Kişisel verilerin korunmasında son yıllarda yaklaşım değişti. Kişisel Verilerin Korunması Kanunu (KVKK) ve Bilişim Hukuku uzmanı Av. İrem Kolbakır, yalnızca aydınlatma metni hazırlamanın ya da açık rıza almanın artık yeterli olmadığını, denetimlerde süreçlerin gerçekten işleyip işlemediğine bakıldığını söyledi.
Kişisel Verilerin Korunması Kanunu'nda 10. yıl geride kalırken, uygulamada belge odaklı yapıdan süreç temelli denetime geçildi. KVKK ve Bilişim Hukuku uzmanı Av. İrem Kolbakır, eski dönemde daha çok şikâyet sonrası inceleme yapıldığını, bugün ise proaktif denetim, sektörel inceleme ve rehberlerle desteklenen yeni bir modelin öne çıktığını belirtti.
Belge tek başına yetmiyor
Kolbakır'a göre şirketler açısından yalnızca evrak hazırlamak artık yeterli görülmüyor. Kurumun, dokümanların yanı sıra log kayıtları, ihlal anında atılan adımlar ve veri işleme süreçlerinin gerçekten çalışıp çalışmadığını da incelediğini söyleyen Kolbakır, "yakala/cezalandır" anlayışından "standart koy/denetle/cezalandır" modeline geçildiğini ifade etti.
En sık hata süreçleri işletmemek
Türkiye Gazetesi'nde yer alan habere göre, şirketlerin en çok yaptığı hatanın, hazırlanan belgeleri rafta bırakmak ve süreçleri işletmemek olduğunu belirten Kolbakır, risk yönetimi eksikliği, teknik açıklar, veri güvenliği tedbirlerinin alınmaması ve tedarikçi süreçlerindeki sorunların da sık yaptırım konusu olduğunu söyledi. Gereksiz durumlarda açık rıza alınmasının bile ceza nedeni olabildiğini kaydetti.
Ceza sınırı 10 milyon lirayı aştı
Son yıllarda idari para cezalarında da ciddi artış yaşandı. Özellikle veri sızıntıları, hukuka aykırı veri işleme, açık rıza süreçlerindeki hatalar ve güvenlik açıkları nedeniyle birçok şirkete milyonlarca liralık yaptırım uygulandı. 2026 itibarıyla bazı ihlal türlerinde ceza tutarlarının 10 milyon liranın üzerine çıktığı belirtildi.
GÜNDEM 12 Nisan 2026 Pazar, 13:59
Benzer Haberler