6698 sayılı Kişisel Verilerin Korunması Kanunu, yürürlüğe girdiği 2016 yılından bu yana kurumların büyük çoğunluğunda teknik ve hukuki bir uyum meselesi olarak ele alındı. Politika belgeleri hazırlandı, VERBİS kayıtları tamamlandı, aydınlatma metinleri web sitelerine eklendi. Bununla birlikte Kişisel Verileri Koruma Kurulu’na iletilen ihbar ve şikayetlerin nemli bir blümünün kaynağı teknik altyapı değil, employeeların farkındalık eksikliğiydi.
Bu yazı, KVKK personel eğitiminin yasal dayanağını, kapsamını, içeriğini ve 2026 yılında yürürlüğe giren Kurul kararlarının kurumsal yansımalarını ele almaktadır.
1. Yasal Dayanak: Eğitim Neden Scope of Obligationsndadır?
Kanun’un 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı işlenmesini nlemek, yetkisiz erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri alma yükümlülüğü getirmektedir. Personel eğitimi bu idari tedbirlerin temel unsurlarından biri olarak değerlendirilmektedir.
Kurul’un denetim pratiğine bakıldığında, eğitim eksikliğinin bağımsız bir ihlal gerekçesi olarak gündeme gelebildiği grülmektedir. Teknik altyapısı tam olmakla birlikte employeelarına KVKK eğitimi vermeyen bir kurum, Kanun’un 18. maddesi kapsamındaki yaptırım riskini taşımaktadır.
Kurul kararlarında tekrar eden bir saptama şudur: Veri ihlallerinin kayda değer bir kısmının temelinde employeeların yetersiz farkındalığı yatmaktadır. Yanlış alıcıya iletilen e-posta, ortamda bırakılan müşteri kaydı veya üçüncü taraf bir uygulamaya yüklenen kişisel veri — bunların tümü teknik değil, davranışsal kkenli ihlallerdir. Bilgi güvenliği farkındalık eğitimi, bu risk kategorisini doğrudan adresler.
2. Şubat 2026 Kurul Kararları
2026 yılının ilk iki ayı, Kişisel Verileri Koruma Kurulu’nun birden fazla nemli karar aldığı bir dnem oldu. Aşağıda personel eğitimini doğrudan ilgilendiren üç gelişme zetlenmektedir.
2026/347 Sayılı Karar: Aydınlatma ve Açık Rıza Metinlerinin Ayrı Düzenlenmesi
Kurul, veri sorumlularının açık rıza metni ile aydınlatma metnini aynı belgede birleştirmesinin hukuka aykırılık oluşturduğunu oybirliğiyle karara bağladı. Kararın gerekçesinde, bu durumun Kurul’a iletilen ihbar ve şikayetlerde en sık karşılaşılan sorunlardan biri olduğu vurgulandı.
Kararın getirdiği temel yükümlülükler şunlardır:
- Aydınlatma metni veri işleme başlamadan nce sunulacak; yalnızca bilgilendirme amacı taşıyacak ve “okudum, anladım” dışında herhangi bir onay ya da rıza ifadesi içermeyecek.
- Açık rıza yalnızca gerçekten gerekli durumlarda ve ayrı bir belge ya da onay kutucuğu aracılığıyla alınacak; ilgili kişinin her zaman geri alabilmesine imkân tanıyacak biçimde düzenlenecek.
- Başka kurumların metinlerinin kopyalanması kabul edilemez; her veri sorumlusu kendi faaliyetlerine zgü metin hazırlamakla yükümlüdür.
- “Kanun’un 5 ve 6. maddeleri kapsamında” gibi muğlak ifadeler tek başına yeterli sayılmayacak; işleme amacı, veri kategorisi ve hukuki sebep açıkça belirtilecek.
- Karara iyi ve ktü uygulama şablonları eklenerek uygulamaya ynelik rehberlik sağlandı.
Bu gelişmelerin kurumsal eğitim süreçlerine yansıması somuttur: Çalışanların hangi metnin ne işe yaradığını, hangi formun hangi koşulda kullanılacağını ve günlük iş akışında hangi adımı atmaları gerektiğini bilmesi, artık mevzuata uyumun n koşullarından biri hâline gelmiştir.
3. Eğitim Kapsamı: Hangi Departmanlar Dahildir?
KVKK personel eğitimi yalnızca bilgi teknolojileri veya hukuk biriminin sorumluluğunda değildir. Kişisel veriyle doğrudan ya da dolaylı temas eden her departman, kendine zgü riskler barındırmaktadır. Aşağıdaki tablo departman bazında ncelikli veri türlerini ve risk alanlarını zetlemektedir.
| Departman | İşlenen Başlıca Veri Türleri | Öncelikli Risk Alanı |
|---|---|---|
| İnsan Kaynakları | Özlük dosyası, sağlık verisi, maaş bilgisi, işe alım formu | Özel nitelikli veri işleme, saklama ve imha süreleri |
| Pazarlama ve Satış | Müşteri veritabanı, CRM kaydı, e-posta listesi | Açık rıza ynetimi, ticari elektronik ileti |
| Bilgi Teknolojileri | Sistem erişim logları, yedekleme verileri, bulut depolama | Erişim kontrolü, veri silme, üçüncü taraf entegrasyonlar |
| Hukuk ve Uyum | Szleşme verileri, dava dosyaları | Veri işleyen szleşmeleri, ilgili kişi başvuru ynetimi |
| Muhasebe ve Finans | Banka hesap bilgisi, fatura verisi, maaş bordrosu | Üçüncü taraf yazılımlar üzerinden veri aktarımı |
| Müşteri Hizmetleri | Çağrı kaydı, kimlik doğrulama verisi, şikayet formu | İlgili kişi hakları, kayıt silme talepleri |
| Satın Alma | Tedarikçi iletişim bilgisi | Veri işleyen szleşme yükümlülükleri |
| Üst Ynetim | Stratejik veri işleme kararları | Veri sorumlusu sıfatıyla bireysel sorumluluk |
Uygulamada nerilen yaklaşım ikili bir yapıdır: Tüm employeelar için temel KVKK farkındalık eğitimi ve her departman için o birimin iş akışına zgü derinleştirilmiş modüller. Bu yapı hem eğitim etkinliğini artırmakta hem de olası bir Kurul denetiminde kurumun “gerekli idari tedbirleri aldığına” dair somut kayıt oluşturmaktadır.
4. Eğitim İçeriği
Etkin bir KVKK eğitimi, mevzuat maddelerinin okunmasından ibaret değildir. Çalışanın günlük iş akışında karşılaşabileceği senaryolara dayanmalı, lçülebilir ğrenme çıktıları içermeli ve düzenli aralıklarla güncellenmelidir. Aşağıda temel modüller yer almaktadır.
Kişisel veri ve zel nitelikli kişisel veri ayrımı, ilgili kişi hakları (erişim, düzeltme, silme, itiraz), veri sorumlusu ve veri işleyen kavramları, Kanun’un yürürlüğe girmesinden bu yana geçirdiği değişiklikler.
Aydınlatma yükümlülüğünün nasıl yerine getirileceği, iki metnin hukuki nitelik farkı, Şubat 2026 Kurul kararının pratiğe yansımaları. İyi ve ktü uygulama rnekleri üzerinden değerlendirme.
Parola ynetimi, ekran kilidi disiplini, e-posta yoluyla kişisel veri iletimi riski, fiziksel ortamda veri güvenliği, kurumsal olmayan mesajlaşma uygulamaları üzerinden veri paylaşımının hukuki boyutu.
Veri ihlalinin tanımı, bildirim yükümlülüğü doğuran olayların kapsamı, 72 saatlik Kurul’a bildirim süreci, employeeın ihlal fark ettiğinde izlemesi gereken iç raporlama adımları.
ChatGPT, Gemini, Copilot gibi üretken yapay zeka araçlarına müşteri veya employee verisi yüklemenin yasal riski, kurumda onaysız araç kullanımının (Shadow AI) KVKK boyutu, veri işleyen szleşmesi zorunluluğu. Bu konuda ayrıca Yapay Zekâyı Yasaklayarak Güvende Olamazsınız başlıklı yazımıza gz atabilirsiniz.
Her birimin günlük iş akışından alınmış vaka çalışmaları, bilgi değerlendirme testi, katılım sertifikası ve denetim için kullanılabilecek eğitim tamamlanma raporu.
5. 2026 İdari Para Cezaları
6698 sayılı Kanun’un 18. maddesi uyarınca belirlenen idari para cezaları, Vergi Usul Kanunu’nun mükerrer 298. maddesi kapsamındaki yeniden değerleme oranıyla her yıl güncellenmektedir. 2026 yılı için bu oran yüzde 25,49 olarak açıklandı.
| Yükümlülük | Alt Sınır (2026) | Üst Sınır (2026) |
|---|---|---|
| Aydınlatma yükümlülüğü (Md. 10) | ~6.250 TL | ~125.500 TL |
| Veri güvenliği yükümlülükleri (Md. 12) | ~18.800 TL | ~1.255.000 TL |
| Kurul kararını yerine getirmeme | ~31.300 TL | ~1.255.000 TL |
| VERBİS kayıt yükümlülüğü ihlali | ~31.300 TL | ~1.255.000 TL |
İdari para cezalarının yanı sıra Türk Ceza Kanunu’nun 135 ila 140. maddeleri, kişisel verileri hukuka aykırı olarak kaydeden, ele geçiren veya ifşa eden kişiler için hapis cezası ngrmektedir. Bu cezalar bireysel sorumluluğu kapsadığından üst ynetim için ayrı bir risk boyutu oluşturmaktadır.
6. Eğitim Tasarımında Dikkat Edilmesi Gerekenler
Kuruma zgü içerik hazırlanmalıdır
Piyasada standart KVKK eğitim paketleri mevcuttur; ancak bunların büyük çoğunluğu kurumun sektrüyle, ürün ve hizmet yapısıyla ya da employeeların iş akışıyla rtüşmemektedir. Eğitim içeriği, kurumun hangi veri türlerini işlediği ve hangi risklerle karşı karşıya olduğu analizi üzerine inşa edilmelidir. Nitekim 2026/347 sayılı Kurul kararı da başka kurumların metinlerinin kopyalanmasını açıkça yasaklamıştır.
Senaryo bazlı ğrenme kalıcılığı artırır
Çalışanların kanun maddelerini ezberlemesi değil, karşılaşabilecekleri gerçek durumları tanıyıp doğru adımı atabilmesi hedeflenmektedir. “Müşteri kimlik bilgilerini içeren bir e-postayı yanlış alıcıya ilettiğinizde ne yaparsınız?” türündeki sorular, soyut bilgiyi davranışa dnüştürmede teorik anlatımdan daha etkilidir. Bu yaklaşım aynı zamanda masabaşı egzersizi (tabletop) metodolojisiyle de uyumludur.
Eğitim belgelenebilir olmalıdır
Olası bir Kurul denetiminde kurumun “gerekli idari tedbirleri aldığını” belgelemesi gerekebilir. Katılım listesi, bilgi değerlendirme testi sonuçları ve katılımcı sertifikaları bu belgelendirmenin temel unsurlarıdır. ISO 27001 kapsamında bir Bilgi Güvenliği Ynetim Sistemi işleten kurumlar için bu kayıtlar aynı zamanda denetim kanıtı işlevi grmektedir.
Ynetim katılımı eğitimin etkinliğini belirler
Çalışanların KVKK uyumunu ciddiye alması, büyük lçüde üst ynetimin konuya verdiği ağırlıkla ilişkilidir. Üst ynetimin bizzat eğitime dahil olması ve iç iletişimde bu nceliği yansıtması, kurumsal uyum kültürünün oluşmasında belirleyici rol oynamaktadır.
7. Sık Sorulan Sorular
KVKK personel eğitimi yasal olarak zorunlu mudur?
Kanun’un 12. maddesi, veri sorumlularına “gerekli idari tedbirleri alma” yükümlülüğü getirmektedir. Kurul kararları ve denetim pratiği bu tedbirlerin başına personel eğitimini koymaktadır. Eğitim eksikliği, Kanun’un 18. maddesi kapsamında idari yaptırıma konu olabilecek bir ihlal gerekçesi olarak değerlendirilebilir.
2026/347 sayılı Kurul kararı kurumları nasıl etkiliyor?
Web sitelerinde, üyelik formlarında, İK süreçlerinde veya müşteri formlarında aydınlatma metni ile açık rızayı tek belgede birleştiren kurumlar bu uygulamayı gzden geçirmek durumundadır. Çalışanların iki metnin hukuki farkını ve uygulama biçimini bilmesi, bu uyumun temel koşuludur.
KVKK eğitimi ne sıklıkla yenilenmelidir?
Temel eğitimin ardından yılda en az bir kez güncellenmiş içerikle tazeleme eğitimi yapılması nerilmektedir. Kurul’un yeni karar veya kılavuz yayımladığı dnemlerde içerik güncellemesi beklenilmemelidir.
Küçük ve orta lçekli işletmeler de eğitim vermekle yükümlü müdür?
Kanun lçek ayrımı yapmamaktadır. On kişilik bir işletme de on bin kişilik bir şirket kadar aynı yükümlülükler kapsamındadır. Süreçleri daha az sistematik olan KOBİ’ler Kurul denetimlerinde daha yüksek ihlal riski taşıyabilmektedir.
Online eğitim yüz yüze eğitimin yerini tutabilir mi?
Her iki format da geçerlidir. Online eğitim lçeklenebilirlik ve maliyet avantajı sunarken yüz yüze eğitim, interaktif tartışma ve kuruma zgü senaryo çalışması bakımından daha elverişlidir. Hibrit model — temel modüller online, derinleştirilmiş senaryolar yüz yüze — uygulamada yaygın tercih olmaktadır.
Kurumunuza Özel KVKK Personel Eğitimi
Sektrünüze ve iş süreçlerinize gre uyarlanmış, 2026/347 sayılı Kurul kararını kapsayan güncel içerikle. Yüz yüze, online veya hibrit formatta uygulanabilir.
Learn Moremak İçin Contact Us Eğitim tamamlanma sertifikası · Departman bazlı içerik · Denetim hazırlığı belgelendirmesi
