VERİ KORUMA HUKUKUNDA ÇİFTE DÖNÜŞÜM; MADDİ HUKUK STANDARTLARININ GÜÇLENMESİ VE İHTİSAS MAHKEMELERİ DÖNEMİ
Veri Koruma Hukukunda Çifte Dönüşüm Maddi Hukuk Standartlarının Güçlenmesi ve İhtisas Mahkemeleri Dönemi
Kişisel verilerin korunmasına ilişkin mevzuat ve uygulama alanı, 2026 yılı itibarıyla Türkiye’de önemli düzenlemelerin hayata geçirildiği yeni bir döneme girmiştir. Bu kapsamda, 24.03.2026 tarihli ve 33203 sayılı Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı ile, veri sorumluları tarafından açık rıza metinleri ile aydınlatma metinlerinin ayrı ayrı düzenlenmesi gerektiği açıkça ortaya konulmuştur. Bunu takiben, 22.04.2026 tarihli ve 33232 sayılı Resmi Gazete’de yayımlanan Hakimler ve Savcılar Kurulu Birinci Dairesi’nin 20.04.2026 tarihli ve 890 sayılı kararı ile, Kişisel Verileri Koruma Kurulu kararlarından doğan uyuşmazlıkların 1 Haziran 2026 tarihinden itibaren Ankara’daki belirli ihtisas idare mahkemelerinde görülmesi esası benimsenmiştir.
Kararların Ortaya Koyduğu Esaslar
22.04.2026 tarihli ve 33232 sayılı Resmi Gazete’de yayımlanan Hakimler ve Savcılar Kurulu Birinci Dairesi kararı uyarınca, Kişisel Verileri Koruma Kurulu kararlarına karşı açılacak iptal davalarının, 1 Haziran 2026 tarihinden itibaren Ankara’da belirlenen ihtisas idare mahkemelerinde görülmesi öngörülmüştür. Söz konusu düzenleme ile, kişisel verilerin korunması alanından kaynaklanan idari uyuşmazlıkların belirli mahkemelerde toplanması, bu suretle konuya özgü uzmanlaşmış bir yargılama pratiğinin geliştirilmesi ve karar birliğinin güçlendirilmesi amaçlanmaktadır.
Öte yandan, 24.03.2026 tarihli ve 33203 sayılı Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı ile, uygulamada sıklıkla karşılaşılan açık rıza beyanı ile aydınlatma yükümlülüğünün tek metin altında birleştirilmesi yaklaşımına son verilmiştir. İlke Kararı uyarınca, aydınlatma yükümlülüğü ile açık rıza alma süreci farklı hukuki niteliklere sahip olup; amaç, kapsam ve sonuçları itibarıyla birbirinden ayrı değerlendirilmelidir. Bu kapsamda, veri sorumlularının ilgili kişilere yönelik aydınlatma metinlerini ayrı, açık ve anlaşılabilir bir şekilde sunmaları; açık rıza alınmasının gerekli olduğu hallerde ise, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve ilgili kişinin özgür iradesiyle açıklanan ayrı bir rıza mekanizması tesis etmeleri zorunlu kılınmıştır.
Kararların Uygulamaya Etkisi
Söz konusu gelişmelerin şirketler bakımından en önemli sonucu, KVKK uyum süreçlerinin yeniden ele alınmasının zorunlu hâle gelmesidir. Bugüne kadar çoğu zaman yalnızca metin hazırlanması veya standart form kullanılması suretiyle yürütülen birçok uygulamanın, artık maddi hukuk standartları ile ispat yükümlülüğü bakımından yeniden yapılandırılması gerekmektedir. Bu doğrultuda, veri sorumlularının öncelikle kişisel veri işleme faaliyetlerine temas eden tüm süreç ve kanalları gözden geçirmeleri gerekmektedir. İnternet siteleri, mobil uygulamalar, çağrı merkezi akışları, insan kaynakları süreçleri, müşteri üyelik sistemleri ve fiziksel başvuru formları dâhil olmak üzere açık rıza alınan tüm temas noktalarında, aydınlatma yükümlülüğü ile açık rıza süreçlerinin birbirinden ayrıştırılması zorunludur.
Bununla birlikte, yalnızca metinlerin ayrılması tek başına yeterli değildir. Aydınlatma metninin hangi tarihte, hangi versiyonla ve hangi kanal üzerinden sunulduğu; ilgili kişinin hangi kapsamda rıza verdiği, rızanın sonradan geri alınıp alınmadığı ve tüm sürecin hangi teknik kayıtlarla doğrulanabildiği hususlarının kayıt altına alınması gerekmektedir. Özellikle belirtmek gerekir ki, yeterli kayıt ve ispat altyapısına sahip olmayan şirketler bakımından, şekli uyum belgeleri tek başına yeterli bir savunma vasıtası teşkil etmeyecektir.
Kurul kararlarına karşı açılacak iptal davalarının Ankara’daki ihtisas idare mahkemeleri nezdinde görülmesi, kişisel verilerin korunması hukukuna ilişkin uyuşmazlıkların belirli mahkemelerde toplanmasını sağlayarak konuya özgü uzmanlaşmış bir yargılama pratiğinin oluşmasına katkı sunacaktır. Bu kapsamda, teknik ve hukuki yönleri yoğun olan uyuşmazlıklarda daha yeknesak kararların verilmesi, uygulamada öngörülebilirliğin artması ve zaman içerisinde istikrarlı bir içtihat çizgisinin oluşması beklenmektedir. Söz konusu mahkemelerce verilecek ilk kararların yönlendirici ve emsal nitelik taşıması kuvvetle muhtemeldir.
Sonuç
24.03.2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 18.02.2026 tarihli ve 2026/347 sayılı İlke Kararı ile 22.04.2026 tarihli ve 33232 sayılı Resmî Gazete’de yayımlanan Hâkimler ve Savcılar Kurulu Birinci Dairesi kararı birlikte değerlendirildiğinde, Türk veri koruma hukukunda yeni bir uygulama dönemine geçildiği anlaşılmaktadır. Bir yandan açık rıza süreçlerine ilişkin maddi hukuk standardı yükseltilmiş, diğer yandan bu standartların yargısal denetimini gerçekleştirecek uzmanlaşmış bir mahkeme yapısı tesis edilmiştir. Açık rıza ve aydınlatma süreçlerini hâlen birleşik metinler üzerinden yürüten, yeterli kayıt ve ispat altyapısını oluşturmayan yahut veri işleme faaliyetlerini güncel mevzuat ve Kurul yaklaşımına uygun şekilde revize etmeyen şirketler bakımından, idari yaptırımlar ile yargısal uyuşmazlık riskinin belirgin ölçüde artacağı açıktır.