İLME HUKUK BÜROSUHukuka Güven, Geleceğe Adım
İLME HUKUK BÜROSU
Hemen AraRandevu Al
Veri Koruma & KVKK Uzmanı

Yalova KVKK Avukatı: Veri Koruma, Uyum & İdari Para Cezası

6698 sayılı KVKK, kişisel veri işleyen her şirketi denetim altına alır. Doğru uyum projesi, veri ihlali müdahalesi ve idari para cezası itirazları, işletmenizin yasal güvencesini ve itibarını korumak için kritik öneme sahiptir.

20+
Yıl Deneyim
500+
Başarılı Dava
4.9
Google Puan

Yalova'daki sanayi tesisleri, turizm işletmeleri, sağlık kuruluşları ve dijital ticaret platformları kişisel veri işlerken 6698 sayılı KVKK'nın tüm yükümlülüklerine tabidir. İLME HUKUK BÜROSU, mühendislik kökenli teknik bakışıyla işletmelerin KVKK uyumunu hem hukuki hem teknik yönüyle bütüncül olarak yönetir.

KVKK Hukuku Hizmetlerimiz

Uyum projesinden veri ihlali kriz yönetimine kadar tüm spektrumda.

KVKK Uyum Danışmanlığı

Şirketler için kapsamlı veri koruma uyum projesi

  • Mevcut durum analizi
  • Politika hazırlığı
  • VERBİS kaydı

Aydınlatma & Açık Rıza

KVKK m.10-11 uyumlu metin hazırlığı ve denetim

  • Aydınlatma metni
  • Açık rıza beyanı
  • Çerez politikası

Veri İhlali Yönetimi

72 saat bildirim, kriz iletişimi ve hukuki süreç

  • Kurul'a bildirim
  • İlgili kişi bilgilendirmesi
  • Kök neden analizi

İdari Para Cezası İtirazı

KVKK Kurul kararlarına karşı idari yargı süreci

  • Kurul kararı itirazı
  • İdare Mahkemesi davası
  • Yürütmenin durdurulması

İlgili Kişi Başvuruları

KVKK m.13 başvuru süreçleri ve cevap yönetimi

  • 30 gün cevap süresi
  • Kurul'a şikayet
  • Tazminat hakkı

Yurt Dışı Veri Aktarımı

Açık rıza, BCR, taahhütname ve standart sözleşme

  • BCR onayı
  • Standart sözleşme
  • Yeterli koruma değerlendirmesi

KVKK'nın Temel Kavramları

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016'da yürürlüğe girmiş olup kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsam altına alır. Kanun, AB Genel Veri Koruma Tüzüğü (GDPR) ile büyük ölçüde paralel ilkeler üzerine kurulmuştur.

Anahtar Tanımlar

  • Kişisel Veri: Belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (isim, TC kimlik, telefon, IP, çerez vb.)
  • Özel Nitelikli Kişisel Veri: Irk, sağlık, din, mezhep, üyelik, biyometrik veri gibi hassas kategoriler
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek/tüzel kişi
  • Veri İşleyen: Veri sorumlusu adına veri işleyen kişi (örn. bulut sağlayıcı)
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişi
  • İşleme: Toplama, kaydetme, sınıflama, kullanma, açıklama, aktarma, silme dahil her türlü işlem

KVKK Uyum Projesi

Bir KVKK uyum projesi, şirketin tüm veri işleme faaliyetlerinin haritalanması ve yasaya uygun hale getirilmesi sürecini ifade eder. Sektörel ve ölçeksel farklılıklara rağmen tipik uyum projesi aşamaları:

Uyum Projesi Aşamaları:

  1. Mevcut Durum Analizi: Veri akış haritası, işleme amaçları, hukuki dayanaklar
  2. Risk Değerlendirmesi: Açık ve gizli risklerin tespiti, etki analizi
  3. Politika Hazırlığı: Veri saklama ve imha politikası, açık rıza prosedürü
  4. Aydınlatma Metinleri: Müşteri, çalışan, ziyaretçi, web sitesi ayrı metinler
  5. Veri Güvenliği Önlemleri: Teknik (şifreleme, yetkilendirme) + İdari (eğitim, gizlilik sözleşmesi)
  6. VERBİS Kaydı: Eşik karşılayan veri sorumluları için
  7. Çalışan Eğitimi: Yetkili personele rol bazlı eğitim
  8. Denetim ve İzleme: Periyodik iç denetim ve uyum izleme

Uyum projesinin tamamlanması, idari para cezası riskini düşürmenin yanı sıra; veri ihlali anında 72 saatlik kritik müdahale süresinde hazırlıklı olunmasını sağlar.

Aydınlatma ve Açık Rıza

KVKK'nın en sık karıştırılan iki kavramı aydınlatma ve açık rızadır. Aydınlatma(m.10) her veri işleme faaliyetinde zorunludur; açık rıza (m.5/1) ise sadece diğer hukuki dayanakların bulunmadığı durumlarda gerekir.

Aydınlatma Metninde Bulunması Gerekenler

  • Veri sorumlusunun kimliği (tam unvan, adres, iletişim)
  • Kişisel veri işleme amacı
  • Verilerin kim olduğu (paydaş kategorisi) ve hangi amaçla aktarılacağı
  • Veri toplama yöntemi ve hukuki sebebi
  • İlgili kişinin m.11 kapsamındaki hakları

Açık Rıza Şartları

Açık rıza; (1) belirli bir konuya ilişkin olmalı, (2) bilgilendirmeye dayanmalı, (3) özgür iradeyle verilmiş olmalı, (4) tereddütsüz açıklanmış olmalıdır. Önceden hazırlanmış kutuya tik koyma (opt-out) açık rıza sayılmaz; aktif onay (opt-in) şarttır. Çalışan-işveren gibi güç dengesizliği bulunan ilişkilerde açık rıza geçerli sayılmaz.

Veri İhlali ve 72 Saat Kuralı

Kişisel veri ihlali; bir veri tabanına yetkisiz erişim, veri kaybı, çalınması veya hatalı paylaşımı kapsar. Phishing saldırısı, ransomware, sosyal mühendislik veya çalışanın hata yapması en yaygın ihlal kaynaklarıdır.

İhlal Müdahale Adımları

  1. Tespit ve Kontrol: Etkilenen veri kategorileri ve kişi sayısının belirlenmesi
  2. Kök Neden Analizi: Teknik adli incelemeyle ihlal kaynağı tespiti
  3. Düzeltici Aksiyon: Sistem yamalama, parola sıfırlama, erişim kısıtlama
  4. Kurul Bildirimi: 72 saat içinde verbis.kvkk.gov.tr üzerinden bildirim
  5. İlgili Kişilere Bildirim: Yüksek risk varsa doğrudan veya basın yoluyla
  6. Belgelendirme: Tüm sürecin yazılı kayda alınması (Kurul denetimi için)

Bildirim zamanında yapılmazsa veya hiç yapılmazsa, ihlalin kendisinden ayrı bir idari para cezası gündeme gelir. KVKK Kurul kararlarında, bildirim yükümlülüğüne aykırı davranan veri sorumlularına ihlal türüne ek olarak ayrıca yüksek tutarda ceza uygulanmıştır.

Kurul Kararları ve Para Cezası İtirazı

KVKK Kurul, idari yaptırım niteliğindeki kararlarını yıllık olarak yayımlar. Cezaların ortalaması artmaktadır; özellikle veri güvenliği eksikliği ve veri ihlali bildirimine aykırılık konularında milyon TL'lik kararlar gündemdedir.

İdari Yargı Yolu

Kurul kararına karşı, tebliğden itibaren 60 gün içinde İdare Mahkemesi'nde iptal davası açılabilir. Davayla birlikte yürütmenin durdurulması talep edilmesi kritiktir; kabul edilirse para cezası ödenmez. İptal davasında değerlendirilen başlıca argümanlar:

  • Kurul kararının somut delillere dayanıp dayanmaması
  • Hukuki dayanak (m.5, m.6) yorumlamasındaki hatalar
  • Ceza miktarının orantılılığı
  • Soruşturma sürecindeki usul ihlalleri
  • Aynı eylem için mükerrer ceza

Yargı içtihatlarında Kurul kararlarının önemli bir kısmı iptal veya tutar indirimi ile sonuçlanmıştır. Bu nedenle Kurul cezasını otomatik ödememek; öncelikle hukuki itiraz yolunu değerlendirmek profesyonel yaklaşımdır.

İlgili Kişi Hakları ve Tazminat

KVKK m.11 ilgili kişiye geniş haklar tanır: kişisel verilerin işlenip işlenmediğini öğrenme, işleme amacını öğrenme, yurt içi/yurt dışı aktarım bilgisi alma, düzeltme talep etme, silme/yok etme talep etme, otomatik karara itiraz etme ve hukuka aykırı işlemeden doğan zararın tazminini talep etme.

M.13 Başvuru ve Cevap Süresi

İlgili kişi, KVKK m.13 uyarınca veri sorumlusuna yazılı veya elektronik olarak başvurabilir. Veri sorumlusunun en geç 30 gün içindebaşvuruya cevap vermesi zorunludur. Süre içinde cevap verilmemesi veya yetersiz cevap, Kurul'a şikayet yolunun açılmasına neden olur ve idari para cezası riski doğurur.

Tazminat Davası

KVKK m.14 hükmü uyarınca, kişisel verisi hukuka aykırı işlenen kişi maddi ve manevi tazminat talep edebilir. Bu dava, idari para cezasından ayrı bir yargı yolu olup Asliye Hukuk Mahkemesi'nde görülür. Etkilenen kişi sayısı yüksekse toplu dava açılabilir.

Neden Uzman KVKK Avukatı?

KVKK, hukukla teknolojinin kesişiminde duran ve sürekli evrilen bir alandır. Sadece kanun metni okumak yeterli değildir; Kurul kararları, GDPR uyumlaştırma kararları ve mahkeme içtihatları ile dinamik olarak şekillenir. Mühendislik kökenli teknik anlayış, bu alanda önemli bir avantajdır.

İLME HUKUK BÜROSU, hukuk + teknik bakış açısıyla KVKK uyum projelerinden veri ihlali kriz yönetimine, Kurul kararı itirazlarından tazminat davalarına kadar tüm spektrumda 20+ yıllık tecrübeyle müvekkillerini temsil eder. Yalova'daki KOBİ, üretim tesisi, otel ve dijital ticaret işletmeleri için ölçeklenebilir uyum çözümleri sunulmaktadır.

Sık Sorulan Sorular

KVKK kapsamında işletmem hangi yükümlülüklere tabidir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel veri işleyen tüm gerçek ve tüzel kişileri (veri sorumlusu) kapsam altına alır. Temel yükümlülükler: (1) VERBİS'e kayıt (belirlenen kriterleri karşılayan veri sorumluları için), (2) Aydınlatma yükümlülüğü (KVKK m.10), (3) Açık rıza alma (özel nitelikli veriler ve özel hallerde), (4) Veri güvenliği önlemleri (m.12), (5) Veri ihlalinde 72 saat içinde Kurul bildirimi, (6) İlgili kişi başvurularına 30 gün içinde cevap, (7) Saklama ve imha politikası. Sektör ve veri hacmine göre bu yükümlülüklerin uygulanması farklılık gösterir.

VERBİS'e kayıt olmak zorunlu mu, hangi şirketler kayıt yaptırmalı?

Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) kayıt zorunluluğu, KVKK Kurul'un belirlediği eşik kriterlerine bağlıdır. 2024 itibarıyla yıllık net cirosu 100 milyon TL'yi veya bilanço toplamı 100 milyon TL'yi geçen yurt içi tüzel kişiler ile yıllık çalışan sayısı 50 ve üzerindeki şirketler kayıt zorunluluğu kapsamındadır. Ayrıca sağlık, finans, eğitim sektörü gibi bazı özel alanlarda eşik düşürülmüştür. Kayıt yükümlülüğüne aykırılık ciddi idari para cezasına tabidir; mevcut Kurul kararlarında bu cezalar milyon TL'leri bulabilmektedir.

Veri ihlali yaşandığında ne yapmalıyım?

KVKK m.12/5 hükmü uyarınca veri sorumlusu, veri ihlalinin gerçekleştiği öğrendikten itibaren <strong>en kısa sürede (kural olarak 72 saat içinde)</strong> KVKK Kurulu&apos;na bildirim yapmak zorundadır. Yüksek risk içeren ihlallerde ayrıca ilgili kişilere de doğrudan bildirim yapılması gerekir. Yapılması gerekenler sırasıyla: (1) İhlalin tespit ve dokümantasyonu, (2) Kök neden analizi ve düzeltici aksiyon, (3) Kurul bildirimi (verbis.kvkk.gov.tr), (4) Etkilenen kişilere bildirim, (5) Sistem güvenliğinin yeniden sağlanması. Bildirimin zamanında yapılmaması, ihlalin kendisinden ayrı bir idari para cezası nedenidir.

KVKK Kurul'undan idari para cezası aldım, ne yapabilirim?

KVKK Kurul kararlarına karşı, kararın tebliğinden itibaren <strong>60 gün içinde</strong> idare mahkemesinde iptal davası açabilirsiniz. Yetkili mahkeme, kararın muhatabının yerleşim yerine veya işyerinin bulunduğu yer İdare Mahkemesi&apos;dir. İptal davasında genellikle yürütmenin durdurulması talep edilir; mahkeme kabul ederse karara konu para cezası ödenmez. Kurul kararının hukuka uygunluk denetiminde; usul eksikleri, somut delillerin yetersizliği, orantısız ceza miktarı gibi argümanlar incelenir. Kurul kararlarının önemli bir kısmı yargıda iptal veya tutar indirimi ile sonuçlanmaktadır.

Aydınlatma metni ile açık rıza arasındaki fark nedir?

Aydınlatma metni (KVKK m.10), kişisel veri işlenirken ilgili kişiye verilen <strong>bilgilendirme</strong>dir; her veri işlemede zorunludur, rıza şartı değildir. Açık rıza (KVKK m.5/1) ise belirli, tereddütsüz ve özgür iradeyle verilen <strong>hukuki dayanak</strong>tır; sadece m.5/2 ve m.6 kapsamındaki diğer veri işleme şartlarının bulunmadığı durumlarda gerekir. Sözleşmenin ifası için zorunlu veri işleme, hukuki yükümlülük gereği veri işleme veya meşru menfaat dayanağında açık rıza gerekmez; ancak aydınlatma yine zorunludur. Bu ayrımı yanlış uygulamak en sık görülen KVKK ihlali nedenidir.

KVKK ile GDPR (Avrupa Birliği) arasında ne gibi farklar var?

KVKK ve GDPR temel olarak benzer prensipleri paylaşır (aydınlatma, açık rıza, veri güvenliği, ihlal bildirimi). Ancak önemli farklar mevcuttur: (1) GDPR yeterli koruma bulduğunda yurt dışı aktarımı serbestleştirir; KVKK için Kurul onayı veya taahhütname gerekir, (2) GDPR'da idari para cezası maksimum 20 milyon Euro veya cirosunun %4'ü kadarken KVKK'da nispi para cezası uygulanır, (3) GDPR'da &quot;tek mağdur kavramı&quot; yokken KVKK'da ilgili kişi başvuruları öne çıkar, (4) Veri Koruma Görevlisi (DPO) zorunluluğu GDPR'da daha geniş kapsamlıdır. Yurt dışına veri aktaran Türk şirketleri her iki rejime de uyum sağlamak zorundadır.

Çalışanlarımdan açık rıza alarak özlük dosyalarını saklayabilir miyim?

Hayır, çalışan açık rızası iş hukukundan kaynaklanan veri işlemeler için <strong>uygun hukuki dayanak değildir</strong>. KVKK Kurul yerleşik kararlarına göre işveren-işçi ilişkisindeki güç dengesizliği nedeniyle açık rıza özgür iradeye dayanmaz sayılır. Çalışan özlük dosyası, bordro, performans değerlendirme gibi veriler m.5/2 kapsamında &quot;sözleşmenin kurulması/ifası&quot; veya &quot;hukuki yükümlülük&quot; (4857 sayılı İş Kanunu, SGK mevzuatı) dayanaklarıyla işlenir. Sağlık raporu, biyometrik veri gibi özel nitelikli verilerde ayrıca m.6 kapsamında işleme şartları aranır.

CCTV (güvenlik kamerası) kayıtları için KVKK'ya uyum nasıl sağlanır?

Güvenlik kamerası kayıtları kişisel veri niteliğindedir ve KVKK'ya tabidir. Uyum şartları: (1) Görünür ve net aydınlatma tabelası (kamera ve veri sorumlusu bilgisi), (2) Saklama süresinin belirlenmesi (genellikle 30-90 gün), (3) Kayıtlara erişim yetkisinin sınırlandırılması, (4) Hassas alanlarda (tuvalet, soyunma odası) kamera yasağı, (5) İhlal halinde 72 saat bildirim hazırlığı. KVKK Kurul, gerekçesiz uzun süreli kayıt saklayan veya aydınlatmasız çalıştıran işletmelere idari para cezası uygulamıştır. Yalova'daki AVM, fabrika ve kamuya açık iş yerleri için bu kurallar özellikle önemlidir.

Müşterimin verilerini iş ortağıma aktarabilir miyim?

Veri aktarımı KVKK m.8 (yurt içi) ve m.9 (yurt dışı) kapsamında özel kurallara tabidir. Yurt içi aktarım için: (1) İlgili kişinin açık rızası, veya (2) M.5/2 ve m.6'da öngörülen şartlardan birinin varlığı şarttır. Sözleşmeden kaynaklı zorunluluk, hukuki yükümlülük veya meşru menfaat dayanaklarıyla aktarım yapılabilir; ancak aktarım yapılan tarafın da KVKK'ya uyum sağlaması gerekir. Aktarımın aydınlatma metninde belirtilmesi, aktarılan veri kategorileri ile alıcı kategorilerinin saydam şekilde gösterilmesi şarttır.

Yalova'da KVKK davaları hangi mahkemede görülür?

KVKK Kurul kararlarına karşı açılan iptal davaları idari yargı yolunda, kararın muhatabının yerleşim yerinde veya işyerinin bulunduğu yerdeki İdare Mahkemesi'nde görülür. Yalova'da bu davalar Yalova İdare Mahkemesi yetkisindedir (Bursa Bölge İdare Mahkemesi yargı çevresinde). KVKK m.14 kapsamındaki tazminat davaları ise ilgili kişinin yerleşim yeri veya veri sorumlusunun yerleşim yeri Asliye Hukuk Mahkemesi'nde görülebilir. Veri ihlalinden kaynaklı manevi tazminat talepleri zaten genel hükümlere tabidir.

KVKK'ya aykırı veri işlemeden manevi tazminat talep edebilir miyim?

Evet. KVKK m.14 hükmü uyarınca kişisel verileri hukuka aykırı işlenen kişi, uğradığı zararın tazminini talep etme hakkına sahiptir. Bu kapsamda hem maddi (somut zarar - örn. itibar kaybı sonrası iş kaybı) hem manevi tazminat istenebilir. Manevi tazminat tutarı; ihlalin niteliği, etkilenen kişi sayısı, veri sorumlusunun kusur derecesi ve süreklilik dikkate alınarak hâkim tarafından takdir edilir. Tazminat davası, idari para cezasından ayrı bir yargı yoludur ve birlikte talep edilebilir.

Yalova'da KVKK avukatı ücretleri ne kadar?

KVKK dosyalarında avukatlık ücretleri, Türkiye Barolar Birliği'nin yayınladığı Avukatlık Asgari Ücret Tarifesi (AAÜT) alt sınırının altına inilemez. Ücretlendirme; danışmanlık konusuna (uyum projesi, veri ihlali müdahalesi, Kurul karar itirazı), şirket büyüklüğüne, dosya yoğunluğuna ve veri işleme faaliyetlerinin karmaşıklığına göre belirlenir. Aylık retainer (sürekli hukuki danışman) modeli, özellikle veri işleyen orta-büyük ölçekli şirketler için uygun olabilir; bu durumda kapsam ve süre sözleşmede net olarak belirlenir. Somut ücret bilgisi için ofisimizle iletişime geçebilirsiniz.

KVKK Uyumu için Bütüncül Hukuki Destek

Yalova'daki işletmeniz için KVKK uyum projesi, veri ihlali müdahalesi veya Kurul karar itirazı için uzman ekibimizle iletişime geçin.

Süleyman Bey Mah. Arabacılar Sok. 55/1-2, Yalova Merkez