KVKK Denetimlerinde En Sık Tespit Edilen Eksiklikler
Kurul Kararları ve Uygulama Gerçekleri Işığında Değerlendirme
KVKK denetimleri; yalnızca metinlerin varlığına değil, kişisel verilerin fiilen nasıl işlendiğine, hangi teknik ve idari tedbirlerin alındığına ve bu tedbirlerin sürdürülebilirliğine odaklanmaktadır. Uygulamada birçok kurum, dokümantasyon tarafında belirli bir seviyeye ulaşmış olsa da, denetimlerde tespit edilen eksikliklerin büyük bölümü uygulama – belge uyumsuzluğundan kaynaklanmaktadır.
Bu yazıda, Kurul kararları, saha denetimleri ve danışmanlık süreçlerinde en sık karşılaşılan KVKK uyumsuzluk alanları ele alınmaktadır.
En kritik tema: Belge varlığı tek başına yeterli değildir; ispat ve uygulama esastır.
En sık bulgular: Genel aydınlatma metinleri, denge testi/ri̇za kaydı eksikliği, log/yetki kontrollerinde zafiyet,
envanter güncelliği, imha kayıtları, ihlal müdahale rol/akış belirsizliği, üçüncü taraf sözleşme-kontrol eksikliği.
1. Aydınlatma Metinlerinin Şeklen Var Olması, İçerik Olarak Yetersizliği
Tespit edilen eksiklik
Birçok kurumda KVKK aydınlatma metinleri; genel ifadeler içeren, tüm süreçler için tek metin kullanılan ve güncel işleme faaliyetlerini yansıtmayan dokümanlar olarak karşımıza çıkmaktadır.
Kurul değerlendirmesi
Kurul, aydınlatma yükümlülüğünün; ilgili veri işleme faaliyeti özelinde, açık, anlaşılır ve somut biçimde yerine getirilmesini beklemektedir. Kopyala–yapıştır metinler, denetimlerde yetersiz kabul edilmektedir.
2. Hukuki Sebep ile Fiili Uygulamanın Uyuşmaması
Tespit edilen eksiklik
Aydınlatma metinlerinde belirtilen hukuki sebepler ile fiilen yürütülen veri işleme faaliyetleri arasında tutarsızlık bulunması.
Sık karşılaşılan örnekler
- Meşru menfaat denilmesine rağmen denge testi bulunmaması
- Açık rıza alındığı iddia edilmesine rağmen geçerli rıza kaydı olmaması
- Sözleşmenin ifası gerekçesiyle fazla veri işlenmesi
Kurul, hukuki sebep analizinin yalnızca metinlerde değil, süreç bazlı olarak ortaya konulmasını talep etmektedir.
3. Teknik Tedbirlerin Kâğıt Üzerinde Kalması
Tespit edilen eksiklik
KVKK m.12 kapsamında belirtilen teknik tedbirlerin; politikalarda yer almasına rağmen sistemlerde fiilen uygulanmaması, denetimlerde öne çıkan en kritik bulgulardandır.
Sık karşılaşılan teknik açıklar
- Loglama ve izleme mekanizmalarının bulunmaması veya etkin olmaması
- Yetki matrisi ve rol bazlı erişim kontrolü eksiklikleri
- E-posta ve kullanıcı hesaplarında ek güvenlik katmanlarının (ör. MFA, koşullu erişim) olmaması
Kurul, teknik tedbirlerin “yazılmış” olmasından ziyade kanıtlanabilir olmasını beklemektedir.
4. Veri Envanteri ile Gerçek Süreçlerin Uyuşmaması
Tespit edilen eksiklik
VERBİS kaydı ve veri envanterlerinde yer alan bilgiler ile kurum içindeki gerçek veri işleme süreçleri arasında ciddi farklar bulunması.
Denetimlerde sorulan temel sorular
- Bu veri gerçekten burada mı işleniyor?
- Bu sistemde kimler erişebiliyor?
- Saklama süresi fiilen uygulanıyor mu?
Envanterin güncel olmaması, Kurul nezdinde yüksek riskli bir uyumsuzluk olarak değerlendirilmektedir.
5. Saklama ve İmha Süreçlerinin Uygulanmaması
Tespit edilen eksiklik
Saklama ve imha politikalarının hazırlanmış olmasına rağmen; otomatik imha mekanizmalarının bulunmaması, manuel süreçlerin takip edilmemesi ve imha kayıtlarının tutulmaması.
Kurul yaklaşımı
Kurul, saklama süresi dolan kişisel verilerin fiilen imha edildiğinin ispatlanmasını istemektedir. Politika varlığı tek başına yeterli kabul edilmemektedir.
6. Veri İhlali Müdahale Süreçlerinin Belirsizliği
Tespit edilen eksiklik
Veri ihlali yaşanması hâlinde; kimin sorumlu olduğu, hangi sürede bildirim yapılacağı, teknik ve hukuki adımların ne olduğu konusunda kurum içinde net bir yapı bulunmaması.
Bu durum, ihlal sonrası yapılacak bildirimin gecikmesine ve idari yaptırım riskinin artmasına neden olmaktadır.
7. Üçüncü Taraflarla İlişkilerin Yetersiz Yönetilmesi
Tespit edilen eksiklik
Tedarikçiler, hizmet sağlayıcılar ve iş ortakları ile; veri işleyen sözleşmelerinin yapılmaması, teknik erişimlerin sınırlandırılmaması ve denetim/kontrol mekanizmalarının olmaması.
Kurul, veri sorumlularını üçüncü tarafların eylemlerinden de sorumlu tutmaktadır.
8. Sonuç: Denetimler Belgeleri Değil, Gerçekliği Ölçer
KVKK denetimlerinde ortaya çıkan tablo nettir: Belge varlığı değil, fiili uygulama esas alınmaktadır.
- Politika var ama uygulanmıyorsa
- Metin var ama süreç yoksa
- Teknik tedbir yazıyor ama sistemde görünmüyorsa
Kurul nezdinde uyumdan söz etmek mümkün değildir.
9. Nesil Teknoloji Yaklaşımı
Nesil Teknoloji olarak KVKK denetim hazırlıklarında; hukuki dokümantasyonu, teknik altyapıyı ve iş süreçlerini birlikte ele alıyor; denetimlerde karşılaşılan bu eksiklikleri saha gerçeklerine uygun şekilde gideriyoruz.
Amaç; kurumları yalnızca “belgeli” değil, uygulamada da uyumlu ve denetlenebilir hale getirmektir.
10. Sık Sorulan Sorular
Denetimde “en hızlı” uygunsuzluk nereden çıkar?
Genellikle belge-uygulama uyumsuzluğundan: aydınlatma metni genel kalır, envanter güncel değildir, rıza/denge testi kayıtları yoktur, log/yetkilendirme kontrolleri ispatlanamaz.
Teknik tedbirlerin “kanıtlanabilir” olması ne demektir?
Politika maddesinin karşılığının sistem üzerinde gösterilebilmesi (konfigürasyon, log örneği, erişim listesi, rapor çıktısı) ve bunun periyodik işletildiğinin kayıtlarla ortaya konulmasıdır.
Üçüncü taraflarla ilgili temel denetim beklentisi nedir?
Veri işleyen sözleşmesi + erişim sınırlandırmaları + periyodik kontrol/denetim + alt yüklenici yönetimi birlikte kurgulanmış olmalıdır.
İlgili hizmet: KVKK danışmanlığı hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
