6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), yürürlüğe girdiği günden bu yana şirketlerin veri işleme alışkanlıklarını kökten değiştirmiştir. Özellikle 2026 yılı itibarıyla, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlaştırma çalışmaları ve Kurul’un artan denetimleri, veri sorumlusu olan şirketlerin üzerindeki yükümlülükleri daha da ağırlaştırmıştır. Kanun’un 12. maddesi, veri güvenliğini sağlamak amacıyla veri sorumlularına “her türlü teknik ve idari tedbiri” alma zorunluluğu getirmektedir. Bu tedbirlerin eksikliği, sadece milyonlarca liraya ulaşan idari para cezalarına değil, aynı zamanda TCK kapsamında hapis cezalarına ve ciddi bir itibar kaybına yol açabilmektedir. Çetin & Barut Hukuk Bürosu olarak, şirketlerin veri güvenliği kalkanını oluşturması için gerekli olan KVKK teknik ve idari tedbirler bütününü güncel mevzuat ışığında analiz ediyoruz.
1. KVKK İdari Tedbirler: Sürecin Hukuki Altyapısı
İdari tedbirler, şirketin veri koruma kültürünü ve yasal çerçevesini belirleyen “yönetimsel” adımlardır. Teknik önlemler ne kadar güçlü olursa olsun, idari yapı kurulmadığı sürece tam uyumdan söz edilemez.
Mevcut Durum Analizi ve Veri Envanteri
Şirketin hangi veriyi, hangi hukuki sebeple ve ne kadar süreyle işlediğini gösteren “Kişisel Veri İşleme Envanteri” oluşturulmalıdır. Bu envanter, VERBİS kaydı ve tüm uyum sürecinin temel taşıdır.
Politika ve Prosedürlerin Oluşturulması
Kişisel Veri Saklama ve İmha Politikası, Özel Nitelikli Kişisel Veri Güvenliği Politikası gibi dokümanlar hazırlanmalı ve fiilen uygulanmalıdır. Sadece kağıt üzerinde kalan politikalar, Kurul denetimlerinde geçersiz sayılmaktadır.
Sözleşmelerin Revizyonu ve Disiplin Düzenlemeleri
Çalışanlarla yapılan iş sözleşmelerine, tedarikçilerle akdedilen gizlilik sözleşmelerine ve veri aktarım protokollerine KVKK uyum maddeleri eklenmelidir. Çalışanların veri ihlali yapması durumunda uygulanacak yaptırımlar personel yönetmeliğinde netleştirilmelidir.
2. KVKK Teknik Tedbirler: Verinin Dijital Koruması
KVKK teknik ve idari tedbirler ayrımında teknik kısım, verinin siber saldırılara, yetkisiz erişimlere ve veri sızıntılarına karşı teknolojik olarak korunmasını ifade eder.
Yetki Matrisi ve Erişim Kontrolü
Her çalışan, sadece görevi için gerekli olan veriye erişebilmelidir (Need-to-know prensibi). Gereksiz erişim yetkileri, veri sızıntısı riskini artıracağı için teknik olarak sınırlandırılmalı ve düzenli olarak taranmalıdır.
Ağ Güvenliği ve Şifreleme (Encryption)
Kişisel verilerin saklandığı veri tabanları ve bulut sistemleri, güçlü şifreleme yöntemleri ile korunmalıdır. Özellikle özel nitelikli kişisel verilerin (sağlık, ceza mahkumiyeti vb.) aktarımı sırasında kriptografik yöntemler kullanılması zorunludur.
Sızma Testleri ve Güvenlik Duvarları
Şirket sistemleri, düzenli olarak sızma testlerine (pentest) tabi tutulmalı ve güvenlik açıkları kapatılmalıdır. Güncel antivirüs yazılımları ve saldırı tespit sistemleri (IDS/IPS) aktif olarak kullanılmalıdır.
Veri Kaybı Önleme (DLP) Yazılımları
Şirket dışına veri çıkışını kontrol eden DLP sistemleri, KVKK teknik ve idari tedbirler listesinde Kurul’un özellikle dikkat ettiği teknik donanımlardan biridir.
3. 2026 Yılında Veri İhlal Bildirimleri ve Sorumluluk
Kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi durumunda (veri sızıntısı), veri sorumlusu bu durumu en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirmek zorundadır.
Bu noktada, KVKK teknik ve idari tedbirler alınmışsa, Kurul idari para cezasını belirlerken bu çabayı hafifletici sebep olarak görebilir. Ancak hiçbir tedbirin alınmadığı bir yapıda gerçekleşen veri ihlali, üst sınırdan ceza verilmesine neden olur. 2026 yılı itibarıyla yapay zeka sistemlerinin veri işlemede kullanılması, “tasarımda gizlilik” (privacy by design) ilkesini de bir teknik tedbir olarak zorunlu kılmaktadır.
4. Eğitim ve Farkındalık Çalışmaları
Kurul’un yayımladığı rehberlerde, personelin eğitilmemesi bir idari tedbir eksikliği olarak vurgulanmaktadır. Veriyi fiilen işleyen personelin; “Açık rıza nedir?”, “Veri işleme şartları nelerdir?”, “Hangi veri özel niteliklidir?” gibi konularda periyodik eğitim alması şarttır. Çetin & Barut Hukuk Bürosu olarak, kurumsal müvekkillerimize yönelik düzenli farkındalık eğitimleri ile bu idari yükümlülüğün yerine getirilmesini sağlıyoruz.
5. VERBİS Kayıt ve Güncelleme Yükümlülüğü
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı belirli bir sınırı aşan (2026 yılı güncel limitlerine göre) veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olması ve envanterdeki değişiklikleri buraya yansıtması gerekir. VERBİS kaydının yapılmaması, ihlal olmasa dahi tek başına ağır bir idari para cezası sebebidir.
6. Sıkça Sorulan Sorular
Soru 1: Şirketimde tüm verileri kağıt ortamında tutuyorum, teknik tedbir almam gerekir mi? Evet. KVKK teknik ve idari tedbirler sadece dijital veriler için değil, fiziksel arşivler için de geçerlidir. Kağıt ortamındaki verilerin kilitli dolaplarda saklanması, anahtarın yetkili kişide olması ve imha aşamasında kağıt imha makinelerinin kullanılması birer teknik ve idari tedbirdir.
Soru 2: Kamera kayıtları KVKK kapsamında mıdır? Kesinlikle. İş yerindeki güvenlik kameraları “görsel veri” işler. Kameranın olduğu yerlere “Aydınlatma Metni” (Kamera Kayıtları Hakkında) asılması, kayıtların saklama sürelerinin belirlenmesi ve sadece yetkili güvenlik personeli tarafından izlenmesi zorunludur.
Soru 3: Web sitemdeki çerezler (cookies) için ne yapmalıyım? Web sitesi üzerinden çerez yoluyla veri toplanıyorsa, kullanıcıya bir “Çerez Onay Bandı” sunulmalı ve Çerez Politikası ile detaylı bilgi verilmelidir. 2026 standartlarında “tümünü kabul et” zorunluluğu hukuka aykırı olup, kullanıcının seçimine imkan tanınmalıdır.
KVKK Uyumunu Çetin & Barut Hukuk Bürosu İle Güvenceye Alın
KVKK uyumu, bir kez yapılıp bitirilen bir dosya çalışması değil, yaşayan bir süreçtir. Şirketinizin veri işleme operasyonları değiştikçe, mevzuat güncellendikçe ve yeni siber riskler ortaya çıktıkçe KVKK teknik ve idari tedbirler de güncellenmelidir. Çetin & Barut Hukuk Bürosu, Ankara merkezli uzmanlığı ile şirketlerin KVKK uyum projelerini baştan sona yönetmekte; veri envanteri hazırlığından teknik denetimlere, hukuki dokümantasyondan VERBİS yönetimine kadar profesyonel danışmanlık sunmaktadır.
Cezai yaptırımlarla karşılaşmadan ve şirketinizin marka itibarını riske atmadan uyum sürecinizi tamamlamak için bizimle iletişime geçebilirsiniz.
İletişim Bilgilerimiz:
- Telefon: 0312 232 01 32
- E-Posta: [email protected]
- Web Sitesi: cetinbarut.com
