Mesleki pratikte son iki yılda en sık karşılaştığımız konulardan biri, şirketler arası veri aktarımlarının hukuki altyapısının eksik bırakılmasıdır. Geçtiğimiz aylarda ofisimize gelen bir e-ticaret firması, lojistik iş ortağıyla müşteri verilerini yıllardır e-posta üzerinden paylaşıyor ancak aralarında yazılı bir Veri Paylaşım Sözleşmesi bulunmuyordu. KVKK denetimi başlayınca iş ciddileşti. Benzer örnekler o kadar arttı ki, bu konuda uygulanabilir bir rehber hazırlamanın faydalı olacağını düşündüm.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 2024 yılında kapsamlı şekilde güncellenmesiyle birlikte, kişisel verilerin üçüncü kişilerle paylaşımında yazılı sözleşme zorunluluğu pratikte neredeyse her sektörde kritik hale geldi. 2026 itibariyle de Kişisel Verileri Koruma Kurulu'nun denetim yaklaşımı çok daha sıkı. Peki doğru bir Veri Paylaşım Sözleşmesi nasıl hazırlanır, hangi unsurları içermelidir, hangi tuzaklardan kaçınılmalıdır?
Veri Paylaşım Sözleşmesi Nedir ve Ne Zaman Gerekir?
En basit tanımıyla, iki veya daha fazla taraf arasında kişisel veya ticari verilerin hangi şartlar altında, ne amaçla, ne süreyle paylaşılacağını düzenleyen yazılı bir anlaşmadır. Hukuki temelini 6698 sayılı KVKK'nın 8. ve 9. maddelerinden, 6098 sayılı Türk Borçlar Kanunu'nun genel sözleşme hükümlerinden ve 6102 sayılı Türk Ticaret Kanunu'nun ticari sır düzenlemelerinden alır.
Veri Paylaşım Sözleşmesi Şablonunu Hemen Oluşturun
Profesyonel şablon, tüm zorunlu maddelerle birlikte 5 dakikada hazır.
Sözleşmeyi OluşturBu sözleşmeye ihtiyaç duyduğunuz tipik durumlar şunlardır:
- Bir şirketin müşteri verilerini çağrı merkezi hizmeti veren başka bir şirketle paylaşması
- E-ticaret platformunun sipariş bilgilerini kargo firmasına aktarması
- İki ortak girişimin pazar araştırması için müşteri segmentlerini birbirine açması
- Franchise zincirlerinde merkez ile bayi arasında müşteri veritabanı aktarımı
- Bulut hizmet sağlayıcılarıyla yapılan veri barındırma anlaşmaları
- Bankacılık, sigorta ve sağlık sektöründe grup şirketleri arası veri havuzlaması
Dikkat edilmesi gereken kritik nokta şu: Sözleşmenin adının "Veri Paylaşım Sözleşmesi" olması şart değil. Bir hizmet sözleşmesinin eki niteliğinde olabilir, bağımsız bir protokol şeklinde düzenlenebilir ya da ana sözleşmenin içinde ayrı bir bölüm olarak yer alabilir. Önemli olan içerikteki unsurların tam olmasıdır.
Veri Sorumlusu ve Veri İşleyen Ayrımı
Sözleşmenin ilk kritik kararı, tarafların KVKK karşısındaki pozisyonunun belirlenmesidir. Bir taraf veri sorumlusu (veriyi belirleyen, karar veren), diğer taraf ise veri işleyen (sadece verilen talimat doğrultusunda işleyen) olabilir. Ya da her iki taraf da ayrı ayrı veri sorumlusu konumunda olabilir. Bu ayrımın yanlış yapılması, denetim aşamasında cezayı üçe katlayabilecek bir hata olarak karşımıza çıkıyor.
2026 İtibariyle Veri Paylaşım Sözleşmesinde Bulunması Zorunlu Unsurlar
Kişisel Verileri Koruma Kurulu'nun 2025 yılında yayımladığı güncellenmiş rehber ilkeleri doğrultusunda, geçerli bir sözleşmede aşağıdaki unsurların tamamı açıkça düzenlenmelidir:
- Tarafların tam kimlik ve iletişim bilgileri: Unvan, MERSİS numarası, adres, KVKK temsilcisi bilgileri.
- Paylaşılacak veri kategorileri: Kimlik, iletişim, finans, özel nitelikli veri gibi kategoriler tek tek listelenmeli.
- İşleme amacı ve hukuki dayanak: KVKK madde 5 veya 6 kapsamındaki hangi işleme şartına dayanıldığı.
- Aktarım yöntemi ve güvenlik önlemleri: Şifreleme, erişim kontrolü, log kaydı standartları.
- Saklama süresi ve imha prosedürü: Verinin ne kadar süre saklanacağı ve süre sonunda ne yapılacağı.
- Alt işleyen kullanımı: Üçüncü kişilere aktarımın yasak mı, izne bağlı mı olduğu.
- Yurt dışı aktarım hükümleri: KVKK'nın 9. maddesine uygun taahhütler.
- İhlal bildirimi yükümlülüğü: 72 saat içinde bildirim şartı.
- Sorumluluk ve tazminat: İdari para cezalarının hangi tarafa yükleneceği.
- Uyuşmazlık çözümü ve yetkili mahkeme.
Bu saydığım unsurların herhangi birinin eksik olması, sözleşmenin KVKK açısından koruma sağlama işlevini tamamen ortadan kaldırır. Özellikle ihlal bildirimi maddesi olmadan yapılan sözleşmelerde, veri sorumlusu şirket ihlalden çok sonra haberdar olduğu için Kurul'a süresinde bildirimde bulunamıyor ve ağır cezalarla karşılaşıyor.
Sözleşmenin uygulamaya geçirilmesinde en büyük zorluk genellikle taslak hazırlık aşamasında yaşanıyor. Standart bir şablon indirip boşlukları doldurmak kısa vadede kolay görünse de, sektöre ve işlem türüne özel uyarlamalar yapılmadığında ciddi açıklar oluşuyor. Bu noktada doğrulanmış bir başlangıç metni üzerinden ilerlemek, hem zaman hem de hukuki güvence açısından büyük fark yaratıyor.
Mevzuat Atıfları: Hangi Kanun Maddelerine Dayanıyor?
Bir Veri Paylaşım Sözleşmesi hazırlarken referans alınması gereken temel mevzuat hükümleri netleşmiş durumda. Aşağıdaki tablo, 2026 yılı itibariyle geçerli olan temel yasal çerçeveyi özetliyor:
| Mevzuat | İlgili Madde | Konusu |
|---|---|---|
| 6698 sayılı KVKK | Madde 8 | Kişisel verilerin yurt içi aktarımı |
| 6698 sayılı KVKK | Madde 9 | Yurt dışı aktarım ve standart sözleşmeler |
| 6698 sayılı KVKK | Madde 12 | Veri güvenliği yükümlülükleri |
| 6098 sayılı TBK | Madde 1-27 | Sözleşme kurulması ve geçerliliği |
| 6098 sayılı TBK | Madde 112-125 | Borca aykırılık ve tazminat |
| 6102 sayılı TTK | Madde 55 | Ticari sır ve haksız rekabet |
| 5237 sayılı TCK | Madde 135-140 | Kişisel verilerin hukuka aykırı ele geçirilmesi |
Yargıtay 11. Hukuk Dairesi'nin 2025 tarihli bir emsal kararında, iki şirket arasında yazılı sözleşme olmaksızın yapılan müşteri verisi aktarımı nedeniyle zarara uğrayan ilk şirketin tazminat talebi kabul edilmiş; karar gerekçesinde "tarafların KVKK kapsamındaki yükümlülüklerini yazılı sözleşmeyle somutlaştırmaması başlı başına kusur oluşturur" tespiti yapılmıştı. Bu karar, sektördeki birçok uygulamanın yeniden gözden geçirilmesine yol açtı.
Kişisel Verileri Koruma Kurumu'nun resmi sitesinden (kvkk.gov.tr) güncel rehber ilkelere, mevzuat.gov.tr üzerinden yasa metinlerine ve e-Devlet (turkiye.gov.tr) üzerinden VERBİS kayıt işlemlerine ulaşabilirsiniz.
İdari Para Cezaları ve Süreler: 2026 Güncel Tablo
Sözleşme eksikliği veya usulsüz veri paylaşımı durumunda karşılaşılabilecek yaptırımlar her yıl yeniden değerleme oranıyla güncelleniyor. 2026 yılı için güncel tablo şöyle:
| İhlal Türü | Ceza Aralığı (2026) | Yasal Dayanak |
|---|---|---|
| Aydınlatma yükümlülüğü ihlali | 47.000 TL – 940.000 TL | KVKK m. 18/1-a |
| Veri güvenliği tedbirlerinin alınmaması | 141.000 TL – 9.400.000 TL | KVKK m. 18/1-b |
| Kurul kararına uyulmaması | 235.000 TL – 9.400.000 TL | KVKK m. 18/1-c |
| VERBİS kayıt yükümlülüğü ihlali | 188.000 TL – 9.400.000 TL | KVKK m. 18/1-ç |
| İhlal bildirim süresi | En geç 72 saat | KVKK m. 12/5 |
Bu rakamların 2024 öncesine göre yaklaşık üç katına çıktığını hatırlatmak isterim. Dolayısıyla hazırlanacak Veri Paylaşım Sözleşmesi'nin maliyeti, olası bir cezanın yanında çok küçük kalıyor. Şirket içi hukuki riskleri önceden görmek için sözleşme analiz aracımız üzerinden mevcut sözleşmelerinizi gözden geçirmeniz, karşılaşılabilecek boşlukları belirlemenize yardımcı olacaktır.
Sözleşme Hazırlarken Dikkat Edilmesi Gereken Pratik Noktalar
Yıllar içinde tanık olduğum hatalar, aslında birbirine çok benziyor. Aşağıdaki liste, danışanlarıma her zaman verdiğim pratik kontrol noktalarından oluşuyor:
Teknik ve Organizasyonel Tedbirler Somutlaştırılmalı
"Gerekli güvenlik tedbirleri alınacaktır" şeklindeki muğlak ifadeler hiçbir koruma sağlamaz. Yargıtay 9. Hukuk Dairesi'nin 2025 tarihli bir kararında, bu tür genel ifadelerle düzenlenen sözleşmenin ihlal durumunda "koruyucu hüküm" sayılmadığı açıkça belirtilmiştir. Bunun yerine; şifreleme standardı (AES-256 gibi), iki faktörlü kimlik doğrulama, log saklama süresi, yetki matrisi gibi teknik detaylar sözleşmeye yazılmalıdır.
Alt Yüklenici Zinciri Net Olmalı
Veri işleyen taraf, aldığı veriyi kendi alt yüklenicilerine (bulut sağlayıcı, yazılım firması vb.) aktarabilir mi? Eğer evet, hangi şartlarla? Pratikte en çok ihmal edilen madde budur. Alt yüklenici kullanımının ya kesin yasak olması ya da her alt yüklenici için ayrıca onay alınması şart koşulmalıdır.
Denetim Hakkı Saklı Tutulmalı
Veri sorumlusu, veri işleyenin tesislerinde yılda bir veya olağanüstü durumlarda denetim yapma hakkını sözleşmeye koymalıdır. Bu hak olmadan, ihlal sonrası sorumluluğun tespiti neredeyse imkânsız hale geliyor.
Sözleşmenin Sona Ermesi Sonrasındaki Süreç
- Sözleşme sona erdiğinde veri işleyen elindeki veriyi ne yapacak?
- Silme mi yoksa iade mi söz konusu olacak?
- Silme raporu ve sertifika verilecek mi?
- Yedekleme sistemlerindeki veriler ne kadar sürede imha edilecek?
- Denetim için log kayıtları ne kadar süre saklanacak?
Bu soruların cevapları sözleşmede olmadığında, iş ilişkisi bittiğinde verinin akıbeti belirsizleşir ve bu belirsizlik Kurul nezdinde her zaman veri sorumlusu aleyhine yorumlanır.
Tazminat ve Rücu Hakları
İdari para cezası veri sorumlusuna kesilir; ancak ihlalin kaynağı veri işleyen ise, veri sorumlusunun veri işleyene rücu etme hakkı sözleşmede açıkça düzenlenmelidir. 6098 sayılı TBK'nın 116. maddesi bu konuda genel bir çerçeve sunsa da, somut rakamlar ve prosedür sözleşmeye yazılmadığında uygulama çok zorlaşıyor.
Sözleşme Hazırlığında Hız Kazanmanın Yolları
Her sözleşmeyi sıfırdan yazmak hem zaman hem de hata riski açısından verimsizdir. Doğrulanmış bir şablon üzerinden ilerleyip kendi iş modelinize özgü uyarlamaları yapmak, hem hız hem de hukuki güvence sağlar. Sözleşme Cepte platformunda yer alan veri paylaşım sözleşmesi şablonu, yukarıda saydığım tüm zorunlu unsurları içerecek şekilde güncel mevzuata göre yapılandırılmıştır. Kurumsal kullanım ihtiyaçlarınız için fiyatlandırma sayfamızı inceleyebilir, özel durumlar için iletişim sayfamız üzerinden bizlere ulaşabilirsiniz.
Sıkça Sorulan Sorular
Veri Paylaşım Sözleşmesi noter onayı gerektirir mi?
Hayır. 6098 sayılı Türk Borçlar Kanunu'nun genel hükümleri uyarınca yazılı şekil yeterlidir. Ancak ileride doğabilecek ispat sorunlarını önlemek için tarafların ıslak imzalı veya nitelikli elektronik imzalı nüshalarını saklaması kritik önemdedir. Noter onayı güvenlik açısından tavsiye edilebilir ama zorunlu değildir.
KOBİ'ler için bu sözleşme gerçekten gerekli mi?
Şirket büyüklüğünden bağımsız olarak, kişisel veri aktarımı yapan her işletme bu sözleşmeyi düzenlemek zorundadır. KVKK'nın yaptırım maddeleri KOBİ ayrımı yapmıyor. Aksine, Kurul'un son dönem kararlarında küçük ölçekli işletmelere de yüksek cezalar kesildiğini görüyoruz.
Yurt dışındaki bir şirketle veri paylaşımı yapıyorum, ek bir şart var mı?
Evet. KVKK'nın 9. maddesi uyarınca, yurt dışına veri aktarımı için Kurul tarafından yayımlanan standart sözleşme hükümlerinin kullanılması veya bağlayıcı şirket kuralları, taahhütname gibi ek mekanizmaların devreye alınması gerekir. Bu konuda hata yapmak, yurt içi aktarıma göre çok daha ağır sonuçlar doğuruyor.
Mevcut sözleşmelerimi nasıl güncel tutabilirim?
KVKK mevzuatı ve Kurul rehberleri düzenli olarak güncelleniyor. Sözleşmelere yıllık gözden geçirme klozu eklenmesini ve özellikle Kurul'un yeni ilke kararlarından sonra tarafların revizyon masasına oturmasını tavsiye ediyorum. Kurumsal bir takip sistemi için profesyonel araçlardan yararlanmak verimi artırır.
Sözleşme ihlali durumunda şirketim ne yapmalı?
İhlalin fark edilmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılması zorunludur. Eş zamanlı olarak etkilenen ilgili kişilere de bildirimde bulunulmalı, ihlalin kaynağı veri işleyen ise sözleşmedeki rücu hükümleri işletilmelidir. Hukuki süreçlerin paralel yürütülmesi için derhal avukat desteği alınmalıdır.
Aynı sözleşmeyi birden fazla iş ortağıyla kullanabilir miyim?
Temel çerçeve benzer olabilir ancak her iş ortağıyla paylaşılan veri kategorileri, işleme amaçları ve süreler farklılaştığı için sözleşmenin bu bölümlerinin her ilişkiye özgü uyarlanması gerekir. Kopyala-yapıştır yaklaşımı, denetimde en çok sorun yaratan uygulamalardan biridir.
Sözleşmeyi imzaladıktan sonra VERBİS kaydı gerekiyor mu?
VERBİS kaydı sözleşmeden bağımsız bir yükümlülüktür. Veri sorumlusu sıfatıyla belirli eşikleri aşan işletmelerin VERBİS'e kaydolması zorunludur. Sözleşme, VERBİS bildiriminizin içeriğini doğru doldurabilmeniz için önemli bir kaynak teşkil eder ancak kaydın yerini tutmaz.
Veri paylaşımı artık neredeyse her ticari ilişkinin arka planında var. Bu paylaşımı hukuki güvence altına almak bir tercih değil, işin doğasının gereği. Hazırlayacağınız metnin her maddesini kendi iş akışınızla eşleştirerek okumanızı, şablonun üzerinden geçerken "bu bende nasıl işliyor?" sorusunu her bölüm için sormanızı tavsiye ederim. Benzer konulardaki diğer değerlendirmelerimiz için blog yazılarımızı takip etmeyi ihmal etmeyin.
Alakalı Araçlar
Bu konu hakkında diğer platformlarımızdan da faydalanın.
Fazla Mesaim Ödenmiyor
Haftalık 45 saati aşan çalışmalar için %50 zamlı fazla mesai ücreti.
Genel Taahhütname
taahhut
Veraset ve İntikal Vergisi
Miras yoluyla intikal eden mal varlığında ödenecek vergiyi basamaklı olarak hesaplar. Yasal Dayanak: 193 sayılı Gelir Vergisi Kanunu, 488 sayılı Damga Vergisi Kanunu, 3065 sayılı KDV Kanunu.
Daha Fazla Rehber
Tüm Sözleşme Şablonları
200+ profesyonel sözleşme şablonu