Ticari ve Hukuki Danışmanlık

KVKK Rehberi: Şirketlerin Kişisel Verileri Koruma Kanunu’na Uyum Süreci

Veri güvenliği ve kilit

KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) günümüzde şirketler için yalnızca “hukuk biriminin alanı” değil; doğrudan kurumsal risk yönetimi, itibar yönetimi ve sözleşmesel sorumluluk konusudur. Çünkü kişisel veri işleyen her işletme; müşterilerinin, çalışanlarının, ziyaretçilerinin ve tedarikçilerinin verilerini işlerken belirli kurallara uymak zorundadır.

Uygulamada KVKK’nın en kritik tarafı şudur: Kurul (KVKK Kurumu) denetimlerinde “doküman var mı?” sorusundan daha önemlisi, uyumun fiilen işletilip işletilmediğidir. Yani sadece metin hazırlamak değil; veri akışını yönetmek, teknik ve idari tedbirleri almak ve ihlal senaryolarını önceden planlamak gerekir.

Bu makalede; şirketlerin KVKK’ya uyum sürecini adım adım, uygulanabilir bir sistem olarak anlatıyoruz.

KVKK Uyum Süreci Neden Stratejik Bir Konudur?

KVKK’ya uyumsuzluk sadece para cezası riski doğurmaz. Aynı zamanda:

  • müşteri güveninde sarsılma
  • marka itibar kaybı
  • iş ortakları ile sözleşme fesihleri / tazminat
  • ihale süreçlerinde elenme riski
  • çalışan uyuşmazlıklarında delil ve disiplin süreçlerinin bozulması

gibi çok katmanlı sonuçlar yaratır.

Özellikle e-ticaret, sağlık, eğitim, finans, danışmanlık ve hizmet sektöründe KVKK artık “olsa iyi olur” değil, işin devamlılığının bir parçasıdır.

KVKK Kapsamında Şirketler Hangi Verileri İşler?

Şirketler çoğunlukla farkında olmadan veri işler. En yaygın veri grupları:

  • Çalışan verileri

Özlük, SGK, bordro, performans, izin kayıtları.

  • Müşteri / potansiyel müşteri verileri

Ad, soyad, telefon, e-posta, adres, satın alma geçmişi.

  • Tedarikçi / iş ortağı verileri

Sözleşme iletişim kişileri, fatura süreçleri.

  • Ziyaretçi verileri

Kamera, giriş çıkış kayıtları.

  • Dijital sistem verileri

Log, IP adresi, kullanıcı hareketleri, çerezler.

KVKK Uyumunda Temel Yaklaşım: “Veri Yaşam Döngüsü”

KVKK uyumunu doğru kurmak için veriyi bir “varlık” gibi ele almak gerekir. Veri yaşam döngüsü şöyledir:

  • Veri toplama
  • Veri işleme / kullanma
  • Veri saklama
  • Veri aktarımı
  • Veri imhası

Şirketler çoğu zaman 1–2’yi yapar ama 4–5’i unuturlar. Asıl risk bu iki aşamada büyür.

Kişisel Veri Envanteri Hazırlanması (Temel Omurga)

KVKK uyumunun omurgası kişisel veri envanteridir. Envanter; şirketin veri haritasıdır.

Bir envanterde mutlaka şu unsurlar olmalıdır:

  • Veri konusu kişi grubu (çalışan/müşteri/ziyaretçi)
  • Veri kategorileri
  • İşleme amacı
  • Hukuki sebep (KVKK m.5/m.6 kapsamında)
  • Saklama süresi
  • Aktarım yapılan alıcı grupları (kargo, muhasebe, yazılım vb.)
  • Teknik tedbirler / idari tedbirler
  • İşlenen sistem ve ortamlar (CRM, ERP, muhasebe yazılımı vb.)

Envantersiz KVKK uyumu olmaz. Envanter yoksa aydınlatma metni de yanlış olur, VERBİS kaydı da yanlış olur.

Aydınlatma Metinleri ve Açık Rıza Süreçleri

Uygulamada en yaygın hata: “Aydınlatma metni = açık rıza” zannedilmesidir.

Aydınlatma Metni

Şirketin kişisel veri işlerken ilgili kişiye bilgi vermesidir. Neredeyse her senaryoda gerekir.

Açık Rıza

Sadece belirli senaryolarda gerekir. Örneğin:

  • pazarlama amaçlı SMS/e-posta
  • bazı özel nitelikli veri işlemleri
  • işleme şartı bulunmayan alanlar

Önemli not: Açık rıza “zorla alınamaz”. Hizmetin şartı haline getirildiğinde geçersizlik riski doğar.

VERBİS Kaydı ve Veri Sorumluları Sicili Yönetimi

VERBİS konusu iki aşamalıdır:

  • Şirketin VERBİS’e kayıt yükümlülüğü var mı?
  • Varsa kayıt doğru ve envanterle uyumlu mu?

Yanlış VERBİS kaydı:

  • gereksiz risk doğurur,
  • “uyumluyuz” derken uyumsuzluk görüntüsü verir.

Bu nedenle kayıt kararı ve kayıt içeriği profesyonel değerlendirilmelidir.

Saklama ve İmha Politikası (Unutulan Risk Alanı)

KVKK bakımından şirketlerin en güçlü savunması; saklama süresi, imha yöntemi ve periyodik imhayı içeren saklama ve imha politikasıdır.

Şu hatalar çok yaygındır:

  • “Süresiz saklıyoruz.”
  • “Bir gün lazım olur.”
  • “Bulutta kalsın.”

KVKK perspektifinde “süresiz saklama” = yüksek ihlal riski.

Teknik ve İdari Tedbirlerin Fiilen İşletilmesi

Kurul kararlarında çok sık vurgulanan konu: “Tedbirlerin sadece kağıt üzerinde kalmaması”.

Minimum idari tedbirler

  • Yetki matrisi
  • KVKK eğitimleri
  • Gizlilik taahhütnameleri
  • Politika ve prosedürler
  • Tedarikçi sözleşme ekleri (veri işleyen hükümleri)

Minimum teknik tedbirler

  • güçlü parola + MFA
  • rol bazlı erişim
  • log kayıtlarının tutulması
  • yedekleme
  • veri maskeleme/şifreleme
  • sızma testi (uygun ölçekle)

Veri İhlali Süreci ve Kriz Yönetimi

Bir veri ihlalinde şirketler genelde şu hatayı yapar: “Önce sessiz kalalım.”

Oysa KVKK uyumlu şirketler ihlal süreçlerini önceden planlar:

  • ihlal tespiti
  • olay müdahale ekibi
  • etki analizi
  • bildirim (gerekli ise)
  • iyileştirici aksiyonlar

KVKK kriz anında “ne yaptığını bilen şirket” olmak, yaptırım riskini dramatik şekilde azaltır.

Sıkça Sorulan Sorular

  • KVKK uyumu için sadece metin hazırlamak yeterli mi?

Hayır. Envanter + tedbir + süreç işletimi şarttır.

  • KVKK ihlali olursa şirket kapatılır mı?

Hayır, ancak ciddi para cezası ve itibar kaybı olur.

  • Kameralar KVKK’ya tabi mi?

Evet. Aydınlatma + saklama süresi + erişim kontrolü gerekir.

  • Çerez politikası zorunlu mu?

Evet. Web sitelerinde çerez uyumu kritik risk alanıdır.

  • KVKK uyumunu kim yürütmeli?

Hukuk + IT + İK koordinasyonu ile yönetilmelidir.

Görsel: Wikimedia, CC BY 2.0

Merak Ettiklerin ve Detaylı Bilgi İçin
Bizimle İletişime Geç!