Kısa cevap: 7545 sayılı Siber Güvenlik Kanunu ile birlikte aynı veri işleme faaliyeti üzerinde artık iki ayrı denetim otoritesi yetkili: Kişisel Verileri Koruma Kurumu ve Siber Güvenlik Başkanlığı. Güvenlik tedbirlerinin alınmaması gibi tek fiille işlenen ihlallerde en ağır ceza hangisiyse o uygulanırken, bildirim yükümlülükleri gibi ayrı fiillerle işlenen ihlallerde her iki kurum da kendi cezasını ayrı ayrı kesebiliyor. KVKK'nın yürürlükten kalktığı yönündeki söylentiler ise doğru değil.
İki kanun, tek şirket: yeni denetim mimarisi
Kişisel verilerin korunması ile siber güvenlik, kâğıt üzerinde iki ayrı hukuk alanı gibi görünse de pratikte aynı sunucuda, aynı veri tabanında, aynı ağ üzerinde buluşur. Kişisel veriler bugün ezici çoğunlukla siber uzayda işleniyor; siber güvenliğin sağlanamadığı yerde kişisel verilerin korunmasından söz etmek mümkün değil. Nitekim Kişisel Verileri Koruma Kurumu'nun Kişisel Veri Güvenliği Rehberi, veri sorumlusunun almakla yükümlü olduğu teknik tedbirler arasında siber güvenlik tedbirlerini açıkça sayar.
12 Mart 2025'te kabul edilen Siber Güvenlik Kanunu bu kesişimi kurumsal bir gerçekliğe dönüştürdü. Artık bilişim sistemleri üzerinden hizmet sunan, veri toplayan ve işleyen her kuruluş, hem KVKK hem de Siber Güvenlik Kanunu kapsamındaki yükümlülüklere aynı anda tabi. Bu durum, doktrinde haklı olarak dile getirilen bir öngörülebilirlik sorununu da beraberinde getiriyor: veri sorumlusu, hangi otoritenin kendisini hangi standartla değerlendireceğini her zaman bilemiyor.¹
"KVKK zımnen yürürlükten kalktı" iddiası neden yanlış?
Siber Güvenlik Kanunu'nun kabulünden sonra bazı çevrelerde, KVKK'daki kabahat hükümlerinin zımnen yürürlükten kalktığı yönünde görüşler dile getirildi. Bu görüşün dayanağı, yeni ve daha ağır cezalar öngören özel bir kanunun eski düzenlemeleri işlevsiz bıraktığı düşüncesi.
Konuyu kabahetler hukuku perspektifinden inceleyen güncel akademik çalışmalar bu iddianın isabetli olmadığını ortaya koyuyor.² KVKK m. 18'deki beş kabahatten dördü (aydınlatma yükümlülüğünün ihlali, Kurul kararlarına uymama, Veri Sorumluları Siciline kayıt yükümlülüğünün ihlali ve standart sözleşmeyle yurt dışına aktarımın bildirilmemesi) için Siber Güvenlik Kanunu'yla kesişen bir alan zaten yok; bu kabahatler siber güvenliğe değil, doğrudan kişisel verilerin korunması hakkına yönelik yükümlülüklerdir. Buralarda uygulama aynen devam ediyor.
Kesişim, esas olarak tek bir noktada yoğunlaşıyor: KVKK m. 18/1-b'deki veri güvenliği yükümlülüklerinin ihlali ile Siber Güvenlik Kanunu m. 16/10'daki siber güvenlik tedbirlerini uygulamama kabahati.
Kesişim noktası: güvenlik tedbirleri ve fikri içtima
Bir şirketin veri tabanını şifrelemediğini, erişim kontrollerini kurmadığını düşünelim. Bu tek ihmal, hem KVKK m. 12/1'deki "gerekli güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri alma" yükümlülüğünü hem de siber güvenlik mevzuatının öngördüğü tedbirleri alma yükümlülüğünü aynı anda ihlal edebilir.
Bu durumda Kabahatler Kanunu m. 15/1 devreye girer: bir fiille birden fazla kabahat işlenmişse yalnızca en ağır idari para cezası verilir. Peki hangi ceza daha ağır? İşte yeni dönemin en çetrefilli sorusu bu. KVKK m. 18/1-b'nin 2025 yılı ceza aralığı 204.285 TL ile 13.620.402 TL arasında; Siber Güvenlik Kanunu m. 16/10'un aralığı ise 1.000.000 TL ile 10.000.000 TL arasında. Üst sınıra bakarsanız KVKK, alt sınıra bakarsanız Siber Güvenlik Kanunu daha ağır görünüyor.
İşi daha da karmaşıklaştıran, Siber Güvenlik Kanunu m. 17/2'deki nispi ceza düzenlemesi: ihlal sonucunda ortaya çıkan zararın veya elde edilen menfaatin üç ila beş katına kadar ceza verilebiliyor. Soyut ceza aralıklarını karşılaştırarak "daha ağır" cezayı önceden belirlemek bu yüzden mümkün değil. Akgün ve Akıncı'nın da savunduğu üzere, karşılaştırmanın somut olayda hesaplanan cezalar üzerinden yapılması gerekiyor.² Bu da iki kurum arasında güçlü bir koordinasyon mekanizmasını zorunlu kılıyor; aksi hâlde aynı fiil için iki kurumun ayrı ayrı ceza kesmesi ve uyuşmazlığın idare mahkemelerine taşınması kaçınılmaz.
Kesişmeyen alan: bildirim yükümlülükleri ve gerçek içtima
Güvenlik tedbirlerinde "en ağır ceza" formülü geçerliyken, ihlal bildirimlerinde tablo tamamen farklı. KVKK m. 12/5 uyarınca Kurul'a ve ilgili kişilere yapılacak veri ihlali bildirimi ile Siber Güvenlik Kanunu m. 7/1-b uyarınca Başkanlığa yapılacak siber olay bildirimi, içerik ve muhatap bakımından iki ayrı yükümlülüktür. İkisinin de ihmali, iki ayrı fiil sayılır ve gerçek içtima uygulanır: her iki kurum da kendi cezasını keser, cezalar toplanır.
Özetle yeni dönemin ceza haritası şöyle:
| Senaryo | İçtima durumu | Sonuç |
|---|---|---|
| Güvenlik tedbirlerinin alınmaması | Fikri içtima | Somut olayda en ağır cezayı veren kurum |
| İhlal/olay bildirimlerinin ihmali | Gerçek içtima | Her iki kurumdan ayrı ayrı ceza |
| Aydınlatma, sicil, Kurul kararı, standart sözleşme ihlalleri | İçtima yok | Yalnızca KVKK |
| Yetkisiz siber güvenlik ürünü tedariki vb. | İçtima yok | Yalnızca Siber Güvenlik Başkanlığı |
Şirketler için pratik sonuçlar
Birincisi, KVKK uyum programınızı rafa kaldırmayın. Kurul'un denetim ve ceza yetkisi devam ediyor; daralma yalnızca, Siber Güvenlik Kanunu'ndaki cezanın somut olayda daha yüksek çıktığı tedbir ihlalleriyle sınırlı.
İkincisi, siber güvenlik uyumunu artık KVKK uyumundan ayrı bir başlık olarak ele alın. Siber Güvenlik Kanunu'nun yükümlülük seti (tedbir alma, bildirim, denetime açık olma, yetkili tedarikçi kullanma) KVKK'dan daha geniş bir alana yayılıyor ve kişisel veri içermeyen sistemleri de kapsıyor.
Üçüncüsü, olay anında iki kuruma karşı da savunulabilir bir dosya oluşturacak şekilde kayıt tutun. Hangi tedbirin ne zaman alındığını, ihlalin ne zaman öğrenilip kime ne zaman bildirildiğini belgeleyemeyen şirket, iki cephede birden zor durumda kalıyor.
Kaynaklar
- Kaya, M. Bedii'nin de aralarında bulunduğu yazarların işaret ettiği öngörülebilirlik sorunu için bkz. Akgün/Akıncı, a.g.m., s. 1407 ve orada anılan kaynaklar.
- Akgün, Mustafa / Akıncı, Muhammed Furkan, "Kişisel Verilerin Korunması Kanunu'nda Düzenlenen Kabahatler ile Siber Güvenlik Kanunu'nda Düzenlenen Kabahatler Arasında İçtima İlişkisi", Ankara Hacı Bayram Veli Üniversitesi Hukuk Fakültesi Dergisi, 2026, C. 30, S. 3, s. 1399-1455.
- 5326 sayılı Kabahatler Kanunu, m. 15; 6698 sayılı KVKK, m. 12, 18; 7545 sayılı Siber Güvenlik Kanunu, m. 7, 16, 17.
- KVKK, "6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları", kvkk.gov.tr, 03.01.2025.
Bu konuda hukuki desteğe mi ihtiyacınız var?
Şirketinizin durumuna özel değerlendirme için iletişime geçin.
Görüşme Planla