KVKK Nedir? 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile Kurumsal Uyum Rehberi
KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı; kişisel veri işleyen gerçek ve tüzel kişilerin uyması gereken usul ve esasları belirlemeyi amaçlar. Kanun, 7 Nisan 2016 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
Bu rehberde; KVKK’nın amacı ve kapsamı, veri sorumlusu/veri işleyen rolleri, veri güvenliği yükümlülükleri ve özellikle iç denetim (ISO 27001 yaklaşımı) üzerinden uygulanabilir bir uyum çerçevesi sade ve pratik şekilde ele alınır.
Ne getirir? Kişisel verilerin hukuka uygun işlenmesi, güvenliği ve şeffaflık.
Kimleri bağlar? Kişisel veri işleyen gerçek/tüzel kişiler (veri sorumluları ve veri işleyenler).
Kritik madde: m.12 ile teknik ve idari tedbir alma yükümlülüğü.
Pratik araç: Süreç bazlı iç denetim, politika/prosedürler ve kayıtlar.
1. KVKK’nın Amacı ve Kapsamı
KVKK’nın temel hedefi; kişisel verilerin sınırsız, ölçüsüz ve kontrolsüz şekilde toplanmasının, yetkisiz erişime açık hâle gelmesinin, hukuka aykırı açıklanmasının ve kötüye kullanılmasının önüne geçmektir. Bu sayede hem mahremiyet korunur hem de kurumlar için hesap verebilir bir veri yönetimi düzeni oluşur.
1.1. Kimleri Kapsar?
- İlgili kişi: Kişisel verisi işlenen gerçek kişi.
- Veri sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen; veri kayıt sistemini kuran/yöneten gerçek veya tüzel kişi.
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
2. Temel Kavramlar: Kişisel Veri, Özel Nitelikli Veri ve Roller
KVKK uyumunun ilk adımı, hangi bilginin “kişisel veri” sayıldığını doğru anlamaktır. Genel kural: kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her bilgi kişisel veridir.
| Kavram | Ne Anlama Gelir? | Örnek |
|---|---|---|
| Kişisel Veri | Kimliği belirli/belirlenebilir gerçek kişiye ilişkin bilgi | Ad-soyad, e-posta, telefon, IP, müşteri numarası (kişiyi belirliyorsa) |
| Özel Nitelikli Kişisel Veri | Ayrımcılık veya mağduriyet riski yüksek, daha sıkı koruma gerektiren veri | Sağlık bilgisi, biyometrik veri vb. |
| Veri Sorumlusu | Amaç ve yöntemi belirler; uyumdan sorumludur | Şirket, dernek, kurum |
| Veri İşleyen | Veri sorumlusu adına veri işler | Bulut sağlayıcı, çağrı merkezi, dış kaynak İK |
Uygulamada en sık hata: “ID verdim, ad-soyad kaldırdım; anonim oldu” zannetmektir. Eğer veri başka verilerle eşleştirilerek tekrar bir kişiye bağlanabiliyorsa, bu hâlâ kişisel veri sayılabilir ve KVKK yükümlülükleri devam eder.
3. Veri İşleme Şartları ve Açık Rıza Mantığı
KVKK’da kişisel veri işlemenin temel kuralı: hukuki sebep olmadan veri işlenemez. Açık rıza tek seçenek değildir; birçok durumda rıza dışındaki işleme şartları devreye girer.
3.1. Kurumsal Uygulama için Basit Kontrol
- Amaç net mi? Veri neden toplanıyor ve ne için kullanılacak?
- Hukuki sebep var mı? Açık rıza mı, sözleşme mi, yükümlülük mü, meşru menfaat mi?
- Minimizasyon var mı? Amaç için gerekmeyen veri toplanıyor mu?
- Aydınlatma hazır mı? İlgili kişi doğru ve anlaşılır bilgilendiriliyor mu?
4. Veri Güvenliği Yükümlülüğü (KVKK m.12): Teknik ve İdari Tedbirler
KVKK uyumunun “saha gerçekliği” çoğunlukla veri güvenliğinde ortaya çıkar. Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve hukuka aykırı erişimini önlemek ve kişisel verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür.
4.1. Örnek Teknik Tedbirler
- Erişim yetkisi/rol bazlı yetkilendirme (least privilege)
- Güçlü parola + MFA, kritik sistemlerde ayrıcalıklı hesap yönetimi
- Log kayıtları ve düzenli izleme (anomali/uyarı mekanizmaları)
- Şifreleme, yedekleme, yedeklerin ağ dışında saklanması
- Zaafiyet yönetimi: düzenli tarama, yamalama ve sızma testi planı
4.2. Örnek İdari Tedbirler
- Politika/prosedür seti (erişim, saklama-imha, ihlal yönetimi, tedarikçi yönetimi)
- Çalışan eğitimi ve farkındalık (periyodik, ölçümlenebilir)
- Veri envanteri ve işleme faaliyet kayıtları
- Üçüncü taraf/tedarikçi sözleşmeleri ve denetimleri
5. İç Denetim & ISO 27001 Yaklaşımı: KVKK Uyumunu Sürdürülebilir Kılmak
KVKK, idari tedbirlerin etkin işletilmesini pratikte iç denetim ile görünür kılar. İç denetim; süreçlerin kâğıt üzerinde kalmasını önler, riskleri erken yakalar ve düzeltici aksiyonları hızlandırır. ISO 27001 yaklaşımı, KVKK uyumunda ölçülebilir kontrol listeleri ve izlenebilir aksiyon planları üretmek için güçlü bir çerçevedir.
5.1. KVKK İç Denetiminde Hazırlanabilecek Dokümanlar
- KVKK İç Denetim Politikası (kapsam, roller, sıklık, raporlama)
- İç Denetim Prosedürü (nasıl yapılır, kanıt türleri, örnekleme yöntemi)
- İç Denetim Soru Listesi (süreç bazlı kontrol maddeleri)
- Tedarikçi Denetim Soru Listesi (DPA/SLA, güvenlik kontrolleri, alt işlemciler)
- İç Denetçi Seçimi ve Yetkinlik Kriterleri
- KVKK İç Denetim Planı & Programı (takvim, kapsam, birimler, çıktı)
5.2. Örnek Mini Denetim Kontrolü (Hızlı)
| Kontrol Alanı | Soru | Kanıt (Örnek) |
|---|---|---|
| Aydınlatma | İlgili kişiye doğru zamanda, doğru metinle aydınlatma yapılıyor mu? | Metin versiyonları, ekran görüntüsü, kayıt |
| Erişim Yetkisi | Rol bazlı yetkiler güncel mi, ayrılan çalışan erişimleri kapatılıyor mu? | IAM raporları, offboarding kayıtları |
| Log & İzleme | Loglar tutuluyor mu, alarmlar ve inceleme periyodu var mı? | SIEM raporu, günlük/haftalık inceleme kayıtları |
| Saklama-İmha | Saklama süreleri tanımlı mı, imha kanıtı üretiliyor mu? | Envanter, imha tutanakları, otomasyon kayıtları |
6. Kurumsal Uyum Yol Haritası: Adım Adım Uygulanabilir Plan
KVKK uyumu için en pratik yaklaşım; süreçleri “veri yaşam döngüsü” (toplama → kullanma → paylaşma → saklama → imha) üzerinden ele alıp her adım için kontrol ve kayıt mekanizması kurmaktır.
6.1. Önerilen 8 Adım
- Veri envanteri çıkarın (süreç, veri kategorisi, kişi grubu, alıcılar, süreler).
- Her süreç için hukuki sebep belirleyin ve gerekçelendirin.
- Aydınlatma metinleri ve gerekli yerlerde açık rıza akışlarını tasarlayın.
- Teknik tedbir asgari setini uygulayın (erişim, MFA, log, yedek, şifreleme).
- İdari tedbir setini tamamlayın (politika/prosedür, eğitim, disiplin/ihlal yönetimi).
- Tedarikçi/veri işleyen yönetimi kurun (sözleşme, denetim, alt işlemci kontrolü).
- İç denetim ile süreklilik sağlayın (plan, program, bulgu-aksiyon takibi).
- Göstergeler belirleyin (Eğitim tamamlama, log inceleme periyodu, bulgu kapanma süresi).
7. Sık Sorulan Sorular
KVKK sadece büyük şirketleri mi bağlar?
Hayır. Kişisel verileri işleyen her gerçek/tüzel kişi, işleme faaliyetinin niteliğine göre KVKK yükümlülüklerine tabidir. Ölçek, uygulanacak kontrol derinliğini etkileyebilir; ancak temel ilkeler (hukuka uygunluk, güvenlik, şeffaflık) değişmez.
KVKK için “belge hazırlamak” yeterli mi?
Tek başına yeterli değildir. Uyum; doküman + uygulama + kayıt üçlüsüdür. Denetimde “metin var” kadar “gerçekte çalışıyor mu, kanıtı var mı?” sorusu önemlidir.
ISO 27001 şart mı? KVKK uyumu için zorunlu mu?
Zorunlu değildir; ancak ISO 27001 mantığı KVKK’nın teknik/idari tedbirlerini sistematik hâle getirir. Özellikle iç denetim, risk yönetimi ve sürekli iyileştirme tarafında ciddi avantaj sağlar.
İç denetimde en kritik 3 şey nedir?
(1) Süreç bazlı yaklaşım, (2) Kanıt üretme kültürü (log, rapor, tutanak, kayıt), (3) Bulgu-aksiyon takibinin kapanışa kadar izlenmesi.
