Bu rehber, danışan verisini işleyen her ruh sağlığı uzmanı için KVKK uyumunun ne olduğunu tek sayfada toparlayan bir konu merkezidir. Tuttuğunuz seans notu, koyduğunuz tanı, uyguladığınız psikometrik test ve hatta bir kişinin sizden destek aldığı bilgisi; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesi kapsamında "özel nitelikli (hassas) kişisel veri" sayılır ve kanunun en yüksek koruma rejimine tabidir. Yani amacımız sizi korkutmak değil; birkaç doğru adımı bir kez kurup sonra rahat çalışabilmeniz için işin haritasını çıkarmak.
Burada her konunun özünü göreceksiniz. Detaya ihtiyaç duyduğunuz her başlıkta, ilgili derin yazıya ve rehberin sonundaki e-kitaba yönlendiriliyorsunuz. Önemli bir hatırlatma: KVKK'daki idari para cezası tutarları ve eşik değerleri yıllık yeniden değerleme ile güncellenir; somut bir başvuru veya karar öncesinde güncel değerleri kvkk.gov.tr üzerinden teyit etmeniz önerilir (güncel durumu teyit edin).
| Bölüm | Ne öğreneceksiniz | Detay yazısı |
|---|---|---|
| Danışan verisi neden özeldir | Özel nitelikli veri ve en yüksek koruma rejimi (m.6) | Bu pillar yeterli |
| Açık rıza mı, istisna mı | 7499 değişikliği ve sır saklama yükümlülüğü | Aydınlatma metni yazısı |
| Aydınlatma ve açık rıza | İki ayrı metin kuralı (2026/347 ilke kararı) | Aydınlatma metni + onam formu yazıları |
| VERBİS | Muafiyet eşiği ve "muafiyet ≠ uyum" | Veri saklama/imha yazısı |
| Veri güvenliği | Teknik ve idari tedbirler (m.12) | Ses kaydı KVKK yazısı |
| Saklama ve imha | Süreler, 3 ay / 6 ay kuralı, imha kaydı | Veri saklama/imha yazısı |
| Ses ve görüntü kaydı | Ayrı açık rıza ve 12 ay sınırı | Ses kaydı KVKK yazısı |
Türk hukuku kişisel veriyi ikiye ayırır: sıradan kişisel veri ve özel nitelikli (hassas) kişisel veri. Ruh sağlığı pratiğinde ürettiğiniz kayıtların neredeyse tamamı ikinci gruba girer. KVKK m.6/1'e göre kişilerin sağlığına ve cinsel hayatına ilişkin veriler özel nitelikli sayılır; bu da sıradan bir veride yeterli görülen tedbirlerin danışan verisinde yetersiz kabul edileceği anlamına gelir.
Yaygın bir yanılgı şudur: "Ben dosyada tanı yazmıyorum, sadece ad ve telefon tutuyorum." Bu savunma risklidir, çünkü bir kişinin psikolojik destek aldığı bilgisinin kendisi tek başına sağlık verisi niteliği taşır. Dolayısıyla danışan listenizdeki bir isim bile özel nitelikli veri işlediğinizi gösterir. Dosya bir bütün olduğu için pratikte en güvenli yol, tüm dosyayı en yüksek koruma standardıyla yönetmektir.
KVKK m.6, özel nitelikli verinin ya açık rıza ile ya da kanunda öngörülen bir istisna ile işlenebileceğini söyler. Sağlık verisine ilişkin kısım 7499 sayılı Kanun ile yeniden yazıldı (Resmî Gazete 12.03.2024, No: 32487; yürürlük 01.06.2024). Yeni düzenlemeyle sağlık verisi; tıbbi teşhis, tedavi ve bakım gibi amaçlarla, sır saklama yükümlülüğü altındaki kişilerce açık rıza aranmaksızın işlenebilir hale geldi. Serbest çalışan ruh sağlığı uzmanı meslek sırrı yükümlüsü olduğu için teorik olarak bu istisnaya dayanabilir.
Ne var ki istisna bir muafiyet değil, dar yorumlanan bir kapıdır ve ispat yükü veri sorumlusundadır, yani sizdedir. Üstelik ses ve görüntü kaydı gibi bazı işlemler bu istisnanın dışında kalır. Bu yüzden profesyonel pratikte güvenli yol her zaman ayrı aydınlatma artı ayrı açık rızadır. Kısaca: istisna kalkan, açık rıza zırhtır.
Detay: "Psikolog KVKK Aydınlatma Metni: Hazır Şablon ve Doğru Kullanım Rehberi" (iç link: /blog/psikolog-kvkk-aydinlatma-metni).
En sık yapılan hata, aydınlatma ile açık rızayı tek belgede birleştirmektir. Bunlar farklı hukuki niteliğe sahip iki ayrı yükümlülüktür. Aydınlatma (m.10), veri sorumlusunun tek taraflı bilgilendirme borcudur ve her durumda zorunludur; istisnaya dayansanız bile danışanı bilgilendirmek zorundasınız. Açık rıza ise danışanın özgür iradesidir ve KVKK m.3'e göre belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olmalıdır.
KVKK Kurulu'nun 18.02.2026 tarihli ve 2026/347 sayılı ilke kararı (Resmî Gazete 24.03.2026, No: 33203) bu ayrımı uygulama düzeyinde zorunlu kıldı: aydınlatma metni ile açık rıza metni ayrı başlıklar altında, ayrı ayrı düzenlenmelidir. İki metin aynı sayfada yer alsa dahi alt ve üst şeklinde ayrı konumlandırılmalı ve her biri için ayrı beyan alınmalıdır. Yani tek bir kutuda "Okudum, kabul ediyorum ve rıza veriyorum" demek artık hukuka aykırıdır. Aydınlatma için "okudum ve anladım", açık rıza için "açık rıza veriyorum" beyanı kullanılır.
Detay: "Psikolog Danışan Bilgilendirme ve Onam Formu: Örnek ve Yasal Gereklilikler" (iç link: /blog/psikolog-danisan-onam-formu).
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), Kurumun tuttuğu kamuya açık sicildir. KVKK Kurulu'nun 04.09.2025 tarihli ve 2025/1572 sayılı kararı ile (yürürlük 01.10.2025) muafiyet eşikleri güncellendi. Yeni kurala göre ana faaliyeti özel nitelikli veri işlemek olsa bile, yıllık çalışan sayısı 10'dan az VE yıllık mali bilanço toplamı 10 milyon TL'den az olan veri sorumluları VERBİS'e kayıttan muaftır. Bu iki eşik birlikte (kümülatif) değerlendirilir. Çoğu bağımsız çalışan ruh sağlığı uzmanı bu kapsama girer.
Buradaki en kritik nokta: VERBİS muafiyeti, KVKK'dan muafiyet değildir. Muafiyet yalnızca sicile kayıt zorunluluğunu kaldırır. Aydınlatma (m.10), açık rıza veya istisna dayanağı (m.5-6), veri güvenliği (m.12), saklama ve imha, veri ihlali bildirimi ve ilgili kişi başvurularını yanıtlama yükümlülükleri aynen devam eder.
KVKK m.12, her veri sorumlusunu uygun güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirler almaya zorunlu kılar; özel nitelikli veride bu yükümlülük 31.01.2018 tarihli, 2018/10 sayılı Kurul kararıyla ağırlaştırılmıştır. Teknik tedbirler arasında yetki matrisi, erişim logları, şifreleme, düzenli ve şifreli yedekleme ile güncel güvenlik yazılımı; idari tedbirler arasında gizlilik taahhütnamesi, çalışan eğitimi, veri işleme envanteri ve yazılı politika bulunur. Bu ikisi alternatif değil, birlikte uygulanır.
En çok ihmal edilen somut kural gönderimde ortaya çıkar: özel nitelikli veriyi (rapor, test sonucu, seans özeti) e-posta ile yollayacaksanız bu şifreli olarak ve KEP ya da kurumsal e-posta hesabı üzerinden yapılmalıdır. Şifresiz bir Gmail ya da WhatsApp üzerinden danışan dosyası göndermek KVKK Veri Güvenliği Rehberi'ne aykırıdır. Bir veri ihlali yaşarsanız durumu en geç 72 saat içinde Kurul'a bildirmeniz gerekir (Kurul'un 24.01.2019 tarihli, 2019/10 sayılı kararı).
Detay: "Psikolog Seans/Ses Kaydı KVKK'ya Uygun mu? Saklama, Rıza ve İmha Kuralları" (iç link: /blog/psikolog-ses-kaydi-kvkk).
Saklama ve imhanın çatı düzenlemesi, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'tir (Resmî Gazete 28.10.2017, No: 30224; yürürlük 01.01.2018). İki imha rejimi vardır: saklama-imha politikası yazma yükümlüsüyseniz periyodik imha yaparsınız ve bu periyot her hâlde 6 ayı geçemez; politika yükümlüsü değilseniz imha şartı doğduğunda 3 ay içinde imha edersiniz. Yaptığınız her silme, yok etme ve anonim hale getirme işlemini kayıt altına almanız ve bu kaydı en az 3 yıl saklamanız gerekir.
En çok karıştırılan konu danışan dosyasının saklama süresidir. KVKK, klinik kayıt için tek tip, sabit bir yasal süre vermez; süreyi m.4 ilkeleri (amaçla sınırlılık) çerçevesinde gerekçelendirip politikanıza yazarsınız. Sıkça duyulan "seans notlarını 7 yıl saklarım" ifadesi bir mevzuat hükmü değil, kurum politikasıdır. Buna karşılık mali kayıtlar VUK/TTK gereği 10 yıl, aile danışma merkezi dosyaları ise en az 5 yıl saklanır. Ölmüş kişiye ait sağlık verisi saklama süresi, Kişisel Sağlık Verileri Hakkında Yönetmelik'in 03.12.2025 tarihli değişikliğiyle 30 yıla çıkarılmıştır (güncel durumu teyit edin).
Detay: "Danışan Sağlık Verisi Ne Kadar Saklanır? Özel Nitelikli Veri ve İmha Politikası" (iç link: /blog/danisan-saglik-verisi-saklama-imha).
Online seansta veya yüz yüze görüşmede ses/görüntü kaydı yalnızca açık rıza ile alınabilir; danışanın haberi olmadan yapılan kayıt baştan hukuka aykırıdır ve bu işlem sır saklama istisnasına dayandırılamaz. Uzaktan Sağlık Hizmetlerinin Sunumu Hakkında Yönetmelik (Resmî Gazete 10.02.2022, No: 31746) m.12/3, hizmetlerin her iki tarafın açık rızası olmaksızın kayıt altına alınamayacağını; m.12/4 ise rızayla alınan kaydın oniki aydan fazla saklanamayacağını düzenler. Doğru çerçeve şudur: her iki tarafın açık rızası artı en fazla 12 ay saklama. Online platform seçerken sunucunun yurt dışında olup olmadığını da değerlendirin; yurt dışı sunucu, KVKK m.9 kapsamında yurt dışına aktarım kurallarını devreye sokar.
Detay: "Online Seans Nasıl Yapılır? Psikologlar İçin Adım Adım Kurulum ve KVKK Rehberi" (iç link: /blog/online-seans-nasil-yapilir).
Danışan verisi neden özel nitelikli sayılır? Çünkü KVKK m.6/1, sağlığa ilişkin verileri özel nitelikli kabul eder. Bir kişinin psikolojik destek aldığı bilgisi tek başına sağlık verisidir; bu nedenle seans notu, tanı ve test sonuçları en yüksek koruma rejimine tabidir.
Sır saklama yükümlüsüysem açık rıza almasam olur mu? 7499 sayılı Kanun'la istisna mümkün hale geldi, ama bu bir muafiyet değildir ve ispat yükü sizdedir. Güvenli yol, her zaman ayrı aydınlatma ve ayrı açık rıza almaktır. Ayrıca ses/görüntü kaydı istisnaya dayanamaz, ayrı açık rıza şarttır.
Aydınlatma ve açık rızayı tek formda birleştirebilir miyim? Hayır. 2026/347 sayılı ilke kararı gereği aydınlatma metni ile açık rıza metni ayrı başlıklar altında, ayrı ayrı düzenlenmeli ve her biri için ayrı beyan alınmalıdır. Tek kutuda birleştirme idari para cezası riski doğurur.
VERBİS'e kayıt olmak zorunda mıyım? 10'dan az çalışanı VE 10 milyon TL'den az yıllık bilançosu olan veri sorumluları VERBİS'ten muaftır (2025/1572 sayılı karar). Ancak bu muafiyet yalnızca sicile kayıt yükümlülüğünü kaldırır; diğer tüm KVKK yükümlülükleri sürer.
Danışan dosyasını ne kadar süre saklamalıyım? KVKK klinik kayıt için tek tip süre vermez; süreyi amaçla sınırlılık ilkesiyle gerekçelendirip saklama-imha politikanıza yazarsınız. Mali kayıtlar için VUK/TTK 10 yıl, aile danışma merkezi dosyaları için en az 5 yıl gibi somut süreler ayrıca geçerlidir.
Bütün bu süreci tek tek şablonlarla kurmak istiyorsanız, "KVKK ve Danışan Verisi" e-kitabını indirin. İçinde 2026/347 ilke kararına uygun ayrı aydınlatma ve açık rıza metni iskeletleri, veri güvenliği kontrol listesi ve saklama-imha politikası taslağı yer alır. E-kitabı indirmek için e-posta adresinizi bırakmanız yeterli.
Şablonları indirdikten sonra asıl iş, danışan verisini güvenli ve KVKK-uyumlu biçimde yönetmektir. Clinisyn, danışan kayıtlarını şifreli saklama, erişim kontrolü ve KVKK-uyumlu onam akışıyla tek panelden yönetmenizi sağlar. Clinisyn'i 7 gün ücretsiz deneyin; kart bilgisi istenmez.
Ücretsiz e-kitap
KVKK ve Danışan Verisi
Bu konunun tamamını sıralı kontrol listesiyle e-postanıza gönderelim.
