Günümüzün dijitalleşen ticaret dünyasında, bir işletmenin en değerli sermayesi artık sadece kasasındaki para veya deposundaki mal değil; müşterilerine ait verilerdir. İster küçük bir e-ticaret butiği olun ister dev bir perakende zinciri, müşterilerinizin isimlerini, telefon numaralarını, alışveriş alışkanlıklarını veya kredi kartı bilgilerini işliyor, saklıyor ve bu veriler üzerinden pazarlama yapıyorsunuz.
İşletme sahipleri genellikle "Biz küçük bir firmayız, devlet bizimle mi uğraşacak?" veya "Müşteri numarasını kendi verdi, SMS atmamda ne sakınca var?" şeklinde son derece tehlikeli yanılgılara düşmektedir. Oysa Kişisel Verileri Koruma Kurumu (KVKK), 2026 yılı itibarıyla denetimlerini yapay zeka destekli sistemlerle ve rekor idari para cezalarıyla en üst seviyeye çıkarmış durumdadır. İnternetten kopyala-yapıştır ile sitenize eklediğiniz "Aydınlatma Metinleri", sizi korumak bir yana, Kurul'a kendi elinizle verdiğiniz bir ihlal itirafı niteliği taşıyabilir.
Bu makalede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında; ticari işletmelerin veri işlerken düştükleri ölümcül hataları, siber saldırı durumlarındaki 72 saat kuralını ve milyonlarca liralık cezalardan korunma yollarını Avukat Uğur Güler'in uzman perspektifiyle inceliyoruz.
1. En Büyük Tuzak: "Aydınlatma Metni" ve "Açık Rıza"nın Birbirine Karışması
İşletmelerin KVKK cezası yemesinin bir numaralı sebebi, müşteriden alınan izinlerin (rızanın) hukuka aykırı kurgulanmasıdır.
-
Aydınlatma Yükümlülüğü Sarta Bağlanamaz: Bir müşteriden veri alırken (örneğin siteye üye yaparken), bu veriyi neden aldığınızı ve ne yapacağınızı ona açıkça bildirmek (Aydınlatma Metni sunmak) zorundasınız. Bu bir bilgilendirmedir, onay gerektirmez.
-
Açık Rıza Tuzağı: "Kampanya SMS'leri almak istiyorum ve Aydınlatma Metnini okudum" şeklinde tek bir kutucuk (checkbox) ile hem bilgilendirme hem de pazarlama izni almak hukuken geçersizdir. KVKK Kurulu bu durumu "battaniye rıza" olarak kabul eder ve ağır yaptırım uygular. Hizmet veya ürün satışı, müşterinin kampanya SMS'lerine onay vermesi şartına bağlanamaz.
-
Whatsapp Üzerinden Sipariş: Müşteri size WhatsApp'tan kendi isteğiyle mesaj atıp sipariş verse bile, bu durum onun numarasını rehberinize kaydedip aylarca "İndirim günleri başladı!" şeklinde toplu mesajlar atabileceğiniz anlamına gelmez. Pazarlama için ayrıca ve özgür iradeyle verilmiş bir "Açık Rıza" almanız şarttır.
2. Siber Saldırılar ve Veri Sızıntısı: Hayati "72 Saat Kuralı"
Şirketinizin sunucuları hacklendiğinde, bir çalışanınız müşteri veritabanını flash belleğe kopyalayıp rakip firmaya sattığında veya fidye yazılımı (Ransomware) yediğinizde mağdur olan sadece siz değilsinizdir.
-
Kurula Bildirim Zorunluluğu: Müşterilerinizin verileri yetkisiz kişilerin eline geçtiği an, bu durumu öğrendiğiniz andan itibaren en geç 72 saat içinde KVKK Kuruluna ve etkilenen müşterilere bildirmek zorundasınız.
-
"Aman duyulmasın, itibarımız zedelenir" diyerek veri sızıntısını gizlemeye çalışmak bir işletmenin yapabileceği en büyük hatadır. Kurul, sızıntıyı dışarıdan bir kaynaktan (veya müşterilerin şikayetinden) öğrenirse, sadece veri güvenliğini sağlayamadığınız için değil, bildirim yükümlülüğünü ihlal ettiğiniz için de cezayı katlayarak keser.
3. VERBİS Kaydı ve Veri Envanteri: Bürokratik Kapan
KVKK sadece "izin almaktan" ibaret değildir, arkasında devasa bir kayıt yükümlülüğü yatar.
-
VERBİS Nedir?: Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), hangi veriyi hangi amaçla tuttuğunuzu devlete deklare ettiğiniz resmi bir sicildir. Çalışan sayısı veya yıllık mali bilanço toplamı belirli sınırları aşan (kanunla güncellenen limitler dahilinde) her şirket bu sicile kayıt olmak zorundadır.
-
Tutarsızlık Cezası: Şirketler genellikle sadece kayıt olmuş olmak için danışmanlık almadan sisteme gelişigüzel veriler girmektedir. Kurul denetiminde, VERBİS'e beyan ettiğiniz veriler ile şirketinizde fiilen işlenen veriler (Kişisel Veri İşleme Envanteri) uyuşmuyorsa, yanlış beyandan dolayı çok ciddi idari para cezalarıyla karşılaşırsınız.
4. İdari Para Cezaları: İşletmeleri İflasa Sürükleyen Rakamlar
KVKK kapsamında kesilen cezalar, ticari bir risk olarak göze alınabilecek meblağlar değildir. 2026 yılı yeniden değerleme oranlarıyla birlikte bu idari para cezaları devasa boyutlara ulaşmıştır:
-
Aydınlatma Yükümlülüğünün Yerine Getirilmemesi: Yüz binlerce liradan başlar.
-
Veri Güvenliğini Sağlama (Siber Güvenlik/Fiziki Güvenlik) Yükümlülüklerine Aykırılık: Milyonlarca liraya ulaşan en ağır ceza kalemidir.
-
Kurul Kararlarına Muhalefet: Milyonlarca liralık üst sınırları zorlar.
(Not: KVKK cezaları, şirketin o anki mali durumuna, kâr edip etmediğine veya kasasında para olup olmadığına bakılmaksızın doğrudan Vergi Dairesi aracılığıyla tahsil edilir. Ödenmemesi durumunda şirket hesaplarına e-haciz konulur).
Avukat Uğur Güler ile Şirketinizin Dijital Hukuk Zırhını Giyin
Kişisel verilerin korunması süreci; sadece şirketin web sitesine standart bir "Gizlilik Politikası" eklemekle geçiştirilebilecek basit bir IT (Bilgi İşlem) işi değildir. İnternetten kopyalanan sözleşmeler, yetkisi olmayan çalışanların tüm müşteri veritabanına erişebilmesi ve kriz anlarında nasıl bir yasal reaksiyon gösterileceğinin planlanmamış olması, şirketleri adeta saatli bir bombanın üzerinde oturtmaktadır. KVKK uyum süreci, hukuki ve teknik adımların bir arada yürütüldüğü çok disiplinli bir projedir.
Avukat Uğur Güler, KVKK ve Bilişim Hukuku alanlarındaki derin ekspertiziyle; şirketlerin departman bazlı Kişisel Veri İşleme Envanterlerinin çıkarılması, VERBİS kayıtlarının eksiksiz ve yasalara uygun yapılması, çalışan gizlilik sözleşmelerinin düzenlenmesi ve Aydınlatma/Açık Rıza metinlerinin şirketin iş modeline (e-ticaret, mağazacılık, hizmet) uygun olarak sıfırdan kurgulanması noktasında uçtan uca kurumsal avukatlık hizmeti sunmaktadır. Yıllarca emek vererek büyüttüğünüz ticari itibarınızın ve cironuzun tek bir veri sızıntısıyla veya idari para cezasıyla yok olmasına izin vermeyin; şirketinizi uzman bir hukuki kalkanla koruma altına alın.
