KVKK uyum süreci hangi sırayla yürütülmeli?

Pratik sıralama: (1) Veri sorumlusu/rol atamaları, (2) veri envanteri ve VERBİS kaydı, (3) aydınlatma metinleri ve temel politikalar, (4) açık rıza süreçleri ve eski verilerin uyarlanması, (5) teknik-idari tedbirler, sızma testleri ve düzenli denetim.

Aydınlatma metni ile açık rıza aynı şey mi?

Hayır. Aydınlatma metni bilgilendirme yükümlülüğüdür; açık rıza ise belirli şartlarda veri işleme için hukuki dayanak olabilir. Her açık rıza gereken durumda önce aydınlatma yapılır; ancak her işlem açık rızaya dayanmaz.

Sızma testi KVKK uyumunda neden geçiyor?

KVKK m.12 kapsamındaki teknik tedbirleri doğrulamak için düzenli güvenlik testleri önemlidir. Sızma testleri; zafiyetleri tespit edip giderilmesini sağlayarak yetkisiz erişim ve veri sızıntısı riskini azaltır.

KVKK Uyum Süreci Yol Haritası: Veri Sorumlusu İçin Adım Adım Rehber | VERBİS, Envanter, Politikalar

KVKK · Uyum Süreci · VERBİS · Envanter · Teknik Tedbir

KVKK Uyum Süreci Yol Haritası Veri Sorumlusu İçin Adım Adım Uygulama Rehberi

Q: Kişisel veri envanteri neden bu kadar kritik?

Envanter; hangi verinin hangi amaçla işlendiğini, hukuki sebebi, alıcı gruplarını, saklama sürelerini, yurt dışı aktarım olup olmadığını ve alınan tedbirleri gösterir. VERBİS beyanları ve saklama-imha politikası için temel girdidir.

Şirket veri sorumlusu sıfatıyla kişisel veri işliyorsa, KVKK uyumunu “tek seferlik belge” olarak değil; envanter + süreç + politika + teknik/idari tedbir + denetim bileşenlerinden oluşan bir yönetim modeli olarak yürütmelidir. Bu rehber, kurumların pratikte en sık kullandığı uyum adımlarını tek bir akışta toplar.

Özellikle Türkiye’de VERBİS kayıt/beyan yükümlülüğü, aydınlatma metinleri, açık rıza süreçleri, saklama-imha kurgusu ve sızma testleri gibi teknik kontroller; uyumun “omurgasını” oluşturur. Aşağıdaki yol haritası şirketin faaliyet alanına göre uyarlanabilir.

Uyum Aşamalarını Gör Kontrol Listesi & Teknik Tedbirler

İçindekiler 1. Uyumun Omurgası: Rol Ataması + Envanter + VERBİS 2. Uyumda Yapılacak İşlemler: Dokümanlar ve Zorunlu Çıktılar 3. 5 Adımda KVKK Uyum Süreci (Özet Akış) 4. Adım Adım Açıklama: 1-5 Arası Uygulama Detayları 5. Teknik/İdari Tedbirler, Denetim ve Sızma Testleri 6. Sık Sorulan Sorular

Hızlı Özet

Hedef: Kişisel verilerin hukuka uygun işlenmesi + güvenliğinin sağlanması + ilgili kişi haklarının yönetimi.
Çekirdek çıktılar: Envanter, VERBİS beyanı, aydınlatma metinleri, açık rıza formları, başvuru formu, cookie/çerez politikası, saklama-imha politikası, teknik/idari tedbir kayıtları, denetim raporları.
Süreklilik: Uyum; düzenli gözden geçirme, eğitim, risk analizi ve iyileştirme döngüsü gerektirir.

Türkiye (TR) VERBİS Envanter Aydınlatma Sızma Testi

Not: Aşağıdaki adımlar “genel yol haritası”dır. Şirketin sektörüne, iş süreçlerine, veri kategorilerine, yurt dışı aktarımına ve risk profiline göre kapsam farklılaşabilir.

1. Uyumun Omurgası: Rol Ataması + Envanter + VERBİS

KVKK uyumunun ilk üç taşı genellikle şunlardır: veri sorumlusu rolünün netleştirilmesi, kişisel veri envanterinin çıkarılması ve yükümlülük varsa VERBİS kaydı/beyanının yapılması. Bu üçlü; aydınlatma metinleri, saklama-imha politikası ve güvenlik tedbirleri için referans noktasıdır.

1.1. Veri Sorumlusu ve İrtibat Kişisi

Veri sorumlusu: Kişisel veri işleme amaç ve vasıtalarını belirleyen; kayıt sisteminin kurulması ve yönetiminden sorumlu gerçek/tüzel kişi.
İrtibat kişisi: VERBİS süreçleri ve Kurum yazışmalarında operasyonel iletişim rolünü üstlenen kişi (kurum içi koordinasyon açısından kritik).

1.2. Envanter Olmadan Uyum “Kör Uçuş” Olur

Envanter; hangi verinin hangi amaçla işlendiğini, hukuki sebebi, alıcı gruplarını, saklama sürelerini, yurt dışı aktarım olup olmadığını ve alınan teknik/idari tedbirleri görünür kılar.

Pratik ipucu: Envanteri yalnızca “IT listesi” gibi düşünmeyin. İnsan kaynakları dosyaları, fiziki arşiv, çağrı merkezi kayıtları, kamera kayıtları, e-posta kutuları gibi dijital olmayan süreçleri de kapsayın.

2. Uyumda Yapılacak İşlemler: Dokümanlar ve Zorunlu Çıktılar

Şirket veri sorumlusu ise, uyum sürecinde tipik olarak aşağıdaki çıktılar üretilir ve süreçler kurulur. Bu liste, en sık karşılaşılan kurumsal ihtiyaçları kapsayan “uyum paketini” temsil eder.

Başlık	Ne İşe Yarar?	Tipik Çıktı
Kişisel Veri Envanteri	İşleme faaliyetlerinin haritası: amaç, kategori, alıcı, süre, tedbir	Envanter dokümanı (Excel/DB) + süreç akışları
VERBİS Kaydı / Bildirim	Yükümlülük varsa sicil kaydı ve beyanların yapılması	VERBİS kayıt/beyan ekranları + iç onay kayıtları
Aydınlatma Metni	İlgili kişiye bilgilendirme yükümlülüğünün yerine getirilmesi	Web/uygulama/mağaza/İK aydınlatma metinleri
Açık Rıza Formu	Açık rıza gerektiren işlemlerde hukuki dayanağın kurulması	Rıza beyanı + kayıt/iz mekanizması
İlgili Kişi Başvuru Formu	İlgili kişi hakları başvurularını yönetmek	Başvuru formu + SLA + cevap şablonları
Cookie/Çerez Politikası	Çerez kullanımının şeffaf yönetimi	Çerez politikası + tercih merkezi (varsa)
Kamera Aydınlatma Metni	Kamera ile izleme süreçlerinde bilgilendirme	Alan içi uyarı metinleri + politika
Saklama & İmha Politikası	Saklama süreleri ve silme/yok etme/anonimleştirme	Politika + periyodik imha planı
Teknik/İdari Tedbirler	KVKK m.12 kapsamında güvenlik seviyesinin sağlanması	Yetkilendirme, loglama, şifreleme, eğitim, sözleşmeler
Sızma Testleri & Denetim	Güvenliğin doğrulanması, zafiyetlerin azaltılması	Pentest raporu + aksiyon planı + tekrar test

Önemli: Bu çıktılar yalnızca “dosya hazırlamak” için değil; süreçlerin gerçekten çalıştığını göstermek için (kayıt, iz, kontrol, revizyon) düzenli olarak güncellenmelidir.

3. 5 Adımda KVKK Uyum Süreci (Özet Akış)

Uyum süreci uygulamada çoğu kurumda aşağıdaki 5 ana aşamada ilerler. Bu akış; kurumun büyüklüğüne ve veri yoğunluğuna göre paralel yürütülebilir.

Veri Sorumlusu Atanması (rol/komite/irtibat kişisi + sorumluluk matrisi)
Envanter Hazırlığı & VERBİS (envanter + sınıflandırma + saklama süreleri + beyan)
Aydınlatma Metinleri & Politikalar (aydınlatma + çerez + saklama-imha + prosedürler)
Açık Rıza & Eski Verilerin Düzenlenmesi (gerekliyse rıza + uyarlama + imha/anonim)
Teknik/İdari Tedbirler & Denetim (güvenlik önlemleri + sızma testleri + eğitim + iç denetim)

Hızlandırıcı yaklaşım: Envanter çalışması sırasında “kritik veri setlerini” (TCKN, finans, sağlık, biyometrik vb.) ayrı işaretleyin; teknik tedbir planını bu riskli alanlardan başlatın.

4. Adım Adım Açıklama: 1-5 Arası Uygulama Detayları

4.1. (1) Veri Sorumlusu Atanması

Veri sorumlusu; işleme amaçlarını ve vasıtalarını belirleyen, kayıt sisteminin kurulması ve yönetiminden sorumlu kişi/kurumdur. Uyumun hızlanması için rol ve sorumlulukların netleştirilmesi önemlidir.

Uyum sahipliği: üst yönetim sponsorluğu + uyum/BT/İK/operasyon koordinasyonu
İrtibat kişisi ve iletişim kanalı: başvuru/şikayet/ihlal bildirim süreçlerinde hız sağlar
Yetki matrisi: kim hangi veriye erişir, hangi amaçla, hangi kayıtla?

4.2. (2) Veri Envanterinin Hazırlanması ve Veri Sorumluları Siciline Kayıt (VERBİS)

Envanter; iş süreçlerine bağlı işleme faaliyetlerini veri kategorisi, alıcı grubu ve ilgili kişi grubu ile ilişkilendirerek detaylandırır. Ayrıca saklama süreleri, yurt dışı aktarımı ve veri güvenliği tedbirleri gibi kritik bilgiler envanterde görünür olur.

Kişisel veri işleme envanteri; veri sorumlusunun hangi amaçlar için, hangi tür verileri, ne kadar süreyle ve kimlerle paylaştığını gösteren temel kayıttır.

Envanter, yalnızca dijital verileri değil; fiziki arşiv ve kâğıt formları da kapsar.
Envanterin kendisi “kayıt sistemi” olabileceğinden erişim/yetki ve saklama yaklaşımı planlanmalıdır.
Envanter sonrası silme/yok etme/anonimleştirme akışı (periyodik imha) kurgulanmalıdır.

4.3. (3) Aydınlatma Metni ve Politikaların Hazırlanması

Envanterden çıkan veri kategorilerine göre aydınlatma metinleri ve kurum politikaları hazırlanır. Amaç; ilgili kişilere hangi verilerin hangi amaçla işlendiğini, hukuki sebebi, aktarımı, saklama süresini ve haklarını anlaşılır şekilde sunmaktır.

Web sitesi/uygulama/mağaza/İK için ayrı aydınlatma metni versiyonları
Çerez politikası ve tercihler (varsa tercih merkezi)
Saklama-imha politikası: kategori bazlı azami süreler + periyodik imha
Sözleşme altyapısı: tedarikçi/iş ortakları ile veri işleyen hükümleri ve güvenlik yükümlülükleri

4.4. (4) Açık Rıza ile Veri Alınması ve Eski Verilerin Düzenlenmesi

Kişisel veriler her zaman açık rıza ile işlenmez; ancak açık rıza gerektiren senaryolarda rıza süreci doğru tasarlanmalıdır: aydınlatma + özgür irade + belirli konu + bilgilendirmeye dayalı onay.

Açık rıza gerekiyorsa: ayrı kutucuk, geri alma kolaylığı, kayıt/iz mekanizması
Eski veriler: hukuki sebep yoksa silme/yok etme/anonimleştirme planı
Veri minimizasyonu: amaç dışı/verimsiz veri setlerini sürecin dışına çıkarın

4.5. (5) Sistemsel ve Fiziksel Önlemler + Denetim

Envanterle tanımlanan risklere göre teknik ve idari tedbirler uygulanır. Sonrasında kurum içi denetim ve/veya bağımsız denetimler ile kontrollerin etkinliği ölçülür; eksikler aksiyon planına alınır.

Fiziksel güvenlik: arşiv odası erişim kontrolü, kilit/iz kayıtları, ziyaretçi yönetimi
Elektronik güvenlik: ağ güvenliği, erişim yönetimi, loglama, yedekleme, şifreleme
Sızma testleri: uygulama/ağ zafiyetlerinin tespiti ve giderilmesi
Eğitim ve farkındalık: çalışanlar + tedarikçiler + iş ortakları

Uygulama önerisi: Her adım için “kanıt” üretin: (envanter dosyası, versiyonlu aydınlatma, rıza kayıtları, imha tutanakları, pentest raporu, denetim raporu).

5. Teknik/İdari Tedbirler, Denetim ve Sızma Testleri

KVKK uyumunun “sürdürülebilir” olması için teknik ve idari tedbirlerin düzenli ölçülmesi gerekir. Aşağıdaki liste, kurumların en sık uyguladığı kontrol başlıklarını özetler.

5.1. Hızlı Kontrol Listesi

Erişim Yönetimi: yetki matrisi, ayrıcalıklı hesap yönetimi, MFA (mümkünse)
Loglama & İzleme: kritik sistem logları, anomali takibi, olay yönetimi kayıtları
Şifreleme: yedekler ve hassas veri setleri için uygun şifreleme
Yedekleme: düzenli yedek + geri dönüş testleri
Veri Minimizasyonu: gereksiz veri alanlarını kaldırma, saklama süresini kısaltma
Saklama-İmha: periyodik imha planı, tutanak ve kanıt üretimi
Sözleşmeler: veri işleyen/tedarikçi güvenlik hükümleri
Sızma Testi: rapor + aksiyon planı + tekrar test
Denetim: iç denetim / bağımsız denetim + yönetim raporlaması

Kaynak: İçerik, kullanıcı tarafından sağlanan metin temel alınarak zenginleştirilmiştir. Kaynak (metinde verilen): https://dergipark.org.tr/tr/

Kaynak: DergiPark İlginizi Çekebilir

6. Sık Sorulan Sorular

KVKK uyumunda ilk yapılacak şey nedir?

Pratikte ilk adım rol ve sorumlulukların netleştirilmesidir (veri sorumlusu/komite/irtibat kişisi). Ardından envanter çalışması başlatılır; VERBİS yükümlülüğü varsa kayıt/beyan planlanır.

Envanter sadece dijital sistemleri mi kapsar?

Hayır. Envanter; fiziki arşiv, kâğıt formlar, İK dosyaları, kamera kayıt süreçleri gibi dijital olmayan kayıt sistemlerini de kapsar.

Aydınlatma metni ve açık rıza birlikte mi hazırlanır?

Aydınlatma metni bilgilendirme yükümlülüğüdür; açık rıza ise ancak belirli işlemler için hukuki dayanak olabilir. Açık rıza gereken senaryolarda önce aydınlatma yapılır; rıza ayrı ve ispatlanabilir şekilde alınır.

Sızma testi zorunlu mu, neden öneriliyor?

Sızma testleri, KVKK m.12 kapsamındaki teknik tedbirlerin etkinliğini ölçmek ve zafiyetleri tespit edip gidermek için güçlü bir uygulamadır. Özellikle internet erişimli uygulamalar ve kritik sistemlerde periyodik test yaklaşımı önerilir.

KVKK Uyum Süreci VERBİS Kişisel Veri Envanteri Aydınlatma Metni Açık Rıza Saklama İmha Sızma Testi Türkiye