ŞİRKETLER İÇİN KVKK UYUMLULUK REHBERİ 2026

1. Giriş

Günümüzde giderek dijitalleşen dünyada, şirketlerin de hızla gelişen bu teknolojiye ayak uydurması ve edindiği kişisel verileri nasıl işlemesi gerektiği önemli bir konu haline gelmiştir. Şirketlerin bu verileri saklaması, işlemesi veya dışa aktarması gibi işlemlerinin her biri hukuki bir sorumluluktur ve yasal yükümlülüklerin yerine getirilmemesi halinde ciddi cezai ve idari yaptırımları bulunmaktadır.

Şirketlerin, verilere ilişkin her türlü sorumlu oldukları hukuki yükümlülükleri 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuat kapsamında düzenleme altına alınmıştır. Bu kanunda yer verilen ilkeler ve yükümlülükler ile güvenli ve hukuksal olarak koruma altına alınan bir veri işleyişi düzeni oturtulması amaçlanmıştır.

2. Veri Sorumlusu Kimdir?

Kişisel veri sorumlusu, Kişisel Verilerin Korunması Kanunu’nun 3-ı bendinde şu şekilde tanımlanmıştır: “Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.”

Yukarıdaki maddeden anlaşılacağı üzere; veri sorumlusu işletmenin işleyeceği her türlü kişisel verinin işlenme amacı ve araçlarını belirleyen kişidir. Bu kişi veri işlenmesine ilişkin kanuni yükümlülükleri de gözeterek VERBİS’e kayıttan her türlü güncelleme ve bildirime kadar sorumlu olan kişiyi ifade etmektedir. Ayrıca veri sorumlusunun güvenliğin sağlanmasına ilişkin önemli teknik tedbirler de alması gerekmektedir. Veri sorumlusunun alması gereken güvenlik tedbirlerine Kanun’un 12. Maddesinde yer verilmiştir:

Veri güvenliğine ilişkin yükümlülükler

1. Veri sorumlusu;
   • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
   • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
   • Kişisel verilerin muhafazasını sağlamak

Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

3. Veri sorumlusu, kendi kurum veya kuruluşunda bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
4. Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar.
5. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa süre içerisinde ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Görüldüğü üzere, veri sorumlusu kişisel verilerin işlenmesi, saklanması, erişilmesinin önlenmesi ve ifşa halinde Kurula bildirim gibi birçok yasal yükümlülüğe sahiptir. Bu yükümlülüklerden, edinilen verilerin başkasına açıklanmaması gibi bazıları ise veri sorumlusu işten ayrılsa dahi geçerliliğini devam ettirir.

3. VERBİS Kaydı 2026 Güncel Durum

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı, kişisel verileri işleyen yani veri sorumluları olarak nitelendirilen gerçek ve tüzel kişilerin üye olmak zorunda olduğu ve işledikleri verilere ilişkin her türlü bilgiyi aktarmak zorunda oldukları bir sistemdir. 2026 yılı itibari ile yıllık çalışan sayısı 50’den fazla çalışanı olan veya yıllık mali bilançosu 100.000.000 TL ve üzeri olan şirketler VERBİS’e kaydolmak zorundadır. Ayrıca, ana faaliyetleri özel nitelikteki kişisel verileri işlemek olan hukuk büroları, sağlık kuruluşları, dernek ve sendikalar gibi kuruluşların da sisteme kayıt yükümlülüğü bulunmaktadır. Söz konusu şirketler sisteme kayıt başvurusu yapmalıdır ve sisteme kayıt başvurusu yaparken Veri Sorumluları Sicili Hakkında Yönetmeliğin 9. Maddesi uyarınca aşağıdaki bilgiler iletilmelidir:

1. Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkında açıklamalar,
4. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
5. Kanunun 12. Maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
6. Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

Bu bilgiler veri sorumluları tarafından VERBİS’e yüklenmelidir ve bu şekilde kişilerin kayıt yükümlülüğü yerine getirilmiş olur. Bu şekilde şirketlerin işlemiş olduğu veriler yasal olarak sisteme kaydedilir ve şeffaflık sağlanarak denetim sürecinde şirketlerin güvenilirliğini arttırır.

4. VERBİS’ e Kayıt Olmayanlara Uygulanacak Yaptırımlar

Yukarıda hangi kişilerin VERBİS’e kayıt yaptırmaları gerektiğine yer vermiştik. Kanun ve ilgili mevzuat uyarınca kayıt yaptırmakla yükümlü olduğu halde bu sisteme kaydolmayan kişiler hakkında uygulanacak idari yaptırım Kişisel Verileri Koruma Kanunu’nu 18. Maddesi uyarınca şu şekildedir:

1. Aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk Lirasından 100.000 Türk Lirasına kadar,
2. Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında, 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
3. Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
4. Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar,
5. Bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası verilir.

Belirtmek gerekir ki, idari para cezası verileceği gibi suç kapsamına giren fiillerden dolayı ceza da verilebilir. Verilebilecek bu cezaların kanuni kapsamı Kişisel Verileri Koruma Kanunu’nun 17. Maddesinde belirtilmiştir:

1. Kişisel verilere ilişkin suçlar bakımından 5237 Sayılı Türk Ceza Kanunu’nun 130 ila 140. Madde hükümleri uygulanır.

2. Bu kanunun yedinci maddesine aykırı olarak kişisel verileri silmeyen veya anonim hale getirmeyenler 5237 Sayılı kanunun 138. Maddesine göre cezalandırılır.

Anlaşılacağı üzere, VERBİS’e kaydolmayan yükümlülerin sayılan hususlardan ötürü hem idari para cezası ile cezalandırılması hem de haklarında ceza yargılaması yapılması mümkündür. Bu sebeple şirketler KVKK uyum sürecinde mutlaka bir avukat ile hareket ederek hem hukuki hem de operasyonel olarak profesyonel adımlar atmalıdır.

VERBİS’e Kayıt Hakkında Sıkça Sorulan Sorular

1. Kimler VERBİS’e Kayıt Olmalıdır?

Yurt dışında yerleşik olup Türkiye’de veri işleyen veri sorumluları ve Türkiye’de yerleşik olup Kanunda yazılı özellikleri taşıyan veri sorumluları VERBİS’e kaydolmakla yükümlüdür.

2. VERBİS’e Kayıt Zorunluluğu Hangi Kanundan Kaynaklanıyor?

Bu sisteme kayıt zorunluluğu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında düzenlenmiştir. Ayrıca ilgili mevzuatta da bu Kanuna dayanarak düzenlemeler yapılmıştır. Ana kaynağımız KVKK diyebiliriz.

3. Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişiliktir.

4. VERBİS’e Kayıt Olarak KVKK Uyum Yükümlülüğüm Sona Erer Mi?

Hayır. Bu sisteme kaydolmak yerine getirmeniz gereken yükümlülüklerden sadece birisidir. Aydınlatma metinleri, veri güvenliği, verilerin imhası gibi süreçler bir bütün olarak KVKK uyum yükümlülüğünü kapsar.

5. Uyum Ekibinin Oluşturulması

KVKK uyum sürecinde uyum ekibinin oluşturulması, kritik bir öneme sahiptir. Bu ekip insan kaynakları, hukuk, operasyon gibi farklı birimlerin katılımıyla oluşturularak çok yönlü ve etkin bir yönetim süreci planlanmalıdır. Bu ekip; veri envanteri hazırlamadan gerekli idari ve teknik tedbirleri almaya, VERBİS kaydını oluşturup yönetmekten çalışanların farkındalığını arttırma gibi birçok görevi üstlenmektedir. Bu şekilde yasaya ve veri güvenliğine en uygun politikaları takip edip sağlayan bir ekiple KVKK uyum süreci yönetilmiş olur.

Uyum Ekibi Hakkında Sıkça Sorulan Sorular

• KVKK uyum ekibi kaç kişiden oluşmalıdır?

Belirli bir kişi sayısı yoktur. Şirketin büyüklüğüne ve ihtiyaçlarına göre değişebilir. Küçük işletmelerde 1 veya 2 kişi yeterli olabilir; büyük şirketlerde ise daha kalabalık ve disiplinli bir ekip gerekmektedir.

• Veri sorumlusu ile KVKK uyum ekibi aynı kişi midir?

Hayır. Veri sorumlusu işlenecek verilerin yöntemini belirler. KVKK uyum ekibi ise genel olarak KVKK uyumundan sorumlu olan bir destek ekibinden oluşur.

• KVKK uyum ekibi tek seferlik bir projeyle mi çalışır?

Hayır. KVKK uyum süreci tamamlansa da sürekli denetim ve güncelleme gerektirir.

6. Aydınlatma Yükümlülüğünün Yerine Getirilmesi

Aydınlatma yükümlülüğü, sadece uyum sürecinin zorunlu bir yükümlülüğü olarak değil; her türlü veri işleme faaliyetinin meşru olması için gerekli bir unsur olarak görülmelidir. 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 10. Maddesi uyarınca veri sorumlusunun aydınlatma yükümlülüğü şu şekilde sıralanmıştır:

1. Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
2. Veri sorumlusunun ve varsa temsilcisinin kimliği,
3. Kişisel verilerin hangi amaçla işleneceği,
4. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
5.  Kişisel veri toplamanın yöntemi ve hukuki sebebi,
6. 11 inci maddede sayılan diğer hakları,

Konusunda bilgi vermekle yükümlüdür.

Aydınlatma Yükümlülüğü Hakkında Sıkça Sorulan Sorular

1. Aydınlatma hangi aşamada yapılmalıdır?

Aydınlatma, verilerin elde edildiği ve işlenmeye başlandığı sürecin en başında yapılmalıdır.

2. Aydınlatma yükümlülüğü kime aittir?

Aydınlatma yükümlülüğü, veri sorumlusuna aittir.

3. Aydınlatma metninde hangi bilgiler yer almalıdır?

• Veri sorumlusunun kimliği
• Kişisel verilerin işlenme amacı
• Verilerin hangi kişilere aktarılabileceği
• Verilerin hangi amaçla aktarılabileceği
• Veri toplama yöntemi ve hukuki sebebi
• İlgili kişinin hakları

4. Aydınlatma metni nerede yayımlanmalıdır?

• Web siteleri
• Form, sözleşmeler gibi fiziki belgelerde
• Mobil uygulamalarda

7. Veri Envanterinin Oluşturulması

Kişisel Verilerin Korunması Kanunu kapsamında veri envanteri; veri sorumlularının elde ettikleri kişisel verileri işleme faaliyetlerine ilişkin kapsamlı ve doğrulanabilir bir kayıt sistemidir. Veri sorumlularının işledikleri kişisel verilerin veri kategorileri, verilerin işlenme amacı ve hukuki kaynağı, bu verilerin kimlere hangi amaçla aktarılabileceği, verilerin saklanma süreleri ve güvenlik için alınan her türlü tedbir, veri envanterinin içeriğini oluşturmaktadır. KVKK’ya uygun olarak oluşturulan veri envanteri, hem veri elde eden işletmelerin bu verileri güvenli şekilde koruyabilmesi adına hem de yasal olarak yükümlülüklerini yerine getirmek için önemlidir.

Veri Envanteri Hakkında Sıkça Sorulan Sorular

1. Veri envanteri oluşturmak zorunlu mudur?

Kişisel Verilerin Korunması Kanunu uyarınca envanter oluşturmak doğrudan bir zorunluluk olmamakla birlikte; aydınlatma, VERBİS kaydı gibi yerine getirilmesi gereken yükümlülükler için zorunlu bir araçtır. Bu sebeple kanunda açıkça bir zorunluluk yer almasa da uygulamaya bakıldığında zorunlu olduğunu söyleyebiliriz.

2. Veri envanteri sürekli olarak güncellenmeli midir?

Veri envanterinin güncellenmesi için bir süre sıklığı net olarak söyleyemeyiz. Ancak veri paylaşılan kişilerin değişmesi, yeni bir veri işleme durumu gündeme gelmesi gibi durumlarda anlık güncellemeler gerekebilir. Genel olarak 6 ayda veya yılda bir düzenli denetimlerin yapılması değişiklik olmasa bile oluşabilecek ihlallerin önüne geçilebilmesi için gereklidir.

3. Küçük işletmeler için veri envanteri gerekli midir?

Evet. İşletmelerin veri envanteri hazırlanmasında büyüklü önemli değildir. İşlenen kişisel verilerin kayıt altına alınması yasal olarak zorunludur. Sadece küçük işletmelerde bu süreç daha kısa ve sade sürebilir.

4. Veri envanteri denetimler açısından önemli midir?

Evet. Çünkü herhangi bir şikâyet veya inceleme durumunda veri işleme faaliyeti açık ve şüpheden uzak şekilde ortaya konulur. Veri envanteri sayesinde işletmenizin kanuna uygun şekilde veri işlediğini kolay şekilde kanıtlayarak yaptırımlarla karşı karşıya kalma ihtimalinizi azaltmış olursunuz.

8. Kişisel Veri Saklama ve İmha Politikası

Kişisel verilerin saklanması ve imha politikası, Kişisel Verileri Koruma Kurulu tarafından saklama ve imha süreçlerinde yasaya uygun olarak usul ve esasların belirlenmesi için hazırlanmıştır. Bir kurumun edindiği kişisel verileri ne kadarlık bir süreyle, hangi şartlar kapsamında saklayabileceği ve süresi dolduğunda nasıl imha edeceği bu politika ile ele alınmıştır. KVKK yine bu süreçte izlenecek usul ve esaslar bakımından gözetilmelidir.

Öncelikle, kişisel verilerin işlenebilmesi için uyulması için gereken ilkeler olduğu unutulmamalıdır. Bu ilkeler Kanunun 4. Maddesinde belirtilmiştir:

Madde 4-  (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme
•  İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
•  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Kişisel verilerin işlenmesi için uyulması gereken genel ilkelerden sonra, bu verilerin işlenme şartları da aynı Kanunun 5. Maddesinde sayılmıştır:

Madde 5-  (1)Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

1. Kanunlarda açıkça öngörülmesi.
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri     sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

**Görüldüğü üzere, kişisel veriler sadece ilgili kişinin açık rızası alarak işlenebilmektedir ancak Kanun bu duruma bir istisna getirerek bazı şartların var olması halinde kişinin açık rızası aranmadan adı kişisel verileri işlenebilir.

İşlenmesi gereken kişisel verilerin bu hali gerektiren nedenlerin ve amaçların ortadan kalkması halinde, bu veriler silinir, yok edilir veya anonim hale getirilir. Bu hususlar imha yöntemleri olarak nitelendirilir. Bu yöntemlerin usul ve esaslarına Kanunun 7. Maddesinde değinilmiştir:

Madde 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kişisel Verilerin Saklanması ve İmhası Sıkça Sorulan Sorular

1- Kimler bu politikayı yazılı olarak hazırlamak zorunda?

Sicile kayıt yükümlülüğü olan veri sorumlularının tümü hazırlamak zorundadır.

2- İmha işlemleri ne sıklıkla yapılmalıdır?

Bu işlemin sıklığı politikada belirlenir ancak genellikle 6 ayda bir yapılmaktadır.

3- Kişisel verilerin erken silinmesi mümkün müdür?

Evet. İlgili kişinin talebi doğrultusunda yasal olarak saklama yükümlülüğü bulunmuyorsa silinebilir.

4- İmha işlemleri kaydedilir mi?

Evet. Veri sorumlusu imha yöntemini, tarihini ve kapsamını belgeler.

5- Politika hazırlanmazsa ne olur?

Hazırlama yükümlülüğü bulunan kişilerin hazırlamaması halinde idari yaptırımlarla karşılaşmaları mümkündür.