6698 sayılı Kişisel Verilerin Korunması Kanunu, yürürlüğe girdiği 2016 yılından bu yana kurumların büyük çoğunluğunda teknik ve hukuki bir uyum meselesi olarak ele alındı. Politika belgeleri hazırlandı, VERBİS kayıtları tamamlandı, aydınlatma metinleri web sitelerine eklendi. Bununla birlikte Kişisel Verileri Koruma Kurulu’na iletilen ihbar ve şikayetlerin önemli bir bölümünün kaynağı teknik altyapı değil, çalışanların farkındalık eksikliğiydi.
Bu yazı, KVKK personel eğitiminin yasal dayanağını, kapsamını, içeriğini ve 2026 yılında yürürlüğe giren Kurul kararlarının kurumsal yansımalarını ele almaktadır.
1. Yasal Dayanak: Eğitim Neden Yükümlülük Kapsamındadır?
Kanun’un 12. maddesi, veri sorumlularına kişisel verilerin hukuka aykırı işlenmesini önlemek, yetkisiz erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri alma yükümlülüğü getirmektedir. Personel eğitimi bu idari tedbirlerin temel unsurlarından biri olarak değerlendirilmektedir.
Kurul’un denetim pratiğine bakıldığında, eğitim eksikliğinin bağımsız bir ihlal gerekçesi olarak gündeme gelebildiği görülmektedir. Teknik altyapısı tam olmakla birlikte çalışanlarına KVKK eğitimi vermeyen bir kurum, Kanun’un 18. maddesi kapsamındaki yaptırım riskini taşımaktadır.
Kurul kararlarında tekrar eden bir saptama şudur: Veri ihlallerinin kayda değer bir kısmının temelinde çalışanların yetersiz farkındalığı yatmaktadır. Yanlış alıcıya iletilen e-posta, ortamda bırakılan müşteri kaydı veya üçüncü taraf bir uygulamaya yüklenen kişisel veri — bunların tümü teknik değil, davranışsal kökenli ihlallerdir. Bilgi güvenliği farkındalık eğitimi, bu risk kategorisini doğrudan adresler.
2. Şubat 2026 Kurul Kararları
2026 yılının ilk iki ayı, Kişisel Verileri Koruma Kurulu’nun birden fazla önemli karar aldığı bir dönem oldu. Aşağıda personel eğitimini doğrudan ilgilendiren üç gelişme özetlenmektedir.
2026/347 Sayılı Karar: Aydınlatma ve Açık Rıza Metinlerinin Ayrı Düzenlenmesi
Kurul, veri sorumlularının açık rıza metni ile aydınlatma metnini aynı belgede birleştirmesinin hukuka aykırılık oluşturduğunu oybirliğiyle karara bağladı. Kararın gerekçesinde, bu durumun Kurul’a iletilen ihbar ve şikayetlerde en sık karşılaşılan sorunlardan biri olduğu vurgulandı.
Kararın getirdiği temel yükümlülükler şunlardır:
- Aydınlatma metni veri işleme başlamadan önce sunulacak; yalnızca bilgilendirme amacı taşıyacak ve “okudum, anladım” dışında herhangi bir onay ya da rıza ifadesi içermeyecek.
- Açık rıza yalnızca gerçekten gerekli durumlarda ve ayrı bir belge ya da onay kutucuğu aracılığıyla alınacak; ilgili kişinin her zaman geri alabilmesine imkân tanıyacak biçimde düzenlenecek.
- Başka kurumların metinlerinin kopyalanması kabul edilemez; her veri sorumlusu kendi faaliyetlerine özgü metin hazırlamakla yükümlüdür.
- “Kanun’un 5 ve 6. maddeleri kapsamında” gibi muğlak ifadeler tek başına yeterli sayılmayacak; işleme amacı, veri kategorisi ve hukuki sebep açıkça belirtilecek.
- Karara iyi ve kötü uygulama şablonları eklenerek uygulamaya yönelik rehberlik sağlandı.
Bu gelişmelerin kurumsal eğitim süreçlerine yansıması somuttur: Çalışanların hangi metnin ne işe yaradığını, hangi formun hangi koşulda kullanılacağını ve günlük iş akışında hangi adımı atmaları gerektiğini bilmesi, artık mevzuata uyumun ön koşullarından biri hâline gelmiştir.
3. Eğitim Kapsamı: Hangi Departmanlar Dahildir?
KVKK personel eğitimi yalnızca bilgi teknolojileri veya hukuk biriminin sorumluluğunda değildir. Kişisel veriyle doğrudan ya da dolaylı temas eden her departman, kendine özgü riskler barındırmaktadır. Aşağıdaki tablo departman bazında öncelikli veri türlerini ve risk alanlarını özetlemektedir.
| Departman | İşlenen Başlıca Veri Türleri | Öncelikli Risk Alanı |
|---|---|---|
| İnsan Kaynakları | Özlük dosyası, sağlık verisi, maaş bilgisi, işe alım formu | Özel nitelikli veri işleme, saklama ve imha süreleri |
| Pazarlama ve Satış | Müşteri veritabanı, CRM kaydı, e-posta listesi | Açık rıza yönetimi, ticari elektronik ileti |
| Bilgi Teknolojileri | Sistem erişim logları, yedekleme verileri, bulut depolama | Erişim kontrolü, veri silme, üçüncü taraf entegrasyonlar |
| Hukuk ve Uyum | Sözleşme verileri, dava dosyaları | Veri işleyen sözleşmeleri, ilgili kişi başvuru yönetimi |
| Muhasebe ve Finans | Banka hesap bilgisi, fatura verisi, maaş bordrosu | Üçüncü taraf yazılımlar üzerinden veri aktarımı |
| Müşteri Hizmetleri | Çağrı kaydı, kimlik doğrulama verisi, şikayet formu | İlgili kişi hakları, kayıt silme talepleri |
| Satın Alma | Tedarikçi iletişim bilgisi | Veri işleyen sözleşme yükümlülükleri |
| Üst Yönetim | Stratejik veri işleme kararları | Veri sorumlusu sıfatıyla bireysel sorumluluk |
Uygulamada önerilen yaklaşım ikili bir yapıdır: Tüm çalışanlar için temel KVKK farkındalık eğitimi ve her departman için o birimin iş akışına özgü derinleştirilmiş modüller. Bu yapı hem eğitim etkinliğini artırmakta hem de olası bir Kurul denetiminde kurumun “gerekli idari tedbirleri aldığına” dair somut kayıt oluşturmaktadır.
4. Eğitim İçeriği
Etkin bir KVKK eğitimi, mevzuat maddelerinin okunmasından ibaret değildir. Çalışanın günlük iş akışında karşılaşabileceği senaryolara dayanmalı, ölçülebilir öğrenme çıktıları içermeli ve düzenli aralıklarla güncellenmelidir. Aşağıda temel modüller yer almaktadır.
Kişisel veri ve özel nitelikli kişisel veri ayrımı, ilgili kişi hakları (erişim, düzeltme, silme, itiraz), veri sorumlusu ve veri işleyen kavramları, Kanun’un yürürlüğe girmesinden bu yana geçirdiği değişiklikler.
Aydınlatma yükümlülüğünün nasıl yerine getirileceği, iki metnin hukuki nitelik farkı, Şubat 2026 Kurul kararının pratiğe yansımaları. İyi ve kötü uygulama örnekleri üzerinden değerlendirme.
Parola yönetimi, ekran kilidi disiplini, e-posta yoluyla kişisel veri iletimi riski, fiziksel ortamda veri güvenliği, kurumsal olmayan mesajlaşma uygulamaları üzerinden veri paylaşımının hukuki boyutu.
Veri ihlalinin tanımı, bildirim yükümlülüğü doğuran olayların kapsamı, 72 saatlik Kurul’a bildirim süreci, çalışanın ihlal fark ettiğinde izlemesi gereken iç raporlama adımları.
ChatGPT, Gemini, Copilot gibi üretken yapay zeka araçlarına müşteri veya çalışan verisi yüklemenin yasal riski, kurumda onaysız araç kullanımının (Shadow AI) KVKK boyutu, veri işleyen sözleşmesi zorunluluğu. Bu konuda ayrıca Yapay Zekâyı Yasaklayarak Güvende Olamazsınız başlıklı yazımıza göz atabilirsiniz.
Her birimin günlük iş akışından alınmış vaka çalışmaları, bilgi değerlendirme testi, katılım sertifikası ve denetim için kullanılabilecek eğitim tamamlanma raporu.
5. 2026 İdari Para Cezaları
6698 sayılı Kanun’un 18. maddesi uyarınca belirlenen idari para cezaları, Vergi Usul Kanunu’nun mükerrer 298. maddesi kapsamındaki yeniden değerleme oranıyla her yıl güncellenmektedir. 2026 yılı için bu oran yüzde 25,49 olarak açıklandı.
| Yükümlülük | Alt Sınır (2026) | Üst Sınır (2026) |
|---|---|---|
| Aydınlatma yükümlülüğü (Md. 10) | ~6.250 TL | ~125.500 TL |
| Veri güvenliği yükümlülükleri (Md. 12) | ~18.800 TL | ~1.255.000 TL |
| Kurul kararını yerine getirmeme | ~31.300 TL | ~1.255.000 TL |
| VERBİS kayıt yükümlülüğü ihlali | ~31.300 TL | ~1.255.000 TL |
İdari para cezalarının yanı sıra Türk Ceza Kanunu’nun 135 ila 140. maddeleri, kişisel verileri hukuka aykırı olarak kaydeden, ele geçiren veya ifşa eden kişiler için hapis cezası öngörmektedir. Bu cezalar bireysel sorumluluğu kapsadığından üst yönetim için ayrı bir risk boyutu oluşturmaktadır.
6. Eğitim Tasarımında Dikkat Edilmesi Gerekenler
Kuruma özgü içerik hazırlanmalıdır
Piyasada standart KVKK eğitim paketleri mevcuttur; ancak bunların büyük çoğunluğu kurumun sektörüyle, ürün ve hizmet yapısıyla ya da çalışanların iş akışıyla örtüşmemektedir. Eğitim içeriği, kurumun hangi veri türlerini işlediği ve hangi risklerle karşı karşıya olduğu analizi üzerine inşa edilmelidir. Nitekim 2026/347 sayılı Kurul kararı da başka kurumların metinlerinin kopyalanmasını açıkça yasaklamıştır.
Senaryo bazlı öğrenme kalıcılığı artırır
Çalışanların kanun maddelerini ezberlemesi değil, karşılaşabilecekleri gerçek durumları tanıyıp doğru adımı atabilmesi hedeflenmektedir. “Müşteri kimlik bilgilerini içeren bir e-postayı yanlış alıcıya ilettiğinizde ne yaparsınız?” türündeki sorular, soyut bilgiyi davranışa dönüştürmede teorik anlatımdan daha etkilidir. Bu yaklaşım aynı zamanda masabaşı egzersizi (tabletop) metodolojisiyle de uyumludur.
Eğitim belgelenebilir olmalıdır
Olası bir Kurul denetiminde kurumun “gerekli idari tedbirleri aldığını” belgelemesi gerekebilir. Katılım listesi, bilgi değerlendirme testi sonuçları ve katılımcı sertifikaları bu belgelendirmenin temel unsurlarıdır. ISO 27001 kapsamında bir Bilgi Güvenliği Yönetim Sistemi işleten kurumlar için bu kayıtlar aynı zamanda denetim kanıtı işlevi görmektedir.
Yönetim katılımı eğitimin etkinliğini belirler
Çalışanların KVKK uyumunu ciddiye alması, büyük ölçüde üst yönetimin konuya verdiği ağırlıkla ilişkilidir. Üst yönetimin bizzat eğitime dahil olması ve iç iletişimde bu önceliği yansıtması, kurumsal uyum kültürünün oluşmasında belirleyici rol oynamaktadır.
7. Sık Sorulan Sorular
KVKK personel eğitimi yasal olarak zorunlu mudur?
Kanun’un 12. maddesi, veri sorumlularına “gerekli idari tedbirleri alma” yükümlülüğü getirmektedir. Kurul kararları ve denetim pratiği bu tedbirlerin başına personel eğitimini koymaktadır. Eğitim eksikliği, Kanun’un 18. maddesi kapsamında idari yaptırıma konu olabilecek bir ihlal gerekçesi olarak değerlendirilebilir.
2026/347 sayılı Kurul kararı kurumları nasıl etkiliyor?
Web sitelerinde, üyelik formlarında, İK süreçlerinde veya müşteri formlarında aydınlatma metni ile açık rızayı tek belgede birleştiren kurumlar bu uygulamayı gözden geçirmek durumundadır. Çalışanların iki metnin hukuki farkını ve uygulama biçimini bilmesi, bu uyumun temel koşuludur.
KVKK eğitimi ne sıklıkla yenilenmelidir?
Temel eğitimin ardından yılda en az bir kez güncellenmiş içerikle tazeleme eğitimi yapılması önerilmektedir. Kurul’un yeni karar veya kılavuz yayımladığı dönemlerde içerik güncellemesi beklenilmemelidir.
Küçük ve orta ölçekli işletmeler de eğitim vermekle yükümlü müdür?
Kanun ölçek ayrımı yapmamaktadır. On kişilik bir işletme de on bin kişilik bir şirket kadar aynı yükümlülükler kapsamındadır. Süreçleri daha az sistematik olan KOBİ’ler Kurul denetimlerinde daha yüksek ihlal riski taşıyabilmektedir.
Online eğitim yüz yüze eğitimin yerini tutabilir mi?
Her iki format da geçerlidir. Online eğitim ölçeklenebilirlik ve maliyet avantajı sunarken yüz yüze eğitim, interaktif tartışma ve kuruma özgü senaryo çalışması bakımından daha elverişlidir. Hibrit model — temel modüller online, derinleştirilmiş senaryolar yüz yüze — uygulamada yaygın tercih olmaktadır.
Kurumunuza Özel KVKK Personel Eğitimi
Sektörünüze ve iş süreçlerinize göre uyarlanmış, 2026/347 sayılı Kurul kararını kapsayan güncel içerikle. Yüz yüze, online veya hibrit formatta uygulanabilir.
Bilgi Almak İçin İletişime Geçin Eğitim tamamlanma sertifikası · Departman bazlı içerik · Denetim hazırlığı belgelendirmesi