KVKK'da Yeni Dönem, İlke Kararlarıyla Gelen Fiili Yaptırım Rejimi (2026 Analiz)

KVKK'da Yeni Dönem, İlke Kararlarıyla Gelen Fiili Yaptırım Rejimi (2026 Analiz)

KVKK’DA YENİ DÖNEM, İLKE KARARLARIYLA GELEN FİİLİ YAPTIRIM REJİMİ (2026 ANALİZİ)

Özet:

Bu yazı serisinde; hem bireyleri doğrudan etkileyen hem de şirketler açısından ciddi idari para cezası riski doğuran dört kritik başlığı, uygulamadan örneklerle ve Kurul yaklaşımı doğrultusunda ele alacağım.

Son dönemde kişisel verilerin işlenmesine ilişkin uygulamalarda ciddi bir kırılma yaşanıyor. Kurul artık yalnızca rehberlik eden bir otorite değil; doğrudan idari para cezası uygulayan, uyumsuzluğu tolere etmeyen bir yapıya evrilmiş durumda.

2026 yılının ilk çeğreği kurul tarafından bu alanda çıkarılan ilke kararlarının resmi gazetede yayımlanmasıyla yasal olarak net yaptırım vurgusu karşılığını buldu. Mart ayında peşpeşe yayımlanan Açık rıza ve aydınlatma metinlerinin ayrıştırılmasına yönelik olarak yayımlanan karar ve apartman ve site uygulamalarında kişisel veri içeren bilgilerin ilan panolaranı asılmasının yaptırımla karşılaşacağı vurgusunu taşıyan karar, bahsettiğimiz yaptırımlara işaret eden kararlardan başlıcaları.

2026 Şubat ayının sonunda yayımlanan bir diğer ilke kararı ise, başta gıda, kozmetik, teknoloji, yapı market ve giyim olmak üzere muhtelif sektörlerde yaygın olarak kullanılan sadakat kartı uygulamalarına ilişkindir. Bu programlar kapsamında; sadakat kart sahibi ilgili kişiye ait cep telefonu numarasının veya kart numarasının üçüncü bir kişi tarafından alışveriş sırasında kasa görevlisine bildirilmesi suretiyle işlem yapılması, uygulamada sıkça karşılaşılan bir pratik olmakla birlikte, kişisel verilerin hukuka uygun işlenmesi ve veri güvenliği yükümlülükleri bakımından ciddi riskler barındırmaktadır. Kurul’un değerlendirmesi, bu tür uygulamaların yalnızca ticari kolaylık olarak görülemeyeceği; veri işleme süreçlerinin doğrulama, yetkilendirme ve güvenlik mekanizmalarıyla birlikte ele alınması gerektiği yönündedir.

Son olarak ise, detaylı olarak inceleyeceğim bir diğer kritik konu; uygulamada işverenler tarafından giderek yaygın bir biçimde, ancak çoğu zaman mevzuata aykırı şekilde gerçekleştirilen alkol ve uyuşturucu testleridir. Özellikle işe alım süreçlerinde adaylara yöneltilen bu testlerin, savunma sanayi şirketleri, belediyeler ve çeşitli sektörlerde faaliyet gösteren özel şirketler tarafından uygulandığı yönünde sahada sıkça duyumlar alınmaktadır. Bu tür uygulamalar, yalnızca KVKK kapsamında değil; aynı zamanda Anayasa, iş hukuku ve kişilik hakları çerçevesinde de çok boyutlu bir hukuka uygunluk denetimini gerektirmektedir.

1) Açık Rıza – Aydınlatma Ayrımı: Artık Şekli Değil, Yaptırıma Tabi Bir Zorunluluk

24 Mart 2026 tarihinde Resmî Gazete’de yayımlanan “Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında İlke Kararı”, KVKK uygulaması bakımından uzun süredir bilinen bir yükümlülüğün artık yaptırım boyutuna taşındığını açıkça ortaya koymaktadır. Aslında Kurul, aydınlatma yükümlülüğü ile açık rıza mekanizmalarının birbirinden ayrılması gerektiğini uzun zamandır vurgulamaktaydı. Ancak bugüne kadar bu alandaki ihlallerde çoğunlukla idari para cezası yerine, veri sorumlusunun mevzuata uygun hale getirilmesi yönünde “talimatlandırma” yoluna gidildiği görülmekteydi. Bu yeni ilke kararı ile birlikte artık yaklaşımın değiştiği net şekilde anlaşılmaktadır. Kararda yer verilen ifadelerden hareketle, söz konusu yükümlülüğe aykırı hareket edilmesi halinde doğrudan KVKK m. 18 kapsamında idari para cezası uygulanacağı ortaya konulmuştur. Bu yönüyle karar, sadece teknik bir hatırlatma değil, uygulamada ciddi sonuçlar doğuracak bir eşik değişimi niteliğindedir. Bu noktada özellikle şu ayrımın net yapılması gerekir:

  • Aydınlatma yükümlülüğü ile açık rıza aynı şey değildir
  • Aydınlatma bir bilgilendirme yükümlülüğüdür
  • Açık rıza ise bir hukuka uygunluk sebebidir

Dolayısıyla, aydınlatma metni içerisinde açık rıza alınması veya açık rıza metninin aydınlatma metni ile iç içe geçirilmesi, veri koruma hukukunun temel sistematiğine aykırıdır. Bu tür uygulamalar, ilgili kişinin gerçek anlamda özgür iradesiyle rıza verip vermediğini belirsiz hale getirmekte ve açık rızanın geçerliliğini tartışmalı kılmaktadır.

İlke kararının dikkat çeken bir diğer yönü ise, yalnızca ilkesel bir çerçeve çizmekle kalmayıp, doğru ve yanlış uygulamalara ilişkin somut örneklere de yer verilmiş olmasıdır. Bu durum, Kurul’un artık bu alandaki denetimlerini daha somut kriterler üzerinden yürüteceğini ve veri sorumlularından daha yüksek bir uyum standardı beklediğini göstermektedir.

Bu gelişme ile birlikte şu sonuç açıkça ortaya çıkmaktadır:

  • Artık “uyar – düzelt” dönemi kapanıyor
  • “tespit – idari para cezası” dönemi başlıyor

Nitekim geçmişte sıkça karşılaşılan; “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun hale getirilmesi ve Kurula bilgi verilmesi” yönündeki yaptırımların, yerini doğrudan idari para cezalarına bırakması kuvvetle muhtemeldir.

Sonuç olarak veri sorumluları bakımından bu ilke kararı, yalnızca metinlerin ayrıştırılması gerekliliğini değil, aynı zamanda tüm aydınlatma ve rıza süreçlerinin baştan sona yeniden gözden geçirilmesi gerektiğini ortaya koymaktadır. Özellikle web siteleri, mobil uygulamalar, üyelik süreçleri ve pazarlama faaliyetlerinde kullanılan metinlerin ve akışların, açık rıza ile aydınlatma yükümlülüğünü net biçimde ayrıştıracak şekilde yeniden kurgulanması artık bir tercih değil, doğrudan yaptırım riski taşıyan bir zorunluluk haline gelmiştir.

2)Sadakat Kartları: Ticari Kolaylık mı, KVKK İhlali mi?

Sadakat kartı sistemleri, şirketlerin müşteri bağlılığını artırmak ve tüketici davranışlarını analiz ederek pazarlama faaliyetlerini geliştirmek için kullandığı en güçlü araçlardan biridir. Ancak bu sistemler yalnızca ticari bir fırsat değil, aynı zamanda yoğun bir kişisel veri işleme faaliyeti anlamına gelmektedir. Müşterilere ait kimlik ve iletişim bilgileri yanında, alışveriş alışkanlıkları, harcama davranışları ve tüketim tercihleri gibi veriler işlenmekte ve çoğu zaman profil oluşturma ve hedefli pazarlama amacıyla kullanılmaktadır.

Tam da bu nedenle sadakat kartı sistemleri, KVKK bakımından “görünenden çok daha riskli” alanlardan biridir. Özellikle uygulamada yaygın olan bir pratik, bu riski doğrudan ihlale dönüştürmektedir: Müşterinin yalnızca telefon numarası veya kart numarası beyan ederek işlem yapabilmesi. Bu yapı, üçüncü kişilerin başkasına ait sadakat hesabını kullanmasına imkân tanımakta ve veri güvenliği açısından ciddi açıklar yaratmaktadır.

Bu durumun şirketler açısından doğurduğu riskler oldukça somuttur:

  • Yanlış kişiye ait alışveriş verisi oluşur
  • Müşteri profilleme hatalı hale gelir
  • Hedefli pazarlama süreçleri yanlış veriye dayanır
  • En kritik olarak KVKK ihlali doğar

Dolayısıyla burada mesele yalnızca operasyonel bir eksiklik değil, doğrudan veri güvenliği yükümlülüğünün ihlalidir.

Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararı ile bu alan artık açık şekilde regüle edilmiştir. Kurul, yalnızca telefon numarası veya kart numarası beyanı ile işlem yapılmasını yeterli bir güvenlik önlemi olarak kabul etmemekte ve veri sorumlularının kimlik doğrulamasına yönelik ek tedbirler almasını zorunlu görmektedir. Bu kapsamda SMS doğrulama, mobil uygulama üzerinden doğrulama, şifre kullanımı veya benzeri yöntemlerle işlemi yapan kişinin gerçekten kart sahibi olduğunun teyit edilmesini sağlayan sistemlerin kurulması gerekmektedir.

Burada şirketler açısından kritik olan husus şudur:

  • Bu bir “IT tercihi” değil
  • Bu bir “KVKK uyum zorunluluğu”dur

Ve doğrudan KVKK m. 12 kapsamında değerlendirilir. Yani şirket, yalnızca veri toplamaktan değil, bu veriyi yetkisiz kullanım ve erişime karşı korumaktan da sorumludur.

Kurul kararında ayrıca veri sorumlularına belirli bir uyum süresi tanındığı, ancak bu süre sonunda gerekli teknik ve idari tedbirleri almayan şirketler hakkında KVKK m. 18 kapsamında idari para cezası uygulanabileceği açıkça belirtilmiştir. Bu yönüyle konu artık teorik bir tartışma değil, doğrudan yaptırım riski içeren bir uyum alanıdır.

Bu gelişme şirketler için şu gerçeği ortaya koymaktadır:

  • Sadakat programı kurmak kolaydır
  • Ama KVKK’ya uygun işletmek ayrı bir uzmanlık gerektirir

Bugün birçok şirketin sadakat sistemleri, pazarlama ekipleri ve yazılım ekipleri tarafından kurulmakta; ancak veri koruma boyutu çoğu zaman ikinci planda kalmaktadır. Oysa bu sistemlerin doğru kurgulanmaması halinde yalnızca idari para cezaları değil, aynı zamanda müşteri güveninin kaybı ve marka itibarı açısından da ciddi sonuçlar doğması kaçınılmazdır.

Sonuç olarak sadakat kartı sistemleri, artık yalnızca müşteri bağlılığı sağlayan bir araç değil, doğrudan KVKK uyum denetimine tabi bir veri işleme ekosistemidir. Bu nedenle şirketlerin mevcut sistemlerini yeniden gözden geçirmesi, doğrulama mekanizmalarını kurması ve veri güvenliği süreçlerini teknik ve hukuki açıdan birlikte ele alması gerekmektedir. Aksi halde, basit görünen bir kasa işlemi, şirket açısından ciddi bir veri ihlali riskine dönüşebilir.

3)Apartman ve Site Uygulamaları: “İlan Panosu Dönemi” Kapandı

Toplu yapılarda aidat, avans ve benzeri borçların takibi, kat maliklerinin ortak sorumluluğunda olup bu süreç Kat Mülkiyeti Kanunu çerçevesinde hukuki bir zemine dayanmaktadır. Bu kapsamda yöneticilerin belirli dönemlerde kat maliklerine hesap verme yükümlülüğü bulunmakta, kat maliklerinin de bu süreçleri denetleme hakkı bulunmaktadır. Dolayısıyla apartman veya site sakinlerine ait borç bilgilerinin belirli ölçüde paylaşılması, bir hakkın tesisi, kullanılması veya korunması kapsamında hukuki dayanak bulabilmektedir.

Ancak bu durum, söz konusu bilgilerin sınırsız şekilde ifşa edilebileceği anlamına gelmez. Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararı ile bu alanda önemli bir sınır çizilmiştir. Kurul, borç bilgilerine ilişkin ad-soyad, daire numarası, borç miktarı, gecikme süresi gibi kişisel verilerin paylaşılmasının belirli hukuki dayanaklara oturabileceğini kabul etmekle birlikte, bu verilerin nasıl paylaşıldığına ayrıca dikkat edilmesi gerektiğini vurgulamıştır.

Bu noktada temel ayrım şudur:

  • Veri işleme hukuka uygun olabilir
  • Ama yöntem hukuka aykırı olabilir

Nitekim uygulamada sıkça görülen, borç listelerinin apartman panolarına asılması, asansör içine bırakılması veya herkesin görebileceği alanlarda ilan edilmesi gibi yöntemler, konuyla ilgisi olmayan üçüncü kişilerin de bu verilere erişmesine imkân tanımaktadır. Bu durum, KVKK kapsamında veri güvenliği ve veri minimizasyonu ilkelerine açıkça aykırılık teşkil etmektedir.

Kurul bu kararıyla açık bir çerçeve çizmiştir:

  • Bilgilendirme yapılabilir
  • Ama kontrolsüz ifşa yapılamaz
  • Yetkisiz erişim mutlaka engellenmelidir

Bu doğrultuda, borç bilgilerine ilişkin duyuruların kapalı e-posta grupları, mesajlaşma sistemleri veya yalnızca ilgili kişilerin erişebileceği dijital platformlar üzerinden yapılması gerektiği belirtilmiştir. Aynı şekilde ortak alanlara asılmış mevcut listelerin de kaldırılması gerektiği ifade edilmiştir.

Sonuç olarak apartman ve site yönetimleri bakımından bu karar, önemli bir uygulama değişikliğine işaret etmektedir. Artık borç bilgileri paylaşılırken yalnızca hukuki dayanağın varlığı yeterli olmayacak; aynı zamanda paylaşım yönteminin de KVKK’ya uygun olması gerekecektir. Aksi halde, rutin bir aidat takibi süreci dahi veri ihlali niteliği kazanabilecek ve idari yaptırımlarla karşılaşılabilecektir.

4)İşe Alım Süreçlerinde Alkol ve Uyuşturucu Testleri: Görünmeyen Büyük Risk

İşe alım süreçlerinde ve iş ilişkisinin devamı sırasında işveren tarafından uygulanan alkol ve uyuşturucu testleri, doğrudan çalışanın vücut bütünlüğüne ve özel hayatına müdahale niteliği taşır. Bu nedenle konu yalnızca kişisel verilerin korunması hukuku kapsamında değil, aynı zamanda anayasal güvenceler ve kişilik hakkı koruması çerçevesinde birlikte değerlendirilmelidir. Nitekim kişinin vücut bütünlüğüne müdahale ancak tıbbi zorunluluklar veya kanunda açıkça öngörülen hallerde mümkündür. Bu doğrultuda, kişilik haklarına yapılan müdahaleler ancak ilgili kişinin rızası, üstün nitelikte bir özel veya kamusal yararın varlığı ya da kanunun verdiği yetkinin kullanılması halinde hukuka uygun kabul edilebilir.

Bu noktada özellikle şu ayrımın net yapılması gerekir:

  • Konu yalnızca KVKK m.6 kapsamında değerlendirilemez
  • Anayasa m.17 (vücut dokunulmazlığı) doğrudan devreye girer
  • TMK m.24/2 (kişilik hakkı koruması) sınır çizer

Bu çerçevede işverenin alkol veya uyuşturucu testi uygulayabilmesi için öncelikle meşru bir amacının bulunması gerekir. Uygulamada bu amaç çoğunlukla iş sağlığı ve güvenliğinin sağlanmasıdır. Ancak bu gerekçe, testlerin tüm çalışanlara yaygın ve sınırsız şekilde uygulanabileceği anlamına gelmez. Testlerin yalnızca işin niteliği gereği risk oluşturan görevlerde çalışan kişilerle sınırlı olması, iş ile doğrudan bağlantılı bulunması ve ölçülülük ilkesine uygun şekilde gerçekleştirilmesi gerekir.

Aksi durumda yapılan müdahale, özel hayatın gizliliği ve kişilik hakları bakımından hukuka aykırı hale gelecektir. Nitekim uygulamada özellikle savunma sanayi firmaları ve bazı belediyeler nezdinde bu tür testlerin uygulandığına ilişkin örneklere rastlanmakta olup, bu uygulamaların her somut olayda yukarıda belirtilen hukuki sınırlar çerçevesinde ayrıca değerlendirilmesi gerekmektedir.

Bu değerlendirme, işverenin söz konusu testleri iş sözleşmeleri, toplu iş sözleşmeleri veya işyeri iç yönetmelikleri ile düzenlemiş olması halinde de değişmez. Her ne kadar bu tür düzenlemelerle çalışanların belirli aralıklarla teste tabi tutulması öngörülebilse de, bu hükümlerin geçerliliği işin niteliği ve somut riskle doğrudan bağlantılı olmasına bağlıdır. İş sağlığı ve güvenliği bakımından risk taşımayan bir pozisyonda çalışan işçiler yönünden bu tür düzenlemeler, kişilik haklarına ölçüsüz müdahale teşkil edeceğinden hukuken geçersiz sayılacaktır. Dolayısıyla toplu iş sözleşmesi veya işyeri düzenlemeleri, işverenin sınırsız bir test yetkisi bulunduğu şeklinde yorumlanamaz; bu düzenlemeler de anayasal sınırlar ve kişilik hakkı koruması çerçevesinde denetime tabidir.

KVKK m. 6’da yapılan değişiklikle birlikte, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ve sosyal hizmet alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesi mümkün hale gelmiştir. Ancak bu düzenleme, uygulamada sıklıkla yanlış yorumlandığı gibi işverenin özel nitelikli verileri sınırsız şekilde işleyebileceği anlamına gelmez. Burada kritik eşik şudur:

  • Bu bir “kolaylaştırma” değil, istisnai bir yetkidir
  • Dayanak “meşru menfaat” değil, daha ağır bir kriter olan “zorunluluk”tur

Özellikle kan ve uyuşturucu testleri bakımından şu ayrım hayati önemdedir:

  • Bu işlemler sadece veri işleme değildir
  • Aynı zamanda vücut bütünlüğüne müdahaledir

Bu nedenle:

  • KVKK tek başına yeterli değildir
  • Anayasa + medeni hukuk birlikte uygulanır

Sonuç olarak KVKK m. 6 kapsamında işverenin istihdam ve iş sağlığı ve güvenliği gerekçesiyle özel nitelikli kişisel verileri açık rıza olmaksızın işleyebilmesi mümkün olmakla birlikte, bu imkan yalnızca gerçekten gerekli ve kaçınılmaz durumlarla sınırlıdır. Alkol ve uyuşturucu testleri gibi doğrudan vücut bütünlüğüne müdahale içeren uygulamalar ise ancak işin niteliği ile doğrudan bağlantılı, ölçülü ve zorunlu olduğu ölçüde hukuka uygun kabul edilebilir.

KVKK’da Yeni Dönem: Uyum Değil, Risk Yönetimi Meselesi

2026 yılı itibarıyla KVKK uygulamasında artık teorik bir uyum tartışmasından değil, doğrudan yaptırım riski doğuran somut ihlallerden söz ediyoruz. Kurul’un ilke kararlarıyla ortaya koyduğu yaklaşım açık: daha önce de beklenen yükümlülükler artık fiilen denetlenmekte ve uyumsuzluk durumunda idari para cezalarıyla karşılık bulmaktadır. Açık rıza ve aydınlatma metinlerinin ayrıştırılmaması, apartman ve site uygulamalarında kişisel verilerin kontrolsüz şekilde ifşa edilmesi, sadakat kartı sistemlerinde doğrulama ve yetkilendirme eksiklikleri ve işe alım süreçlerinde gerçekleştirilen ölçüsüz test uygulamaları; artık yalnızca “uygulama hatası” değil, doğrudan yaptırım konusu haline gelmiştir. Bu noktada şirketler açısından temel mesele, mevzuata şeklen uyum sağlamak değil; veri işleme süreçlerini baştan sona hukuka uygun şekilde tasarlamak ve yönetmektir. Aksi halde, günlük operasyonların doğal bir parçası olarak görülen uygulamalar dahi ciddi hukuki ve finansal riskler doğurabilir. Sonuç olarak, KVKK uyumu artık bir “dokümantasyon meselesi” değil; kurumsal risk yönetiminin ayrılmaz bir parçasıdır. Bu süreci doğru kurgulayan şirketler yalnızca yaptırımlardan kaçınmakla kalmaz, aynı zamanda güvenilirlik ve sürdürülebilirlik açısından da önemli bir avantaj elde eder. Aksi yönde hareket edenler ise, giderek sıkılaşan denetim pratiği karşısında ciddi sonuçlarla karşılaşmaya adaydır.

Hızlı Erişim

Hizmetlerimiz

    © 2026 Randeu