Single Blog Title

This is a single blog caption

Şirketler İçin KVKK Uyumluluk Süreci: Aydınlatma Metni, Açık Rıza ve VERBİS Yükümlülükleri

Giriş

Günümüzde şirketler yalnızca mal veya hizmet sunan ticari yapılar değildir. Aynı zamanda müşteri, çalışan, tedarikçi, ziyaretçi, bayi, iş ortağı ve internet sitesi kullanıcılarına ait çok sayıda kişisel veriyi işleyen yapılardır. Bir şirketin müşteri adı, telefon numarası, e-posta adresi, teslimat adresi, fatura bilgisi, kamera görüntüsü, çalışan özlük dosyası, banka hesap bilgisi, sağlık raporu, IP adresi veya çerez verisi toplaması, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri işleme faaliyeti olarak değerlendirilebilir.

Bu nedenle şirketler açısından KVKK uyumluluk süreci, yalnızca internet sitesine bir “KVKK metni” eklemekten ibaret değildir. Doğru bir KVKK uyum çalışması; şirketin hangi kişisel verileri topladığını, bu verileri hangi amaçla işlediğini, hangi hukuki sebebe dayandığını, kimlere aktardığını, ne kadar süre sakladığını, nasıl imha ettiğini ve veri güvenliği için hangi idari-teknik tedbirleri aldığını ortaya koymalıdır.

Özellikle aydınlatma metni, açık rıza metni ve VERBİS yükümlülüğü, şirketlerin KVKK uyum sürecinde en çok hata yaptığı alanlar arasındadır. Kişisel Verileri Koruma Kurumu tarafından 2026 yılında yayımlanan duyurularda da açık rıza ve aydınlatma metinlerinin iç içe geçirilmesinin, başka şirketlerden kopyalanan metinlerin kullanılmasının, muğlak ve yanıltıcı ifadelerle aydınlatma yapılmasının sık rastlanan hukuka aykırılıklar olduğu vurgulanmıştır.

Şirketler İçin KVKK Uyumluluk Süreci Nedir?

KVKK uyumluluk süreci, şirketin kişisel veri işleme faaliyetlerini 6698 sayılı Kanun’a ve Kurul kararlarına uygun hale getirmesidir. Bu süreçte amaç, yalnızca belge hazırlamak değil; şirketin veri işleme pratiğini hukuka uygun, denetlenebilir ve sürdürülebilir hale getirmektir.

Bir şirketin KVKK’ya uyumlu sayılabilmesi için öncelikle hangi verileri işlediğini bilmesi gerekir. Örneğin bir tekstil şirketi müşteri sipariş bilgileri, çalışan bordro bilgileri, tedarikçi cari hesap bilgileri, kamera kayıtları ve internet sitesi çerez verileri işleyebilir. Bir özel sağlık kuruluşu ise bunlara ek olarak sağlık verisi gibi özel nitelikli kişisel veriler de işleyebilir. Dolayısıyla her şirket için tek tip KVKK metni veya tek tip uyum paketi hazırlanması doğru değildir.

KVKK uyumluluk süreci şirketin faaliyet alanına, çalışan sayısına, yıllık mali büyüklüğüne, işlediği veri kategorilerine, özel nitelikli veri işleyip işlemediğine, yurt dışına veri aktarımı yapıp yapmadığına ve dijital sistemlerinin yapısına göre farklılık gösterir. Bu nedenle şirketler açısından ilk aşama, kişisel veri işleme haritasının çıkarılmasıdır.

Veri Envanteri Hazırlanması

Şirketler için KVKK uyum sürecinin temel adımlarından biri kişisel veri işleme envanteri hazırlanmasıdır. Veri envanteri, şirketin kişisel veri işleme faaliyetlerini sistematik şekilde ortaya koyan ana dokümandır. Bu envanterde hangi kişisel verilerin işlendiği, veri konusu kişi grupları, işleme amaçları, hukuki sebepler, alıcı grupları, saklama süreleri, aktarım yapılan taraflar ve alınan güvenlik tedbirleri yer almalıdır.

Örneğin bir şirketin insan kaynakları departmanı çalışanların kimlik bilgilerini, iletişim bilgilerini, özlük dosyalarını, maaş bilgilerini ve SGK kayıtlarını işler. Satış departmanı müşteri iletişim bilgilerini ve sipariş geçmişini işler. Muhasebe departmanı fatura ve cari hesap verilerini işler. Bilgi işlem departmanı log kayıtları, IP adresleri ve sistem erişim kayıtlarını işler. Güvenlik birimi ise kamera görüntülerini işleyebilir.

Bu nedenle KVKK uyumluluk sürecinde yalnızca hukuk biriminin veya yalnızca muhasebe biriminin çalışması yeterli değildir. İnsan kaynakları, muhasebe, satış, pazarlama, bilgi işlem, idari işler ve yönetim birimleri birlikte değerlendirilmelidir. Aksi halde hazırlanan aydınlatma metinleri şirketin gerçek veri işleme faaliyetlerini yansıtmaz ve bu durum hukuki risk doğurur.

Aydınlatma Metni Nedir?

Aydınlatma metni, kişisel verisi işlenen kişiye, verilerinin kim tarafından, hangi amaçla, hangi hukuki sebebe dayanılarak, hangi yöntemle işlendiğini ve kimlere aktarılabileceğini bildiren metindir. Aydınlatma yükümlülüğü, ilgili kişinin talebine bağlı değildir. Yani kişi “beni aydınlatın” demese bile veri sorumlusu şirket, kişisel veri işlemeye başlamadan önce veya en geç veri elde edildiği sırada aydınlatma yapmakla yükümlüdür.

Kişisel Verileri Koruma Kurumu’nun aydınlatma yükümlülüğüne ilişkin duyurularında, aydınlatma metinlerinde açık, sade ve anlaşılır dil kullanılması gerektiği; muğlak, eksik, yanıltıcı veya genel ifadelere yer verilmemesi gerektiği belirtilmiştir. Ayrıca “işleme amacı” ile “hukuki sebep”in ayrı unsurlar olduğu, veri işlemenin Kanun’un 5. veya 6. maddesindeki hangi işleme şartına dayandığının açıkça gösterilmesi gerektiği ifade edilmiştir.

Bu nedenle aydınlatma metninde “kişisel verileriniz KVKK kapsamında işlenmektedir” şeklinde genel bir ifade yeterli değildir. Doğru metinde örneğin “kimlik ve iletişim bilgileriniz, ürün teslimatının sağlanması amacıyla, sözleşmenin ifası hukuki sebebine dayanılarak işlenmektedir” gibi açık ve somut ifadeler kullanılmalıdır.

Aydınlatma Metni Nasıl Hazırlanmalıdır?

Şirketler açısından aydınlatma metni hazırlanırken her veri işleme faaliyeti ayrı değerlendirilmelidir. Çalışanlar için ayrı, müşteriler için ayrı, tedarikçiler için ayrı, ziyaretçiler için ayrı ve internet sitesi kullanıcıları için ayrı aydınlatma metinleri hazırlanması gerekebilir. Çünkü her kişi grubunun verisi aynı amaçla ve aynı hukuki sebebe dayanarak işlenmez.

Bir çalışan aydınlatma metninde bordro, SGK bildirimi, özlük dosyası, yan haklar, iş sağlığı ve güvenliği, performans değerlendirmesi ve işyeri güvenliği gibi konular yer alabilir. Bir müşteri aydınlatma metninde ise sipariş, ödeme, teslimat, fatura, müşteri destek hizmetleri ve ticari iletişim süreçleri açıklanabilir. Bir kamera aydınlatma metninde güvenlik amacı, kayıt alanı, saklama süresi ve yetkili kişilere aktarım ihtimali ayrıca belirtilmelidir.

Aydınlatma metninin şirketin fiili uygulamasıyla uyumlu olması son derece önemlidir. Şirket yurt dışına veri aktarmıyorsa, aydınlatma metninde yurt dışına aktarım yapıldığı izlenimi verilmemelidir. Şirket pazarlama amacıyla veri işlemiyorsa metinde genel şekilde pazarlama amacı yazılması hatalı olabilir. Kurum, başka şirketlerden kopyalanan ve veri sorumlusunun kendi faaliyetlerine uyarlanmayan metinleri açıkça sorunlu uygulamalar arasında saymaktadır.

Açık Rıza Metni Nedir?

Açık rıza, kişinin belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradesiyle verdiği onaydır. Ancak uygulamada en çok yapılan hatalardan biri, her veri işleme faaliyeti için açık rıza alınması gerektiğinin sanılmasıdır. Oysa KVKK sisteminde açık rıza, kişisel veri işleme şartlarından yalnızca biridir. Kanunda açık rıza dışında da kişisel veri işleme şartları bulunmaktadır.

Örneğin çalışan maaş ödemesi için banka hesap bilgisinin işlenmesi, çoğu durumda iş sözleşmesinin ifası veya işverenin hukuki yükümlülüğü kapsamında değerlendirilebilir. Müşterinin teslimat adresinin alınması, satış sözleşmesinin ifası için gerekli olabilir. Fatura bilgilerinin saklanması, muhasebe ve vergi mevzuatından kaynaklanan hukuki yükümlülüğe dayanabilir. Bu tür durumlarda ayrıca açık rıza alınması gerekmeyebilir.

Buna karşılık reklam, pazarlama, ticari elektronik ileti, özel nitelikli kişisel verilerin bazı işleme faaliyetleri, biyometrik veri kullanımı veya bazı yurt dışı aktarım süreçleri bakımından açık rıza gerekebilir. Bu nedenle şirketlerin önce veri işleme faaliyetinin hukuki sebebini tespit etmesi, açık rızayı ise gerçekten gerekli olan alanlarda kullanması gerekir.

Aydınlatma Metni ile Açık Rıza Metni Ayrı Olmalıdır

Aydınlatma metni ile açık rıza metni aynı şey değildir. Aydınlatma metni, ilgili kişiye bilgi verilmesini sağlar. Açık rıza metni ise belirli bir veri işleme faaliyeti için kişinin onayını ifade eder. Bu iki metnin tek metin halinde düzenlenmesi, KVKK uygulamasında ciddi risk oluşturur.

Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı ilke kararına ilişkin kamuoyu duyurusunda, açık rıza metni ile aydınlatma metninin iç içe geçmiş şekilde sunulmasının Kuruma intikal eden ihbar ve şikâyetlerde sık karşılaşılan hukuka aykırılıklardan biri olduğu belirtilmiştir. Kurul, açık rızaya dayalı veri işleme faaliyeti varsa aydınlatma metni ile açık rıza metninin farklı başlıklar altında ayrı ayrı düzenlenmesi gerektiğini; aynı sayfada yer alacaklarsa bile iki metin için ayrı beyan alınması gerektiğini açıklamıştır.

Bu kapsamda şirketler, “Aydınlatma metnini okudum ve kişisel verilerimin işlenmesine onay veriyorum” şeklindeki karışık ifadelerden kaçınmalıdır. Aydınlatma metni için yalnızca “okudum, bilgilendirildim” anlamına gelen bir geri bildirim alınabilir. Açık rıza ise gerekiyorsa ayrı bir metin ve ayrı bir onay mekanizmasıyla alınmalıdır.

Açık Rıza Alınırken Nelere Dikkat Edilmelidir?

Açık rızanın geçerli olabilmesi için ilgili kişinin neye rıza verdiğini açıkça anlaması gerekir. Rıza belirli bir konuya ilişkin olmalı, genel ve sınırsız olmamalıdır. “Kişisel verilerimin her türlü amaçla işlenmesine izin veriyorum” şeklindeki ifadeler hukuken risklidir. Bunun yerine veri işleme amacı net yazılmalıdır.

Örneğin bir e-ticaret şirketi müşterilerine kampanya SMS’i göndermek istiyorsa, açık rıza metninde telefon numarasının reklam, kampanya ve tanıtım amacıyla işleneceği açıkça belirtilmelidir. Bir işveren çalışanının fotoğrafını şirketin sosyal medya hesaplarında paylaşmak istiyorsa, bu paylaşımın amacı, mecrası ve kapsamı ayrıca açıklanmalıdır.

Açık rızanın özgür iradeyle verilmesi de önemlidir. Kişi rıza vermeye zorlanmamalı, rıza vermediği için temel hizmetten mahrum bırakılmamalıdır. Özellikle işçi-işveren ilişkisinde taraflar arasında güç dengesizliği bulunduğundan, çalışandan alınan açık rızaların gerçekten özgür iradeye dayanıp dayanmadığı dikkatle değerlendirilmelidir.

VERBİS Nedir?

VERBİS, Veri Sorumluları Sicil Bilgi Sistemi’nin kısaltmasıdır. Belirli şartları taşıyan veri sorumluları, kişisel veri işlemeye başlamadan önce VERBİS’e kayıt olmakla yükümlüdür. 6698 sayılı Kanun’un 16. maddesi kapsamında kişisel verileri işleyen gerçek ve tüzel kişilerin Sicile kayıt yükümlülüğü bulunduğu, ancak Kurul tarafından belirlenen objektif kriterlere göre bazı veri sorumluları için istisna getirilebileceği belirtilmektedir.

VERBİS kaydı, şirketin kişisel veri işleme faaliyetlerine ilişkin genel bilgilerin Kuruma bildirilmesini sağlar. Ancak burada dikkat edilmesi gereken önemli bir nokta vardır: VERBİS’e kayıt olmak tek başına KVKK’ya uyum anlamına gelmez. Şirket VERBİS’e kayıt olsa bile aydınlatma yükümlülüğünü yerine getirmiyorsa, açık rıza süreçlerini yanlış yürütüyorsa, veri güvenliği tedbirlerini almıyorsa veya saklama-imha süreçlerini düzenlememişse KVKK’ya aykırılık devam edebilir.

Dolayısıyla VERBİS, KVKK uyum sürecinin yalnızca bir parçasıdır. Şirketlerin önce veri envanterini doğru hazırlaması, sonra bu envanterle uyumlu şekilde VERBİS bildirimi yapması gerekir.

Hangi Şirketler VERBİS’e Kayıt Olmak Zorundadır?

VERBİS yükümlülüğü bakımından şirketin çalışan sayısı, yıllık mali bilanço toplamı ve ana faaliyet konusu önemlidir. Güncel Kurul kararlarına göre ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan gerçek veya tüzel kişi veri sorumlularından yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olanlar, Sicile kayıt yükümlülüğünden istisna tutulmaktadır.

Bunun yanında 04.09.2025 tarihli ve 2025/1572 sayılı Kurul Kararı ile ana faaliyet konusu özel nitelikli kişisel veri işleme olan bazı küçük ölçekli veri sorumluları yönünden de istisna getirilmiştir. Buna göre ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon TL’den az olan gerçek veya tüzel kişi veri sorumluları da Sicile kayıt yükümlülüğünden istisna kapsamına alınmıştır.

Ayrıca Kurumun 12 Ocak 2026 tarihli duyurusunda, bilanço esasına göre defter tutmayan veri sorumluları bakımından yıllık mali bilanço toplamı bilgisi bulunmadığı için yalnızca yıllık çalışan sayısı kriterinin esas alınacağı açıklanmıştır.

Bu noktada şirketlerin yalnızca “biz küçük işletmeyiz” diyerek VERBİS yükümlülüğünden muaf olduğunu düşünmesi doğru değildir. Şirketin ana faaliyet konusu, özel nitelikli veri işleyip işlemediği, çalışan sayısı, bilanço durumu ve Kurul kararları birlikte değerlendirilmelidir.

VERBİS’e Kayıt Olmamak Ne Gibi Riskler Doğurur?

VERBİS’e kayıt yükümlülüğü bulunduğu halde kayıt yapılmaması, KVKK kapsamında idari yaptırım riski doğurur. Veri Sorumluları Sicili Hakkında Yönetmelik’te, Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanun’un 18. maddesindeki idari para cezasının uygulanacağı düzenlenmiştir.

KVKK kapsamında idari para cezaları her takvim yılı başından itibaren yeniden değerleme oranına göre güncellenmektedir. Kişisel Verileri Koruma Kurumu, 2017-2026 yılları için artırılmış idari para cezası tutarlarının tablo halinde duyurulduğunu açıklamıştır.

Ancak şirketler açısından risk yalnızca idari para cezası değildir. Bir şirketin VERBİS kaydının olmaması, veri envanterinin bulunmaması, aydınlatma metinlerinin yanlış olması veya açık rıza süreçlerinin hatalı yürütülmesi; müşteri şikâyetlerine, çalışan başvurularına, Kurul incelemelerine, tazminat taleplerine ve itibar kaybına da neden olabilir.

Şirketlerin KVKK Uyum Sürecinde Alması Gereken İdari ve Teknik Tedbirler

KVKK uyum süreci yalnızca belge hazırlamaktan ibaret değildir. Şirketler veri güvenliğine ilişkin idari ve teknik tedbirleri de almalıdır. İdari tedbirler; şirket içi politika hazırlanması, çalışanlara KVKK eğitimi verilmesi, gizlilik taahhütnameleri alınması, kişisel veri saklama ve imha politikası oluşturulması, yetki matrisi hazırlanması, veri işleyenlerle sözleşme yapılması ve ihlal yönetim sürecinin oluşturulması gibi adımları kapsar.

Teknik tedbirler ise bilgi güvenliğiyle ilgilidir. Güçlü parola politikası, erişim yetkilendirmesi, log kayıtlarının tutulması, antivirüs ve güvenlik duvarı kullanımı, yedekleme, şifreleme, kullanıcı bazlı erişim sınırlandırması, veri sızıntısı önleme sistemleri ve düzenli güvenlik testleri bu kapsamda değerlendirilebilir.

Örneğin çalışan özlük dosyalarına tüm personelin erişebilmesi, müşteri listesinin yetkisiz kişilere açık olması, kamera kayıtlarının uzun süre kontrolsüz saklanması, eski çalışanların sistem erişimlerinin kapatılmaması veya müşteri verilerinin kişisel telefonlarda tutulması ciddi riskler doğurur. KVKK uyumluluk süreci bu tür pratik sorunları da çözmelidir.

Saklama ve İmha Süreçleri

Şirketlerin kişisel verileri süresiz şekilde saklaması mümkün değildir. Her kişisel veri, işleme amacı için gerekli olan süre kadar saklanmalıdır. Bu süre sona erdiğinde kişisel veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Örneğin muhasebe kayıtları vergi mevzuatı gereği belirli sürelerle saklanabilir. Çalışan özlük dosyaları iş hukuku ve sosyal güvenlik mevzuatı gereği belirli sürelerle muhafaza edilebilir. Kamera kayıtları ise güvenlik amacıyla makul bir süre saklanmalı, gereksiz şekilde uzun süre muhafaza edilmemelidir. Saklama süresi belirlenirken ilgili mevzuat, zamanaşımı süreleri, uyuşmazlık ihtimali ve veri işleme amacı birlikte değerlendirilmelidir.

Bu nedenle şirketlerin kişisel veri saklama ve imha politikası hazırlaması, periyodik imha süreçlerini belirlemesi ve fiilen uygulaması gerekir. Belge üzerinde politika bulunmasına rağmen verilerin hiçbir zaman silinmemesi KVKK uyumu açısından yeterli değildir.

Şirketlerin En Sık Yaptığı KVKK Hataları

Şirketlerin KVKK uyum sürecinde yaptığı hataların başında başka şirketlerden kopyalanan aydınlatma metinlerini kullanmak gelir. Bu metinler şirketin gerçek faaliyetlerini yansıtmaz ve çoğu zaman hatalı veri kategorileri, yanlış aktarım bilgileri veya ilgisiz hukuki sebepler içerir.

İkinci yaygın hata, açık rıza ile aydınlatmanın aynı metin içinde düzenlenmesidir. 2026 tarihli Kurul duyurusu, bu uygulamanın açıkça sorunlu olduğunu ortaya koymuştur. Üçüncü hata, açık rıza gerekmeyen alanlarda gereksiz açık rıza alınmasıdır. Bu durum şirketin veri işleme hukuki sebebini zayıflatabilir.

Dördüncü hata, VERBİS kaydının KVKK uyumu için yeterli sanılmasıdır. Oysa VERBİS yalnızca sicil bildirimi niteliğindedir. Beşinci hata ise çalışanlara KVKK eğitimi verilmemesi ve şirket içinde veri erişim yetkilerinin kontrolsüz bırakılmasıdır.

Sonuç

Şirketler için KVKK uyumluluk süreci, ticari faaliyetin güvenli ve hukuka uygun şekilde sürdürülebilmesi için zorunlu bir süreçtir. Bu süreçte kişisel veri envanteri hazırlanmalı, aydınlatma metinleri şirketin gerçek veri işleme faaliyetlerine uygun şekilde düzenlenmeli, açık rıza yalnızca gerekli olduğu durumlarda ayrı ve geçerli şekilde alınmalı, VERBİS yükümlülüğü dikkatle değerlendirilmelidir.

Aydınlatma metni ile açık rıza metninin ayrı düzenlenmesi, hukuki sebep ile işleme amacının açıkça gösterilmesi, başka şirketlerden kopyalanan genel metinlerden kaçınılması ve sade-anlaşılır dil kullanılması, güncel KVKK uygulamasında özellikle önem taşımaktadır. Şirketlerin yalnızca belge üretmek yerine fiili işleyişlerini de KVKK’ya uygun hale getirmesi gerekir.

Sonuç olarak, KVKK uyum süreci bir defalık formalite değil; şirketin insan kaynakları, muhasebe, satış, pazarlama, bilgi işlem ve yönetim süreçleriyle birlikte sürekli takip edilmesi gereken bir hukuki uyum alanıdır. Doğru yürütülen bir KVKK uyum çalışması, şirketi idari para cezası riskinden korumanın yanında müşteri güvenini artırır, çalışan verilerini güvence altına alır ve olası hukuki uyuşmazlıklarda şirketin elini güçlendirir.

Leave a Reply

Call Now Button