I. Giriş: KVKK'da Dönüşüm Dönemi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016 yılındaki yürürlüğünden bu yana en kapsamlı güncellemelerini 2025-2026 döneminde yaşamaktadır. Yapay zekânın iş süreçlerine entegrasyonu, yurt dışına veri aktarımı rejiminin yenilenmesi, idari para cezalarındaki dramatik artışlar ve VERBİS kayıt kriterlerindeki revizyonlar, veri sorumlularını kapsamlı bir uyum çalışmasına yöneltmiştir.

Bu makalede, 2025 yılının ikinci yarısında ve 2026 yılının başında yürürlüğe giren düzenlemeler, Kurul kararları ve idari uygulamalar kapsamlı biçimde ele alınmaktadır.

II. Yurt Dışına Veri Aktarımı: Yeni Rejim

6698 Sayılı KVKK · Madde 9 (Değişik: 1 Haziran 2024)

"Kişisel veriler, yeterlilik kararı bulunan ülkelere aktarılabilir. Yeterlilik kararı bulunmayan ülkelere aktarım için standart sözleşme, bağlayıcı şirket kuralları veya Kurul tarafından belirlenen diğer uygun güvenceler aranır."

1 Haziran 2024'te yürürlüğe giren ve 2026'da tam anlamıyla yerleşik hale gelen değişiklik, yurt dışına veri aktarımında üçlü bir yapı öngörmektedir: yeterlilik kararı bulunan ülkelere serbestçe aktarım, yeterlilik kararı bulunmayan ülkelere standart sözleşme (SSH) veya bağlayıcı şirket kuralları (BŞK) ile aktarım ve belirli istisnai hallerde aktarım.

Standart sözleşmelerin imza tarihinden itibaren beş iş günü içinde Kurum'a bildirilmesi yükümlülüğü getirilmiştir. Bu yükümlülüğe aykırı hareket edenlere 90.308 TL ile 1.806.177 TL arasında idari para cezası öngörülmektedir.

III. 2026 İdari Para Cezaları: Rekor Artış

27 Kasım 2025 tarihli Resmî Gazete'de yayımlanan tebliğ ile kesinleşen %43,93 yeniden değerleme oranı, KVKK cezalarını 2026 yılı için tarihi seviyelere taşımıştır. Kurul, veri sorumlusunun ekonomik gücünü de değerlendirme kriteri olarak kullanmakta; büyük ölçekli şirketlere üst sınıra yakın cezalar belirleyebilmektedir.

2026 yılı güncel ceza aralıkları şu şekildedir: Aydınlatma yükümlülüğünün ihlali için 85.437 TL – 1.709.200 TL; veri güvenliği yükümlülüklerinin ihlali için 256.357 TL – 17.092.242 TL; Kurul kararlarına uymama halinde 427.263 TL – 17.092.242 TL; VERBİS kayıt yükümlülüğüne aykırılık halinde ise 341.809 TL – 17.092.242 TL idari para cezası uygulanmaktadır.

IV. VERBİS Kayıt Yükümlülüğünde Revizyonlar

Kişisel Verileri Koruma Kurulu'nun 4 Eylül 2025 tarihli ve 2025/1572 sayılı kararı ile VERBİS kayıt istisnası kriterleri güncellenmiştir. Özel nitelikli kişisel veri işleyen veri sorumluları için çalışan sayısı eşiği 50'den 10'a, yıllık mali bilanço toplamı eşiği ise 100 milyon TL'den 10 milyon TL'ye düşürülmüştür. Bilanço esasına göre defter tutmayan veri sorumluları bakımından yalnızca çalışan sayısı kriteri esas alınmaktadır.

Kritik Hatırlatma: VERBİS kaydından muaf olmak, KVKK'nın aydınlatma, veri güvenliği ve imha politikası yükümlülüklerinden muaf olmak anlamına gelmez. VERBİS'teki kayıt değişiklikleri en geç 7 gün içinde güncellenmelidir.

V. Yapay Zekâ ve KVKK: Yeni Düzenlemeler

Kişisel Verileri Koruma Kurumu, Kasım 2025'te "Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi"ni yayımlamıştır. Rehberde yapay zekânın KVKK'ya tabi olduğu, kamuya açık verilerin YZ eğitimi için serbestçe kullanılamayacağı ve yurt dışında barındırılan YZ sistemlerinin kullanımının yurt dışına veri aktarımı niteliği taşıdığı açıkça belirtilmiştir.

Ayrıca 8 Ocak 2026 tarihinde TBMM'ye sunulan kanun teklifi ile KVKK'nın 18. maddesinde değişiklik öngörülerek, yapay zekâ ile üretilen içeriklerin ilgili kişinin rızası olmaksızın paylaşılmasına ilişkin yaptırımlar düzenlenmesi hedeflenmektedir.

VI. Kurul İlke Kararları: 2025-2026 Dönemi

Kurul, 2025-2026 döneminde sektörel düzenleme niteliğinde birçok ilke kararı yayımlamıştır. Bu kararların başlıcaları şunlardır: Konaklama tesislerinin misafir kimlik kartı fotokopisi almasının veri minimizasyonu ilkesine aykırı bulunması, SMS doğrulama kodunun açık rıza yerine geçmeyeceğinin teyidi, mobil uygulamalar üzerinden gönderilen anlık bildirimler için parçalı açık rıza mekanizması gereksinimi ve kamu personelinin WhatsApp gibi yurt dışı menşeli uygulamaları idari işlerde kullanmaya zorlanamayacağı.

VII. Sonuç ve Öneriler

2026 yılında KVKK uyumu, artık yalnızca hukuk departmanlarının değil; yönetim kurullarının, IT yöneticilerinin ve finans direktörlerinin ana gündem maddesi haline gelmiştir. 17 milyon TL'yi aşan ceza tavanları, yapay zekâ rehberi ve yurt dışı veri aktarımı rejimi, şirketlerin kapsamlı bir uyum çalışması yürütmesini zorunlu kılmaktadır.

Şirketlerin öncelikli olarak aydınlatma metinlerini ve açık rıza mekanizmalarını güncel mevzuata uyumlu hale getirmesi, VERBİS kayıtlarını kontrol etmesi, yurt dışına veri aktarımı envanteri çıkarması ve yapay zekâ kullanımına ilişkin etki değerlendirmesi yapması tavsiye edilmektedir.

Kaynakça ve Mevzuat

  1. 6698 Sayılı Kişisel Verilerin Korunması Kanunu, m. 9, 10, 12, 15, 16, 18.
  2. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Resmi Gazete: 10.07.2024/32598).
  3. Kurul Kararı 2025/1572, T. 04.09.2025 (VERBİS Kayıt İstisnası Revizyonu).
  4. KVKK, Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi, Kasım 2025.
  5. KVKK 2026 Yılı İdari Para Cezası Tutarları Duyurusu, 31.12.2025.
  6. TBMM'ye Sunulan KVKK Değişiklik Kanun Teklifi, 08.01.2026.
  7. Kurul İlke Kararı 2025/1072, T. 10.06.2025 (SMS Doğrulama Kodu).
  8. 213 Sayılı Vergi Usul Kanunu (Yeniden Değerleme Oranı: %43,93).

İlgili Makaleler

Ticaret Hukuku · M&ABirleşme ve Devralma İşlemleri Rehberi Ticaret HukukuTürkiye'de İrtibat Bürosu Açmak Enerji Hukuku2026'da Türkiye'de GES Yatırımı

KVKK Uyum Sürecinizi Güncelleyin

Aydınlatma metni, VERBİS kaydı, veri aktarımı ve yapay zekâ uyumu konularında hukuki danışmanlık için bizimle iletişime geçin.

Ücretsiz Ön Değerlendirme →