7499 Sayılı Kanun'la (R.G. 12.03.2024, KVKK hükümleri 01.06.2024 itibarıyla yürürlük) başlayan süreç, yurt dışı veri aktarımı kurallarını, özel nitelikli veri işleme dayanaklarını ve aydınlatma yükümlülüklerini kökten değiştirdi. Kanunun yürürlüğe girmesinin ardından Kişisel Verileri Koruma Kurulu, 2025-2026 boyunca birbiri ardına ilke kararları ve kamuoyu duyuruları yayımladı. Bu yazı, şirketlerin uyum durumlarını gözden geçirmesi gereken yedi kritik gelişmeyi özetlemektedir.

1. Aydınlatma Metni ve Açık Rıza Metni Zorunlu Olarak Ayrı Düzenlenmeli

Kurul'un 2026/347 sayılı İlke Kararı (R.G. 24.03.2026), KVKK md.10 kapsamındaki aydınlatma metni ile açık rıza metninin ayrı belgeler olarak hazırlanmasını zorunlu kıldı. Tek bir kutucukta "okudum ve onaylıyorum" mantığı artık hukuka aykırı; iki metin farklı başlıklar altında ve bağımsız onay alanlarıyla sunulmalı. Veri işlemenin sözleşme, yasal yükümlülük veya meşru menfaat gibi bir dayanağa yaslandığı durumlarda ise yalnızca aydınlatma metni düzenlenir — rıza belgesi hazırlanmaz.

2. KVKK Rızası ile ETK Ticari İleti Onayı Farklı Hukuki Araçlardır

6698 sayılı Kanun kapsamındaki kişisel veri işleme rızası ile 6563 sayılı Kanun kapsamındaki ticari elektronik ileti onayı birbirinden bağımsız iki hukuki rejime tabidir. Kurul, aynı kutucuktan her iki onayı alan şirketleri defalarca cezalandırmıştır. ETK onayının İYS'ye (İleti Yönetim Sistemi) kaydedilmesi; KVKK rızasının ise ayrı bir forma ve belgeye dayandırılması zorunludur.

3. Biyometrik Verilerle Mesai Takibi Fiilen Yasaklandı

Kurul'un 2026/921 sayılı Kararı (R.G. No.33268, 02.06.2026), parmak izi, yüz tanıma ve benzeri biyometrik sistemlerin çalışan mesai takibinde kullanımını neredeyse tüm koşullarda hukuka aykırı buldu. Gerekçe iki katmanlı: (i) iş mevzuatında biyometrik sistemi zorunlu kılan özel bir hüküm yok; (ii) kart, PIN veya RFID gibi daha az müdahaleci alternatifler mevcut olduğundan ölçülülük ilkesi ihlal ediliyor. İşçi-işveren ilişkisindeki güç dengesizliği nedeniyle bu konudaki çalışan rızası da serbest irade ürünü sayılmıyor.

4. Güvenlik Kameraları Performans veya Devam Takibi Aracına Dönüştürülemiyor

KVKK'nın 08.06.2026 tarihli kamuoyu duyurusu, işyeri güvenlik kamerası sistemlerinin meşru kullanım amaçlarını açıkça saydı: fiziksel güvenlik, suç önleme ve İSG (6331 sayılı Kanun). Çalışan verimliliği takibi, devam denetimi ve performans değerlendirmesi bu amaçlar arasında yer almıyor. Tuvalet, soyunma odası ve mescit gibi alanlarda kamera bulundurulması kesinlikle yasak; her kamera için çalışanlara yönelik aydınlatma levhası ve saklama süresi politikası zorunlu.

5. Kolluk Veri Taleplerine Yasal Dayanak Olmadan Yanıt Verilemez

KVKK md.5 ve md.8 uyarınca kişisel verilerin üçüncü kişilere (kolluk dahil) aktarılabilmesi için genel soruşturma yetkisi değil, o veri kategorisini talep etmeye açıkça yetkilendiren özel bir kanun hükmünün varlığı aranmaktadır. AYM'nin CMK 134 kararı (aşağıya bkz.) bu ilkeyi daha da güçlendirdi. Şirketlerin yazılı bir "kolluk talebi prosedürü" oluşturması; sözlü veya gayri resmî taleplere belge ve yasal dayanak kontrolü yapmadan yanıt vermemesi önerilir.

6. CMK Madde 134 Anayasa Mahkemesi Tarafından İptal Edildi

Anayasa Mahkemesi, E.2023/128, K.2026/36 sayılı kararıyla (R.G. No.33264, 25.05.2026) bilgisayar ve dijital cihazlarda arama, kopyalama ve el koyma yetkisini düzenleyen CMK md.134'ü iptal etti. Mahkeme; hükmün veri saklama süresi, amaca sınırlılık ve silme mekanizması bakımından Anayasa md.20'deki kişisel veri güvencesiyle bağdaşmadığına hükmetti. Madde 25.02.2027'ye kadar yürürlükte; yasama organının bu süre içinde yeni bir düzenleme yapması bekleniyor. Ceza savunması açısından kararın dijital delil itirazlarında önemli bir dayanak oluşturduğunu; şirket hukuku açısından ise sunucu ve cihazlara yönelik dijital arama yetkisinin sınırlarını yeniden tartışmaya açtığını belirtmek gerekir.

7. "Anonimleştirdik" Artık Yetmiyor: Pseudonimleştirme ile Gerçek Anonimlik Ayrımı

KVKK'nın Kasım 2025'te yayımladığı Üretken Yapay Zeka ve Kişisel Veri Koruma Rehberi ile Kurul'un son dönem kararları, pseudonimleştirme ile gerçek anonimleştirmeyi birbirinden net biçimde ayırdı. Hash, token veya takma ad uygulaması, çapraz veriyle yeniden tanımlamanın mümkün olduğu hallerde anonimleştirme sayılmıyor; KVKK kapsamı dışına çıkabilmek için nesnel bir yeniden tanımlama riski değerlendirmesi yapılması gerekiyor. Bu kural; veri analitik şirketlerini, reklam teknolojisi sağlayıcılarını ve kişisel veri üzerinde AI modeli eğiten tüm kuruluşları doğrudan etkiliyor.

Sonuç

Yedi gelişmenin ortak paydası şu: KVKK uyumu artık yalnızca doküman hazırlama meselesinden ibaret değil; hukuki, teknik ve insan kaynakları boyutlarını kapsayan bütünleşik bir süreç. Mevcut uyum altyapınızı gözden geçirmek ya da spesifik bir konuda destek almak isterseniz iletişim formumuzdan veya WhatsApp'tan bize ulaşabilirsiniz.

Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Uygulamadan önce güncel mevzuatı ve Kurul kararlarını doğrulayınız.