KVKK Uyumuna Neden Öncelik Vermelisiniz?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm gerçek ve tüzel kişilere yükümlülükler getirir. Müşteri listesi tutan, çalışan özlük dosyası saklayan veya web sitesinde iletişim formu bulunan her işletme bu kapsamdadır. Uyumsuzluk; idari para cezaları, veri ihlali durumunda itibar kaybı ve müşteri güveninin zedelenmesi anlamına gelir. İyi haber şu: uyum süreci, sistematik bir kontrol listesiyle yönetilebilir bir projedir.
Not: Bu makale genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez; uyum adımlarınızı hukuk danışmanınızla birlikte planlamanızı öneririz.
Adım 1: Kişisel Veri Envanteri Çıkarın
Uyumun temeli, hangi kişisel verileri, hangi amaçla, nerede ve ne kadar süreyle tuttuğunuzu bilmektir. Departman departman ilerleyin: İnsan kaynakları (özlük, bordro, sağlık raporları), satış-pazarlama (müşteri ve potansiyel müşteri bilgileri), muhasebe (fatura bilgileri), IT (log kayıtları, yedekler) ve web sitesi (form verileri, çerezler). Her veri kategorisi için işleme amacını, hukuki sebebini, saklama süresini ve kimlerle paylaşıldığını kaydedin. Bu envanter, ilerideki tüm adımların referans belgesidir.
Adım 2: VERBİS Yükümlülüğünüzü Kontrol Edin
Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yükümlülüğü; çalışan sayısı, mali bilanço ve işlenen veri türlerine göre belirlenir. Kişisel Verileri Koruma Kurumu'nun güncel eşik değerlerini kontrol ederek kayıt kapsamında olup olmadığınızı belirleyin; kapsamdaysanız envanterinizle uyumlu bir kayıt oluşturun.
Adım 3: Aydınlatma Metinlerini Hazırlayın
KVKK'nın 10. maddesi uyarınca, veri toplanan her kanalda (web formu, iş başvurusu, çağrı merkezi, fiziksel form) ilgili kişiyi aydınlatmanız gerekir. Aydınlatma metni; veri sorumlusunun kimliğini, işleme amaçlarını, hukuki sebebi, aktarım yapılan tarafları ve ilgili kişinin haklarını içermelidir. Tek bir genel metin yerine, her veri toplama kanalına özel ve o kanalda fiilen erişilebilir metinler hazırlayın.
Adım 4: Açık Rıza Süreçlerini Kurun
Açık rıza yalnızca diğer hukuki sebeplerin bulunmadığı durumlarda gereklidir; her şeye rıza almak doğru bir uygulama değildir. Rıza gereken durumlarda (ör. pazarlama e-postaları, zorunlu olmayan çerezler) rızanın özgür iradeyle, bilgilendirmeye dayalı ve belirli bir konuya ilişkin olması gerekir. Rızanın ne zaman ve nasıl alındığını kayıt altına alın; geri çekme imkânını rıza vermek kadar kolay sunun.
Adım 5: Saklama ve İmha Politikası Oluşturun
Her veri kategorisi için yasal saklama sürelerini belirleyin (ör. iş hukuku ve vergi mevzuatından doğan süreler) ve süresi dolan verilerin silinmesi, yok edilmesi veya anonimleştirilmesi için periyodik imha dönemleri tanımlayın. İmha işlemlerini tutanakla belgeleyin. Yedeklerdeki verilerin imhasını da unutmayın; bu en sık atlanan noktalardan biridir.
Adım 6: Teknik Tedbirleri Uygulayın
- Verinin aktarımda (TLS) ve mümkünse depolamada şifrelenmesi
- Rol bazlı erişim kontrolü: Herkes yalnızca işi için gereken veriye erişmeli
- Erişim ve işlem loglarının tutulması ve düzenli gözden geçirilmesi
- Güçlü parola politikası ve çok faktörlü kimlik doğrulama
- Güncel yazılım ve düzenli yama yönetimi
- Düzenli yedekleme ve yedeklerin erişim kontrolü
- Periyodik güvenlik testleri (sızma testi, zafiyet taraması)
Adım 7: İdari Tedbirleri Tamamlayın
Çalışanlarla gizlilik taahhütnameleri imzalayın, veri işleyen tedarikçilerle (barındırma, e-posta, SMS sağlayıcıları) veri işleme sözleşmeleri yapın ve kişisel veri güvenliği konusunda düzenli çalışan eğitimleri düzenleyin. Şirket içi bir KVKK sorumlusu veya komitesi belirlemek, sürecin sürdürülebilirliğini sağlar.
Adım 8: İhlal Müdahale Planı Hazırlayın
Veri ihlali durumunda Kurul'a bildirim için tanımlı süre kısıtı vardır (Kurul kararlarında 72 saat esas alınmaktadır). Önceden hazırlanmış bir plan; ihlalin nasıl tespit edileceğini, kimin karar vereceğini, Kurul ve ilgili kişilere bildirimin nasıl yapılacağını ve delillerin nasıl korunacağını tanımlamalıdır. Planı yılda en az bir kez tatbikatla test edin.
Adım 9: İlgili Kişi Başvuru Sürecini İşletin
Vatandaşların bilgi talebi, silme ve düzeltme başvuruları için bir kanal (ör. kvkk@ e-posta adresi) tanımlayın ve başvuruların 30 gün içinde yanıtlanmasını sağlayacak bir iç süreç kurun. Gelen başvuruları ve verilen yanıtları kayıt altına alın.
Sonuç: Uyum Bir Proje Değil, Süreçtir
KVKK uyumu bir kez tamamlanıp rafa kaldırılacak bir iş değildir; yeni veri işleme faaliyetleri, yeni araçlar ve mevzuat güncellemeleri düzenli gözden geçirme gerektirir. Yılda en az bir kez envanterinizi ve tedbirlerinizi güncelleyin. Teknik tedbirlerin kurulumu ve denetimi konusunda destek almak isterseniz siber güvenlik ekibimizle iletişime geçebilirsiniz.