1. Kişisel Verilerin Korunması Kanunu’nun Temel Amacı Olarak Bireyden Kuruma Uzanan Sorumluluk Zinciri

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”), bireyin özel hayatına saygı hakkını koruma altına alan, bu hakkı kurumsal faaliyetlerin merkezine yerleştiren bir çerçeve kanundur. Kanun, yalnızca devlet kurumlarını değil; en küçük işletmeden uluslararası holdinglere kadar her veri sorumlusunu kişisel veri işleme faaliyetleri bakımından sorumlu kılmaktadır.

Kanun’un 4. maddesi, kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli ve meşru amaçlar için işlenme, amaçla bağlantılı ve sınırlı olma ilkelerini getirirken; 5. ve 6. maddeler, işleme faaliyetlerinin hukuka uygunluk sebeplerini ve özel nitelikli kişisel veriler için istisnaları düzenlemektedir.

Bu sistem içinde özel okul işletmecileri, sağlık kuruluşları, insan kaynakları departmanları, teknoloji ve e-ticaret şirketleri aynı temel yükümlülük zincirine tabidir. Bu çerçevede, Kanun’nun 10. maddesi ile aydınlatma yükümlülüğü, 12. maddesi ile veri güvenliğine ilişkin yükümlülükler, 9. maddesi ile kişisel verilerin yurt dışına aktarılması ve 18. maddesi ile idari para cezaları düzenlenmiştir.

Bu maddeler uyarınca kurumların sorumluluğu, yalnızca kişisel verileri koruma yükümlülüğüyle sınırlı değildir; aynı zamanda veri işleme faaliyetinin her aşamasında “hesap verebilirlik” ilkesini hayata geçirmelerini gerektirmektedir. Veri sorumluları, topladıkları her verinin işleme amacını, hukuki dayanağını ve saklama süresini belirlemek, bu bilgileri ilgili kişilere şeffaf biçimde bildirmek, yetkisiz erişim veya sızıntılara karşı gerekli teknik ve idari tedbirleri almak, verileri yalnızca gerekli hallerde ve yasal güvenceler altında yurt dışına aktarmak ve tüm bu süreçlerin denetlenebilir olmasını sağlamakla yükümlüdür. Aksi halde, Kanun’un 18. maddesi uyarınca ciddi idari para cezaları ve itibar kaybı riski doğmaktadır. Bu nedenle kurumlar açısından KVKK, yalnızca bir mevzuat değil, sürdürülebilir kurumsal yönetişimin ayrılmaz bir parçası haline gelmiştir.

2. 2025 Yılında Getirilen Rehberlerle Derinleşen Yükümlülükler ve Ağırlaşan Yaptırımlar

2.1. 2025 Rehberleri ile Uygulanan Yeni Standartlar

Kişisel Verileri Koruma Kurumu (“Kurum”), 2025 yılı içinde iki önemli rehber yayımlamıştır:

• 02.01.2025 tarihinde yayımlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberi: KVKK’nın 9. maddesinde 2024 sonunda yapılan değişikliklerin uygulamasını somutlaştırarak, veri sorumlularının Kurul tarafından ilan edilen hususları ihtiva eden standart sözleşmelerleyurt dışına veri aktarımı yapabilmesine olanak tanımıştır. Özellikle uluslararası bulut tabanlı hizmetleri kullanan veya yabancı ana ortaklı şirketler için bu rehber bir yol haritası niteliğindedir.

İlgili rehber, yeterlilik kararı, uygun güvencelere (standart sözleşme, bağlayıcı şirket kuralları, taahhütname) dayalı aktarımlar ve istisnai durumlar gibi temel aktarım mekanizmalarını ayrıntılı biçimde düzenlemiştir. Özellikle grup şirketlerinin ortak sistemleri, bulut hizmeti sağlayıcıları veya yabancı iş ortaklarıyla veri paylaşımı gibi yaygın senaryolarda yurt dışına aktarım hükümlerinin mutlaka uygulanması gerektiği vurgulanmıştır.

Yeterlilik kararı bulunmayan ve uygun güvence yöntemlerinden biri uygulanamayan durumlarda, kişisel veriler yalnızca Kanun’un 9. maddesinin 6. fıkrasında sayılan istisnai hallerin varlığı halinde ve arızi (tek seferlik) nitelikte olması koşuluyla yurt dışına aktarılabilir. Bu istisnalar; ilgili kişinin bilgilendirilmiş açık rızasının bulunması, veri aktarımının ilgili kişi ile veri sorumlusu arasındaki sözleşmenin ifası veya sözleşme öncesi tedbirlerin alınması için zorunlu olması, ilgili kişi yararına üçüncü bir kişiyle yapılacak sözleşmenin kurulması veya ifası, üstün kamu yararının varlığı, bir hakkın tesisi, kullanılması veya korunması için zorunluluk, ilgili kişinin veya bir başkasının hayatı ya da beden bütünlüğünün korunması için zorunluluk ve kişisel verinin kamuya açık bir sicilden mevzuattaki erişim koşulları çerçevesinde elde edilmesi halleridir.

Arızi nitelikte olma koşulu ise, aktarımın süreklilik arz etmemesi, tek seferlik veya belirli bir olaya özgü olarak gerçekleşmesi, veri sorumlusunun iş süreçlerinin olağan bir parçası haline gelmemesi anlamına gelir. Bu tür istisnai aktarımlar, yalnızca zorunlu ve geçici nitelikteki durumlar için kullanılabilir; düzenli veya sistematik veri aktarımı niteliği taşıyan işlemler için geçerli değildir. Kurul, bu yöntemin kalıcı bir aktarım modeli haline getirilmesini uygun bulmamakta ve veri sorumlularının mümkün olan her durumda yeterlilik kararı veya uygun güvence mekanizmalarından birini sağlamasını beklemektedir.

• 26.02.2025 tarihinde yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber:  İlgili rehber, Kurul tarafından, özel nitelikli kişisel verilerin hangi hukuki dayanaklarla işlenebileceğini açıklığa kavuşturmak ve veri sorumlularının Kanun’a uygun hareket etmesini sağlamak amacıyla hazırlanmıştır.

Rehbere göre özel nitelikli kişisel veriler, Kanun’un 6. maddesinde sayılan sınırlı kategorilerle belirlenmiştir ve bu kapsam kıyas yoluyla genişletilemez. Dolayısıyla Kanun’da açıkça sayılmayan bir veri (örneğin uyruk bilgisi), özel nitelikli veri olarak kabul edilmemektedir. Buna karşılık, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler bu kapsama girmektedir. Sağlık verileri içinde yer alan kan grubu bilgisi gibi unsurlar da bu nitelikte değerlendirilir.

2024 yılında yürürlüğe giren 7499 sayılı Kanun’la yapılan değişikliklerle, sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli veriler arasındaki ayrım kaldırılmış; böylece tüm özel nitelikli verilerin açık rıza aranmaksızın işlenebileceği durumlar yeniden düzenlenmiştir. Bu çerçevede, kanunlarda açıkça öngörülme, hayati tehlike hâli, alenileştirme, bir hakkın tesisi veya korunması için zorunluluk, istihdam ilişkisi, iş sağlığı ve güvenliği, sosyal güvenlik yükümlülüklerinin ifası gibi hallerde açık rıza aranmaksızın işleme yapılabileceği hüküm altına alınmıştır. Rehber, bu istisnaları örnek senaryolarla açıklayarak, hangi durumlarda açık rıza aranmayacağını ayrıntılı olarak belirtmiştir.

Rehberin son bölümünde veri sorumlularına yönelik uyum adımları vurgulanmıştır. Buna göre, özel nitelikli kişisel veri işleyen kurumların veri envanterlerini güncellemeleri, açık rıza ve aydınlatma süreçlerini yeniden yapılandırmaları, saklama ve imha politikalarını gözden geçirmeleri ve teknik, idari güvenlik tedbirlerini güçlendirmeleri gerekmektedir.

Eğitim, sağlık ve insan kaynakları gibi kişisel veri hacmi yüksek sektörlerde bu rehberlerin önemi özellikle artmaktadır. Çünkü artık yalnızca “açık rıza almak” veri işleme faaliyetini hukuka uygun hale getirmeye yetmemektedir. Kurul, kurum ve şirketlerden her bir veri işleme sürecinin güvenli, izlenebilir ve belgelenebilir olmasını beklemektedir.Bu kapsamda veri sorumlularının; hangi verilerin kimler tarafından işlendiğini, bu kişilerin erişim yetkilerini, alınan teknik güvenlik önlemlerini (örneğin şifreleme, erişim kısıtlaması, antivirüs, ağ güvenliği), yapılan işlemlerin kayıt altına alındığı log sistemlerini ve tüm bu süreçleri düzenleyen iç politika ve prosedürleri yazılı olarak belgelendirmesi gerekmektedir.

2.2 Yeniden değerleme oranı ve artan idari para cezaları

2025 yılı itibarıyla, KVKK’nın 18. maddesinde düzenlenen idari para cezaları, 213 sayılı Vergi Usul Kanunu’nun (“VUK”) mükerrer 298. maddesi uyarınca her yıl belirlenen yeniden değerleme oranı esas alınarak %43,93 oranında artırılmıştır. Bu oran, 27.11.2024 tarihli ve 32735 sayılı Resmî Gazete’de yayımlanan Vergi Usul Kanunu Genel Tebliği (Sıra No: 574) ile ilan edilmiş; akabinde Kurum tarafından 03.01.2025 tarihli duyuru ile yürürlüğe konulmuştur. Ayrıca 2026 yılı için yeniden değerleme oranı %25,49 olacağından gelecek yıla ilişkin tutarların ise aşağıdaki şekilde olacağı düşünülmektedir.

İdari para cezaları aşağıdaki şekildedir:

Ayrıca Kurum tarafından 2024 yılında toplam 552.668.000 TL idari para cezası uygulandığı duyurulmuştur. Bu artış, KVKK’nın artık yalnızca “etik” bir çerçeve olmaktan çıkıp, mali sonuçları ağır bir uyum yükümlülüğü haline geldiğini göstermektedir.

3. Kurul Kararları Işığında Sektörler Arası Güncel Örnekler

3.1. 10.06.2025 tarihli ve 2025/1072 sayılı İlke Kararı: SMS ile Doğrulama Kodu Gönderilmesi

Kurul, ödeme veya kayıt işlemleri sırasında gönderilen SMS doğrulama kodları aracılığıyla kişisel verilerin işlenmesi ve bu süreçte ticari elektronik ileti onaylarının dolaylı şekilde alınması uygulamalarını incelemiştir. Yapılan incelemelerde, birçok veri sorumlusunun ”işlem güvenliği” gerekçesiyle doğrulama kodeu gönderirken, aslında bu yolla ticari ileti onayı veya açık rıza topladığı ve ilgili kişilerin bu konuda yeterinde bilgilendirilmediği tespit edilmiştir.

Karara göre, SMS doğrulama yalnızca güvenlik doğrulaması veya işlem tamamlama amacıyla kullanılabilir; bu işlem açık rıza alınması, ticari ileti onayı verilmesi veya üyelik sözleşmesi onayı gibi farklı işlemlerle birleştirilemez. Ayrıca, aydınlatma yükümlülüğü ve açık rıza alma süreci birbirinden tamamen ayrı yürütülmeli, rıza verilmemesi ürün veya hizmetin sunulmasınaengel teşkil etmemelidir.

Kurul, veri sorumlularının “katmanlı aydınlatma” ilkesine uygun hareket ederek, SMS’in amacını, doğrulama kodunun hangi işlem için kullanılacağını ve kodun verilmemesi halinde de hizmetin sunulabileceğini açıkça bildirmesi gerektiğini vurgulamıştır. Kodun verilmemesi halinde hizmetin yine de sunulabileceği, verilen onayın istenildiğinde geri çekilebileceği bilgisi net şekilde paylaşılmalıdır.

Özel okullar açısından bu karar, öğrenci kayıt, veli bilgilendirme veya çevrimiçi ödeme sistemlerinde SMS doğrulama süreçlerinin tasarlanmasında yol gösterici niteliktedir. Örneğin, okullar velilere gönderilen doğrulama SMS’lerinde yalnızca “güvenli ödeme onayı” veya “kayıt işlemi tamamlaması” amacıyla kod istemeli; tanıtım, reklam veya duyuru izinleri için ise ayrı bir onay formu ya da ekran sunmalıdır. Böylece hem KVKK’ya uygunluk sağlanır hem de velilerin açık rızası, bilgilendirme ve özgür irade unsurlarıyla geçerli biçimde alınmış olur.

3.2. 04.09.2025 tarih ve 2025/1572 sayılı Kurul Kararı: VERBİS’e Kayıt Yükümlülüğüne Getirilen İstisna

İlgili karar ile Kurul, Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğüne ilişkin ek bir istisna kategorisi tanımlamıştır.. Önceki düzenlemeye göre, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olan, ayrıca ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan veri sorumluları VERBİS’e kayıt yükümlülüğünden muaftı.

Yeni kararla birlikte, ana faaliyet konusu özel nitelikli kişisel veri işleme olan ancak yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon TL’nin altında olan gerçek veya tüzel kişi veri sorumluları da VERBİS’e kayıt ve bildirim yükümlülüğünden istisna tutulmuştur. Bu iki kriterin birlikte sağlanması gerekmektedir.

Kurul, bu değişiklikle özellikle mikro ölçekli işletmelerin sınırlı insan kaynağı ve mali kapasitesi nedeniyle KVKK uyum sürecinde orantılı bir yükümlülük öngörmeyi amaçlamıştır. Ancak söz konusu işletmeler, VERBİS kaydından muaf olsalar dahi, KVKK’nın 10. ve 12. maddeleri kapsamında aydınlatma ve veri güvenliği yükümlülüklerini yerine getirmekle yükümlü olmaya devam etmektedirler.

3.3. Eğitim sektörüne ilişkin kararlar:

• 06.2021 tarihli 2021/572 sayılı Karar:

Bir özel okulun, öğrencisinin fotoğrafını açık rızası olmaksızın tanıtım amacıyla kullandığını ileri sürerekyapılan şikâyet üzerine verilmiştir. Şikâyette, öğrencinin öğretmenleriyle yaptığı bir görüşme sırasında çekilen fotoğrafın okulun broşürlerinde ve internet sitesinde yayımlandığı, öğrenci ve velisinin buna yönelik açık veya zımni bir rıza vermediği belirtilmiştir. Veri sorumlusu okul ise savunmasında, söz konusu fotoğrafın tüm öğrencilerin katıldığı bir etkinlik sırasında çekildiğini, veliden yazılı izin alındığını ve söz konusu görselin aktif olarak kullanılmadığını beyan etmiştir.

Kurul incelemesinde, okulun velilere “sosyal medya paylaşımı” konulu bir bilgilendirme ve izin formu sunduğu, bu formda velilerin paylaşım izni verip vermemeyi tercih edebildiği, somut olayda ise velinin izin veren seçeneği imzaladığı tespit edilmiştir. Bu nedenle Kurul, fotoğrafın paylaşımının açık rıza kapsamında hukuka uygun olduğu sonucuna varmıştır. Bununla birlikte, öğrencilik ilişkisinin sona ermiş olmasına rağmen fotoğrafın okulun internet sitesinde halen erişilebilir durumda olması  ve silme talebine açık bir yanıt verilmemesi nedeniyle Kurul, veri saklama ve imha süreçlerinde eksiklik bulunduğu sonucuna varmıştır.

Kurul, okulun aydınlatma ve açık rıza metinlerinin; broşür, web sitesi ve sosyal medya gibi her bir paylaşım türü için ayrı ayrı hazırlanması gerektiğini, ayrıca öğrencilik ilişkisi sona eren kişilere ait görsellerin buzlanması veya silinmesi gerektiğini belirtmiştir.

Bu karar, özel eğitim kurumları açısından açık rızanın kapsamı, veri imhası yükümlülüğü ve tanıtım amaçlı görsel kullanımı bakımından dikkat edilmesi gereken ölçütleri açık biçimde ortaya koymaktadır. 

• 24.08.2023 tarihli ve 2023/1461 sayılı karar Karar:

Bir eğitim kurumu tarafından okul binasında hem görüntü hem ses kaydı alındığı ve bu kayıtların, okul ile kiraya veren kişiler arasında yaşanan kira uyuşmazlığına ilişkin bir ihtarnamede delil olarak kullanıldığı ileri sürülmüştür. Şikâyette, görüşme sırasında ilgili kişilerin açık rızası olmadan ses ve görüntü kaydı alındığı ve bu fiilin hem KVKK’ya hem de Türk Ceza Kanunu’nun 133. Maddesine aykırı olduğu belirtilmiştir.

Veri sorumlusu eğitim kurumu ise savunmasında, okulun güvenliği amacıyla kamera sistemleri kurulduğunu, bu sistemlerin genel kullanım alanlarında bulunduğunu ve kurucu odasında da kamera kaydı yapıldığını, kayıtların güvenlik ve delil amaçlı alındığını, ayrıca ses kaydının kira ödemesinin ispatı amacıyla yapıldığını ileri sürmüştür.

Kurul incelemesinde, Millî Eğitim Bakanlığı Özel Öğretim Kurumları Yönetmeliği’nin yalnızca görüntü kaydına izin verdiği, ses kaydı alınmasına ilişkin herhangi bir yasal dayanak bulunmadığı tespit edilmiştir. Kurul, görüntü kaydı alınmasının güvenlik ve iş sağlığı amacıyla meşru ve ölçülü olduğunu, ancak buna ek olarak ses kaydı yapılmasının hem “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğunu hem de ilgili kişilerin makul beklentilerini aştığını değerlendirmiştir. Kararda, ses kaydının Kanun’un 5. maddesinde yer alan hiçbir veri işleme şartına dayanmadığı, bu nedenle hukuka aykırı bir veri işleme faaliyeti olduğu açıkça belirtilmiştir. Buna karşılık, yalnızca görüntü kaydı alınması işlemi bakımından veri sorumlusunun meşru menfaat ve hukuki yükümlülük hükümlerine dayanabileceği, ancak bu durumda dahi aydınlatma yükümlülüğünün yerine getirilmesi gerektiği ifade edilmiştir.

Veri sorumlusu okul, aydınlatma yükümlülüğünü yerine getirdiğini ispatlayamadığından, Kurul tarafından ses kaydı alınması nedeniyle Kanun’un 12. maddesine aykırılık nedeniyle 200.000 TL,  aydınlatma yükümlülüğünün ihlali nedeniyle Kanun’un 10. maddesine aykırılık gerekçesiyle 30.000 TL olmak üzere toplam 230.000 TL idari para cezası uygulanmasına karar vermiştir. Kurul ayrıca, hukuka aykırı olarak alınan ses verilerinin imha edilmesi, ilgili kişilere bu verilerin sağlanması ve sonuçtan Kurul’a bilgi verilmesi yönünde veri sorumlusuna talimat vermiştir.

Sonuç olarak Kurul, eğitim kurumlarında kamera sistemlerinin  yalnızca güvenlik amacına hizmet etmesi gerektiğini, ses kaydının hiçbir koşulda meşru menfaat ve hukuki yükümlülük kapsamına girmediğini, ayrıca aydınlatma yükümlülüğünün her durumda açık ve ispatlanabilir biçimde yerine getirilmesi gerektiğini vurgulamıştır.

• 07.2025 tarih ve 10162731 sayılı İtalya Kararı:

İtalya Veri Koruma Otoritesi (Garante), 2024 yılında bir özel eğitim kurumuna, çocukların mahrem anlarını içeren fotoğrafları internet sitesi ve Google Maps profilinde yayımladığı için 10.000 euro idari para cezası vermiştir. Eğitim kurumu, velilerden alınan rıza formlarına dayansa da Otorite, ebeveyn rızasının çocuğun üstün yararının önüne geçemeyeceğini vurgulamıştır. Fotoğrafların, çocukları ciddi risklere maruz bıraktığı, ayrıca yalnızca bir ebeveynden rıza alınmasının ve rıza metinlerinde “okula kabul için zorunluluk” gibi ifadelerin bulunmasının, onayı geçersiz kıldığını tespit etmiştir.

Karar, eğitim kurumunun sürekli ses ve görüntü kaydı yapan CCTV sistemini ve yöneticinin aynı zamanda Veri Koruma Görevlisi olarak atanmasını da ihlal olarak değerlendirmiştir. Otorite, tüm fotoğrafların çevrim içi mecralardan kaldırılmasına hükmetmiştir.

Bu karar, Avrupa’da çocukların kişisel verilerinin korunmasına yönelik yaklaşımın ne kadar sıkılaştığını göstermektedir. Türkiye’de de KVKK uygulamalarının AB standartlarına giderek yaklaştığı dikkate alındığında, özel eğitim kurumlarının çocuk fotoğraflarının paylaşımında yalnızca açık rızaya değil, çocuğun üstün yararı ilkesine de uygun hareket etmeleri giderek önem taşıyacaktır.

4. Yeni Gelişmeler Işığında Kurumsal Uyumun için Öneriler ve Yol Haritası

1. Veri envanterinin güncellenmesi:Her işleme faaliyeti için amaç, hukuki sebep, veri kategorisi, alıcı/aktarım, saklama süresi, ve imha yöntemi belirlenmelidir. Bu bilgiler, hem VERBİS kaydı hem de kurum içi denetim süreçleri için düzenli olarak güncellenmelidir.
2. Aydınlatma metinlerini yeniden yapılandırılması:Aydınlatma yükümlülüğü, her işleme faaliyetine özgü, katmanlı ve anlaşılır metinlerle yerine getirilmelidir. Açık rıza gerekiyorsa, aydınlatmadan bağımsız, belirli bir konuya ilişkin ve özgür iradeye dayalı biçimde alınmalı; rızanın geri alınmasına imkan tanıyan mekanizmalar kurulmalıdır.
3. Özel nitelikli kişisel veriler için ayrı güvenlik protokolünün oluşturulması:2025 tarihli “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” uyarınca, sağlık, biyometrik ve benzeri veriler için ek teknik ve idari tedbirler uygulanmalıdır.Erişim yetkisi sınırlandırması, yetki matrisleri, erişim logları, şifreleme, saklama–imha politikaları ve gizlilik taahhütleri asgarî güvenlik önlemleri arasında yer almalıdır.
4. Kamera ve izleme politikalarını gözden geçirilmesi:Kamera izleme faaliyetleri yalnızca güvenlik, iş sağlığı ve tesis düzeninin korunması gibi meşru amaçlarla ve ölçülülük ilkesi çerçevesinde yürütülmelidir. Ses kaydı alınması ise, Kanun’un 5. maddesindeki hiçbir işleme şartına dayanmadıkça, özel hayatın gizliliğine aşırı müdahale oluşturacağından kabul edilemez nitelikte olacaktır. Bu sistemlere ilişkin aydınlatma yükümlülüğü mutlaka yerine getirilmeli, kameraların konumu, kayıt süresi, erişim yetkileri ve silme politikası yazılı olarak belirlenmeli ve tüm süreç belgelendirilebilir olmalıdır.
5. Dijital doğrulama süreçlerini ölçülülük esasına göre kurgulanması
6. Yurt dışına aktarım mekanizmasının belirlenmesi: Kanun’un 9. Maddesi kapsamında yurt dışına aktarım, yalnızca yeterlilik kararı, uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, Kurul onaylı taahhütname) veya istisnai haller mevcutsa mümkündür. Standart sözleşme imzalanmışsa, Kurum’a süresi içinde bildirim yapılmalıdır.
7. Saklama ve imha politikasının uygulanması: Kurum bünyesinde “Veri Saklama ve İmha Politikası” oluşturulmalı; periyodik silme, yok etme ve anonimleştirme süreçleri belgelenmelidir.
8. Veri işleyenlerle yapılacak sözleşmelerin güçlendirilmesi
9. İlgili kişi başvuruları ve cevap süreçlerinin Kanun’a uygun şekilde yürütülmesi
10. Veri ihlali bildirim prosedürünün oluşturulması:Veri ihlali halinde Kurum’a ve ilgili kişilere yapılacak bildirimlerin süresi ve içeriği önceden tanımlanmalıdır.
11. Personel farkındalığı sağlanması:Çalışanlara, görev tanımlarına göre düzenli KVKK eğitimleri verilmelidir. İK, sağlık ve eğitim birimleri için ek farkındalık modülleri hazırlanmalıdır.
12. İç denetim ve teknik kontroller: Erişim loglarının örneklem kontrolü, yetki gözden geçirmeleri, güvenlik testleri ve yıllık denetim raporları hazırlanmalıdır.

2025 yılı, Kişisel Verilerin Korunması hukukunda yeni bir dönemi başlatmıştır. Artan idari para cezaları, güncellenen rehberler ve Kurul’un giderek genişleyen uygulama alanı, her ölçekten işletmeyi ölçülü, denetlenebilir ve belgeli bir veri işleme yapısınayöneltmektedir.

Özel okuldan hastaneye, teknoloji start-up’ından üretim tesisine kadar tüm kurumlar için verilen mesaj, kişisel verilerin korunması yalnızca teknik bir uyum konusu olarak değil; kurumsal itibar, hukuki sorumluluk, ve sürdürülebilirlik göstergesi olarak karşımıza çıkmaktadır.

Saygılarımızla,