Karşılaştırmalı Hukuki Analiz: KVKK ve GDPR’ın Ayrışma ve Yakınsama Noktalarında Gezinmek

İçindekiler Tablosu

Giriş

Küresel veri koruma ortamı, Avrupa Birliği’nin (AB) Genel Veri Koruma Tüzüğü’nün (GDPR) fiili uluslararası standart olarak ortaya çıkmasıyla yeniden şekillenmiştir. Bu ortamda, Türkiye’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), önemli bir evrim sürecinden geçen kilit bir ulusal düzenleme olarak konumlanmaktadır. Bu raporun temel tezi şudur: 2024 yılında KVKK’da yapılan kapsamlı değişiklikler, GDPR ile uyum yönünde anıtsal bir adımı temsil etse de, her iki düzenleme arasında kalan kritik yapısal ve felsefi farklılıklar, her iki yargı alanında faaliyet gösteren işletmeler için karmaşık bir uyum ortamı yaratmaya devam etmektedir. Bu ayrışmaların kökenini anlamak için, KVKK’nın temelinin, artık yürürlükten kalkmış olan 95/46/AT sayılı AB Veri Koruma Direktifi’ne dayandığı gerçeğini göz önünde bulundurmak gerekir.1 Bu tarihsel bağlam, KVKK’nın daha modern ve risk tabanlı bir yaklaşım benimseyen GDPR’dan temel felsefi ayrılıklarının birçoğunu açıklamaktadır. Bu analiz, söz konusu farklılıkları ve yakınlaşmaları derinlemesine inceleyerek, uyum stratejileri geliştiren kuruluşlar için bir yol haritası sunmayı amaçlamaktadır.

Bölüm 1: Temel Çerçeveler ve Ana İlkeler

Bu bölümde, her bir düzenlemenin hukuki mimarisi, kimin ve neyin koruma kapsamında olduğuna odaklanılarak ayrıntılı bir şekilde incelenmektedir.

1.1. Yargı Yetkisi Kapsamı: İki Farklı Erişim Alanı

GDPR’ın Sınır Aşan Etkisi: GDPR’ın yargı yetkisi kapsamının en dikkat çekici özelliği, sınır aşan (extra-territorial) etkisidir. Bu düzenleme, yalnızca AB’de yerleşik olan kuruluşlara değil, aynı zamanda AB dışındaki (örneğin Türkiye merkezli bir şirket gibi) kuruluşlara da, AB’deki bireylere mal veya hizmet sunmaları ya da bu bireylerin davranışlarını izlemeleri halinde uygulanır.3 Bu durum, GDPR’ın küresel ölçekteki etkisini ve önemini ortaya koymaktadır. Bir Türk e-ticaret sitesinin Almanya’daki bir müşteriye ürün satması, bu siteyi doğrudan GDPR yükümlülükleri altına sokar.

KVKK’nın Esasen Ulusal Odaklı Yaklaşımı: Buna karşılık, KVKK’nın kapsamı öncelikli olarak Türkiye sınırları içindeki veri işleme faaliyetleriyle sınırlıdır.4 Kanun, Türkiye’de veri işleyen yabancı kuruluşları da kapsamına alsa da, dışa dönük etki alanı GDPR kadar açık ve geniş bir şekilde tanımlanmamıştır.

Bu iki farklı yaklaşım, asimetrik bir uyum yükümlülüğü doğurmaktadır. AB müşterilerine hizmet veren bir Türk şirketi, hem KVKK’ya hem de GDPR’a uyum sağlamak zorundadır. Oysa Türkiye’de herhangi bir faaliyeti olmayan bir AB şirketi yalnızca GDPR ile ilgilenir. GDPR’ın bu sınır aşan niteliği, Türk şirketleri için bu düzenlemeyi anlamayı ve uyum sağlamayı zorunlu kılan temel bir itici güçtür, zira uyumsuzluk doğrudan ve ciddi bir finansal risk teşkil etmektedir. Bu durum, yalnızca bir yasal gereklilik olmanın ötesinde, uluslararası pazarda faaliyet gösteren Türk şirketleri için stratejik bir iş gerçeğidir ve uyum maliyetlerini ve operasyonel karmaşıklığı önemli ölçüde artırmaktadır.

1.2. Maddi Kapsam: Hangi Veriler Korunuyor?

Veri Formatı: GDPR ve KVKK arasındaki önemli ancak sıklıkla gözden kaçırılan bir fark, korunan verinin formatıyla ilgilidir. GDPR, formatından bağımsız olarak kişisel verileri açıkça koruma altına alır; bu kapsama hem dijital kayıtlar hem de yapılandırılmış fiziki kayıtlar (örneğin, bir dosyalama sistemindeki kağıt dosyalar) dahildir.3 KVKK’nın kapsamı ise tarihsel olarak daha çok otomatik yollarla veya bir veri kayıt sisteminin parçası olmak kaydıyla işlenen verilere odaklanmış olup, yapılandırılmamış fiziki veriler konusunda belirsizlikler barındırmaktadır.1

Kişisel Veri Tanımı: Her iki düzenleme de kişisel veriyi, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır.6 Bu temel kavram her iki mevzuatta da benzerdir.

Özel Nitelikli Kişisel Veriler (Hassas Veriler): Her iki çerçeve de hassas verilere yönelik daha yüksek düzeyde bir koruma sağlar. Ancak GDPR’ın listesi, KVKK’nın “cinsel hayat” tanımına kıyasla “cinsel yönelim” gibi belirli alanlarda biraz daha geniş ve daha açıktır.4 2024 yılında KVKK’da yapılan değişiklikler, bu tür verilerin işlenme koşullarını genişleterek GDPR modeline önemli ölçüde yaklaştırmıştır.2

Maddi kapsamdaki, özellikle fiziki verilerle ilgili bu farkın önemli pratik sonuçları vardır. GDPR uyarınca bir şirket, yapılandırılmış kağıt tabanlı insan kaynakları dosyalarını, dijital veritabanlarıyla aynı titizlikle envanterine almalı ve korumalıdır. KVKK kapsamında ise odak noktası tarihsel olarak daha çok dijital sistemler üzerinde olmuştur. Bu durum, yalnızca KVKK merkezli bir zihniyetle Avrupa operasyonlarını yürüten şirketler için ciddi bir uyum açığı yaratabilir. Örneğin, AB vatandaşlarına ait eski çalışan sözleşmelerinin veya müşteri formlarının bulunduğu fiziki arşivlerin güvenliğinin sağlanmaması, KVKK açısından gözden kaçabilecek bir detayken, GDPR açısından doğrudan bir ihlal teşkil edebilir. Bu nedenle, maddi kapsamdaki bu görünüşte küçük fark, somut bir uyumsuzluk riski yaratmaktadır.

1.3. Kilit Hukuki Aktörler: Veri Sorumlusu ve Veri İşleyen Sorumluluğu

Tanımlar: Her iki kanun da veri işlemenin “neden” ve “nasıl”ını belirleyen Veri Sorumlusu (Data Controller) ile veri sorumlusu adına veri işleyen Veri İşleyen (Data Processor) arasında bir ayrım yapmaktadır.6

Kritik Sorumluluk Farkı: Bu, iki düzenleme arasındaki en temel ayrışma noktalarından biridir. GDPR kapsamında, Veri İşleyenler doğrudan yasal yükümlülüklere sahiptir ve uyumsuzluk durumunda idari para cezalarına doğrudan maruz kalabilirler.10 KVKK’da ise idari para cezaları yalnızca Veri Sorumlusuna uygulanır.10 Veri sorumlusu, veri işleyene karşı sözleşmesel rücu hakkına sahip olsa da, düzenleyici sorumluluk tamamen veri sorumlusunun üzerindedir.

Bu ayrım, risk ortamını ve taraflar arasındaki sözleşmesel dinamikleri temelden değiştirmektedir. AB operasyonları için bir Türk bulut hizmet sağlayıcısı (bir veri işleyen), bir AB veri koruma otoritesinden (DPA) doğrudan düzenleyici risk ve potansiyel para cezaları ile karşı karşıyadır. Aynı sağlayıcı, Türkiye’deki operasyonları için ise yalnızca müşterilerinden (veri sorumlularından) kaynaklanan sözleşmesel riskle yüzleşir. Bu durum, AB pazarındaki veri işleyenleri kendi uyum programlarına daha fazla yatırım yapmaya teşvik ederken, Türkiye’de sorumluluk ve baskı neredeyse tamamen veri sorumlusunun omuzlarındadır. Bu farklılık, veri işleyenlerin iş modelini ve risk yönetim stratejilerini doğrudan etkiler; bir yanda doğrudan, kamusal bir yaptırım riski, diğer yanda ise daha yönetilebilir, özel hukuk niteliğindeki sözleşmesel bir uyuşmazlık riski bulunmaktadır. Bu da veri işleyenlerin uyum teşviklerini ve yatırımlarını farklılaştırmaktadır.

Bölüm 2: Veri İşlemenin Hukuki Sebepleri

Bu bölüm, uyumun temel taşı olan veri işlemeye izin veren hukuki dayanakları incelemektedir.

2.1. Rıza: “Açık Rıza” ve GDPR’ın Detaylı Standardı

KVKK’nın “Açık Rıza” Kavramı: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanır.12 Tarihsel olarak, genellikle birincil ve varsayılan hukuki sebep olarak ele alınmıştır.

GDPR’ın Daha Sıkı Rıza Standardı: GDPR, rızanın “özgürce verilmiş, spesifik, bilgilendirilmiş ve veri sahibinin iradesinin net bir göstergesi” olmasını gerektirir ve genellikle açık bir olumlu eylem talep eder. Rızayı geri çekmenin, vermesi kadar kolay olması esastır.4 GDPR, veri sorumlusu ile veri sahibi arasında (örneğin, işveren-çalışan ilişkisi gibi) bariz bir güç dengesizliği varsa, rızanın geçerli bir hukuki sebep olmaması gerektiğini açıkça belirtir.

Bu fark yalnızca semantik değil, güç dengesiyle ilgilidir. GDPR’ın çerçevesi, rızayı gerçek bir seçime dönüştürmek ve veri sorumlularını, bir güç dengesizliğinin olduğu durumlarda sözleşmenin gerekliliği veya meşru menfaat gibi daha uygun hukuki sebepleri bulmaya teşvik etmek üzere tasarlanmıştır. Eski Direktif’ten kaynaklanan KVKK’nın yapısı ise, diğer hukuki sebeplerin daha uygun olduğu durumlarda bile “açık rıza”ya hiyerarşik olarak üstün bir konum atfeden bir algı yaratabilmektedir.13 Bu durum, Türkiye’de GDPR’ın yasaklayacağı durumlar için rıza formlarının aşırı kullanımına yol açabilir. Örneğin, bir işverenin maaş bordrosu verilerini işlemek için çalışandan rıza istemesi GDPR altında sorunludur, çünkü çalışan bunu özgürce reddedemez. GDPR bu durumda “yasal yükümlülük” veya “sözleşmenin gerekliliği” gibi hukuki sebeplere dayanılmasını zorunlu kılar. Geleneksel KVKK yaklaşımında ise bir işveren aynı durum için geniş kapsamlı bir “açık rıza” talep edebilir ki bu, GDPR uyarınca geçersiz sayılacaktır. Bu, iki kanunun rızayı nasıl kavramsallaştırdığı ve uyguladığı konusunda temel bir felsefi farkı gözler önüne sermektedir.

2.2. “Meşru Menfaat” Doktrini

Uygulanabilirlik: Hem KVKK (Madde 5/2-f) hem de GDPR (Madde 6(1)(f)), veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, rıza olmaksızın veri işlemek için bir hukuki sebep olarak “meşru menfaati” içerir.15

Denge Testi: GDPR uygulaması, düzenleyici kurum rehberleriyle desteklenerek, resmi bir üç aşamalı denge testi yapılmasını zorunlu kılar: (1) Meşru bir menfaatin belirlenmesi; (2) Veri işlemenin bu menfaate ulaşmak için gerekli olduğunun gösterilmesi; (3) Bu menfaatin, bireyin menfaatleri, hakları ve özgürlükleri karşısında dengelenmesi. Türkiye’deki Kişisel Verileri Koruma Kurumu (Kurul) da kararlarında ve rehberlerinde benzer bir “denge testi”nin gerekliliğini benimsemiştir.17

Her iki kanunda da bu kavram yer almasına rağmen, pratik uygulaması ve olgunluk seviyesi farklılık göstermektedir. AB’de, denge testinin nasıl yapılacağına dair Avrupa Veri Koruma Kurulu (EDPB) tarafından yayınlanmış çok sayıda içtihat ve ayrıntılı rehber bulunmaktadır. Türkiye’de ise bu kavram pratikte daha az gelişmiştir ve kuruluşlar, “açık rıza”nın algılanan güvenliğine kıyasla bu hukuki sebebe dayanmaktan genellikle daha fazla çekinmektedir. Bu testi yapma ve belgeleme zorunluluğu, GDPR’ın hesap verebilirlik ilkesinin temel bir parçasıdır; bu ilke KVKK kapsamında daha az belirgin bir şekilde uygulanmaktadır. AB’deki bir şirket, doğrudan pazarlama veya dolandırıcılığı önleme gibi amaçlar için meşru menfaati kullanırken daha net bir yol haritasına sahipken, Türkiye’deki bir şirket, daha az yerleşik içtihatla karşı karşıya olduğu için aynı faaliyet için daha hantal ve daha az uygun olabilecek rıza alma yoluna gidebilir. Bu düzenleyici olgunluk farkı, uyum ekiplerinin kullanabileceği pratik araçları doğrudan etkilemektedir.

Bölüm 3: Kuruluşlar İçin Temel Yükümlülükler

Bu bölüm, veri sorumluları ve veri işleyenlere getirilen temel uyum görevlerini detaylandırmaktadır.

3.1. Hesap Verebilirlik ve Yönetişim

Veri Koruma Görevlisi (DPO): GDPR, kamu kurumları ile temel faaliyetleri büyük ölçekli, düzenli izleme veya büyük ölçekli hassas veri işlemeyi içeren kuruluşlar için bir Veri Koruma Görevlisi (DPO) atanmasını zorunlu kılar.3 KVKK’da ise böyle bir zorunlu DPO atama yükümlülüğü bulunmamaktadır.3

Veri İşleme Faaliyetleri Kaydı (RoPA) ve VERBİS: Bu, önemli bir yapısal farklılıktır. GDPR’ın 30. Maddesi, veri sorumlularının ve işleyenlerinin dahili ve ayrıntılı Veri İşleme Faaliyetleri Kayıtları (RoPA) tutmasını gerektirir. Bu, temel bir hesap verebilirlik aracıdır. Buna karşılık KVKK, belirli veri sorumlularının kamuya açık bir Veri Sorumluları Sicili‘ne (VERBİS) kaydolmasını ve veri işleme faaliyetlerinin üst düzey bir özetini beyan etmesini zorunlu kılar.3

Tasarım ve Varsayılan Ayarlar Yoluyla Veri Koruma (Data Protection by Design and by Default): Bu, GDPR’ın temel bir ilkesidir (Madde 25) ve kuruluşların yeni sistem ve süreçlerin tasarım aşamasına veri korumayı dahil etmelerini gerektirir.24 Bu ilke, iyi bir uygulama olarak kabul edilse de, KVKK’da açıkça yer almamaktadır.

RoPA ve VERBİS arasındaki fark, felsefi bir ayrışmayı ortaya koymaktadır. GDPR’ın RoPA’sı, veri akışlarının derinlemesine anlaşılmasını zorlayan, dahili ve sürekli bir hesap verebilirlik mekanizmasıdır. VERBİS ise şeffaflığa odaklanan, kamuya açık ve tek seferlik bir kayıt yükümlülüğüdür. Bir şirket, GDPR uyumlu bir RoPA’nın gerektireceği granüler, dahili veri akışı anlayışına sahip olmadan da VERBİS’e uyumlu olabilir. Bir şirket VERBİS formunu departman başkanlarından üst düzey bilgiler toplayarak doldurabilirken, bir RoPA oluşturmak için her bir işleme faaliyeti için belirli veri akışlarını, hukuki sebepleri, saklama sürelerini ve güvenlik önlemlerini haritalandırması gerekir. RoPA süreci, çok daha derin bir operasyonel durum tespiti gerektirir. KVKK’da zorunlu bir DPO’nun olmaması da, genellikle veri korumasını dahili olarak denetlemekten sorumlu tek ve yetkilendirilmiş bir kişinin bulunmadığı anlamına gelir ki bu, GDPR yönetişim modelinin temel taşlarından biridir.

3.2. Risk Yönetimi ve Güvenlik

Veri Koruma Etki Değerlendirmesi (DPIA): GDPR’ın 35. Maddesi, bireylerin hak ve özgürlükleri açısından yüksek risk oluşturması muhtemel veri işleme faaliyetleri için DPIA’ları zorunlu kılar.3 KVKK’da doğrudan, zorunlu bir karşılığı yoktur, ancak Kurul, risk temelli yaklaşımları teşvik etmekte ve özellikle hassas verilerle ilgili yüksek riskli faaliyetler için benzer analizler talep edebilmektedir.25

Veri İhlali Bildirimi: Bu, kritik bir operasyonel farklılıktır. GDPR, bir ihlalin farkına varıldıktan sonra “yersiz gecikme olmaksızın ve mümkünse en geç 72 saat içinde” denetim makamına bildirim yapılmasını zorunlu kılar.4 KVKK ise “en kısa sürede” bildirim yapılmasını gerektirir; Kurul bu ifadeyi pratikte 72 saat olarak yorumlasa da, yasal metnin kendisi daha az katıdır.4

GDPR metnindeki açık 72 saatlik son tarih, endüstri üzerinde derin bir etki yaratmış ve şirketleri sağlam, iyi prova edilmiş olay müdahale planları geliştirmeye zorlamıştır. KVKK’daki daha az kuralcı dil, genellikle benzer şekilde yorumlansa da, bir dereceye kadar hukuki belirsizlik yaratmaktadır. Daha da önemlisi, GDPR aynı zamanda bireylerin ne zaman bilgilendirilmesi gerektiğine (ihlal yüksek riskli ise) dair ayrıntılı kurallar içerir ve bu da halkla ilişkiler ve müşteri güveninin dikkatli bir şekilde yönetilmesini gerektiren ikinci bir bildirim kanalı oluşturur. 72 saat gibi kesin bir son tarih, proaktif hazırlığı zorunlu kılar. Bir şirket, önceden var olan ve test edilmiş bir planı olmadan bir ihlali soruşturmayı, hukuki danışmanlık almayı ve bir düzenleyici kurumu 72 saat içinde bilgilendirmeyi umamaz. “En kısa sürede” gibi daha belirsiz bir terim ise bir şirketin olayın karmaşıklığına dayanarak daha uzun bir süre için savunma yapmasına olanak tanıyabilir ve bu da belirsizlik yaratır. GDPR’daki bu hukuki kesinlik, siber güvenlik ve olay müdahalesinde operasyonel olgunluğu teşvik eden, yasal metin ile iş pratiği arasında net bir neden-sonuç ilişkisi kurar.

Bölüm 4: Veri Sahibinin Hakları

Bu bölüm, bireylere tanınan hakların kapsamlı bir karşılaştırmasını sunarak önemli farklılıkları ortaya koymaktadır.

4.1. Temel Hakların Karşılaştırmalı Analizi

Her iki çerçeve de erişim hakkı, düzeltme hakkı, işlemeyi kısıtlama hakkı ve itiraz hakkı dahil olmak üzere benzer bir dizi temel hak sunmaktadır.22 Bunlar, veri koruma hukukunun temelini oluşturur.

4.2. Silme Hakkı (‘Unutulma Hakkı’)

GDPR: Silme hakkı, bir bireyin verilerinin silinmesini talep edebileceği belirli gerekçelerle birlikte 17. Maddede açıkça düzenlenmiştir.28

KVKK: KVKK’nın kendisi “unutulma hakkı” terimini açıkça içermemektedir. Verilerin silinmesini talep etme hakkı 11. Maddede mevcuttur. Ancak, özellikle arama motoru sonuçları bağlamında daha geniş “unutulma hakkı” kavramı, Türkiye’de kanunun kendisinden ziyade öncelikle Yargıtay gibi yüksek mahkeme kararlarıyla geliştirilmiştir.30

GDPR’daki bu yasal düzenleme, işletmelerin silme taleplerini değerlendirmesi için daha fazla hukuki kesinlik ve daha net bir çerçeve sunmaktadır. Türkiye’de içtihada dayanmak, hakkın parametrelerinin daha akışkan olabileceği ve yargısal yoruma tabi olabileceği anlamına gelir. Pratik sonuç benzer olabilse de, bu sonuca ulaşmanın hukuki yolu farklıdır ve GDPR daha doğrudan bir yasal dayanak sunmaktadır. AB’deki bir şirket, silme taleplerini ele almak için GDPR Madde 17’ye dayalı bir kontrol listesi oluşturabilirken, Türkiye’deki bir şirket, uygulaması daha karmaşık olabilen ve gelişen mahkeme kararlarında belirtilen ilkeleri de dikkate almalıdır.

4.3. Veri Taşınabilirliği Hakkı: Önemli Bir Ayrışma

GDPR: GDPR’ın 20. Maddesi, bireylere kişisel verilerini “yapılandırılmış, yaygın olarak kullanılan ve makinece okunabilir bir formatta” alma ve bu verileri engellenmeksizin başka bir veri sorumlusuna iletme konusunda güçlü ve yenilikçi bir hak tanır.22

KVKK: Bu hak KVKK’da mevcut değildir.22 Bir birey verilerine erişim talep edebilir, ancak veri sorumlusunun bu verileri bir rakibe geçişi kolaylaştıran, taşınabilir, makinece okunabilir bir formatta sağlama yükümlülüğü yoktur.

Bu, veri sahibi hakları açısından kalan en önemli farklılıklardan biridir. Veri taşınabilirliği hakkı sadece bir gizlilik hakkı değil, aynı zamanda “kilitlenme” etkilerini azaltmak ve tüketicileri hizmet sağlayıcılarını değiştirmeleri için güçlendirmek (örneğin, bir müzik çalma listesini bir yayın hizmetinden diğerine taşımak) üzere tasarlanmış, rekabeti teşvik eden bir araçtır. KVKK’da bu hakkın bulunmaması, Türk tüketicilerinin rekabetçi bir bağlamda verileri üzerinde daha az kontrole sahip olduğu ve kanunun veri tekellerini kırma konusunda daha az etkili olduğu anlamına gelir. Bu, yalnızca gizliliğin ötesinde piyasa dinamiklerini etkileyen çok önemli bir ayrışma noktasıdır. Veri taşınabilirliği, bir müşterinin hizmetleri değiştirmesi önündeki engeli düşürerek rekabeti artırır. Dolayısıyla, bu hakkın KVKK’da bulunmaması sadece bir gizlilik açığı değil, aynı zamanda AB’ye kıyasla mevcut işletmeleri dolaylı olarak destekleyen ve piyasa akışkanlığını azaltan bir özelliktir.

Tablo 1: Veri Sahibi Haklarına Karşılaştırmalı Bakış

HakGDPR HükmüKVKK Durumu ve Hukuki DayanağıTemel Farklar ve Etkileri
Erişim HakkıMadde 15Madde 11(1)(b), (ç), (d)Temelde benzer. Her iki düzenleme de bireylerin verilerine erişimini sağlar.
Düzeltme HakkıMadde 16Madde 11(1)(e)Temelde benzer. Yanlış veya eksik verilerin düzeltilmesini talep etme hakkı mevcuttur.
Silme Hakkı (‘Unutulma Hakkı’)Madde 17Madde 11(1)(e); Yargıtay İçtihatlarıGDPR’da açıkça kanunla düzenlenmiştir. KVKK’da silme talebi hakkı mevcut olup, “unutulma hakkı” kavramı içtihatlarla şekillenmiştir. Bu durum, KVKK uygulamasında daha fazla yoruma dayalı bir süreç anlamına gelebilir.
İşlemeyi Kısıtlama HakkıMadde 18Madde 11’de dolaylı olarak yer alır.GDPR’da daha açık ve detaylı bir hak olarak düzenlenmiştir. KVKK’da benzer sonuçlar elde edilebilir ancak hak doğrudan tanımlanmamıştır.
Veri Taşınabilirliği HakkıMadde 20Mevcut DeğilEn önemli fark. GDPR, rekabeti teşvik eden ve kullanıcı kontrolünü artıran bu hakkı tanırken, KVKK’da böyle bir hak bulunmamaktadır. Bu, Türkiye’deki kullanıcıların verilerini hizmetler arasında taşıma kabiliyetini sınırlar.
İtiraz HakkıMadde 21Madde 11(1)(e)Temelde benzer. Bireyler, meşru menfaat gibi belirli hukuki sebeplere dayanan veri işlemeye itiraz edebilirler.
Otomatik Karar Vermeye Tabi Olmama HakkıMadde 22Madde 11(1)(g)Temelde benzer. Her iki düzenleme de bireyleri, kendileri hakkında hukuki veya benzer şekilde önemli etkiler üreten tamamen otomatik karar verme süreçlerine karşı korur.

Bölüm 5: Uluslararası Veri Aktarımları – 2024 KVKK Dönüşümü

Bu temel bölüm, en önemli güncel gelişmeye adanmış olup, kısıtlayıcı bir rejimden GDPR uyumlu bir çerçeveye geçişi analiz etmektedir.

5.1. Değişiklik Öncesi Manzara: Bir Engelleme Sistemi

Değişiklik öncesi KVKK’nın 9. Maddesi, uygulaması son derece zor bir yapıya sahipti. Bu madde, ya (a) her bir aktarım için, GDPR kapsamında genellikle geçerli bir hukuki sebep olmayan açık rızaya ya da (b) Kurul’un “güvenli ülke” listesindeki bir ülkeye aktarıma dayanıyordu; ancak bu liste hiçbir zaman yayınlanmadı. Bu durum, uluslararası veri akışları önünde önemli bir engel oluşturuyordu.32

5.2. Yeni GDPR Uyumlu Çerçeve (2024 İtibarıyla Yürürlükte)

Bu bölümde, 12 Mart 2024 tarihli değişikliklerle (1 Haziran / 1 Eylül 2024’te yürürlüğe giren) getirilen ve GDPR’ın yapısını açıkça yansıtan yeni, çok katmanlı sistem ayrıntılı olarak incelenecektir.2

Yeterlilik Kararı: Kurul artık ülkeler, bir ülke içindeki belirli sektörler veya uluslararası kuruluşlar için yeterlilik kararları verebilir. Bu, aktarımlar için ilk ve en basit mekanizmadır.2

Uygun Güvenceler: Bir yeterlilik kararının bulunmadığı durumlarda, aşağıdaki güvencelerden birinin mevcut olması halinde aktarımlar gerçekleştirilebilir. Bu, en önemli değişikliktir.

  • Grup içi aktarımlar için Bağlayıcı Şirket Kuralları (BCR).
  • Kurul tarafından yayınlanan Standart Sözleşme Maddeleri (SCC).
  • Kurul tarafından onaylanan yazılı taahhütnameler.
  • Kamu kurumları arasındaki anlaşmalar.

    2

Özel Durumlar İçin İstisnalar (Arızi Haller): Yukarıdakilerden hiçbiri geçerli değilse, aktarımlar belirli, tekrarlanmayan durumlarda yapılabilir. Kritik olarak, açık rıza artık bu noktada konumlandırılmıştır—varsayılan kural olarak değil, arızi aktarımlar için son çare olarak. Diğer istisnalar arasında sözleşmenin gerekliliği, hayati menfaatler vb. yer alır ve bunlar doğrudan GDPR’ın 49. Maddesini yansıtmaktadır.2

5.3. Pratik Etkiler ve Geçiş Süreci

Bu değişikliklerin etkisi analiz edildiğinde, şirketlerin artık tüm uluslararası veri aktarım anlaşmalarını yeniden düzenlemesi gerektiği vurgulanmalıdır. Eski rıza tabanlı modeller, sistematik aktarımlar için artık geçerli değildir.8 1 Haziran ve 1 Eylül 2024 geçiş tarihleri, uyum projeleri için kritik tarihler olarak öne çıkmaktadır.2

2024 değişiklikleri, KVKK tarihindeki en önemli gelişmedir. Bu yalnızca teknik bir yasal değişiklik değil, aynı zamanda stratejik bir jeopolitik ve ekonomik bir hamledir. Temel itici güç, Türkiye’nin potansiyel olarak Avrupa Komisyonu’ndan bir yeterlilik kararı alabileceği ölçüde GDPR ile uyum sağlamaktır. Böyle bir karar, AB ile Türkiye arasındaki veri akışlarını önemli ölçüde basitleştirerek ticareti ve dijital ekonomiyi canlandıracaktır. Bu yasa değişikliği, bu daha büyük ekonomik hedefin bir ön koşuludur. Bir ülkenin, başka bir yargı alanının yasasını yansıtmak için bu kadar büyük bir yasal revizyon yapmasının en mantıklı nedeni, o yargı alanı tarafından “yeterli” düzeyde koruma sağlayan bir ülke olarak tanınma arzusudur. AB’den alınacak bir yeterlilik kararı, verilerin SCC’ler veya diğer güvencelere ihtiyaç duyulmaksızın AB’den Türkiye’ye akabileceği anlamına gelir ki bu da büyük bir ekonomik fayda sağlayacaktır. Dolayısıyla, bu hukuki değişiklik, çok daha büyük bir ekonomik ve siyasi hedefe ulaşmak için bir araç niteliğindedir.

Bölüm 6: Yaptırım, Müeyyideler ve Hukuki Yollar

Bu son analitik bölüm, her bir düzenlemenin “dişlerini” yani caydırıcılık gücünü karşılaştıracaktır.

6.1. Denetim Makamları

KVKK: Türkiye’de tüm yaptırımları yürüten tek ve merkezi bir ulusal otorite olan Kişisel Verileri Koruma Kurumu (Kurul) bulunmaktadır.9

GDPR: AB, her üye devlette bir Veri Koruma Otoritesi (DPA) bulunan merkezi olmayan bir modele sahiptir. “Tek durak noktası” (one-stop-shop) mekanizması, şirketlerin öncelikli olarak ana kuruluşlarının bulunduğu ülkedeki DPA ile muhatap olmalarını sağlar ve bu süreç Avrupa Veri Koruma Kurulu (EDPB) tarafından koordine edilir.9

6.2. İdari Para Cezaları ve Yaptırımlar: Büyük Uçurum

GDPR’ın İki Kademeli Sistemi: GDPR, caydırıcılığı çok yüksek bir ceza rejimine sahiptir.

  • Alt Kademe: 10 milyon Euro’ya kadar veya şirketin bir önceki mali yılki toplam dünya çapındaki yıllık cirosunun %2’sine kadar; hangisi daha yüksekse.
  • Üst Kademe: 20 milyon Euro’ya kadar veya şirketin bir önceki mali yılki toplam dünya çapındaki yıllık cirosunun %4’üne kadar; hangisi daha yüksekse.3

KVKK’nın Yasal Sınırları: KVKK, çeşitli ihlaller için Türk Lirası cinsinden belirli alt ve üst sınırlar belirler. Bu tutarlar her yıl yeniden değerleme oranına göre güncellenir.3 Örneğin, 2025 yılı için bir veri güvenliği ihlaline yönelik azami cezanın 13.6 milyon TL’yi aşması öngörülmektedir.36

Finansal riskteki fark astronomiktir ve yönetim kurulları için en ikna edici faktördür. 13.6 milyon TL’lik bir ceza (2024 sonu itibarıyla yaklaşık 380,000 Euro) önemli olsa da, büyük bir çok uluslu şirket için küresel cironun %4’ü milyarlarca Euro olabilir. Bu, konuyu bir uyum meselesinden temel bir kurumsal risk meselesine dönüştürür. GDPR’ın küresel cironun bir yüzdesini kullanması, cezanın ister küçük bir işletme ister bir teknoloji devi için olsun, her zaman caydırıcı ve orantılı olmasını sağlar. KVKK’nın sabit aralıklı sistemi bu ölçeklenebilirlikten yoksundur. Örneğin, 10 milyar Euro küresel cirosu olan varsayımsal bir şirket düşünelim. %4’lük bir GDPR cezası 400 milyon Euro olacaktır. Azami KVKK cezası ise yaklaşık 0.38 milyon Euro olacaktır. Aradaki fark 1000 kattan fazladır. Bu kantitatif analiz, GDPR kapsamındaki yaptırım riskinin tamamen farklı bir kategoride olduğunu ve bu durumun uyuma ayrılan yatırım, yönetim kurulu düzeyindeki ilgi ve kaynak seviyesini belirlediğini göstermektedir.

Tablo 2: İdari Para Cezası Yapılarına Bir Bakış

İhlal KategorisiGDPR CezasıKVKK Cezası (Öngörülen 2025 TL)Hesaplama Esası (GDPR vs. KVKK)
Aydınlatma Yükümlülüğü İhlaliÜst Kademe (20 Milyon € veya %4 Ciro)68,083 TL – 1,362,021 TL 36GDPR: Ciro bazlı, ölçeklenebilir. KVKK: Kanunla belirlenmiş sabit aralık.
Veri Güvenliği İhlaliÜst Kademe (20 Milyon € veya %4 Ciro)204,285 TL – 13,620,402 TL 36GDPR: Ciro bazlı, ölçeklenebilir. KVKK: Kanunla belirlenmiş sabit aralık.
Veri Sahibi Hakları İhlaliÜst Kademe (20 Milyon € veya %4 Ciro)Kurul kararlarına uymama kapsamında değerlendirilebilir.GDPR: Ciro bazlı, ölçeklenebilir. KVKK: Dolaylı olarak cezalandırılabilir.
Kurul Kararlarına Uymama340,476 TL – 13,620,402 TL 36Sadece KVKK’ya özgü bir kategori.
Yasa Dışı Uluslararası AktarımÜst Kademe (20 Milyon € veya %4 Ciro)Veri güvenliği ihlali kapsamında değerlendirilebilir.GDPR: Ciro bazlı, ölçeklenebilir. KVKK: Dolaylı olarak cezalandırılabilir.
VERBİS Kayıt Yükümlülüğü İhlali272,380 TL – 13,620,402 TL 36Sadece KVKK’ya özgü bir kategori. GDPR’da RoPA tutmama Alt Kademe cezasına tabidir (10 Milyon € veya %2 Ciro).

Sonuç ve Stratejik Tavsiyeler

Bu raporun bulguları sentezlendiğinde, “ısrarcı ayrışmaların ortasında amaçlı bir yakınlaşma” teması ortaya çıkmaktadır. 2024 değişiklikleri, ekonomik bir gereklilikle, KVKK’yı uluslararası veri aktarımları gibi kritik bir konuda GDPR ile uyumlu hale getirmiştir. Ancak, veri sahibi hakları (veri taşınabilirliği), veri işleyen sorumluluğu, yönetişim (DPO) ve en önemlisi yaptırım rejimi gibi temel alanlarda önemli farklılıklar devam etmektedir.

Stratejik Tavsiyeler:

  1. GDPR Standardını Temel Alın: Her iki yargı alanında faaliyet gösteren şirketler için en ihtiyatlı yaklaşım, uyum programını daha yüksek olan GDPR standardına göre oluşturmak ve ardından KVKK’ya özgü ayarlamalar (örneğin, VERBİS kaydı) yapmaktır.
  2. Uluslararası Aktarım Mekanizmalarını Gözden Geçirin: Tüm veri aktarım anlaşmalarını derhal gözden geçirerek ve yeni KVKK Madde 9’a uyumlu hale getirerek, rıza tabanlı modellerden SCC’ler veya diğer uygun güvencelere geçiş yapın.
  3. Farklı Risk Ortamlarını Tanıyın: KVKK uyumunun GDPR uyumuna eşit olduğunu varsaymayın. GDPR ile ilişkili finansal ve itibar riskleri kat kat daha yüksektir ve farklı bir yatırım ve yönetici gözetimi seviyesi gerektirir.
  4. Haklar Arasındaki Boşluğu Kapatın: KVKK tarafından yasal olarak zorunlu olmasa da, tutarlı ve şeffaf bir kullanıcı deneyimi yaratmak ve iyi bir uygulama olarak Türk kullanıcılara veri taşınabilirliği gibi hakları operasyonel olarak sağlamayı düşünün.

SSS: KVKK ve GDPR Karşılaştırması

1. KVKK ve GDPR arasındaki en temel fark nedir?

GDPR küresel ölçekte uygulanabilir bir düzenlemedir; AB dışındaki kuruluşları da kapsar. KVKK ise esasen Türkiye içi veri işlemleriyle sınırlıdır.

2. KVKK 2024 değişiklikleri GDPR’a tam uyum sağladı mı?

Hayır. Özellikle veri taşınabilirliği, DPO zorunluluğu, veri işleyenlerin doğrudan sorumluluğu ve ceza rejimi gibi konularda hâlen farklılıklar sürmektedir.

3. Türk şirketleri hem KVKK hem GDPR’a tabi olabilir mi?

Evet. AB’deki bireylere hizmet sunan veya davranışlarını izleyen Türk şirketleri, GDPR hükümlerine de uymak zorundadır.

4. GDPR’daki “meşru menfaat” kavramı KVKK’da da var mı?

Var, ancak Türkiye’de uygulaması daha sınırlıdır. GDPR’da detaylı “denge testi” zorunluluğu bulunur; KVKK’da ise bu uygulama rehberlerle şekillenmektedir.

5. “Açık rıza” kavramı iki sistemde aynı mı?

Hayır. KVKK’da rıza hâlen temel dayanak olarak görülürken, GDPR rızayı yalnızca gerçekten özgür bir seçim varsa geçerli kabul eder.

6. KVKK’da “Veri Koruma Görevlisi (DPO)” atama zorunluluğu var mı?

Hayır. GDPR bunu belirli kurumlar için zorunlu kılar; KVKK’da isteğe bağlıdır.

7. “VERBİS” ile “RoPA” aynı şey midir?

Hayır. VERBİS, kamuya açık bir kayıt sistemidir. RoPA ise kurum içi, ayrıntılı bir veri işleme envanteridir ve GDPR kapsamında zorunludur.

8. KVKK’da “veri taşınabilirliği hakkı” var mı?

Hayır. Bu hak yalnızca GDPR’da bulunur. Kullanıcının verilerini başka bir hizmet sağlayıcıya taşıma imkânı tanır.

9. Uluslararası veri aktarımında 2024 sonrası ne değişti?

KVKK artık yeterlilik kararı, SCC, BCR gibi GDPR’daki araçlarla uyumlu mekanizmalar tanımaktadır. Açık rıza, yalnızca istisnai durumlarda geçerlidir.

10. GDPR’daki cezalar neden daha ağır?

Çünkü GDPR cezaları küresel cironun yüzdesiyle hesaplanır (%2 veya %4). KVKK’da ise sabit Türk Lirası sınırları vardır.

Alıntılanan çalışmalar

  1. Kişisel Verileri Koruma Kanunu ve AB Genel Veri Koruma Tüzüğü Arasındaki Farklılıklar Nelerdir, erişim tarihi Kasım 1, 2025, https://kkhukuk.com/wp-content/uploads/2018/07/KK-Hukuk_KVKK-ve-GDPR-Arasindaki-Farkliliklar-Nelerdir_28072018.pdf
  2. KVKK’da GDPR ile Uyum İçin İlk Adım Atıldı; Özel Nitelikli Verilerin …, erişim tarihi Kasım 1, 2025, https://medium.com/canpolat-legal/kvkkda-gdpr-ile-uyum-i%CC%87%C3%A7in-i%CC%87lk-ad%C4%B1m-at%C4%B1ld%C4%B1-%C3%B6zel-nitelikli-verilerin-i%CC%87%C5%9Flenme-%C5%9Fartlar%C4%B1-ve-yurt-5b6a9c9db97e
  3. GDPR ve KVKK Nedir? Farkları, Benzer Noktaları (2023) – Doxagon, erişim tarihi Kasım 1, 2025, https://www.doxagon.com/blog/gdpr-kvkk/
  4. KVKK ile GDPR Arasındaki Fark Nedir? – Prestij Marka, erişim tarihi Kasım 1, 2025, https://www.prestijmarka.com/kvkk-ile-gdpr-arasindaki-fark-nedir/
  5. Avrupa Genel Veri Koruma Tüzüğü Ve Kişisel Verilerin Korunması Kanunu Karşılaştırması, erişim tarihi Kasım 1, 2025, https://www.erdemirozmen.com/avrupa-genel-veri-koruma-tuzugu-ve-kisisel-verilerin-korunmasi-kanunu-karsilastirmasi
  6. GDPR ve KVKK’nın Mukayesesi – Hukuk ve Bilişim Dergisi, erişim tarihi Kasım 1, 2025, https://www.hukukvebilisimdergisi.com/gdpr-ve-kvkk/
  7. KVKK Değişiklikleri (GDPR UYUM PAKETİ) – Mehmet Bedii Kaya, erişim tarihi Kasım 1, 2025, https://mbkaya.com/kvkk-degisiklikleri-gdpr-uyum/
  8. KVKK 2024 Güncellemeleri : Özel Nitelikli Veri ve Yurt Dışı Aktarım Şartları, erişim tarihi Kasım 1, 2025, https://www.hanyaloglu-acar.av.tr/malpraktis-tazminat/kvkk-2024-yurt-disi-veri-aktarimi
  9. KVKK ve GDPR Arasındaki Farklar – Çitil Avukatlık Ortaklığı, erişim tarihi Kasım 1, 2025, https://citil.av.tr/kvkk-ve-gdpr-arasindaki-farklar/
  10. GDPR Nedir? KVKK ve GDPR Arasındaki Temel Farklar Nelerdir? – DCP Trust, erişim tarihi Kasım 1, 2025, https://dcptrust.com/tr/gdpr-nedir-kvkk-ve-gdpr-arasindaki-temel-farklar-nelerdir/
  11. KVKK İle GDPR Arasındaki Temel Farklılıklar – Av. Ayşegül Zengin, erişim tarihi Kasım 1, 2025, https://aysegulzengin.av.tr/tr/kvkk-ile-gdpr-arasindaki-temel-farkliliklar/
  12. 6698 SAYILI KANUNDA YER ALAN TEMEL KAVRAMLAR – KVKK, erişim tarihi Kasım 1, 2025, https://www.kvkk.gov.tr/Icerik/4187/6698-Sayili-Kanun’da-Yer-Alan-Temel-Kavramlar
  13. KİŞİSEL VERİLERİN İŞLENMESİNDE, AÇIK RIZA … – DergiPark, erişim tarihi Kasım 1, 2025, https://dergipark.org.tr/en/download/article-file/1844531
  14. Kişisel Verilerin Korunmasına İlişkin Düzenlemeler Çerçevesinde Uluslararası Veri Aktarımı Yeni Gelişmeler ve Uygulamaya İlişkin Hukuki Değerlendirmeler 30.03.2020 İstanbul – Bilişim ve Teknoloji Hukuku Enstitüsü – Bilgi Üniversitesi, erişim tarihi Kasım 1, 2025, https://itlaw.bilgi.edu.tr/media/2020/3/30/Final%20Veri_Aktarimi_Raporu_30.03.2020.pdf
  15. Kişisel Verileri Koruma Dergisi – DergiPark, erişim tarihi Kasım 1, 2025, https://dergipark.org.tr/tr/download/article-file/2434029
  16. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI – KVKK, erişim tarihi Kasım 1, 2025, https://www.kvkk.gov.tr/Icerik/4190/Kisisel-Verilerin-Islenme-Sartlari
  17. ÇEREZ UYGULAMALARI HAKKINDA REHBER – KVKK, erişim tarihi Kasım 1, 2025, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf
  18. kişisel verilerin korunması ile ilgili seçilmiş güncel gelişmeler-38 – KVKK, erişim tarihi Kasım 1, 2025, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/b432a54e-6f8b-4295-b58e-1277e3920e90.pdf
  19. Meşru Menfaat & Denge Testi – Efes Hukuk Bürosu, erişim tarihi Kasım 1, 2025, https://www.efeshukuk.com/mesru-menfaat-denge-testi/
  20. Veri İşlemede Veri Sorumlusunun Meşru Menfaati – CottGroup, erişim tarihi Kasım 1, 2025, https://www.cottgroup.com/tr/blog/kvkk-gdpr/item/veri-islemede-veri-sorumlusunun-mesru-menfaati
  21. Kişisel Verileri Koruma Kurulu’nun Meşru Menfaat Kararı – Özbek Avukatlık, erişim tarihi Kasım 1, 2025, https://www.ozbek.av.tr/kvk-blog/kisisel-verileri-koruma-kurulu-nun-mesru-menfaat-karari/
  22. GPDR KVKK Karşılaştırması – DuruLegal, erişim tarihi Kasım 1, 2025, https://senadurulaw.com/gpdr-kvkk-karsilastirmasi/
  23. KVKK ve GDPR Arasındaki Farklar Nelerdir? – AEY Legal, erişim tarihi Kasım 1, 2025, https://aeylegal.com/kvkk-ve-gdpr-arasindaki-farklar-nelerdir/
  24. General Data Protection Regulation (GDPR) ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) – BT Bilgi, erişim tarihi Kasım 1, 2025, https://btbilgi.com.tr/general-data-protection-regulation-gdpr-6698-sayili-kisisel-verilerin-korunmasi-kanunu-kvkk/
  25. KVKK ve GDPR: Standart Sözleşme Maddeleri Arasındaki Farklar – Hukuk ve Bilişim Dergisi, erişim tarihi Kasım 1, 2025, https://www.hukukvebilisimdergisi.com/kvkk-ve-gdpr-standart-sozlesme-maddeleri-arasindaki-farklar/
  26. KVKK & GDPR Uyumunda Veri Güvenliği Stratejileri – Serkan Koç, erişim tarihi Kasım 1, 2025, https://www.serkankoc.com.tr/kvkk-gdpr-uyumunda-veri-guvenligi-stratejileri/
  27. KVKK ve GDPR Karşılaştırması – EMPACADEMY, erişim tarihi Kasım 1, 2025, https://empacademy.com.tr/blog/kvkk-ve-gdpr-karsilastirmasi
  28. GDPR Nedir? – Şartlar, erişim tarihi Kasım 1, 2025, https://sartlar.com/blog/gdpr-nedir/
  29. Kişisel Veri Sahibinin Hakları – Nesil – Nesil Teknoloji, erişim tarihi Kasım 1, 2025, https://www.nesilteknoloji.com/kisisel-veri-sahibinin-haklari/
  30. KİŞİSEL VERİLERİN KORUNMA HAKKI KAPSAMINDA UNUTULMA HAKKI – Hukuki Haber, erişim tarihi Kasım 1, 2025, https://www.hukukihaber.net/kisisel-verilerin-korunma-hakki-kapsaminda-unutulma-hakki
  31. UNUTULMA HAKKI (UNUTULMA HAKKININ ARAMA MOTORLARI ÖZELİNDE DEĞERLENDİRİLMESİ) – KVKK, erişim tarihi Kasım 1, 2025, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/11b6fd99-d42a-45b1-a009-21f2d36ded21.pdf
  32. KVKK YURT DIŞINA AKTARIM KAPSAMINDA YAPILAN KANUN DEĞİŞİKLİĞİNE İLİŞKİN DEĞERLENDİRME – Hukuk ve Bilişim Dergisi, erişim tarihi Kasım 1, 2025, https://www.hukukvebilisimdergisi.com/kvkk-yurt-disina-aktarim-kapsaminda-yapilan-kanun-degisikligine-iliskin-degerlendirme/
  33. 8.Yargı Paketi Kapsamında Kişisel Verilerin Korunması Kanunu Bakımından Öngörülen Değişiklikler – GSG Hukuk, erişim tarihi Kasım 1, 2025, https://www.gsghukuk.com/tr/bultenler-yayinlar/duyurular/8-yargi-paketi-kapsaminda-kisisel-verilerin-korunmasi-kanunu-bakimindan-ongorulen-degisiklikler.html
  34. KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA YAPILAN DEĞİŞİKLİKLER, erişim tarihi Kasım 1, 2025, https://kvkk.gov.tr/SharedFolderServer/CMSFiles/4eba766b-7425-4cd4-97f5-cb09c4cf4ef9.pdf
  35. KVKK – Avrupa Birliği GDPR Karşılaştırması – Biseder, erişim tarihi Kasım 1, 2025, https://www.biseder.com/icerik/kvkk-avrupa-birligi-gdpr-karsilastirmasi
  36. Kişisel Verilerin Korunması Kanunu’ndaki idari para cezaları yüzde 43,93 artırıldı – Bianet, erişim tarihi Kasım 1, 2025, https://bianet.org/haber/kisisel-verilerin-korunmasi-kanunu-ndaki-idari-para-cezalari-yuzde-43-93-artirildi-303532
  37. KVKK İhlal Cezaları 2025 – Mıhcı Hukuk Bürosu, erişim tarihi Kasım 1, 2025, https://mihci.av.tr/kvkk-ihlal-cezalari/
  38. 2021 Yılı KVKK İdari Para Cezaları – GSG Hukuk, erişim tarihi Kasım 1, 2025, https://www.gsghukuk.com/tr/bultenler-yayinlar/duyurular/2021-yili-kvkk-idari-para-cezalari.html
  39. 2025 Yılı 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları – Alomaliye.com, erişim tarihi Kasım 1, 2025, https://www.alomaliye.com/2025/01/10/2025-yili-6698-sayili-kisisel-verilerin-korunmasi-kanunu-kapsaminda-idari-para-cezasi-tutarlari/
Tags:

Add your Comment

Son Yazılar

Faaliyet Alanlarımız

Bir Başlık Ara