2024 Değişikliklerinin Ardından KVKK'nın Yapısı

KVKK, Türkiye'nin temel kişisel veri koruma mevzuatıdır ve değiştirilmiş metin artık temel başvuru kaynağıdır. 2024 öncesi versiyonla çalışan yayıncılar, güncelliğini yitirmiş bir çerçeveye bakıyor demektir.

2024 Değişiklikleri Neyi Değiştirdi?

En köklü değişiklik, yurt dışı veri aktarımlarını düzenleyen 9. Madde'nin yeniden yazılmasıydı. 2024 öncesi rejim, karşılanması notoriously güç koşullar içeriyordu; neredeyse her yurt dışı veri akışı için ya açık rıza ya da Kurul'un kararından oluşan bir yetkilendirme aranıyordu ki bu durum hiçbir modern reklam teknolojisi altyapısı için sürdürülebilir değildi. Değiştirilen 9. Madde, üç kademeli bir aktarım mekanizması sunmaktadır: Kurul'dan yeterlilik kararı, standart sözleşme maddeleri de dahil uygun güvenceler dizisi ve dar kapsamlı durumlarda istisna hükümleri. Bu düzenleme, Türk aktarım hukukunu nihayet GDPR'nin yapısıyla uyumlu hale getirdi ve programatik reklamcılığın her tedarikçi için ayrı ayrı Kurul başvurusu yapılmaksızın uluslararası mevzuata uygun yürütülmesini mümkün kıldı.

Değişmeyen Unsurlar

Temel tanımlar, hukuki işleme şartları, veri sahibi hakları ve özel nitelikteki veriler için aranan açık rıza standardı olduğu gibi korunmaktadır. Türk hukukundaki açık rıza eşiği, GDPR'nin standardından uygulamada daha katı bile sayılabilir; yayıncıların uyum açıklarının büyük çoğunluğu hâlâ bu alanda yoğunlaşmaktadır.

VERBİS Sicili

Belirli eşiklerin üzerindeki veri sorumluları — ölçekli biçimde Türk kişisel verisi işleyen yabancı veri sorumlularının büyük kısmı dahil — Veri Sorumluları Sicili'ne (VERBİS) kayıt yaptırmak zorundadır. Kayıt sırasında işleme faaliyetleri, hukuki işleme şartları ve aktarım mekanizmaları beyan edilmelidir. Pek çok yabancı yayıncı tarihsel olarak VERBİS kaydını ihmal etmiştir; Kurul, 2025 ve 2026 boyunca bu konuda daha aktif bir tutum benimseyeceğinin sinyalini vermiştir.

KVKK Kapsamında Kişisel Veri Sayılan Veriler

KVKK'daki kişisel veri tanımı geniş tutulmuş olup GDPR ile büyük ölçüde örtüşmektedir. Kişisel veri; kimliği belirli ya da belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Kurul da çerezleri, reklam tanımlayıcılarını, IP adreslerini ve cihaz parmak izlerini, kullanıcıyla doğrudan ya da makul yollarla ilişkilendirilebildiği durumlarda kişisel veri olarak tutarlı biçimde nitelendirmektedir.

Özel Nitelikli Kişisel Veriler

KVKK'nın özel nitelikli veri kategorileri listesi, GDPR'dekinden daha kapsamlıdır: ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek ya da vakıf üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri ile biyometrik ve genetik veriler açıkça sayılmaktadır. Bu verilerin herhangi birinin işlenmesi, açık rıza gerektirir — belirsiz ya da birleştirilmiş değil, belirli bir özel işlemeyle ilişkili, spesifik, bilgilendirilmiş ve özgür iradeyle verilmiş bir onay.

Bu Durum Çerezler Açısından Neden Önemlidir?

Yalnızca oturum kimliği saklayan bir çerez temel kişisel veri sayılır. Türk tanımı çerçevesinde Liberal Seçmenler ya da Dindar Topluluk gibi kitle segmentlerine veri besleyen bir çerez ise özel nitelikli kişisel veri kapsamına girer; bu durumda gereken onay yapılandırması açık rıza-ya-da-hiçbir-şey ilkesini izler. KVKK'nın özel nitelikli veri listesiyle kesişen kitle segmentlerini hedefleyen yayıncılar, söz konusu segmentleri genel reklam onayı kapsamında çalıştırmamalıdır.

2026'da KVKK Çerçevesinde Çerez Onayı

Kurul'un çerezlere ilişkin tutumu son iki yılda belirgin biçimde sertleşti. Güncel rehberlik tartışmaya yer bırakmamaktadır: kişisel veri işleyen çerezler ve izleme teknolojileri, kullanıcının talep ettiği bir hizmet için kesinlikle zorunlu olmadıkça onay gerektirmektedir.

Geçerli Açık Rızanın Dört Unsuru

Türk hukukunda açık rıza:

• Belirli bir konuya ilişkin olmalıdır — belirsiz gelecekteki işlemeleri kapsayan genel çerçeve onaylar geçerli değildir
• Bilgilendirilmiş olmalıdır — kullanıcı hangi verinin, ne amaçla, kim tarafından ve ne süreyle işlendiğini bilmelidir
• Özgür iradeyle verilmiş olmalıdır — kullanıcı, hak ettiği bir hizmetten mahrum bırakılma korkusu olmaksızın reddetme imkânına sahip olmalıdır
• Açık bir olumlu eylemle ifade edilmiş olmalıdır — önceden işaretlenmiş kutular, zımni onay ve sayfayı kaydırmanın onay sayılması geçersizdir

Uyumlu Bir CMP Nasıl Görünmelidir?

2026'da Türk trafiği için yapılandırılmış bir CMP şunları sunmalıdır:

• Zorunlu olmayan hiçbir çerez tetiklenmeden önce görünür bir banner; Türk kullanıcılar için varsayılan dil Türkçe olmalıdır
• Kabul Et, Reddet ve Özelleştir seçeneklerine eşit görsel ağırlık — Kurul, Reddet seçeneğinin Kabul Et'ten daha az görünür kılındığı banner tasarımlarını açıkça eleştirmiştir
• Her amaç için ayrı geçiş düğmeleri: analitik, reklam, kişiselleştirme, yurt dışı aktarım ve özel nitelikli veri işlemeleri
• İlk tercihten sonra rızanın kolayca geri alınabileceği kalıcı ve erişilebilir bir mekanizma
• Veri sorumlusunun kimliğini, amaçları, alıcıları, saklama sürelerini ve hakları açıklayan Türkçe Aydınlatma Metni
• Özel nitelikli veri içeren her işlem için ayrı, açıkça etiketlenmiş ve kendi eyleminin ardına kilitlenmiş bir açık rıza akışı

Rıza Kayıtları

Veri sorumlusu; kimin, ne zaman, neye, hangi arayüz aracılığıyla rıza verdiğini gösteren kayıtları muhafaza etmek zorundadır. KVKK Kurulu, pek çok yaptırım kararında yetersiz rıza kayıtlarını gerekçe olarak göstermiştir; zaman damgalı ve dışa aktarılabilir kayıtlar artık temel beklentidir.

2024 Tarihli 9. Madde Çerçevesinde Yurt Dışı Veri Aktarımları

2024 değişiklikleri, GDPR'nin yaklaşımını yansıtan üç kademeli bir aktarım çerçevesi getirdi. Hangi kademenin hangi veri akışına uygulandığını doğru belirlemek, 2026'da yabancı yayıncıların en sık karşılaştığı uyum açığıdır.

1. Kademe — Yeterlilik Kararı

Kurul, bir ülkeyi, uluslararası kuruluşu ya da bir ülkenin belirli bir sektörünü yeterli koruma sağlayan yer olarak belirleyebilir. Yeterlilik kararı alınan ülkelere yapılan aktarımlar ek mekanizma aranmaksızın gerçekleştirilebilir. 2026 başı itibarıyla Kurul yavaş yavaş yeterlilik kararları yayımlamaktadır; ancak Amerika Birleşik Devletleri henüz genel olarak yeterli sayılmamıştır.

2. Kademe — Uygun Güvenceler

Yeterlilik kararının bulunmadığı durumlarda aktarımlar, uygun güvencelere dayanılarak gerçekleştirilebilir. Değişiklikler özellikle şu araçları öngörmektedir: Kurul tarafından onaylanan standart sözleşme maddeleri, grup içi aktarımlar için bağlayıcı şirket kuralları ile Kurul onaylı davranış kuralları veya sertifika mekanizmaları. Kurul'un standart sözleşme maddeleri 2024 yılında yayımlanmış olup yayıncıların büyük çoğunluğu için başvurulan temel araç konumundadır.

3. Kademe — İstisnalar

Ayrıca dar kapsamlı istisnalar da mevcuttur: münhasıran gerçekleştirilen aktarımlar, sözleşmenin ifası için zorunlu aktarımlar ya da kullanıcının açık rıza gösterdiği aktarımlar bu kapsamdadır. Ancak bunlar, süregelen programatik veri akışları için birincil hukuki dayanak olarak kullanılamaz.

Yayıncılar Açısından Pratik Sonuçlar

Tipik bir programatik altyapı, her açık artırmada çerez kaynaklı verileri onlarca yurt dışındaki tedarikçiye iletmektedir. Bu akışların her biri, yurt dışı veri aktarımı niteliği taşımaktadır. 2026 için uygulanabilir yaklaşım şudur: her uluslararası veri işleyenle Kurul onaylı standart sözleşme maddeleri imzalanmalı ve aktarım mekanizması hem Aydınlatma Metni'nde hem de VERBİS kaydında belgelenmelidir. 2024 öncesi aktarım başına açık rıza mantığını sürdüren yayıncılar, hem uyum riskine aşırı maruz kalmakta hem de potansiyel gelirlerini yetersiz biçimde kullanmaktadır.

Veri Sahibi Hakları

Türk veri sahipleri, KVKK çerçevesinde GDPR'deki hakların tamamına sahiptir:

• Verilerinin işlenip işlenmediğini öğrenme hakkı
• İşlenen verilere erişim hakkı
• Hatalı verilerin düzeltilmesini talep etme hakkı
• İşlemenin gerekliliği ortadan kalktığında silme ya da anonimleştirme talep etme hakkı
• Verilerin aktarıldığı üçüncü tarafları öğrenme hakkı
• Olumsuz sonuçlar doğuran otomatik kararlara itiraz etme hakkı
• Hukuka aykırı işleme nedeniyle uğranılan zararın tazminini talep etme hakkı

Yanıt Süreleri

Veri sorumluları, veri sahibi başvurularına 30 gün içinde yanıt vermek zorundadır. Veri sorumlusunun yanıtının yetersiz bulunması hâlinde veri sahibi, KVKK Kurulu'na başvurabilir; Kurul'un karar verme süresi 60 gündür. 30 günlük süre için operasyonel hazırlık — işlem kılavuzları, teknik araçlar ve Türkçe yanıt şablonları dahil — yabancı yayıncılarda sıkça görülen bir eksikliktir.

2026'daki Yaptırımlar ve Kurul'un Uygulama Tutumu

KVKK Kurulu, ilk birkaç yıl görece sessiz bir seyir izledi; ancak son dönemde yaptırım faaliyetlerini kayda değer ölçüde artırdı. 2025 yılında uygulanan idari para cezalarının toplamı, Kanun'un yürürlüğe girdiği tarihten bu yana görülen en yüksek rakama ulaştı; 2026 da benzer bir ivmeyle ilerliyor.

İdari Para Cezaları

İdari para cezaları her yıl enflasyona göre güncellenmektedir. 2026 itibarıyla en ağır ihlaller için öngörülen üst sınır, ihlal başına 40 milyon TL'yi aşmaktadır; veri güvenliği ihlalleri, bildirim yükümlülükleri, VERBİS kaydı eksiklikleri ve Kurul kararlarına aykırılıklar için ayrı ceza üst sınırları uygulanmaktadır. Yabancı veri sorumluları, 2025 yılında gerçekleştirilen çok sayıda işlemde üst bantta ceza almıştır.

İtibar Riski

Kurul, yaptırım kararlarının özetlerini web sitesinde yayımlamaktadır. Yabancı yayıncılara uygulanan cezalar, Türkiye'nin teknoloji basınında düzenli olarak yer bulmakta; kamuoyuna açıklanan bir KVKK kararının itibar açısından yarattığı maliyet çoğu zaman para cezasının kendisini de aşmaktadır.

Yaptırım Öbekleri

Kurul'un 2025 ve 2026 başındaki işlemleri, tekrar eden birkaç ana sorun etrafında kümelenmektedir: eksik ya da belirsiz çerez onayı, yetersiz Aydınlatma Metni, VERBİS'e kayıt yaptırmayan yabancı veri sorumluları ve 2024 öncesi çerçeve kullanılarak gerçekleştirilen hukuka aykırı yurt dışı veri aktarımları.

2026'da Türk Trafiği İçin Denetim Kontrol Listesi

• CMP banner'ı, Türk kullanıcılar için Türkçe olarak sunulmalı; Kabul Et, Reddet ve Özelleştir seçenekleri görsel olarak eşit ağırlıkta yer almalıdır
• Rıza amaçları ayrıntılı olmalı; özel nitelikli veri işlemeleri, kendi açık rıza akışının ardına ayrı olarak yerleştirilmelidir
• Rıza kayıtları zaman damgalı ve dışa aktarılabilir olmalı; en az işleme süresi artı denetlenebilir bir marj boyunca saklanmalıdır
• Aydınlatma Metni Türkçe olarak hazırlanmalı; veri sorumlusu, veri işleyenler, amaçlar, saklama süreleri ve haklar eksiksiz açıklanmalıdır
• Eşiği aşan veri sorumlusunun VERBİS kaydı eksiksiz ve güncel olmalıdır
• Yurt dışı veri aktarımları, 2024 tarihli standart sözleşme maddelerine ya da geçerli başka bir 9. Madde mekanizmasına dayanmalı; kullanılan mekanizma Aydınlatma Metni'nde belgelenmelidir
• Veri sahibi başvuru süreci, baştan sona 30 gün içinde Türkçe olarak yanıtlanabilecek kapasitede olmalıdır
• Tedarikçi listesi gözden geçirilmeli; kullanılmayan ya da gereksiz tedarikçiler risk azaltımı amacıyla çıkarılmalıdır

2026 Görünümü

Türkiye'nin veri koruma rejimi, Avrupa çerçevesiyle biçim açısından aynı seviyeye gelmiş; uygulama açısından da bu seviyeye hızla yaklaşmaktadır. 2024 değişiklikleri, modern uluslararası reklam teknolojisinin önündeki en büyük yapısal engeli — eski aktarım rejimini — ortadan kaldırdı; Kurul ise geçen iki yılı, Kanun'un geri kalan hükümlerinin uygulanmasına odaklanarak geçirdi. GDPR düzeyinde bir rıza altyapısına sahip yayıncılar, Türkiye'ye hazır hale gelmek için görece küçük adımlar atmak durumundadır: Türkçe CMP ve Aydınlatma Metni, uygulanabilir durumlarda VERBİS kaydı, 2024 standardındaki aktarım maddeleri ve genişletilmiş özel nitelikli veri listesine gereken özen. Türkiye'yi daha hafif bir pazar olarak değerlendiren yayıncılar, 2026'nın 2025'ten; 2027'nin ise 2026'dan daha maliyetli olduğunu görecektir. Bu açık, öncelik verildiği takdirde birkaç haftada kapatılabilir — ve kapatılmalıdır.