Kişisel Verilerin Korunması ve Siber Güvenlik: Hukuki Yükümlülükler Neler?

Dijital çağda kişisel verilerin korunması ve siber güvenlik, hem bireyler hem de kurumlar için vazgeçilmez bir alan haline gelmiştir.2025 yılı itibarıyla yürürlüğe giren Yeni Siber Güvenlik Yasası, kişisel verilerin işlenmesi, saklanması ve sızdırılması durumundaki yaptırımları daha da artırdı.

Bu yazıda, KVKK kapsamındaki yükümlülükler, yeni düzenlemeler, kurumlara düşen sorumluluklar ve veri ihlali durumunda izlenecek yollar sade ve hukuki bir dille ele alınmaktadır.

1. Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir.

🔹 Ad-soyad🔹 T.C. kimlik numarası🔹 IP adresi🔹 Konum bilgisi🔹 Sağlık bilgileri🔹 Biometrik veriler

📌 Bu verilerin hukuka aykırı olarak işlenmesi, paylaşılması veya ifşa edilmesi, hem idari para cezası hem de ceza hukuku açısından suç teşkil eder.

2. Veri Sorumlusu Kimdir?

KVKK’ya göre “veri sorumlusu”, kişisel verilerin işlenme amaç ve vasıtalarını belirleyen kişi ya da kurumdur.

⚠️ Bu sıfat, sadece büyük şirketlere ait değildir.🧾 Örneğin:

• Serbest çalışan bir diş hekimi,

• Online satış yapan bir girişimci,

• Özel okul ya da dernek yöneticisi bile veri sorumlusudur.

3. 2025 Siber Güvenlik Yasası Neler Getirdi?

Yeni yasa, özellikle elektronik ortamda tutulan kişisel verilerin güvenliği açısından köklü değişiklikler içermektedir.

🔐 Öne çıkan yenilikler:

• Zorunlu veri güvenliği protokolleri (şifreleme, çift faktör kimlik doğrulama)

• Veri ihlal bildirimi süresi 48 saate indirildi (önceden 72 saatti)

• Sızan verilerin türüne göre ağırlaştırılmış idari para cezaları

• Siber saldırıya uğrayan işletmelerin, BTK'ya ek raporlama yükümlülüğü

• KVKK ile birlikte çalışacak Siber Tehdit Koordinasyon Merkezi oluşturuldu

4. Kişisel Veri İşleme Şartları

Kişisel veri işlemek için, 6698 sayılı Kanun’a göre aşağıdaki yasal dayanaklardan en az biri bulunmalıdır:

✅ Açık rıza✅ Kanuni zorunluluk✅ Sözleşmenin kurulması veya ifası✅ Veri sorumlusunun meşru menfaati✅ Hayati tehlike✅ Kamu sağlığı (özellikle sağlık verileri için)

📌 Açık rıza, belirli, bilgilendirilmiş ve özgür iradeyle verilmiş olmalıdır.📌 Rıza alınmadan yapılan her veri işleme faaliyeti yasa dışıdır.

5. VERBİS Kaydı ve Yükümlülükler

Veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’e kayıt olmakla yükümlüdür.

🔹 Yıllık çalışan sayısı 50’nin üzerinde veya🔹 Yıllık mali bilançosu 25 milyon TL’yi geçen işletmeler için zorunludur.🔹 Veri işleme envanteri hazırlamak ve politikalar geliştirmek gerekir.

🚨 VERBİS’e kayıt yaptırmayanlara idari para cezası: 2025 yılı için 149.516 TL’ye kadar artırıldı.

6. Veri İhlali Durumunda Ne Yapılmalı?

📍 İhlal fark edildiği anda:

1. KVKK Kurumu’na 48 saat içinde bildirim yapılmalı

2. Etkilenen kişilere (kullanıcılara, çalışanlara vb.) ihlal bildirilmeli

3. Siber Güvenlik Yasası kapsamında BTK’ya teknik rapor sunulmalı

4. Gerekirse, savcılığa suç duyurusu yapılmalı

📌 Bildirim yapılmaması, hem idari ceza hem de tazminat davası riskini doğurur.

7. Cezai Yaptırımlar

💰 İdari Para Cezaları (2025 Güncel):

⚖️ Ceza Hukuku Açısından:

• TCK m. 135-140 arasında düzenlenen “kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması” suçları kapsamında,

• 1 yıldan 6 yıla kadar hapis cezası söz konusu olabilir.

8. Avukata Danışmak Neden Önemli?

KVKK ve siber güvenlik hukuku, teknik ve hukuki bilgi gerektiren karmaşık bir alandır.

• Uygun veri envanteri oluşturmak,

• Politika metinleri ve aydınlatma metinleri hazırlamak,

• Kişisel verilerin yurtdışına aktarımı gibi konularda hata yapılması, geri dönüşü zor yaptırımlara yol açabilir.

⚖️ Bu nedenle, hem bireylerin hem de kurumların bir bilişim hukuku veya KVKK uzmanı avukata danışması önerilir.