6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında 2026 Yılı Güncel Uygulamaları - İdari Para Cezaları ve Kurumsal Uyum Stratejileri

6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında 2026 Yılı Güncel Uygulamaları - İdari Para Cezaları ve Kurumsal Uyum Stratejileri

Modern Hukuk Sistemlerinde Kişisel Verilerin Korunması ve Türkiye'deki Dönüşüm Süreci

Bireylerin temel hak ve özgürlüklerinin dijital çağın getirdiği risklere karşı korunması, modern anayasal sistemlerin en hayati önceliklerinden biri haline gelmiştir. Özel hayatın gizliliği hakkının teknolojik boyutunu temsil eden kişisel verilerin korunması, Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) yürürlüğe girmesiyle sistematik bir yasal zemine kavuşmuştur. Kanun'un temel amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin anayasal güvence altındaki haklarını korumak ve bu verileri işleyen gerçek ve tüzel kişilerin uymakla yükümlü oldukları usul ve esasları düzenlemektir.

Zaman içerisinde Kişisel Verileri Koruma Kurumu (Kurum) ve Kişisel Verileri Koruma Kurulu (Kurul), teknolojik gelişmelere, ticari hayatın dinamiklerine ve uluslararası standartlara uyum sağlamak amacıyla sayısız rehber, ilke kararı ve yönetmelik yayımlamıştır. Kurumun benimsediği şeffaflık, hesap verilebilirlik, hukuka ve etik ilkelere uygunluk, bağımsızlık ve tarafsızlık gibi temel değerler, veri koruma doktrininin Türkiye'deki gelişimine yön vermektedir.

2026 yılı itibarıyla, veri sorumluları açısından yalnızca kanun metnine şekli bir uyum sağlamak yeterli olmaktan çıkmış; veri koruma kültürünün kurumsal bir yönetişim ve risk yönetimi modeli olarak içselleştirilmesi zorunlu hale gelmiştir. Milyonlarca lirayı aşan idari para cezaları, sınır aşan veri aktarımlarında getirilen yeni kademeli rejim, yapay zekâ uygulamalarının iş yerlerine entegrasyonuyla ortaya çıkan güvenlik açıkları ve tüketici alışkanlıklarını doğrudan etkileyen sadakat programlarına yönelik sıkı düzenlemeler, işletmelerin hukuki uyum süreçlerini baştan aşağı yeniden tasarlamalarını gerektirmektedir.

KVKK hangi verileri ve kimleri kapsar

KVKK’da “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım; isim-soyisim gibi doğrudan bilgileri olduğu kadar, tek başına veya başka verilerle eşleştiğinde bir kişiyi belirlenebilir kılan bilgileri de kapsar. 

Kanun, kişisel veriyi tamamen/kısmen otomatik yollarla işleyenleri veya otomatik olmayan yolla işlese bile “veri kayıt sisteminin parçası” olarak işleyenleri kapsar. Pratikte “bu sadece klasörde duruyor” yaklaşımı çoğu zaman hatalıdır; yalnız depolama amaçlı tutulsa dahi kişisel veri üzerinde yapılan faaliyetler “işleme” sayılabilir. 

KVKK’nın koruma alanı gerçek kişilere yöneliktir; tüzel kişilere ait veriler kural olarak “kişisel veri” değildir. Ancak bir şirket verisi, bir veya daha fazla gerçek kişiyi belirlenebilir kılıyorsa bu kısım KVKK kapsamına girebilir. 

Uygulamanın kritik kavramları “veri sorumlusu” ve “veri işleyen” ayrımıdır. Veri sorumlusu; verinin hangi amaçla, hangi yöntemle işleneceğini belirleyen ve veri kayıt sisteminin kurulması ile yönetiminden sorumlu olan kişidir. Veri işleyen ise veri sorumlusunun yetkisine dayanarak onun adına veri işleyen taraftır. 

KVKK uyumunda temel uygulamalar

KVKK’nın pratikte omurgası iki noktada kurulur: (i) “hangi hukukî sebebe dayanıyorum?” ve (ii) “ilgili kişiyi nasıl şeffaf biçimde bilgilendiriyorum?”. Kişisel veri işleme şartları (hukuka uygunluk halleri) sınırlı sayıdadır; genişletilemez. Bu şartlardan biri yoksa açık rızaya gidilir; varsa rıza “kolay yol” diye kullanılmamalıdır. 

Açık rıza konusunda en çok hata, rızayı genel-geçer bir kutucukla “toplamak”tır. Açık rıza; belirli bir konuya ilişkin olmalı, bilgilendirmeye dayanmalı ve özgür iradeyle verilmelidir. “Kişisel verilerimin işlenmesini kabul ediyorum” gibi muğlak ifadeler KVKK standardında sorun yaratır; ayrıca dengesiz ilişkilerde (örneğin işçi-işveren) rızanın özgür iradeye dayanıp dayanmadığı özellikle sorgulanır. 

Aydınlatma yükümlülüğü ise KVKK uygulamasının görünür yüzüdür. Veri sorumlusu, veri elde edilirken ilgili kişiye; kimlik, amaç, aktarım, toplama yöntemi/hukukî sebep ve ilgili kişi hakları gibi asgari bilgileri sağlamakla yükümlüdür. Önemli nokta şudur: İşleme açık rızaya dayanıyor olsa da başka bir işleme şartına dayanıyor olsa da aydınlatma yapılmalıdır. 

Bir diğer “sürekli işleyen” başlık, ilgili kişi başvurularıdır. İlgili kişi; verisinin işlenip işlenmediğini öğrenme, bilgi talep etme, düzeltme, silme/yok etme isteme, aktarılan üçüncü kişileri öğrenme ve zararın giderilmesini talep etme gibi haklara sahiptir. Bu başvurulara yönelik iç süreç kurulmadan (kimin alacağı, kimin değerlendireceği, hangi sürede cevaplanacağı, hangi kayıtların tutulacağı), KVKK uyumu kâğıt üzerinde kalır. 

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) tarafında da iki temel risk vardır: kayıt yükümlülüğü olanların hiç kayıt olmaması ve kayıt olanların envanter/iletilen bilgileri güncel tutmaması. Kanun, kural olarak veri işlemeye başlamadan önce sicile kayıt öngörür; Kurul objektif kriterlerle istisna tanımlayabilir. Sicil rejimi ayrıca kişisel veri işleme envanterini ve sicile yansıyan bilgilerin doğruluğunu “uyumun merkezi” haline getirir. 

Son olarak, “saklama ve imha” uygulamada en çok ihmal edilen alandır. Kişisel veriler, işlendikleri amaç için gerekli süre kadar tutulmalı; işleme şartları ortadan kalktığında silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bu süreçlerin yöntemleri politika ve prosedürlerde net olmalı; imha işlemleri kayıt altına alınmalı ve bu kayıtlar en az üç yıl saklanmalıdır. 

Yüksek risk alanları

Veri güvenliği, KVKK yaptırımlarının en maliyetli başlığıdır. Veri sorumlusu; hukuka aykırı işlemeyi ve erişimi önlemek, veriyi muhafaza etmek için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Ayrıca veri işleyenle çalışılıyor olsa bile veri güvenliği tedbirlerinde müştereken sorumluluk söz konusudur; “taşerona verdim, sorumluluk bitti” yaklaşımı doğru değildir. 

Veri ihlali (kişisel verinin kanuni olmayan yollarla üçüncü kişilerce elde edilmesi) halinde bildirim yükümlülüğü ayrıca kritikleşir. Kurulun 2019/10 sayılı kararıyla “en kısa sürede” ifadesi 72 saat olarak yorumlanmış; veri sorumlusunun ihlali öğrendiği andan itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapması; etkilenen kişilere de makul olan en kısa sürede bilgilendirme yapması standardı getirilmiştir. Bu çerçevede veri ihlali müdahale planı hazırlanması ve belirli aralıklarla gözden geçirilmesi de Kurul kararında açıkça vurgulanır. 

Özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, sağlık verisi, biyometrik/genetik veri gibi) hem itibar riski hem yaptırım riski açısından ayrı bir kulvardadır. Bu veri kategorileri sınırlı sayıda belirlenmiştir; kıyasla genişletilemez. 2024 reformu sonrası özel nitelikli veri rejimi yeniden yapılandırılmıştır; veri sorumlularının yeni işleme şartlarına göre süreçlerini güncellemesi beklenir. Ayrıca özel nitelikli veriler işlenirken Kurulun belirlediği “yeterli önlemler” standardı da devrededir. 

Yurt dışına veri aktarımı ise 2024’ten itibaren “aşamalı rejim” mantığıyla yeniden kurgulanmıştır. Kurumun bilgilendirmesine göre sistem şu şekilde işler: (i) yeterlilik kararı varsa aktarım, (ii) yeterlilik yoksa Kanunda sayılan uygun güvenceler (örneğin standart sözleşme, bağlayıcı şirket kuralları, taahhütname+Kurul izni gibi), (iii) bunlar da yoksa sınırlı sayıda istisnai haller. Kurum, henüz yeterli korumanın bulunduğu ülkelere ilişkin bir belirleme yapılmadığını da açıkça not eder. 

Bu yeni rejimin pratikte en kritik detayı “standart sözleşme bildirimi”dir. Standart sözleşmeler, uygun güvence yöntemidir; ayrıca Kanunun 9. maddesinin beşinci fıkrası kapsamında imzadan itibaren beş iş günü içinde Kuruma bildirilmelidir. Bildirim, fiziki, KEP veya Kurulun belirlediği yöntemlerle yapılabilir; Kurum ayrıca bu bildirim için bir modül de devreye almıştır. 

2026 Yılı Yeniden Değerleme Oranları ve İdari Para Cezalarının Analizi

Kişisel Verilerin Korunması Kanunu'nun 18. maddesinde düzenlenen idari yaptırımlar, hukuka aykırı veri işleme faaliyetlerinin önlenmesi ve veri sorumlularının gerekli idari ve teknik tedbirleri almasını sağlamak amacıyla tasarlanmış güçlü bir caydırıcılık mekanizmasıdır. Bu cezalar, her takvim yılı başında Hazine ve Maliye Bakanlığı tarafından Vergi Usul Kanunu'nun (VUK) mükerrer 298. maddesi uyarınca belirlenen yeniden değerleme oranında (YDO) artırılarak güncellenmektedir.

2026 yılı için belirlenen yeniden değerleme oranı yüzde 25,49 olarak resmiyet kazanmıştır. Bu oran; trafik cezaları, motorlu taşıtlar vergisi, yurt dışı çıkış harçları ve çeşitli finansal faaliyet harçları gibi geniş bir yasal yelpazede uygulandığı gibi, KVKK kapsamındaki ihlallere uygulanacak idari para cezalarının alt ve üst limitlerini de doğrudan etkilemiştir.2024 yılında Kurul tarafından toplam 552 milyon 668 bin TL tutarında idari para cezası kesildiği göz önüne alındığında, idari yaptırımların uygulanmasındaki kararlılık ve denetimlerin sıklığı açıkça görülmektedir.

Yeniden değerleme oranının yansıtılmasıyla birlikte 2026 yılında geçerli olacak KVKK idari para cezalarının ihlal türlerine göre dağılımı aşağıdaki tabloda detaylandırılmıştır :

Yaptırımların Caydırıcılığı ve Kurumsal Ekonomik Etkileri

Tablodan açıkça anlaşıldığı üzere, 2026 yılında bir veri sorumlusunun karşılaşabileceği azami idari para cezası tutarı 17.092.242 TL seviyesine ulaşmıştır. Özellikle veri güvenliğini sağlama yükümlülüğünün ihlali ve Kurul kararlarının yerine getirilmemesi durumlarında uygulanan bu üst limit, kanun koyucunun veri mahremiyetine verdiği önemi ve siber güvenlik zafiyetlerine karşı toleranssız yaklaşımını simgelemektedir. 17 milyon Türk Lirasını aşan potansiyel bir yaptırım, işletmeler için yalnızca geçici bir finansal kayıp veya itibar zedelenmesi değil; bilhassa küçük ve orta büyüklükteki işletmeler (KOBİ) açısından doğrudan ticari faaliyetin sonlanmasına yol açabilecek boyutta bir kurumsal risk anlamına gelmektedir.

Kurul, idari para cezalarını uygularken ölçülülük ilkesi gereğince; ihlalin mahiyeti, etkilenen ilgili kişi sayısı, ihlalin gerçekleşmesinde veri sorumlusunun kusur derecesi (kasıt veya ihmal), ihlal sonrasında Kurum ile yapılan işbirliği ve işletmenin ekonomik büyüklüğü gibi somut olay spesifik parametreleri değerlendirmektedir. Ancak siber saldırılar (örneğin fidye yazılımı - ransomware saldırıları) sonucunda yüz binlerce kişinin kimlik, iletişim veya kredi kartı bilgisinin çalındığı durumlarda, Kurul'un tavan cezaya yaklaşan tutarlarda yaptırım uygulama eğiliminde olduğu içtihatlarla sabittir. Bu gerçeklik, işletmelerin bilgi güvenliği altyapılarına (sızma testleri, şifreleme algoritmaları, veri sızıntısı önleme sistemleri) ve hukuki uyum danışmanlığına yapacakları yatırımların, olası ceza riskleri karşısında son derece rasyonel ve ekonomik bir zorunluluk olduğunu kanıtlamaktadır.

KVKK suçları ve Türk Ceza Kanunu boyutu

KVKK, “kabahat” (idari para cezası) alanını 18. maddede düzenlerken, “suç” boyutunda Türk Ceza Kanunu’na doğrudan atıf yapar. KVKK’ya göre kişisel verilere ilişkin suçlarda Türk Ceza Kanunu’nun 135 ila 140. maddeleri uygulanır; ayrıca KVKK m.7’ye aykırı olarak kişisel verileri silmeyen veya anonim hale getirmeyenler bakımından Türk Ceza Kanunu m.138’e göre cezalandırma öngörülür. 

Türk Ceza Kanunu’ndaki temel suç tipleri özetle şunlardır: hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak verme/yayma/ele geçirme ve kanuni süreler geçmesine rağmen sistemde yok etmeme. Bu suçlar, KVKK idari yaptırımlarından bağımsız olarak ceza soruşturması ve kovuşturmasına konu olabilir. 

Kanun metnindeki ceza aralıkları doğrudan şu şekildedir: hukuka aykırı kişisel veri kaydı için altı aydan üç yıla kadar hapis; kişisel veriyi hukuka aykırı olarak bir başkasına verme/yayma/ele geçirme için bir yıldan dört yıla kadar hapis; “verileri yok etmeme” için altı aydan bir yıla kadar hapis. Bu suçlar kamu görevlisi tarafından görevin sağladığı yetki kötüye kullanılarak işlenirse veya meslek/sanatın sağladığı kolaylıktan yararlanılırsa ceza artar; tüzel kişiler hakkında da güvenlik tedbirleri gündeme gelir. 

Aydınlatma Yükümlülüğünün Kapsamı ve Uygulama Dinamikleri

Kişisel Verilerin Korunması Kanunu'nun 10. maddesi, veri sorumlularına veya yetkilendirdikleri kişilere, kişisel verilerin elde edilmesi sırasında ilgili kişileri bilgilendirme yönünde mutlak bir yükümlülük yüklemektedir. Aydınlatma yükümlülüğü; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin Kanun'un 11. maddesinde sayılan hakları konularını asgari olarak içermek zorundadır.

Uygulamada en sık düşülen hukuki yanılgılardan biri, veri işleme faaliyetinin ilgili kişinin "açık rızasına" dayandığı durumlarda aydınlatma yapılmasına gerek olmadığı inancıdır. Kurum tarafından yayımlanan güncel rehberler ve ilke kararları bu durumu kesin bir dille reddetmektedir. Veri işleme faaliyetinin hukuki dayanağı ister açık rıza olsun, isterse Kanun'da sayılan sözleşmenin ifası, hukuki yükümlülük veya meşru menfaat gibi diğer şartlardan biri olsun, veri sorumlusunun aydınlatma yükümlülüğü hiçbir istisnaya tabi olmaksızın devam etmektedir. İlgili kişi, kişisel verisinin işlendiği her senaryoda, verinin akıbeti hakkında şeffaf, anlaşılır ve erişilebilir bir dille bilgilendirilmelidir.

2026 yılı itibarıyla aydınlatma yükümlülüğünün ihlali halinde uygulanacak idari para cezası alt sınırı 85.437 TL, üst sınırı ise 1.709.200 TL olarak belirlenmiştir. Bu ihlal genellikle, kişilerden formlar veya dijital arayüzler aracılığıyla veri toplanırken, aydınlatma metninin hiç sunulmaması, metnin içeriğinin Kanun'un aradığı asgari unsurları taşımaması veya metnin ilgili kişi tarafından kolayca erişilemeyecek şekilde gizlenmesi (örneğin uzun kullanım koşulları sözleşmelerinin içine gömülmesi) hallerinde ortaya çıkmaktadır.

Güncel Kurul kararları ışığında veri sorumlularının "katmanlı aydınlatma" stratejisini benimsemeleri beklenmektedir. Katmanlı aydınlatma, verinin toplandığı ilk temas noktasında (örneğin bir web sitesi iletişim formunda veya mobil uygulama kayıt ekranında) en temel bilgilerin (hangi verinin, hangi amaçla işlendiği) kısa ve öz bir metinle sunulması; detaylı bilgilerin, hakların ve aktarım senaryolarının ise bu kısa metne eklenen bir bağlantı (link) vasıtasıyla tam metin aydınlatma bildirimine yönlendirilmesi yöntemidir. Aydınlatma yükümlülüğünün usulüne uygun olarak yerine getirildiğinin ispat külfeti bütünüyle veri sorumlusunun üzerindedir. Bu nedenle, aydınlatma metninin ne zaman, hangi versiyonla ve hangi platform üzerinden ilgili kişiye sunulduğunun sistem logları vasıtasıyla kayıt altına alınması büyük önem taşımaktadır.

Kişisel Verilerin Yurt Dışına Aktarımı: Yeni Rejim, Güvence Mekanizmaları ve Etki İlkesi

Türkiye'deki veri koruma hukukunun en sancılı ve uygulaması en zor alanlarından biri, kişisel verilerin yurt dışına aktarımı meselesi olmuştur. KVKK'nın ilk halinde yer alan 9. madde, yurt dışına veri aktarımını kural olarak ilgili kişinin açık rızasına veya Kurul tarafından ilan edilecek "yeterli korumaya sahip ülkeler" listesine bağlamıştı. Ancak, söz konusu güvenli ülkeler listesinin Kurul tarafından uzun yıllar boyunca yayımlanmaması ve taahhütname onayı gibi alternatif prosedürlerin bürokratik ağırlığı, global ölçekte faaliyet gösteren şirketleri, bulut bilişim hizmeti alan KOBİ'leri ve uluslararası ticaret yapan tüm aktörleri ciddi bir çıkmaza sürüklemiştir.

Bu yapısal sorunu çözmek ve Türk veri koruma mevzuatını Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) ile daha uyumlu hale getirmek amacıyla, 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile KVKK'nın 9. maddesinde köklü değişiklikler yapılmıştır. Ardından, 10 Temmuz 2024 tarihinde Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlanarak "yurt dışı veri aktarımı" kavramı ilk defa hukuki bir tanıma kavuşturulmuştur. Tanıma göre yurt dışı veri aktarımı; kişisel verilerin KVKK kapsamındaki bir veri sorumlusu veya veri işleyen tarafından, yurt dışındaki bir veri sorumlusu veya veri işleyene iletilmesi ya da başka bir suretle erişilebilir hâle getirilmesini ifade etmektedir. Sistemin tüm detaylarını barındıran "Kişisel Verilerin Yurt Dışına Aktarılması Rehberi" ise 2 Ocak 2025 tarihinde Kurum tarafından yayımlanmış ve 2026 yılındaki uyum süreçlerinin ana pusulası haline gelmiştir.

Yeni yurt dışı aktarım rejimi, GDPR sistematiğine benzer şekilde üç aşamalı, "kademeli aktarım sistemi" modelini benimsemiştir. Veri sorumlularının yurt dışına veri aktarırken izlemeleri gereken hiyerarşik yapı şu şekildedir:

1. Birinci Kademe: Yeterlilik Kararına Dayalı Aktarım

Sistemin ilk basamağı, Kurul tarafından verinin aktarılacağı ülke, o ülke içerisindeki belirli bir sektör veya uluslararası bir kuruluş hakkında verilmiş bir "Yeterlilik Kararı" bulunması halidir. Eğer Kurul, hedef ülkenin veya sektörün veri koruma mevzuatının ve uygulamalarının Türkiye'deki standartlara eşdeğer düzeyde bir koruma sağladığına kanaat getirirse, bir yeterlilik kararı yayımlar. Yeterlilik kararının bulunduğu durumlarda, veri sorumluları tıpkı yurt içine veri aktarıyormuş gibi, herhangi bir ek izin, taahhüt veya onay mekanizmasına ihtiyaç duymadan kişisel verileri yurt dışına serbestçe aktarabilirler. Bu durum, ticari hayatın hızlanması ve bürokrasinin azalması adına atılmış en önemli adımdır.

2. İkinci Kademe: Uygun Güvencelerin Sağlanması

Yeterlilik kararının bulunmadığı durumlarda, aktarımın hukuka uygun hale gelmesi için ikinci kademeye geçilir. Bu aşamada, veri aktaran ile veriyi devralan taraf arasında, ilgili kişilerin haklarını kullanabilmeleri ve etkili kanun yollarına başvurabilmeleri şartıyla "uygun güvencelerden" birinin tesis edilmesi gerekmektedir. Rehberde detaylandırılan uygun güvence mekanizmaları şunlardır :

• Standart Sözleşmeler (Standart Contractual Clauses - SCC): Kurul tarafından önceden ilan edilen; veri kategorileri, aktarım amaçları, alıcı grupları, alınacak teknik ve idari tedbirler ve özellikle özel nitelikli kişisel veriler için alınan ek önlemleri içeren standart sözleşme metinleridir. Taraflar bu sözleşmeleri üzerlerinde hiçbir esaslı değişiklik yapmaksızın imzalamalıdır. En kritik husus, imzalanan standart sözleşmelerin 5 iş günü içerisinde Kurula bildirilmesi zorunluluğudur. Bu bildirim yükümlülüğünün ihlali, Kanun kapsamında ağır idari yaptırımlara bağlanmıştır.
• Bağlayıcı Şirket Kuralları (Binding Corporate Rules - BCR): Aynı şirketler topluluğu (holdingler, çok uluslu şirket ağları) içinde gerçekleşecek sürekli veri aktarımlarında, grubun global ölçekte uyguladığı ve Kurul tarafından onaylanan bağlayıcı kurallar bütünüdür.
• Taahhütnameler ve Kurul İzni: Veri aktaran ile alıcı arasında imzalanan, spesifik bir veri aktarım senaryosunu güvence altına alan ve doğrudan Kurul'un incelemesine sunularak onay alınan yazılı taahhütnamelerdir.
• Uluslararası Anlaşmalar: Türkiye'deki kamu kurum ve kuruluşları ile yurt dışındaki kamu kurumları veya uluslararası kuruluşlar arasında akdedilen, uluslararası sözleşme niteliğinde olmayan idari anlaşmalar kapsamında, Kurul'dan önceden izin alınması şartıyla yapılan aktarımlardır.

3. Üçüncü Kademe: İstisnai ve Arızi Aktarımlar

Eğer ortada bir yeterlilik kararı yoksa ve standart sözleşme gibi uygun güvenceler de sağlanamıyorsa, veri aktarımı ancak son çare olarak "istisnai aktarım" hallerine dayanılarak gerçekleştirilebilir. Kurumun yayımladığı 48 numaralı yayında da vurgulandığı üzere, bu kademedeki aktarımların en temel şartı "arızilik" unsurudur. Arızi aktarım; düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve veri sorumlusunun olağan faaliyet akışı içinde bulunmayan istisnai durumları ifade eder. Örneğin, yurt dışında açılan acil bir tahkim davası için Türkiye'den tek seferlik bir müşteri dosyasının yurt dışındaki hukuk bürosuna gönderilmesi arızi bir aktarımdır ve bu kademe kapsamında değerlendirilebilir. Ancak, bir e-ticaret sitesinin tüm müşteri veritabanını yurt dışındaki bir sunucuda tutması sürekli bir faaliyet olduğundan, arızi aktarım istisnasına dayandırılamaz.

VERBİS Kayıt Yükümlülüğündeki Yeni İstisnalar ve Kümülatif Mali Kriterler

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri sorumlularının kimliklerini, hangi verileri hangi amaçlarla işlediklerini, veri saklama sürelerini ve aldıkları veri güvenliği tedbirlerini kamuoyu ile paylaştıkları şeffaflık odaklı bir beyan platformudur. Kural olarak veri işleyen tüm veri sorumlularının faaliyete başlamadan önce VERBİS'e kayıt olması yasal bir zorunluluktur. Ancak Kurul, kayıt yükümlülüğünün özellikle küçük ölçekli işletmeler üzerinde orantısız bir bürokratik yük yaratmaması amacıyla çeşitli istisnai kriterler belirleme yetkisine sahiptir.

Enflasyonist etkiler, işletmelerin büyüyen ciroları ve ekonomik dinamikler göz önünde bulundurularak Ekim 2025'te duyurulan ve 2026 yılı uygulamalarının temelini oluşturan 04.09.2025 tarihli ve 2025/1572 sayılı Kurul Kararı ile VERBİS muafiyet sınırları ciddi şekilde yükseltilmiştir. Yeni düzenlemeye göre aşağıdaki profillere uyan veri sorumluları VERBİS'e kayıt yükümlülüğünden istisna tutulmuştur :

1. Genel Veri Sorumluları: Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan, yıllık çalışan sayısı 50'den az VE yıllık mali bilanço toplamı 100 milyon Türk Lirasından az olan gerçek ve tüzel kişi veri sorumluları.
2. Özel Nitelikli Veri İşleyenler: Ana faaliyet konusu özel nitelikli kişisel veri (sağlık verisi, sendika üyeliği, biyometrik veri vb.) işleme olan klinikler, tıp merkezleri, diyetisyenler gibi işletmeler için ise istisna eşiği çok daha düşük tutulmuştur; yıllık çalışan sayısı 10'dan az VE yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan veri sorumluları.

Bu noktada uygulamada yaşanan kafa karışıklıklarını gidermek amacıyla Kurul, 25.12.2025 tarihli ve 2025/2393 sayılı tamamlayıcı bir karar daha yayımlamış ve kriterlerin uygulama usullerini netleştirmiştir. Karara göre, istisna değerlendirmesi yapılırken "kümülatiflik" (birliktelik) ilkesi esas alınacaktır. Bilanço esasına göre defter tutan bir anonim veya limited şirketin muafiyetten faydalanabilmesi için hem çalışan sayısı sınırının altında kalması hem de yıllık mali bilanço sınırını aşmamış olması şarttır. Örneğin; çalışan sayısı 40 olan ancak yıllık bilançosu 110 milyon TL'ye ulaşan bir işletme istisnadan yararlanamaz ve derhal VERBİS siciline kaydolmak zorundadır.

Öte yandan, bilanço esasına göre defter tutmayan (örneğin işletme hesabı esasına göre defter tutan şahıs şirketleri veya serbest meslek erbabı avukatlar, mali müşavirler) veri sorumluları için ortada teknik ve yasal olarak hesaplanacak bir "yıllık mali bilanço toplamı" bulunmamaktadır. Bu durumdaki veri sorumlularının istisna statüsü değerlendirilirken mali veriler dikkate alınamayacağından, muafiyet kapsamı yalnızca "yıllık çalışan sayısı" kriterine göre tayin edilecektir. Bu netleştirme, muhasebesel yapıları farklı olan işletmelerin hukuki yükümlülüklerinin doğru tespit edilmesi açısından kritik bir güvence sağlamıştır.

Resmî iletişim bilgilerimiz:
Telefon: 0 (232) 486 41 43
E-posta: bilgi@uluhan.av.tr
Web: www.uluhan.av.tr

ULUHAN HUKUK BÜROSU