# GDPR Nedir? Avrupa Veri Koruma Tüzüğü ve KVKK Farkı Rehberi

> Source: https://sukruyusufkaya.com/blog/gdpr-nedir
> Updated: 2026-07-05T16:06:29.496Z
> Type: blog
> Category: yapay-zeka
**TLDR:** GDPR nedir? GDPR (General Data Protection Regulation), Avrupa Birliği'nde kişisel verilerin işlenmesini düzenleyen ve AB'deki kişilere hizmet veren tüm kurumları bağlayan kapsamlı veri koruma tüzüğüdür. Bu rehber: net tanım, GDPR nasıl çalışır, temel ilkeler, KVKK farkı, unutulma hakkı, uyum yükümlülükleri, yapay zeka ile ilişkisi ve sık sorulan sorular.

<tldr data-summary="[&quot;GDPR, Avrupa Birliği'nde kişisel verilerin işlenmesini düzenleyen ve 2018'de yürürlüğe giren kapsamlı veri koruma tüzüğüdür.&quot;,&quot;Yer bağımsızdır: AB dışındaki bir kurum da AB'deki kişilere hizmet veriyorsa GDPR'a uymak zorundadır.&quot;,&quot;Temel ilkeler: hukuka uygunluk, amaç sınırlaması, veri minimizasyonu, hesap verebilirlik; erişim, düzeltme ve unutulma hakkı tanır.&quot;,&quot;Türkiye'deki karşılığı KVKK'dir; iki metin benzer ama ceza tavanı ve bazı yükümlülüklerde farklılaşır.&quot;,&quot;İhlal, küresel cironun %4'üne veya 20 milyon avroya kadar cezayla sonuçlanabilir.&quot;]" data-one-line="GDPR nedir sorusunun kısa cevabı: AB'de kişisel verinin toplanmasını ve işlenmesini düzenleyen, yer bağımsız ve yüksek cezalı kapsamlı veri koruma tüzüğü."></tldr>

GDPR nedir? GDPR (General Data Protection Regulation, Türkçesiyle Genel Veri Koruma Tüzüğü), Avrupa Birliği'nde kişisel verilerin nasıl toplanacağını, işleneceğini ve korunacağını düzenleyen kapsamlı bir veri koruma tüzüğüdür. 2018'de yürürlüğe giren bu tüzük, AB'deki kişilere hizmet veren her kurumu, kurumun nerede bulunduğuna bakılmaksızın bağlar.

GDPR yalnızca bir hukuk metni değil, dijital dünyada kişisel verinin nasıl ele alınacağını yeniden tanımlayan bir standarttır. Bir e-ticaret sitesinden bir yapay zeka ürününe kadar, AB'deki bir kullanıcının verisine dokunan her sistem bu tüzüğü hesaba katmak zorundadır. Bu rehber gdpr nedir, tüzük nasıl çalışır, temel ilkeleri nelerdir, KVKK farkı nerede başlar ve yapay zeka projeleriyle ilişkisi nasıl kurulur sorularını yanıtlıyor.

<definition-box data-term="GDPR (Genel Veri Koruma Tüzüğü, General Data Protection Regulation)" data-definition="Avrupa Birliği'nde 2018'de yürürlüğe giren ve kişisel verilerin toplanmasını, işlenmesini ve korunmasını düzenleyen kapsamlı veri koruma tüzüğü. GDPR, AB'deki kişilere hizmet veren her kurumu nerede olduğundan bağımsız olarak bağlar; kişilere erişim, düzeltme ve unutulma hakkı gibi haklar tanır ve ihlalinde yüksek idari para cezaları öngörür." data-also="General Data Protection Regulation, Genel Veri Koruma Tüzüğü, AB veri koruma tüzüğü, GDPR"></definition-box>

## GDPR Neden Önemli? Veri Koruma Neden Bir Standart Oldu?

GDPR'ın önemi, dijital ekonominin temel yakıtının kişisel veri olmasından gelir. Kullanıcılar hakkında toplanan her bilgi — konum, satın alma geçmişi, tıklama davranışı — kurumlara değer üretirken kişilerin mahremiyetini de riske atar. GDPR, bu dengeyi kişinin lehine kuran ve veri korumayı isteğe bağlı bir iyi niyet meselesi olmaktan çıkarıp yasal bir yükümlülüğe dönüştüren düzenlemedir.

Tüzüğün getirdiği en büyük değişim, ispat yükünü kuruma yüklemesidir. Artık kişinin verisini işleyen kurum, bu işlemenin hukuka uygun olduğunu kanıtlamak zorundadır. Bu yaklaşım GDPR'ı küresel bir referans hâline getirdi; birçok ülke kendi veri koruma yasasını bu çerçeveye göre yeniden yazdı. Türkiye'deki KVKK de bu dalganın bir parçasıdır. Dolayısıyla GDPR'ı anlamak, yalnızca AB pazarına değil, çağdaş veri koruma anlayışının tümüne bir giriştir.

## GDPR Nasıl Çalışır? Temel İlkeler

GDPR, kişisel verinin işlenmesini birkaç temel ilkeye bağlar ve her işlemenin bu ilkelere uygun olmasını şart koşar. Bu ilkeler, tüzüğün soyut kurallarını günlük uygulamaya çeviren pusuladır.

<comparison-table data-caption="GDPR'ın temel ilkeleri ve pratik anlamları" data-headers="[&quot;İlke&quot;,&quot;Anlamı&quot;,&quot;Pratik karşılığı&quot;]" data-rows="[{&quot;feature&quot;:&quot;Hukuka uygunluk ve şeffaflık&quot;,&quot;values&quot;:[&quot;İşleme meşru bir dayanağa oturmalı&quot;,&quot;Rıza veya sözleşme gibi net bir hukuki temel&quot;]},{&quot;feature&quot;:&quot;Amaç sınırlaması&quot;,&quot;values&quot;:[&quot;Veri yalnızca belirtilen amaç için kullanılır&quot;,&quot;Adres için alınan veri reklamda kullanılamaz&quot;]},{&quot;feature&quot;:&quot;Veri minimizasyonu&quot;,&quot;values&quot;:[&quot;Sadece gereken kadar veri toplanır&quot;,&quot;Gereksiz alanlar formdan çıkarılır&quot;]},{&quot;feature&quot;:&quot;Doğruluk&quot;,&quot;values&quot;:[&quot;Veri güncel ve doğru tutulur&quot;,&quot;Hatalı kayıt talep üzerine düzeltilir&quot;]},{&quot;feature&quot;:&quot;Saklama sınırı&quot;,&quot;values&quot;:[&quot;Veri gereğinden uzun tutulmaz&quot;,&quot;Amacı biten kayıt silinir veya anonimleştirilir&quot;]},{&quot;feature&quot;:&quot;Hesap verebilirlik&quot;,&quot;values&quot;:[&quot;Kurum uyumu kanıtlamakla yükümlüdür&quot;,&quot;İşleme kayıtları ve politikalar belgelenir&quot;]}]"></comparison-table>

Bu ilkelerin ortak mantığı şudur: veri işleme bir varsayılan hak değil, gerekçelendirilmesi gereken bir eylemdir. Kurum "bu veriyi neden topluyorum, neye dayanarak işliyorum ve ne kadar süre saklıyorum?" sorularına her zaman net cevap verebilmelidir. GDPR uyumunun teknik tarafı kadar, bu soruları yanıtlayan belgelenmiş bir yönetişim de bu kadar merkezîdir.

## GDPR Kişilere Hangi Hakları Tanır?

GDPR'ın en somut yüzü, kişilere kendi verileri üzerinde tanıdığı haklardır. Bu haklar, veri korumayı soyut bir ilke olmaktan çıkarıp kişinin kullanabileceği araçlara dönüştürür. Başlıca haklar erişim (verimin ne olduğunu öğrenme), düzeltme, taşınabilirlik (verimi başka bir hizmete taşıma) ve itiraz haklarıdır.

Bunların en çok konuşulanı unutulma hakkıdır (right to erasure). Unutulma hakkı, kişinin belirli koşullarda kendisine ait verilerin silinmesini talep edebilmesini sağlar: veri artık gerekli değilse, verilen rıza geri çekilmişse veya veri hukuka aykırı işlenmişse. Ancak bu hak sınırsız değildir; yasal saklama yükümlülükleri veya ifade özgürlüğü gibi gerekçeler unutulma hakkının kapsamını daraltabilir. Kurumlar açısından bu, her silme talebini otomatik değil, hukuki bir değerlendirmeyle ele almak anlamına gelir.

## GDPR ile KVKK Farkı Nedir?

Türkiye'de faaliyet gösteren kurumlar için en kritik soru, GDPR ile KVKK farkının nerede başladığıdır. KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'nin veri koruma düzenlemesidir ve büyük ölçüde GDPR'dan esinlenmiştir; temel kavramlar, ilkeler ve haklar iki metinde de büyük oranda örtüşür. Bu yüzden GDPR'a uyan bir kurum, KVKK yükümlülüklerinin çoğunu da karşılamış olur.

Ancak GDPR ile KVKK farkı detaylarda belirginleşir. Aşağıdaki karşılaştırma, kurumların en çok karıştırdığı noktaları özetler.

<comparison-table data-caption="GDPR ile KVKK farkı: temel karşılaştırma" data-headers="[&quot;Boyut&quot;,&quot;GDPR (AB)&quot;,&quot;KVKK (Türkiye)&quot;]" data-rows="[{&quot;feature&quot;:&quot;Kapsam&quot;,&quot;values&quot;:[&quot;AB'deki kişilere hizmet veren herkes&quot;,&quot;Türkiye'de veri işleyen herkes&quot;]},{&quot;feature&quot;:&quot;Ceza tavanı&quot;,&quot;values&quot;:[&quot;Küresel cironun %4'ü veya 20M avro&quot;,&quot;İdari para cezası; oransal ciro cezası yok&quot;]},{&quot;feature&quot;:&quot;Unutulma hakkı&quot;,&quot;values&quot;:[&quot;Açıkça düzenlenmiş bir hak&quot;,&quot;İçtihat ve ilke kararlarıyla tanınır&quot;]},{&quot;feature&quot;:&quot;Yurt dışına aktarım&quot;,&quot;values&quot;:[&quot;Yeterlilik kararı ve standart sözleşmeler&quot;,&quot;Açık rıza veya taahhütname temelli&quot;]},{&quot;feature&quot;:&quot;Veri koruma görevlisi&quot;,&quot;values&quot;:[&quot;Belirli hâllerde zorunlu (DPO)&quot;,&quot;Zorunlu değil; VERBİS temsilcisi öne çıkar&quot;]}]"></comparison-table>

Pratik sonuç şudur: AB pazarına dokunan Türk kurumları çoğu zaman her iki düzenlemeye aynı anda uymak zorundadır. Bu durumda strateji, iki metnin ortak paydasını değil, daha katı olanı (genellikle GDPR) tabana almaktır. Kişisel verinin doğru kavranması için <a href="/blog/buyuk-veri-nedir">büyük veri nedir</a> ve veriyi işleyen sistemler için <a href="/blog/algoritma-nedir">algoritma nedir</a> rehberleri de bu tabloyu tamamlar.

## GDPR'da Roller: Veri Sorumlusu ve Veri İşleyen

GDPR'ı doğru uygulamanın önkoşulu, sorumluluğun kimde olduğunu netleştirmektir; çünkü tüzük yükümlülükleri belirli rollere bağlar. İki temel rol vardır: veri sorumlusu (data controller) ve veri işleyen (data processor). Veri sorumlusu, kişisel verinin hangi amaçla ve nasıl işleneceğine karar veren taraftır — yani asıl sorumluluğu taşıyan kurumdur. Veri işleyen ise bu kararlar doğrultusunda veriyi sorumlu adına işleyen tarafı, örneğin bir bulut sağlayıcısını veya bir yazılım tedarikçisini ifade eder.

Bu ayrım pratikte hayati önem taşır. Bir kurum, verisini bir bulut hizmetinde işlediğinde sorumluluğunu o hizmete devretmiş olmaz; veri sorumlusu olarak yükümlülüğü sürer ve işleyenle arasında GDPR'ın öngördüğü bir sözleşme (veri işleme sözleşmesi) bulunmalıdır. Yapay zeka projelerinde bu tablo daha da karmaşıklaşır: bir modeli üçüncü taraf bir API üzerinden çağıran kurum, verinin nereye gittiğini ve orada nasıl işlendiğini bilmek ve belgelemek zorundadır. Rolleri baştan doğru tanımlamak, bir ihlal anında sorumluluğun kimde olduğunu tartışmalı olmaktan çıkarır.

## GDPR ve Yapay Zeka: Uyum Yükümlülükleri Nerede Kesişir?

Yapay zeka projeleri GDPR açısından hassas bir alandır, çünkü modeller büyük veri kümeleriyle beslenir ve bu kümeler çoğu zaman kişisel veri içerir. Bir modelin eğitim verisinde, çıktısında veya kullanıcı etkileşiminde kişisel veri varsa, o proje doğrudan GDPR'ın uyum yükümlülükleri kapsamına girer.

<callout-box data-variant="warning" data-title="Model çıktısı da kişisel veri olabilir">

Yapay zeka uyumunda en sık gözden kaçan nokta, kişisel verinin yalnızca eğitim setinde değil, model çıktısında da ortaya çıkabilmesidir. Bir dil modeli, eğitim verisindeki bir kişiye dair bilgiyi yeniden üretebilir. Bu yüzden uyum, veri girişinden çıktıya kadar tüm hattı kapsamalıdır.

</callout-box>

GDPR'ın yapay zeka için özellikle önem taşıyan iki hükmü vardır: veri minimizasyonu (modele yalnızca gereken veriyi vermek) ve otomatik kararlarda şeffaflık (kişiyi yalnızca otomatik bir kararla önemli ölçüde etkilemenin sınırlanması). Uyumun uygulamaya dökülmesi genellikle şu adımları izler.

<howto-steps data-name="Yapay zeka projesinde GDPR uyum adımları" data-description="Kişisel veri işleyen bir yapay zeka projesini GDPR ile uyumlu tasarlamanın temel adımları." data-steps="[{&quot;name&quot;:&quot;Veri envanteri çıkar&quot;,&quot;text&quot;:&quot;Projede hangi kişisel verinin, nereden geldiğini ve nasıl işlendiğini kayıt altına al.&quot;},{&quot;name&quot;:&quot;Hukuki dayanağı belirle&quot;,&quot;text&quot;:&quot;Her işleme için rıza, sözleşme veya meşru menfaat gibi net bir hukuki temel tanımla.&quot;},{&quot;name&quot;:&quot;Minimize et ve anonimleştir&quot;,&quot;text&quot;:&quot;Modele yalnızca gereken veriyi ver; mümkün olan yerde veriyi anonimleştir veya takma adlaştır.&quot;},{&quot;name&quot;:&quot;Şeffaflık ve hak mekanizması kur&quot;,&quot;text&quot;:&quot;Kişilere işlemeyi bildir; erişim, düzeltme ve silme taleplerini karşılayacak süreçleri hazırla.&quot;},{&quot;name&quot;:&quot;Etki değerlendirmesi yap&quot;,&quot;text&quot;:&quot;Yüksek riskli işlemelerde veri koruma etki değerlendirmesi (DPIA) uygula ve belgelendir.&quot;}]"></howto-steps>

Bu adımların ortak amacı, uyumu projenin sonuna eklenen bir kontrol listesi değil, tasarımın en başından parçası hâline getirmektir (privacy by design). Kişisel veri işleyen bir yapay zeka sistemini bu ilkeyle kurmak, hem yasal riski hem de sonradan yapılacak maliyetli düzeltmeleri azaltır; bu mimariyi güvenli biçimde tasarlamak için <a href="/consulting/solutions/kurumsal-rag-sistemleri">kurumsal RAG sistemleri</a> çözümüne ve genel yol haritası için <a href="/consulting">yapay zeka danışmanlığı</a> hizmetine göz atabilirsiniz.

<stat-callout data-value="Dünya 1.'si" data-context="Türkiye, We Are Social &quot;Digital 2026&quot; verisine göre üretken yapay zeka araçlarından web'e yönlendirilen trafik payında dünya birincisidir; yapay zeka kullanımının bu denli yaygınlaştığı bir ülkede kişisel veri işleyen sistemlerin&quot; data-outcome=&quot;GDPR ve KVKK uyumunu tasarımın başından ele alması, hem yasal riski hem de kullanıcı güvenini doğrudan etkiler." data-source="{&quot;label&quot;:&quot;Euronews TR / Digital 2026&quot;,&quot;url&quot;:&quot;https://tr.euronews.com/next/2026/01/04/turkiye-chatgpt-trafiginde-yuzde-9449luk-oranla-dunya-birincisi&quot;,&quot;date&quot;:&quot;2026-01&quot;}"></stat-callout>

## GDPR Uyum Yükümlülükleri ve Yaygın Hatalar

GDPR uyumu tek seferlik bir proje değil, sürekli bir yükümlülüktür. Kurumların en sık düştüğü hatalar, tüzüğün ruhunu değil yalnızca yüzeyini ele almaktan kaynaklanır. En yaygın hatalar şunlardır:

- **Rızayı her şeyin dayanağı sanmak:** Rıza yalnızca bir hukuki temeldir; çoğu işleme sözleşme veya meşru menfaat gibi başka temellere dayanır ve gereksiz rıza istemek uyumu zayıflatır.
- **Veri envanteri tutmamak:** Hangi verinin nerede işlendiğini bilmeyen bir kurum, hesap verebilirlik ilkesini karşılayamaz ve bir ihlalde savunmasız kalır.
- **Yurt dışı aktarımı ihmal etmek:** Bulut hizmetleri verinin AB dışına çıkmasına yol açabilir; uygun aktarım mekanizması kurulmazsa bu tek başına bir ihlaldir.
- **Silme taleplerini yönetmemek:** Unutulma hakkı taleplerini karşılayacak bir süreç kurmayan kurum, hem yasal riske hem de itibar kaybına açıktır.

Bu hataların ortak paydası, uyumu teknik bir eklenti gibi görmektir. Oysa GDPR uyum yükümlülükleri, hukuk, veri mühendisliği ve ürün tasarımının kesişiminde durur; en sağlam uyum, bu üç alanı en baştan birlikte düşünen kurumlarda görülür.

## Sıkça Sorulan Sorular

### GDPR ile KVKK arasındaki fark nedir?

GDPR Avrupa Birliği'nin, KVKK ise Türkiye'nin veri koruma düzenlemesidir ve KVKK büyük ölçüde GDPR'dan esinlenir. Temel ilkeler benzer olsa da ceza tavanları, açık rıza tanımları, veri sorumlusu yükümlülükleri ve unutulma hakkının kapsamı gibi noktalarda farklılaşırlar.

### GDPR Türkiye'deki kurumları bağlar mı?

Evet, koşullar oluşursa bağlar. Türkiye'de yerleşik bir kurum, AB'deki kişilere mal veya hizmet sunuyor ya da onların davranışını izliyorsa GDPR kapsamına girer. Bu kurum aynı anda hem KVKK'ye hem GDPR'a uymak zorundadır.

### Unutulma hakkı ne demek?

Unutulma hakkı (right to erasure), kişinin belirli koşullarda kendisine ait kişisel verilerin silinmesini talep edebilmesidir. Veri artık gerekli değilse, rıza geri çekilmişse veya hukuka aykırı işlenmişse kurum bu veriyi silmekle yükümlüdür; ancak yasal saklama zorunlulukları bu hakkı sınırlayabilir.

### GDPR ihlalinin cezası nedir?

GDPR iki kademeli ceza öngörür: daha ağır ihlallerde yıllık küresel cironun %4'üne veya 20 milyon avroya (hangisi yüksekse) kadar; daha hafif ihlallerde %2 veya 10 milyon avroya kadar idari para cezası uygulanabilir. Ceza miktarı ihlalin ağırlığına ve kurumun iş birliğine göre belirlenir.

### Yapay zeka projeleri GDPR'a nasıl uyar?

Yapay zeka projeleri, kişisel veri işlediği ölçüde GDPR kapsamındadır. Uyum için veri minimizasyonu, işleme amacının netliği, otomatik kararlarda şeffaflık ve mümkünse anonimleştirme uygulanır. Özellikle eğitim verisi ve model çıktılarında kişisel veri bulunup bulunmadığı en baştan değerlendirilmelidir.

## Özetle: GDPR Nedir?

Özetle gdpr nedir sorusunun cevabı şudur: Avrupa Birliği'nde kişisel verinin toplanmasını, işlenmesini ve korunmasını düzenleyen, yer bağımsız ve yüksek cezalı kapsamlı bir veri koruma tüzüğü. Temel ilkeleri hukuka uygunluk, amaç sınırlaması ve veri minimizasyonu; kişilere tanıdığı en dikkat çekici hak ise unutulma hakkıdır. Türkiye'deki karşılığı olan KVKK ile büyük ölçüde örtüşse de GDPR ile KVKK farkı ceza tavanı ve bazı uyum yükümlülüklerinde belirginleşir. Yapay zeka projeleriyle ilişkisini derinleştirmek için <a href="/blog/yapay-zeka-nedir">yapay zeka nedir</a> ve <a href="/blog/buyuk-veri-nedir">büyük veri nedir</a> rehberlerine göz atabilir, kurumsal uyum için <a href="/consulting">yapay zeka danışmanlığı</a> ile başlayabilirsiniz.

<!-- İÇ BAĞLANTI BORCU: /blog/kvkk-nedir, /blog/kisisel-veri-nedir, /blog/veri-anonimlestirme-nedir, /blog/privacy-by-design-nedir yayınlanınca eklenecek. -->