KVKK cezaları konusunda bilmeniz gereken en önemli nokta şudur: 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri yükümlülüklerini yerine getirmeyen gerçek ve tüzel kişiler, Kişisel Verileri Koruma Kurulu tarafından 2026 yılında 17 milyon TL’ye kadar idari para cezasına çarptırılabilmektedir. 2026 yılı için yeniden değerleme oranı yüzde 25,49 olarak belirlenmiş (27.11.2025 tarihli ve 33090 sayılı Resmî Gazete); bu oran doğrultusunda KVKK’nın 18. maddesindeki tüm ceza tavanları güncellenerek yürürlüğe girmiştir. Aydınlatma yükümlülüğünün ihlalinden veri güvenliği önlemlerinin alınmamasına, Kurul kararlarına uyulmamasından özel nitelikli verilerin hukuka aykırı işlenmesine kadar birden fazla ihlal türü farklı ceza tavanlarına tabi olup denetimler 2016’dan bu yana artarak sürmektedir.
Bu içerik genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımamaktadır. KVKK uyum süreciniz için uzman hukuki danışmanlık almanız önerilir.
KVKK Nedir ve 2026’da Denetimler Neden Arttı?
6698 Sayılı Kişisel Verilerin Korunması Kanunu, Türkiye’de kişisel verilerin işlenmesi, korunması ve bu konudaki yükümlülükleri düzenleyen temel mevzuattır. 2016 yılında yürürlüğe giren Kanun; işletmelere aydınlatma yükümlülüğü, açık rıza alma, veri güvenliği tedbirleri, VERBİS kaydı ve veri ihlali bildirimi gibi zorunluluklar getirmektedir.
KVKK alanında uzman Fatih Acar’ın aktardığına göre, 2016’dan bu yana yürütülen ihbar ve şikâyete dayalı denetimlerin yanı sıra Kişisel Verileri Koruma Kurulu artık re’sen planlı denetimlere de başlamıştır. Bu gelişme, işletmelerin “şikâyet gelmeden ceza yemem” anlayışının artık geçerliliğini yitirdiğini somut biçimde ortaya koymaktadır. Pasif bir uyum stratejisi yürütmek 2026 itibarıyla yeterli değildir; işletmelerin proaktif biçimde KVKK uyumunu güncel tutması zorunlu hâle gelmiştir.
KVKK 18. Madde Kapsamında 2026 Güncel İdari Para Cezası Tavanları
213 Sayılı Vergi Usul Kanunu’nun mükerrer 298. maddesi uyarınca yeniden değerleme oranı her yıl güncellenmekte; bu oran KVKK’nın 18. maddesindeki tüm idari para cezası sınırlarına yansıtılmaktadır. Fatih Acar’ın aktardığına göre 27.11.2025 tarihli ve 33090 sayılı Resmî Gazete’de ilan edilen yüzde 25,49 oranıyla 2026 yılı ceza tavanları aşağıdaki şekilde güncellenmiştir:
| İhlal Türü | İlgili KVKK Maddesi | 2026 Alt Sınır | 2026 Üst Sınır |
|---|---|---|---|
| Aydınlatma yükümlülüğüne aykırılık | Madde 10 / Madde 18/1-a | 85.437 TL | 1.709.200 TL |
| Veri güvenliği yükümlülüklerine aykırılık | Madde 12 / Madde 18/1-b | 256.357 TL | 17.092.242 TL |
| Kurul kararlarının yerine getirilmemesi | Madde 18/1-c | 427.263 TL | 17.092.242 TL |
| VERBİS kayıt ve bildirim yükümlülüğünün ihlali | Madde 18/1-ç | 341.809 TL | 17.092.242 TL |
| Standart sözleşme bildirim yükümlülüğünün ihlali | Madde 18/1-d | 90.308 TL | 1.806.177 TL |
Kaynak: kvkk.gov.tr; 27.11.2025 tarihli ve 33090 sayılı Resmî Gazete (yüzde 25,49 yeniden değerleme oranı); Fatih Acar, olay.com.tr.
Önemli bir nokta olarak şunu belirtmek gerekir: Kurul, tek bir denetimde birden fazla yükümlülük ihlali tespit ederse her bir ihlal için ayrı ayrı ceza uygulayabilmektedir. Bu durumda toplam ceza yükü tek bir tavan tutarının çok üzerine çıkabilmektedir. Ayrıca 2024 yılında taban tutarı 1 milyon TL olan bir risk, 2026’da 17 milyon TL’ye kadar yükselmiş durumdadır.
KVKK İhlali Nedir? Hangi Durumlar Cezaya Yol Açar?
| İhlal Türü | Açıklama | Pratik Senaryo |
|---|---|---|
| Aydınlatma yükümlülüğünün yerine getirilmemesi (Md. 10) | Kişisel verilerin toplanması sırasında ilgili kişilere gerekli bilgilerin verilmemesi | Web sitesinde gizlilik bildirimi ve çerez politikası bulunmaması; müşteri kayıt formunda veri işleme amacının belirtilmemesi |
| Veri güvenliği önlemlerinin alınmaması (Md. 12) | Kişisel verilerin yetkisiz erişime, sızıntıya veya imhaya karşı korunmaması | Müşteri veritabanının şifrelenmemesi; çalışan parolalarının zayıf olması; yedekleme sisteminin bulunmaması |
| Kurul kararlarına uyulmaması | Kurul’un talimat veya kararlarının uygulanmaması | Kurul’un veri silme talimatının yerine getirilmemesi; veri ihlali bildiriminin 72 saat içinde yapılmaması |
| Özel nitelikli verilerin hukuka aykırı işlenmesi (Md. 6) | Sağlık, din, siyasi görüş, biyometrik veri gibi hassas verilerin açık rıza olmaksızın işlenmesi | Çalışan sağlık verilerinin açık rıza alınmadan SGK sistemleri dışında işlenmesi |
| VERBİS kayıt yükümlülüğünün yerine getirilmemesi | Veri Sorumluları Siciline kaydolunması gereken işletmenin kayıt yaptırmaması | Belirli ölçeğin üzerindeki işletmenin VERBİS’e kayıt yaptırmaması veya kaydını güncel tutmaması |
KVKK 12. Madde: Denetim Yaptırmak Artık Zorunluluk
KVKK’nın 12. maddesi veri sorumlularına üç temel yükümlülük getirmektedir: kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak. Bunların yanı sıra aynı madde, veri sorumlularının kendi bünyesinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorunda olduğunu açıkça hükme bağlamaktadır.
Fatih Acar bu yükümlülüğü şöyle özetlemektedir: “Kişisel Verilerin Korunması Kanunu’nda yukarıda belirtilen yükümlülüklerin yerine getirilmemesi halinde 17 milyon TL’ye kadar idari para cezası uygulanması hükmü yer almaktadır.” Bu ifade, denetim yaptırmanın salt isteğe bağlı bir uygulama değil, yerine getirilmemesi yaptırım gerektiren bir yasal zorunluluk olduğunu net biçimde ortaya koymaktadır.
KobiTime ekibi olarak sektör uzmanlarıyla yaptığımız görüşmeler doğrultusunda şunu belirtmek isteriz: KVKK denetiminin yalnızca mevcut durumu tespit eden bir raporla sınırlı kalması yeterli değildir. Denetimin birinci ve ikinci seviye yönlendirme raporlarıyla desteklenmesi yani salt tespit değil, önleyici rehberlik de içermesi sağlıklı bir KVKK süreç yürütümü açısından zorunludur. Periyodik denetim raporunun hazırlanıp KVKK dosyasında muhafaza edilmesi ise olası bir Kurul denetiminde en temel koruma mekanizmasını oluşturmaktadır.
KVKK Dosyasında Hangi Belgeler Bulunmalı? 2026 Kontrol Listesi
Yeminli Mali Müşavir Bağımsız Denetçi Fatih Acar‘ın aktardığı KVKK dosyasındaki zorunlu belgeler, Kurul denetimlerinde aranan dokümantasyonun tam listesini oluşturmaktadır:
| Belge Adı | Amacı | Güncelleme Sıklığı |
|---|---|---|
| VERBİS kaydı | Veri sorumlusu olarak sicile kayıt ve işleme faaliyetlerinin bildirimi | Değişiklik olduğunda derhal; yılda en az 1 kez kontrol |
| Aydınlatma metni | İlgili kişilere veri işleme hakkında bilgi verilmesi (Md. 10) | Veri işleme faaliyetleri değiştiğinde |
| Açık rıza beyanları | Rıza gerektiren veri işlemelerinde hukuki dayanak | Yeni veri işleme kategorilerinde güncelleme |
| Kişisel veri işleme envanteri | Hangi verilerin, hangi amaçla, ne kadar süre işlendiğinin kayıt altına alınması | Yılda en az 1 kez; süreç değişikliklerinde |
| KVKK birimi toplantı tutanakları | Uyum faaliyetlerinin belgelenmesi | Her toplantı sonrası |
| Veri saklama ve imha politikası | Verilerin ne kadar süre saklanacağı ve imha yöntemlerinin belirlenmesi | Yılda 1 kez veya mevzuat değişikliğinde |
| Veri ihlali müdahale planı | İhlal durumunda 72 saatlik bildirim sürecinin yönetimi | Yılda 1 kez test edilmeli ve güncellenmeli |
| Yetki matrisi | Hangi personelin hangi verilere erişebileceğinin tanımlanması | Personel değişikliklerinde güncelleme |
| Veri işleyen taahhütnameleri | Üçüncü taraf yazılım ve hizmet sağlayıcılarıyla KVKK uyum sözleşmeleri | Her yeni veri işleyen ilişkisinde |
| Periyodik KVKK denetim raporu | Kanun hükümlerine uyumun düzenli olarak belgelenmesi (Md. 12 zorunluluğu) | En az yılda 1 kez; tercihen 6 ayda bir |
İşletmenizin vergi ve muhasebe yükümlülüklerini de düzenlemek için aylık muhasebeci ücretleri 2026 rehberimize bakabilirsiniz.
Avukat ve Meslek Mensuplarına KVKK Cezası Uygulanır mı?
Avukatlar, mali müşavirler, muhasebeciler ve diğer serbest meslek mensupları, müvekkil ve danışman kişisel verilerini işledikleri ölçüde veri sorumlusu sıfatı taşımaktadır. Bu sıfat, diğer işletmelerle özdeş KVKK yükümlülüklerini beraberinde getirmektedir:
- Müvekkil/danışman kişisel verilerinin toplanması sırasında aydınlatma yükümlülüğünün yerine getirilmesi
- Verilerin işlendiği sistemlerde teknik ve idari güvenlik önlemlerinin alınması
- Açık rıza gerektiren işlemlerde yazılı veya dijital rıza beyanlarının alınması ve saklanması
- Veri paylaşılan üçüncü taraflarla (bulut servis sağlayıcıları dahil) veri işleyen taahhütnamesi imzalanması
- VERBİS kaydı yükümlülüğünün kapsam dâhilinde olup olmadığının kontrol edilmesi
- Periyodik KVKK denetiminin yaptırılması ve raporun dosyada muhafaza edilmesi
Bu yükümlülüklerin herhangi birinin yerine getirilmemesi durumunda, KVKK’nın 18. maddesi kapsamında 2026 itibarıyla 17 milyon TL’ye kadar idari para cezası uygulanabilmektedir.
KOBİ’lerin En Sık Yaptığı KVKK İhlalleri ve Anında Önleme Adımları
| İhlal | Önleme Adımı |
|---|---|
| Rızasız e-posta bülteni gönderimi | Her abonelik formuna KVKK uyumlu açık rıza kutusu ekleyin; mevcut listenizi retrospektif onay sürecinden geçirin |
| Müşteri verilerinin üçüncü taraf yazılımlarla hukuka aykırı paylaşımı | Kullandığınız tüm yazılım/SaaS sağlayıcılarıyla veri işleyen taahhütnamesi imzalayın |
| Web sitesinde çerez politikası ve gizlilik bildirimi eksikliği | Siteye KVKK uyumlu aydınlatma metni ve çerez yönetim aracı ekleyin |
| Çalışan verilerinin açık rıza alınmadan işlenmesi | İşe alım sürecine KVKK aydınlatma formu ve rıza beyanını dahil edin |
| Veri ihlalinin 72 saat içinde Kurul’a bildirilmemesi | Veri ihlali müdahale planı hazırlayın; ihlal senaryolarını yılda en az bir kez test edin |
| VERBİS kaydının güncellenmemesi | Her yıl Ocak ayında VERBİS kaydını ve veri işleme envanterini gözden geçirin |
| Periyodik KVKK denetiminin yapılmaması | Yılda en az bir kez denetim yaptırın; raporu KVKK dosyanızda saklayın |
KVKK’da İdari Cezanın Ötesi: Türk Ceza Kanunu’ndaki Hapis Riski
KVKK idari para cezaları mali yaptırımın tek boyutunu oluşturmaktadır. Türk Ceza Kanunu’nun 135-140. maddeleri kapsamında kişisel verilere yönelik bazı fiiller ayrıca hapis cezası gerektiren suçlar olarak düzenlenmiştir:
- Kişisel verilerin hukuka aykırı olarak kaydedilmesi: 1 ila 3 yıl hapis
- Kişisel verilerin ele geçirilmesi veya yayılması: 2 ila 4 yıl hapis
- Özel nitelikli verilerin (sağlık, din, biyometrik vb.) hukuka aykırı kaydedilmesi: Ceza yarı oranında artırılır
- Suçun tüzel kişi tarafından işlenmesi: Faaliyet izninin iptali dahil güvenlik tedbirleri uygulanabilir
Bu hapis cezaları idari para cezasından bağımsız olarak uygulanmaktadır; yani aynı fiil hem idari para cezasına hem de hapis cezasına yol açabilmektedir.
Sıkça Sorulan Sorular
KVKK cezası 2026’da ne kadar?
27.11.2025 tarihli ve 33090 sayılı Resmî Gazete’de ilan edilen yüzde 25,49 yeniden değerleme oranıyla güncellenen KVKK 18. madde cezaları ihlal türüne göre farklılaşmaktadır. En yüksek ceza tavanı 17.092.242 TL’ye ulaşmaktadır. Güncel tutarlar için kvkk.gov.tr’nin kontrol edilmesi önerilmektedir.
KVKK denetimlerinde hangi belgeler isteniyor?
Kurul denetimlerinde VERBİS kaydı, aydınlatma metni, açık rıza beyanları, kişisel veri işleme envanteri, veri saklama ve imha politikası, veri ihlali müdahale planı, yetki matrisi, veri işleyen taahhütnameleri ve periyodik KVKK denetim raporu aranmaktadır. Bu belgelerin KVKK dosyasında güncel tutulması zorunludur.
KVKK kapsamında denetim yaptırmak zorunlu mu?
Evet. KVKK’nın 12. maddesi gereği veri sorumluları kendi bünyesinde gerekli denetimleri yapmak veya yaptırmak zorundadır. Periyodik denetim raporunun hazırlanıp KVKK dosyasında muhafaza edilmesi gerekmektedir. Bu yükümlülüğün yerine getirilmemesi 17 milyon TL’ye kadar idari para cezası riskini doğurmaktadır.
KVKK veri ihlalini kaç gün içinde bildirmek gerekiyor?
KVKK kapsamında veri ihlalinin öğrenilmesinden itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirim yapılması gerekmektedir. Bildirim süresinin aşılması, Kurul kararına uyulmaması kapsamında değerlendirilerek ayrıca idari para cezası uygulanmasına yol açabilmektedir.
Avukatlar KVKK kapsamında ceza alabilir mi?
Evet. Avukatlar müvekkil verilerini işleyen veri sorumlusu sıfatıyla KVKK kapsamına girmektedir. Aydınlatma yükümlülüğü ve veri güvenliği gerekliliklerini yerine getirmemeleri durumunda diğer veri sorumlularıyla aynı idari para cezası tavanları 2026 itibarıyla 17 milyon TL’ye kadar uygulanabilmektedir.
Kaynakça
- Fatih Acar, “İşverenler Dikkat: KVKK Denetimlerinde Çok Yüksek Cezalar Kesiliyor”, olay.com.tr – https://www.olay.com.tr/yazar/fatih-acar/isverenler-dikkat-kvkk-denetimlerinde-cok-yuksek-cezalar-kesiliyor-1621646
- Kişisel Verileri Koruma Kurumu — 2026 İdari Para Cezası Tablosu – https://www.kvkk.gov.tr/Icerik/8145/6698-sayili-kisisel-verilerin-korunmasi-kanunu-kapsaminda-idari-para-cezasi-tutarlari
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu – https://www.mevzuat.gov.tr
- 27.11.2025 Tarihli ve 33090 Sayılı Resmî Gazete (585 Sıra No’lu VUK Genel Tebliği — Yeniden Değerleme Oranı) – https://www.resmigazete.gov.tr/eskiler/2025/11/20251127-8.htm
- Türk Ceza Kanunu Madde 135-140 – https://www.mevzuat.gov.tr
Yasal Uyarı
Bu içerik genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımamaktadır. KVKK uyum süreciniz için uzman hukuki danışmanlık almanız önerilir. kobitime.com bu içeriğe dayanılarak alınan kararlardan doğabilecek herhangi bir sonuçtan sorumlu tutulamaz. Hatalı bilgi bildirimi için iletisim@kobitime.com adresine yazabilirsiniz.
