Kurumsal yapılarda kriz denildiğinde akla ilk olarak finansal dalgalanmalar veya operasyonel aksaklıklar gelse de, bir şirketin varlığını en çok tehdit eden unsurlar hukuki krizlerdir. Beklenmedik bir vergi incelemesi, kolluk tarafından gerçekleştirilen bir arama ve el koyma işlemi, ani bir iş kazası veya geniş çaplı bir siber saldırı; sadece mali bir yük değil, telafisi imkansız bir itibar kaybı ve hürriyeti bağlayıcı ceza riski doğurur. Krizin ilk anlarında yapılan hatalar, hak kayıplarına zemin hazırlar. Bu nedenle, kriz yönetimi bir “refleks” değil, önceden tasarlanmış teknik bir “protokol” olmalıdır. 1. Adli ve İdari Denetimlerde İlk Müdahale: Tutanakların Bağlayıcılığı Şirket kapısına bir inceleme elemanı veya kolluk görevlisi geldiğinde yaşanan panik, genellikle “her istenileni verme” veya “her soruya alelacele cevap verme” hatasını beraberinde getirir. Oysa Ceza Muhakemesi Kanunu (CMK) ve Vergi Usul Kanunu (VUK) uyarınca, denetim veya arama sırasında tutulan tutanaklar, yargılamada en önemli deliller arasındadır. Güncel yargı pratiğinde, tutanak altına alınan beyanların sonradan “heyecanla/yanlışlıkla söylenmişti” denilerek geri alınması, çoğu zaman sonuç vermeyecektir. Bu nedenle, profesyonel bir hukukçu nezaret etmeden hiçbir tutanak imzalanmamalıdır. İnceleme elemanına teslim edilen her belgenin dökümü yapılmalı ve ticari sır niteliğindeki verilerin korunması için usuli güvenceler derhal devreye sokulmalıdır. 2. İş Kazaları ve Olağanüstü Olaylarda Delil Tespiti Stratejisi İş kazası meydana geldiğinde şirket yönetiminin önceliği (insani yardımdan sonra) olay yerinin muhafazası olmalıdır. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu kapsamında yürütülen soruşturmalarda, bilirkişi incelemesi genellikle olaydan günler sonra yapılmaktadır. Bu süre zarfında olay yerinin değişmiş olması, “kusur” tayininde işveren aleyhine bir tablo yaratabilir. Hukuki kriz yönetiminin bir parçası olarak, vakit kaybetmeksizin mahkeme kanalıyla tespit yaptırılmalı veya noter kanalıyla durum tespiti yaptırılmalıdır. 2026 yılı Yargıtay içtihatları, işverenin “basiretli davranışını” sadece kaza anındaki önlemlerle değil, kaza sonrasındaki şeffaf ve delil odaklı tutumuyla da ölçmektedir. Olay anındaki dijital kayıtların, kamera görüntülerinin ve diğer maddi delillerin hukuki denetimden geçirilerek koruma altına alınması, haksız rücu davalarına karşı en güçlü kalkandır. 3. Siber Saldırılar ve Bilişim Suçlarında Adli Bilişim Protokolü Günümüzde şirketlerin karşılaştığı en sinsi kriz, bilişim sistemlerine yönelik saldırılardır. Veri sızıntısı veya sistem kilitlenmesi (ransomware) durumunda, teknik ekip sorunu çözmeye odaklanırken, hukuki ekip “delil sıhhatini” korumalıdır. CMK uyarınca, dijital verilerin imajı (kopyası) alınırken hash değerlerinin (dijital mühür) çıkarılmaması, ilgili verinin mahkemede “delil” niteliğini zayıflatacak veya ortadan kaldıracaktır. Ayrıca, 6698 sayılı KVKK uyarınca veri ihlalinin öğrenilmesinden itibaren başlayan 72 saatlik bildirim süresi, krizin hukuki ayağının en kritik aşamasıdır. Bu sürenin yönetilememesi, şirketin sadece siber saldırganın mağduru değil, aynı zamanda idarenin ağır para cezalarının muhatabı olmasına yol açar. 4. Yönetici Beyanları ve İtibar Yönetiminin Hukuki Sınırları Kriz anında basına veya çalışanlara yapılan açıklamalar, çoğu zaman farkında olunmadan  hak kaybına neden olacak hukuki sonuçlar doğurur. Kriz yönetiminde “İletişim” ve “Hukuk” departmanları senkronize çalışmalıdır. 2026 yılı kurumsal yönetim standartları, kriz anındaki sözcülerin hukuki bir metne sadık kalmasını, şirketin savunma hakkının korunması açısından zorunlu kılmıştır. Sonuç Hukuki krizler, sadece hukuk bilerek değil, “kriz psikolojisini” ve “yargılama stratejisini” birleştirerek yönetilir. Kriz kapıyı çaldığında bir “planı” olmayan kurumlar, haklı oldukları davalarda dahi usuli hatalar nedeniyle ağır bedeller ödemektedir. Önleyici hukuk, sadece sözleşme yazmak değil; bir kriz anında hangi dosyanın açılacağını, hangi sözün söyleneceğini ve hangi delilin nasıl korunacağını önceden tasarlamaktır. Şirketinizin geleceği, en zor anında göstereceği hukuki reaksiyonun profesyonelliği ile ölçülür.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) Türk hukuk sistemine dahil olmasının üzerinden geçen süre, veri sorumlusu olan şirketlerde bir “alışkanlık” yaratmış olsa da, bu durum beraberinde tehlikeli bir işletme körlüğünü de getirmiştir. Kişisel Verileri Koruma Kurulu’nun 2026 yılı itibarıyla sıkılaşan denetim mekanizmaları ve güncellenen “Veri Güvenliği Rehberi” ışığında, uyum sürecinin sadece statik bir dokümantasyondan ibaret olmadığı, yaşayan bir hukuk disiplini olduğu gerçeğiyle yüzleşmek zorunludur. Uygulamada, şirketlerin idari para cezaları ve tazminat yükümlülükleriyle karşı karşıya kalmasına neden olan en kritik 5 hatayı teknik boyutlarıyla incelemek, önleyici hukuk perspektifi açısından zaruridir. 1. “Kopyala-Yapıştır” Dokümantasyon ve Statik Aydınlatma Metinleri Şirketlerin düştüğü en yaygın ve en maliyetli hata, KVKK uyumunu sadece web sitesinin altına yerleştirilen genel geçer bir “Aydınlatma Metni”nden ibaret görmektir. Başka bir şirketten veya internetten kopyalanan metinler, veri sorumlusunun fiili veri işleme süreçleri ile örtüşmediği anda, kanunun 10. maddesinde düzenlenen aydınlatma yükümlülüğü hiç yerine getirilmemiş sayılmaktadır. Kurul’un 2026 yılı denetim pratiğinde, metindeki “verileriniz üçüncü kişilere aktarılabilir” gibi muğlak ifadeler yerine; hangi verinin, hangi hukuki sebebe dayalı olarak, hangi somut amaçla ve hangi alıcı gruplarına aktarıldığının net bir şekilde belirtilmesi aranmaktadır. Şirket özeline indirgenmemiş her metin, bir denetim anında “şekli uyum var ama maddi uyum yok” tespitiyle ağır yaptırımlara davetiye çıkarmaktadır. 2. Veri Envanterinin “Arşivlik Belge” Olarak Görülmesi ve Güncellenmemesi Kişisel Veri İşleme Envanteri, KVKK uyumunun anayasasıdır; ancak bu anayasanın yaşayan bir organizma gibi güncel tutulması gerekir. Şirketler genellikle bir kez envanter hazırlatıp VERBİS’e giriş yaptıktan sonra bu süreci tamamlanmış kabul etmektedir. Oysa şirkete alınan yeni bir yazılım, pazarlama departmanının başlattığı yeni bir sadakat programı veya insan kaynakları süreçlerindeki bir değişiklik, envanterin derhal revize edilmesini gerektirir. 2026 yılı yargılamalarında, mahkemeler ve Kurul, envanter ile fiili durum arasındaki uyumsuzluğu “veri sorumlusunun dürüstlük kuralına aykırı davranışı” olarak nitelemekte ve bu durum veri ihlali riskini katlamaktadır. 3. Açık Rıza Müessesesinin Yanlış ve Sınırsız Kullanımı Hukuk dünyasında en sık rastlanan teknik hata, her veri işleme faaliyeti için “Açık Rıza” alınmaya çalışılmasıdır. Kanunun 5. maddesinde sayılan diğer hukuki sebeplerden (sözleşmenin ifası, kanuni zorunluluk, meşru menfaat vb.) biri varken açık rıza talep edilmesi, hukuk tekniği açısından bir “hatalı niteleme”dir. Açık rızanın geri alınabilir (cayılabilir) doğası gereği, asıl olarak sözleşmenin ifası için gerekli olan bir verinin “açık rıza” torbasına konulması, ilgili kişinin rızasını geri çekmesi durumunda şirketi operasyonel bir çıkmaza sokmaktadır. Kurul, “battaniye rıza” olarak adlandırılan ve tüm veri işleme faaliyetlerini tek bir onaya bağlayan uygulamaları geçersiz saymakta; rızanın “belirli bir konuya özgü” ve “özgür iradeyle” verilmiş olması şartını 2026 denetimlerinde temel kriter olarak belirlemektedir. 4. Teknik ve İdari Tedbirlerin IT Departmanına “Hale” Edilmesi Şirket yönetimleri, KVKK’yı bir “bilişim güvenliği” meselesi olarak görme eğilimindedir. Siber güvenlik önlemleri kuşkusuz hayati öneme sahiptir; ancak veri güvenliği sadece Firewall veya Antivirüs yazılımlarıyla sağlanamaz. İdari tedbirler olarak adlandırılan; personel eğitimleri, disiplin yönetmelikleri, veri gizliliği taahhütnameleri ve veri imha politikaları işletilmediği sürece, teknik tedbirler tek başına koruma sağlamaz. Örneğin, en üst düzey şifreleme yöntemini kullanan bir şirkette, personelin “sosyal mühendislik” saldırısına maruz kalarak şifresini kaptırması bir “idari tedbir” zafiyetidir. Kurul’un güncel ilke kararları, veri ihlallerinde teknik yeterliliğe baksa da, asıl olarak veri sorumlusunun “farkındalık ve iç denetim” mekanizmalarını sorgulamaktadır. 5. Veri Saklama ve İmha Sürelerinin Yönetilememesi KVKK’nın ruhu, “gereksiz veri tutmama” üzerine kuruludur. Şirketler, ileride lazım olabileceği düşüncesiyle (veya alışkanlık gereği) saklama süresi dolan verileri “pasifize” etmekle yetinmekte, ancak tam bir imha süreci yürütmemektedir. Periyodik imha süreçlerini (6 aylık veya yıllık) kağıt üzerinde bırakan şirketler, bir siber saldırı durumunda aslında ellerinde bulunmaması gereken verilerin sızması nedeniyle katlanan tazminatlarla karşılaşmaktadır. 2026 yılı itibarıyla, “kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” süreci, denetimlerin ilk safhasını oluşturmaktadır. Sonuç KVKK uyumu, bir varış noktası değil, bir yolculuktur. Şekli evraklarla sağlanan uyum illüzyonu, ilk ciddi veri ihlalinde veya Kurul denetiminde yerle bir olmaktadır. Şirketlerin kurumsal itibarını ve finansal varlığını korumasının tek yolu; veriyi bir yük olarak değil, hukuki bir emanet olarak gören “önleyici hukuk” stratejisini kurum kültürüne entegre etmektir.

1. Sözleşme Tipolojisinin Revizyonu Standart metinler, değişen piyasa koşulları ve yargı içtihatları karşısında koruyucu vasfını yitirir. Özellikle Türk Borçlar Kanunu m. 20-25 kapsamındaki “Genel İşlem Koşulları” denetimi,  sözleşmeleri kısmen geçersiz kılabilmektedir. Pratik Uygulama Önerisi: Şirketinizin kullandığı tüm matbu sözleşmeleri (satış, hizmet, gizlilik vb.) kategorize edin. Her sözleşme tipine, uyuşmazlık halinde hakimin sözleşmeye müdahalesini sınırlayacak “Özel Şartlar” ve “Delil Sözleşmesi” maddeleri ekleyerek metinleri kişiselleştirin. 2. Temsil ve İlzam Yetkilerinin Sınırlandırılması Türk Ticaret Kanunu m. 371/7 uyarınca, şirket yetkililerinin yetkilerinin sadece “çift imza” veya “konu bazlı” olarak sınırlandırılması, ticaret siciline tescil ve ilan edilmediği sürece iyi niyetli üçüncü kişilere karşı ileri sürülemez. Pratik Uygulama Önerisi: Şirketin imza sirkülerini kontrol edin. Sadece tutar bazlı değil, işlem türü bazlı (Örn: Taşınmaz devri, kefalet, banka işlemleri) sınırlamalar içeren bir “İç Yönerge” hazırlayın ve bu yönergeyi ticaret siciline tescil ettirerek üçüncü kişilerin “iyi niyet” iddiasını hukuken bertaraf edin. 3. İş Sözleşmelerinde Rekabet Yasağı Denetimi Yargıtay, süresi 2 yılı aşan veya coğrafi sınırı tüm Türkiye’yi kapsayan rekabet yasaklarını “çalışma hürriyetine aykırılık” nedeniyle geçersiz saymaktadır. Pratik Uygulama Önerisi: Kritik personelin (Ar-Ge, Portföy Yöneticisi vb.) sözleşmelerindeki rekabet yasağı maddelerini; personelin erişebildiği veri alanı ve şirketin fiili faaliyet gösterdiği iller ile sınırlandırarak makul bir seviyeye çekin. Mahkemece geçersiz sayılacak bir madde yerine,  uygulanabilirliği olan “daraltılmış” bir madde her zaman daha koruyucudur. 4. Ücret ve Yan Hakların Mevzuat Uyumu Prim, ikramiye ve yemek kartı gibi yan hakların “ücret” niteliği, kıdem tazminatı hesabında “giydirilmiş ücret” tespitinde nazara alınmalarını gerektirir. Hatalı hesaplama, şirketi iş akdinin feshinden yıllar sonra bile yüksek tutarlı dava (fark tazminat) riskleriyle karşı karşıya bırakır. Pratik Uygulama Önerisi: Bordrolama sisteminizi hukukçu ve mali müşavir eşliğinde denetleyin. Performans primlerinin “süreklilik” arz edip etmediğini netleştirin, geçmişten gelen veya yeni eklenen kalemlerin bordrodaki hukuki nitelendirmesini mevzuata ve içtihata göre revize edin. 5. KVKK: Envanter ve Fiili Durum Senkronizasyonu Kişisel Verileri Koruma Kurulu, 2026 denetimlerinde artık sadece VERBİS kaydına değil, “veri imha politikalarının” fiilen uygulanıp uygulanmadığına bakmaktadır. Pratik Uygulama Önerisi: Şirket içindeki veri akış şemasını (HR, Pazarlama, IT) yeniden çizin. Veri saklama süreleri dolan kayıtların (Örn: Eski iş başvuruları) otomatik imhası için bir protokol oluşturun ve aydınlatma metinlerini “genel” olmaktan çıkarıp “katmanlı aydınlatma” modeline dönüştürün. 6. Disiplin Yönetmeliği ve Fesih Prosedürü İş Mahkemeleri, işveren tarafından iş akdinin haklı nedenle feshinde, feshe neden olan olay ile fesih arasındaki süre ve işçinin savunma hakkının usule uygun kullandırılıp kullandırılmadığı gibi çeşitli unsurları denetler. Pratik Uygulama Önerisi: Şirket içinde “Disiplin Kurulu” mekanizması oluşturun. Herhangi bir fesih kararı alınmadan önce, tüm delillerin toplandığı ve savunmanın usulüne uygun alındığı bir “Disiplin Dosyası” tekemmül ettirilmesini zorunlu kılan bir iç yönetmelik yayımlayın. 7. Fikri ve Sınai Hakların Envanterlenmesi Çalışanların mesai saatleri içinde yaptığı buluşlar ve tasarımlar üzerindeki hak sahipliği (SMK m. 113), sözleşmede özel bir hüküm yoksa karmaşık uyuşmazlıklara gebedir. Pratik Uygulama Önerisi: Tüm marka ve patent tescillerinizi yıllık bir takvime bağlayın. İş sözleşmelerine “İşçi Buluşları ve Tasarımları”na dair özel bir ek protokol ekleyerek, hak devri süreçlerini başlangıçta netleştirin. 8. Yönetim Kurulu Kararlarının Geçerlilik Denetimi Türk Ticaret Kanunu m. 391 uyarınca, emredici hükümlere aykırı kararlar batıldır. Batıl bir karara dayanarak yapılan işlemler (Örn: Hatalı sermaye artırımı), şirketi geri dönülmesi zor mali çıkmazlara sokabilir. Pratik Uygulama Önerisi: Stratejik öneme sahip yönetim kurulu kararlarını (birleşme, bölünme, önemli mal varlığı satışı) almadan önce, kararın hukuki geçerlilik şartlarına (nisaplar, içerik yasakları) dair bir “Hukuki ve Mali Uygunluk Görüşleri” alın. 9. Amme Alacaklarında Şahsi Sorumluluk Yönetimi 6183 S.K. uyarınca, şirketin vergi borcu nedeniyle yöneticinin şahsi banka hesaplarına konulacak bir bloke, sadece maddi değil, ciddi bir itibar kaybıdır. Pratik Uygulama Önerisi: Şirketin vergi ve SGK borçlarının ödeme takvimini “Kanuni Temsilcinin Sorumluluğu” perspektifiyle periyodik olarak raporlayın. 10. Tedarik Zinciri ve Müteselsil Sorumluluk Alt işveren çalışanının iş kazası geçirmesi veya ücretinin ödenmemesi durumunda asıl işveren, kanunen doğrudan sorumlu tutulmaktadır. Pratik Uygulama Önerisi: Tedarikçilerinizle yaptığınız sözleşmelere, onların çalışanlarının SGK  primleri, ücret ve tazminat ödemelerini ispatlayan belgeleri her ay sunma zorunluluğu getirin. Bu belgeler sunulmadan hakediş ödemesi yapılmamasını içeren “Hakediş Bloke” maddesiyle müteselsil sorumluluk riskinizi teminat altına alın. İş sağlığı ve güvenliği hükümleri ve olası iş kazası tazminat riskleri hakkında gerekli güvencelere sözleşmelerde yer verin.

Çalışma hayatının dinamizmi, özellikle “Beyaz Yaka” olarak adlandırılan yönetici ve uzman kadroların iş sözleşmelerini, klasik işçi-işveren ilişkisinin ötesine taşıyarak Borçlar Hukuku genel hükümleri ile İş Hukuku prensiplerinin kesiştiği hibrit bir alanda toplamıştır. Yargıtay 9. Hukuk Dairesi’nin 2026 yılı itibarıyla yerleşik hale gelen “üst düzey yönetici” kriterleri ışığında; bir iş sözleşmenin sadece kanun maddelerini tekrar etmesi yeterli değildir. Aksine, somut olayın özelliklerine göre terzi usulü dikilmiş bir hukuki zırh oluşturulması elzemdir. 1. Üst Düzey Yöneticilik Sıfatı ve Fazla Çalışma Alacağı Denklemi Beyaz yakalı çalışanlarla ilgili uyuşmazlıkların omurgasını, fazla çalışma ücreti talepleri oluşturmaktadır. Yargıtay’ın son dönem içtihatları, unvandan ziyade “fiili yetki ve özerklik” kriterini esas almaktadır. Eğer çalışan; mesai saatlerini bizzat belirleyebiliyor, kendisine talimat verecek bir üst amiri bulunmuyor ve şirketin tümünü veya önemli bir bölümünü sevk ve idare ediyorsa, fazla mesai ücretine hak kazanamayacağı kabul edilmektedir. Ancak burada kritik olan husus, bu özerkliğin sözleşmede nasıl tanımlandığıdır. Sadece “fazla mesai ücrete dahildir” ibaresiyle yetinmek yerine; yöneticinin karar alma süreçlerindeki bağımsızlığı, bütçe yönetimi yetkisi ve hiyerarşik konumu sözleşmede somutlaştırılmalıdır. Aksi halde, “Müdür” unvanı taşısa dahi parmak iziyle mesai takibi yapılan veya her adımı genel müdür onayına tabi olan bir çalışanın, yıllar sonra yüksek tutarlı fazla mesai alacaklarıyla şirketi karşı karşıya bırakması kaçınılmazdır. 2. Rekabet Yasağının Geçerlilik Şartları ve Caydırıcılık Dengesi Beyaz yakalıların şirketin ticari sırlarına, müşteri portföyüne ve know-how bilgilerine erişimi, “Rekabet Yasağı” maddelerini hayati kılmaktadır. Türk Borçlar Kanunu m. 444 ve devamı uyarınca düzenlenen bu yasaklarda Yargıtay, “çalışma hürriyetinin korunması” ile “işverenin meşru menfaati” arasında hassas bir denge aramaktadır. 2026 yılı güncel kararlarında; yer, zaman ve işin türü bakımından makul sınırları aşan (Örn: Tüm Türkiye’yi kapsayan veya 2 yılı aşan) rekabet yasakları doğrudan geçersiz sayılmakta veya hakim tarafından ciddi oranda tenkis edilmektedir. Özellikle “Cezai Şart” miktarının, çalışanın ekonomik geleceğini mahvedecek derecede fahiş belirlenmesi, maddenin işlerliğini yitirmesine neden olmaktadır. Bu noktada, her beyaz yakalı için aynı maktu metni kullanmak yerine, personelin nüfuz edebileceği pazar payı ve coğrafi bölge bazlı “daraltılmış ve somutlaştırılmış” yasaklar kurgulanmalıdır. 3. Gizlilik Yükümlülüğü ve Dijital Sadakat Borcu Pandemi sonrası kalıcı hale gelen hibrit çalışma modelleri, sadakat borcunun sınırlarını “şirket yerleşkesi” dışına çıkarmıştır. Yargıtay, işçinin iş görme borcunun yanı sıra işverenin menfaatlerini koruma yükümlülüğünü (sadakat borcu) dijital verilerin korunmasıyla doğrudan ilişkilendirmektedir. Sözleşmelere eklenen “Kişisel Verilerin Korunması ve Bilişim Güvenliği Protokolü”, sadece bir formalite değil; olası bir veri sızıntısında iş akdinin haklı nedenle feshi (işveren tarafından iş sözleşmesinin işçiye tazminat ödenmeksizin sonra erdirilmesi) için en güçlü temeldir. 4. Eğitim Giderleri ve Bağlılık Şartı (Cezai Şart) Şirketlerin, beyaz yakalı çalışanlarının uzmanlaşması için yaptığı yüksek maliyetli eğitim yatırımları (MBA, sertifika programları vb.), genellikle belirli bir süre şirkette çalışma taahhüdü ile teminat altına alınır. Yargıtay’ın bu konudaki güncel yaklaşımı “karşılıklılık” ve “fayda” prensibidir. Eğer çalışan eğitimden reel bir mesleki gelişim sağlamışsa ve sözleşmede öngörülen çalışma süresi eğitimin maliyetiyle orantılıysa, erken istifa durumunda eğitim giderinin iadesi ve buna bağlı cezai şart hukuken korunmaktadır. Ancak eğitimin maliyetinin belgelendirilemediği veya “makul süre” sınırının aşıldığı durumlarda bu maddeler ölü doğmuş kabul edilmektedir. Sonuç ve Stratejik Öneri Beyaz yaka iş sözleşmeleri, şirketlerin gelecekteki “tazminat yükü” veya “know-how kaybı” risklerinin yönetildiği birer strateji belgesidir. İnternetten edinilen standart sözleşme şablonları, yüksek yargının her geçen gün daha da “korumacı” hale gelen denetim süzgecinden geçememektedir. Şirketinizin operasyonel güvenliği için, sözleşmelerin her bir yönetsel pozisyona özgü, güncel içtihatların ışığında ve önleyici hukuk perspektifiyle revize edilmesi bir tercih değil, basiretli bir yönetim anlayışının gereğidir.