KVKK Uyum Süreci: İşletmeler İçin Kişisel Veri Koruma Rehberi

10 Ocak 2026 16 dk okuma BT Destek

Dijital çağda kişisel verilerin korunması, bireylerin temel hakları arasında yer alırken, işletmeler için de yasal bir zorunluluk ve etik bir sorumluluk haline gelmiştir. Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girmiş olup, kişisel verilerin işlenmesi, saklanması ve paylaşılmasına ilişkin kapsamlı kurallar getirmektedir. KVKK'ya uyum sağlamamak, yalnızca yüksek idari para cezalarına değil, aynı zamanda itibar kaybına ve müşteri güveninin sarsılmasına neden olabilir. Smyrna Bilgi Teknolojileri olarak İzmir'deki işletmelere sunduğumuz KVKK uyum danışmanlığı ve teknik altyapı hizmetlerini bu kapsamlı rehberde ele alıyoruz.

KVKK (6698 Sayılı Kanun) Genel Bakış

Kişisel Verilerin Korunması Kanunu, Avrupa Birliği'nin veri koruma direktiflerinden esinlenerek hazırlanmış ve kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini koruma amacı taşımaktadır. Kanun, kişisel verileri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır.

Kanunun Temel Kavramları

  • Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Ad-soyad, TC kimlik numarası, e-posta adresi, telefon numarası, IP adresi, konum verisi, fotoğraf gibi bilgilerin tamamı kişisel veri kapsamındadır.
  • Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek-vakıf-sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler özel nitelikli kişisel veri olarak kabul edilir ve daha katı koruma kurallarına tabidir.
  • Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
  • Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
  • İlgili kişi: Kişisel verisi işlenen gerçek kişidir (veri sahibi).

KVKK Kapsamında Kişisel Veri İşleme Şartları

KVKK'nın 5. maddesi, kişisel verilerin hangi koşullarda işlenebileceğini düzenler. Kişisel veriler kural olarak ilgili kişinin açık rızası ile işlenebilir. Ancak kanun, açık rıza olmaksızın veri işlemenin mümkün olduğu istisna durumlarını da belirlemiştir:

  1. Kanunlarda açıkça öngörülme: Vergi kanunları, iş kanunu gibi mevzuatın gerektirdiği veri işleme faaliyetleri.
  2. Sözleşmenin ifası: Tarafı olduğu sözleşmenin kurulması veya ifası için veri işleme gerekli ise.
  3. Veri sorumlusunun hukuki yükümlülüğü: Yasal bir yükümlülüğün yerine getirilmesi için zorunlu olması.
  4. İlgili kişinin kendisi tarafından alenileştirme: Veri sahibinin kendisinin kamuya açık hale getirdiği veriler.
  5. Bir hakkın tesisi, kullanılması veya korunması: Dava süreçleri vb. durumlarda zorunlu olması.
  6. Meşru menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması.
  7. Hayati tehlike: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin verisi, kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler, kanunun 6. maddesi uyarınca daha katı kurallara tabidir. Bu verilerin işlenmesi kural olarak ilgili kişinin açık rızasını gerektirir. Sağlık ve cinsel hayata ilişkin veriler yalnızca kamu sağlığının korunması, koruyucu hekimlik vb. amaçlarla sır saklama yükümlülüğü altındaki kişiler tarafından açık rıza aranmaksızın işlenebilir.

Açık Rıza Yönetimi

Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Geçerli bir açık rızanın üç temel unsuru vardır:

  • Belirli bir konuya ilişkin olma: Genel nitelikte, tüm veri işleme faaliyetlerini kapsayan tek bir rıza geçerli değildir. Her işleme amacı için ayrı rıza alınmalıdır.
  • Bilgilendirilmeye dayalı olma: İlgili kişi, verilerinin hangi amaçlarla, ne kadar süreyle ve kimlere aktarılacağı konusunda açıkça bilgilendirilmelidir.
  • Özgür iradeyle açıklanma: Rıza, herhangi bir baskı veya zorlama olmaksızın verilmelidir. Hizmet sunumunun rıza vermeye bağlanması (tying) geçersiz sayılabilir.

Açık Rıza Alma Yöntemleri

  • Yazılı onay formu (ıslak imza)
  • Elektronik onay (e-posta, web formu, mobil uygulama)
  • Çağrı merkezi üzerinden sesli onay (kayıt altında)
  • Biyometrik doğrulama ile onay

Alınan açık rızanın ispat yükü veri sorumlusuna ait olduğundan, tüm onay kayıtlarının güvenli biçimde saklanması ve gerektiğinde ibraz edilebilmesi gerekmektedir.

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) Kaydı

VERBİS, Kişisel Verileri Koruma Kurumu tarafından tutulan kamuya açık bir sicil sistemidir. Kanun uyarınca, kişisel veri işleyen veri sorumlularının VERBİS'e kayıt olma yükümlülüğü bulunmaktadır.

VERBİS Kayıt Yükümlülüğü

  • Yıllık çalışan sayısı 50'den fazla olan veya yıllık mali bilanço toplamı 100 milyon TL'den fazla olan veri sorumluları kayıt yükümlüsüdür.
  • Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları (çalışan sayısı ne olursa olsun) kayıt yükümlüsüdür.
  • Yurtdışında yerleşik veri sorumluları için de belirli koşullarda kayıt yükümlülüğü vardır.

VERBİS'e Bildirilmesi Gereken Bilgiler

  1. Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
  2. Kişisel verilerin hangi amaçla işleneceği
  3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri
  4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
  5. Yabancı ülkelere aktarımı öngörülen kişisel veriler
  6. Kişisel veri güvenliğine ilişkin alınan tedbirler
  7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

Veri Envanteri (Kişisel Veri İşleme Envanteri) Oluşturma

Veri envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirdikleri kişisel veri işleme faaliyetlerini detaylıca ortaya koyan bir belgedir. VERBİS kaydının temelini oluşturur ve KVKK uyum sürecinin en kritik adımlarından biridir.

Veri Envanterinde Yer Alması Gereken Bilgiler

  • İş süreci: Kişisel verinin işlendiği iş süreci (örn: insan kaynakları, müşteri ilişkileri, muhasebe)
  • Veri kategorisi: İşlenen kişisel verinin türü (kimlik, iletişim, finansal, sağlık vb.)
  • Veri konusu kişi grubu: Verileri işlenen kişi grubu (çalışan, müşteri, tedarikçi, ziyaretçi)
  • İşleme amacı: Verinin hangi amaçla işlendiği
  • Hukuki dayanak: İşlemenin dayandığı hukuki temel (açık rıza, kanuni zorunluluk vb.)
  • Saklama süresi: Verinin ne kadar süreyle saklanacağı
  • Aktarım: Verinin kimlere aktarıldığı (yurt içi/yurt dışı)
  • Teknik ve idari tedbirler: Verinin korunması için alınan önlemler

İlgili Kişinin Hakları (Madde 11)

KVKK'nın 11. maddesi, kişisel verisi işlenen bireylere aşağıdaki hakları tanımaktadır. Veri sorumluları, bu haklara ilişkin başvuruları en geç 30 gün içinde yanıtlamakla yükümlüdür:

  1. Bilgi edinme hakkı: Kişisel verilerinin işlenip işlenmediğini öğrenme
  2. İşleme bilgisi talep etme: Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  3. Amaç öğrenme: Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
  4. Aktarım bilgisi: Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
  5. Düzeltme talep etme: Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
  6. Silme veya yok etme: İşlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme
  7. Bildirim talep etme: Düzeltme veya silme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
  8. Otomatik analiz itirazı: İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
  9. Tazminat talebi: Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması halinde zararın giderilmesini talep etme

Kişisel Veri İhlali Bildirimi

Kişisel veri ihlali, kişisel verilerin hukuka aykırı olarak erişilmesi, ifşası, değiştirilmesi veya yok edilmesi durumlarında ortaya çıkar. KVKK uyarınca veri ihlali durumunda veri sorumlusunun izlemesi gereken adımlar:

  1. 72 saat kuralı: Veri sorumlusu, ihlali öğrendiği tarihten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunmak zorundadır.
  2. İlgili kişilere bildirim: İhlalin ilgili kişiler açısından olumsuz sonuçlar doğurma ihtimali varsa, ilgili kişilere de en kısa sürede bildirim yapılmalıdır.
  3. İhlalin kapsamı: Bildirimlerde ihlalin niteliği, etkilenen veri kategorileri, etkilenen kişi sayısı, olası sonuçlar ve alınan/planlanan önlemler belirtilmelidir.

Veri İhlali Müdahale Planı Oluşturma

  • İhlal tespit ve değerlendirme prosedürlerini belirleyin
  • İhlal müdahale ekibini ve sorumlulukları tanımlayın
  • Bildirim şablonları ve iletişim kanallarını hazırlayın
  • Düzenli tatbikat ve simülasyonlar yaparak planı test edin
  • İhlal sonrası iyileştirme ve kök neden analizi prosedürlerini belirleyin

Teknik ve İdari Tedbirler

KVKK, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler almasını zorunlu kılmaktadır.

Teknik Tedbirler

  • Erişim kontrolü: Kişisel verilere erişimi yalnızca yetkili personelle sınırlayın. Active Directory ve rol tabanlı erişim kontrolü (RBAC) uygulayın.
  • Şifreleme: Kişisel verileri hem kullanımda (in-use) hem aktarımda (in-transit) hem de depolamada (at-rest) şifreleyin.
  • Güvenlik duvarı ve ağ güvenliği: Kurumsal firewall çözümleri ile ağ güvenliğinizi sağlayın.
  • DLP çözümleri: DLP (Veri Kaybı Önleme) sistemleri ile hassas verilerin yetkisiz biçimde kurum dışına çıkmasını engelleyin.
  • Yedekleme: Kişisel verilerin düzenli yedeklemesini yapın ve yedekleme stratejilerinizi güncel tutun.
  • Log yönetimi: Kişisel verilere erişim loglarını kaydedin ve düzenli olarak denetleyin.
  • Antivirüs ve anti-malware: Tüm sistemlerde güncel antivirüs ve anti-malware çözümleri kullanın.
  • Güvenlik açığı yönetimi: Düzenli güvenlik taramaları yaparak zafiyet tespiti ve giderme süreçlerini işletin.

İdari Tedbirler

  • Kişisel veri işleme politikası: Kurum genelinde geçerli olacak kişisel veri işleme politikası oluşturun ve yayımlayın.
  • Çalışan eğitimi: Tüm çalışanlara düzenli olarak KVKK farkındalık eğitimi verin.
  • Gizlilik sözleşmeleri: Kişisel verilere erişen tüm çalışanlardan gizlilik taahhütnamesi alın.
  • Veri işleyen sözleşmeleri: Kişisel veri paylaştığınız üçüncü taraflarla veri işleme sözleşmeleri imzalayın.
  • Veri saklama ve imha politikası: Her veri kategorisi için saklama süreleri belirleyin ve süre dolduğunda verileri güvenli biçimde imha edin.
  • İç denetim: KVKK uyum durumunuzu düzenli olarak iç denetimlerle değerlendirin.

KVKK Yaptırımları ve Cezalar

KVKK'ya aykırı davranışlar ciddi idari ve cezai yaptırımlarla karşılanmaktadır:

İdari Para Cezaları (Madde 18)

  • Aydınlatma yükümlülüğünü yerine getirmeme: 100.000 TL — 1.000.000 TL
  • Veri güvenliğine ilişkin yükümlülükleri yerine getirmeme: 150.000 TL — 3.000.000 TL
  • Kurul kararlarını yerine getirmeme: 250.000 TL — 3.000.000 TL
  • VERBİS kayıt yükümlülüğüne aykırı hareket etme: 200.000 TL — 2.000.000 TL

Not: Ceza miktarları her yıl güncellenmektedir. Güncel rakamlar için Kişisel Verileri Koruma Kurumu'nun resmi web sitesini takip edin.

Cezai Yaptırımlar

Türk Ceza Kanunu'nun 135-140. maddeleri kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi, başkalarına verilmesi veya yayılması durumlarında hapis cezası da söz konusu olabilmektedir.

KVKK ve GDPR Karşılaştırması

KVKK, Avrupa Birliği'nin GDPR (General Data Protection Regulation) düzenlemesiyle büyük benzerlikler taşımakla birlikte, önemli farklılıklar da barındırmaktadır:

  • Kapsam: GDPR, AB vatandaşlarının verilerini işleyen tüm kuruluşlara uygulanırken, KVKK Türkiye'de kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar.
  • Ceza miktarları: GDPR'da cezalar küresel cironun %4'üne veya 20 milyon Euro'ya kadar çıkabilirken, KVKK'da üst sınırlar daha düşüktür.
  • Veri Koruma Görevlisi (DPO): GDPR belirli durumlarda DPO atanmasını zorunlu kılarken, KVKK'da böyle bir zorunluluk yoktur (ancak önerilir).
  • Veri taşınabilirliği: GDPR'da açıkça düzenlenen veri taşınabilirliği hakkı, KVKK'da doğrudan yer almamaktadır.
  • Açık rıza: Her iki düzenlemede de açık rıza temel ilke olmakla birlikte, KVKK'da meşru menfaat istisnası daha dar yorumlanmaktadır.

Avrupa Birliği ile ticari ilişkisi bulunan Türk şirketlerinin hem KVKK hem de GDPR uyumunu sağlaması gerekmektedir.

KOBİ'ler İçin Pratik KVKK Uyum Adımları

Küçük ve orta büyüklükteki işletmeler için KVKK uyum sürecini yönetilebilir adımlara bölebilirsiniz:

  1. Farkındalık oluşturun: Üst yönetim ve tüm çalışanları KVKK yükümlülükleri hakkında bilgilendirin.
  2. Veri envanteri çıkarın: Hangi kişisel verileri, nerede, hangi amaçla ve nasıl işlediğinizi belirleyin.
  3. Hukuki dayanaklarınızı belirleyin: Her veri işleme faaliyeti için uygun hukuki temeli tespit edin.
  4. Aydınlatma metinleri hazırlayın: Web sitesi, çalışan, müşteri ve tedarikçi için ayrı aydınlatma metinleri oluşturun.
  5. Açık rıza mekanizmaları kurun: Gerekli durumlarda geçerli açık rıza alma süreçlerini oluşturun.
  6. Teknik tedbirleri uygulayın: Temel güvenlik önlemlerini (erişim kontrolü, şifreleme, yedekleme, firewall) hayata geçirin.
  7. Politika ve prosedürler oluşturun: Veri işleme, saklama, imha ve ihlal bildirimi politikalarını yazılı hale getirin.
  8. VERBİS kaydı yapın: Kayıt yükümlülüğünüz varsa VERBİS kaydınızı tamamlayın.
  9. Üçüncü taraf sözleşmelerini gözden geçirin: Veri paylaştığınız firmalarla veri işleme sözleşmeleri imzalayın.
  10. Sürekli iyileştirme: KVKK uyum durumunuzu düzenli olarak gözden geçirin ve güncelleyin.

Smyrna Bilgi Teknolojileri KVKK Uyum Hizmetleri

Smyrna Bilgi Teknolojileri olarak İzmir'deki işletmelere KVKK uyum sürecinde hem teknik altyapı hem de danışmanlık hizmetleri sunuyoruz:

  • Teknik altyapı değerlendirmesi: Mevcut BT altyapınızı KVKK gereksinimleri açısından güvenlik denetimine tabi tutuyoruz.
  • Erişim kontrolü ve şifreleme: Active Directory, rol tabanlı erişim kontrolü ve veri şifreleme çözümlerini yapılandırıyoruz.
  • DLP ve veri güvenliği: Hassas verilerin korunması için DLP çözümleri ve veri sınıflandırma altyapısı kuruyoruz.
  • Yedekleme ve felaket kurtarma: KVKK uyumlu yedekleme stratejileri oluşturuyor ve düzenli test geri yüklemeleri gerçekleştiriyoruz.
  • Log yönetimi ve izleme: Erişim loglarının toplanması, saklanması ve denetlenmesi için altyapı kuruyoruz.
  • Güvenlik duvarı ve ağ güvenliği: Kurumsal firewall, VPN ve ağ segmentasyonu çözümleri ile ağ güvenliğinizi sağlıyoruz.

KVKK uyum sürecinizde teknik altyapı ihtiyaçlarınız için Smyrna Bilgi Teknolojileri ekibi olarak 22 yılı aşkın deneyimimizle sizlere destek olmaktan memnuniyet duyarız. Hemen bizimle iletişime geçin.

İlgili Yazılar

Veri Güvenliği

DLP (Veri Kaybı Önleme) Çözümleri ile Kurumsal Veri Güvenliği

DLP çözümleri, veri sınıflandırma, endpoint DLP, network DLP ve KVKK uyumu hakkında kapsamlı rehber.

12 Şubat 2026
Siber Güvenlik

2025 Siber Güvenlik Tehditleri ve Korunma Yöntemleri

Güncel siber tehditler, saldırı trendleri ve kurumsal düzeyde alınması gereken güvenlik tedbirleri.

15 Şubat 2026
Ağ Güvenliği

İzmir Kurumsal Firewall Çözümleri

Kurumsal güvenlik duvarı çözümleri ile ağ güvenliğinizi üst seviyeye taşıyın.

28 Ocak 2026

Profesyonel BT Desteği mi Arıyorsunuz?

İzmir'de 22+ yıllık deneyimimizle KVKK uyum danışmanlığı, veri güvenliği ve BT altyapı hizmetleri sunuyoruz.

İletişime Geçin Hemen Arayın