V
VeriUyum
6 dk okumaVeriUyum Ekibi

2026 KVKK Cezaları: Güncel Tutarlar ve İşletmenize Etkisi

2026 itibarıyla KVKK idari para cezaları 17 milyon TL'ye ulaştı. Güncel ceza aralıkları, hangi ihlalin ne kadar olduğu ve gerçek karar örnekleri.

KVKKCezalar2026Mevzuat

Kişisel Verilerin Korunması Kurulu, 2026 yılı yeniden değerleme oranı uyarınca KVKK m.18 kapsamındaki idari para cezalarının üst sınırını 17.092.242 TL'ye çıkardı. Bu, 2025'e kıyasla yaklaşık %25,49 artış demek. Aynı ihlal, geçen yıla göre çok daha pahalı.

Bu yazıda 2026 KVKK ceza tablosunu, hangi davranışın hangi ceza aralığına denk geldiğini ve son dönemde Kurul'un verdiği dikkat çekici kararları derledik. Sayıların arkasındaki hukuki dayanağa odaklanacağız — böylece "bana olmaz" diyemezsiniz.

2026 ceza aralıkları (KVKK m.18)

KVKK m.18'in 1. fıkrasına göre veri sorumlularının ihlal edebileceği dört temel yükümlülük ve karşılığında uygulanabilecek 2026 ceza tutarları şu şekilde (2025 alt sınırlarına 27.11.2025 tarihli VUK 585 sıra Tebliğ ile %25,49 yeniden değerleme oranı uygulanmıştır):

YükümlülükYasal dayanak2026 alt sınır2026 üst sınır
Aydınlatma yükümlülüğüm.1085.437 TL1.709.224 TL
Veri güvenliği yükümlülüklerim.12256.357 TL17.092.242 TL
Kurul kararlarına aykırılıkm.15/5427.263 TL17.092.242 TL
VERBİS bildirim yükümlülüğüm.16341.809 TL17.092.242 TL

Üst sınır, ihlalin ağırlığına göre her bir ihlal başına uygulanır. Birden fazla işleme faaliyetinde ayrı ayrı ihlal varsa, cezalar birikir. Yani "tek bir karar ile 17 milyon" değil — her ayrı süreç için bağımsız ceza söz konusu.

Not: Yukarıdaki tutarlar 2026 yılı itibarıyla geçerlidir ve her yıl yeniden değerleme oranıyla artar. Güncel rakamlar için Kurul'un Resmî Gazete'de yayımladığı tebliği takip edin.

%25,49 artışın iş hayatına etkisi

Birkaç sayıyı yan yana koyduğumuzda durum daha net görünüyor:

  • 2024: Üst sınır ~10,2 milyon TL
  • 2025: Üst sınır ~13,6 milyon TL
  • 2026: Üst sınır ~17,1 milyon TL

Yani üç yıl önce uyumlu olmadığı için risk altında olan bir işletme bugün üst sınırı 1,67 katına çıkmış bir ceza tablosu ile karşı karşıya. Üstelik enflasyon nedeniyle yeniden değerleme oranının önümüzdeki yıllarda da yüksek kalacağı öngörülüyor.

Gerçek karar örnekleri

Kurul'un yayımladığı kararlar, hangi davranışın gerçekten ceza aldığını anlamak için en sağlam kaynak. Birkaç dikkat çekici örnek:

WhatsApp LLC — 1.950.000 TL (Karar 03.09.2021, 2021/891)

Gizlilik politikası değişikliğiyle kullanıcı verilerinin Facebook ile paylaşılmasının "kabul et ya da uygulamayı kullanma" şeklinde dayatılması sonucu Kurul, WhatsApp'a 1,95 milyon TL ceza uyguladı. Kurul'un dayanağı: bu yapı kullanıcının özgür iradesini ortadan kaldırdığı için geçerli açık rıza oluşturmuyor (m.5). Karar, uluslararası bir oyuncuya bile KVKK'nın uygulandığını gösteren önemli bir emsaldir.

Yurt dışına veri aktarımı — m.9 ihlalleri

Yurt dışı sunucu kullanan üçüncü taraf araçlarının (analytics, e-posta, CRM, hosting) açık rıza veya başka bir uygun güvence olmadan kullanılması, KVKK m.9 ihlali olarak Kurul incelemelerine konu oluyor. 2024'te yürürlüğe giren 7499 sayılı Kanun ile m.9 yeniden düzenlendi: aktarımın Kurul tarafından ilan edilen standart sözleşme, bağlayıcı şirket kuralları (Kurul onaylı), taahhütname (Kurul izinli) veya yeterli koruma kararı kapsamında yapılması gerekiyor; açık rıza yalnızca m.9/6'daki arızi hallerde dayanak olabiliyor. Cezalar her vakada ihlalin kapsamına göre belirleniyor.

Aydınlatma metni eksiklikleri — "küçük" sanılan ihlaller

Aydınlatma metni hiç bulunmaması ya da KVKK m.10'un saydığı zorunlu unsurları (kimlik bilgisi, işleme amacı, hukuki sebep, aktarılan kişiler) içermemesi, Kurul'un en sık ceza verdiği ihlal kategorilerinden biri (örnek: 2019/222 sayılı e-ticaret sitesi kararı). 2026 üst sınırının 1.709.224 TL'ye çıkmasıyla birlikte bu kategorideki cezaların eşik seviyesi de yükseldi — "bizim siteye kim bakar ki" mantığıyla geçiştirilemeyecek kadar yaygın.

Çerez onayı eksiklikleri

Pazarlama ve performans çerezlerinin kullanıcıdan açık rıza alınmadan yüklenmesi — özellikle Google Ads, Facebook Pixel, TikTok Pixel — Kurul'un Çerez Uygulamaları Hakkında Rehberi (Haziran 2022) ve 10.03.2022 tarih 2022/229 sayılı kararı ile incelenen başlıkların başında geliyor. Kurul'un emsal kararlarındaki dayanak çoğunlukla m.5 (hukuki sebebe dayanmayan işleme) ve m.10 (aydınlatma yükümlülüğü) ihlalleri. Cezalar ihlalin kapsamına göre yüz binlerden milyonlara uzanıyor.

"Küçük şirketim, KVKK beni kapsamaz"

Hayır. KVKK m.2'ye göre kanun, "kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen" tüm gerçek ve tüzel kişiler için geçerli. Şirketin büyüklüğü, çalışan sayısı veya yıllık cirosu bir muafiyet sebebi değil.

VERBİS kayıt yükümlülüğünden muaf olmak — Kurul'un 2018/32 sayılı kararı kapsamında yıllık çalışan sayısı 50'nin altında ve mali bilanço toplamı 25 milyon TL'nin altında olan veri sorumlularının bulunduğu durum — KVKK yükümlülüklerinden muafiyet anlamına gelmiyor. Bu muafiyet yalnızca VERBİS bildirim yükümlülüğünü kapsar; aydınlatma metni, çerez onayı, veri güvenliği tedbirleri ve veri sahibi başvurularına yanıt verme yükümlülükleri devam ediyor.

Hapis cezası boyutu (TCK m.135–140)

İdari para cezasının yanı sıra Türk Ceza Kanunu da kişisel verilere ilişkin ihlalleri suç olarak tanımlıyor:

  • TCK m.135: Kişisel verilerin hukuka aykırı kaydedilmesi → 1-3 yıl hapis
  • TCK m.136: Hukuka aykırı verme veya ele geçirme → 2-4 yıl hapis
  • TCK m.138: Verilerin yok edilmemesi → 1-2 yıl hapis

TCK m.20 uyarınca tüzel kişiler doğrudan ceza ehliyetine sahip değildir; yukarıdaki cezalar fiili olarak işleyen veya işlenmesine karar veren gerçek kişi (örneğin yönetici, IT sorumlusu, bayi sahibi) hakkında uygulanır. Yani idari para cezasının yanına eklenen ceza sorumluluğu, "bütçeye yazılıp geçilmesi" gibi bir senaryo bırakmıyor.

Ne yapmalı?

KVKK uyumluluğu tek seferlik bir görev değil — sürekli güncellenen bir süreç. Pratik bir yol haritası:

  1. Mevcut durumu görün. Web sitenizdeki çerezleri, izleyicileri ve güvenlik açıklarını saniyeler içinde bir taramayla tespit edin.
  2. Eksiklerinizi listeleyin. Aydınlatma metni var mı, çerez bannerı doğru çalışıyor mu, açık rıza alınıyor mu — somut sorular.
  3. Belgelerinizi hazırlayın. Aydınlatma metni, çerez politikası, açık rıza metni — KVKK m.10'un saydığı unsurları içeren güncel sürümler.
  4. İç süreçlerinizi sıkılaştırın. Veri sahibi başvurularına 30 gün içinde yanıt, veri ihlali halinde 72 saatlik bildirim, çalışan eğitimleri.

İlk adım hep bilmektir. VeriUyum'un ücretsiz tarayıcısı — kayıt istemeden, 2 dakikada — sitenizdeki KVKK risklerini önceliklendirilmiş bir rapor halinde sunar. 17 milyon TL'lik bir ihtimali dakikalar içinde ölçmek için yeterli.

Özet

  • 2026 KVKK ceza üst sınırı: 17.092.242 TL (önceki yıla göre +%25,49).
  • Cezalar her ihlal için ayrı uygulanır; "tek karar – tek ceza" değil.
  • Şirket büyüklüğü, ciro veya VERBİS muafiyeti kanundan muafiyet sağlamaz.
  • İdari cezanın yanına TCK kapsamında 1-4 yıl hapis riski eklenebiliyor.
  • En düşük maliyetli adım: önce görmek.

Bilgilendirme: Bu içerik genel bilgilendirme amaçlıdır, hukuki tavsiye niteliği taşımaz. Somut vakalarınız için lisanslı hukuk müşaviriniz ile çalışmanızı öneririz.