info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Kişisel Verilerin Korunması ve Gizlilik

23 Eki 2025
0

1. Giriş

Bilgi çağında kişisel veri, ekonomik ve siyasi gücün temel kaynağı haline gelmiştir. Ancak bu güç, bireyin mahremiyetini koruyacak hukuki sınırlar olmadan kullanıldığında toplumsal dengenin bozulmasına neden olur. Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Anayasa m. 20/3, gizliliği temel bir hak olarak güvence altına almaktadır.

Bu makalede, kişisel veri kavramının tanımı, koruma ilkeleri, hukuki dayanakları ve uygulamada karşılaşılan ihlaller detaylı olarak incelenecektir.

2. Kişisel Veri Kavramı

2.1. Tanım

KVKK m. 3 ’e göre:

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir.”

Ad, soyad, T.C. kimlik numarası, telefon, konum, ses kayıtları, IP adresi, biyometrik veriler ve hatta alışveriş tercihleri bu kapsamdadır.

2.2. Özel Nitelikli Veriler

KVKK m. 6’da “ırk, sağlık, cinsel hayat, siyasi görüş” gibi veriler özel nitelikli sayılmış ve daha sıkı koruma öngörülmüştür.

3. Gizlilik ve Mahremiyet Hakkının Anayasal Temeli

Anayasa m. 20/3:

“Herkes, kendisiyle ilgili kişisel verilerin korunmasını istemek hakkına sahiptir.”

Bu maddeyle, mahremiyet artık yalnızca etik değer değil, anayasal bir hak niteliği kazanmıştır.
Devletin yükümlülüğü iki yönlüdür:

  1. Kamu otoritelerinin veri ihlaline karşı negatif yükümlülük,

  2. Özel şirketlere karşı etkin denetim ve koruma sağlama pozitif yükümlülük.

Anayasa Mahkemesi’nin 2016/13010 başvuru numaralı kararında, “kişisel verilerin rızasız olarak paylaşılması, özel hayatın gizliliğini ihlâl eder” denmiştir.

4. KVKK’nın Temel İlkeleri

KVKK m. 4 ’e göre veri işleme faaliyetleri şu ilkelere dayanmalıdır:

  1. Hukuka ve dürüstlük kuralına uygun olma,

  2. Doğru ve güncel olma,

  3. Belirli, açık ve meşru amaçlar için işlenme,

  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilme.

Bu ilkeler, her veri işleme sürecinde “referans kodu” gibi düşünülmelidir.

5. Kişisel Verilerin İşlenme Şartları

Veri işleme, KVKK m. 5 ve m. 6’da belirtilen yasal dayanaklardan birine dayanmalıdır:

  • Açık rıza,

  • Kanunda açıkça öngörülme,

  • Sözleşmenin kurulması veya ifası,

  • Veri sorumlusunun hukuki yükümlülüğü,

  • Bir hakkın tesisi, kullanılması veya korunması,

  • İlgili kişinin kendisi tarafından alenileştirilmiş veriler.

Açık rıza olmaksızın yapılan her işleme hukuka aykırı sayılır.

6. Aydınlatma Yükümlülüğü

Veri sorumlusu, veri toplamadan önce ilgili kişiyi bilgilendirmek zorundadır (KVKK m. 10).
Aydınlatma metni; veri sorumlusunun kimliğini, veri işleme amacını, aktarımı ve hak yollarını içermelidir.

Bu yükümlülüğün yerine getirilmemesi halinde, Kurul tarafından 2025 itibarıyla 1 milyon TL’ye kadar idari para cezası uygulanmaktadır.

7. Veri Güvenliği ve Teknik Tedbirler

Veri sorumluları KVKK m. 12 gereğince şu tedbirleri almalıdır:

  • Yetkisiz erişimi önleme,

  • Şifreleme ve loglama,

  • Erişim kontrol sistemi,

  • Personel eğitimi,

  • Siber olay müdahale planı (incident response plan).

Bu tedbirler alınmazsa ve veri ihlali oluşursa, Kurul hem ceza hem denetim uygulayabilir.

8. Veri İhlali ve Bildirim Yükümlülüğü

Veri ihlali durumunda,

  • 72 saat içinde Kurul’a,

  • En kısa sürede ilgili kişiye
    bildirim yapılması zorunludur (m. 12/5).

Bildirim yapmayan kurumlara 2024 ve 2025 döneminde ortalama 750.000 TL – 2.500.000 TL ceza kesilmiştir.

9. Anonimleştirme ve Silme Yükümlülüğü

Veri işleme amacı sona erdiğinde, kişisel veriler ya silinmeli, yok edilmeli ya da anonimleştirilmelidir (m. 7).
Bu işlem, “Veri Saklama ve İmha Politikası” belgesi ile belirlenir.
Kurul 2023/310 sayılı kararında, “anonimleştirmenin geri dönüştürülemez olması gerektiğini” vurgulamıştır.

10. Veri Aktarımı ve Gizlilik Sözleşmeleri

Kişisel veriler, üçüncü taraflara aktarılırken yazılı sözleşme yapılması zorunludur.
Sözleşmede şunlar yer almalıdır:

  • İşleme amacı ve süresi,

  • Tarafların sorumlulukları,

  • Veri güvenliği tedbirleri,

  • İhlal bildirim prosedürü.

Yurt dışına aktarım için KVKK m. 9 kapsamında Kurul izni veya yeterli koruma ülke listesi gerekir.

11. Kamu Kurumu ve Özel Sektör Ayrımı

Kamu kurumları da KVKK kapsamındadır; ancak “güvenlik ve yargı faaliyetleri” istisna oluşturur.
Özel sektörde ise özellikle bankacılık, sigorta, e-ticaret ve sağlık alanlarında yükümlülükler daha ağırdır.
Bankalar için BDDK ve KVKK rehberleri, sağlık sektörü için Sağlık Verisi Kılavuzu uygulanmaktadır.

12. KVKK ve Uluslararası Karşılaştırma

12.1. AB (GDPR)

AB Genel Veri Koruma Tüzüğü (GDPR) dünya standartlarını belirlemiştir.
Türkiye KVKK’yı bu yapıya yakınlaştırmak için 2025’te revizyon taslağı hazırlamıştır.

12.2. ABD

ABD’de federal düzeyde bir veri koruma yasası yoktur; eyalet bazlı düzenlemeler (CCPA) uygulanır.

12.3. Türkiye’nin Konumu

Türkiye, KVKK ve VERBİS sistemiyle bölgesinde örnek bir uygulama oluşturmuş; ancak “yurt dışı aktarım ve profil oluşturma” konularında güncelleme gereksinimi devam etmektedir.

13. Hakkaniyet ve Yargı Yaklaşımı

Yargıtay ve Anayasa Mahkemesi, kişisel veri ihlallerini “kişilik hakkı ihlali” olarak değerlendirmektedir.

  • Yargıtay 4. HD, 2020/3106 K.: “İzinsiz veri paylaşımı, manevi tazminat sebebidir.”

  • AYM 2018/14884 K.: “İşverenin çalışan e-postalarını denetlemesi, meşru amaç ve ölçülülük kriteriyle sınırlıdır.”

Hakkaniyet ilkesi, veri sorumlusunun koruma tedbirleriyle bireyin gizliliği arasında denge kurmayı gerektirir.

14. İdari Yaptırımlar ve Cezalar

KVKK m. 18 gereği uygulanan 2025 cezaları özetle şöyledir:

İhlal Türü Ceza Aralığı (TL)
Aydınlatma yükümlülüğüne aykırılık 100.000 – 1.000.000
Veri güvenliği tedbirini almamak 200.000 – 2.500.000
VERBİS’e kayıt olmamak 500.000 – 2.000.000
Kurul kararına uymamak 300.000 – 3.000.000

Bunlara ek olarak, veri ihlali nedeniyle TCK m. 136–138 kapsamında cezai sorumluluk da doğabilir.

15. Sonuç ve Değerlendirme

Kişisel verilerin korunması, modern demokrasilerde bireyin özgürlüğü ve onurunun teminatıdır.
Türkiye’de KVKK ile birlikte mahremiyet artık soyut bir kavram olmaktan çıkmış, hukuken yaptırımı olan bir hak haline gelmiştir.

Sonuç olarak:

  • Veri sorumluları şeffaf ve ölçülü veri işlemelidir.

  • Kişisel veri işleme amacı sona erdiğinde silinmelidir.

  • Veri ihlalleri 72 saat içinde bildirilmelidir.

  • Anonimleştirme ve açık rıza politikaları zorunludur.

  • Mahremiyet, yalnızca teknik değil, etik bir yükümlülüktür.

, , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button