açık rıza alınması gerekmeyebilir. Hatta açık rızanın gerçekten gerekli olmadığı bir durumda sırf “garanti olsun” diye açık rızaya gidilmesi, uygulamada yanlış hukuki zemin kurulmasına neden olabilir.

Açık rıza alınacaksa bunun da şeklen değil, gerçekten hukuka uygun olması gerekir. Kuruma göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu nedenle “kişisel verilerimin işlenmesini kabul ediyorum” gibi genel, belirsiz ve toplu beyanlar çoğu durumda yeterli değildir. Kişi neye, hangi amaçla ve ne sonuç doğuracak şekilde rıza verdiğini anlayabilmelidir. Ayrıca aydınlatma ile açık rızanın birbirine karıştırılmaması gerekir; Kurulun 18 Şubat 2026 tarihli 2026/347 sayılı ilke kararında da açık rıza ve aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği vurgulanmıştır.

Aydınlatma yükümlülüğü neden bu kadar önemlidir?

KVKK’daki en kritik yükümlülüklerden biri aydınlatma yükümlülüğüdür. Kurumun açıklamalarına göre veri sorumlusu; kimliğini, kişisel verilerin hangi amaçla işleneceğini, kimlere ve hangi amaçla aktarılabileceğini, veri toplamanın yöntemi ve hukuki sebebini ve ilgili kişinin haklarını veri sahibine bildirmekle yükümlüdür. Üstelik bu yükümlülük, ilgili kişinin ayrıca talepte bulunmasına bağlı değildir.

Buradaki önemli nokta şudur: aydınlatma, açık rızadan farklıdır. Kurumun açıkça belirttiği üzere aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir onaya bağlı değildir; amacı, ilgili kişinin veri işleme faaliyeti hakkında bilgi sahibi olmasını sağlamaktır. Açık rıza ise yalnızca gerekli olduğu durumlarda hukuki dayanak oluşturur. Bu ayrım özellikle internet siteleri, üyelik sözleşmeleri, personel süreçleri ve pazarlama faaliyetlerinde sıkça ihlal edilen alanlardan biridir.

Veri sorumlusunun temel yükümlülükleri nelerdir?

KVKK uyumunun merkezinde “veri sorumlusu” kavramı bulunur. Kişisel veri işleme faaliyetinin bir şirket bünyesinde yürütülmesi halinde veri sorumlusu, şirketin kendisidir. Veri işleyenlerden hizmet alınması, veri sorumlusunun sorumluluğunu ortadan kaldırmaz; aksine veri güvenliği bakımından uygun teknik ve idari tedbirlerin alınmasını zorunlu kılar. Kurumun veri güvenliği rehberinde, veri işleyenlerin de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu olduğu açıkça belirtilmektedir.

Kanundaki genel ilkelere göre kişisel veriler; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olarak, belirli açık ve meşru amaçlarla, işlendikleri amaçla bağlantılı sınırlı ve ölçülü biçimde ve gerekli süre kadar muhafaza edilerek işlenmelidir. Bu ilkeler teorik görünse de uygulamada çok somut sonuçlar doğurur. Örneğin ihtiyaçtan fazla belge istemek, amacı sona eren veriyi süresiz tutmak ya da güncel olmayan veriler üzerinden işlem yapmak doğrudan KVKK riski yaratabilir.

Veri sorumlularının ayrıca veri güvenliğini sağlamak için teknik ve idari tedbirler alması gerekir. Kurul karar özetleri ve rehberlerde, veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik önlemler almakla yükümlü olduğu vurgulanmaktadır. Veri ihlali meydana gelirse de Kurula bildirim kural olarak gecikmeksizin ve en geç 72 saat içinde yapılmalıdır.

VERBİS ve saklama-imha süreçleri neden önemlidir?

KVKK uyumu sadece metin hazırlamaktan ibaret değildir. Kayıt yükümlülüğü kapsamındaki veri sorumlularının, veri işlemeye başlamadan önce Veri Sorumluları Siciline, yani VERBİS’e kayıt yaptırması gerekir. Kurum, bu yükümlülüğün Kanun’un 16. maddesine dayandığını ve bazı istisnalar dışında veri sorumlularının kayıt ve bildirim yükümlülüğü bulunduğunu açıkça belirtmektedir. Bu nedenle “biz küçük işletmeyiz, bize uygulanmaz” yaklaşımı her zaman doğru değildir; somut faaliyet ve istisna rejimi ayrıca değerlendirilmelidir.

Bunun yanında veri, sonsuza kadar saklanamaz. Kurumun rehberlerine göre kişisel veriler, işlenmesini gerektiren sebepler ortadan kalktığında silinmeli, yok edilmeli veya anonim hale getirilmelidir. Anonim hale getirmenin anlamı, verinin artık hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek düzeye getirilmesidir. Dolayısıyla saklama süresi politikaları ve imha prosedürleri, KVKK uyumunun pratikte en çok ihmal edilen ama en kritik alanlarından biridir.

İlgili kişinin hakları nelerdir?

KVKK yalnızca veri sorumlusuna yükümlülük yüklemez; aynı zamanda ilgili kişiye önemli haklar tanır. Kurumun 11. madde açıklamasına göre ilgili kişi, verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme ve şartları oluştuğunda silinmesini veya yok edilmesini talep etme gibi haklara sahiptir.

Bu haklar, şirketler açısından yalnızca teorik haklar değildir. Başvuru süreçlerinin düzgün yönetilmemesi, eksik cevap verilmesi ya da taleplerin hiç karşılanmaması idari ve hukuki risk doğurabilir. Özellikle çalışan başvuruları, müşteri talepleri, pazarlama veri tabanları ve internet sitesi çerez süreçleri bakımından ilgili kişi taleplerine hızlı, kayıtlı ve hukuki zemine oturan bir cevap verilmesi gerekir.

Sonuç

KVKK, şirketler açısından sadece bir “uyum dosyası” meselesi değildir. Doğru kurgulanmamış aydınlatma metinleri, gereksiz açık rıza kullanımı, eksik saklama-imha planı, yetersiz veri güvenliği tedbirleri, yanlış yurt dışı aktarımı ve geciken ihlal bildirimleri ciddi riskler doğurabilir. Buna karşılık iyi tasarlanmış bir KVKK uyum sistemi; sözleşmelerden insan kaynaklarına, internet sitesinden müşteri ilişkilerine kadar tüm süreçleri hukuken daha güvenli hale getirir. Özellikle 2024 değişiklikleri ve 2026 tarihli ilke kararları dikkate alındığında, eski metinlerle ve alışkanlıklarla ilerlemek artık daha risklidir.

Şirketinizin internet sitesi, çalışan süreçleri, müşteri verileri, kamera kayıtları, çerez uygulamaları veya sözleşme altyapısı bakımından KVKK uyumunun güncellenmesi gerekiyorsa, her veri işleme faaliyetinin ayrı ayrı analiz edilmesi ve gerçekten kullanılan süreçlere uygun metinler hazırlanması gerekir. KVKK’da asıl mesele yalnızca belge üretmek değil, veri işleme pratiğini hukuka uygun hale getirmektir.