Kişisel Verilerin Korunması (KVKK) Davası ve Tazminat Rehberi — 2026 Güncel Rehber
Dijital çağda kişisel verilerin korunması, bireylerin en temel haklarından biri hâline gelmiştir. 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de kişisel verilerin işlenmesine ilişkin temel kuralları belirlemekte ve ihlal durumunda başvurulabilecek hukuki yolları düzenlemektedir. KVKK ihlalleri karşısında bireylerin sahip olduğu şikâyet hakkı, tazminat talebi ve ceza hukuku koruması büyük önem taşımaktadır. Bu rehberde; KVKK'nın temel kavramlarından başlayarak veri ihlali türlerini, başvuru ve şikâyet süreçlerini, idari para cezalarını, maddi ve manevi tazminat davalarını, ceza hukuku boyutunu ve 2026 yılı güncel verilerini kapsamlı biçimde ele alıyoruz.
1. Kişisel Veri ve KVKK: Temel Kavramlar
Kişisel veri, KVKK md. 3/1-d uyarınca "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanmaktadır. Ad-soyad, TC kimlik numarası, telefon numarası, e-posta adresi, IP adresi, fotoğraf, parmak izi ve hatta konum bilgisi gibi veriler kişisel veri kapsamındadır. Belirlenebilirlik kriteri geniş yorumlanmakta olup; tek başına kişiyi tanımlamasa bile başka verilerle birleştirildiğinde kimlik tespitine olanak tanıyan bilgiler de bu kapsama girmektedir.
Öte yandan KVKK md. 6'da düzenlenen özel nitelikli kişisel veriler ise kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek-vakıf-sendika üyeliği, sağlık verileri, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri ile biyometrik ve genetik verileridir. Bu veriler, nitelikleri gereği işlenmeleri hâlinde ayrımcılığa neden olabilecek hassas bilgiler olduğundan daha sıkı koruma rejimine tabi tutulmuştur.
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir (KVKK md. 3/1-ı). Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak kişisel verileri işleyen gerçek veya tüzel kişidir (KVKK md. 3/1-ğ). İlgili kişi, kişisel verisi işlenen gerçek kişidir.
2. Kişisel Veri İşleme Şartları ve İlkeleri
KVKK, kişisel verilerin işlenmesini belirli şartlara ve ilkelere bağlamıştır. KVKK md. 4 uyarınca kişisel veriler; hukuka ve dürüstlük kurallarına uygun olarak, doğru ve gerektiğinde güncel olarak, belirli, açık ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek işlenmelidir.
KVKK md. 5 kapsamında kişisel verilerin işlenme şartları belirlenmiştir. Kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hâllerinde açık rıza aranmamaktadır.
Açık rıza, KVKK md. 3/1-a uyarınca "belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza" olarak tanımlanmaktadır. Kişisel Verileri Koruma Kurulu'nun yerleşik kararlarına göre açık rıza ile aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerekmektedir (Kurul'un 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı). Hizmetin açık rıza şartına bağlanması da hukuka aykırı kabul edilmektedir.
3. Veri Sorumlusunun Yükümlülükleri
Veri sorumlusu, KVKK kapsamında çok sayıda yükümlülüğe sahiptir. Bu yükümlülüklerin ihlali, hem idari para cezasına hem de tazminat sorumluluğuna yol açabilmektedir.
Aydınlatma Yükümlülüğü (KVKK md. 10): Veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişileri; veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin hakları konusunda bilgilendirmekle yükümlüdür. Bu yükümlülüğün yerine getirilmemesi 2026 yılında 85.437 TL ile 1.709.200 TL arasında idari para cezası gerektirmektedir.
Veri Güvenliğine İlişkin Yükümlülükler (KVKK md. 12): Veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Veri İhlali Bildirim Yükümlülüğü (KVKK md. 12/5): Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür. Kurul, gerekmesi hâlinde bu durumu kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
VERBİS Kayıt Yükümlülüğü (KVKK md. 16): Veri sorumluları, veri işlemeye başlamadan önce Veri Sorumluları Sicili'ne (VERBİS) kaydolmak zorundadır. Bu yükümlülüğün ihlali 2026 yılında 341.809 TL ile 17.092.242 TL arasında idari para cezası gerektirmektedir.
4. KVKK İhlal Türleri ve Örnekleri
KVKK ihlalleri çeşitli biçimlerde ortaya çıkabilmektedir. Uygulamada en sık karşılaşılan ihlal türleri şunlardır:
Hukuka aykırı veri işleme: İlgili kişinin açık rızası olmaksızın ve kanunda belirtilen istisna hallerinden birine dayanmaksızın kişisel verilerin işlenmesidir. Örneğin bir şirketin, çalışanlarının sağlık verilerini açık rızaları olmaksızın üçüncü kişilerle paylaşması bu kapsamdadır.
Aydınlatma yükümlülüğünün ihlali: Kişisel veri toplama sırasında ilgili kişinin yeterince bilgilendirilmemesi veya aydınlatma metninin hiç sunulmamasıdır. Kişisel Verileri Koruma Kurulu kararlarında spor salonu hizmeti sunan veri sorumlusunun üyelerinin biyometrik verilerini toplarken yeterli aydınlatma yapmaması ihlal olarak değerlendirilmiştir.
Veri güvenliği ihlali (data breach): Kişisel verilerin yetkisiz erişim, kazara kayıp, tahribat veya ifşa sonucu ele geçirilmesidir. Siber saldırılar, sistem açıkları, çalışan ihmalinden kaynaklanan veri sızıntıları bu kategoridedir.
Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi: Biyometrik veriler, sağlık verileri, ceza mahkûmiyeti bilgileri gibi hassas verilerin kanunda belirtilen şartlara uyulmaksızın işlenmesidir. Havaalanlarında yüz tanıma kameralarının KVKK'ya uygunluğu Kurul tarafından inceleme konusu yapılmıştır.
Kişisel verilerin hukuka aykırı aktarımı: Kişisel verilerin ilgili kişinin rızası olmaksızın veya kanuni dayanağı bulunmaksızın üçüncü kişilere ya da yurt dışına aktarılmasıdır.
5. KVKK Başvuru ve Şikâyet Süreci
KVKK ihlallerine karşı hukuki yol izlemek isteyen ilgili kişiler için iki aşamalı bir başvuru sistemi öngörülmüştür.
Birinci Aşama — Veri Sorumlusuna Başvuru (KVKK md. 13): İlgili kişi, KVKK'nın kendisine tanıdığı hakları kullanmak için öncelikle veri sorumlusuna yazılı olarak veya Kurul'un belirlediği diğer yöntemlerle başvuruda bulunur. Veri sorumlusu, başvuruda yer alan talepleri en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Talebin ayrıca bir maliyet gerektirmesi hâlinde Kurul tarafından belirlenen tarifedeki ücret alınabilir.
İkinci Aşama — Kurula Şikâyet (KVKK md. 14): Veri sorumlusuna yapılan başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hâlinde ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunabilir. Kurul, şikâyet üzerine yapacağı incelemeyi 60 gün içinde sonuçlandırır; bu süre içinde cevap verilmezse talep reddedilmiş sayılır.
İlgili kişinin, Kurula şikâyette bulunmasından bağımsız olarak, genel hükümlere göre doğrudan adli veya idari yargı yoluna gidebilmesi de mümkündür (KVKK md. 14/3).
6. 2026 Yılı KVKK İdari Para Cezaları
KVKK md. 18 kapsamında veri sorumlularına uygulanabilecek idari para cezaları, her yıl Vergi Usul Kanunu uyarınca belirlenen yeniden değerleme oranında güncellenmektedir. 2025 yılı sonu itibarıyla yeniden değerleme oranı %25,49 olarak belirlenmiş olup 2026 yılında geçerli idari para cezası tutarları aşağıdaki tabloda yer almaktadır:
| İhlal Türü | Alt Sınır (TL) | Üst Sınır (TL) |
|---|---|---|
| Aydınlatma yükümlülüğünü yerine getirmemek (md. 10) | 85.437 | 1.709.200 |
| Veri güvenliği yükümlülüklerini yerine getirmemek (md. 12) | 256.357 | 17.092.242 |
| Kurul kararlarını yerine getirmemek (md. 15) | 427.263 | 17.092.242 |
| VERBİS kayıt ve bildirim yükümlülüğüne aykırı davranmak (md. 16) | 341.809 | 17.092.242 |
| Yurt dışı aktarım standart sözleşme bildirim yükümlülüğüne aykırı davranmak | 90.308 | 1.806.377 |
Bu cezalar veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. Kurul tarafından verilen idari para cezalarına karşı, kararın tebliğinden itibaren 60 gün içinde idare mahkemesinde iptal davası açılabilir.
7. KVKK İhlalinde Tazminat Davası
KVKK md. 14/3, kişilik hakları ihlal edilenlerin genel hükümlere göre tazminat haklarının saklı olduğunu açıkça hükme bağlamaktadır. Dolayısıyla kişisel verisi hukuka aykırı biçimde işlenen, aktarılan veya ifşa edilen ilgili kişi, hem maddi hem manevi tazminat davası açabilir.
Hukuki Dayanak: Tazminat talepleri; Türk Medeni Kanunu md. 24-25 (kişiliğin korunması), Türk Borçlar Kanunu md. 49-58 (haksız fiil ve manevi tazminat) ve Anayasa md. 20/3 (kişisel verilerin korunması hakkı) hükümlerine dayanmaktadır.
Tazminat Talebinin Şartları:
Kişisel veri ihlali nedeniyle tazminat talebinde bulunabilmek için dört temel unsurun bir arada bulunması gerekmektedir: hukuka aykırı bir eylem veya işlemle kişisel verilerin korunması hakkının ihlal edilmiş olması, ihlal neticesinde maddi veya manevi zararın ortaya çıkmış olması, zarar ile hukuka aykırı eylem arasında nedensellik (illiyet) bağının bulunması ve hukuka aykırı eylem veya işlemi gerçekleştirenin kusurlu olması.
Maddi Tazminat: Kişisel veri ihlali sonucu uğranılan ekonomik kayıpların tazmini talep edilir. Örneğin, kişisel bilgilerin çalınması sonucu dolandırıcılığa uğrayan kişinin mali zararları, ihlal nedeniyle iş kaybı yaşanması, kredi notunun düşmesi gibi somut ekonomik zararlar bu kapsamdadır.
Manevi Tazminat: TBK md. 58 uyarınca kişilik hakkı hukuka aykırı olarak saldırıya uğrayan kimse, uğradığı manevi zarara karşılık manevi tazminat olarak bir miktar para ödenmesini isteyebilir. Yargıtay içtihatlarında, kişinin rızası olmaksızın kişisel bilgilerinin kullanılarak adına telefon hattı çıkarılması, fatura borcu nedeniyle icra takibi başlatılması gibi durumlarda kişilik haklarına saldırı gerçekleştiği kabul edilerek manevi tazminata hükmedilmiştir.
8. Görevli ve Yetkili Mahkeme
KVKK ihlalinden doğan tazminat davalarında görevli mahkeme, uyuşmazlığın kaynağına göre farklılık göstermektedir:
Asliye hukuk mahkemesi: Genel kural olarak kişisel veri ihlali nedeniyle açılan maddi ve manevi tazminat davaları asliye hukuk mahkemesinde görülür.
İş mahkemesi: İşçi-işveren ilişkisinden kaynaklanan kişisel veri ihlallerinde (çalışanın özlük verilerinin hukuka aykırı paylaşılması, işyerinde kamera görüntülerinin üçüncü kişilere verilmesi vb.) görevli mahkeme iş mahkemesidir.
Tüketici mahkemesi: Tüketici işlemlerinden doğan kişisel veri ihlallerinde tüketici mahkemesi görevlidir. Tazminat tutarına göre tüketici hakem heyetine de başvurulabilir.
Asliye ticaret mahkemesi: Ticari ilişkiden kaynaklanan veri ihlali uyuşmazlıklarında asliye ticaret mahkemesi görevlidir.
İdare mahkemesi: Kamu kurum ve kuruluşlarının veri sorumlusu olduğu durumlarda, kişisel verilerin ihlalinden doğan tazminat davası idare mahkemesinde tam yargı davası olarak açılır. Ayrıca Kişisel Verileri Koruma Kurulu kararlarına karşı da idare mahkemesinde iptal davası açılabilir.
Yetkili mahkeme ise genel yetkili mahkeme kurallarına göre davalının yerleşim yeri mahkemesidir. Haksız fiilden doğan davalarda HMK md. 16 uyarınca haksız fiilin işlendiği yer veya zararın meydana geldiği ya da gelme ihtimalinin bulunduğu yer mahkemesi de yetkilidir.
9. Zamanaşımı Süreleri
KVKK ihlalinden doğan tazminat davalarında zamanaşımı, uygulanacak hukuki rejime göre belirlenir:
Haksız fiil zamanaşımı (TBK md. 72): Tazminat istemi, zarar görenin zararı ve tazminat yükümlüsünü öğrendiği tarihten başlayarak 2 yıl ve her hâlde fiilin işlendiği tarihten başlayarak 10 yıl içinde zamanaşımına uğrar. Ancak kişisel veri ihlali aynı zamanda bir suç oluşturuyorsa (TCK md. 135-140) ve ceza kanununda daha uzun bir zamanaşımı süresi öngörülmüşse, bu süre uygulanır.
Kurul şikâyeti süreleri: Veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 gün ve her hâlde başvuru tarihinden itibaren 60 gün içinde Kurula şikâyette bulunulmalıdır. Bu süreler hak düşürücü nitelik taşımaktadır.
Kurul kararına itiraz süresi: Kurul kararlarına karşı idare mahkemesinde iptal davası açma süresi, kararın tebliğinden itibaren 60 gündür.
10. Kişisel Verilerin Korunmasının Ceza Hukuku Boyutu
KVKK ihlallerinin bir kısmı aynı zamanda 5237 sayılı Türk Ceza Kanunu kapsamında suç teşkil etmektedir. TCK'da kişisel verilere ilişkin üç temel suç tipi düzenlenmiştir:
| Suç Tipi | TCK Maddesi | Temel Ceza |
|---|---|---|
| Kişisel verilerin kaydedilmesi | TCK md. 135 | 1-3 yıl hapis |
| Kişisel verilerin hukuka aykırı olarak verme veya ele geçirme | TCK md. 136 | 2-4 yıl hapis |
| Verileri yok etmeme | TCK md. 138 | 1-2 yıl hapis |
TCK md. 135 uyarınca hukuka aykırı olarak kişisel verileri kaydeden kimse 1 yıldan 3 yıla kadar hapis cezasıyla cezalandırılır. Kişisel verinin kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması hâlinde verilecek ceza yarı oranında artırılır (TCK md. 135/2).
TCK md. 136 uyarınca kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi 2 yıldan 4 yıla kadar hapis cezasıyla cezalandırılır. TCK md. 137 uyarınca bu suçların kamu görevlisi tarafından görevin verdiği yetkinin kötüye kullanılması suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanılarak işlenmesi hâlinde ceza yarı oranında artırılır.
TCK md. 138 uyarınca kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevin gereği olarak bu verileri yok etmeyenler 1 yıldan 2 yıla kadar hapis cezasıyla cezalandırılır.
11. Veri İhlali Bildirimi ve Kurul İnceleme Süreci
Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu, Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarihli ve 2019/10 sayılı kararı uyarınca bu durumu öğrendiği tarihten itibaren 72 saat içinde Kurul'a bildirmekle yükümlüdür.
Veri ihlali bildiriminde bulunması gereken asgari unsurlar şunlardır: ihlalin ne zaman gerçekleştiği, hangi kişisel veri kategorilerinin etkilendiği, ihlalden etkilenen kişi sayısı, ihlalden doğabilecek olumsuz etkiler ve bunların azaltılması için alınan veya alınması önerilen tedbirler.
Kurul, re'sen veya şikâyet üzerine inceleme başlatabilir (KVKK md. 15). İnceleme sırasında Kurul; kişisel verilerin işlenmesine ilişkin idari tedbirleri belirleyebilir, kişisel verilerin işlenmesini veya kişisel verilerin üçüncü kişilere aktarılmasını durdurabilir ve gerekli görülen hâllerde kişisel verilerin silinmesini veya yok edilmesini isteyebilir.
12. KVKK ve Güncel Gelişmeler: Yapay Zekâ, Deepfake ve Sosyal Medya
2026 yılında kişisel verilerin korunması alanında özellikle yapay zekâ uygulamaları, deepfake teknolojisi ve sosyal medya platformları üzerinden gerçekleştirilen ihlaller gündemin ön sıralarında yer almaktadır.
Yapay zekâ sistemlerinin kişisel verileri işlemesi, profilleme ve otomatik karar alma mekanizmaları KVKK açısından önemli sorunlar doğurmaktadır. İlgili kişinin, otomatik veri işleme yoluyla hakkında verilen kararların sonuçlarına itiraz etme hakkı KVKK md. 11/1-g kapsamında güvence altına alınmıştır.
Deepfake teknolojisiyle kişilerin rızası olmaksızın sahte görüntü ve ses kayıtlarının üretilmesi, hem KVKK hem de TCK kapsamında ihlal oluşturmaktadır. Sosyal medya platformlarında kişisel verilerin rıza alınmaksızın paylaşılması, etiketleme yoluyla kişisel bilgilerin ifşa edilmesi de KVKK ihlali kapsamında değerlendirilebilmektedir.
Kişisel Verileri Koruma Kurulu, bu alandaki gelişmelere paralel olarak düzenleyici kararlar almaya devam etmektedir. İlgili kişilerin bu konulardaki haklarını bilmesi ve ihlal durumunda başvuru yollarını kullanması büyük önem taşımaktadır.
13. Sıkça Sorulan Sorular (SSS)
1. KVKK ihlali durumunda ilk olarak nereye başvurmalıyım?
Öncelikle veri sorumlusuna yazılı olarak başvurmanız gerekmektedir (KVKK md. 13). Veri sorumlusu 30 gün içinde başvurunuzu yanıtlamalıdır. Yanıt alamamanız veya yanıtı yetersiz bulmanız hâlinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunabilirsiniz.
2. KVKK ihlali nedeniyle ne kadar tazminat alabilirim?
Tazminat miktarı, somut olayın özelliklerine göre belirlenir. Mahkeme; ihlalin ağırlığını, ihlalden etkilenen veri türünü, zararın boyutunu ve tarafların ekonomik durumunu dikkate alarak takdir yetkisini kullanır. Kanunda belirli bir tavan tutar öngörülmemiştir.
3. KVKK şikâyeti için avukat tutmak zorunlu mudur?
Hayır, KVKK kapsamında veri sorumlusuna başvuru ve Kurula şikâyet için avukat tutma zorunluluğu bulunmamaktadır. Ancak tazminat davası açılması hâlinde hukuki destek alınması tavsiye edilir.
4. İşveren, çalışanın kişisel verilerini rızası olmadan paylaşabilir mi?
İşveren, çalışanın kişisel verilerini yalnızca KVKK md. 5/2'de sayılan hukuki sebeplerden birine dayanarak açık rıza olmaksızın işleyebilir. Örneğin SGK bildirimi gibi yasal yükümlülükler kapsamında işleme yapılabilir; ancak çalışanın sağlık verilerini üçüncü kişilerle paylaşmak kural olarak açık rıza gerektirir.
5. Sosyal medyada kişisel bilgilerimin paylaşılması KVKK ihlali midir?
Kişisel verilerinizin rızanız olmaksızın sosyal medyada paylaşılması KVKK ihlali oluşturabilir. Bu durumda önce platform üzerinden kaldırma talebinde bulunabilir, ardından veri sorumlusu olan platforma KVKK kapsamında başvurabilir ve gerekirse Kurula şikâyette bulunabilirsiniz. Ayrıca TCK md. 136 kapsamında suç duyurusunda da bulunabilirsiniz.
6. Veri ihlali bildirimi yapılmazsa ne olur?
Veri sorumlusunun, veri ihlalini Kurul'a ve ilgili kişilere bildirmemesi hâlinde veri güvenliği yükümlülüklerinin ihlali kapsamında 2026 yılında 256.357 TL ile 17.092.242 TL arasında idari para cezası uygulanabilir.
7. KVKK kapsamında verilerimin silinmesini talep edebilir miyim?
Evet. KVKK md. 11/1-e uyarınca ilgili kişi, kişisel verilerinin silinmesini veya yok edilmesini isteme hakkına sahiptir. Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekmektedir (KVKK md. 7).
14. Sonuç
Kişisel verilerin korunması hakkı, Anayasa md. 20/3 ile anayasal güvence altına alınmış temel bir hak olup 6698 sayılı KVKK bu hakkın uygulamadaki çerçevesini çizmektedir. KVKK ihlali durumunda ilgili kişiler; veri sorumlusuna başvuru, Kurula şikâyet, idari yargıda iptal davası ve adli yargıda tazminat davası olmak üzere çok katmanlı hukuki yollara sahiptir. 2026 yılında idari para cezaları yeniden değerleme oranıyla güncellenerek caydırıcılığı artırılmış, aydınlatma yükümlülüğü ihlali için 85.437 TL'den, veri güvenliği ihlali için 256.357 TL'den başlayan ve 17 milyonun üzerine çıkabilen ceza tutarları belirlenmiştir. Bunun yanı sıra TCK md. 135-138 kapsamında 1 ila 4 yıl arasında hapis cezaları da söz konusudur. Kişisel verilerinin ihlal edildiğini düşünen bireylerin, öncelikle veri sorumlusuna başvurarak süreci başlatması, gerekli durumlarda Kurula şikâyet ve ardından mahkemeye başvurarak haklarını araması önerilmektedir.
Kaynaklar
- 6698 sayılı Kişisel Verilerin Korunması Kanunu, md. 3, 4, 5, 6, 7, 10, 11, 12, 13, 14, 15, 16, 18
- 5237 sayılı Türk Ceza Kanunu, md. 135, 136, 137, 138
- 4721 sayılı Türk Medeni Kanunu, md. 24, 25
- 6098 sayılı Türk Borçlar Kanunu, md. 49, 58, 72
- Türkiye Cumhuriyeti Anayasası, md. 20
- Kişisel Verileri Koruma Kurulu, 2019/10 sayılı Karar (Veri İhlali Bildirim Usul ve Esasları)
- Kişisel Verileri Koruma Kurulu, 2026/347 sayılı İlke Kararı (Açık Rıza ve Aydınlatma Metinleri)
- Kişisel Verilerin Korunmasında Hukuki Sorunlar (RAG Kaynak)
- Süzek, S. — İş Hukuku (İş ilişkisinde kişisel verilerin korunması)
- İş İlişkisinde İşçinin Kişisel Durumunun Gözetilmesi (RAG Kaynak)
Anahtar Kelimeler: KVKK, kişisel verilerin korunması, kişisel veri ihlali, KVKK tazminat davası, KVKK şikâyet, veri ihlali bildirimi, idari para cezası 2026, KVKK başvuru süreci, manevi tazminat kişisel veri, TCK 135 kişisel veri, veri sorumlusu yükümlülükleri, açık rıza, VERBİS, Kişisel Verileri Koruma Kurulu
Yorumlar
Bu makaleyi daha iyi hale getirin — üye olmadan yorum bırakabilirsiniz.