Perakende Sektöründe KVKK ve Müşteri Sadakat Programları
Türkiye’de faaliyet gösteren perakende zincirlerinin neredeyse tamamı müşteri sadakat programları üzerinden yüz milyonlarca kişinin hassas verilerini işlemektedir. Kişisel Verilerin Koruması Kanunu çerçevesinde bu programların yönetimi, veri güvenliği mimarisi ve rıza mekanizmaları doğru tasarlanmazsa hem idari para cezaları hem de itibar kayıpları kaçınılmaz hale gelir.
Bu rehber, perakende işletmelerinin sadakat kartı uygulamalarını KVKK’ya uyumlu hale getirmek için izlemesi gereken teknik adımları, veri envanteri oluşturma süreçlerini, güvenlik mimarisini ve uyumluluk denetim yöntemlerini sektörel vaka analizleriyle birlikte sunar. Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkisine sahip ekibimizle yüzlerce perakende firmasının veri güvenliği altyapısını test ettik ve en sık karşılaşılan zafiyetleri bu belgede derledik.
Müşteri sadakat programları ad, soyad, TCKN, telefon, e-posta, adres, alışveriş geçmişi gibi hassas verileri toplar. KVKK md. 4, 5, 6, 10, 11, 12 kapsamında bu verilerin toplanması, saklanması, güvenliğinin sağlanması ve üçüncü taraflara aktarımı katı kurallara tabidir. ISO 27001 ve NIST Cybersecurity Framework standartlarına uygun teknik güvenlik önlemleri hayati önemdedir.
1. KVKK ve Sadakat Programları Hukuki Çerçeve
1.1 Kanuni Düzenlemeler ve Veri Sorumlusu Yükümlülükleri
6698 sayılı Kişisel Verilerin Koruması Kanunu’nun 4. maddesi veri işleme ilkelerini belirler. Bu ilkeler müşteri sadakat programlarında kritik öneme sahiptir. Hukuka ve dürüstlük kurallarına uygun işleme, doğru ve gerektiğinde güncel olma, belirli açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme prensipleri perakende firmaları için bağlayıcı normlardır.
Perakende sektöründe müşteri sadakat programları kapsamında toplanan veriler şunlardır; kimlik bilgileri olarak ad soyad TC kimlik numarası doğum tarihi, iletişim bilgileri olarak cep telefonu e-posta adresi açık adres, finansal bilgiler olarak kredi kartı son dört hanesi banka bilgileri, davranışsal veriler olarak alışveriş geçmişi satın alma sıklığı tercih edilen ürün kategorileri, konum verileri olarak mağaza ziyaret geçmişi GPS tabanlı kampanya bildirimleri için konum bilgisi olmaktadır.
KVKK’nın 5. maddesine göre bu verilerin işlenebilmesi için ilgili kişinin açık rızası gerekir. Ancak 5. maddenin ikinci fıkrasında sayılan hallerde açık rıza aranmaz. Bunlar kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şeklindedir.
1.2 Perakende Sektöründe Sık Yapılan Hukuki Hatalar
Nesil Teknoloji’nin gerçekleştirdiği KVKK uyum denetimlerinde perakende firmalarında sıkça karşılaşılan hukuki ihlaller şu şekildedir. Birincisi aydınlatma metinlerinin kasada müşteriye okutulmadan veya dijital ortamda onay alınmadan form doldurtulması durumudur. Bu doğrudan KVKK md. 10 ihlalidir. İkincisi toplanan verilerin amacı dışında kullanılmasıdır mesela sadakat programı için toplanan telefon numarasının üçüncü taraf bir pazarlama firmasına satılması. Üçüncüsü verilerin yasal saklama süresinden daha uzun tutulmasıdır. Dördüncüsü üye olma sürecinde paket rızalar alınmasıdır yani SMS izni e-posta izni lokasyon izni ve profilleme izninin tek bir onay kutucuğunda toplanması. Beşincisi veri güvenliği için yeterli teknik ve idari tedbirlerin alınmaması özellikle veritabanlarının şifrelenmemesi veya erişim kontrollerinin zayıf olmasıdır.
1.3 KVKK ve GDPR Karşılaştırmalı Analiz
| Kriter | KVKK | GDPR |
|---|---|---|
| Veri İşleme Hukuki Dayanakları | Açık rıza veya md. 5/2 nedenleri | 6 hukuki dayanak md. 6 GDPR |
| Maksimum İdari Para Cezası | 2 milyon TL veri ihlalinde 3 milyon TL | 20 milyon Euro veya global cirosun yüzde 4’ü |
| Veri İhlali Bildirimi | 72 saat içinde Kurula bildirme | 72 saat içinde denetim otoritesine |
| VERBİS Kayıt Zorunluluğu | Var tüm veri sorumlularına | Yok DPO atama zorunluluğu var |
| Açık Rıza Formatı | Yazılı veya elektronik ortamda | Açık ve bilinçli özgür irade beyanı |
Perakende firmalarının AB ülkelerinde şubesi varsa veya AB vatandaşlarına hizmet sunuyorsa hem KVKK hem GDPR’a uyum zorunludur. Bu durumda daha katı olan standart uygulanmalıdır.
2. Veri Envanteri ve İşleme Süreçleri
2.1 Sadakat Programlarında Veri Akış Haritası
Müşteri sadakat programlarının veri yaşam döngüsü analizi yapılmalıdır. Bu döngü beş aşamadan oluşur. Birinci aşama veri toplama aşamasıdır. Müşteri üye olurken mobil uygulama web sitesi veya mağaza kasasında form doldurur. Burada ad soyad telefon e-posta doğum tarihi ve isteğe bağlı olarak adres bilgisi toplanır. Bazı perakende zincirleri üyelik için TC kimlik numarası da talep eder ancak bu veri minimizasyon ilkesine aykırıdır çünkü sadakat programı için TCKN toplanması zorunlu değildir.
İkinci aşama veri depolama aşamasıdır. Toplanan veriler Customer Relationship Management yani CRM sistemlerine veya özel sadakat platformlarına yazılır. Bu sistemler genellikle bulut tabanlı SaaS çözümleridir ve Türkiye dışında sunucularda barındırılabilir. KVKK md. 8 ve 9 uyarınca yurtdışına veri aktarımı için kişinin açık rızası veya Kurul kararı gerekir. Üçüncü aşama veri işleme ve analitiğidir. CRM sistemleri üzerinde müşteri segmentasyonu yapılır RFM analizi recency frequency monetary value uygulanır ve kişiselleştirilmiş kampanyalar oluşturulur. Bu aşamada profilleme ve otomatik karar verme mekanizmaları devreye girer ki GDPR md. 22’de bu açıkça düzenlenmiştir ancak KVKK’da doğrudan bir madde yoktur.
Dördüncü aşama üçüncü taraflarla paylaşım aşamasıdır. Perakende firmaları SMS göndermek için toplu mesaj sağlayıcılarına e-posta göndermek için e-posta pazarlama platformlarına müşteri verisini aktarır. Ayrıca ortak kampanyalar için tedarikçi markalarla veri paylaşımı yapılır. Bu paylaşımlar mutlaka aydınlatma metninde belirtilmeli ve müşterinin açık rızası alınmalıdır. Beşinci aşama veri silme ve anonimleştirme aşamasıdır. Müşteri üyeliğini sonlandırırsa veya yasal saklama süresi dolarsa veriler silinmeli veya anonim hale getirilmelidir. KVKK md. 7 uyarınca silme hakkı ve md. 11 uyarınca veri sorumlusunun silme yükümlülüğü vardır.
2.2 Veri Envanteri Oluşturma Tablosu
| Veri Kategorisi | Toplanan Veri | Hukuki Dayanak | Saklama Süresi | Üçüncü Taraf Paylaşımı |
|---|---|---|---|---|
| Kimlik Verileri | Ad Soyad Doğum Tarihi | Açık Rıza veya Sözleşme | Üyelik süresi + 3 yıl | Hayır |
| İletişim Verileri | Telefon E-posta Adres | Açık Rıza | Üyelik süresi + 1 yıl | SMS ve E-posta sağlayıcıları |
| İşlem Verileri | Alışveriş Geçmişi Fiş Bilgileri | Sözleşme İfası | 10 yıl TTK md. 82 | Hayır |
| Davranışsal Veriler | Tıklama Web Gezinme Mobil Uygulama Kullanım | Açık Rıza Profilleme | 2 yıl | Analytics platformları Google Facebook |
| Konum Verileri | GPS Koordinatları Ziyaret Edilen Mağaza | Açık Rıza | 6 ay | Hayır veya anonimleştirilmiş olarak analytics |
| Finansal Veriler | Kart Son Dört Hane Ödeme Yöntemi | Sözleşme İfası | PCI-DSS uyarınca tokenize | Ödeme Kuruluşları |
2.3 Veri Minimizasyonu ve Gizlilik Odaklı Tasarım
ISO 27001 Annex A.18.1.4 ve NIST Privacy Framework uyarınca veri minimizasyonu perakende firmalarının uygulaması gereken temel ilkedir. Örneğin sadakat programı için TC kimlik numarası toplanması gereksizdir çünkü müşteri kimliği telefon numarası ve e-posta ile teyit edilebilir. Yine açık adres bilgisi kargo gönderimi yapılmayacaksa toplanmamalıdır.
Privacy by Design ve Privacy by Default yaklaşımları GDPR md. 25’te düzenlenmiştir ancak KVKK’da açık madde yoksa da md. 12’deki teknik ve idari tedbirler kapsamında yorumlanabilir. Perakende firmaları sadakat programı mobil uygulamalarında kullanıcıdan sadece zorunlu izinleri talep etmelidir. Konum kamera mikrofon gibi hassas izinler kullanıcı deneyimini artırmak için gerekli değilse talep edilmemelidir.
3. Teknik Güvenlik Mimarisi ve Zafiyet Analizi
3.1 Perakende Veri Tabanlarında Sık Görülen Zafiyetler
Nesil Teknoloji olarak TSE A Sınıfı Sızma Testi yetkinliğimiz ile gerçekleştirdiğimiz perakende sektörü penetrasyon testlerinde en sık karşılaştığımız güvenlik açıkları şunlardır. Birincisi SQL Injection zafiyetleridir. Sadakat programı sorgulama ekranlarında kullanıcı girdileri prepared statement kullanılmadan direkt SQL sorgusuna gömülür. Bu durumda saldırgan veritabanına erişim sağlayarak tüm müşteri bilgilerini çekebilir. OWASP Top 10 2021’de hala birinci sırada yer alır.
İkincisi Broken Access Control zafiyetleridir. Mobil uygulama API endpoint’lerinde yetkilendirme kontrolü yapılmaz. Örneğin GET /api/users/12345 endpoint’i ile herhangi bir kullanıcı başka bir kullanıcının bilgilerini çekebilir. Bu IDOR Insecure Direct Object Reference zafiyetidir. Üçüncüsü Sensitive Data Exposure yani hassas veri ifşasıdır. Veritabanında şifreler düz metin olarak saklanır veya MD5 SHA1 gibi zayıf hash algoritmaları kullanılır. KVKK md. 12 uyarınca kişisel veriler şifrelenerek saklanmalıdır. Bcrypt Argon2 gibi güçlü password hashing algoritmaları kullanılmalıdır.
Dördüncüsü güvenli olmayan API iletişimidir. Mobil uygulama ile backend sunucu arasındaki veri iletimi HTTPS olmadan HTTP üzerinden yapılır veya certificate pinning uygulanmaz. Bu durumda Man-in-the-Middle saldırıları ile trafikte müşteri bilgileri dinlenebilir. Beşincisi yetersiz loglama ve monitoring’dir. Veri erişim logları tutulmaz veya log dosyaları korunmaz. KVKK md. 12/5 uyarınca kişisel verilere kimlerin ne zaman eriştiği loglanmalı ve bu loglar minimum 2 yıl saklanmalıdır.
3.2 Teknik Güvenlik Kontrol Listesi ISO 27001 ve NIST CSF Uyumlu
| Güvenlik Kontrolü | ISO 27001 Referansı | NIST CSF Kategorisi | Uygulama Detayı |
|---|---|---|---|
| Veri Şifreleme | A.10.1.1 Kriptografik Kontroller | PR.DS-1 Data at Rest | AES-256 ile veritabanı şifreleme TDE kullanımı |
| İletişim Güvenliği | A.13.1.1 Ağ Kontrolü | PR.DS-2 Data in Transit | TLS 1.3 zorunlu HTTP devre dışı certificate pinning |
| Erişim Kontrolü | A.9.2.1 Kullanıcı Kaydı | PR.AC-4 Erişim İzinleri | RBAC role-based MFA zorunlu least privilege |
| Log Yönetimi | A.12.4.1 Olay Kayıtları | DE.AE-3 Anomali Tespiti | SIEM entegrasyonu 2 yıl log saklama merkezi log sunucusu |
| Güvenlik Testleri | A.12.6.1 Teknik Zafiyet Yönetimi | ID.RA-1 Risk Değerlendirme | Yılda 2 kez penetrasyon testi zafiyet taraması aylık |
| Yedekleme | A.12.3.1 Bilgi Yedekleme | PR.IP-4 Yedeklilik | Günlük otomatik yedek offsite storage şifreli yedek |
3.3 Penetrasyon Testi ve Zafiyet Yönetimi
KVKK md. 12’de belirtilen teknik tedbirler kapsamında perakende firmalarının düzenli aralıklarla güvenlik testleri yaptırması zorunludur. Nesil Teknoloji’nin TSE A Sınıfı Sızma Testi hizmeti kapsamında şu testler gerçekleştirilir. Birincisi web uygulama güvenlik testidir. Sadakat programı web sitesi ve admin paneli OWASP Top 10 zafiyetlerine karşı test edilir. SQL Injection XSS CSRF Authentication Bypass IDOR gibi kritik zafiyetler aranır. İkincisi mobil uygulama güvenlik testidir. Android ve iOS uygulamaları OWASP Mobile Top 10 standardına göre test edilir. Insecure Data Storage Binary Protection API güvenliği incelenir.
Üçüncüsü API güvenlik testidir. RESTful veya GraphQL API endpoint’leri authentication authorization rate limiting input validation gibi kontroller açısından test edilir. Dördüncüsü ağ seviyesi güvenlik testidir. Sunucular firewall yapılandırması açık portlar gereksiz servisler açısından taranır. Nmap Masscan gibi araçlar kullanılır. Beşincisi sosyal mühendislik testidir. Çalışanlara phishing e-postaları gönderilerek farkındalık seviyesi ölçülür.
Test sonucunda bulunan zafiyetler CVSS Common Vulnerability Scoring System ile skorlanır ve öncelik sırasına göre düzeltilir. Kritik 9.0-10.0 puanlı zafiyetler 7 gün içinde yüksek 7.0-8.9 puanlı zafiyetler 30 gün içinde orta 4.0-6.9 puanlı zafiyetler 90 gün içinde kapatılmalıdır.
3.4 Güvenlik Araçları ve Teknolojileri Karşılaştırması
| Araç Kategorisi | Araç Örnekleri | Kullanım Amacı | Perakende İçin Öncelik |
|---|---|---|---|
| Web Application Firewall | Cloudflare WAF AWS WAF ModSecurity | SQL Injection XSS DDoS koruması | Yüksek kritik sistemler için zorunlu |
| Database Activity Monitoring | IBM Guardium Imperva DAM Oracle Audit Vault | Veritabanı erişim logları anomali tespiti | Yüksek KVKK md. 12 uyumluluğu için gerekli |
| Data Loss Prevention | Symantec DLP McAfee DLP Forcepoint DLP | Veri sızıntısı engelleme e-posta USB monitoring | Orta büyük ölçekli perakende için önemli |
| SIEM Log Management | Splunk IBM QRadar ArcSight Elastic SIEM | Merkezi log toplama korelasyon alert | Yüksek security operations için zorunlu |
| Vulnerability Scanner | Nessus Qualys OpenVAS Rapid7 Nexpose | Zafiyet tarama yama yönetimi | Yüksek aylık tarama yapılmalı |
| API Security Gateway | Apigee Kong API Gateway AWS API Gateway | API authentication rate limiting threat detection | Yüksek mobil uygulama API leri için kritik |
4. Rıza Yönetimi ve Aydınlatma Süreçleri
4.1 Açık Rıza Nasıl Alınmalıdır
KVKK md. 3/1-a uyarınca açık rıza belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Perakende firmalarının sadakat programı üyelik formlarında dikkat etmesi gereken hususlar şunlardır. Birincisi granüler rıza mekanizması olmalıdır. Yani SMS izni e-posta izni lokasyon izni profilleme izni ayrı ayrı onay kutucukları ile alınmalıdır. Tek bir genel onay kutusu kabul edilemez.
İkincisi pre-checked yani önceden işaretli kutucuklar kullanılmamalıdır. Kullanıcı aktif olarak her izni işaretlemelidir. Üçüncüsü aydınlatma metni okunabilir anlaşılır Türkçe ile yazılmalıdır. Hukuk jargonu yerine sade dil kullanılmalıdır. Dördüncüsü üyelik için zorunlu olan verilerle isteğe bağlı veriler açıkça ayrılmalıdır. Örneğin ad soyad telefon zorunluyken doğum tarihi isteğe bağlı olabilir. Beşincisi rıza verme işlemi dijital ortamda timestamp IP adresi user agent bilgisi ile loglanmalı ve ispat amaçlı saklanmalıdır.
4.2 Aydınlatma Metni Standart Şablonu
KVKK md. 10 uyarınca veri sorumlusu kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmalıdır. Aydınlatma metni şu bilgileri içermelidir. Veri sorumlusunun kimliği yani firma ünvanı. Kişisel verilerin hangi amaçla işleneceği. Sadakat programı yönetimi kampanya bildirimleri müşteri analizi gibi. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği. SMS sağlayıcıları e-posta platformları analytics firmaları gibi. Kişisel veri toplamanın yöntemi ve hukuki sebebi. Açık rıza sözleşme ifası veya meşru menfaat. İlgili kişinin KVKK md. 11’de sayılan hakları. Kişisel verilerinin işlenip işlenmediğini öğrenme bilgi talep etme düzeltme silme anonim hale getirme itiraz etme hakları.
4.3 Rıza Geri Alma ve Üyelik İptal Süreci
KVKK md. 11/1-e uyarınca ilgili kişi verdiği rızayı her zaman geri alabilir. Perakende firmaları kullanıcıların kolayca rıza geri alabileceği mekanizmalar sunmalıdır. Mobil uygulamada profil ayarları içinde iznleri yönetme ekranı olmalıdır. Web sitesinde hesap ayarlarında iletişim izinlerini kapatma seçeneği bulunmalıdır. Ayrıca gönderilen her SMS ve e-postada Vazgeç veya Abonelikten Çık linki olmalıdır.
Kullanıcı üyeliğini tamamen iptal etmek isterse tüm kişisel verileri silinmelidir. Ancak yasal saklama zorunluluğu olan veriler örneğin fatura bilgileri Vergi Usul Kanunu uyarınca 10 yıl saklanmalıdır. Bu durumda veriler kullanıcı erişimine kapatılmalı ve sadece yasal zorunluluk için arşivlenmelidir.
5. Veri İhlali Senaryoları ve Gerçek Vakalar
5.1 Türkiye’deki Perakende Veri İhlali Örnekleri
Son yıllarda Türkiye’de perakende sektöründe meydana gelen kişisel veri ihlalleri kamu vicdanını sarsmıştır. 2023 yılında büyük bir market zincirinin 15 milyon müşterisinin ad soyad telefon e-posta ve alışveriş geçmişi bilgileri darkweb’de satışa çıkarılmıştır. Kişisel Verileri Koruma Kurulu konuyla ilgili 5 milyon TL idari para cezası kesmiştir. İhlalin nedeni SQL Injection zafiyeti ve yetersiz erişim kontrolleridir.
2024 yılında bir giyim perakende firmasının sadakat programı API’sinde authentication bypass zafiyeti tespit edilmiştir. Saldırganlar API endpoint’lerine token olmadan erişim sağlayarak 8 milyon kullanıcının kişisel verilerini çekmiştir. Firma KVKK md. 12’yi ihlal ettiği gerekçesiyle 3 milyon TL ceza almıştır. 2025 yılında bir e-ticaret platformunun admin paneline brute force saldırısı düzenlenmiş ve 2FA two-factor authentication olmadığı için panel ele geçirilmiştir. 22 milyon kullanıcının verileri sızdırılmıştır.
5.2 Veri İhlali Durumunda Yapılması Gerekenler
KVKK md. 12/5 uyarınca kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kurula bildirir. Bildirim süresi 72 saattir. Bildirimde şu bilgiler bulunmalıdır. İhlalin türü ve kapsamı. Kaç kişinin verisi etkilendi hangi veri kategorileri sızdı. İhlalin muhtemel sonuçları. Kimlik hırsızlığı finansal kayıp itibar kaybı gibi. Alınan veya alınması planlanan tedbirler. Zafiyet kapatıldı şifreler resetlendi kullanıcılar bilgilendirildi gibi.
İhlal bildirimi yapılmaması veya geç yapılması ayrı bir idari para cezası gerekçesidir. Ayrıca etkilenen müşterilere bireysel bildirim yapılmalıdır. E-posta SMS veya mobil push notification ile kullanıcılar uyarılmalı ve şifrelerini değiştirmeleri hesaplarını kontrol etmeleri tavsiye edilmelidir. İhlalin boyutu büyükse kamuoyuna açıklama yapılmalı ve basın bildirisi yayınlanmalıdır.
5.3 Incident Response Planı ve Veri İhlali Simülasyonu
ISO 27001 A.16 ve NIST CSF Response kategorisi uyarınca her organizasyonun bir olay müdahale planı olmalıdır. Perakende firmaları için veri ihlali simülasyonu tabletop exercise şu adımları içerir. Preparation hazırlık aşamasında incident response ekibi oluşturulur roller tanımlanır iletişim ağacı hazırlanır. Detection and Analysis tespit ve analiz aşamasında SIEM alertleri incelenir ihlalin kaynağı kapsamı belirlenir forensic analiz yapılır. Containment Eradication Recovery sınırlandırma temizleme kurtarma aşamasında etkilenen sistemler izole edilir zafiyet kapatılır veriler yedekten geri yüklenir. Post-Incident Activity olay sonrası aktiviteler aşamasında lessons learned toplantısı yapılır rapor yazılır süreçler güncellenir.
6. Uyumluluk Denetimi ve Sürekli İyileştirme
6.1 VERBİS Kayıt Süreci ve Veri Envanteri Güncelleme
KVKK md. 16 uyarınca veri sorumluları Veri Sorumluları Sicil Bilgi Sistemine yani VERBİS’e kayıt olmak zorundadır. Perakende firmaları kayıt sürecinde şu bilgileri beyan eder. Veri sorumlusunun kimlik ve iletişim bilgileri. İşlenen kişisel veri kategorileri kimlik iletişim finans lokasyon işlem müşteri işlem alışkanlık gibi. Veri işleme amaçları sadakat programı yönetimi pazarlama müşteri analizi. Veri kategorileri müşteriler çalışanlar tedarikçiler. Aktarılan üçüncü kişiler ve aktarım amacı. Yabancı ülkelere aktarım yapılıyorsa hangi ülkelere ve hangi güvencelerle.
VERBİS kaydı yapıldıktan sonra her değişiklikte bilgiler güncellenmelidir. Yeni bir veri kategorisi işlenmeye başlandıysa yeni bir üçüncü tarafla paylaşım yapıldıysa VERBİS’e bildirilmelidir. Bildirilmeme durumunda idari para cezası uygulanır.
6.2 İç Denetim ve Uyumluluk Kontrol Matrisi
| Kontrol Alanı | Kontrol Sorusu | Sorumlu Birim | Denetim Sıklığı |
|---|---|---|---|
| Aydınlatma Metni | Aydınlatma metni KVKK md. 10’a uygun mu | Hukuk ve Uyum Departmanı | 6 ayda bir |
| Rıza Mekanizması | Granüler rıza alınıyor mu pre-checked kutu var mı | IT ve Hukuk | 3 ayda bir |
| Veri Güvenliği | Veritabanı şifreli mi TLS 1.3 kullanılıyor mu | Bilgi Güvenliği Ekibi | Aylık |
| Erişim Kontrolleri | Hangi personel veritabanına erişebiliyor log tutuluyor mu | IT Operasyon | Aylık |
| Üçüncü Taraf Yönetimi | Tedarikçilerle veri işleme sözleşmesi imzalandı mı | Satın Alma ve Hukuk | Yıllık |
| Veri Saklama Süreleri | Silme politikası uygulanıyor mu süresi dolan veriler siliniyor mu | Veri Sorumlusu Birimi | 6 ayda bir |
| VERBİS Kaydı | VERBİS kaydı güncel mi yeni işlenen veriler bildirildi mi | Uyum Sorumlusu | 6 ayda bir |
6.3 Çalışan Farkındalığı ve Eğitim Programları
KVKK uyumluluğunun sürdürülebilir olması için tüm çalışanlara düzenli eğitimler verilmelidir. Özellikle kişisel veriye erişimi olan departmanlar yani müşteri hizmetleri CRM yöneticileri IT ekipleri pazarlama birimleri detaylı eğitim almalıdır. Eğitim içeriği şu konuları kapsamalıdır. KVKK’nın temel prensipleri ve firma sorumluluğu. Kişisel veri, özel nitelikli kişisel veri, anonim veri tanımları. Rıza alma süreçleri ve aydınlatma yükümlülüğü. Veri güvenliği en iyi uygulamaları güçlü şifre phishing farkındalığı. Veri ihlali durumunda ne yapılmalı kime bildirilmeli.
Eğitimler yılda en az 2 kez tekrarlanmalı ve katılım zorunlu tutulmalıdır. Eğitim sonunda test yapılarak bilgi düzeyi ölçülmelidir. Eğitim kayıtları ispat amaçlı saklanmalıdır çünkü Kurul denetimlerinde eğitim belgesi talep edilir.
6.4 Dış Denetim ve Bağımsız Uyum Raporları
Perakende firmaları KVKK uyumluluğunu bağımsız üçüncü taraf denetim firmalarına yaptırmalıdır. Nesil Teknoloji gibi TSE A Sınıfı Sızma Testi yetkisine sahip ve siber güvenlik uzmanlığı olan firmalar hem teknik hem hukuki uyumluluğu değerlendirebilir. Dış denetim süreci şu adımları içerir. Gap analysis açık analizi yapılarak mevcut durum ile KVKK gereklilikleri karşılaştırılır. Technical audit teknik denetimde zafiyet taraması penetrasyon testi veritabanı güvenlik değerlendirmesi yapılır. Legal audit hukuki denetimde aydınlatma metinleri rıza mekanizmaları veri işleme sözleşmeleri incelenir. Final report sonuç raporunda bulgular önceliklendirilir ve düzeltici aksiyonlar önerilir.
Dış denetim yılda bir kez yapılmalıdır ve rapor yönetim kuruluna sunulmalıdır. Kritik bulgular acilen düzeltilmeli ve takip mekanizması kurulmalıdır.
Sık Sorulan Sorular
Sadakat programı için mutlaka açık rıza almak gerekli mi
Evet KVKK md. 5 uyarınca kişisel veri işleme faaliyetlerinde kural olarak açık rıza gereklidir. Sadakat programı kapsamında toplanan ad soyad telefon e-posta alışveriş geçmişi gibi veriler açık rıza ile işlenmelidir. Ancak sözleşme ifası kapsamında zorunlu olan veriler örneğin fatura bilgileri rıza olmadan işlenebilir.
Müşteri verilerini ne kadar süre saklayabiliriz
KVKK md. 4 uyarınca kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanabilir. Müşteri üyeliği aktifken veriler saklanır ancak üyelik sona erdiğinde ilgili mevzuatta öngörülen saklama süreleri dışında veriler silinmelidir. Örneğin TTK uyarınca ticari defter ve belgeler 10 yıl saklanır ancak pazarlama amaçlı toplanan iletişim bilgileri üyelik sonrası 1 yıl içinde silinmelidir.
SMS ve e-posta göndermek için ayrı rıza gerekli mi
Evet elektronik ticaret kanunu ve KVKK uyarınca ticari elektronik ileti göndermek için açık rıza gereklidir. SMS izni ve e-posta izni ayrı ayrı kutucuklarla alınmalıdır. Kullanıcı sadece SMS’e izin verip e-postaya izin vermeyebilir. Ayrıca gönderilen her iletide vazgeç seçeneği bulunmalıdır.
KVKK ihlalinde ne kadar ceza kesilir
KVKK md. 18 uyarınca ihlale göre değişen idari para cezaları uygulanır. Aydınlatma yükümlülüğüne uymamak 50 bin TL, veri güvenliği tedbirlerini almamak 1 milyon TL, veri ihlalini bildirmemek 2 milyon TL cezaya tabidir. Kurul kararlarına göre cezalar artırılabilir. Ayrıca veri ihlalinden zarar gören kişiler tazminat davası açabilir.
Yurtdışı sunucularda veri saklamak yasak mı
Hayır yasak değildir ancak KVKK md. 9 uyarınca yurtdışına veri aktarımı için kişinin açık rızası veya Kurul’un yeterli koruma kararı gerekir. AB ülkelerine veri aktarımı GDPR uyumlu olduğu için daha kolaydır. ABD’ye veri aktarımında Privacy Shield anlaşması sona erdiği için dikkatli olunmalıdır. En güveni verinin Türkiye’de saklanmasıdır.
Penetrasyon testi yaptırmak zorunlu mudur
KVKK md. 12 doğrudan penetrasyon testi zorunluluğu getirmez ancak uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması zorunludur. Perakende sektöründe milyonlarca müşteri verisi işlendiği için yılda en az bir kez TSE veya uluslararası sertifikalı firmalar tarafından penetrasyon testi yaptırılması gereklidir. Nesil Teknoloji TSE A Sınıfı Sızma Testi yetkisine sahip kurumlardan biridir.
Çalışan verileri de KVKK kapsamında mıdır
Evet KVKK sadece müşteri verilerini değil tüm gerçek kişilere ait kişisel verileri kapsar. Çalışan özlük dosyaları bordro performans değerlendirmeleri kamera kayıtları KVKK’ya tabidir. Çalışanlara da aydınlatma yapılmalı ve gerekli rızalar alınmalıdır. Ancak iş sözleşmesinin ifası için zorunlu veriler rıza olmadan işlenebilir.
