İzmir KVKK Avukatı Rehberliğinde 6698 Sayılı Kanun Temel Kavramları: 2026 Güncel Bilgiler
KVKK Temel Kavramlar | KVKK Avukatı | İzmir Avukat | İzmir Avukatlık Bürosu
İzmir bölgesinde faaliyet gösteren işletmeler için kişisel verilerin korunması süreçleri, 2026 yılı itibarıyla çok daha kritik bir hukuki zemin üzerine oturmaktadır. Veri sorumlularının idari ve teknik tedbirleri eksiksiz alması, sadece bir yasal zorunluluk değil, aynı zamanda kurumsal itibarın korunması adına da temel bir gerekliliktir. Kişisel Verileri Koruma Kurumu tarafından yayınlanan güncel rehberler ışığında, uyum sürecinin ilk basamağı Kanun içerisinde yer alan temel kavramların doğru analiz edilmesidir.
KVKK Kapsamında Kişisel Veri Kavramları
Kişisel verilerin işlenmesi süreçlerinde en çok karıştırılan noktaların başında, hangi bilgilerin koruma kapsamında olduğu ve bu verilerin asıl sahibinin kim olduğu gelmektedir. İzmir Karşıyaka merkezli hukuk danışmanlığı süreçlerimizde, müvekkillerimizin veri haritalarını çıkarırken bu tanımları temel kriter olarak belirlemekteyiz.
Kişisel Veri Kavramı: Hangi Bilgiler Koruma Altındadır?
Kişisel veri, kimliği belirli veya belirlenebilir nitelikteki bir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu tanım, bir bireyin şahsi, mesleki ve ailevi özelliklerini gösteren tüm detayları içerir. 6698 sayılı Kanun, hangi bilgilerin bu kapsamda olduğuna dair sınırlı bir liste sunmamış, bunun yerine teknolojinin gelişimiyle türetilebilecek tüm veri kategorilerini kapsayacak geniş bir tanım benimsemiştir.
Aşağıdaki tablo, 2026 standartlarına göre kişisel veri olarak kabul edilen bazı temel örnekleri göstermektedir:
| Veri Kategorisi | Örnek Veri Türleri |
| Kimlik Bilgileri | Ad, soyadı, doğum tarihi, kimlik numarası |
| İletişim ve Adres | Telefon numarası, ikamet adresi, e posta |
| Fiziksel ve Biyometrik | Parmak izi, ses kaydı, görüntü, genetik bilgiler |
| Ekonomik Durum | Kredi kartı bilgileri, alışveriş alışkanlıkları |
| Resmi Numaralar | Pasaport numarası, sosyal güvenlik numarası, plaka |
İlgili Kişi Kavramı, Gerçek Kişi ve Tüzel Kişi Ayrımı
Kanun içerisinde kişisel verisi işlenen gerçek kişiyi ifade etmek üzere ilgili kişi terimi kullanılmaktadır. 6698 sayılı Kanun uyarınca korunan haklar yalnızca gerçek kişilere tanınmıştır. Tüzel kişilere (şirketler, dernekler veya vakıflar) ait veriler kural olarak Kanun kapsamında değildir. Ancak, bir tüzel kişiye ait verinin herhangi bir gerçek kişiyi belirlenebilir kılması durumunda, bu veriler üzerinden dolaylı olarak gerçek kişinin menfaati korunmaktadır. Örneğin, bir şirketin vergi numarasından ziyade, o şirketin tek ortağı olan gerçek kişinin harcamalarına ulaşılması durumu bu kapsamda değerlendirilir.
Veri İşleme Faaliyetlerinde Açık Rıza ve Geçerlilik Şartları
6698 sayılı Kanun’un hayatımıza girmesiyle birlikte en sık duyduğumuz kavramlardan biri “açık rıza” olmuştur. Anayasa’nın 20. maddesi uyarınca kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Açık rıza, hem özel nitelikli olan hem de olmayan verilerin işlenmesi için temel bir hukuka uygunluk sebebidir.
Geçerli Bir Açık Rızanın Üç Temel Unsuru Nedir?
Kanun’un 3. maddesinde açık rıza; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmıştır. 2026 yılındaki güncel denetim standartlarına göre bir rızanın geçerli sayılabilmesi için bu üç unsurun bir arada bulunması zorunludur:
- Belirli Bir Konuya İlişkin Olma: Rıza beyanı genel bir irade açıklaması niteliğinde olamaz. “Tüm verilerimin işlenmesini kabul ediyorum” gibi belirsiz beyanlar hukuken geçersizdir. İşleme amacının değişmesi halinde her yeni amaç için ayrı bir rıza alınması şarttır.
- Bilgilendirmeye Dayanma: Kişinin neye rıza gösterdiğini ve rızasının sonuçlarını tam olarak bilmesi gerekir. Bilgilendirme, veri işleme faaliyetinden önce, açık ve anlaşılır bir dille yapılmalıdır.
- Özgür İradeyle Açıklanma: Kişinin yaptığı davranışın bilincinde olması ve kararın kendi iradesinden kaynaklanması gerekir. Cebir, tehdit, hata veya hile gibi iradeyi sakatlayan hallerde verilen rıza geçersizdir.
Özgür İrade ve Hizmet Şartına Bağlama Yasağı
İzmir’deki hizmet sektöründe faaliyet gösteren firmaların en çok dikkat etmesi gereken husus, açık rızanın bir ürün veya hizmetin sunulmasının ön şartı haline getirilmemesidir.
Önemli Not: Bir hizmetten yararlanılmasının üyelik şartına bağlandığı durumlarda, üyelik için zorunlu olmayan bir verinin (örneğin parmak izi) işlenmesinin dayatılması, rızayı sakatlar ve ölçülülük ilkesine aykırı kabul edilir.
Ayrıca, özellikle işçi ve işveren arasındaki ilişkilerde tarafların eşit konumda olmaması nedeniyle rızanın özgürce verilip verilmediği titizlikle değerlendirilir. İşçiye rıza göstermeme imkanının sunulmadığı veya rıza göstermemenin olumsuz sonuç doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilmez.
İspat Yükümlülüğü Kimdedir?
6698 sayılı Kanun’a uygun bir şekilde açık rıza alındığına ilişkin ispat yükümlülüğü tamamen veri sorumlusuna aittir. Bu rızanın elektronik ortam, çağrı merkezi veya fiziksel yollarla alınması mümkündür ancak her durumda ispat edilebilir olması şarttır.
| Unsur | Gereklilik Özeti |
| Kapsam | Belirsiz (battaniye) rıza yasaktır. |
| Zamanlama | Bilgilendirme işlemden önce yapılmalıdır. |
| Yöntem | Okunabilir punto ve anlaşılır terimler kullanılmalıdır. |
| İspat | İspat yükü veri sorumlusundadır. |
Veri Sorumlusu ve Veri İşleyen Kavramlarının Belirlenmesi
6698 sayılı Kanun kapsamında sorumlulukların doğru paylaştırılması için veri sorumlusu ile veri işleyen arasındaki farkın net bir şekilde ortaya konulması gerekmektedir. İzmir Karşıyaka merkezli işletmelerin idari para cezaları ile karşılaşmaması adına bu tanımların her veri işleme süreci için ayrı ayrı analiz edilmesi şarttır.
Veri Sorumlusu Kimdir? Karar Alma Yetkisi Kimdedir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bir tüzel kişilik içerisinde birimlerin ayrı ayrı veri sorumlusu olması mümkün değildir, sorumluluk bizzat tüzel kişiliğin kendisine aittir.
Veri sorumlusunun tespiti aşamasında aşağıdaki kritik soruların cevabını kimin verdiği dikkate alınmalıdır:
- Kişisel verilerin hangi yöntemle toplanacağı
- Hangi veri türlerinin işleme sürecine dahil edileceği
- Verilerin hangi amaçlarla kullanılacağı
- Hangi bireylerin verilerinin toplanacağı
- Verilerin kimlerle paylaşılacağı ve ne kadar süreyle saklanacağı
Özellikle uzman hizmet sağlayıcıları olan avukatlar veya mali müşavirler, kendi mesleki yükümlülükleri ve yasal bildirim zorunlulukları nedeniyle genellikle veri sorumlusu statüsündedir.
Veri İşleyen ve İlgili Kullanıcı Kavramları
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki ayrı bir gerçek veya tüzel kişidir. Veri işleyenin faaliyetleri genellikle teknik kısımlarla sınırlıdır. Örneğin, bir kamu kuruluşuna depolama hizmeti sunan bulut hizmeti sağlayıcısı, verileri kendi amaçları için kullanamadığı sürece veri işleyen statüsündedir.
Buna ek olarak, 2026 denetimlerinde sıkça karşımıza çıkan ilgili kullanıcı kavramı ise şu şekilde tanımlanmaktadır:
- Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi veya birimler hariç tutulur.
- Veri sorumlusu organizasyonu içerisinde yer alan kişiler bu tanıma dahildir.
- Veri sorumlusundan alınan yetki ve talimat doğrultusunda verileri işleyen kişileri ifade eder.
| Statü | Karar Yetkisi | Organizasyon Yapısı |
| Veri Sorumlusu | Amaç ve vasıtaları belirler | Karar verici mekanizma |
| Veri İşleyen | Talimatlar doğrultusunda hareket eder | Organizasyon dışındaki üçüncü taraf |
Veri Aktarımı Sürecinde Yeni Tanımlar: Veri Aktaran ve Veri Alıcısı
Temmuz 2024’te yürürlüğe giren “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”, yurt dışı veri trafiğindeki tarafları net bir şekilde tanımlamıştır. Bu tanımlar, verinin ülke sınırlarını aşması durumunda sorumluluğun kimde olduğunu belirlemek adına kritiktir.
- Veri Aktaran: Kişisel verileri yurt dışına aktaran veri sorumlusu veya veri işleyeni ifade eder.
- Veri Alıcısı: Veri aktarandan kişisel verileri alan yurt dışındaki veri sorumlusu veya veri işleyeni temsil eder.
Bu hiyerarşi, İzmir merkezli bir firmanın yurt dışı menşeli bir yazılım kullanması durumunda, yerel firmanın “Veri Aktaran” sıfatıyla uyması gereken yükümlülükleri belirler.
İzmir Karşıyaka Bölgesinde KVKK Uyumu İçin Profesyonel Destek
6698 Sayılı Kanunda yer alan kavramlar ve uygulamalar, 2026 yılı itibarıyla işletmeler için sadece birer hukuki terim olmaktan çıkmış ve operasyonel birer zorunluluk haline gelmiştir. İzmir gibi ticari dinamizmin yüksek olduğu bölgelerde, veri sorumlusu olan tüzel kişilerin idari yükümlülüklerini eksiksiz yerine getirmesi hayati önem taşımaktadır.
Kişisel Verileri Koruma Kurumu (KVKK), Ankara merkezli bir kurum olarak tüm Türkiye’deki veri işleme faaliyetlerini denetlemektedir. Bu süreçte hata payını en aza indirmek ve Kanun ile korunan ilgili kişi haklarını ihlal etmemek adına profesyonel bir rehberlik almak, olası yüksek idari para cezalarının önüne geçmektedir.
Neden Profesyonel Danışmanlık Almalısınız?
- Doğru Statü Belirleme: Şirketinizin veri sorumlusu mu yoksa veri işleyen mi olduğunu netleştirmek, hukuki sorumluluğun sınırlarını çizer.
- Güncel Mevzuat Takibi: 2024 yılında yürürlüğe giren aktarım yönetmeliği gibi yeni düzenlemelere uyum sağlamak, 2026 standartlarında bir zorunluluktur.
- Teknik ve İdari Tedbirler: Veri kayıt sisteminizin Kanun kapsamına girip girmediğini tespit ederek doğru güvenlik önlemlerini almanızı sağlar.
- Risk Yönetimi: Yurt dışına veri aktarımı süreçlerinde muhtemel riskler hakkında bilgilendirme yaparak açık rıza süreçlerini hukuka uygun yürütmenize yardımcı olur.
İzmir Karşıyaka lokasyonunda yer alan hukuk büromuz, KVKK süreçlerinizi en güncel rehberler ve kurum kararları ışığında yönetmek için yanınızdadır. Veri envanteri hazırlığından açık rıza metinlerinin düzenlenmesine kadar her aşamada güvenilir bir çözüm ortağı sunuyoruz. Kişisel verilerin korunması sadece bir yasal uyum değil, aynı zamanda müşterilerinizle kurduğunuz güven ilişkisinin temelidir.
Konuya ilişkin detaylı bilgi ve hukuki danışmanlık için tarafımız ile iletişime geçebilirsiniz.
Kişisel Verileri Koruma Kanunu (KVKK) kapsamında hazırlamış olduğumuz diğer yazılarımız için;
- KVKK Nedir?
- Kişisel Veriler Nelerdir?
- Kişisel Verilerin Korunması Kanunu Temel Kavramlar Nelerdir?
- Kişisel Verilerin Korunması Kanunu Temel İlkeler Nelerdir?
- Aydınlatma Metni Nedir? Neleri İçermelidir?
- Kişisel Veri Envanteri Nedir?
- Kişisel Veri Envanteri ile Veri Sorumluları Sicilinin Farkları Nelerdir?
- KVKK Sicil Kaydına İlişkin Olarak Yıllık Çalışan Sayısı Nasıl Hesaplanır?
- KVKK Sicil Kaydına İlişkin Olarak Mali Bilanço Toplamı Nasıl Hesaplanmalı?
- Kişisel Veri Envanteri Neleri İçermelidir?
- Kişisel Veri Envanteri ile Veri Sorumluları Sicilinin Farkları Nelerdir?
- Kişisel Veri Kategorileri Nelerdir?
- Veri Sorumluları Sicilinde Yer Alan Kişisel Veri İşleme Sebepleri Nelerdir?
- Veri Sorumluları Sicilinde Öngörülen Güvenlik Tedbirleri Nelerdir?
- Veri Sorumluları Sicilinde Süreler Belirtilirken Nelere Dikkat Edilmelidir?
- VERBİS Kaydından Muafiyet
- Meşru Menfaat & Denge Testi
- Whatsapp Güncellemesi & Veri Güvenliği
- KVKK Yaptırımlar
- Unutulma Hakkı Nedir?
- KVKK İdari Para Cezaları 2023
- GDPR Nedir?
- DPO Nedir? Kimdir?
- Sağlık Sektörü ve Kişisel Verilerin Korunması Kanunu (KVKK)
Adres: Nergis Mahallesi Girne Bulvarı No: 83 K:2 D:2 Karşıyaka İzmir
E-posta: [email protected]
Telefon: +90 534 415 52 56
