KVKK Neden Herkesi Kapsar? Yükümlülükler, Tedbirler ve Cezalar
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesini disiplin altına alırken; veri sorumlularına şeffaflık, hesap verebilirlik, veri güvenliği ve süreç yönetimi temelinde ciddi yükümlülükler getirir. Kanunun “kapsayıcı” yapısı; yalnızca özel sektörle sınırlı kalmayıp, kamu kurum ve kuruluşlarını da veri sorumlusu sıfatıyla sorumluluk alanına dahil eder.
Kapsam: Otomatik veya veri kayıt sisteminin parçası olan işlemede KVKK uygulanır.
Yükümlülük: Aydınlatma, veri güvenliği, VERBİS, başvuru yönetimi ve Kurul kararlarına uyum.
Risk: Doküman-uygulama tutarsızlığı ve tedbir eksiklikleri cezai/itibari etki doğurur.
Hedef: Kurum genelinde sürdürülebilir gizlilik & güvenlik kültürü.
1. KVKK Kimlere Uygulanır?
KVKK, kişisel verilerin tamamı veya bir kısmı otomatik yollarla işlenmesi ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işlenmesi halinde uygulanır. Bu kapsam; faaliyet alanı, sektör veya ölçek ayrımı olmaksızın kişisel veri işleyen gerçek ve tüzel kişileri kapsar.
Bu çerçevede;
- Özel hukuk tüzel kişileri (şirketler, dernek/vakıf vb.)
- Gerçek kişiler (kanunun uygulanabilirlik şartları oluştuğunda)
- Yurt içinde veya yurt dışında yerleşik veri işleyen yapılar
- Kamu kurum ve kuruluşları (veri sorumlusu sıfatıyla)
KVKK’nın kapsam yaklaşımı; “kim işliyor?” sorusundan önce “nasıl işleniyor?” sorusuna odaklanır. Bir başka ifadeyle, veri işleme faaliyeti teknik anlamda kanundaki eşiği aşıyorsa, veri sorumlusu yükümlülükleri gündeme gelir.
2. KVKK ile Açığa Çıkan Yeni Sorumluluk Alanları
KVKK ile birlikte “kişisel verileri işleyen” yapılar veri sorumlusu olarak konumlanmış ve veri sorumlularına çok katmanlı yükümlülük alanları tanımlanmıştır. Bu alanlar; yalnızca hukuki metinlerden ibaret olmayıp, kurumsal işleyişte süreç ve kontrol tasarımını zorunlu hale getirir.
Öne çıkan sorumluluk başlıkları
- Aydınlatma yükümlülüğü (şeffaflık ve bilgilendirme)
- VERBİS kayıt/bildirim (yükümlülüğü olanlar için)
- Kurul kararlarına uyum ve iç uyum mekanizmaları
- İlgili kişi başvurularının yönetimi ve yanıtlanması
- Veri güvenliği (teknik ve idari tedbirler, olay yönetimi)
3. Aydınlatma, VERBİS, Başvuru Yönetimi: Operasyonel Yükümlülükler
3.1 Aydınlatma yükümlülüğü
Veri sorumluları; kişisel veri elde edilirken ilgili kişilere belirli asgari unsurları kapsayacak şekilde bilgi vermekle yükümlüdür. Bu bilgilendirme; kurumun “şeffaflık standardı”nı ve ispat kabiliyetini doğrudan etkiler.
- Veri sorumlusunun (ve varsa temsilcisinin) kimliği
- Veri işleme amaçları
- Aktarım yapılabilecek alıcı grupları ve amaç
- Toplama yöntemi ve hukuki sebep
- İlgili kişi hakları ve başvuru kanalı
3.2 VERBİS kayıt ve bildirim yönetimi
VERBİS yükümlülüğü bulunan veri sorumluları açısından; sisteme yapılan bildirimlerin envanter, saklama-imha politikası ve aydınlatma metinleri ile uyumu kritik bir kontrol noktasıdır. Beyan edilen kapsam ile fiili süreçler arasında farklılık oluşması, uyum riskini büyütür.
3.3 İlgili kişi başvurularının değerlendirilmesi
KVKK kapsamındaki ilgili kişi taleplerinin standart, izlenebilir ve gerekçeli şekilde yönetilmesi gerekir. Veri sorumlusu; başvuruyu değerlendirip talebi karşılamak veya gerekçesini açıklayarak reddetmekle sorumludur.
4. Teknik ve İdari Tedbirlerin Alınması (KVKK m.12 Perspektifi)
Veri sorumluları; kişisel verilerin hukuka aykırı işlenmesini ve hukuka aykırı erişimi önlemek, kişisel verilerin muhafazasını sağlamak için uygun güvenlik seviyesini temin edecek her türlü teknik ve idari tedbiri almakla yükümlüdür.
4.1 Fiziksel ortam (matbu evrak) tedbirleri
- Kilitli dolap/arşiv odası, erişim yetkilendirmesi ve ziyaretçi yönetimi
- Yangın/su baskını riskine karşı koruma ve iş sürekliliği yaklaşımı
- İmha süreçleri (parçalama, yakma, güvenli bertaraf) ve kayıt altına alma
4.2 Bilişim sistemleri (dijital ortam) tedbirleri
- Güvenlik duvarı, EDR/antivirüs, ağ segmentasyonu
- Şifreleme ve anahtar yönetimi (at-rest / in-transit)
- Kimlik ve erişim yönetimi (MFA, rol bazlı yetki, ayrıcalıklı hesap yönetimi)
- Loglama, izleme ve olay müdahale süreçleri
- Zafiyet yönetimi ve yamalama disiplini
- Yedekleme, felaket kurtarma ve test planları
4.3 İdari tedbirler (insan + süreç)
- Çalışan eğitimleri ve farkındalık programları
- Yetki matrisi, görev ayrılığı, disiplin hükümleri
- Politika ve prosedür seti: envanter, saklama-imha, erişim, çerez, tedarikçi yönetimi
- Veri işleyen sözleşmeleri ve tedarikçi denetim yaklaşımı
5. KVKK İdari Para Cezaları ve Uygulama Notları
KVKK yükümlülüklerini yerine getirmeyen veri sorumluları açısından idari para cezaları; ihlalin niteliğine göre farklı başlıklarda gündeme gelir. İdari para cezaları hem gerçek hem tüzel kişiler bakımından uygulanabilir.
| İhlal Başlığı | Risk Notu |
|---|---|
| Aydınlatma yükümlülüğünün yerine getirilmemesi | Şeffaflık ve ispat zafiyeti; başvurular ve şikâyetlerde hızlı risk üretir. |
| Veri güvenliği yükümlülüğünün ihlali | Teknik/idari tedbir eksikliği; ihlal sonrası “çarpan etkisi” ile itibar + ceza riskini büyütür. |
| Kurul kararlarının yerine getirilmemesi | Denetimlerde en kritik kırılım; uyum programının yönetim katında sahiplenilmesini gerektirir. |
| VERBİS kayıt/bildirim yükümlülüğüne aykırılık | Envanter ve fiili süreçlerin uyumsuzluğu; beyan yönetimi riskine dönüşür. |
Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarında kabahat işlendiğinde; ilgili personel bakımından disiplin hükümleri devreye girebilir ve sonuç Kurul’a bildirilebilir.
6. KVKK Neden Gizlilik ve Güvenlik Kültürünü Mecburî Kılar?
KVKK; veri sorumlularına yükümlülükler, ilgili kişilere haklar tanıyarak kurumlarda gizlilik ve güvenlik kültürünün yapılaşmasını zorunlu hale getirir. Bu kültür, yalnızca BT’nin değil; İnsan Kaynakları’ndan Operasyon’a, Pazarlama’dan Finans’a kadar tüm birimlerin ortak sorumluluğudur.
Kültürün yapı taşları
- Şeffaflık: İlgili kişinin verisinin nasıl işlendiğini anlaması (aydınlatma).
- Hesap verebilirlik: Kurumun süreçlerini kanıtlayabilmesi (envanter, log, kayıtlar).
- Kontrol: İlgili kişi başvuruları ve hak kullanımı ile denetim mekanizması.
- Özen yükümlülüğü: TCK ve idari yaptırımların caydırıcılığı ile daha disiplinli veri yönetimi.
7. Sık Sorulan Sorular (SSS)
KVKK yalnızca şirketlere mi uygulanır?
Hayır. Kanundaki şartlar oluştuğunda kamu kurum ve kuruluşları da dahil olmak üzere kişisel veri işleyen yapılar veri sorumlusu sıfatıyla yükümlülük altına girer.
VERBİS kaydı olmayanlar envanter hazırlamaz mı?
VERBİS yükümlülüğü bulunanlar açısından envanter kritik dayanak dokümandır. Ancak kurumsal iyi uygulama açısından envanter yaklaşımı; yükümlülükten bağımsız olarak veri yönetimini olgunlaştırır.
Aydınlatma metni ile gizlilik politikası aynı şey mi?
Hayır. Aydınlatma metni işleme faaliyetiyle sınırlı, amaç ve hukuki sebep gibi unsurları net veren “işlem odaklı” metindir. Gizlilik politikası genellikle daha genel çerçeve dokümandır.
Teknik tedbirler tek başına yeterli olur mu?
Hayır. Tedbirler; süreç, yetkilendirme, eğitim, prosedür ve denetim izleriyle birlikte çalışmadığında sürdürülebilir uyum oluşmaz. “Teknik + idari” birlikte kurgulanmalıdır.
KVKK cezaları sadece para cezası mı?
İdari para cezaları önemli bir bileşendir; ancak itibar kaybı, sözleşmesel yaptırımlar ve Türk Ceza Kanunu kapsamındaki suç tipleri nedeniyle adli riskler de gündeme gelebilir.
Kurum içinde KVKK kültürünü nasıl kalıcı hale getiririm?
Düzenli eğitim, rol bazlı erişim, politika seti, envanter güncellemeleri, tedarikçi yönetimi ve periyodik iç denetim yaklaşımıyla “süreklilik” sağlanır. Tek seferlik dokümantasyon kültür oluşturmaz.
