pratik-bilgi

KVKK İhlali Şikayet 2026: Veri Sorumlusuna Başvuru, Kurula Şikayet ve Tazminat

Balgat Hukuk & Arabuluculuk Bürosu

KVKK ihlali şikayet süreci, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sahibinin (ilgili kişinin) haklarını koruyan iki aşamalı bir mekanizmadır. İzinsiz kişisel veri işleme, izinsiz veri paylaşımı, açık rıza alınmadan pazarlama mesajı gönderme, çerez politikasına uyumsuzluk, veri ihlali (data breach) bildirimi yapmama, VERBİS kayıt yükümlülüğüne uymama gibi durumlar KVKK ihlali oluşturur. Bu rehber, 6698 sayılı Kanun ve ikincil mevzuat çerçevesinde veri sorumlusuna başvuru, Kişisel Verileri Koruma Kuruluna şikayet ve tazminat davası süreçlerini, 2026 yılı güncel idari para cezası tutarlarını ve emsal kararları açıklamaktadır.

İçindekiler

  1. KVKK İhlali Nedir?
  2. Veri Sahibinin Hakları (KVKK m. 11)
  3. 1. Aşama: Veri Sorumlusuna Başvuru
  4. 2. Aşama: Kişisel Verileri Koruma Kuruluna Şikayet
  5. 2026 Yılı İdari Para Cezaları
  6. Tazminat Davası (KVKK m. 14/3)
  7. Suç Bildirimi (TCK 135-140)
  8. Emsal Kurul Kararları
  9. Sıkça Sorulan Sorular

KVKK İhlali Nedir?

KVKK ihlali, kişisel verilerin hukuka aykırı şekilde işlenmesi, aktarılması, saklanması veya korunması yükümlülüklerinin ihlal edilmesidir. Sıkça karşılaşılan örnekler:

  • Açık rıza alınmadan pazarlama SMS'i / e-postası gönderme,
  • Aydınlatma metni olmadan veri toplama (form, başvuru, üyelik),
  • Kişisel verilerin üçüncü kişilerle izinsiz paylaşılması,
  • Veri ihlali yaşanmasına rağmen ilgili kişilere bildirim yapılmaması,
  • Çerez kullanımı için açık rıza alınmaması,
  • Veri sahibinin başvurularına 30 gün içinde cevap verilmemesi,
  • Eski çalışanların verilerinin imha edilmeden saklanması,
  • VERBİS kayıt yükümlülüğüne uyulmaması,
  • Yurt dışına veri aktarımının açık rıza veya yeterli koruma şartı olmadan yapılması,
  • Özel nitelikli kişisel verilerin (sağlık, din, cinsel hayat vb.) hukuka aykırı işlenmesi.

Veri Sahibinin Hakları (KVKK m. 11)

6698 sayılı Kanun m. 11, kişisel verisi işlenen herkese (ilgili kişiye) önemli haklar tanır. Veri sorumlusuna başvurarak şunları talep edebilirsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme,
  • KVKK m. 7'de öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Düzeltme, silme ve yok edilme talepleri kapsamında yapılan işlemlerin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğrama halinde zararın giderilmesini talep etme.

Unutulma Hakkı

Anayasa Mahkemesi ve KVKK Kurulu kararları doğrultusunda "unutulma hakkı" pratikte uygulanmaktadır. Arama motorlarındaki eski içeriklerin indekslenmemesi veya kaldırılması, ilgili kişinin başvurusu üzerine değerlendirilir. Kamuoyunun bilme hakkı ile veri sahibinin özel hayatı arasında denge gözetilir.

1. Aşama: Veri Sorumlusuna Başvuru

KVKK m. 13 uyarınca, Kurula şikayetten önce mutlaka veri sorumlusuna yazılı başvuru yapılması zorunludur. Bu zorunluluğa uyulmaması şikayetin reddine sebep olur.

Başvuru Yöntemleri

  • Yazılı dilekçe (iadeli taahhütlü posta veya elden imza karşılığı),
  • Noter aracılığıyla ihtarname,
  • Veri sorumlusunun kayıtlı KEP adresine elektronik imzalı veya güvenli elektronik imzalı e-posta,
  • Veri sorumlusunun internet sitesinde belirttiği başvuru formu yoluyla,
  • Mobil imza ile.

Başvuru Dilekçesinde Bulunması Gerekenler

  • Ad, soyad ve başvuru yazılı ise imza,
  • T.C. kimlik numarası (yabancılar için uyruk, pasaport veya kimlik numarası),
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • Talep konusu (somut ve net),
  • Konuya ilişkin bilgi ve belgeler (varsa).

Veri Sorumlusunun Cevap Yükümlülüğü

  • Veri sorumlusu, talebi en geç 30 gün içinde ücretsiz sonuçlandırmak zorundadır,
  • İşlem ayrı bir maliyet gerektiriyorsa Kurul tarafından belirlenen ücret alınabilir,
  • Cevap yazılı veya elektronik ortamda verilir,
  • Talebi kabul ederse gereğini yapar; reddederse gerekçeli olarak reddeder.

2. Aşama: Kişisel Verileri Koruma Kuruluna Şikayet

Aşağıdaki durumlardan birinin varlığı halinde Kurula şikayet edilebilir:

  • Veri sorumlusu başvuruyu reddetmiştir,
  • Verilen cevap yetersizdir,
  • 30 günlük süre içinde cevap verilmemiştir.

Şikayet Süreleri (KVKK m. 14)

Hak Düşürücü Süreler
  • 30 gün: Veri sorumlusunun cevabını öğrendiği tarihten itibaren,
  • 60 gün: Her halde veri sorumlusuna başvuru tarihinden itibaren.
Bu süreler içinde Kurula başvurulmazsa şikayet hakkı düşer; ancak tazminat davası hakkı devam eder.

Şikayet Başvuru Yolları

  1. Çevrimiçi şikayet modülü: sikayet.kvkk.gov.tr üzerinden,
  2. e-Devlet: "Kişisel Verileri Koruma Kurumu" hizmeti üzerinden,
  3. Posta: Nasuh Akar Mah. Ziyabey Cad. 1407. Sok. No: 4 Balgat-Çankaya/ANKARA adresine yazılı dilekçe.

Şikayet Dilekçesinde Yer Alacak Hususlar

  • İlgili kişinin kimlik bilgileri,
  • Veri sorumlusunun ticaret unvanı veya adı,
  • Veri sorumlusuna yapılan başvurunun tarihi ve kanıtı (alındı belgesi, KEP teyit kaydı, posta kayıt makbuzu),
  • Veri sorumlusunun verdiği cevap veya cevap vermediğini gösteren bilgi,
  • Şikayetin gerekçesi ve hukuki dayanak,
  • Talep,
  • Eklenmesi gereken bilgi ve belgeler.

Kurul İncelemesi

Kurul, şikayeti inceler ve gerekirse veri sorumlusundan savunma talep eder. Şikayetin haklı bulunması halinde:

  • Veri sorumlusuna ihtarname düzenler,
  • İhlalin giderilmesi için talimat verir,
  • İdari para cezası uygular,
  • Suç teşkil eden eylemler için Cumhuriyet Başsavcılığına bildirimde bulunur,
  • Veri işlemenin durdurulması veya verinin imhasına karar verebilir.

Kurul kararı, tebliğden itibaren 30 gün içinde idare mahkemesinde iptal davasına konu edilebilir.

2026 Yılı İdari Para Cezaları

KVKK m. 18'de düzenlenen idari para cezaları, Vergi Usul Kanunu uyarınca her yıl yeniden değerleme oranında artırılır. 2026 yılı için yaklaşık tutar aralıkları aşağıdaki gibidir (kesin tutarlar için Resmi Gazete güncel duyurusu esas alınmalıdır):

İhlal Türü ve Yaklaşık Ceza Aralığı (2026)
  • Aydınlatma yükümlülüğüne aykırılık: 75.000 TL — 1.500.000 TL,
  • Veri güvenliği yükümlülüğüne aykırılık: 225.000 TL — 22.500.000 TL,
  • Kurul kararlarını yerine getirmeme: 375.000 TL — 22.500.000 TL,
  • VERBİS kayıt ve bildirim yükümlülüğüne aykırılık: 180.000 TL — 9.000.000 TL.

Tutarlar her takvim yılı başında güncellenir; somut ihlalde ceza Kurul tarafından ihlalin ağırlığı, etkilenen kişi sayısı, veri sorumlusunun cirosu ve tekrar olup olmadığı dikkate alınarak takdir edilir.

Tazminat Davası (KVKK m. 14/3)

KVKK m. 14/3, ilgili kişinin genel hükümlere göre tazminat hakkını saklı tutar. Bu, Kurula şikayetten bağımsız olarak hukuk mahkemesinde tazminat davası açabileceğiniz anlamına gelir.

Dava Türleri

  • Maddi tazminat: Veri ihlali nedeniyle uğranılan somut maddi zararlar (ticari kayıp, kredi notunun düşmesi vb.),
  • Manevi tazminat: Kişilik haklarının zedelenmesi nedeniyle (TBK m. 58),
  • Tespit davası: İhlalin varlığının mahkeme kararıyla tespiti.

Görevli ve Yetkili Mahkeme

  • Görevli mahkeme: Asliye hukuk mahkemesi,
  • Yetkili mahkeme: Davalının yerleşim yeri veya haksız fiilin işlendiği yer,
  • Zamanaşımı: TBK m. 72 — zararı ve faili öğrenmeden itibaren 2 yıl, her halde 10 yıl.

Tazminat Tutarları

Veri ihlali kaynaklı manevi tazminat tutarları, ihlalin niteliğine ve etkisine göre 5.000 TL ile 100.000 TL arasında belirlenmektedir. Özel nitelikli kişisel verilerin (sağlık verisi, biyometrik veri vb.) sızdırıldığı vakalarda daha yüksek kararlar çıkmıştır.

Suç Bildirimi (TCK 135-140)

KVKK ihlalinin aynı zamanda Türk Ceza Kanunu kapsamında suç oluşturduğu hallerde Cumhuriyet Başsavcılığına suç duyurusunda bulunulabilir.

İlgili TCK Maddeleri

  • TCK m. 135 — Kişisel verilerin kaydedilmesi: Hukuka aykırı olarak kişisel verileri kaydeden kimseye 1 ila 3 yıl hapis cezası,
  • TCK m. 136 — Verileri hukuka aykırı verme veya ele geçirme: Kişisel verileri hukuka aykırı olarak başkasına veren, yayan veya ele geçirene 2 ila 4 yıl hapis cezası,
  • TCK m. 137 — Nitelikli haller: Suçun kamu görevlisi tarafından veya görev kötüye kullanılarak işlenmesi halinde ceza yarı oranında artırılır,
  • TCK m. 138 — Verileri yok etmeme: Süresi geçmiş kişisel verileri yok etmeme suçu, 1 ila 2 yıl hapis cezası,
  • TCK m. 243-245: Bilişim sistemleri yoluyla ihlal halinde ek suç tipleri.

Bu suçlar şikayete bağlı değildir; resen kovuşturulur. Detaylı bilgi için sosyal medyada hakaret rehberimize ve sosyal medya hesabı çalınması rehberimize bakınız.

Emsal Kurul Kararları

Kişisel Verileri Koruma Kurulu, son yıllarda birçok önemli karar vererek pratiği şekillendirmiştir.

Çerez Politikası Kararları

Kurul, internet sitelerinin "tamam" / "kabul ediyorum" tarzı tek butonlu çerez bildirimlerini açık rıza için yetersiz görmektedir. Granular (ayrıştırılmış) seçim sunan, "reddet" seçeneğini de eşit görünürlükte içeren çerez yönetim panelleri zorunlu hale gelmiştir.

Veri İhlali Bildirim Kararları

Veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren 72 saat içinde Kurula bildirimde bulunmak zorundadır. Bu süreye uymayan veya bildirim içeriği yetersiz olan şirketlere yüksek idari para cezaları uygulanmaktadır.

Açık Rıza Kararları

Açık rızanın "özgür irade ile, bilgilendirmeye dayalı ve belirli bir konuya ilişkin" olması şarttır. Hizmet alımının açık rızaya bağlanması (rıza vermezsen hizmet yok) "şarta bağlı rıza" olarak değerlendirilir ve geçersizdir.

Aydınlatma Metni Kararları

Aydınlatma metninin verinin toplandığı an, aynı yerde ve sade dille verilmesi gerekir. Linkin "küçük yazıyla" sunulması veya sayfa altında erişilmesi yetersizdir.

KVKK uyum çalışmaları, veri sorumlusuna başvuru, Kurula şikayet veya tazminat davası konusunda hukuki destek almak isteyenler, Balgat Hukuk iletişim sayfası üzerinden büromuza ulaşabilir.

Sıkça Sorulan Sorular

Reklam SMS'i gelmesi KVKK ihlali mi?

Açık rıza alınmadan ticari elektronik ileti gönderilmesi hem 6698 sayılı KVKK hem de 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında ihlaldir. İYS (İleti Yönetim Sistemi) kayıtsız gönderim ayrıca idari para cezasına tabidir. Şikayet hem KVKK Kuruluna hem de Ticaret Bakanlığına yapılabilir.

Eski işverenim verilerimi hâlâ saklıyor, ne yapabilirim?

İş ilişkisi sona erdiğinde, kanuni saklama süresi (genelde özlük dosyaları için 10 yıl) hariç verilerin silinmesi gerekir. Eski işverene yazılı başvuru yapın; silmezse Kurula şikayet edebilirsiniz.

Fotoğrafımı izinsiz paylaşan kişi ne ceza alır?

Kişinin görüntüsü kişisel veridir. İzinsiz paylaşım, TCK m. 136 kapsamında 2-4 yıl hapis cezası gerektirebilir. Aynı zamanda kişilik haklarına saldırı nedeniyle manevi tazminat davası açılabilir.

Yurt dışındaki bir şirketten gelen veriyi paylaşma talebine ne demeli?

Yurt dışına veri aktarımı KVKK m. 9 uyarınca özel kurallara tabidir. Yeterli koruma sağlayan ülkelere doğrudan, sağlamayan ülkelere ise Kurul tarafından onaylanmış taahhütname veya bağlayıcı şirket kuralları ile aktarım yapılabilir. Aksi halde aktarım yasaktır.

Veri ihlalini Kuruma bildirmezsem ne olur?

Veri ihlali bildirim yükümlülüğüne uymama, KVKK m. 12/5 ihlali sayılır ve veri güvenliği yükümlülüğü kapsamında yüksek idari para cezasına konu olur. Ayrıca etkilenen kişilerin tazminat talepleri ağırlaşır.

VERBİS kaydı yapmayan şirket nasıl tespit edilir?

VERBİS, kamuya açık bir sistemdir; verbis.kvkk.gov.tr üzerinden sorgu yapılabilir. Kayıt yükümlülüğüne tabi olduğu halde kayıt olmayan şirketler ihbar edilebilir; Kurul resen de denetim yapar.

Sorumluluk Reddi Bu yazı yalnızca genel bilgilendirme amacıyla hazırlanmıştır. Hukuki tavsiye niteliği taşımaz. KVKK sürelerinin hak düşürücü olması ve idari para cezalarının yüksekliği nedeniyle, somut olayınız için bir avukatın değerlendirmesi tavsiye edilir. Cezai tutarlar, Resmi Gazete'de yıllık yeniden değerleme oranı ile güncellenmektedir.