Kişisel Verileri Koruma Kurumu’nun 8 Yıllık Faaliyetleri: Bir Dönüşümün Anatomisi

Yazar: Av. Ali ERŞİN (LL.M.) / Hukuk ve Bilişim Dergisi Genel Koor.

Kişisel Verileri Koruma Kurumu (KVKK), geçtiğimiz günlerde Türk hukuk tarihine ve bilişim dünyasına ışık tutacak nitelikte, kuruluşundan 2025 yılı Nisan ayına kadar uzanan 8 yıllık faaliyetlerini, emsal kararlarını ve stratejik hamlelerini içeren kapsamlı bir rapor yayımladı. Bu rapor, yalnızca istatistiki verilerin alt alta sıralandığı bir metin değil; Türkiye’de “veri mahremiyeti” kültürünün nasıl inşa edildiğinin, bir “üst kültür” haline nasıl getirildiğinin de belgesi niteliğinde.

Bu yazımızda, söz konusu raporda yer alan verileri, hukuki düzenlemeleri ve Kurumun vizyonunu; satır aralarını da okuyarak siz değerli okuyucularımız için detaylıca analiz edeceğiz.

KVKK’nın Temel Vizyonu ve Misyonu: Yasaklayıcı Değil, Düzenleyici Otorite

Kurumun temel vizyon ve misyonuna projeksiyon tuttuğumuzda, odağın sadece “ceza kesmek” olmadığını; asıl gayenin Anayasal bir hak olan özel hayatın gizliliğini korumak, veri güvenliğini sağlamak ve bunu yaparken de veri temelli ekonominin çarklarını döndürmek olduğu görülmektedir.

Kişisel Verileri Koruma Kurumu’nun 8 yıllık serüvenine bütüncül bir gözle bakıldığında, Kurumun kendini “yasakçı bir otorite” olarak değil, “rehberlik eden bir düzenleyici” olarak konumlandırdığını söyleyebiliriz. Kurum, temel hak ve özgürlükleri korurken, Türkiye’nin uluslararası arenadaki rekabet gücünü artıracak güvenli bir veri iklimi oluşturmayı misyon edinmiştir. Zira güvenin olmadığı yerde dijital ekonominin yeşermesi mümkün değildir.

Kişisel Verilerin Korunması Neden Hayati Önem Taşıyor?

Günümüzde veri, “yeni petrol” benzetmesinin ötesine geçerek bireyin dijital kimliğinin yapı taşı haline gelmiştir. Kişisel verilerin korunması, bireyi sadece “gözetlenmekten” korumakla kalmaz; aynı zamanda ona kendi verileri üzerinde “kaderini tayin etme hakkı” (right to informational self-determination) tanır. Dijitalleşmenin baş döndürücü bir hızla arttığı, internetin yaşamın her alanına nüfuz ettiği bir dünyada, bu koruma bir lüks değil, zorunluluktur. Bankacılık işlemlerinden sağlık kayıtlarına, alışveriş alışkanlıklarından siyasi eğilimlere kadar her türlü verinin işlendiği bir ekosistemde, koruma kalkanının zayıflaması hem bireysel hem de toplumsal travmalara yol açabilir.

Dijitalleşme ve Yeni Tehditler: Yapay Zeka Çağında Mahremiyet

Dijitalleşme, veri koruma süreçlerini çok katmanlı bir mücadele alanına dönüştürmüştür. Mobil cihazlar, Nesnelerin İnterneti (IoT), Bulut Bilişim ve Sosyal Medya gibi araçlar verilerin toplanmasını kolaylaştırırken, aynı zamanda sızıntı riskini de artırmaktadır.

Özellikle Yapay Zeka (AI) ve Makine Öğrenimi gibi teknolojilerin yükselişi, veri koruma hukukunda yeni bir sayfa açmıştır. Algoritmaların, veri sahibinin açık rızası veya haberi olmaksızın otomatik profilleme yapabilmesi, ayrımcılık ve manipülasyon risklerini beraberinde getirmektedir. KVKK’nın raporunda bu yeni teknolojilere karşı proaktif bir yaklaşım sergilediği, teknolojiyi reddetmek yerine “etik ve insan odaklı” bir kullanımı teşvik ettiği görülmektedir.

1. Bölüm: Kurumsal Gelişim Süreci

Bir kurumu anlamak, onun köklerini ve gelişim evrelerini incelemekle başlar.

A. Kurumsal Tarihçe ve Kuruluş

Süreç, uzun yıllar süren bekleyişin ardından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 Nisan 2016’da Resmî Gazete’de yayımlanmasıyla hukuki zemine oturmuştur. Kurul üyelerinin seçimi ve yemin törenlerinin akabinde Kurum, 30 Ocak 2017 tarihinde fiilen kapılarını açmış ve göreve başlamıştır. Bu tarih, Türk hukukunda “veri koruma çağı”nın başlangıcı olarak kabul edilebilir.

B. Teşkilat Yapısı: Bağımsız ve Özerk

KVKK, klasik bürokratik hiyerarşiden farklı olarak “Bağımsız İdari Otorite” (BİO) statüsündedir. Kamu tüzel kişiliğini haiz, idari ve mali özerkliğe sahip olan Kurum, Adalet Bakanlığı ile ilişkili olsa da kararlarında tam bağımsızdır. Hiçbir makam, merci veya kişi Kurula emir ve talimat veremez.

C. Çift Kanatlı Yönetim: Kurul ve Başkanlık

Kurumun işleyişi iki ana organ üzerinden yürütülmektedir:

  • Kurul (Karar Organı): 5’i TBMM, 4’ü Cumhurbaşkanı tarafından seçilen toplam 9 üyeden oluşur. Kurul, şikayetleri karara bağlayan, ilke kararları alan ve stratejiyi belirleyen “beyin” takımıdır. Üyelerin farklı erkler tarafından seçilmesi, demokratik meşruiyeti ve çok sesliliği sağlamaktadır.
  • Başkanlık (İcra Organı): Kurul kararlarını sahada uygulayan, incelemeleri yapan teknik mekanizmadır. Veri Yönetimi, İnceleme, Hukuk İşleri gibi 7 farklı daire başkanlığı ile uzmanlaşmış bir kadroya sahiptir.

D. Kurumun Temel Görevleri

Kurumun görevi sadece şikayetleri incelemek değildir. Mevzuatı takip etmek, uluslararası gelişmeleri izlemek, sektörel iş birlikleri yapmak ve veri sorumluları sicilini tutmak gibi çok yönlü görevleri ifa etmektedir.

2. Bölüm: Yasal Statü ve Mevzuat Çalışmaları

Bu bölüm, Kurumun hukuki dayanaklarını ve “içtihat” niteliğindeki düzenlemelerini kapsamaktadır. KVKK, sadece kanunu uygulayan değil, ikincil düzenlemelerle kanunun boşluklarını dolduran bir “yasa koyucu” gibi çalışmıştır.

A. Yönetmelik ve Tebliğler

8 yıllık süreçte Veri Sorumluları Sicili (VERBİS) Yönetmeliği, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Aydınlatma Yükümlülüğünün Yerine Getirilmesi Hakkında Tebliğ gibi temel metinler yayımlanarak uygulama yeknesaklığı sağlanmıştır. Özellikle 2024 yılında revize edilen Yurt Dışına Veri Aktarımı Yönetmeliği, uluslararası ticaretin önünü açan hayati bir düzenlemedir.

B. İlke Kararları: Sektöre Yön Veren İçtihatlar

Kurulun aldığı “İlke Kararları”, uygulamadaki gri alanları netleştirmesi bakımından hayati öneme sahiptir. Raporda öne çıkan ve günlük hayatımıza dokunan bazı kararlar şöyledir:

  1. Rehberlik Hizmetleri (GetContact vb.): “Kim arıyor?” uygulamalarının, rehberinizdeki kişilerin verilerini izinsiz paylaştığı tespit edilmiş ve bu faaliyetler hukuka aykırı bulunarak durdurulmuştur.
  2. Banko ve Gişe Mahremiyeti: Banka, hastane veya belediyelerde işlem yaparken, arkanızdaki kişinin sizin bilgilerinizi duyması veya görmesi “veri ihlali” sayılmıştır. Kurum, buralarda şerit çekilmesi, paravan konulması gibi fiziksel tedbirleri zorunlu kılmıştır.
  3. İzinsiz Reklam Aramaları: Vatandaşların korkulu rüyası olan izinsiz SMS ve aramalar konusunda Kurul net tavır koymuş; açık rıza olmadan yapılan pazarlama faaliyetlerinin hukuka aykırı olduğunu tescillemiştir.
  4. Belediye Borç Sorgulama Ekranları: Sadece T.C. Kimlik No girilerek herkesin herkesin borcunu/mülkünü görebildiği dönem kapatılmış; çift faktörlü doğrulama (SMS ile giriş vb.) şartı getirilmiştir.
  5. Kara Liste Yazılımları: Özellikle araç kiralama firmalarının müşterilerini fişlediği ve kendi aralarında paylaştığı ortak havuz yazılımları hukuka aykırı bulunarak ağır yaptırımlara tabi tutulmuştur.

3. Bölüm: Kurumsal İş ve İşlemler

Kurumun mutfağını oluşturan bu bölüm, şikâyet yönetimi ve denetim istatistiklerini içermektedir. Rakamlar, Kurumun ne kadar aktif olduğunu gözler önüne sermektedir.

A. İnceleme Faaliyetleri ve 1 Milyar TL’lik Yaptırım

Nisan 2025 itibarıyla Kurul, toplamda 1 milyar 52 milyon TL’yi aşan idari para cezası uygulamıştır. Bu devasa rakam, Kurumun caydırıcılık gücünü ortaya koymaktadır. Ancak unutulmamalıdır ki ceza bir amaç değil, uyum için bir araçtır. İncelemelerde en sık karşılaşılan ihlaller; siber güvenlik tedbirlerinin (teknik tedbirlerin) yetersizliği, aydınlatma yükümlülüğünün yerine getirilmemesi ve açık rızanın usulüne uygun alınmamasıdır.

B. Veri İhlal Bildirimleri: 72 Saat Kuralı

Kanun gereği, bir veri sızıntısı yaşandığında (hacklenme, hırsızlık vb.) veri sorumlusu bunu en geç 72 saat içinde Kurula bildirmek zorundadır. Kurul, gerekli gördüğü durumlarda bu ihlalleri kendi web sitesinden (kvkk.gov.tr) kamuoyuna duyurmaktadır. Bu mekanizma, şirketler üzerinde ciddi bir “itibar baskısı” oluşturarak onları güvenlik yatırımı yapmaya zorlamaktadır.

C. Teknolojik Altyapı: VERBİS ve ALO 198

  • VERBİS (Veri Sorumluları Sicil Bilgi Sistemi): Türkiye’nin veri haritası niteliğindeki bu sisteme yaklaşık 198 bin veri sorumlusu kayıtlıdır. Bu sistem sayesinde vatandaşlar, hangi şirketin hangi veriyi ne amaçla işlediğini şeffaf bir şekilde görebilmektedir.
  • ALO 198 Veri Koruma Hattı: Vatandaşların sorularını yanıtlayan bu hat, bugüne kadar 863 binden fazla çağrıyı karşılamıştır. Bu, vatandaşın Kuruma erişiminin ne kadar kolaylaştırıldığının bir göstergesidir.

4. Bölüm: Uluslararası İlişkiler ve Küresel Vizyon

Veri sınır tanımaz. Bu gerçekten hareketle KVKK, uluslararası diplomasiye büyük önem vermektedir.

GPA İstanbul Zirvesi: Bir Dönüm Noktası

Kurumun uluslararası alandaki en büyük gövde gösterisi, 2022 yılında “veri koruma otoritelerinin olimpiyatı” sayılan 44. Küresel Mahremiyet Asamblesi (GPA) Konferansı’na İstanbul’da ev sahipliği yapmasıdır. Google, Meta gibi teknoloji devlerinin ve 130 ülkenin otoritesinin katıldığı bu zirve, Türkiye’nin veri diplomasisindeki prestijini zirveye taşımıştır.

B. İş Birlikleri ve Akreditasyon

Kurum, Avrupa Veri Koruma Otoriteleri Konferansı’na akredite olarak Avrupa’daki karar mekanizmalarına dahil olmuştur. Ayrıca Azerbaycan, Malezya, Kosova gibi ülkelerle imzalanan Mutabakat Zaptları (MoU) ile bölgesel bir liderlik rolü üstlenmiştir.

5. Bölüm: Avrupa Birliği ve Mevzuat Uyumu (GDPR)

Türkiye’nin en büyük ticaret ortağı olan Avrupa Birliği ile veri akışının kesilmemesi hayati önem taşımaktadır. Raporun bu kısmı, Türk veri koruma hukukunun Avrupa standartlarına (GDPR) entegrasyonu çabalarını kapsar.

Özellikle 2024 yılında yapılan Kanun değişikliği ile yurt dışına veri aktarımında “Yeterlilik Kararı”, “Standart Sözleşmeler” ve “Bağlayıcı Şirket Kuralları” gibi AB uyumlu yeni mekanizmalar hayata geçirilmiştir. Bu hamle, Türk şirketlerinin global pazarda rekabet ederken “veri engeline” takılmamasını hedeflemektedir.

6. Bölüm: Farkındalık ve Eğitim Seferberliği

“Veri koruma, kişinin kendisinde başlar” mottosuyla hareket eden Kurum, toplumsal bir zihniyet dönüşümü hedeflemektedir.

Eğitim ve Seminerler

8 yılda düzenlenen 1.194 etkinlik, Kurumun sahada ne kadar aktif olduğunun kanıtıdır. “Çarşamba Seminerleri” markasıyla halka açık ücretsiz eğitimler verilmiş, üniversiteler ve STK’larla iş birliği yapılmıştır.

B. Gençlere ve Çocuklara Dokunmak

Milli Eğitim Bakanlığı ile yapılan protokol kapsamında okullarda “Kişisel Verileri Koruma Kulüpleri” kurulmuştur. Geleceğin dijital vatandaşları olan çocuklar için hazırlanan animasyonlar ve materyaller, koruma kültürünün çekirdekten yetişmesini sağlamaktadır.

7. Bölüm: Yayınlar – Kurumun Akademik Yüzü

KVKK, bir düzenleyici otorite olmanın ötesinde, bir “akademi” titizliğiyle çalışarak literatüre önemli katkılar sunmaktadır.

A. Süreli Yayınlar

  • Kişisel Verileri Koruma Dergisi: Hakemli ve bilimsel statüdeki bu dergi, akademi dünyası için prestijli bir mecra haline gelmiştir.
  • Bültenler: Üç ayda bir yayımlanan bültenlerle güncel gelişmeler takip edilmektedir.

B. Rehberler: Sektörün El Kitapları

Kurum, “Yapay Zeka”, “Unutulma Hakkı”, “Çerez (Cookie) Uygulamaları”, “Biyometrik Veri” gibi en karmaşık konularda 59 adet teknik rehber yayımlamıştır. Bu rehberler, avukatlar, mühendisler ve uyum uzmanları için adeta birer pusula niteliğindedir.

8. Bölüm: Medya, Sosyal Medya ve Somut Materyaller

Kurumun belki de en dikkat çekici ve yaratıcı yönü, soyut bir kavram olan veri güvenliğini somutlaştıran materyalleridir.

  • Kamera Kapakçığı (Webcam Cover): Kurumun dağıttığı basit bir kapakçık, “İzlenmek istemiyorsan, tedbir al” mesajını en net şekilde vermektedir. Bu, fiziksel mahremiyetin dijital dünyadaki karşılığıdır.
  • Tekno Dünya’ya Yolculuk: Çocuklar için tasarlanan bu kutu oyunu, sıkıcı yasakları eğlenceli kurallara dönüştürerek öğretmektedir.
  • Dijital İçerikler: “KVKK Gündem” podcastleri ve sosyal medya paylaşımları ile bilgi, yeni nesil medya araçlarıyla vatandaşa ulaştırılmaktadır.

9. Bölüm: Mali Bilgiler ve Şeffaflık

“Özel Bütçeli İdare” statüsündeki KVKK, mali disiplin konusunda şeffaf bir tablo çizmektedir. Burada kamuoyunda sıkça yanlış bilinen bir hususu düzeltmekte fayda var:

Önemli Not: Kurul tarafından kesilen 1 milyar TL’yi aşan idari para cezaları Kurumun kasasına girmez. Bu tutarlar doğrudan Genel Bütçe’ye (Hazine’ye) gelir olarak kaydedilir. Dolayısıyla Kurum, kestiği cezalardan herhangi bir komisyon veya pay almaz. Bu durum, Kurulun ceza keserken “gelir elde etme” saikiyle değil, tamamen tarafsız bir hukuki denetim amacıyla hareket ettiğinin en büyük kanıtıdır.

10. Bölüm: Genel Değerlendirme ve Gelecek Vizyonu

Raporun sonuç bölümü, 8 yıllık serüvenin bir muhasebesini ve geleceğe dair vizyonu sunmaktadır.

Nereden Nereye? 2017’de sıfır noktasından başlayan Kurum, bugün milyar liralık yaptırım gücüne ulaşan, 49 bin başvuruyu çözüme kavuşturan ve toplumda “veri mahremiyeti” algısını oturtan dev bir yapıya dönüşmüştür. Şirketler artık veriyi “sahibi oldukları bir mal” değil, “emanet aldıkları bir değer” olarak görmeye başlamıştır.

Gelecek Hedefleri: Yapay Zeka ve Etik Kurumun 2025 ve sonrası için ana gündem maddesi Yapay Zeka ve Etik’tir. İnsan odaklı yapay zeka yaklaşımı, algoritmik şeffafiyet ve GDPR ile tam uyum, önümüzdeki dönemin yol haritasını oluşturmaktadır.

Sonuç

“8. Yılında Kişisel Verileri Koruma Kurumu” raporu, Türkiye’nin veri koruma serüveninin başarılı bir özetidir. Kanaatimizce, KVKK, ülkemizde kendi faaliyet konusunda en fazla ve en kapsayıcı çalışmaları yapan, en dinamik kurumlar arasında ilk sıralarda gelmektedir. Özellikle sadece “ceza veren sopa” rolünü değil, farkındalık çalışmalarıyla “önleyici hukuk” hizmetini de veren Kurum, akademik tarafın ve sektörün gelişmesine paha biçilemez katkılar sunmaktadır.

Hukuk ve Bilişim Dergisi olarak, KVKK’nın bu vizyoner faaliyetlerini ve azmini tebrik ediyor, veri koruma kültürünün yerleşmesi adına verdikleri desteği sonuna kadar destekliyoruz.

Yazarın “Metaverse Dünyalarının Hukuki Niteliği” isimli yazısına bağlantıdan ulaşabilirsiniz.

Yazarın tüm Blog yazılarına bağlantıdan ulaşabilirsiniz.

Yazar: Av. Ali ERŞİN (LL.M.) / Hukuk ve Bilişim Dergisi Genel Koor.