Müşterinizin adını, telefonunu, e-posta adresini veya TC kimlik numarasını kaydediyorsanız, kişisel veri işliyorsunuz demektir — ve KVKK sizi doğrudan ilgilendiriyor. Kişisel Verilerin Korunması Kanunu (6698 sayılı kanun), Türkiye'deki her ticari işletmenin uyması gereken bir yasal çerçevedir. İşletme büyüklüğü fark etmez: 3 kişilik bir muhasebe bürosu da, 3.000 kişilik bir fabrika da aynı kanun kapsamında. Bu rehberde, KVKK'nın ne olduğunu, şirketlerin hangi yükümlülüklere sahip olduğunu ve uyumluluk sürecini adım adım anlatıyoruz. KVKK Nedir? Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016'da yürürlüğe girmiş ve kişisel verilerin işlenmesi, saklanması, paylaşılması ve korunmasına ilişkin kuralları belirleyen temel kanundur. Avrupa Birliği'nin GDPR'ına (General Data Protection Regulation) paralel bir yapıda tasarlanmıştır. KVKK'nın temel amacı: bireylerin kişisel verilerinin hukuka aykırı olarak işlenmesini önlemek ve kişisel verilere erişimi düzenlemek. Kişisel Veri Nedir? Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Örnekler: ad-soyad, TC kimlik numarası, telefon numarası, e-posta adresi, adres, IP adresi, konum verisi, fotoğraf, parmak izi, sağlık bilgileri, din, siyasi görüş, ceza mahkumiyeti bilgileri. Özel nitelikli kişisel veriler: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık kıyafet, dernek/vakıf/sendika üyeliği, sağlık verileri, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik ve genetik veriler. Bu verilerin işlenmesi için daha sıkı kurallar geçerlidir. Şirketlerin KVKK Kapsamındaki Yükümlülükleri 1. Aydınlatma Yükümlülüğü Kişisel veri toplamadan önce, veri sahibini (müşteri, çalışan, ziyaretçi) bilgilendirmeniz gerekir. Aydınlatma metninde şunlar yer almalı: veri sorumlusunun kimliği, hangi verilerin toplandığı, verilerin hangi amaçla işlendiği, verilerin kimlere aktarılabileceği, veri toplama yöntemi ve hukuki sebebi, veri sahibinin hakları. Aydınlatma metni web sitenizde, iş başvuru formlarında, müşteri sözleşmelerinde ve fiziksel mekanlarda (kamera ile izleme yapıyorsanız) görünür olmalıdır. 2. Açık Rıza Kanunda belirtilen istisnalar dışında, kişisel verilerin işlenmesi için veri sahibinin açık rızası gerekir. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olmalıdır. Önemli: açık rıza her durumda gerekli değil. Kanun, sözleşmenin ifası, yasal yükümlülük, meşru menfaat gibi durumları istisna olarak tanımlar. Ama hangi durumun hangi hukuki sebebe dayandığını doğru belirlemek kritik önem taşır. 3. VERBİS Kaydı Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt, belirli kriterler kapsamındaki veri sorumluları için zorunludur. Yıllık çalışan sayısı 50'den fazla olan veya yıllık mali bilançosu 100 milyon TL'den fazla olan şirketler, faaliyet konusu gereği özel nitelikli kişisel veri işleyen şirketler kayıt yükümlülüğü altındadır. 4. Kişisel Veri Envanteri İşlediğiniz tüm kişisel verilerin haritasını çıkarmanız gerekir. Envanter şu soruları cevaplamalı: hangi verileri topluyorsunuz, neden topluyorsunuz, nereden topluyorsunuz, kiminle paylaşıyorsunuz, ne kadar süre saklıyorsunuz, nasıl koruyorsunuz. 5. Veri Güvenliği Tedbirleri KVKK, veri sorumlularından hem teknik hem idari tedbirler almasını bekler. Teknik tedbirler: Erişim kontrolleri ve yetkilendirme, veri şifreleme (aktarımda ve depolamada), güvenlik duvarı ve saldırı tespit sistemleri, log tutma ve izleme, düzenli yedekleme, güvenlik açığı taraması ve sızma testi, güncel antivirüs ve endpoint koruma. İdari tedbirler: Kişisel veri işleme politikası, çalışan eğitimi ve farkındalık, gizlilik sözleşmeleri, veri işleyen üçüncü taraflarla sözleşmeler, düzenli denetim ve kontrol. 6. Veri İhlali Bildirimi Kişisel veri ihlali yaşandığında, en kısa sürede ve her halükarda 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. İhlalden etkilenen kişilere de makul sürede bildirim yapılması gerekir. Bildirimde şu bilgiler yer almalı: ihlalin ne zaman gerçekleştiği, hangi verilerin etkilendiği, etkilenen kişi sayısı, ihlalin olası sonuçları, alınan ve planlanan tedbirler. 7. Veri Sahibi Başvurularını Yönetme Kişisel verisi işlenen herkes (veri sahibi), veri sorumlusuna başvurarak haklarını kullanabilir. Bu haklar arasında verilerin işlenip işlenmediğini öğrenme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, verilerin düzeltilmesini veya silinmesini isteme, verilerin aktarıldığı üçüncü kişileri öğrenme yer alır. Veri sorumlusu, başvuruyu en geç 30 gün içinde sonuçlandırmalıdır. KVKK Uyumluluk Adımları: Nereden Başlamalı? Adım 1 — Mevcut durum analizi. Hangi kişisel verileri, nerede, nasıl işliyorsunuz? Boşlukları tespit edin. Adım 2 — Kişisel veri envanteri hazırlama. Tüm veri işleme faaliyetlerini belgeleyin. Adım 3 — Aydınlatma metinleri ve politikalar. Web sitesi, çalışan, müşteri ve ziyaretçi aydınlatma metinlerini hazırlayın. Adım 4 — Açık rıza mekanizması. Gerekli durumlarda açık rıza toplama süreçlerini kurun. Adım 5 — Teknik tedbirler. Veri güvenliği altyapınızı güçlendirin. Adım 6 — İdari tedbirler. Politikalar, sözleşmeler, eğitimler. Adım 7 — VERBİS kaydı. Zorunlu kategorideyseniz kaydınızı tamamlayın. Adım 8 — Veri ihlali müdahale planı. İhlal anında ne yapacağınızı önceden planlayın. Adım 9 — Düzenli denetim. Uyumluluğu sürekli izleyin ve güncelleyin. KVKK İhlalinde Cezalar Kişisel Verileri Koruma Kurulu, ihlal durumunda idari para cezaları uygulayabilir. Ceza miktarları ihlalin niteliğine ve kapsamına göre değişir ve yüz binlerce liraya ulaşabilir. Para cezasının ötesinde, itibar kaybı ve müşteri güveninin sarsılması çoğu zaman maddi cezadan daha yıkıcıdır. Ayrıca, veri ihlalinden etkilenen kişiler tazminat davası açabilir. Yeterli teknik ve idari tedbirleri almamış olmak, davada işletmenin savunmasını zayıflatır. KVKK ve Siber Güvenlik İlişkisi KVKK uyumluluğu, kağıt üzerinde politika yazmaktan ibaret değil — teknik güvenlik tedbirlerini gerçekten uygulamayı gerektirir. Veri şifreleme, erişim kontrolü, güvenlik duvarı, sızma testi, log yönetimi — bunların hepsi KVKK'nın "teknik tedbirler" başlığı altında beklediği uygulamalar. Bu yüzden KVKK uyumluluk süreci, hukuki ve teknik uzmanlığın birlikte çalışmasını gerektirir. Sadece avukat yetmez (teknik tedbirleri bilmez), sadece BT uzmanı yetmez (hukuki gereksinimleri bilmez). İkisinin koordineli çalışması şart. VefaSoft olarak, hukuk danışmanımız ve teknik ekibimizle KVKK uyumluluk sürecinin her iki boyutunda destek sağlıyoruz. Sonuç KVKK, Türkiye'deki her ticari işletmenin uyması gereken bir kanundur ve "biz küçük bir firmayız, bizi ilgilendirmez" yaklaşımı hem yasal hem de ticari risk taşır. Uyumluluk süreci ilk bakışta karmaşık görünebilir ama sistematik bir yaklaşımla, makul bir bütçe ve sürede tamamlanabilir. Diyarbakır'da KVKK uyumluluk danışmanlığı ve teknik güvenlik tedbirleri için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
KVKK Veri İhlali Bildirimi: Süre, Ceza ve Süreç Kişisel Veri Envanteri Nasıl Hazırlanır? KVKK Aydınlatma Metni Nasıl Yazılır? Örnek Şablon KOBİ'ler İçin Siber Güvenlik: Nereden Başlamalı?