Pınarbaşı Hukuk & Danışmanlık - Güvenilir Profesyonel Hizmet
İletişime Geçin
Mustafa Kemal Mah. 2139. Cad. No: 21/4 Çankaya/Ankara+90 554 950 22 21
Çalışma Saatleri: Pzt - Cum:09:00 - 18:00

Şirketler için KVKK Uyum Rehberi

Şirketler Hukuku2 Haziran 2026
Şirketler için KVKK Uyum Rehberi

Şirketler için KVKK Uyum Rehberi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işletmelerin çalışan, müşteri veya tedarikçi verilerini nasıl koruyacaklarını düzenler. Kanun ve ilgili ikincil mevzuat; VERBİS’e kayıt, kişisel veri işleme envanteri oluşturma, saklama ve imha politikası hazırlama ve güvenlik tedbirleri alma gibi yükümlülükleri öngörmektedir. Veri koruma uyumu, yasal yaptırımlardan kaçınmanın yanı sıra şirket itibarını ve müşteri güvenini korumak için de kritik önemdedir.

KVKK’nın Amacı, Kapsamı ve Temel İlkeler

KVKK’nın amacı, kişisel verilerin işlenmesinde özel hayatın gizliliğini ve temel hakları korumaktır. Kanun, veri sorumlusu kavramını “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi” olarak tanımlar. Yani şirketiniz, işlediği kişisel verilerin neden ve nasıl işlendiğini belirleyen veri sorumlusu konumundadır.

Kanun, kişisel verilerin hukuka, dürüstlük ve doğruluk ilkelerine uygun şekildebelirli, açık ve meşru amaçlar için işlenmesini şart koşar. Ayrıca “özel nitelikli kişisel veriler” (ırk, sağlık, dini inanç, sendika üyeliği, biyometrik/genetik veriler gibi) tanımlanmış ve bu tür hassas verilerin ancak sınırlı hallerde ve sıkı kurallarla işlenmesine izin verilmiştir. Örneğin, bir hastanın sağlık bilgileri veya bir çalışanının biyometrik verileri ancak ilgili kişinin açık rızası veya yasada sayılan istisnai koşullar oluştuğunda işlenebilir.

KVKK’nın bir diğer temel ilkesi de verilerin güvenliğidir. Kanun, şirketin veri kaybını, yetkisiz erişimi ve sızıntıları önlemesi için uygun teknik ve idari tedbirler almasını zorunlu kılar. Bu kapsamda şirket içi erişim kontrolleri, şifreleme, yedekleme, yetkilendirme, güvenlik duvarı, virüs koruması gibi önlemler alınmalıdır.

Veri Sorumlusu ve Veri İşleyenin Yükümlülükleri

Kanun, veri sorumlusu kavramının yanı sıra “veri işleyen” tanımını da yapar. Veri işleyen, veri sorumlusunun talimatıyla kişisel verileri işleyen gerçek veya tüzel kişidir. Şirketiniz dışındaki bir firma (örneğin muhasebe bürosu veya bulut hizmet sağlayıcısı) bu kapsamda olabilir. Veri sorumlusu olarak size düşen başlıca yükümlülükler şunlardır:

  • Aydınlatma Yükümlülüğü: Şirketiniz, kişisel verileri toplarken ilgili kişileri yazılı olarak bilgilendirmek zorundadır. Bu aydınlatma metninde veri sorumlusu kimliği, kişisel verilerin hangi amaçla işleneceği, toplanma yöntemi, aktarılabileceği kurumlar/kişiler, saklama süresi ve 6698 sayılı Kanun’da (11. madde) sayılan ilgili kişinin hakları (erişim, düzeltme, silme vb.) gibi hususlar açıkça belirtilmelidir. Özetle, aydınlatma metni kişiye “verileriniz niçin, nasıl ve kiminle paylaşılarak işleniyor” sorularının cevabını vermelidir.
  • Veri Güvenliği: Kanunun 12. maddesi ve ilgili düzenlemeler uyarınca veri sorumlusu, verilerin hukuka aykırı işlenmesini ve kaybolmasını önlemek için uygun güvenlik düzeyini sağlamakla yükümlüdür. Şirket içinde veriye erişim sadece yetkili personelle sınırlandırılmalı, kargo/e-posta ile gizlilik ihlaline karşı önlem alınmalı, fiziksel ortamda kilit ve koruma, dijital ortamda şifreleme gibi tedbirler uygulanmalıdır.
  • VERBİS (Veri Sorumluları Sicili): Kanun’un 16. ve 17. maddeleri ile Kurum yönetmeliği, belirli büyüklükteki şirketlerin kişisel veri işleme faaliyetlerini Kişisel Verileri Koruma Kurumu’na bildirmesini zorunlu kılar. Yıllık çalışan sayısı 50’den fazla veya yıllık mali bilanço tutarı 25 milyon TL’den fazla olan veri sorumluları, herhangi bir veri işlemeye başlamadan önce VERBİS’e kaydolmak ve kapsamlı bir envanter bildiriminde bulunmak zorundadır. Kayıt yükümlülüğü altında bulunan şirketler, 6698 sayılı Kanun’un 6. ve 12. maddelerinin gereklerini yerine getirmiş sayılır.
  • Veri Sahibinin Haklarına Uyum: İlgili kişiler, KVKK ile tanınan haklarını (erişim talebi, düzeltme-silme, aktarım, itiraz vb.) şirketinize yazılı olarak iletebilir. Veri sorumlusu olarak bu başvuruları usulüne uygun bir şekilde cevaplamak zorunludur. Aydınlatma metninde bu hakların nasıl kullanılacağıyla ilgili bilgiler de yer almalıdır. Örneğin bir çalışan veya müşteri, bankadaki parasının bilgilerinin incelenmesi hakkını talep edebilir ve bu taleplere 30 gün içinde yanıt verilmelidir.
  • Çalışan ve İş Sözleşmeleri: Şirkette çalışan herkesi KVKK konusunda bilgilendirmek ve gerektiğinde eğitim vermek de sorumluluklar arasındadır. İş sözleşmelerine “gizlilik protokolü” veya “kişisel veri taahhüdü” eklemek, çalışanları veri koruma kurallarına uymaya bağlayan önlemler getirmek gerekir.

Şirketler İçin KVKK Uyum Süreci Adımları

KVKK uyumuna yönelik sistematik bir süreç yürütmek, kanun maddelerinin eksiksiz uygulanmasını sağlar. Aşağıda adım adım bir uyum programı özetlenmiştir:

  • Uyum Komitesi Kurulması: Öncelikle şirket içinde bir uyum ekibi veya komitesi oluşturulmalıdır. Bu ekip, hukuk, insan kaynakları, bilgi teknolojileri ve denetim bölümlerinden katılımları içerebilir. Komite, uyum takvimini belirler ve tüm adımları koordine eder.
  • Veri Envanteri (Envanter Hazırlığı): İşlenen tüm kişisel veriler ve işlem amaçları detaylı şekilde listelemelidir. Hangi departmanda hangi veriler var? Bu veriler hangi amaçlarla kullanılıyor? Kimlerle paylaşılıyor? Nasıl saklanıyor? Örneğin, personel özlük dosyaları, müşteri kayıtları, kamera görüntüleri, pazarlama listeleri vs. ayrı ayrı envantere kaydedilmelidir. Envanter, hem şirket içi politika çalışmaları hem de VERBİS’e yapılacak bildirimin temelini oluşturur.
  • Saklama ve İmha Politikası: Şirket, her veri kategorisi için yasal veya iş gereksinimlerine uygun saklama süreleri belirlemelidir. Örneğin muhasebe kayıtları (fatura, bordro) için Türk Ticaret Kanunu’na göre en az 10 yıl saklama zorunluluğu vardır. Bu süreler dolduğunda veriler güvenli şekilde silinmeli veya imha edilmelidir. Yazılı bir Saklama-İmha Politikası hazırlanması, hem iç uygulamayı disipline eder hem denetim sırasında ispat kolaylığı sağlar.
  • Aydınlatma Metni Hazırlama: Şirketin internet sitesi, personel el kitapları, sözleşmeler gibi veri toplama noktalarında aydınlatma metinleri eklenmelidir. Bu metinler, yukarıda belirtilen aydınlatma yükümlülüğünde yer alacak bilgileri (veri sorumlusu kimliği, işlenen veri kategorileri, haklar vb.) açık ve anlaşılır şekilde içermelidir. Örneğin bir web formu dolduran kullanıcı, formu göndermeden önce ekranda “Verileriniz… amaçları doğrultusunda kullanılacaktır” şeklinde bilgilendirilmelidir. Aydınlatma metni Kanun’un 10. maddesine dayanır ve Kurum Tebliğleri ile usulleri belirlenmiştir.
  • Açık Rıza Süreçleri: Hukuka uygunluk için belirli durumlarda açık rıza alınması gerekir. Özellikle özel nitelikli verilerin (sağlık, biyometrik vb.) işlenmesi, ticari elektronik ileti (SMS/e-posta) gönderilmesi gibi işlemlerde ilgili kişiden özgürce verilmiş, bilgilendirilmiş ve açık onay alınmalıdır. Rıza formları basit (tek tık/işaret) veya imzalı olarak düzenlenebilir, ancak dileyen kişinin rızasını kolayca geri çekebilmesi sağlanmalıdır. Örneğin yeni bir müşteriden, kanunda sayılan işleme şartlarından biri (sözleşme kurulması, kanuni yükümlülük vb.) dışında bir amaçla bilgilerini kullanmak istiyorsanız mutlaka onay almanız gerekir.
  • Sözleşmelerin Güncellenmesi: Şirketin diğer taraflarla (çalışan, tedarikçi, müşteri, dış kaynak hizmet sağlayıcılar vb.) imzaladığı sözleşmeler incelenmeli ve KVKK hükümlerinize uygun hale getirilmelidir. İş sözleşmelerine gizlilik ve veri koruma hükümleri, tedarikçi/satıcı sözleşmelerine veri işleme protokolleri eklenebilir. Ayrıca, çalışan veya dış kaynak gibi veri işleyen konumdaki kişilerle veri işleme sözleşmeleri yapılarak veri sorumlusu ile veri işleyen arasındaki roller netleştirilir. Gerektiğinde, şirket içi görev tanımlarına da kişisel veri güvenliği sorumluluğu eklenmelidir.
  • VERBİS Kaydı ve Bildirimi: Uyuma başlamadan önce VERBİS’e kayıt yükümlülüğü olup olmadığı tespit edilmelidir. Şartlar sağlanıyorsa kişisel veri işleme envanteri ışığında VERBİS sistemi üzerinden başvuru yapılır. Kayıt başvurusu 9. maddeye göre envanterdeki detayları içerir ve en geç işleme başlamadan önce tamamlanmalıdır. Ayrıca, kurum içindeki veri sorumlusu temsilcisi ve irtibat kişisi belirlenerek bu kayıt belgelerine eklenir.
  • Eğitim ve İç Denetim: Uyum sürecinin sürekli olması için personele düzenli eğitim verilmeli, yazılı politika ve prosedürler oluşturulmalıdır. Şirket içi denetim veya KVKK denetimleri için hazırlık yapılmalıdır. Uyum çalışmaları bir defalık değil, sürekli gözden geçirmeyi gerektirir. Denetim öncesinde şirket içi kontrollerle eksiklikler giderilmelidir.

Aydınlatma Yükümlülüğü ve Açık Rıza

KVKK’nın 10. maddesi, veri sorumlularına aydınlatma yükümlülüğü getirir. İlgili kişiler, verileri toplanmadan önce aşağıdaki konularda açıkça bilgilendirilmelidir: veri sorumlusu kimliği ve iletişim bilgileri, verilerin işlenme amacı, üçüncü kişilerle paylaşılıp paylaşılmayacağı, kişisel veri toplama yöntemi, saklama süresi, Kanun’un 11. maddedeki hakları (erişim, düzeltme, silme vb.) ve her hakkın nasıl kullanılacağı gibi hususlar. Örneğin bir e-posta gönderim formunda “KVKK kapsamında haklarınızı kullanmak için bizimle iletişime geçebilirsiniz” notu bulunmalıdır.

Açık rıza ise belirli durumlar ve özel nitelikli veriler için zorunludur. Rıza alınırken kişiye veri işleme amacı anlatılmalı, onay gönüllü olduğu, geri çekilebileceği vurgulanmalıdır. Hukuka uygun bir işleme şartı yoksa (örneğin açık onay gerekebilecek bir pazarlama kampanyası veya sağlık verisi paylaşımı), rıza alınmadığı takdirde veri işleme yapılamaz.

Veri Sorumluları Sicili (VERBİS) Kaydı

Kurum, veri sorumluları siciline (VERBİS) kayıt yükümlülüğünü yönetmeliklerle belirlemiştir. Çalışan sayısı 50’den fazla veya yıllık bilanço 25 milyon TL’nin üzerinde olan şirketler, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt yapmak zorundadır. Bu sisteme yapılan kayıtlar, şirketin işlediği veri kategorileri, aktarımlar, güvenlik tedbirleri gibi bilgileri içerir. Süre dolmadan kayıt yükümlülüğü altına girenler 30 gün içinde, kayıtlı veri sorumluları ise hiçbir mazeret olmaksızın VERBİS başvurusunu tamamlamalıdır. VERBİS kaydının güncel tutulması, bilgilerin değişmesi halinde Kuruma bildirim yapılması gerekmektedir.

Teknik ve İdari Güvenlik Önlemleri

KVKK uyarınca şirketler, kişisel verilerin güvenliği için teknik (siber güvenlik) ve idari (organizasyonel) tedbirler almalıdır. Teknik önlemler olarak şunlar örnek verilebilir: güçlü şifreleme, erişim log kayıtları, antivirüs ve firewall sistemleri, güvenli yedekleme, SSL/TLS kullanımı, mobil cihaz güvenliği vb. İdari önlemler ise veri sınıflandırma politikası, yetkilendirme prosedürleri, güvenlik denetimi, acil müdahale planları, çalışan eğitimleri gibi uygulamaları kapsar. 6698 sayılı Kanun’un 12. maddesi gereği şirket, “verilerin hukuka aykırı işlenmesini önleyecek uygun güvenlik düzeyini sağlamak” zorundadır. Örneğin dış kaynaklı bir saldırı veya iç skandala karşı güvenlik ihlal bildirim prosedürü hazırlanmalıdır. 2019’dan itibaren veri ihlalinde KVK Kurulu’na bildirim yapılması zorunludur; acil eylem planı oluşturmak ticari mahremiyet ve yasal gereklilikler için önemlidir.

İlgili Kişi Hakları ve Başvuru Usulleri

KVKK, kişisel veri sahiplerine çeşitli haklar tanır. İlgili kişi (örneğin müşteri veya çalışan) şu haklara sahiptir: erişim hakkı (verilerinin işlenip işlenmediğini ve detaylarını öğrenme), düzeltme/haklı silme hakkıaktarım hakkıitiraz hakkıverilerin yok edilmesi veya anonimleştirilmesi talebi gibi. Bu haklar, veri sorumlusuna yazılı başvuru ile kullanılır. Şirketiniz, gelen başvuruları 30 gün içinde, ücretsiz olarak sonuçlandırmak zorundadır. Hakkın kötüye kullanımı durumu hariç, talebe verilen yanıt Kanunda belirtilen bilgilerle gerekçelendirilmelidir. Uyum sürecinde bu haklar hakkında prosedür belirlemek ve çalışana-müşteriye açıklama yapmak gerekir. Örneğin bir çalışanı sorgulayabilir: “Kişisel verilerinizin silinmesini istiyor musunuz? Lütfen talebinizi belirtiniz.”

Sıkça Sorulan Sorular

  • KVKK’ya kimler uyum sağlamak zorundadır? KVKK, hem kamu kurumlarını hem de özel sektörde faaliyet gösteren tüm gerçek ve tüzel kişileri kapsar. Hukuka uygun olarak kişisel veri işleyen her şirkete KVKK hükümleri uygulanır. Bir şirketin sektörü fark etmez; müşteri bilgileri, çalışan dosyaları, tedarikçi kayıtları içeren her işyeri kişisel veri sorumlusu sıfatındadır.
  • VERBİS kaydından muafiyet var mı? Kanun, 50’den az çalışanı ve yıllık bilanço toplamı 25 milyon TL’den az olan küçük ölçekli işletmelere (KOBİ’lere) kayıt istisnası getirmiştir. Bu şirketler VERBİS’e kayıt yaptırmasa da Kanun’un diğer yükümlülükleri (aydınlatma, güvenlik vb.) tüm işletmeler için geçerlidir.
  • Aydınlatma metni ne şekilde hazırlanmalı? Aydınlatma metni şirketin internet sitesinde bir sayfa veya sözleşme-ek olarak yer alabilir. Basılı ve dijital her platformda çalışana/müşteriye açık ve sade Türkçe ile sunulması gerekir. Örneğin web’de “Gizlilik Politikası” sayfası oluşturularak içinde KVKK kapsamındaki bilgiler verilebilir. Çalışan el kitapçığına veya hesap cüzdanı eklerine de kısa bir açıklama konulabilir.
  • Veri ihlali yaşanırsa ne yapılmalı? Olayın türüne göre Kurum’a ihlal bildirimi yapılması gerekebilir. Yasal ihlal halleri için KVKK’nın 12. maddesine ve Kurul kararlarına bakılır. Şüphe durumunda konu ve düzeltici önlemler Kuruma iletilir. Ayrıca etkilenen kişilere durumu bildirmek de iyi bir uygulamadır (örn. e-posta veya basın açıklaması). Hazırlıklı olmak için şirket içinde ihlal durumlarında kimin bilgilendirileceği ve nasıl aksiyon alınacağı önceden planlanmalıdır.
  • KVKK’ya uymak ne kadar zaman alır, ceza riski nedir? Uyum hızı şirket büyüklüğüne göre değişir; genellikle birkaç ay içinde politika, eğitim ve envanter tamamlanabilir. Uyum eksikliğinin cezası ise idari para cezasıdır. Kurum, yükümlülüklerini yerine getirmeyen şirketlere her ihlal için yüzbinlerce lira ceza kesebilir. Örneğin veri güvenliğine yönelik ihmallerde 900.000 TL’ye kadar, aydınlatma yapmayanlara 600.000 TL’ye kadar para cezası verilebilmektedir. Bu nedenle uyum çalışmaları, uzun vadede çok daha düşük maliyetli ve itibar açısından faydalıdır.

Sonuç ve Hukuki Destek

KVKK uyumu, karmaşık gibi görünse de sistematik çalışmayla sağlanabilir. Bu rehberde özetlenen tüm adımlar (kanun amacı, temel ilkeler, envanter, aydınlatma, rıza, VERBİS kaydı, güvenlik vb.) titizlikle uygulandığında hem yasal uyum sağlanacak hem de iş süreçleriniz düzene girecektir. Sürecin şirket içinde kurumsallaştırılması, düzenli denetim ve güncellemelerle desteklenmelidir.

Hukuki destek gerektiğinde, deneyimli bir KVKK danışmanı veya avukat ile çalışmak faydalı olacaktır. Biz, şirketinizin ihtiyacına uygun KVKK uyum programları tasarlıyor, aydınlatma metinleri, sözleşme ekleri ve politikalar hazırlıyor, eğitim ve denetim desteği veriyoruz. Kişisel veri koruma ile ilgili sorularınız veya profesyonel destek talebiniz için bizimle iletişime geçmekten çekinmeyin. Unutmayın, KVKK uyumu hem yasal yükümlülüğünüz hem de kurumsal güvenliğiniz için stratejik bir yatırımdır.

Related Posts

BANKA VE MASAK BLOKESİ: 5549 SAYILI KANUN KAPSAMINDA İNCELEME VE HUKUKİ SÜREÇLER
İcra Hukuku, Şirketler Hukuku17 Şubat 2026

BANKA VE MASAK BLOKESİ: 5549 SAYILI KANUN KAPSAMINDA İNCELEME VE HUKUKİ SÜREÇLER

Çek İptali Davası
Blog, Şirketler Hukuku17 Nisan 2025

Çek İptali Davası

Kiralık Araç Değer Kaybı ve Tazminat Süreçleri Previous Post

Post your Comment

Site Haritası