KVKK Avukatı Nedir?

KVKK avukatı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) alanında uzmanlaşmış, kişisel veri koruma hukuku konusunda derin bilgi ve deneyime sahip avukatı ifade eder. Bu uzmanlık dalı, bireylerin kişisel verilerinin işlenmesi ve korunması ile ilgili hukuki düzenlemeler çerçevesinde ortaya çıkmıştır. KVKK avukatları, müvekkillerinin kişisel verilerinin güvenliği ve mahremiyetinin sağlanması için danışmanlık ve temsil hizmeti sunar. Özellikle dijital çağda artan veri işleme faaliyetleri ve sıklaşan veri ihlalleri, KVKK avukatının önemini günden güne artırmaktadır. Kişisel verilerin korunması hukuku, yalnızca bireylerin mahremiyetini korumakla kalmaz; aynı zamanda veri işleyen kurum ve kuruluşlara da belirli yükümlülükler getirirbilalalyar.av.tr. Bu nedenle, KVKK avukatı hem bireylerin haklarını savunan hem de şirketlerin yasal yükümlülüklerini yerine getirmesine yardımcı olan bir rehber konumundadır.

KVKK avukatları, kişisel veri koruma mevzuatının tüm detaylarına hakimdir. Türkiye’de 2016 yılında yürürlüğe giren KVKK, temel olarak kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı amaçlarbilalalyar.av.tr. Bu alanda çalışan avukatlar, kanunun getirdiği prensipler ve kurallar doğrultusunda bireylerin ve kurumların hukuki güvenliğini sağlar. Özellikle İstanbul ve Marmara Bölgesi gibi ticari faaliyetlerin yoğun olduğu bölgelerde, KVKK danışmanlığı ve avukatlık hizmetlerine talep yüksektir. Zira birçok şirket, müşteri ve çalışanlarına ait büyük ölçekli kişisel veriler işlemekte; bu verilerin hukuka uygun yönetimi için KVKK konusunda uzman bir avukatın desteğine ihtiyaç duymaktadır.

Resmi ve akademik bir bakış açısıyla, KVKK avukatının temel rolü üç ana eksende toplanabilir: birincisi önleyici hukuk hizmetleri (uyumluluk denetimleri, eğitimler, veri işleme envanteri oluşturma gibi); ikincisi danışmanlık hizmetleri (aydınlatma metinleri ve açık rıza beyanları hazırlama, sözleşmelerin KVKK’ya uygun hale getirilmesi vb.) ve üçüncüsü uyuşmazlık çözümü ve temsil (Kişisel Verileri Koruma Kurumu nezdindeki süreçlerde savunma sunma, veri ihlali durumlarında hukuki süreçleri yürütme, mahkemelerde dava açma veya takip etme). KVKK avukatı, tüm bu alanlarda uzmanlaşarak müvekkillerinin hem yasal risklerini en aza indirmeyi hem de olası ihlallerde etkin bir hukuki koruma sağlamayı hedefler.

Kişisel Verilerin Korunması Kanunu’nun Arka Planı

Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı kanundur ve Türkiye’de kişisel verilerin korunmasına ilişkin ilk kapsamlı yasal düzenlemeyi oluşturur. Bu kanun, kişisel verilerin işlenmesinde bireylerin özel hayatının gizliliğini ve temel haklarını korumayı amaçlamaktadırbilalalyar.av.trbilalalyar.av.tr. KVKK’nın hazırlanmasında, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) başta olmak üzere uluslararası standartlar etkili olmuş; Türkiye, küresel veri koruma normlarıyla uyumlu bir mevzuat oluşturma yoluna gitmiştirbilalalyar.av.tr. Nitekim Anayasa’nın 20. maddesine 2010 yılında eklenen hükümle, herkesin kendisiyle ilgili kişisel verilerin korunmasını talep etme hakkı açıkça tanınmış ve bu hakkın esasları kanunla düzenlenmek üzere Anayasal güvence altına alınmıştır. KVKK, işte bu anayasal güvenceyi hayata geçiren temel yasal düzenlemedir.

KVKK’nın amaç ve kapsamı, Kanun’un 1. ve 2. maddelerinde ortaya konulmuştur. Kanun’un amacı, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini, özellikle özel hayatın gizliliğini korumak ve veri işleyen gerçek ve tüzel kişilerin uyacağı usul ve esasları düzenlemektir. Kapsam itibarıyla KVKK; kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik yollarla işleyen ya da verileri bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işleyen tüm gerçek ve tüzel kişileri kapsar. Bu kapsam, kamu kurum ve kuruluşları dâhil olmak üzere çok geniş tutulmuşturbilalalyar.av.tr. Dolayısıyla, ister özel sektörde olsun ister kamuda, kişisel veri işleyen her birim KVKK’ya uygun hareket etmekle yükümlüdür.

KVKK, Avrupa Konseyi’nin 108 No’lu Sözleşmesi (Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi) ve GDPR gibi uluslararası metinlerle uyumlu bir çerçeve sunmayı hedeflerbilalalyar.av.tr. Bu nedenle kanun; hukuka uygunluk, dürüstlük, doğruluk, amaçla bağlantılılık, ölçülülük ve gereklilik gibi evrensel veri koruma ilkelerini içermektedir.

Kişisel verilerin korunması hakkı, Anayasa Mahkemesi’nin ifadesiyle, kişinin insan onurunun korunmasının bir parçasıdır ve bireyin hak ve özgürlüklerini veri işleme faaliyetleri sırasında korumayı amaçlaranayasa.gov.tr. Devlet, bu hakka yönelik pozitif yükümlülükleri gereği, kişisel verilerin hukuka aykırı şekilde elde edilmesini, kullanılmasını ve ifşa edilmesini önleyici tedbirleri almak durumundadıranayasa.gov.tr. KVKK da bu kapsamda, idareye ve özel sektöre düşen ödevleri detaylandırarak, kişisel verilerin korunmasını etkin kılmayı sağlamaktadır.

KVKK’nın Temel İlkeleri ve Kapsamı

Kanunun 4. maddesinde, kişisel verilerin işlenmesinde uyulacak temel ilkeler belirtilmiştir. Bu ilkeler uyarınca, kişisel veriler hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel şekilde işlenmelidir. İşleme faaliyetleri belirli, açık ve meşru amaçlar için olmalı; bu amaçlarla bağlantılı, sınırlı ve ölçülü olmalıdır. Ayrıca veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu ilkeler, veri sorumlularının her türlü veri işleme faaliyetinde göz önünde bulundurması gereken evrensel prensiplerdir.

Kanun kapsamındaki kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ederbilalalyar.av.trbilalalyar.av.tr. Bir bireyin adı, soyadı, T.C. kimlik numarası, iletişim bilgileri gibi onu tanımlayan temel bilgiler kişisel veri sayılırken; sağlık verileri, genetik bilgiler, etnik köken, siyasi düşünce, inanç, ceza mahkûmiyeti kayıtları gibi daha hassas bilgiler de kişisel veri kapsamına girer. KVKK, sadece yaşayan gerçek kişilere ait verileri korur; tüzel kişilere ait veriler kanun kapsamında değildir. Bununla birlikte, bir gerçek kişiyle ilişkilendirilebilen her türlü bilgi – örneğin araç plakası (bir kişiye aitse) veya IP adresi (bir kullanıcıyı tanımlıyorsa) – kanun kapsamında kişisel veri olarak değerlendirilebilir.

KVKK kapsamında ayrıca özel nitelikli kişisel veriler ayrı bir kategori olarak tanımlanmıştır. Özel nitelikli kişisel veriler, bireylerin hassas niteliğe sahip bilgileri olup, ifşası veya hukuka aykırı işlenmesi halinde ilgili kişinin ayrımcılığa maruz kalmasına veya mağduriyetine yol açabilecek verilerdir. Kanunun 6. maddesi, özel nitelikli veriler olarak ırk veya etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek/vakıf sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri saymaktadır.

Bu veriler diğer kişisel verilere göre çok daha sıkı korunur ve işlenmeleri için kanunda öngörülen istisnalar dışında mutlaka ilgili kişinin açık rızasının alınması gerekirbilalalyar.av.trbilalalyar.av.tr. Örneğin bir kişinin sağlık verisi, ancak kanunun izin verdiği hallerde (ilgili kişinin rızası veya kamu sağlığı için zorunlu durumlar gibi) ve gerekli güvenlik tedbirleri alınarak işlenebilir.

KVKK’nın getirdiği yükümlülükler, veri sorumlusu ve veri işleyen konumundaki tüm gerçek ve tüzel kişiler için bağlayıcıdır. Kanunun 3. maddesine göre, veri sorumlusu kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve verilerin sistematik kaydını tutan gerçek veya tüzel kişidir.

Örneğin bir şirkette şirketin kendisi (ya da tüzel kişiliği temsilen yönetim organı) veri sorumlusu sayılır; bir hastanede ise hastane işletmesi veri sorumlusudur. Veri işleyen ise veri sorumlusundan aldığı yetkiyle onun adına veri işleyen gerçek veya tüzel kişi olarak tanımlanır (örneğin, bir şirket adına bordro hizmeti sunan dış bir firma, şirketin tuttuğu çalışan verilerini işlediği için veri işleyen konumundadır). KVKK hükümleri, ağırlıklı olarak veri sorumlularının yükümlülüklerini düzenlerken, veri işleyenlerin de veri güvenliği gibi hususlarda sorumluluklarını belirtmektedir.

Kanun sadece özel sektör kuruluşlarını değil, kamu kurum ve kuruluşlarını da kapsarbilalalyar.av.tr. Yani devlet daireleri, belediyeler, kamu iktisadi teşebbüsleri gibi kamu tüzel kişileri de KVKK’ya uymak zorundadır.

Bununla birlikte, kanunun 28. maddesinde bazı istisnalar tanımlanmıştır: Kişisel verilerin milli savunma, milli güvenlik, kamu düzeni, güvenliği ve ekonomisi alanlarında istihbarat faaliyetleri kapsamında işlenmesi; sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi; anonim hâle getirilmek kaydıyla araştırma, planlama, istatistik gibi amaçlarla işlenmesi; ve yargı mercilerinin veya icra makamlarının faaliyetleri kapsamında işlenmesi gibi durumlarda kanunun belirli hükümleri uygulanmayabilir. Ancak bu istisnaların yorumu dar tutulmalı ve her somut olay bazında değerlendirilmelidir.

Kişisel Veri İşleme Şartları ve Açık Rıza

KVKK, kişisel veri işlemenin genel kural olarak ilgili kişinin açık rızasına tabi olduğunu belirtir (KVKK m.5/1). Açık rıza, veri sahibinin (ilgili kişinin) kendi kişisel verisinin belirli bir amaçla işlenmesine gönüllü ve bilgilendirilmiş olarak onay vermesidir. Bununla birlikte, kanunda açık rıza aranmaksızın kişisel verilerin işlenebileceği istisnai haller de sayılmıştırkisiselverilerinkorunmasi.orgkisiselverilerinkorunmasi.org. KVKK m.5/2’ye göre aşağıdaki durumlarda, ilgili kişinin rızası olmasa bile veri işleme hukuka uygun kabul edilir:

• Kanunlarda açıkça öngörülmüş olması: Eğer özel bir kanun hükmü belli verilerin işlenmesine izin veriyor veya bunu zorunlu kılıyorsa, ayrıca rıza almaya gerek olmaksızın veri işlenebilir. Örneğin, bir bankanın müşterinin kimlik bilgilerini Kara Para Aklamanın Önlenmesi Kanunu gereği kaydetmesi yasal bir zorunluluktur.
• Fiili imkânsızlık nedeniyle rıza veremeyen kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Örneğin, baygın halde hastaneye getirilen bir hastanın kimlik veya sağlık bilgileri, rızası alınamadığı için tedavi amacıyla doktorlar tarafından işlenebilir.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Sözleşmenin taraflarına ait kişisel verilerin, sözleşmenin gereklerini yerine getirmek için işlenmesi bu kapsamdadır. Örneğin bir satış sözleşmesi yapıldığında, teslimat için alıcının adres bilgisinin kullanılması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması: Kanunların veri sorumlularına yüklediği bir ödev kapsamında veri işleniyorsa rıza aranmaksızın işlenebilir. Örneğin iş kanunları gereği çalışanlara ait özlük bilgilerini işverenin tutması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması: Bir kişi kendi kişisel verisini kamuoyuna kendisi açıklamışsa, bu veri belirli sınırlar içinde rıza aranmadan işlenebilir. Örneğin bir sanatçının kendi doğum tarihini sosyal medyada paylaşması halinde, bu bilgi bazı biyografi sitelerinde kullanılabilir.
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: Hukuki bir iddianın ileri sürülmesi veya savunulması için gerekli veriler, ilgili kişinin rızası olmasa da işlenebilir. Örneğin, bir dava süreçinde delil olarak bir şahsın iletişim kayıtlarının mahkemeye sunulması.
• Veri sorumlusunun meşru menfaati için zorunlu olması (temel hak ve özgürlüklere zarar vermemek kaydıyla): Bu bent, GDPR’daki meşru menfaat dengesine benzer biçimde, veri sorumlusunun haklı ve meşru bir menfaatinin bulunduğu durumlarda, ilgili kişinin temel haklarına zarar vermemek şartıyla, rıza olmadan veri işlenebileceğini öngörür. Örneğin, bir şirketin kendi bina ve tesislerinde güvenlik kameralarıyla izleme yapması meşru güvenlik menfaatine dayanabilir; ancak bu, ziyaretçilerin mahremiyetini aşırı şekilde ihlal etmemelidir.

Yukarıda sayılan şartlardan en az birine dayanmayan her türlü veri işleme faaliyeti hukuka aykırı olacaktır. Açık rıza ise özellikle pazarlama, profilleme veya kanunda sayılmayan diğer veri işleme durumlarında temel dayanak olarak önemini korur. KVKK avukatları, müvekkillerine bu istisnaları doğru uygulama ve gerektiğinde açık rıza mekanizmalarını etkin kullanma konusunda yol gösterir.

Örneğin bir e-ticaret firması için KVKK avukatı, müşterilerden hangi durumlarda rıza alınması gerektiğini, rıza metinlerinin nasıl olması gerektiğini ve istisna halleri doğru tespit ederek gereksiz yere rıza toplamaktan kaçınmanın yollarını belirler. Bu sayede hem mevzuata uyum sağlanır hem de iş süreçleri verimli kılınır.

Özel nitelikli kişisel veriler bakımından ise KVKK m.6 ek kısıtlamalar getirmektedir. Bu tür hassas veriler, kural olarak ilgili kişinin açık rızası olmaksızın işlenemez. Ancak kanun bu kuralın da bazı istisnalarını saymıştır: Sağlık ve cinsel hayat dışındaki özel nitelikli veriler, kanunlarda öngörülen hallerde (örneğin adli sicil kayıtlarının belirli durumlarda işlenmesi) rıza olmadan işlenebilir. Sağlık verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı gibi amaçlarla ve sır saklama yükümlülüğü altındaki kişiler tarafından, yine ilgili kişinin rızası aranmaksızın işlenebilir.

Bu sayılan durumlar dışında, özel nitelikli verilerin işlenmesi mutlaka sıkı şartlara tabidir. Ayrıca KVKK Kurulu’nun belirlediği yeterli önlemler alınmaksızın özel nitelikli veri işlenmesi yasaktır (örneğin sağlık verisi işleyecek bir kuruluşun, Veri Sorumluları Siciline belirli prosedürleri yerine getirerek kayıt olması ve veri güvenliği konusunda ilave tedbirler alması gerekmektedir).

İlgili Kişinin Hakları (Veri Sahibi Hakları)

KVKK, veri sahibi olan ilgili kişilere geniş kapsamlı haklar tanımıştır. Kanunun 11. maddesinde sayılan ilgili kişinin hakları şunlardır:

(i) Kişisel verisinin işlenip işlenmediğini öğrenme,

(ii) işlenmişse buna ilişkin bilgi talep etme,

(iii) verinin işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,

(iv) yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, (v) kişisel veriler eksik veya yanlış işlenmişse bunların düzeltilmesini isteme,

(vi) ilgili mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebepler ortadan kalktığında kişisel verilerin silinmesini veya yok edilmesini isteme, (vii) düzeltme veya silme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(viii) işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve

(ix) kişisel verilerin kanuna aykırı işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkıbilalalyar.av.trbilalalyar.av.tr. Bu haklar, bireylerin kendi verileri üzerinde kontrolünü sağlama amacının bir parçasıdır.

Bir KVKK avukatı, müvekkili konumundaki ilgili kişilerin haklarını etkin bir şekilde kullanabilmesi için onlara yol gösterir. Örneğin, müvekkilinin bir şirketteki kişisel verilerini öğrenmek veya sildirmek istemesi durumunda, avukat ilgili kuruluşa KVKK madde 11 kapsamında başvuru yapılmasını sağlar ve gerekirse süreci takip eder. Aynı şekilde bir veri ihlali neticesinde zarar gören birey, uğradığı zararın giderilmesi için hem Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilir hem de yargı yoluna başvurabilir; bu süreçlerde KVKK avukatının rolü, teknik ve hukuki bilgi birikimiyle müvekkilin hakkını aramasını kolaylaştırmaktır.

Diğer yandan, şirketler açısından bakıldığında, veri sahiplerinin haklarına saygı göstermek ve gelen başvuruları kanunda öngörülen sürelerde (genellikle 30 gün içinde) yanıtlamak önemli bir yükümlülüktür. KVKK avukatları, kurumlara bu başvuruların yönetimi konusunda da danışmanlık verir; başvuru cevap metinlerinin hazırlanması, olumsuz cevap verilecekse hukuki gerekçelerin doğru kurulması gibi konularda destek sunar. Bu, ileride doğabilecek ihtilafların önlenmesi veya en aza indirilmesi açısından kritiktir.

Veri Sorumlusunun Yükümlülükleri ve VERBİS Kaydı

Veri sorumluları, KVKK kapsamında en geniş yükümlülüklere tabi olan taraftır. Kanun, veri sorumlularına bir dizi idari ve teknik yükümlülük getirmiştir. Bunların başında aydınlatma yükümlülüğü gelir. KVKK’nın 10. maddesine göre veri sorumlusu, kişisel verileri elde ettiği sırada ilgili kişiyi belirli konularda açık ve anlaşılır şekilde bilgilendirmek zorundadır.

Bu bilgiler; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin kanundan doğan haklarının neler olduğudur. Bir başka deyişle, veri sorumlusu “aydınlatma metni” veya benzeri bir bildirim ile, verisini topladığı kişiye karşı şeffaf olmak durumundadırbilalalyar.av.tr. Örneğin bir e-ticaret sitesi, üyelik esnasında kullanıcıya yönelik bir aydınlatma metni sunarak, kullanıcı verilerinin hangi amaçlarla kullanılacağını, üçüncü taraflara (kargo şirketi, ödeme kuruluşu vb.) aktarılıp aktarılmayacağını ve kullanıcının KVKK kapsamındaki haklarını açıklamalıdır.

Veri sorumlusunun bir diğer önemli yükümlülüğü veri güvenliğine ilişkin tedbirleri alma yükümlülüğüdür (KVKK m.12). Bu kapsamda veri sorumluları, işledikleri kişisel verilerin güvenliğini sağlamak için uygun teknik ve idari tedbirleri almak; yetkisiz erişimi, hukuka aykırı işlemleri ve veri sızıntılarını önlemek için gerekli organizasyonel yapıyı kurmak durumundadır. Örneğin bir şirket, çalışanlarının kişisel verilerini barındıran sunucularda güçlü şifreleme kullanmak, erişim loglarını tutmak, siber güvenlik yazılımlarını güncel tutmak ve personeline düzenli eğitim vermek gibi yükümlülüklere sahiptir. Bir KVKK avukatı, şirketlerin veri güvenliği protokollerini hukuki gereklilikler ışığında denetler, eksikleri işaret eder ve giderilmesi için gereken adımları tavsiye eder.

KVKK m.12 ayrıca, veri sorumlularına veri ihlallerini derhal Kurul’a bildirme yükümlülüğü de getirmektedir. Bir veri sorumlusu, işlediği verilerle ilgili bir ihlal (örneğin yetkisiz erişim veya veri sızıntısı) gerçekleştiğini öğrendiğinde, bu durumu en kısa sürede Kişisel Verileri Koruma Kurumu’na bildirmelidir. KVK Kurulu, ihlalin niteliğine göre bu sürenin en geç 72 saat olmasını tavsiye etmektedir. İhlalin etkilendiği kişi sayısı ve veri kategorileri gibi kriterlere göre Kurul, ihlalin kamuoyu ile paylaşılmasına da karar verebilir. Bu konular, ileride veri ihlallerine ilişkin bölümde daha detaylı ele alınacaktır.

Veri sorumlularının KVKK kapsamındaki bir diğer önemli yükümlülüğü de Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğudur. KVKK m.16 uyarınca, Kişisel Verileri Koruma Kurumu nezdinde tutulan bu sicile, Kurulun belirlediği usul ve esaslar çerçevesinde veri sorumlularının kayıt olması gerekir. Kurul tarafından kimlerin VERBİS’e kayıt yükümlülüğü olduğu belirlenmiş ve bazı istisnalar tanımlanmıştır. 

Genel kural olarak, çalışan sayısı 50’den fazla veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan şirketler, yurtdışında yerleşik tüm veri sorumluları ile ana faaliyet konusu özel nitelikli kişisel veri işlemek olan kurumlar VERBİS’e kayıt yapmak zorundadırbilalalyar.av.tr. Örneğin İstanbul’da faaliyet gösteren orta ölçekli bir teknoloji firması 100 çalışanı ile müşteri verilerini işliyorsa, VERBİS’e kayıt yükümlülüğü bulunmaktadır.

Buna karşın çalışan sayısı 10 olan ve sadece basit düzeyde kişisel veri işleyen bir yerel işletme, Kurul kararlarıyla getirilen istisnalar kapsamında muaf tutulabilir. (Nitekim 2018/87 sayılı Kurul Kararı ile avukatlık ve noterlik faaliyetleri, meslek sırrı yükümlülüğü nedeniyle VERBİS’ten muaf sayılmıştır.) VERBİS’e kayıt, veri sorumlularının hangi tür kişisel verileri hangi amaçlarla işlediklerini beyan ettikleri bir bildirim sürecidir. Bu kayıt sayesinde Kurum, ülke çapında veri işleme envanterini izleme ve gerektiğinde denetleme olanağına sahip olur.

VERBİS’e kayıt yükümlülüğüne uymayan veri sorumluları için KVKK ciddi idari para cezaları öngörmüştür. Kurul kararlarına göre, VERBİS’e kaydolmamanın cezası güncel değerlerle 50.000 TL ile 2.000.000 TL arasında değişebilirbilalalyar.av.tr. Ayrıca kanuna aykırı diğer fiiller için de benzer şekilde yüksek tutarlı para cezaları söz konusudur ki bunlara ilerleyen bölümlerde değinilecektir. KVKK avukatları, şirketlerin VERBİS kayıt süreçlerini yönetir, sisteme beyan edilecek envanterin doğru ve eksiksiz hazırlanmasını sağlar ve sürecin mevzuata uygun biçimde tamamlanmasına destek olurbilalalyar.av.tr.

Özetle, KVKK’nın getirdiği başlıca yükümlülükler şunlardır: aydınlatma yükümlülüğü, açık rıza alma yükümlülüğü (gereken hallerde), veri güvenliği tedbirlerini alma, ihlalleri bildirme, veri sahiplerinin haklarını yerine getirme (başvuruları cevaplama) ve VERBİS’e kayıt olma. Bu yükümlülüklere uyum, hem yasal yaptırımlardan kaçınmak hem de bireylerin mahremiyetine saygı açısından kritiktir. KVKK avukatları, müvekkillerinin bu yükümlülüklere uygun hareket etmesi için sürekli danışmanlık sağlar ve olası riskleri önceden tespit ederek giderilmesine yardımcı olur.

Kişisel Verilerin Yurt Dışına Aktarılması

Günümüzde iş süreçlerinin küreselleşmesiyle birlikte, kişisel verilerin yurt dışına aktarılması da sık karşılaşılan bir durumdur. KVKK, kişisel verilerin yurtdışına transferi konusunda özel düzenlemeler getirmiştir. Kanunun 9. maddesi uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak, tıpkı yurt içi işleme şartlarında olduğu gibi, bazı istisnai hallerde açık rıza olmadan da veri aktarımı mümkün olabilir. Yurt dışına veri aktarımının açık rıza olmaksızın yapılabilmesi için iki temel şart aranmaktadır: (i) Veri aktarılacak ülkede yeterli korumanın bulunması veya (ii) yeterli koruma bulunmuyorsa, Türkiye’deki veri sorumlusu ile yurtdışındaki alıcı arasında Kurulca onaylanmış yazılı bir taahhüt (sözleşme) yapılması ve Kurul’dan izin alınmasıbilalalyar.av.tr.

Kısaca, eğer verinin gönderileceği yabancı ülke, KVKK Kurulu tarafından “güvenli ülke” ilan edilmiş ise, KVKK m.5/2’deki koşullardan birine dayanarak (örneğin hukuki bir yükümlülük gereği veya sözleşme ifası için) veri aktarılabilir. Fakat henüz Kurul, hiçbir ülkeyi güvenli ülke olarak ilan etmiş değildir; örneğin Avrupa Birliği ülkeleri dahi resmi olarak bu statüde kabul edilmemiştirbilalalyar.av.tr. Bu durumda, Türkiye’den AB’ye veya diğer ülkelere kişisel veri aktaracak şirketlerin, Kurul’a taahhütname sunarak izin alması gerekmektedir. Uygulamada, özellikle çok uluslu şirketler veya yurt dışında sunucu hizmeti alan firmalar bu yolu izlemektedir.

Yurtdışına veri transferi, KVKK avukatlarının sıkça danışmanlık verdiği konular arasındadır. Zira bir şirket, örneğin bulut bilişim hizmeti alırken veya merkezi yurtdışında olan bir grup şirkete çalışan verilerini iletirken, KVKK’nın 9. maddesine takılabilir. Bu süreçte KVKK avukatı, öncelikle verinin aktarılacağı ülkedeki koruma düzeyini değerlendirir, Kurul kararlarına göre hareket eder ve gerekirse ilgili taahhütname metinlerini hazırlar. Taahhütname, yabancı alıcı ile imzalanan ve kişisel verilerin korunması konusunda gerekli garantilerin verildiği hukuki belgedir. Bu belge Kurul’un onayına sunulur ve onay alındıktan sonra veri aktarımı gerçekleştirilebilir. Aksi halde, izinsiz veya hukuka aykırı biçimde yurtdışına veri aktarmak ağır yaptırımlara yol açabilir.

Örneğin, Türkiye’de faaliyet gösteren bir e-ticaret şirketi, kullanıcı verilerini Avrupa’daki ana sunucularına göndermek istiyorsa, ya kullanıcılardan açık rıza almalıdır ya da Kurul’un güvenli saydığı bir ülkeye gönderiyorsa bunu bildirerek yapabilir. Eğer gönderilecek ülke güvenli kabul edilmiyorsa, standart sözleşme hükümleri ve Kurul izniyle ilerlemek zorundadır. KVKK avukatları, bu süreçte şirketlerin hem teknik hem hukuki gereksinimleri karşılamasını sağlar; örneğin Avrupa Birliği’nin Standart Sözleşme Maddeleri ile Türkiye’deki taahhütname uygulaması arasındaki uyumu kurmaya çalışır. Böylece, müvekkiller uluslararası veri akışlarını kesintiye uğratmadan fakat KVKK’ya da aykırı düşmeden faaliyetlerine devam edebilir.

KVKK Avukatının Rolü ve Önemi

KVKK alanında uzman bir avukat, hem proaktif uyum süreçlerinde hem de reaktif sorun çözümünde kritik bir rol oynar. KVKK avukatının önemi, günümüzde verinin değerli bir varlık haline gelmesi ve hukuka aykırı veri işlemenin ciddi yaptırımlarla karşılanması nedeniyle oldukça artmıştır. Kurumlar açısından bakıldığında, KVKK avukatı bir nevi rehber ve sigorta gibidir: Şirketleri denetler, olası riskleri önceden tespit eder ve çözümler; olası bir inceleme veya soruşturmada ise şirketi temsil ederek ceza veya itibar kaybı riskini minimize etmeye çalışır.

Bir KVKK avukatı, öncelikle müvekkil şirkette kapsamlı bir durum analizi yapar. Şirketin hangi tür kişisel verileri işlediğini, bu verileri nasıl topladığını, nerede sakladığını, kimlerle paylaştığını ve ne kadar süreyle muhafaza ettiğini inceler.

Bu sayede şirketin bir kişisel veri envanteri çıkarılır. Ardından, bu envanter ışığında KVKK ve ilgili mevzuata (örneğin sektörel özel düzenlemelere) uyum için eksik noktalar belirlenir. Bu sürece genellikle KVKK uyum projesi denir ve KVKK avukatları tarafından yürütülürbilalalyar.av.tr. Uyum projesi kapsamında veri işleme faaliyetleri gerekirse yeniden yapılandırılır; toplanan veriler azaltılabilir (veri minimizasyonu ilkesi gereği), gereksiz veya aşırı veriler silinebilir, iş süreçleri kanuna uygun hale getirilir.

KVKK avukatı, uyum sürecinin bir parçası olarak şirket için gerekli tüm politika ve prosedürleri hazırlar veya hazırlanmasına katkı sağlarbilalalyar.av.tr. Örneğin bir şirketin kişisel veri koruma politikası, veri saklama ve imha politikası, bilgi güvenliği politikası gibi iç düzenlemeleri yoksa bunlar oluşturulur. Yine müşteri veya çalışanlar için hazırlanacak aydınlatma metinleri ile gerektiğinde alınacak açık rıza beyanları, KVKK avukatının hukuki denetiminden geçerek şirket uygulamalarına dâhil edilir.

Çalışanlarla yapılmış gizlilik sözleşmeleri ya da mevcut iş sözleşmelerine konulacak kişisel veri hükümleri de avukat tarafından gözden geçirilir. Gerekiyorsa gizlilik taahhütnameleri veya veri işleyen sözleşmeleri (Data Processing Agreement) kaleme alınır.

Bunların yanı sıra, KVKK avukatı şirket içi eğitimler düzenleyerek çalışan farkındalığını artırır. Zira en iyi teknik tedbirler dahi, kullanıcı hataları veya personel ihmaline karşı tam koruma sağlamayabilir. Personelin kişisel verilerin korunması konusunda bilinçli olması, şüpheli durumlarda yöneticilere haber vermesi, sosyal mühendislik saldırılarına karşı dikkatli davranması gibi konular eğitimle pekiştirilir.

KVKK avukatı, bu eğitim içeriklerini hukuki gerekliliklere göre hazırlar, güncel olaylardan örneklerle çalışanları bilgilendirir. Örneğin bir banka bünyesindeki KVKK eğitimi, çalışanlara müşteri verilerini yetkisiz kişilerle paylaşmanın cezai ve idari sonuçlarını anlatırken; bir sağlık kurumundaki eğitim, hasta bilgilerinin gizliliğinin hem etik hem yasal boyutunu vurgular.

KVKK avukatının rolü sadece uyum ve önleme ile sınırlı değildir. Aynı zamanda danışmanlık ve denetim fonksiyonu da süreklidir. Kanun ve ikincil mevzuat zaman içinde değişebilir, KVKK Kurulu yeni kararlar alarak uygulamaya yön verebilir. Örneğin Kurul’un yayınladığı rehber kararlar, verilen idari para cezası karar özetleri veya yeni yönetmelikler, şirketlerin veri işleme pratiklerini etkileyebilir. KVKK avukatı, mevzuatı ve güncel gelişmeleri yakından takip ederek müvekkillerini haberdar eder ve gerekli güncellemeleri yapmalarını sağlar. Bu anlamda KVKK avukatı, müvekkilini her daim güncel ve uyumlu tutan bir danışmandır.

Özellikle büyük ölçekli şirketler veya uluslararası faaliyet gösteren kuruluşlar için KVKK avukatının önemi bir kat daha artar. Zira bu şirketler sadece KVKK’ya değil, eş zamanlı olarak GDPR gibi yabancı mevzuatlara da tabi olabilmektedir. Örneğin Avrupa’da müşterileri olan bir Türk e-ticaret şirketi, hem KVKK hem GDPR hükümlerine uygun hareket etmek durumundadır. KVKK avukatı, bu kesişen mevzuat alanında da uzmanlaşarak, müvekkiline entegre çözümler sunar. Bazı durumlarda şirketler veri koruma görevlisi (Data Protection Officer – DPO) istihdam etmeyi tercih ederken, Türkiye’de henüz DPO zorunluluğu olmamasına karşın, bu görev genelde KVKK konusunda deneyimli avukatlar veya hukuk müşavirleri tarafından üstlenilmektedir.

Sonuç olarak, KVKK avukatı; şirketleri idari para cezaları, itibar kaybı ve hukuki sorumluluk risklerine karşı koruyan, bireylere ise mahremiyetlerini savunma imkânı veren kilit bir aktördür. Teknolojinin hızla geliştiği ve verinin petrol kadar değerli kabul edildiği bu çağda, KVKK avukatının danışmanlığı olmaksızın faaliyet göstermek, mayınlı bir tarlada yol almaya benzetilebilir. Bu nedenle günümüzde birçok kurum, bir KVKK avukatı ile çalışmayı tercih etmekte; kişisel veri uyumluluğunu sağlama işini şansa bırakmamaktadır.

KVKK Uyum Süreci ve Avukat Desteği

KVKK’ya tam uyum sağlamak, pek çok işletme için karmaşık bir süreçtir. Bu süreçte yapılması gereken işlemler ve alınması gereken önlemler birbirini tamamlayan adımlar halinde ilerler. Genel hatlarıyla bir KVKK uyum süreci, aşağıdaki temel adımları içerir ve her bir adımda KVKK avukatının önemli bir katkısı bulunmaktadır:

1. Veri Envanteri Hazırlanması: İlk adım, şirketin işlediği tüm kişisel verilerin envanterinin çıkarılmasıdır. Hangi departman hangi verileri topluyor? Bu veriler nerede saklanıyor? Kimlerle paylaşılıyor? Ne kadar süre tutuluyor? Bu sorulara yanıt aranarak ayrıntılı bir kişisel veri işleme envanteri oluşturulur. KVKK avukatı, farklı birimlerle görüşerek süreci koordine eder ve hiçbir veri kategorisinin gözden kaçmamasını sağlar. Bu envanter, daha sonra VERBİS kaydında da kullanılacak temel dokümandır.
2. Mevcut Durum Analizi ve Uyumsuzluk Tespiti: Envanter oluşturulduktan sonra, mevcut uygulamalar KVKK hükümleriyle karşılaştırılır. Hangi noktalarda eksiklik veya uyumsuzluk olduğu tespit edilir. Örneğin, şirket web sitesinde aydınlatma metni yoksa bu bir uyumsuzluktur; çalışanların özlük dosyalarında gereğinden fazla veri (mesela gereksiz sağlık raporları) tutuluyorsa bu tespit edilir. KVKK avukatı, burada bir denetçi gözüyle hareket ederek şirketin açıklarını ortaya koyar.
3. Aydınlatma Metinleri ve Açık Rıza Beyanları Düzenlenmesi: Uyum için atılacak ilk somut adımlardan biri, tüm veri toplama noktalarında (web sitesi, mobil uygulama, çağrı merkezi, fiziki formlar vs.) aydınlatma metinlerinin hazırlanmasıdır. KVKK avukatı, her departman veya işlem türü için ayrı ayrı aydınlatma metinleri kaleme alır ya da mevcut metinleri kanuna uygun hale getirir. Hangi durumlarda açık rıza gerektiği belirlenir ve bu haller için açık rıza metinleri oluşturulur. Örneğin, pazarlama amaçlı e-posta gönderimi için müşteriden açık rıza alınacaksa, bunun içeriği ve yöntemi planlanır.
4. Politikaların ve Prosedürlerin Oluşturulması: Kanunun aradığı şekilde veri saklama ve imha politikası, bilgi güvenliği politikası, erişim yetki matrisi gibi dokümanlar hazırlanır. KVKK avukatı, bu belgelerin yasal gereklilikleri yansıtmasına dikkat eder. Örneğin saklama ve imha politikası, işlenen her veri kategorisi için saklama sürelerini ve imha yöntemlerini belirten ayrıntılı bir plan içerir. Bu politika uyarınca, süresi dolan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanacaktır.
5. Teknik ve İdari Güvenlik Tedbirlerinin Alınması: Uyumun önemli bir parçası, veri güvenliği için gerekli önlemlerin alınmasıdır. Bu adım genellikle bilişim teknolojileri birimiyle birlikte yürütülür, ancak KVKK avukatı burada da rehberlik eder. Örneğin, şirketin kişisel veri barındıran sunucularının şifreleme düzeyi, antivirüs ve antimalware korumaları, erişim loglarının tutulması gibi teknik konular tespit edilir ve eksikler giderilir. İdari tedbirler kapsamında, gizlilik taahhütnamelerinin çalışanlarca imzalanması, iş sözleşmelerine veri koruma hükümleri eklenmesi, hizmet alımlarında veri işleyenlerle sözleşmeler yapılması gibi adımlar atılır. Avukat, tüm bu süreçlerin yasal zemine oturtulmasını sağlar ve dokümante edilmesine yardımcı olur.
6. VERBİS Kaydının Yapılması: Eğer şirkete VERBİS’e kayıt yükümlülüğü düşüyorsa, bu adımda Veri Sorumluları Siciline kayıt gerçekleştirilir. KVKK avukatı, hazırlanan envantere dayanarak VERBİS’e girilecek bilgileri gözden geçirir. Veri kategorileri, işleme amaçları, veri konusu kişi grupları, aktarım yapılan alıcı grupları, saklama süreleri gibi detaylar sisteme girilir. Hatalı veya eksik beyan yapılmaması için avukat denetiminde bu işlem tamamlanır. Kayıt sonrasında, Sicil kayıt numarası vb. bilgiler şirket içi süreçlere entegre edilir (örneğin aydınlatma metinlerinde veri sorumlusu iletişim bilgisi yanında VERBİS kayıt numarası da verilebilir).
7. Eğitimlerin Verilmesi: Uyum sadece kâğıt üzerinde kalmamalı, şirkette bir kültür haline gelmelidir. Bu nedenle, KVKK avukatı son adım olarak şirkette ilgili tüm çalışanlara (özellikle kişisel veri ile iştigal eden departmanlara) eğitimler verir. Eğitimde KVKK’nın temel ilkeleri, veri ihlali durumunda yapılacaklar, çalışanların sorumlulukları, izin almadan veri paylaşımının yasak olduğu gibi konular vurgulanır. Çalışanların soruları yanıtlanır ve bir farkındalık oluşturulur. Eğitimler periyodik olarak (örneğin yılda bir) tekrarlanarak kalıcılık sağlanır.
8. Sürekli İzleme ve Güncelleme: Uyum projesi tamamlandıktan sonra da KVKK avukatının rolü bitmez. Veri işleme faaliyetleri dinamiktir; şirket yeni bir proje başlattığında veya yeni bir veri kategorisi toplamaya başladığında bunun da KVKK’ya uygun olması gerekir. Bu yüzden avukat, şirketle düzenli temas halinde kalarak değişiklikleri izler. Örneğin, şirket yeni bir mobil uygulama geliştirdiyse, bu uygulamadaki veri toplama akışlarını inceler ve gerekli hukuki metinleri hazırlar. Yine mevzuatta değişiklik olursa, örneğin Kurul yeni bir karar alırsa, avukat bunu şirkete iletir ve politikalarda/gerekli belgelerde güncelleme yapar.

Yukarıda özetlenen adımlar, bir KVKK uyum rehberi niteliğindedir ve hemen her kurum için temel ihtiyaçları yansıtırbilalalyar.av.tr. Elbette her kurumun yapısı ve iş süreçleri farklı olduğundan, uyum projesi bunlara göre özelleştirilir. KVKK avukatının deneyimi burada devreye girer: Farklı sektörlerde edindiği tecrübeler sayesinde, o sektöre özgü ihtiyaçları bilir ve uyum projesini buna göre şekillendirir. Örneğin bir sağlık kuruluşunda aydınlatma yükümlülüğü, hastalara yönelik ayrı bir metin ve ayrıca çalışan hekimlere yönelik bir metin gerektirebilir; veya bir finans kuruluşunda veri güvenliği önlemleri, BDDK gibi kurumların rehberleriyle de uyumlu olmalıdır. KVKK avukatı, tüm bu bağlantıları kurarak entegre bir uyum sağlar.

Veri İhlalleri ve Kriz Yönetimi

Hiçbir kurum tam anlamıyla güvende olduğunu iddia edemez; en sıkı önlemler alınsa bile bir veri ihlali meydana gelebilir. Önemli olan, ihlalin gerçekleşmesini önlemek kadar, gerçekleştiğinde doğru adımları atarak zararı minimize etmektir. Bu noktada KVKK avukatının rolü, bir kriz yöneticisi ve stratejist olarak ortaya çıkar.

Veri ihlali, kişisel verilerin yetkisiz kişilerce ele geçirilmesi, ifşa edilmesi, kaybolması veya yok olması gibi istenmeyen olayları kapsar. Örneğin bir şirketin müşterilerine ait veritabanının hacklenmesi, bir sağlık kuruluşunda hasta dosyalarının çalınması, bir bankada veri içeren dizüstü bilgisayarın kaybolması veya yanlış kişiye e-posta ile hassas verilerin gönderilmesi birer veri ihlalidir. KVKK’ya göre veri sorumlusu, böyle bir ihlali öğrendiğinde gecikmeksizin (yukarıda belirtildiği gibi mümkünse 72 saat içinde) Kişisel Verileri Koruma Kurulu’na bildirim yapmak durumundadır. Bu bildirimde ihlalin ne zaman gerçekleştiği, hangi verileri etkilediği, tahmini etki sayısı, alınan önlemler gibi bilgiler yer alır.

KVKK avukatı, ihlal anından itibaren şirket içi kriz masası oluşturulmasına yardımcı olur. İlk olarak teknik ekiplerle iletişime geçip ihlalin boyutunu anlamaya çalışır: Kaç kişi etkilendi? Hangi tür veriler sızdı? İhlal devam ediyor mu, durduruldu mu? Ardından, KVKK Kurumu’na yapılacak resmi bildirim metnini hazırlar. Bu metin, gerçeğe uygun ve eksiksiz olmalıdır, zira yanlış veya eksik bildirim yapmak da ileride sorun yaratabilir. Avukat, teknik raporlardan gelen bilgileri hukuki dile çevirip Kurum’un anlayacağı şekilde sunar.

Bunun yanında, ilgili kişilerin bilgilendirilmesi de gündeme gelebilir. Eğer ihlal, ilgili kişilerin haklarına ciddi bir risk teşkil ediyorsa (örneğin finansal bilgiler sızmışsa veya kimlik hırsızlığı riski varsa), veri sorumlusu etkilenen kişilere de makul olan en kısa sürede durumu bildirmelidir. KVKK Kurulu da gerekli görürse, ihlalin kamuoyuna duyurulmasına karar verebilir. KVKK avukatı, bu süreçte basın açıklamalarının veya müşteri bilgilendirme notlarının hazırlanmasında da rol oynar; metinlerin hukuki olarak doğru, aynı zamanda güven tesis edici olmasına özen gösterir.

Veri ihlali sonrasında, KVKK Kurulu re’sen veya şikâyet üzerine inceleme başlatabilir. Böyle durumlarda KVKK avukatı, kurum nezdinde yürütülecek soruşturmada şirketi temsil eder, savunma dilekçelerini hazırlar ve Kurul ile yazışmaları yürütürbilalalyar.av.tr. Savunmada, ihlalin şirketçe öngörülemez olduğu veya gerekli tüm önlemlerin alınmış olmasına rağmen gerçekleştiği, ihlal sonrası derhal aksiyon alındığı gibi hafifletici unsurlar vurgulanır. Amaç, Kurul’un vereceği cezanın engellenmesi veya azaltılmasıdır. Nitekim Kurul, ihlallerde şirketin kusur durumuna göre bazen ceza vermeyip yalnızca uyarı kararları da verebilmektedir; bu tamamen savunmanın etkinliğine ve ihlalin niteliğine bağlıdır.

KVKK avukatı aynı zamanda, veri ihlali nedeniyle zarara uğrayan bireylerin talepleriyle de ilgilenir. Eğer ihlal sonucu kişiler maddi veya manevi zarar gördüklerini iddia ediyorsa, bunlar şirkete karşı tazminat davası açabilirler. Avukat, şirketin menfaatlerini korumak adına bu davalarda savunma yapar ya da birçok kişi etkilendiyse olası toplu dava risklerine karşı strateji geliştirir. Örneğin on binlerce müşterinin verisi sızmışsa, bunların bir kısmı bir araya gelerek dava açabilir; bu durumda avukat, davaların birleştirilmesi veya arabuluculuk yoluyla çözüm gibi yolları değerlendirebilir.

Diğer taraftan, KVKK ihlalleri bazı durumlarda Türk Ceza Kanunu kapsamında suç teşkil edebilir. Özellikle verileri hukuka aykırı olarak ele geçirmek, yaymak veya başkasına vermek gibi fiiller, TCK m.136 ve devamında düzenlenen kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suçuna vücut verebilir. Böyle bir durumda, devlet savcılığı olaya müdahil olabilir ve şirket yetkilileri veya çalışanları hakkında ceza soruşturması açılabilir.

KVKK avukatı, müvekkil şirketi ve çalışanlarını ceza soruşturmalarında da savunmak üzere ceza hukuku boyutunu değerlendirir veya ceza hukuku uzmanlarıyla birlikte çalışır. Örneğin, bir çalışan kasten müşteri verilerini sızdırmışsa, bu kişi hem disiplin hem de ceza soruşturmasına maruz kalacaktır; şirket ise bunun münferit bir eylem olduğunu, gerekli özeni gösterdiğini ispatlamaya çalışır. Avukat, bu ayrımı netleştirmek ve şirketi kurumsal olarak suçtan uzak tutmak için çaba sarfeder.

Gerçekleşmiş bir veri ihlalinden sonra, KVKK avukatı için önemli bir görev de iyileştirme ve yeniden yapılandırma sürecini yönetmektir. Yani, ihlal neden oldu, hangi açığın sonucu meydana geldi, bunu kapatmak için ne yapılmalı? Bu soruların yanıtları bulunarak bir daha benzer ihlalin yaşanmaması için aksiyon alınmalıdır. Örneğin ihlal, bir çalışan hatasından kaynaklandıysa ek eğitimler planlanır; teknik bir zaafiyetten olduysa sistemler güncellenir veya güçlü olanla değiştirilir. Avukat, bu aşamada bir rapor hazırlayıp şirket yönetimine sunar ve bir yol haritası çıkarır. Bu rapor aynı zamanda Kurul’a sunulacak savunmada da “iyileştirici önlemler” başlığı altında kullanılır – şirketin sorumluluk sahibi bir yaklaşım sergilediği gösterilmek istenir.

Son olarak, veri ihlallerinde itibar yönetimi de kritik önemdedir. Büyük bir ihlal, medya ve sosyal medyada geniş yer bulabilir, müşteri güvenini sarsabilir. KVKK avukatı, şirketin halkla ilişkiler veya iletişim birimleriyle işbirliği yaparak, verilecek mesajların hukuki risk doğurmayacak şekilde formüle edilmesine dikkat eder. Örneğin “tüm sorumluluğu kabul ediyoruz” gibi bir ifade hukuki açıdan sakıncalı olabileceğinden, bunun yerine daha kontrollü açıklamalar yapılmasını sağlar. Bu denge, hem kamuoyu önünde şeffaf ve dürüst görünmek hem de ilerde yargı süreçlerinde şirketi zor durumda bırakmamak bakımından önem taşır.

Özetle, bir veri ihlali vuku bulduğunda, KVKK avukatı krizin ilk anından son çözüm adımına kadar etkin bir rol üstlenir: Tespit, bildirim, savunma, hukuki süreçler, tazminat talepleri, ceza soruşturmaları ve itibar yönetimi. Bu kapsamlı rol, KVKK avukatını bir kurumun en zor anlarında başvuracağı güvendiği danışman haline getirir.

Nitekim son yıllarda Türkiye’de yaşanan bazı büyük çaplı veri ihlallerinde (örneğin milyonlarca kullanıcısı olan bir sosyal medya platformunun reklam amaçlı verileri yanlış kullanması olayı gibi) KVKK önemli cezalar kesmiş ve bu süreçlerde şirketlerin avukatları yoğun savunma faaliyetleri yürütmüştüraa.com.traa.com.tr. İyi bir kriz yönetimi sayesinde bazı durumlarda ceza miktarları düşebilmiş veya kurumlar kullanıcı güvenini yeniden tesis edebilmiştir. Bu da, alanında yetkin KVKK avukatlarının müdahalesiyle mümkün olmuştur.

KVKK Kapsamında Yargı Süreçleri

KVKK ile ilgili hukuki süreçler, sadece idari kurum nezdindeki işlemlerden ibaret değildir. Aksine, hem idari hem cezai hem de özel hukuk boyutunda çeşitli yargısal süreçler ortaya çıkabilir. KVKK avukatı, bu süreçlerin her birinde müvekkillerini temsil ederek en iyi sonucun alınmasına çalışır.

İdari Başvuru ve İtirazlar (Kurum Süreçleri)

KVKK’nın uygulamasında merkezi otorite, Kişisel Verileri Koruma Kurumu ve Kurulu’dur. Bir ilgili kişi, KVKK kapsamındaki haklarının ihlal edildiğini düşünüyorsa öncelikle veri sorumlusuna başvurmak zorundadır (KVKK m.13). Veri sorumlusu, başvuruya en geç 30 gün içinde cevap vermez veya olumsuz cevap verirse, kişi bu cevabı öğrendiği tarihten ya da 30 günlük sürenin bitiminden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir (KVKK m.14). Kurul, yapılan şikâyeti inceleyerek bir karar verir; ihlal tespit ederse yaptırım uygulayabilir veya ihlal yoksa başvuruyu reddedebilir.

Bu süreçte KVKK avukatı, hem başvurucu (ilgili kişi) hem de veri sorumlusu tarafında devreye girebilir. İlgili kişi adına hareket eden avukat, öncelikle veri sorumlusuna yapılacak başvuruyu hazırlar. Bu başvuruda, hangi hakların ihlal edildiği, somut olayın ne olduğu, talebin ne olduğu açıkça belirtilir. Örneğin bir müşteri, izni olmadan telefonuna reklam mesajları geldiği için rahatsızsa; avukat, ilgili şirkete başvurarak KVKK m.11’deki haklar kapsamında, müvekkilinin açık rızası olmadan veri işlenmemesi gerektiğini hatırlatır, varsa rızanın geri alındığını bildirir ve bu fiilin durdurulmasını talep eder. Veri sorumlusundan cevap gelmez veya yetersiz gelirse, avukat bu kez Kurul’a şikâyet dilekçesi sunar. Kurul sürecinde de gerekirse müvekkili adına sözlü açıklamalar yapar, ek deliller sunar.

Veri sorumlusu konumundaki şirketi temsil eden KVKK avukatı ise, Kurum’a intikal eden bir şikâyet halinde şirket savunmasını hazırlar. Kurul soruşturmaları genellikle yazılı savunma alma yoluyla yürür. Avukat, Kurul’un gönderdiği tebligatla öğrendiği şikâyetin içeriğine uygun olarak, şirketin eyleminin hukuka uygun olduğunu veya varsa aksaklığın giderildiğini anlatan bir savunma dilekçesi yazar. Bu dilekçede, teknik ayrıntılar, iç prosedürler ve hukuki argümanlar yer alır.

Örneğin bir çalışan, işten ayrıldıktan sonra şirketteki e-posta hesabının kapatılmadığı ve kişisel e-postalarının okunduğu iddiasıyla Kurul’a başvurmuş olsun. Şirket avukatı, savunmasında şirket politikası gereği e-posta hesaplarının devre dışı bırakıldığını, ancak müşteriler mağdur olmasın diye yönlendirme yapıldığını, herhangi bir kişisel iletişimin okunmadığını, bunun işin yürütümü gereği olduğunu savunabilir. Kurul, savunma ve delilleri değerlendirerek bir karar verir.

Kurul’un kararlarına karşı, muhataplar idari yargı yoluna başvurabilir. Yani Kurul’un bir şirkete idari para cezası vermesi halinde, şirket 30 gün içinde idare mahkemesinde iptal davası açarak bu kararın hukuka aykırılığını ileri sürebilir. Bu noktada devreye idare hukuku bilgisi de girmektedir. KVKK avukatı, çoğu zaman idari dava tecrübesine de sahiptir veya bu konuda meslektaşlarıyla işbirliği yapar.

İptal davasında, Kurul kararının dayanağı olan olay ve mevzuat değerlendirilir; eğer Kurul kararında bir hukuka aykırılık (örneğin yetki, şekil, sebep, konu veya amaç yönlerinden bir sakatlık) bulunduğu düşünülüyorsa dava dilekçesinde bunlar detaylandırılır. İdare mahkemesi, Kurul kararını hukuka aykırı bulursa iptal edebilir. Örneğin Kurul’un ceza verirken hukuka uygunluk nedenini göz ardı ettiği veya usul eksikliği yaptığı iddiaları sıklıkla gündeme gelir. Bu tür davalarda KVKK avukatı, yargıya sunacağı argümanları güçlü resmi kaynaklara dayandırır; gerekirse GDPR uygulamalarından örnekler, AYM veya AİHM kararlarından içtihatlar gösterir.

Özel Hukukta Dava Yolları (Tazminat ve Diğer Talepler)

KVKK, 11. maddede sayılan haklar arasında ilgili kişinin uğradığı zararın giderilmesini talep etme hakkını da tanımıştır. Bu, aslında var olan genel hukuk prensibinin bir tekrarıdır: Hukuka aykırı bir fiil ile kişilik hakkı zedelenen kimse, Borçlar Kanunu ve diğer ilgili mevzuat çerçevesinde maddi ve manevi tazminat isteyebilir. Dolayısıyla KVKK ihlalleri, mağdurlara tazminat davası açma imkânı da verir. Örneğin özel hayatın gizliliğini ihlal edecek şekilde bir kişinin verileri ifşa edilmiş veya yanlış kullanılmışsa, o kişi manevi açıdan sıkıntı yaşayabilir; itibarı zedelenebilir; bu halde manevi tazminat talebiyle mahkemeye başvurabilir.

Bu tür davalarda, KVKK avukatının rolü, mağdur taraf için dava dilekçesini hazırlamak ve hakimin önünde iddiaları kanıtlarıyla ortaya koymaktır. Dava dilekçesinde tipik olarak; davalının (veri sorumlusunun) hukuka aykırı eylemi, bu eylemin KVKK’ya aykırı olduğu, davacının kişilik haklarını ihlal ettiği, bu nedenle ne tür zararlar doğduğu ve bunların miktarı (maddi zarar kalemleri veya manevi zarar tutarı) açıklanır. Örneğin bir bankanın yeterli güvenlik önlemi almaması yüzünden kredi kartı müşterilerinin bilgileri çalındıysa ve bir müşteri dolandırıcılık mağduru olduysa, bu müşteri uğradığı maddi kaybın tazminini bankadan mahkeme yoluyla isteyebilir. KVKK avukatı, bu durumda bankanın KVKK m.12’deki yükümlülüklerini yerine getirmediğini, dolayısıyla kusurlu olduğunu ve zararı ödemesi gerektiğini hukuki delillerle öne sürer.

Davalı tarafın vekili olan KVKK avukatı ise, iddiaları çürütmeye veya en aza indirmeye çalışır. Genellikle savunma stratejileri, ya kusursuzluk iddiası (yani gerekli tüm önlemlerin alındığı, beklenmedik bir durum olduğu) veya illiyet bağının kopukluğu (yani meydana gelen zararla şirketin eylemi arasında neden-sonuç ilişkisinin olmadığı) üzerine kurulur. Örneğin az önceki senaryoda banka, “tüm sistemlerimiz uluslararası standartlara uygundu, bu sofistike bir siber saldırıdır, öngörülemezdi” diyerek kusursuz olduğunu savunabilir veya müşteri zararının kendi ihmalinden kaynaklandığını iddia edebilir. KVKK avukatı, teknik bilirkişi raporları ve emsal yargı kararları eşliğinde mahkemeyi ikna etmeye çalışır.

Özel hukuk kapsamında bir diğer önemli konu da kişilik hakkının ihlali halinde düzeltme veya durdurma davalarıdır. Mesela internette bir haber sitesinde bir kişinin özel hayatına dair haber yayımlandığında (örneğin sağlık bilgisi ifşa edildiğinde), ilgili kişi KVKK’ya dayanarak içeriğin kaldırılmasını veya erişimin engellenmesini talep edebilir.

Bu tür durumlar, unutulma hakkı kavramıyla da ilişkilidir. Anayasa Mahkemesi ve KVK Kurumu, unutulma hakkının Türk hukukunda mevcut olduğunu kabul eden kararlar vermiştiryamaner.av.tr. KVKK avukatı, müvekkilinin unutulma hakkını savunmak için Sulh Ceza Hakimlikleri nezdinde erişim engelleme başvuruları yapabilir veya içerik sağlayıcılara ihtar gönderebilir. Örneğin yıllar önce sabıka kaydı olmuş bir kişinin ismi internette arandığında bu kayıt çıkıyorsa, KVKK avukatı bunun kaldırılması için hukuki süreç başlatabilir; bu, kişisel verinin silinmesi ve özel hayatın korunması talebidir.

Cezai Sorumluluk ve Yargı

Kişisel verilerin korunması alanındaki ihlaller, bazı durumlarda ceza hukuku alanına da girer. Türk Ceza Kanunu (TCK)’nda 135 ila 140. maddeler arasında, kişisel verilere ilişkin suç tipleri düzenlenmiştir. Buna göre, hukuka aykırı olarak bir kişinin kişisel verilerini kaydeden kimse (TCK 135) veya verileri hukuka aykırı olarak başkasına veren, yayan veya ele geçiren kimse (TCK 136) cezalandırılır. Ayrıca, bu suçların belli meslek mensupları tarafından işlenmesi veya belli veriler hakkında olması (örneğin özel nitelikli veriler) gibi nitelikli halleri de mevcuttur. Dahası, suça konu kayıtların yok edilmemesi de ayrı bir suçtur (TCK 138).

KVKK avukatları, müvekkillerinin bu tür ceza soruşturmalarına maruz kalmaması için önleyici tedbirler konusunda da danışmanlık yapar. Ancak bir çalışan veya şirket yöneticisi hakkında kişisel veri suçu isnadıyla bir soruşturma başladığında, avukat ceza muhakemesi sürecinde de savunmayı üstlenebilir. Örneğin, bir şirket yöneticisi çalışanlarının özel e-postalarını izlediği için TCK 132 (haberleşmenin gizliliğini ihlal) veya TCK 136 (verileri hukuka aykırı verme) kapsamında şikâyet edildiyse, avukat hem KVKK mevzuatını hem ceza hukukunu harmanlayan bir savunma hazırlamalıdır. Belki yönetici, işlemi iş sağlığı ve güvenliği gereği yaptığını, kötü niyet olmadığını ileri sürebilir; avukat da bu gerekçeyi hukuki zemine oturtur.

Öte yandan, bir şirket dışarıdan bir siber saldırı ile veri ihlaline uğramışsa, KVKK avukatı bu kez mağdur sıfatıyla olaya müdahil olabilir. Şirketin verilerini çalan hacker veya kötü niyetli kişi hakkında suç duyurusunda bulunulmasını sağlar, soruşturmada şirketin haklarını savunur. Bu gibi durumlarda avukat, bilişim hukuku bilgisini de kullanarak delillerin (log kayıtları, IP tespitleri vs.) toplanmasına katkıda bulunur ve soruşturma makamlarıyla koordinasyon kurar.

Cezai süreçlerde KVKK avukatı ile müvekkili arasında güçlü bir iletişim olması esastır, zira ceza yaptırımları (hapis veya adli para cezası) bireyler üzerinde ağır sonuçlar doğurabilir. Örneğin bir insan kaynakları çalışanı, eski çalışanların şirketten ayrıldıktan sonraki bilgilerinin bulunduğu dosyayı usulsüz biçimde üçüncü bir kişiye satmış olsun; bu durumda hem KVKK idari cezası hem de ceza soruşturması devreye girecektir. KVKK avukatı, idari tarafta şirketi temsil ederken ceza tarafında bu çalışanın eyleminin şirkete mal edilmemesi için ayrı bir strateji izler. Gerektiğinde şirkete ayrı, çalışanlara ayrı avukatlar tahsis edilir (çıkar çatışması olmaması için).

Sonuç olarak, KVKK alanındaki bir avukat, idari yargı, özel hukuk (tazminat) yargısı ve ceza yargısı gibi çok boyutlu arenalarda faaliyet gösterebilmelidir. Her bir alandaki usul ve esas kurallarına hâkimiyet, başarılı bir temsil ve müvekkil menfaatinin korunması için şarttır. Bu da KVKK avukatının ne denli donanımlı olması gerektiğini gösterir.

Uluslararası Bağlam: KVKK ve Diğer Veri Koruma Rejimleri

KVKK avukatlığı, yalnızca ulusal mevzuatı bilmekle sınırlı bir uzmanlık değildir. Özellikle uluslararası iş yapan veya yabancı ortaklı şirketlere hizmet veren avukatlar için, dünya çapındaki veri koruma düzenlemelerini de anlamak önem taşır. Bu bağlamda, KVKK’yı en çok etkileyen ve kıyaslama imkânı sunan düzenleme, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR)’dür. Ayrıca, Türkiye’nin taraf olduğu uluslararası sözleşmeler (örneğin 108 sayılı sözleşme) ve diğer ülkelerin veri koruma kanunları da global ölçekte dikkate alınmalıdır.

GDPR ile Karşılaştırma

GDPR, Mayıs 2018’de yürürlüğe giren ve AB çapında doğrudan uygulanan bir tüzük olarak, birçok ülkenin veri koruma kanununa ilham vermiştir. KVKK hazırlanırken de GDPR’ın taslaklarından etkilenilmiştir. Ancak KVKK ile GDPR birebir aynı değildir; aralarında önemli farklar bulunmaktadır. KVKK avukatları, bu farklılıkları bilerek müvekkillerine strateji çizer, özellikle hem KVKK hem GDPR’a tabi olan durumlarda denge kurmaya çalışır.

Coğrafi Uygulama Alanı: KVKK, Türkiye sınırları içinde kişisel veri işleyen gerçek ve tüzel kişilere uygulanır. GDPR ise coğrafi kapsamı itibarıyla çok daha geniştir; AB içinde kurulmuş olsun olmasın, AB’deki bireylere mal veya hizmet sunan ya da davranışlarını izleyen şirketlere de uygulanır. Örneğin Türkiye’de yerleşik bir e-ticaret firması, AB’deki müşterilere satış yapıyorsa GDPR’a da tabi olabilir. KVKK avukatı, bu durumda müvekkiline hem KVKK hem GDPR gerekliliklerini birlikte sağlaması yönünde danışmanlık yapar.

Kurumsal Yapı (Otorite): KVKK’nın uygulanmasını denetleyen ulusal bir Kişisel Verileri Koruma Kurulu vardır. GDPR kapsamında ise her üye devlette veri koruma otoriteleri bulunur ve bunlar Avrupa Veri Koruma Kurulu çatısı altında koordineli çalışır. Yani GDPR, uluslarüstü bir uygulama mekanizmasına sahiptir; büyük çaplı ihlallerde tüm AB’de geçerli kararlar alınabilir. KVKK ise kendi ülke sınırlarımız içinde etkilidir. Bu durum, örneğin bir veri ihlali aynı anda Türkiye ve AB’deki kişileri etkilediğinde, iki ayrı otoritenin inceleme yapacağı anlamına gelebilir. KVKK avukatı, böyle durumlarda müvekkilini her iki cephede de savunmak durumunda kalabilir.

Hukuki Dayanaklar ve Meşru Menfaat: KVKK ile GDPR arasındaki belki de en belirgin farklardan biri, meşru menfaat ilkesine yaklaşımdır. GDPR, kişisel veri işleme şartlarından biri olarak veri sorumlusunun meşru menfaatine sıkça vurgu yapar ve pratikte birçok işleme bu maddeye dayanır. KVKK’da ise meşru menfaat ilkesi (KVKK m.5/2(f)) olmakla birlikte, uygulamada daha sınırlı kullanılmaktadır ve Kurul kararlarında daha temkinli yaklaşılmaktadır.

Türkiye’de veri sorumluları çoğu zaman açık rıza veya kanuni yükümlülük gibi dayanaklara yaslanmayı tercih eder. Meşru menfaatin uygulanabilmesi için veri sorumlusunun menfaati ile ilgili kişinin hakları arasında denge testi yapılması şarttır; KVKK avukatları bu denge testini iç değerlendirmelerinde yaparak, gerçekten menfaatin baskın olduğu durumlarda bu yolu kullanır, aksi halde açık rıza gibi daha net zeminlere başvurur.

Veri Taşınabilirliği Hakkı: GDPR, ilgili kişilere veri taşınabilirliği adı verilen bir hak tanır (madde 20); bireyler, kendileriyle ilgili verileri yapılandırılmış ve makinaca okunabilir bir biçimde talep edip başka bir hizmet sağlayıcıya iletebilirler. KVKK’da ise bu hak açıkça düzenlenmemiştir. Dolayısıyla Türkiye’de bu hak fiilen uygulanmamaktadır (Kurul kararlarında da şimdiye dek veri taşınabilirliği hakkından söz edilmemiştir). Bu, KVKK ile GDPR arasındaki bir farktırbilalalyar.av.tr. Ancak uluslararası şirketler, müşteri memnuniyeti veya kendi politikaları gereği Türkiye’de de veri taşınabilirlik taleplerine olumlu yaklaşabilir. KVKK avukatları, böyle durumlarda şirketin aleyhine sonuç doğmayacak şekilde, gönüllü bir uygulama olarak veri taşınmasına yardımcı olabilir.

İdari Para Cezaları ve Yaptırımlar: GDPR, ihlaller için son derece yüksek idari para cezaları öngörür – küresel cironun %4’üne kadar veya 20 milyon Euro’ya kadar (hangisi yüksekse) para cezası verilebilir. KVKK’daki cezalar ise belirli Türk lirası aralıklarıyla sınırlıdır. Başlangıçta KVKK’da en yüksek ceza 1.000.000 TL idi; 2023 yılı itibarıyla en yüksek ceza tutarı, yeniden değerleme oranlarıyla 2.000.000 TL civarına ulaşmıştırbilalalyar.av.tr. Bu rakam, büyük şirketler için GDPR’ın caydırıcılığının oldukça altındadır.

Yine de Kurul’un uyguladığı cezalar Türkiye ölçeğinde ciddi yaptırımlardır (nitekim Kurul, bugüne dek çeşitli şirketlere milyon TL seviyesinde cezalar vermiştiraa.com.tr). GDPR’da ayrıca veri işleme faaliyetlerinin durdurulması, kınama gibi yaptırımlar da vardır. KVKK’da Kurul, belirli durumlarda veri işlemeyi durdurma veya faaliyet men’i kararı alabilirbilalalyar.av.tr, ancak bu yetki sık kullanılmamıştır. KVKK avukatları, müvekkillerini cezalar konusunda bilgilendirirken bu farkları gözetir; uluslararası şirketler için Türkiye’deki ceza miktarlarının daha düşük olması bazen bir rehavet yaratabileceğinden, avukatlar bu rehaveti engellemek adına itibar zedelenmesi riskini vurgularlar.

Veri Koruma Görevlisi (DPO) ve Temsilci: GDPR, belli ölçek üstündeki işlemler için bir Veri Koruma Görevlisi (Data Protection Officer) atanmasını zorunlu kılar. KVKK’da böyle bir zorunluluk yoktur. Bunun yerine, yurtdışında yerleşik veri sorumlularının Türkiye’de bir temsilci ataması şart koşulmuştur (KVKK m.11/3; ikincil mevzuatta düzenlenmiştir). Uluslararası şirketler, bu nedenle Türkiye’de genelde bir avukat veya danışmanı temsilci atar. KVKK avukatı, kimi zaman bu temsilci rolünü de üstlenir; Kurum’la iletişim noktasında şirketi temsilen muhatap olur. GDPR tarafında ise Türkiye menşeli ancak AB’de faaliyet gösteren bir şirket, AB içinde temsilci atamalıdır – KVKK avukatı bu koordinasyonu da sağlar, gerekirse AB’deki meslektaşlarıyla irtibat kurar.

Onay Mekanizmaları: GDPR’da bazı işlem kategorileri için ön kontrol mekanizmaları (örneğin yüksek riskli işlemlerde etki değerlendirmesi – DPIA yapılması ve gerekirse otoriteden görüş alınması) öngörülmüştür. KVKK’da bu tip formalize edilmiş bir ön bildirim veya onay sistemi yoktur. Ancak Kurul, belli konularda ilke kararları veya rehberler yayımlayarak yönlendirme yapar (mesela yapay zekâ uygulamaları, CCTV kayıtları gibi). KVKK avukatları, DPIA gibi kavramları doğrudan mevzuatta görmeseler de, iyi uygulama olarak benimseyip müvekkillerine tavsiye edebilirler. Örneğin bir banka, yeni bir büyük veri analitiği projesine başlarken, KVKK avukatı bunun gizlilik etki değerlendirmesini yaparak riskleri önceden saptayabilir.

Uluslararası Sözleşmeler ve Küresel Standartlar

Türkiye, Kişisel Verilerin Korunması alanında uluslararası inisiyatiflerin de parçasıdır. En önemlisi, Avrupa Konseyi’nin 108 sayılı Sözleşmesi’dir (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data). Türkiye bu sözleşmeye taraf olmuş ve hatta 108+ protokolüne imza atmıştır. 108 sayılı Sözleşme, dünyada kişisel veri korumasına dair ilk bağlayıcı uluslararası belgedir ve GDPR’ın da atası sayılır. KVKK, büyük oranda 108 sayılı Sözleşme’nin prensiplerini yansıtır. Nitekim Anayasa’nın 90. maddesi uyarınca usulüne göre onaylanmış uluslararası sözleşmeler kanun hükmündedir; bu nedenle 108 sayılı Sözleşme, KVKK’nın yorumunda da göz önüne alınırresearchgate.net.

KVKK avukatları, uluslararası sözleşmeleri ve yabancı ülkelerin düzenlemelerini takip ederek müvekkillerine karşılaştırmalı perspektifte öneriler sunabilir. Örneğin, Amerika Birleşik Devletleri’nde federal kapsamda genel bir veri koruma yasası olmamakla birlikte, Kaliforniya eyaletinin CCPA (California Consumer Privacy Act) gibi kanunları vardır. Bir Türk şirketi Kaliforniya’da iş yapıyorsa, KVKK avukatı oradaki düzenlemeleri de inceleyip danışmanlık vermek durumunda kalabilir (genellikle yerel hukukçularla işbirliği içinde). Benzer şekilde Rusya, Çin gibi ülkelerin veri lokalizasyonu gibi kendine özgü kuralları olabilmektedir.

Uluslararası veri transferi konusuna tekrar dönülecek olursa, avukatlar Avrupa Birliği dışındaki mekanizmaları da izler. Örneğin, Avrupa Birliği ile ABD arasında geçmişte yürürlükte olan “Privacy Shield” anlaşması, ABAD kararıyla iptal edildikten sonra, 2023’te yeni “Data Privacy Framework” devreye alınmıştır. Bir Türk şirketi AB->ABD veri transferi yapıyorsa, bu gelişmeler de dolaylı olarak onun işini etkileyebilir. KVKK avukatı, müvekkiline “ABD’ye veri aktarırken, eğer AB’den geliyorsa, artık yeni çerçeve belgesi kapsamında hareket ediliyor, biz de benzer teminatları sağlasak iyi olur” diyerek proaktif tavsiyelerde bulunabilir.

Avrupa İnsan Hakları Mahkemesi (AİHM) ve Anayasa Mahkemesi kararları da, uluslararası bağlamda yol göstericidir. AİHM’in özel hayatın gizliliği (Madde 8) konusunda birçok önemli kararı bulunmaktadır; özellikle iş yerinde e-posta gözetimi (Barbulescu/Romanya kararı), genetik verilerin saklanması (S. ve Marper/Birleşik Krallık kararı) veya internetde unutulma hakkı (Google Spain kararı, her ne kadar ABAD kararı olsa da AİHM de bu kavramı dolaylı kabul etmektedir) gibi konular,

Türk hukukçuları için de ufuk açıcıdır. Anayasa Mahkemesi de bireysel başvurular yoluyla önemli içtihatlar geliştirmektedir. Örneğin, bir bankanın müşterisi olmayan bir kişinin kredi bilgilerinin o kişi habersizce sorgulanması olayında AYM, kişisel verilerin korunması hakkının ihlal edildiğine karar vermiştir (Nurcan Bilin başvurusu, 2018)anayasa.gov.tr. KVKK avukatı, bu gibi içtihatları yakından takip ederek gerek idari gerek yargısal savunmalarında atıf yapar, müvekkilinin lehine bir yorum zemini yaratmaya gayret eder.

KVKK Avukatı Seçerken Nelere Dikkat Edilmeli?

KVKK alanı, sürekli değişen teknoloji ve mevzuat nedeniyle oldukça dinamik ve uzmanlık gerektiren bir alandır. Bu nedenle, KVKK avukatı seçimi büyük önem taşır. İster bir birey kişisel verilerinin ihlali konusunda hukukî destek arıyor olsun, ister bir şirket uyum süreci için danışman arıyor olsun, aşağıdaki hususlar dikkate alınarak doğru avukatla çalışmak mümkündür:

• Uzmanlık ve Eğitim: KVKK, klasik hukuk dallarından farklı olarak bilişim teknolojileriyle iç içe bir disiplindir. Bu nedenle avukatın veri koruma hukuku üzerine uzmanlaşmış olması, mümkünse bu konuda yüksek lisans/doktora veya sertifika programlarıyla bilgisini derinleştirmiş olması avantajlıdır. Bir avukatın KVKK eğitimleri vermiş olması, makaleler yayınlaması, konferanslara katılması onun alandaki birikimine işaret eder. Örneğin, Avukat Bilal Alyar gibi KVKK ve bilişim hukuku alanında yayınları bulunan, bu konuda mesleki deneyim sahibi bir avukat, müvekkillerine güncel ve akademik seviyede bir hizmet sunabilir.
• Deneyim ve Emsal Çalışmalar: Avukatın daha önce KVKK alanında yürüttüğü projeler, kazandığı davalar veya sonuçlandırdığı Kurul süreçleri seçimde belirleyici olabilir. Örneğin, bir avukat daha önce birçok şirkette KVKK uyum projesi yürütmüşse, sektörünüzdeki sorunları önceden görme ve çözme becerisi yüksek olacaktır. Ya da bir bireyin kişisel verilerinin yayılması konusunda açtığı davayı başarıyla sonuçlandırmış bir avukat, emsal kararlar yaratma tecrübesine sahiptir. Müvekkil adayları, avukatla görüşürken bu tip deneyimleri sormaktan çekinmemelidir.
• Teknolojiye Hakimiyet: KVKK avukatı, sadece kanun metnini bilmekle kalmayıp temel düzeyde teknik bilgiye de sahip olmalıdır. Çünkü veri güvenliği, şifreleme, sunucu yapıları, siber saldırı türleri gibi kavramlar pratikte karşısına sıkça çıkar. Örneğin, bir avukat penetrasyon testi raporunu okuyup anlayabiliyorsa veya bir veri tabanının yedekleme rutinlerini kavrayabiliyorsa, teknik uzmanlarla rahatlıkla iletişim kurabilecek demektir. Bu da uyum sürecinde veya bir ihlal soruşturmasında işleri hızlandırır ve doğru kararlar alınmasını sağlar.
• Güncellik ve Takip: Veri koruma dünyası, sürekli yeni gelişmelerle şekilleniyor. KVKK Kurulu’nun yeni ilke kararları, GDPR ceza haberleri, yapay zekâ ile ilgili mevzuat tartışmaları… Tüm bunları yakından takip eden bir avukat, müvekkilini proaktif olarak uyarabilir. Bu nedenle seçilecek avukatın güncel gelişmelere hakim olması, belki bu konularda blog, makale, sosyal medya paylaşımı gibi mecralarda aktif olması bir göstergedir. Örneğin, Kurul’un son yayınladığı karar özetini dahi duymamış bir danışman, maalesef müvekkiline yenilikleri aktarmakta geç kalabilir.
• İletişim ve Gizlilik: KVKK konuları çoğunlukla hassas ve gizli meselelerdir. Bir veri ihlali veya bir iç soruşturma söz konusuysa, avukatın mutlak gizlilik içinde meseleyi ele alması gerekir. Müvekkil, avukatına en mahrem bilgileri açacaktır – şirketin ticari sırları, belki bazı ihmalleri veya bireylerin özel hayat detayları… Dolayısıyla güvenilirlik ve etik değerlere bağlılık, avukat seçiminde tartışılmaz bir kriterdir. Ayrıca avukatın iletişim yeteneği de güçlü olmalıdır; zira KVKK projeleri genellikle ekip işidir, şirketin farklı departmanlarıyla çalışmayı, teknik ekibi, idareyi, çalışanları yönlendirmeyi gerektirir. İyi bir KVKK avukatı, ekip çalışmasına yatkın, anlaşılır bir dil kullanan, sadece hukuki terimlerle değil karşısındakinin anlayacağı şekilde konuyu izah edebilen biridir.
• Referans ve İç Bağlantılar: Avukatın geçmiş müvekkillerinin memnuniyeti, referans olarak önemli bir göstergedir. Eğer mümkünse, daha önce hizmet verdiği kişilerden/kurumlardan geri bildirim almak faydalı olabilir. Örneğin bir KVKK projesini tamamlamış bir şirketin, bu avukat hakkında olumlu referans vermesi, size o avukatın iş kalitesi hakkında bilgi sunar. Ayrıca avukatın veya hukuk bürosunun kendi sitesinde KVKK alanıyla ilgili içerikler, makaleler bulunması da bir fikir verir. (İç bağlantı: Daha fazla bilgi için bkz. bilalalyar.av.tr adresindeki KVKK makaleleri ve rehber niteliğindeki içerikler.)

Sonuç olarak, KVKK avukatını seçerken çok yönlü değerlendirme yapmak gerekir. Bu alandaki bir hata, ya ciddi miktarda para cezasına ya da telafisi zor itibar kayıplarına yol açabilir. Bu nedenle işin ehli, güvenilir ve donanımlı bir avukatla çalışmak, bireyler ve şirketler için en akılcı yoldur.

Sıkça Sorulan Sorular (SSS)

KVKK nedir, kimleri kapsar?

KVKK, kişisel verilerin işlenmesini düzenleyen ve bireylerin veri mahremiyetini koruyan temel kanundur. 6698 sayılı bu Kanun; gerçek kişilere ait verileri işleyen tüm kurum, kuruluş ve kişileri kapsar. Yani bir şirket, dernek, kamu kurumu veya bireysel bir esnaf dahi, eğer bir gerçek kişiye ait veriyi (isim, adres, telefon gibi) işliyorsa KVKK kapsamındadır. Kanun, verisi işlenen tarafın gerçek kişi olmasını arar; tüzel kişilere ait veriler KVKK kapsamında sayılmaz. Ancak gerçek kişi verisi işleyen her yapının kanuna uyma zorunluluğu vardır.

Açık rıza olmadan kişisel veri işlemek suç mu?

Kural olarak, evet – ilgili kişinin açık rızası olmadan kişisel verilerin işlenmesi hukuka aykırıdır ve KVKK’ya aykırılık teşkil eder. KVKK’da sayılan istisnai haller (örneğin kanun hükmünün varlığı, sözleşmenin ifası, hukuki yükümlülük gibi) dışında, rıza alınmaksızın veri işlemek hukuka aykırı kabul edilir ve idari para cezasına yol açabilirbilalalyar.av.tr. Bununla birlikte, her rıza alınmadan veri işlenmesi doğrudan “suç” olarak nitelendirilmez; suç kavramı Ceza Kanunu kapsamındaki daha ağır ihlalleri ifade eder. Fakat KVKK ihlaline neden olan ciddi fiiller (veri sızdırmak gibi) TCK kapsamında da suç teşkil edebilir. Özetle: Açık rıza veya kanuni dayanak yoksa veri işlemek kanuna aykırıdır ve yaptırıma tabidir.

KVKK’ya göre ses ve görüntü kayıtları kişisel veri midir?

Evet. Ses kayıtları, kamera görüntüleri, fotoğraflar ve video kayıtları kişisel veri sayılır. Hatta bireyin yüzünü, sesini, fiziksel özelliklerini içerdiği için bunlar çoğu zaman biyometrik veri niteliğinde olabilir ve KVKK bakımından özel nitelikli kişisel veri kategorisine dahi girebilir. Örneğin bir işyerinde güvenlik kamerası ile çalışanların izlenmesi, kişisel veri işlemedir; hukuka uygun olabilmesi için KVKK’nın öngördüğü ilkelere uyulması (örneğin girişte kamera kaydı olduğunun bildirilmesi, amacı dışında kullanmama, makul süre saklama gibi) gerekir. Yine telefon görüşmelerinin kaydedilmesi de kişisel veri işlemektir; müşteriye en başta “görüşmeniz kayıt altına alınacaktır” denilmesi bir aydınlatma örneğidir.

Şirketim küçük, yine de VERBİS’e kayıt olmam gerekir mi?

Şirketiniz küçük ölçekliyse (örneğin 50’den az çalışanı ve 25 milyon TL’den düşük yıllık mali bilançoya sahipse) ve ana faaliyet konusu özel nitelikli veri işlemek değilse, KVKK Kurulu kararı gereği VERBİS’e kayıt yükümlülüğünden muaf olabilirsiniz. Kurul, yaptığı değerlendirmede özellikle KOBİ niteliğindeki işletmeleri belli kriterlerle muaf tutmuştur. Ancak şirketiniz küçük bile olsa özel nitelikli kişisel veri işliyorsanız (örneğin sağlık verisi, biyometrik veri gibi) veya yurtdışına veri aktaran uluslararası bir yapınız varsa, VERBİS’e kayıt olmanız gerekebilirbilalalyar.av.tr. Ayrıca muafiyetiniz olsa bile, KVKK’nın diğer tüm yükümlülüklerine (aydınlatma, veri güvenliği vb.) uymak zorundasınız. Muafiyet sadece Sicile kayıt içindir, kanunun genelinden muafiyet anlamına gelmez.

Bir KVKK avukatı bana nasıl yardımcı olabilir?

KVKK avukatı, kişisel verilerinizin ihlal edildiğini düşünüyorsanız haklarınızı aramada size yol gösterir ve gerekli başvuruları yapar. Örneğin adınızın izinsiz bir reklam listesine eklenmesi, fotoğraflarınızın izinsiz kullanılması gibi durumlarda önce ilgili yerlere başvuruları, ardından gerekirse KVKK Kurumu’na şikâyeti veya mahkemede davayı avukatınız vasıtasıyla yapabilirsiniz. Bir şirket sahibiyseniz, KVKK avukatı işyerinizin tüm veri işleme pratiklerini gözden geçirip kanuna uyumlu hale gelmesine destek olur; aydınlatma metinlerinizi, sözleşmelerinizi hazırlar, çalışanlarınıza eğitim verir, olası bir incelemede şirketinizi temsil eder. Kısacası KVKK avukatı, verilerin korunması konusunda hem kalkan hem kılavuz işlevi görür.

KVKK ihlali durumunda nereye şikâyet edebilirim, nasıl bir yol izlemeliyim?

Öncelikle, kişisel verilerinizin ihlal edildiğini düşünüyorsanız ilgili veri sorumlusuna (verinizi işleyen kuruma veya kişiye) yazılı olarak başvurmalısınız. Örneğin bir hastane yanlışlıkla sağlık raporunuzu başkasına verdiyse, önce o hastaneye durumun düzeltilmesi ve zararın giderilmesi için başvuruda bulunun. Veri sorumlusu size 30 gün içinde cevap vermek zorundadır. Cevap alamaz veya tatmin edici bulmazsanız, Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilirsiniz. KVKK Kurulu, şikâyetinizi inceleyip ihlal görürse ilgili kuruma ceza verebilir veya işlemi durdurabilirbilalalyar.av.tr. Ayrıca, eğer bu ihlal nedeniyle maddi/manevi zarara uğradıysanız, veri sorumlusuna karşı dava açma hakkınız da var. Bu süreçleri bir KVKK avukatı yardımıyla yürütmeniz, hem usul hatası yapmamak hem de haklarınızı tam savunmak açısından yararınıza olacaktır.

Kişisel Verilerin Korunması Hukuku – Dijital Çağın En Temel Hak Alanı

Günümüzde dijitalleşmenin hızla yayılması, bireylerin kişisel verilerinin toplanması, işlenmesi ve paylaşılması süreçlerini daha karmaşık hale getirmiştir. Bu gelişmelerle birlikte kişisel verilerin korunması hukuku, bireylerin özel hayatının gizliliğini güvence altına alan en önemli hukuk dallarından biri haline gelmiştir.

Türkiye’de bu alandaki yasal çerçeve, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile belirlenmiştir. Kişisel verileri koruma kurumu KVKK, hem kamu kurumları hem de özel sektörün veri işleme faaliyetlerini denetleyen, rehberlik eden ve ihlaller karşısında yaptırım uygulayan yetkili otoritedir. Kurum, bireylerin verilerinin hukuka aykırı olarak paylaşılmasını önlemek, bilgilendirme yükümlülüklerinin yerine getirilmesini sağlamak ve veri güvenliğini teminat altına almakla görevlidir.

Büyük şehirlerde faaliyet gösteren uzman hukukçular, özellikle İstanbul KVKK avukatı olarak kişisel verilerin korunmasıyla ilgili danışmanlık ve dava süreçlerinde önemli bir rol oynar. Bu avukatlar, şirketlerin KVKK uyum süreçlerini yönetir, çalışan verisi, müşteri datası veya pazarlama verisi gibi alanlarda yasal düzenlemelere uygunluk sağlar.

Ayrıca, hakkında kişisel verileri koruma kurulunun karar verdiği ihlaller; genellikle veri sızması, açık rıza olmadan veri paylaşımı veya veri imhası yükümlülüklerinin yerine getirilmemesi gibi durumları kapsar. Bu tür olaylarda, hem bireylerin şikayet hakkı hem de kurumların idari para cezası veya yasal yaptırımlarla karşılaşma riski bulunmaktadır.

Sonuç olarak, kişisel verilerin korunması hukuku, dijital dünyada bireylerin haklarını güvence altına alırken, şirketlere de veri güvenliği konusunda ciddi sorumluluklar yüklemektedir. Bu nedenle hem bireylerin hem de kurumların KVKK kapsamında bilinçli hareket etmesi, dijital çağda hukuki güvenliğin temeli olarak görülmektedir.

KVKK kapsamında idari para cezaları ne kadardır?

KVKK ihlalleri için öngörülen idari para cezaları, ihlal türüne göre değişmekle birlikte on binlerce liradan milyon liraya varan rakamlardadır. Örneğin aydınlatma yükümlülüğünü yerine getirmeyenler için güncel olarak 50 bin TL’den başlayıp 1 milyon TL’ye kadar ceza verilebilir; veri güvenliği tedbirlerini almayanlar için 100 bin TL’den 1,5 milyon TL’ye kadar; VERBİS’e kayıt olmama halinde 50 bin TL’den 2 milyon TL’ye kadar ceza öngörülmektedirbilalalyar.av.tr. Bu tutarlar her yıl yeniden değerleme oranıyla güncellenir (artırılır). Kurul, ihlalin ağırlığına, kast veya ihmal durumuna, etkilenen kişi sayısına göre bu aralıklarda bir cezaya karar verir. Uygulamada son yıllarda Kurul’un çok sayıda şirkete yüz binlerce lira ceza kestiği görülmüştür. Dolayısıyla KVKK uyumunu sağlamak, bu cezaların önüne geçmek için kritik önem taşır.

KVKK Avukatı – Kişisel Verilerin Korunması Hukuku Uzmanı: KVKK avukatı, kişisel verilerin korunması kanunu avukatı, veri koruma hukuku danışmanı, KVKK uyum uzmanı avukat, İstanbul KVKK avukatı, Marmara Bölgesi KVKK danışmanlığı, kişisel veri ihlali avukatı, veri güvenliği hukuki destek sağlayan profesyonel hukukçu olarak faaliyet göstermektedir.

KVKK danışmanlığı ve kişisel veri avukatı hizmetleri, şirketlerin KVKK uyumluluğunu sağlama, VERBİS kaydı, aydınlatma metni hazırlama, açık rıza alma, veri ihlali kriz yönetimi ve KVKK Kurumu süreçlerinde temsil konularını kapsar. KVKK uzmanı avukatlar, İstanbul başta olmak üzere tüm Türkiye’de ve uluslararası alanda, kişisel verilerin korunması alanında hukuki danışmanlık ve dava takip hizmeti sunmaktadır. bilalalyar.av.trbilalalyar.av.tr

[1] [2] [3] [4] [5] [8] [9] [10] [11] [12] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [28] [29] [30] [33] [34] Kişisel Verilerin Korunması Hukuku (KVKK): Türkiye’de Veri Mahremiyetinin Hukuki Çerçevesi | Kripto Para Avukatı | Bilişim Avukatı I Şirket Avukatı I Sosyal Medya Avukatı | Av. Bilal ALYAR

[6] [7] [32] Özel Hayatın Korunması Hakkına Dair Emsal Kararlar Tüm Liste | Anayasa Mahkemesi

[13] [14] Personal Data Protection Law no. 6698 of Türkiye – English Translation

[25] [26] KVKK’den sosyal medya platformu X’e 1 milyon 470 bin lira idari para cezası

[27] “UNUTULMA HAKKI” İLE İLGİLİ KVKK DUYURUSU

[31] [PDF] Sayfa 1 / 16 Kişisel Verileri Koruma Kurulu’nun 108 Sayılı Sözleşme …