Dijitalleşmenin her sektöre yayıldığı günümüzde kişisel veriler; şirketlerin müşteri ilişkilerinden insan kaynakları süreçlerine, e-ticaret operasyonlarından sağlık hizmetlerine kadar her alanda işlenmekte olan, hem ekonomik değeri hem de hukuki riskleri yüksek bir varlığa dönüşmüştür. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlularına yüklenen yükümlülüklerin yerine getirilmemesi; milyonlarca lirayı bulan idari para cezaları, ciddi itibar kayıpları ve cezai sorumluluk doğurabilen risklerle karşılaşılmasına yol açmaktadır. Bursa Nilüfer’de faaliyet gösteren Neka Legal Avukatlık Bürosu bünyesinde Av. Kaan Kaplan öncülüğünde yürütülen Bursa KVKK avukatı hizmetlerimizle; veri sorumlusu ya da ilgili kişi sıfatıyla taraf olunan tüm süreçlerde stratejik bir vekillik anlayışı sunuyoruz.

Av. Kaan Kaplan; müvekkillerini Kişisel Verileri Koruma Kurumu (KVKK Kurumu), Kişisel Verileri Koruma Kurulu, Bursa İdare Mahkemeleri, Bursa Asliye Ceza Mahkemeleri ve Bursa Asliye Hukuk Mahkemeleri önünde profesyonel ve sonuç odaklı bir yaklaşımla temsil etmektedir. Bursa kişisel veri avukatı, Bursa veri koruma avukatı ve Bursa KVKK uyum avukatı sıfatlarıyla yürüttüğümüz dosyalar; küçük ölçekli işletmelerden çok şubeli kurumsal yapılara kadar geniş bir yelpazede bulunmaktadır.

Bursa KVKK Avukatlığı Hizmetlerimiz

6698 sayılı KVKK, Kişisel Verileri Koruma Kurulu kararları, 5237 sayılı Türk Ceza Kanunu m.135-140 kapsamındaki kişisel veri suçları, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, İYS (İleti Yönetim Sistemi) düzenlemeleri ve sektörel kişisel veri düzenlemeleri (BDDK, BTK, Sağlık Bakanlığı vb.) çerçevesinde sunduğumuz hizmetler; kişisel verilerin korunması hukukunun her alanında bütüncül bir hizmet modelidir.

Veri Sorumluları İçin Kapsamlı KVKK Uyum Danışmanlığı

KVKK uyumluluğu, tek seferlik bir belge hazırlığı değil; şirketin tüm iş süreçlerine entegre edilmesi gereken sürekli bir hukuki yönetim sürecidir. Bursa KVKK uyum avukatı olarak veri sorumlusu müvekkillerimize sunduğumuz uyum danışmanlığı; şirketin tüm departmanlarının kişisel veri akışlarının haritalandırılmasından başlayarak, hukuki risklerin belirlenmesi, gerekli politika, prosedür ve teknik tedbirlerin tasarlanması ve nihayet düzenli denetim ve güncelleme çalışmalarına kadar uzanan kapsamlı bir hizmet zinciridir.

Uyum çalışmalarımızda; kişisel veri envanteri, veri akış haritası, risk değerlendirme raporu, veri işleme amaçları matrisi, yasal saklama sürelerine ilişkin matris, veri güvenliği politikası, kişisel veri saklama ve imha politikası, veri sızıntısı ve ihlal müdahale prosedürü, çalışan farkındalık eğitimleri, departman bazlı süreç haritaları ve iç denetim mekanizmaları gibi başlıkları sistematik biçimde değerlendirmekteyiz.

VERBİS (Veri Sorumluları Sicili) Kayıt İşlemleri

KVKK m.16 uyarınca belirli ölçekteki veri sorumluları için kayıt zorunluluğu bulunan Veri Sorumluları Sicili (VERBİS); KVKK uyumluluğunun en görünür adımlarından biridir. Bursa VERBİS kayıt avukatı olarak; VERBİS’e kayıt zorunluluğunun mevcudiyetinin değerlendirilmesi, kayıt başvurusunun yapılması, veri kategorileri, veri sahibi grupları, veri işleme amaçları, alıcı grupları, yurt içi ve yurt dışı aktarımlar, saklama süreleri ve alınan güvenlik tedbirleri gibi tüm bölümlerin doğru ve eksiksiz biçimde doldurulması süreçlerinde aktif hizmet sunmaktayız. VERBİS bilgilerinin güncel tutulması; KVKK Kurumu denetimlerinde göz önünde bulundurulan en kritik unsurlardan biridir.

Aydınlatma Metinleri ve Açık Rıza Yönetimi

KVKK m.10 kapsamında düzenlenen aydınlatma yükümlülüğü; veri sorumlusunun ilgili kişilere kim olduğunu, hangi verilerini hangi amaçlarla işlediğini, kimlere aktardığını ve haklarını açık biçimde bildirmesi zorunluluğunu doğurmaktadır. Bursa aydınlatma metni avukatı olarak; çalışan aydınlatma metni, müşteri aydınlatma metni, ziyaretçi aydınlatma metni, iş başvurusu aydınlatma metni, web sitesi ziyaretçi aydınlatma metni ve kamera kayıt aydınlatma metni gibi her bir veri sahibi grubuna özgü metinleri profesyonelce hazırlamaktayız.

KVKK m.5/1 ve m.6/2 kapsamındaki açık rıza kavramının doğru anlaşılması ve uygulanması büyük önem taşır. Bir veri işleme faaliyeti için açık rızaya başvurulmadan önce diğer hukuki sebepler (sözleşmenin ifası, kanuni yükümlülük, meşru menfaat vb.) değerlendirilmeli; ancak başka bir hukuki sebep yoksa açık rıza alınmalıdır. Açık rızanın özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olması zorunlu olup; bu şartları taşımayan bir rızanın hukuken hiç alınmamış sayılması söz konusudur.

Kişisel Veri Saklama ve İmha Politikası

KVKK uyumluluğunun en az tartışılan ama en kritik unsurlarından biri veri minimizasyonu ve belirli süreyle saklama ilkeleridir. Bursa veri imha avukatı olarak; veri kategorisi bazında saklama sürelerinin tespiti, yasal saklama yükümlülükleri (vergi, SGK, ticaret hukuku gibi alanların 5-10 yıllık saklama süreleri), saklama süresi sonunda silme, yok etme veya anonim hale getirme yöntemlerinden hangisinin uygulanacağına ilişkin değerlendirme, periyodik imha süreçleri ve imha tutanaklarının hazırlanması konularında müvekkillerimize bütüncül destek sağlamaktayız.

Veri İhlali Bildirimi ve Kriz Yönetimi

KVKK m.12/5 uyarınca, işlenen kişisel verilerin hukuka aykırı biçimde başkaları tarafından elde edilmesi halinde veri sorumlusunun en kısa sürede ve en geç 72 saat içinde durumu KVKK Kurulu’na bildirme yükümlülüğü bulunmaktadır. Veri sızıntısı, hacker saldırısı, çalınan dizüstü bilgisayar, yanlış kişiye gönderilen e-posta gibi olaylar; KVKK Kurulu nezdinde idari para cezasına ve ilgili kişiler tarafından açılacak tazminat davalarına yol açabilen ciddi vakalardır. Bursa veri ihlali avukatı olarak; ihlalin gerçekleşmesinden hemen sonra kriz yönetimi, hukuki risk analizi, KVKK Kurulu’na yapılacak bildirimin profesyonel hazırlığı, etkilenen ilgili kişilere yapılacak iletişimin kurgulanması ve sonraki süreçte muhtemel cezai ve tazminat süreçlerine karşı savunma stratejisinin geliştirilmesinde aktif rol üstlenmekteyiz.

Yurt İçi ve Yurt Dışı Veri Aktarımı

KVKK m.8 yurt içi aktarım ve KVKK m.9 yurt dışı aktarım hükümleri, uluslararası iş yapan ya da bulut hizmet sağlayıcı kullanan veri sorumluları için son derece kritik düzenlemelerdir. Bursa yurt dışı veri aktarımı avukatı olarak; yeterli koruma sağlayan ülkeler listesinin değerlendirilmesi, ülkemiz ile aktarım yapılan ülke arasında yeterli korumanın bulunmadığı durumlarda bağlayıcı şirket kuralları (BCR) ya da standart sözleşmeler üzerinden yapılandırma, Kurul izninin alınması süreçleri ve özellikle bulut hizmet sağlayıcılarla (AWS, Azure, Google Cloud, Salesforce, HubSpot vb.) yapılacak sözleşmelerde veri aktarımı klozlarının hazırlanması konusunda kapsamlı danışmanlık vermekteyiz.

İlgili Kişi Sıfatıyla Haklarınızın Korunması

Bireysel müvekkillerimiz açısından KVKK m.11 kapsamında veri sahibinin kullanabileceği temel haklar bulunmaktadır. Bunlar; kişisel verisinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını öğrenme, yurt içi/yurt dışı aktarılan üçüncü kişileri öğrenme, eksik veya yanlış işlenmiş verisinin düzeltilmesini isteme, kişisel verilerinin silinmesini veya yok edilmesini isteme, otomatik karar verme sistemlerine itiraz etme ve kişisel verilerinin hukuka aykırı işlenmesi nedeniyle uğranılan zararın giderilmesini talep etme haklarıdır.

Bursa kişisel veri ilgili kişi avukatı olarak; veri sorumlusuna yapılacak başvuruların hazırlanması, başvurunun reddi veya cevapsız bırakılması halinde KVKK Kurulu’na şikâyet başvurusunun yapılması ve idari yargı süreçlerinin yürütülmesi konularında müvekkillerimize destek sağlıyoruz. Ayrıca kişisel verilerin hukuka aykırı işlenmesinden kaynaklanan maddi ve manevi tazminat davaları için Bursa Asliye Hukuk Mahkemeleri önünde dava açma süreçlerini de profesyonelce yürütmekteyiz.

KVKK Kurulu İdari Para Cezalarına Karşı Dava Açma

KVKK m.18 kapsamında düzenlenen idari para cezaları; aydınlatma yükümlülüğü ihlali, veri güvenliği yükümlülüğü ihlali, Kurul kararlarına uymama ve VERBİS yükümlülüklerine aykırılık gibi hallerde uygulanmakta olup; her yıl yeniden değerlendirilen üst sınırları milyonlarca lirayı bulmaktadır. Bu cezalar veri sorumlusu müvekkilleri açısından son derece ağır mali sonuçlar doğurmaktadır.

Bursa KVKK cezası itiraz avukatı olarak; Kurul kararının tebliğinden itibaren yasal süresi içinde idare mahkemesinde iptal davası açılması gerektiğini, dava sürecinin 2577 sayılı İdari Yargılama Usulü Kanunu (İYUK) çerçevesinde yürütüldüğünü ve yürütmenin durdurulması taleplerinin etkin biçimde kullanılması gerektiğini özenle takip etmekteyiz. KVKK Kurulu kararlarına karşı açılan iptal davaları, idare hukukunun teknik bir alt dalı olup; KVKK içtihatlarına hâkimiyet ve Kurul’un yerleşik yorum eğilimlerine ilişkin birikim büyük önem taşır. Daha geniş idari yargı süreçlerimiz için İdare ve Vergi Hukuku hizmet sayfamızda ayrıntılı bilgi bulunmaktadır.

KVKK Kapsamındaki Suçlar – TCK m.135-140

Kişisel verilerin korunmasının yalnızca idari değil cezai boyutu da bulunmaktadır. Türk Ceza Kanunu m.135-140 kapsamında düzenlenen kişisel veri suçları aşağıdaki başlıklarla yargılanmaktadır:

• TCK m.135 – Kişisel verilerin kaydedilmesi: Hukuka aykırı olarak kişisel verileri kaydetme.
• TCK m.136 – Verilerin hukuka aykırı verme veya ele geçirilmesi: Kişisel verileri hukuka aykırı şekilde başkasına verme, yayma veya ele geçirme.
• TCK m.138 – Verilerin yok edilmemesi: Kanunun belirlediği sürelerin geçmiş olmasına rağmen verileri yok etmeme.

Bu suçlar şikâyete bağlı suçlar olmadığından; mağdurun şikâyeti olmaksızın da Cumhuriyet Başsavcılıklarınca re’sen soruşturma başlatılabilmektedir. Bursa KVKK ceza avukatı olarak hem mağdur/katılan vekilliği hem de şüpheli/sanık müdafiliği sıfatıyla bu yargılamalarda müvekkillerimizi temsil ediyoruz. Ceza hukuku alanındaki hizmetlerimizin tamamı için Ceza Hukuku hizmet sayfamıza başvurabilirsiniz.

Sektörel KVKK Danışmanlığı

KVKK düzenlemeleri her sektör için aynı sonuçları doğurmamakta; sağlık, e-ticaret, finans, eğitim, telekomünikasyon, sigorta ve hukuk büroları gibi belirli sektörlerde özel hassasiyetler ve ek düzenlemeler bulunmaktadır.

Sağlık Sektörü ve Özel Nitelikli Kişisel Veriler

Sağlık kuruluşları, özel klinikler, hastaneler, diş hekimleri, fizik tedavi merkezleri ve diğer sağlık hizmeti sağlayıcıları için kişisel veri uyumu özel bir önem taşır. KVKK m.6 kapsamında özel nitelikli kişisel veri sayılan sağlık verileri, ancak çok sınırlı hukuki sebeplerle işlenebilmektedir. Sağlık Bakanlığı ENABIZ sistemi, e-Nabız, MERNİS entegrasyonları ve hasta dosyalarının fiziksel-dijital arşivlenmesi konularında Bursa sağlık sektörü KVKK avukatı olarak hizmet vermekteyiz.

E-Ticaret, İYS ve Reklam-Pazarlama

E-ticaret işletmeleri için 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik ve İYS (İleti Yönetim Sistemi) kapsamındaki yükümlülükler; KVKK ile birlikte değerlendirilmesi gereken karmaşık bir uyum alanı oluşturmaktadır. Ticari elektronik ileti gönderme onayı (e-posta, SMS, arama), İYS üzerinden onayların yüklenmesi ve takibi, çerez politikaları, hedefli reklam (programatik reklam, retargeting) süreçleri, Bursa e-ticaret KVKK avukatı olarak müvekkillerimize sunduğumuz hizmetler arasındadır.

İnsan Kaynakları ve Çalışan Kişisel Verileri

Çalışan adaylarının özgeçmiş bilgileri, mevcut çalışanların performans değerlendirmeleri, sağlık verileri, disiplin kayıtları, kamera görüntüleri ve giriş-çıkış logları gibi kişisel veriler; iş hukuku ile KVKK’nın kesişiminde yer alan hassas bir alanı oluşturmaktadır. Bursa İK KVKK avukatı sıfatıyla; işe alım aydınlatma metni, çalışan aydınlatma ve açık rıza metni, kamera kayıtları aydınlatma metni, işten ayrılan çalışan verilerinin saklanması ve imhası, disiplin süreçlerinde KVKK uyumu ve e-posta kullanım politikaları gibi konularda kapsamlı destek sağlamaktayız. İş hukuku alanındaki hizmetlerimizin tamamı için İş ve Sosyal Güvenlik Hukuku hizmet sayfamızda ayrıntılı bilgi yer almaktadır.

Finans, Sigorta ve Bankacılık Sektörü

Bankalar, sigorta şirketleri, finansal kiralama (leasing) firmaları, faktoring şirketleri ve ödeme kuruluşları için KVKK yükümlülükleri; sektörel düzenleyicilerin (BDDK, SDDK, Hazine ve Maliye Bakanlığı) ikincil düzenlemeleri ile birlikte değerlendirilmek zorundadır. Bursa’da faaliyet gösteren finans ve sigorta acentelerine bu çok katmanlı uyumluluk yapısının korunması için danışmanlık vermekteyiz.

Eğitim Sektörü

Özel eğitim kurumları, dershaneler, etüt merkezleri, anaokulları, kolejler ve yükseköğretim kurumları için öğrenci ve veli kişisel verilerinin işlenmesi; e-Okul, MEBBİS, YÖKSİS entegrasyonları ile birlikte değerlendirilmesi gereken hassas bir alan oluşturur. Eğitim kurumları için KVKK uyum süreçleri de büromuzun hizmet alanları içerisindedir.

GDPR Uyum ve Uluslararası Boyut

Avrupa Birliği ülkelerine mal veya hizmet sunan, AB vatandaşlarının verilerini işleyen ya da AB merkezli şirketlerle iş yapan Türk şirketleri için yalnızca KVKK değil; General Data Protection Regulation (GDPR) uyumu da zorunlu olabilmektedir. Bursa GDPR avukatı olarak; GDPR-KVKK farklılıklarının analizi, Veri Koruma Etki Değerlendirmesi (DPIA), Veri Koruma Görevlisi (DPO) atama gereklilikleri, Standart Sözleşme Klozları (SCC) üzerinden yapılandırılan veri aktarımları ve GDPR yaptırımlarına karşı uyum kontrolü konularında danışmanlık sunmaktayız.

Veri Koruma Etki Değerlendirmesi ve İç Denetim

Yüksek riskli kişisel veri işleme faaliyetleri (büyük ölçekli özel nitelikli veri işleme, sistematik izleme, yeni teknoloji kullanımı vb.) öncesinde gerçekleştirilen Veri Koruma Etki Değerlendirmesi (DPIA) çalışmaları; veri sorumlusunun hukuki risklerini en aza indirmesi açısından kritik bir araçtır. Müvekkillerimize yıllık iç denetim, risk yönetimi raporlamaları ve sürekli iyileştirme döngüsü kapsamında bir yapısal hizmet sunmaktayız.

Sıkça Sorulan Sorular (SSS)

Şirketim KVKK’ya uyum sağlamak zorunda mı?

Türkiye’de faaliyet gösteren ve kişisel veri işleyen her gerçek veya tüzel kişi veri sorumlusu sıfatına haiz olup KVKK’ya uyum sağlamak zorundadır. Çalışan kişisel verisi işliyor, müşteri bilgisi tutuyor, web sitesi ziyaretçilerinden bilgi topluyor ya da CCTV kamerası kullanıyorsanız KVKK kapsamına dahilsiniz. Şirket büyüklüğü ve sektörünüze göre VERBİS kayıt zorunluluğu ayrıca değerlendirilmektedir.

VERBİS’e kim kayıt olmak zorunda?

KVKK Kurulu kararlarıyla belirlenen kriterlere göre; yıllık çalışan sayısı, finansal büyüklük ve işlenen kişisel verinin niteliği gibi unsurlara bakılarak VERBİS kayıt zorunluluğu değerlendirilmektedir. Belirli muafiyet kapsamına giren küçük ölçekli işletmeler dahi olsa; aydınlatma yükümlülüğü, veri güvenliği yükümlülüğü ve diğer KVKK sorumlulukları her veri sorumlusu için geçerlidir.

KVKK ihlali yaşandığında ne yapmalıyım?

Veri ihlali tespit edildiğinde derhal hukuki destek alınmalıdır. KVKK m.12/5 uyarınca veri sorumlusunun olayı öğrenmesinden itibaren en kısa sürede ve en geç 72 saat içinde KVKK Kurulu’na bildirim yapması zorunludur. Bunun yanında etkilenen ilgili kişilere makul süre içinde bildirim yapılması, ihlalin kaynağının teknik olarak tespit edilmesi, benzer ihlallerin önlenmesi için tedbirler alınması ve tüm sürecin titizlikle belgelenmesi gerekmektedir.

KVKK idari para cezaları ne kadardır?

KVKK idari para cezaları her yıl yeniden değerleme oranında güncellenmekte olup; aydınlatma yükümlülüğü ihlali, veri güvenliği yükümlülüğü ihlali ve Kurul kararlarına uymama gibi farklı ihlal kategorileri için ayrı alt-üst sınırlar belirlenmiştir. 2026 itibarıyla bu cezaların üst sınırı milyonlarca lirayı bulmaktadır. Bu nedenle uyum çalışmaları, ceza sonrası savunmaya göre çok daha düşük maliyetli bir yatırımdır.

Aydınlatma metni ile açık rıza arasındaki fark nedir?

Aydınlatma, veri sorumlusunun ilgili kişiyi kim olduğu, hangi verileri hangi amaçlarla işlediği ve haklarını bilgilendirmesidir. Bu yükümlülük her veri işleme faaliyeti için geçerlidir. Açık rıza ise belirli işleme faaliyetleri için ilgili kişiden alınması gereken pozitif iradedir ve yalnızca diğer hukuki sebepler (sözleşme, kanun, meşru menfaat vb.) mevcut değilse başvurulan bir hukuki sebeptir. Açık rızanın özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olması gerekir.

Çalışanlarımın kişisel verilerini nasıl işlemeliyim?

Çalışan kişisel verilerinin işlenmesi; iş sözleşmesinin ifası, kanuni yükümlülükler (SGK, vergi, iş hukuku), meşru menfaat ve açık rıza gibi hukuki sebeplerden uygun olanına dayandırılmalıdır. Bordrolar, özlük dosyaları, performans değerlendirmeleri, disiplin kayıtları, kamera kayıtları, giriş-çıkış logları ve e-posta yazışmaları gibi tüm kişisel veri işleme faaliyetleri için ayrı ayrı çalışan aydınlatma metinleri hazırlanmalı; özel nitelikli veriler için ek tedbirler alınmalıdır.

KVKK Kurulu’nun verdiği idari para cezasına nasıl itiraz edebilirim?

KVKK Kurulu tarafından verilen idari para cezasına karşı; kararın tebliğinden itibaren 60 gün içinde idare mahkemesinde iptal davası açılması gerekmektedir. Dava sürecinde yürütmenin durdurulması talep edilebilir. KVKK Kurulu kararlarına karşı açılacak davalarda; usul, esas ve KVKK içtihatlarına ilişkin teknik argümantasyonun doğru kurgulanması büyük önem taşımaktadır.

Yurt dışındaki bulut hizmetleri (AWS, Google, Microsoft) KVKK’ya uyumlu mu?

KVKK m.9 uyarınca yurt dışına kişisel veri aktarımı için belirli koşullar bulunmaktadır. Yurt dışındaki bulut hizmet sağlayıcılarının kullanımı, veri yeterliliği kararı, bağlayıcı şirket kuralları, standart sözleşme klozları veya açık rıza gibi hukuki sebeplerden uygun olanına dayandırılarak hukuka uygun hale getirilebilir. Sağlayıcı ile yapılacak sözleşmenin KVKK uyumlu klozlar içermesi büyük önem taşır. Yurt dışı veri aktarımı için ayrıca Veri Aktarım Sözleşmesi hazırlanması tavsiye edilmektedir.