Kişisel Veri & İşleme

Ad-soyad, TCKN, iletişim, adres, ödeme bilgileri, seyahat tercihleri, özel nitelikli veriler (sağlık vb.) dâhil olmak üzere kimliği belirli/belirlenebilir kişiye ilişkin tüm bilgiler.

Toplama, saklama, kullanma, aktarma, imha gibi tüm faaliyetler “işleme” kapsamındadır.

Veri Sorumlusu

Rezervasyon sistemi işletmecisi; amaç ve vasıtaları belirler, kayıt sistemini yönetir, uygun güvenlik tedbirlerini tesis etmekle yükümlüdür.

Veri İşleyen

Ödeme sağlayıcıları, çağrı merkezi, barındırma (hosting) ve entegrasyon firmaları gibi; veri sorumlusu adına kişisel veriyi işleyen üçüncü taraflar.

Hukuki Dayanak

KVKK m.5-6 işleme şartları, m.10 aydınlatma, m.11 ilgili kişi hakları, m.12 güvenlik tedbirleri, m.16 VERBİS.

Hukuki Yükümlülük

KVKK’ya aykırı işleme ve ihlaller idari para cezaları ve hukuki süreçlere konu olabilir.

Müşteri Güveni & İtibar

Güven kaybı, doğrudan gelir kaybına ve marka itibarının zedelenmesine yol açar.

Siber Tehditlere Maruziyet

Kimlik hırsızlığı, dolandırıcılık ve fidye saldırıları kritik risklerdir; ihlallerin maliyeti yüksektir.

Rekabet & Uluslararası Uyum

KVKK/GDPR paralelliği; uluslararası pazarda kabul ve rekabet avantajı sağlar.

4.1 Veri Envanteri & Sınıflandırma

• Toplanan verileri işleme amaçlarına göre listeleyin (rezervasyon, faturalama, pazarlama).
• Verileri hassasiyete göre sınıflandırın (kişisel veri / özel nitelikli veri).
• Yaşam döngüsünü tanımlayın: toplama → saklama → paylaşma → imha.

4.2 Aydınlatma & Açık Rıza Yönetimi

• KVKK m.10’a uygun aydınlatma metnini rezervasyon akışında görünür kılın.
• Rıza gerektiren işlemler için ayrı ve özgür iradeyle alınmış açık rıza kutucukları (opt-in) kullanın.
• Rızanın geri alınmasını tek tıkla mümkün kılın.

4.3 Hukuki Şart Eşlemesi

• Her işleme faaliyetini ilgili KVKK m.5/6 şartı ile eşleyin (sözleşme, meşru menfaat, açık rıza vb.).
• Özel nitelikli veriler için ayrık kayıt ve ek güvenlik uygulayın.

4.4 Saklama Süreleri & İmha

• Veri Saklama ve İmha Politikası hazırlayın (KVKK m.7).
• Süre dolduğunda periyodik silme/anonimleştirme yapın, loglayın.

4.5 Üçüncü Taraf Yönetimi

• Ödeme, SMS, e-posta, analiz araçlarıyla veri işleyen sözleşmeleri imzalayın.
• Yurt dışı aktarımlarda hukuki mekanizmaları ve kullanıcı bilgilendirmesini sağlayın.

4.6 İhlal Müdahale Planı

• Olay müdahale adımlarını, rollerini ve iletişim şablonlarını tanımlayın.
• KVKK Kurulu’na ve ilgili kişilere bildirim sürelerini takvime bağlayın.

Uygulama Güvenliği

• Yetki matrisi, RBAC/ABAC, en az ayrıcalık.
• OWASP kontrolleri, WAF, rate-limit.
• Formlarda CSRF/XSS koruması, input doğrulama.

Şifreleme & İletim

• TLS 1.2+, HSTS, güvenli cookie (HttpOnly, Secure, SameSite).
• Dinamik/veri at rest için AES-256 veya eşdeğeri.
• Ödeme verilerinde tokenizasyon, PCI DSS uyumu.

Kimlik & Erişim

• MFA, güçlü parola politikası, parola yöneticisi entegrasyonu.
• Oturum süresi, cihaz/konum anomali tespiti.

Günlükleme & İzleme

• Kim, neye, ne zaman erişti logları (değiştirilemez).
• SIEM ile anomali ve ihlal tespiti, uyarı eşikleri.

Altyapı Güvenliği

• Segmentasyon, zero-trust, gizli anahtar kasası (KMS).
• Yedekleme/geri yükleme testleri (3-2-1 kuralı).

Geliştirme Süreci

• SSDLC, kod inceleme, SAST/DAST, bağımlılık tarama (SCA).
• Prod verisi ile test yapmama, gerekiyorsa maskeleme/anonimleştirme.

Politikalar & Prosedürler

• KVKK politikası, aydınlatma & rıza prosedürleri.
• Veri saklama/İmha politikası, erişim yetki matrisi.

Eğitim & Farkındalık

• İşe alımda ve periyodik KVKK + siber hijyen eğitimleri.
• Oltalama simülasyonları, şüpheli e-posta bildirim kanalı.

Sözleşmeler

• Veri işleyenlerle KVKK ekleri, teknik/organizasyonel tedbir taahhütleri.
• Alt işleyen onayı ve denetim hakkı.

Denetim & Süreklilik

• İç denetim planı, penetrasyon testleri, düzeltici/önleyici faaliyet (DÖF).
• İş sürekliliği ve olay müdahale tatbikatları.

Haklar

• İşlenip işlenmediğini öğrenme, bilgi talebi.
• Amacı ve aktarım yerlerini öğrenme.
• Eksik/yanlış ise düzeltilmesini isteme.
• Şartları oluştuğunda silme/anonimleştirme talebi.
• Otomatik işleme sonucu aleyhe sonuca itiraz.

Başvuru Süreci

• Başvuru kanallarını (e-posta, KEP, form) yayınlayın.
• Kimlik doğrulama ve 30 gün içinde yanıt süreçlerini tanımlayın.
• Veri işleyene iletim ve kapanış kayıtlarını tutun.

Kimler Kayıt Olur?

Kurulca belirlenen kriterleri sağlayan veri sorumluları için VERBİS kaydı zorunludur. Muafiyetler için güncel Kurul kararlarını kontrol edin.

Kayıt İçeriği

• Veri kategorileri, amaçlar, alıcı grupları.
• Yabancı ülkelere aktarım, saklama süreleri.
• Teknik/idarî tedbir özeti.

Uygulama İpuçları

• VERBİS beyanını veri envanteri ile uyumlu tutun.
• Değişikliklerde beyanı güncelleyin; yıllık gözden geçirme yapın.

Temsili Yapı

• KVKK irtibat kişisi & veri koruma ekibi.
• Üst yönetim sponsorluğu ve raporlama.