KVKK Uyum Planı Veri Sorumluları İçin 8 Adımda Uygulama Rehberi

1. Hâlihazırdaki Durumun Saptanması

KVKK uyum sürecinin ilk adımı, kurumun kişisel veri işleme faaliyetlerini “uçtan uca” görünür kılmaktır. Bu aşama; envanterin temelini oluşturur ve sonraki tüm dokümantasyon ile teknik kontrollerin doğru tasarlanmasını sağlar.

Bu adımda yapılacaklar

• Toplanan ve işlenen kişisel verilerin (veri kategorisi + veri konusu kişi grubu) saptanması
• Bu verilerin toplanma/işlenme amaçlarının ve amaca hâlen ihtiyaç olup olmadığının değerlendirilmesi
• Saklama süreleri ve imha ihtiyaçlarının belirlenmesi (yasal/iş gerekliliği + minimizasyon)
• Üçüncü kişilere aktarılan verilerin ve aktarım amaçlarının/kanallarının çıkarılması
• Aydınlatma yapılıp yapılmadığının ve gerekiyorsa açık rıza akışlarının kontrol edilmesi
• Mevcut idari ve teknik tedbirlerin envanterinin çıkarılması (mevcut durum fotoğrafı)

2. Teknik Önlemlerin Belirlenmesi ve Uygulamaya Geçirilmesi

Bu aşama, KVKK m.12 kapsamındaki veri güvenliği yükümlülüğünün operasyonel karşılığıdır. Hedef; kişisel veri işlenen ortamlarda erişimi kontrol altına almak, izlenebilirliği sağlamak ve veri kaybı/ihlali riskini ölçülebilir biçimde düşürmektir.

Minimum teknik kontrol seti

• Uyum sürecine öncülük edecek rol ve kişilerin yetkilerinin belirlenmesi
• Kişisel verilere erişim ve veri işleme faaliyetleri için rol bazlı yetkilendirme ve kullanıcı hesap yönetimi
• Kişisel verilerin işlendiği sistemlerde uygulama, sistem ve ağ güvenliği (güvenlik duvarı, segmentasyon, sertleştirme)
• Risk tespiti, güvenlik testleri (zafiyet taraması/sızma testi) ve periyodik kontrollerin planlanması
• Güçlü parola politikası, MFA ve anahtar yönetimi süreçlerinin kurulması
• Kişisel verilerin bölümlendirilmesi ve gerekiyorsa maskeleme/anonimleştirme yaklaşımı
• Veri kaybını önleme, yedekleme ve geri dönüş testleri ile iş sürekliliği güvence altına alınması
• Gereksiz verilerin silinmesi/yok edilmesi/anonim hâle getirilmesi için işletilen süreç

3. Yönetmeliğe Uygunluk Kontrolünün Yapılması

Bu adımda hedef; kişisel veri işleme faaliyetlerinin KVKK ve ilgili ikincil düzenlemelerle uyumlu olup olmadığını, süreç bazında kontrol etmektir. Çıktı; tespit, risk ve aksiyon planıdır.

Kontrol başlıkları

• Kişisel verilerin işlenmesi ve saklanmasına ilişkin yükümlülüklerin uygunluk kontrolü
• Kişisel verilerin yurt içi aktarımı (alıcı grupları, amaç, hukuki sebep, sözleşme)
• Kişisel verilerin yurt dışı aktarımı (mekanizma, süreç, risk, dokümantasyon)
• Pazarlama ve reklam faaliyetlerinin uyum kontrolü (izin, ticari ileti, çerezler vb.)
• Özel nitelikli kişisel veri işlenip işlenmediği ve işleniyorsa uygunluk/tedbir seviyesi

4. Kurumsal Dokümanların Düzenlenmesi ve Kişisel Veri Envanteri Hazırlanması

Bu aşama, uyum planının “yönetişim ve belgelendirme” katmanıdır. Envanter; VERBİS beyanının, aydınlatma metinlerinin, saklama-imha politikasının ve risk çalışmalarının temel dayanağıdır.

Dokümantasyon seti

• Kişisel Veri İşleme Envanterinin düzenlenmesi ve süreç bazlı güncellenmesi
• Erişim, bilgi güvenliği, çerez, saklama ve imha politikaları dâhil politika setinin oluşturulması
• Veri ihlali yönetimi, açık rıza prosedürü, yurt dışı aktarım yöntemi gibi prosedürlerin hazırlanması
• Üçüncü taraf sözleşmeleri ve çalışan sözleşmelerine KVKK hükümlerinin eklenmesi; gizlilik sözleşmelerinin yapılandırılması
• Kurum içi disiplin mevzuatının KVKK yükümlülükleriyle uyumlu şekilde güncellenmesi

5. Aydınlatma Metinleri ve Açık Rıza Beyanlarının Düzenlenmesi

Aydınlatma yükümlülüğü; ilgili kişinin şeffaf biçimde bilgilendirilmesini sağlar. Açık rıza ise yalnızca gerekli hallerde, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle alınmalıdır.

Bu adımda yapılacaklar

• Kişisel veri işleme amaçları, alıcı grupları, toplama yöntemi ve hukuki sebep ile ilgili kişinin haklarını içeren aydınlatma metinlerinin düzenlenmesi
• Gereken süreçler için (ör. pazarlama, bazı özel nitelikli veriler vb.) açık rıza beyanlarının hazırlanması
• Aydınlatma + açık rıza akışının kanıtlanabilir şekilde işletilmesi (kayıt, zaman damgası, versiyon)

6. Veri Sorumlusuna Başvuru Usulünün Saptanması ve Başvuru Sisteminin Kurulması

İlgili kişilerin KVKK kapsamındaki taleplerini yönetecek bir başvuru mekanizması; hem hak yönetimi hem de kurumsal risk yönetimi açısından zorunlu bir kontrol alanıdır. Bu sistem; başvurunun alınması, sınıflandırılması, değerlendirilmesi, yanıtlanması ve arşivlenmesini kapsamalıdır.

Minimum sistem bileşenleri

• Başvuru kanallarının tanımlanması (web formu, e-posta, KEP, posta vb.)
• İş akışı: kayıt → doğrulama → değerlendirme → yanıt → arşiv
• Süreç sorumluları ve yedekleri, SLA ve kanıt düzeni

7. Çalışanların Eğitimi

KVKK uyumunun sürdürülebilirliği; kurum içi farkındalık ve davranış standartlarının yerleşmesine bağlıdır. Eğitim programı; rol bazlı (İK, IT, satış, çağrı merkezi, güvenlik vb.) tasarlanmalı ve periyodik olarak yenilenmelidir.

• Düzenli aralıklarla KVKK eğitimleri ve farkındalık çalışmaları
• Yeni işe girişlerde işbaşı eğitimleri (politikalar, gizlilik, veri ihlali bildirimi)
• Eğitim katılım kayıtları ve değerlendirme çıktıları (mini sınav, imza, LMS raporu)

8. VERBİS Kayıt İşlemi

VERBİS kaydı; envanter ve kontrol seti olgunlaştıktan sonra, beyanların gerçeğe uygunluğu esas alınarak yürütülmelidir. Bu adımda amaç; veri sorumlusuna ilişkin temel bilgiler ile kişisel veri işleme kategorilerinin sicile doğru aktarılmasıdır.

Bu adımda yapılacaklar

• Veri sorumlusu (ve varsa temsilci) kimlik/adres bilgilerinin sisteme girilmesi
• VERBİS üzerinden irtibat kişisi atanması
• Veri kategorileri, işleme amaçları, alıcı grupları, veri konusu kişi grupları ve veri güvenliği tedbirlerine ilişkin bildirimlerin yapılması

9. Sık Sorulan Sorular (SSS)