"KVKK Uyum Programı: Adım Adım Şirket Rehberi"
"6698 sayılı KVKK kapsamında şirketlerin yerine getirmesi gereken yükümlülükler, 6 adımlı uyum planı ve KVK Kurulu kararları ışığında pratik rehber."
Giriş
Türkiye'de 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen her işletmenin uyması gereken kapsamlı bir çerçeve oluşturmaktadır. Henüz uyum programını tamamlamamış şirketler; idari para cezaları, veri ihlali bildirimleri ve itibar kayıplarıyla karşı karşıya kalabilmektedir. Bu rehber, şirketlerin uyum sürecini adım adım yönetebilmesi için hazırlanmıştır.
Veri Sorumlusu ile Veri İşleyen Arasındaki Fark
KVKK, sorumluluk zincirini iki temel aktör üzerine kurar. Bu ayrım, hem iç düzenlemelerde hem de sözleşme yapılarında kritik öneme sahiptir.
| Kavram | Tanım | Örnek | Yükümlülük |
|---|---|---|---|
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişi | İşveren, e-ticaret sitesi | VERBİS kaydı, aydınlatma, politika |
| Veri İşleyen | Veri sorumlusuna bağlı olarak onun adına kişisel verileri işleyen kişi | Muhasebe yazılım firması, çağrı merkezi | Sözleşme ile sınırlı işleme, gizlilik |
| Ortak Sorumluluk | Birden fazla tarafın amacı birlikte belirlediği durum | İki şirketin ortaklaşa yürüttüğü pazarlama | Karşılıklı sözleşme zorunluluğu |
Veri sorumlusu, ilgili kişinin haklarına muhatap olduğu için tüm uyum sürecinden birinci derecede sorumludur. Veri işleyenin ihlali dahi veri sorumlusunun yükümlülüğünü doğurabilir.
6 Adımlı KVKK Uyum Planı
1. Veri Envanteri Hazırlama
İşletmedeki tüm kişisel veri kategorileri (çalışan, müşteri, tedarikçi vb.), bu verilerin toplandığı kanallar ve saklama süreleri tespit edilmelidir. Envanter, "nerede, ne kadar, ne için" sorularını yanıtlamalıdır.
2. Aydınlatma Metinlerinin Hazırlanması
KVKK'nın 10. maddesi uyarınca her veri toplama noktasında (web formu, çalışan sözleşmesi, müşteri kaydı) aydınlatma yükümlülüğü yerine getirilmelidir. Aydınlatma metni; veri sorumlusunun kimliği, işleme amacı, hukuki dayanak, alıcı grupları ve ilgili kişi hakları bilgilerini içermelidir.
3. Politika ve Prosedürlerin Oluşturulması
Kişisel Veri Saklama ve İmha Politikası ile Kişisel Veri İşleme Envanteri, Kişisel Verilerin Korunması ve İşlenmesi Politikası hazırlanmalıdır. Bu belgeler iç düzenlemelerin omurgasını oluşturur.
4. VERBİS Kaydı
Yıllık çalışan sayısı 50'nin veya yıllık mali bilanço toplamı 25 milyon TL'nin üzerinde olan veri sorumluları VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kayıt olmak zorundadır. Kayıt; veri kategorileri, aktarılan alıcılar ve saklama süreleri gibi bilgileri içerir.
5. Teknik ve İdari Güvenlik Tedbirlerinin Alınması
Şifreli veri saklama, rol tabanlı erişim kontrolü, veri ihlali müdahale planı ve personel eğitimi bu aşamanın temel unsurlarıdır. İhlal gerçekleşmesi halinde 72 saat içinde Kurul'a bildirim yapılması zorunludur.
6. Periyodik Denetim ve Güncelleme
Uyum tek seferlik bir proje değil, sürekli bir süreçtir. İç denetim takvimi aşağıda önerilmektedir.
| Dönem | Faaliyet | Sorumlu |
|---|---|---|
| Aylık | Yeni veri akışlarının envantere eklenmesi | Veri Koruma Sorumlusu (DPO) |
| 6 Aylık | Aydınlatma metinlerinin gözden geçirilmesi | Hukuk Birimi |
| Yıllık | Kapsamlı uyum denetimi, VERBİS güncellemesi | Üst Yönetim + Hukuk |
| Olay bazlı | Veri ihlali bildirimi ve müdahale planının uygulanması | IT + Hukuk |
Pratik Vakalar
Vaka 1 — E-ticaret Şirketi, VERBİS İhmali
Bir e-ticaret platformu, 50 çalışan eşiğini geçmesine rağmen VERBİS kaydını iki yıl boyunca yapmamış; müşteri verilerini üçüncü taraf lojistik firmalarla paylaşmıştır. KVK Kurulu'na yapılan şikâyet üzerine başlatılan incelemede şirkete hem VERBİS kaydının yapılmaması hem de aydınlatma yükümlülüğünün yerine getirilmemesi gerekçesiyle idari para cezası uygulanmıştır. Ek olarak üçüncü taraflarla imzalanmış veri işleme sözleşmelerinin KVKK uyumlu hale getirilmesi istenmiştir.
Vaka 2 — Yazılım Firması, Çalışan Verileri İhlali
Bir yazılım şirketinde, eski bir çalışanın erişim yetkisi hesabı zamanında kapatılmamış; söz konusu kişi şirket sistemine erişerek rakip firmaya çalışan özgeçmişlerini aktarmıştır. Şirket, idari güvenlik tedbirlerinin eksikliği ve yetkisiz erişimi önleyememesi gerekçesiyle yaptırımla karşılaşmış, ihlali 72 saat içinde Kurul'a bildirmediği için ayrıca cezalandırılmıştır.
Sık Yapılan 5 Hata
- 1Aydınlatma ile açık rızayı karıştırmak: Aydınlatma tek taraflı bir bilgilendirmedir; açık rıza ise sadece meşru dayanak olmadığında gereklidir. Her veri işleme faaliyeti için açık rıza alınması zorunluluğu yoktur.
- 2VERBİS kaydını ertelemek: Eşiği aşan her şirket, yasal süre içinde kayıt yaptırmazsa doğrudan idari yaptırıma muhatap olmaktadır.
- 3Veri işleyen sözleşmelerini ihmal etmek: Bulut servisi veya yazılım sağlayıcısıyla imzalanan sözleşmede KVKK uyum maddeleri yer almıyorsa veri sorumlusu sorumluluğu devam etmektedir.
- 4Saklama sürelerini belirsiz bırakmak: "Gerektiği süre" gibi muğlak ifadeler yerine somut süreler belirlenmelidir; aksi takdirde imha yükümlülüğü yerine getirilememektedir.
- 5Çalışan eğitimini tek seferlik görmek: Personel değişimi ve yeni süreçler göz önünde bulundurularak KVKK eğitimi düzenli aralıklarla tekrarlanmalıdır.
Kapanış
KVKK uyumu, yalnızca cezadan kaçınmak için değil, kurumsal güvenilirliği artırmak için de stratejik bir yatırımdır. Envanter hazırlama, aydınlatma, VERBİS kaydı ve güvenlik tedbirleri birbirini tamamlayan bir döngü içinde işler. Şirketlerin bu süreci bir kez "tamamlanmış proje" olarak değil, yaşayan bir uyum programı olarak ele alması gerekmektedir. Hukuki destek alınması, özellikle veri aktarımı ve özel nitelikli veri işleme gibi yüksek riskli alanlarda KVK Kurulu kararlarının yakından takip edilmesini de kapsamalıdır.
Teknoloji Hukuku alanında dilekçe üretmek veya içtihat aramak ister misiniz?
Hukuk Asistanı'nı Dene →Yasal Uyarı: Bu yazı yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. İçerik Hukuk Asistanı tarafından oluşturulmuştur; aktarılan Yargıtay kararları özet niteliğindedir, resmi karar metinleri için ilgili mahkeme kayıtlarını esas alınız. Spesifik hukuki durumunuz için lütfen bir avukattan görüş alınız.
Bu konuda dilekçe oluşturmak ister misiniz?
Dilekçe üretimi, Yargıtay içtihat araması, sözleşme analizi ve KVKK uyum kontrolleri — Türk avukatlar için tasarlanmış yapay zeka platformu.