KVKK Kapsamında mısınız? VERBİS Yükümlülüğü İçin KVKK Kapsam Testi

KVKK · Veri Sorumlusu · VERBİS Kaydı

KVKK Kapsamında mısınız? 11 Soruluk KVKK Kapsam Testi ve VERBİS Yükümlülüğü

KVKK (Kişisel Verileri Koruma Kanunu) kapsamı içerisinde olup olmadığınızı anlamak, yalnızca hukuki bir zorunluluk değildir; aynı zamanda kurumsal itibarınızı, müşteri güvenini ve veri güvenliğini doğrudan etkileyen stratejik bir karardır. Kişisel veri işliyorsanız, büyük ihtimalle KVKK anlamında bir “veri sorumlusu” konumundasınız ve buna bağlı çeşitli yükümlülükleriniz bulunuyor.

Aşağıdaki 11 soruluk KVKK kapsam testi, ceza mahkûmiyeti ve sağlık verileri, kamera ve biyometrik kayıtlar, eski müşteri verilerinin saklanması, yurtdışı e-posta sağlayıcıları, silme/anonimleştirme süreçleri ve özel nitelikli verilerin korunması gibi başlıca risk alanlarını kontrol etmenize yardımcı olur. Sorulardan yalnızca birine bile “Evet” diyorsanız, KVKK kapsamındasınız demektir ve büyük ölçüde Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olma gerekliliğiniz doğar.

KVKK Kapsamı ve Veri Sorumlusu Kimdir? 11 Soruluk KVKK Kapsam Testini Gör

İçindekiler 1. KVKK Kapsamı ve Veri Sorumlusu Kimdir? 2. KVKK Kapsam Testi: 11 Temel Soru 3. VERBİS Nedir? Kimler Kayıt Olmak Zorundadır? 4. Silme/Anonimleştirme ve Özel Nitelikli Veriler İçin Tedbirler 5. KVKK Uyum Sürecini Nasıl Başlatırsınız? 6. Sık Sorulan Sorular

Hızlı Özet

Test: 11 sorudan herhangi birine “Evet” diyorsanız, KVKK kapsamındasınız.
Sonuç: KVKK anlamında veri sorumlusu sayılır ve büyük ölçüde VERBİS’e kayıt yükümlülüğünüz ortaya çıkar.
Odak alanlar: Kamera kayıtları, biyometrik veriler, özel nitelikli kişisel veriler, yurtdışı e-posta sağlayıcıları, aydınlatma ve açık rıza süreçleri, silme/anonimleştirme yükümlülükleri.
İhtiyaç: KVKK uyum projesi, teknik ve idari tedbirler, sözleşme ve doküman güncellemeleri.

KVKK Kapsam Testi Veri Sorumlusu VERBİS Kaydı Kişisel Verilerin Korunması

Not: Bu içerikte yer alan test, KVKK kapsamınızı anlamak için pratik ve genel bir rehber niteliğindedir. Kesin hukuki değerlendirme için iş modeliniz, veri kategorileriniz ve çalışan/müşteri sayınız dikkate alınarak uzman bir KVKK danışmanı veya hukukçu ile detaylı analiz yapılması önemlidir.

Category: Blog · KVKK | Yazar: Aydın Uygar | Yayın Tarihi: 6 Ağustos 2021

1. KVKK Kapsamı ve Veri Sorumlusu Kimdir?

KVKK (Kişisel Verileri Koruma Kanunu), kimliği belirli veya belirlenebilir gerçek kişilere ait her türlü bilginin işlenmesini düzenler. Müşteri, çalışan, ziyaretçi, tedarikçi, aday çalışan, online kullanıcı vb. kişilere ait verileri topluyorsanız, büyük ihtimalle KVKK kapsamındasınız.

Kanuna göre “veri sorumlusu”, kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Kısaca:

Şirketiniz adına kişisel veri topluyor, saklıyor, kullanıyor veya aktarıyorsanız,
Hangi verilerin hangi amaçla, ne kadar süre ile saklanacağına karar veriyorsanız,

KVKK anlamında “veri sorumlusu” sıfatını taşıyorsunuz demektir.

Aşağıdaki 11 soru, KVKK kapsamındaki temel işleme faaliyetlerinizi sorgulamanız için hazırlanmıştır. Sorulardan yalnızca birine bile “Evet” yanıtı veriyorsanız, KVKK kapsamındasınız ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yükümlülüğünüz doğabilir.

2. KVKK Kapsam Testi: 11 Temel Soru

Aşağıdaki soruları iş modelinizi, insan kaynakları süreçlerinizi, güvenlik uygulamalarınızı ve pazarlama faaliyetlerinizi düşünerek cevaplayın. Herhangi bir soruya “Evet” demeniz, KVKK kapsamı içine girdiğiniz ve veri sorumlusu olarak yükümlülükleriniz olduğu anlamına gelir.

No	Soru	Evet ise ne anlama gelir?
1	Müşteri veya personel dosyalarında ceza mahkûmiyeti ve güvenlik tedbirleri ile ilgili kayıtları (adli sicil kaydı) veya sağlık kayıtlarını muhafaza ediyor musunuz?	“Evet” ise, özel nitelikli kişisel veriler işliyorsunuz demektir; bu da daha sıkı teknik ve idari tedbirler gerektirir.
2	İşyerinizde kamera görüntüleri ve/veya ses kayıtları bir veri kayıt ortamına kaydedilmekte midir?	“Evet” ise, izleme/gözetim yoluyla kişisel veri işliyorsunuz ve buna ilişkin aydınlatma, saklama süresi ve güvenlik yükümlülükleriniz vardır.
3	İşyerine giriş/çıkışlarda yüz tanıma, parmak izi okutma gibi biyometrik uygulamalar mevcut mudur?	Biyometrik veriler özel nitelikli kişisel veridir; “Evet” yanıtı, yüksek seviyede teknik/idari tedbir ve ayrıntılı hukuki gerekçe gerektirdiğini gösterir.
4	Uzun süredir ticari etkileşiminiz olmasa da eski müşterilerin kimlik/adres/telefon bilgilerini hâlâ muhafaza ediyor musunuz?	“Evet” ise, saklama süresi, veri minimizasyonu ve silme/anonimleştirme yükümlülükleri açısından risk altındasınız.
5	Danışmanlık başta olmak üzere hizmet aldığınız ve veri paylaştığınız firmalar ile yaptığınız sözleşmelerde KVKK’ya ilişkin hükümler mevcut mu?	“Hayır” ise, veri işleyenlerle yapılan sözleşmelerde eksik olduğu anlamına gelir ve üçüncü taraf kaynaklı veri ihlallerinde sorumluluğunuz artar.
6	Ticari faaliyetleriniz kapsamında müşterilerinize ait telefon numaralarına elektronik ileti (kampanya, bilgilendirme vb.) gönderiyor musunuz?	“Evet” ise, KVKK yanında Ticari İletişim ve Ticari Elektronik İletiler mevzuatı bakımından da yükümlülükleriniz vardır.
7	Kişisel verilerine sahip olduğunuz kimselerden, verileri kullanma, saklama ve diğer amaçlar için muvafakatname/açık rıza alıyor musunuz?	“Evet” ise, açık rıza süreçleriniz vardır; ancak bu rızaların belirli, açık ve özgür iradeye dayalı olup olmadığı ayrıca değerlendirilmelidir.
8	Kişisel verileri işlenen ilgili kişilere, verilerinin kullanımına ilişkin hakları ve işleme amaçları hakkında aydınlatma yapıyor musunuz?	“Hayır” ise, KVKK m.10’daki aydınlatma yükümlülüğünü ihlal ediyor olabilirsiniz.
9	Şirketinizde kullanmakta olduğunuz e-posta sağlayıcısı yurtdışı merkezli bir şirket midir? (Office 365, Yandex, Gmail vb.)	“Evet” ise, e-posta trafiğiniz üzerinden yurtdışına kişisel veri aktarımı söz konusu olabilir ve bu, KVKK’da özel kurallara tabidir.
10	Şirketiniz bünyesinde bulunan kişisel verilerin işlenme şartları ortadan kalktığında verilerin silinmesi, anonim hâle getirilmesi veya yok edilmesi işlemlerinden birini gerçekleştiriyor musunuz?	“Hayır” ise, KVKK m.7’de yer alan silme, yok etme ve anonimleştirme yükümlülükleri bakımından eksikleriniz olabilir.
11	Şirketiniz bünyesinde bulunan özel nitelikli kişisel verilerin muhafazası için gerekli teknik ve idari tedbirleri aldınız mı?	“Hayır” ise, KVKK Kurul kararları ve rehberlerine aykırı bir durum söz konusu olabilir ve yüksek idari para cezası riski altındasınız.

Önemli: Bu sorulardan yalnızca birine bile “Evet” cevabı vermeniz, KVKK anlamında veri sorumlusu olduğunuzu ve çoğu durumda VERBİS kaydı ile KVKK uyum sürecini başlatmanız gerektiğini gösterir.

3. VERBİS Nedir? Kimler Kayıt Olmak Zorundadır?

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının kişisel veri işleme faaliyetlerini kayıt altına almak için Kişisel Verileri Koruma Kurumu tarafından oluşturulmuş çevrimiçi bir sicil sistemidir. KVKK kapsamında veri sorumlusu iseniz, belirli şartlar çerçevesinde VERBİS’e kayıt yükümlülüğünüz doğar.

Kapsam testi sonucunda KVKK kapsamında olduğunuzu tespit ettiyseniz, sıradaki adım VERBİS yükümlülüklerinizi değerlendirmektir. Bu kapsamda:

Şirketinizin çalışan sayısı, finansal büyüklüğü ve işlediği kişisel veri türleri dikkate alınarak, muafiyet durumu ve kayıt zorunluluğu analiz edilmelidir.
VERBİS kaydı sadece bir form doldurmak değil; veri envanteri, saklama süreleri, aktarımlar, teknik/idari tedbirler gibi detaylı bilgilerin sisteme girilmesini gerektirir.
Kayıt öncesinde mutlaka KVKK uyum projesi, envanter çalışması ve süreç analizi yapılmalıdır.

Kişisel Verileri Koruma Kurumu’nun resmi sayfasını incelemek için buraya tıklayabilirsiniz.

4. Silme/Anonimleştirme ve Özel Nitelikli Veriler İçin Tedbirler

KVKK kapsamındaki en kritik alanlardan bazıları; verilerin gereğinden uzun süre saklanması ve özel nitelikli kişisel verilerin yeterli güvenlik olmadan işlenmesidir. Kapsam testinde özellikle 1, 4, 10 ve 11 numaralı sorular bu alanlara işaret eder.

4.1. Silme, Yok Etme ve Anonimleştirme Süreçleri

Kişisel verilerin işlenme amacı ortadan kalktığında, ilgili veriler silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
Eski müşteri verilerini “belki lazım olur” düşüncesiyle süresiz saklamak, KVKK’nın veri minimizasyonu ve saklama süresi ilkelerine aykırıdır.
Silme/anonimleştirme işlemleri, kayıt altına alınmalı ve periyodik imha politikası çerçevesinde yürütülmelidir.

4.2. Özel Nitelikli Kişisel Veriler İçin Ek Tedbirler

Ceza mahkûmiyeti, sağlık bilgileri, biyometrik veriler gibi özel nitelikli kişisel veriler, KVKK’da ayrı ve daha sıkı koruma gerektiren bir kategori olarak düzenlenmiştir. Bu veriler için:

Rol bazlı sıkı erişim kontrolü uygulanmalı,
Veri şifreleme, loglama, güvenli ortamda saklama gibi teknik tedbirler alınmalı,
Politika ve prosedürler, eğitimler ve sözleşme hükümleri gibi idari tedbirler uygulanmalıdır.

Özet: KVKK uyumu sadece bir metin hazırlamak değil; verinin yaşam döngüsünün her aşamasında (toplama, saklama, aktarma, silme) sistematik tedbirler almak anlamına gelir.

5. KVKK Uyum Sürecinizi Nasıl Başlatırsınız?

Eğer kapsam testindeki sorulardan birine dahi “Evet” yanıtı verdiyseniz, artık KVKK uyum sürecinizi başlatma zamanı gelmiş demektir. Bu süreç genellikle aşağıdaki adımları içerir:

Mevcut durum analizi: Hangi süreçlerde, hangi kişisel verileri işlediğinizin çıkarılması (veri envanteri).
Hukuki analiz: İşleme amaçlarına göre hukuki sebeplerin (açık rıza, sözleşme, hukuki yükümlülük, meşru menfaat vb.) belirlenmesi.
Teknik ve idari tedbirler: Ağ güvenliği, erişim kontrolü, loglama, yedekleme, eğitimler, politika ve prosedürlerin oluşturulması.
Dökümantasyon: Aydınlatma metinleri, açık rıza metinleri, politika ve prosedürler, sözleşme ekleri, veri işleyen sözleşmeleri vb.
VERBİS kaydı: Veri envanteri ve alınan tedbirler ışığında, Veri Sorumluları Sicili’ne kayıt.

KVKK uyum danışmanlığı sürecinizi başlatmak için KVKK Uyum Danışmanlığı teklifi almak üzere buraya tıklayabilirsiniz.

6. Sık Sorulan Sorular

Bu sorulardan birine bile “Evet” demek gerçekten KVKK kapsamındayım demek mi?

Evet. Sorular, KVKK’nın tipik uygulama alanlarına yöneliktir. Bir soruya bile “Evet” demeniz, kişisel veri işlediğiniz ve dolayısıyla KVKK kapsamına girdiğiniz anlamına gelir. Detaylı yükümlülükleriniz; ölçeğiniz, işlediğiniz verilerin niteliği ve faaliyet alanınıza göre ayrıca analiz edilmelidir.

Küçük ölçekli bir işletmeyim, yine de KVKK ve VERBİS kapsamında mıyım?

İşletmenin ölçeği ne olursa olsun kişisel veri işliyorsanız, KVKK hükümleri sizin için de geçerlidir. VERBİS kaydı açısından ise çalışan sayısı, bilanço büyüklüğü, işlediğiniz verilerin niteliği gibi kriterler önemlidir. Bu nedenle muafiyet durumunuz mutlaka uzmanla değerlendirilmelidir.

Yurtdışı merkezli e-posta sağlayıcısı kullanmak KVKK açısından risk midir?

Evet, olabilir. Yurtdışı merkezli e-posta sağlayıcıları üzerinden yapılan iletişim, kişisel verilerin yurt dışına aktarılması sonucunu doğurabilir. Bu durumda KVKK’da düzenlenen yurt dışına veri aktarma şartları ve Kurul kararları dikkate alınmalıdır.

Kamera ve biyometrik kayıtları için ayrıca ne yapmalıyım?

Kamera ve biyometrik veri işleme faaliyetleri, hem KVKK hem de özel nitelikli veri hükümleri bakımından daha hassas alanlardır. Ayrıntılı aydınlatma yapılmalı, erişim yetkileri sınırlandırılmalı, kayıt süreleri makul tutulmalı ve yüksek seviyede teknik/idari tedbirler uygulanmalıdır.

Kişisel Verileri Koruma Kurumu’nu nereden takip edebilirim?

Güncel Kurul kararları, rehberler, duyurular ve VERBİS ile ilgili bilgilendirmeler için Kişisel Verileri Koruma Kurumu’nun resmi internet sitesini ziyaret edebilirsiniz.

Blog KVKK Kişisel Verileri Koruma Kanunu Kişisel Verileri Koruma Kanunu Danışmanlığı KVKK Danışmanlık Veri Sorumluları Sicil Bilgi Sistemi