KVKK Gereklilikler ve Çözümler Kişisel Verilerin Korunmasında Kurumsal Yol Haritası
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK); kişisel veriler işlenirken bireylerin temel hak ve özgürlüklerini korumayı ve veri sorumlularının uyması gereken kuralları belirlemeyi amaçlar. Bu sayfada; kanunun temel hükümlerini, VERBİS yükümlülüklerini ve şirketlerin uygulaması gereken uyum adımlarını sade fakat kurumsal bir dille bulabilirsiniz.
İçerik; KOBİ’lerden büyük ölçekli şirketlere, start-up’lardan kamu ile çalışan özel sektör kuruluşlarına kadar Türkiye’de faaliyet gösteren tüm kurumlar için pratik bir KVKK uyum rehberi niteliğindedir. Amaç, sadece mevzuat metnini özetlemek değil, şirketlere gerçek hayatta uygulanabilir çözümler sunan bir yol haritası oluşturmaktır.
Odak: KVKK’nın getirdiği zorunlu gereklilikler ve şirketler için
uygulanabilir uyum çözümleri.
Temel başlıklar: Amaç ve kapsam, tarihçe, tanımlar, istisnalar, VERBİS, Madde 7-12,
şirket süreçleri, politika/prosedürler ve SSS.
Kimin için? Müşteri, çalışan, ziyaretçi, tedarikçi gibi kişi gruplarından veri toplayan
tüm gerçek ve tüzel kişiler.
Hedef: Sadece “kanuna uyma” değil; şeffaf, denetlenebilir ve sürdürülebilir bir
veri koruma kültürü inşa etmek.
2. KVKK’nın Amacı ve Kapsamı
2.1. Amaç
Kanunun temel amacı, kişisel veriler işlenirken özellikle özel hayatın gizliliğini ve kişilerin temel hak ve özgürlüklerini korumaktır. Bunun yanında:
- Kişisel veri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek,
- Bu kişilerin uyması gereken usul ve esasları düzenlemek,
- Veri işleme faaliyetlerine öngörülebilir ve denetlenebilir bir çerçeve kazandırmak
amacıyla uygulanır.
2.2. Kapsam
KVKK hükümleri; kişisel verileri işlenen gerçek kişiler ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla kişisel veri işleyen tüm gerçek ve tüzel kişiler hakkında uygulanır.
Başka bir ifadeyle, müşteri, çalışan, ziyaretçi, tedarikçi gibi gruplardan kişisel veri toplayan şirketlerin büyük çoğunluğu KVKK kapsamındadır. Türkiye’de faaliyet gösteren hemen her sektörde (perakende, finans, sağlık, e-ticaret, üretim, hizmet vb.) KVKK uyumu, iş sürekliliği ve itibar yönetimi açısından kritik bir gerekliliktir.
| Senaryo | Örnek Kişisel Veriler | Kapsam Durumu |
|---|---|---|
| Müşteri veri tabanı | İsim, iletişim bilgisi, sipariş geçmişi, ödeme bilgileri | KVKK kapsamındadır |
| İK süreçleri | Özgeçmiş, performans verisi, bordro kayıtları | KVKK kapsamındadır |
| Ziyaretçi kayıt defteri | İsim, T.C. kimlik numarası, giriş-çıkış saati | KVKK kapsamındadır |
3. Kanunun Tarihçesi
Türkiye’de kişisel verilerin korunmasına ilişkin yasal çerçeve, Avrupa’daki gelişmelerle paralel ilerlemiştir:
- 28 Ocak 1981 – Strasbourg: Avrupa Konseyi’nin 108 No’lu Sözleşmesi (“Kişisel verilerin otomatik işleme tabi tutulması karşısında bireylerin korunması sözleşmesi”) kabul edildi.
- 17 Şubat 2016: 108 No’lu sözleşmeye uyum amacıyla “Uygun Bulunma Kanunu” yayımlandı.
- 24 Mart 2016: 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Resmî Gazete’de yayımlandı.
- 7 Nisan 2016: KVKK yürürlüğe girdi ve kişisel verilerin korunmasına ilişkin ana çerçeve oluşturuldu.
Bu tarihsel süreç, Türkiye’de veri koruma hukukunun Avrupa veri koruma standartlarıyla uyumlu bir yapıya kavuştuğunu ve şirketler için hesap verebilirlik ilkesinin ön plana çıktığını gösterir.
4. Temel Tanımlar
4.1. Kişisel Veri
Kişisel veri, belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Tüzel kişilere ait bilgiler kişisel veri kapsamında değerlendirilmez.
Bu tanımın unsurları:
- Gerçek kişiye ilişkin olma,
- Kişiyi belirli veya belirlenebilir kılma,
- Her türlü bilgiyi kapsaması.
İsim, soyisim, telefon numarası, plaka, T.C. kimlik numarası, resim, ses kaydı, IP, sağlık verileri, aile bilgileri gibi birçok veri bu kapsamda kişisel veri sayılır.
4.2. Özel Nitelikli Kişisel Veri
Başkaları tarafından öğrenildiğinde ilgili kişi açısından mağduriyet veya ayrımcılık riski doğurabilen verilerdir. Örneğin:
- Irk ve etnik köken,
- Siyasi düşünce, felsefi inanç, din ve mezhep,
- Dernek, vakıf ve sendika üyeliği,
- Sağlık ve cinsel hayat verileri,
- Ceza mahkûmiyeti ve güvenlik tedbirleri,
- Biyometrik ve genetik veriler.
4.3. İlgili Kişi, Veri Sorumlusu, Veri İşleyen
- İlgili kişi: Kişisel verisi işlenen gerçek kişi.
- Veri sorumlusu: Kişisel verilerin işleme amaç ve araçlarını belirleyen; veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
4.4. Açık Rıza ve Aydınlatma Metni
Açık rıza: İlgili kişinin, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıkladığı onayıdır.
Aydınlatma metni: Veri sorumlusunun, kişisel verilerin nasıl ve hangi amaçlarla işleneceğini, kimlere aktarılacağını ve hangi hukuki sebeplere dayandığını açıkladığı metindir.
4.5. Anonim Hâle Getirme ve VERBİS
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
VERBİS: Veri Sorumluları Sicili’dir. Veri sorumlularının kayıt olup veri işleme faaliyetleri hakkında bilgi sunduğu ve Kurul gözetiminde Başkanlık tarafından tutulan kayıt sistemidir.
| Terim | Kısa Tanım | Örnek |
|---|---|---|
| Kişisel veri | Belirli veya belirlenebilir gerçek kişiye ilişkin bilgi | İsim, e-posta, telefon, IP adresi |
| Özel nitelikli veri | Mağduriyet/ayrımcılık riski doğuran hassas veriler | Sağlık bilgisi, siyasi görüş, biyometrik veri |
| Veri sorumlusu | Veri işleme amaç ve araçlarını belirleyen kişi/kurum | Şirket yönetimi, kamu kurumu |
5. KVKK Uygulama Dışı Alanlar
KVKK, bazı veri işleme faaliyetlerini kapsam dışında bırakmıştır. Özetle:
- Kişisel verilerin, kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Resmî istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik amaçlı işlenmesi.
- Milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla; sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Milli savunma, milli güvenlik, kamu güvenliği, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşlarının yürüttüğü önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Uygulama dışı alanlar; genellikle kamu otoriteleri, yargı ve kişisel/özel kullanım alanları ile sınırlıdır. Ticari faaliyet yürüten şirketlerin büyük çoğunluğu, istisna kapsamına girmeden KVKK hükümlerine tabi olmaya devam eder.
6. VERBİS İstisnaları
Kurul kararlarıyla bazı veri sorumluları VERBİS’e kayıt yükümlülüğünden muaf tutulmuştur. Örneğin:
- Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca manuel yollarla kişisel veri işleyenler,
- Noterler,
- Dernek, vakıf ve sendikalardan; yalnızca kendi çalışanlarına, üyelerine, mensuplarına ve bağışçılarına yönelik ve mevzuata uygun faaliyet yürütenler,
- Siyasi partiler,
- Avukatlar,
- Serbest Muhasebeci Mali Müşavirler ve Yeminli Mali Müşavirler.
Güncel istisna listesi ve eşikler için KVKK Kurumu’nun duyurularını kontrol etmek önemlidir. Özellikle çalışan sayısı, yıllık bilanço büyüklüğü ve ana faaliyet konusu olarak özel nitelikli veri işlenip işlenmediği, VERBİS yükümlülüğünü doğrudan etkiler.
7. Madde 7 ve 12: Silme, Yok Etme, Anonimleştirme ve Veri Güvenliği
7.1. Madde 7 – Silme, Yok Etme veya Anonim Hâle Getirme
Kanuna göre, kişisel veriler; işlenmesini gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
- Diğer kanunlarda yer alan özel hükümler saklıdır; sektör bazlı mevzuat (ör. sağlık, finans) dikkate alınmalıdır.
- Silme, yok etme ve anonimleştirme usul ve esasları yönetmelikle düzenlenmiştir.
- Kurumların Saklama ve İmha Politikası hazırlaması beklenmektedir.
7.2. Madde 12 – Veri Güvenliğine İlişkin Yükümlülükler
Veri sorumlusu; uygun güvenlik seviyesini sağlamak amacıyla:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı erişimi önlemek,
- Kişisel verilerin güvenli şekilde muhafazasını sağlamak
için gerekli her türlü teknik ve idari tedbiri almak zorundadır. Bu yükümlülük; erişim yönetimi, şifreleme, ağ güvenliği, loglama, eğitim ve politika yapısı gibi konuları kapsar.
| Madde | Odak | Kurumsal Örnek |
|---|---|---|
| Madde 7 | Saklama süresi dolan verilerin silinmesi, yok edilmesi, anonimleştirilmesi | Aktif olmayan eski müşteri kayıtlarının imha planına alınması |
| Madde 12 | Veri güvenliğine ilişkin teknik ve idari tedbirler | Yetki matrisi, şifreleme, loglama, güvenlik politikaları |
8. Şirketler için KVKK Süreçleri
KVKK uyumu, sadece bir beyan veya form doldurma çalışması değildir; kurumsal işleyişe yerleşen bir yönetim sistemi kurulmasını gerektirir. Temel başlıklar:
- Kişisel veri işleme envanterinin hazırlanması,
- Kişisel Veri Saklama ve İmha Politikası’nın oluşturulması,
- VERBİS’e kayıt (zorunluluk varsa),
- Aydınlatma yükümlülüğünün yerine getirilmesi,
- Açık rızaların alınması ve kayıt altına alınması,
- Kişisel verilerin toplanması ve işlenmesinde süreç tasarımı,
- Teknik ve idari veri güvenliği tedbirlerinin uygulanması,
- İşlenme şartı ortadan kalkan verilerin planlı şekilde silinmesi, yok edilmesi veya anonimleştirilmesi,
- Üçüncü kişilerle veri paylaşımının sözleşmelerle güvence altına alınması,
- İlgili kişi başvuru ve şikâyetlerinin yönetimi için prosedür oluşturulması.
Bu adımlar; İstanbul, Ankara, İzmir gibi büyük illerde faaliyet gösteren merkezlerden Anadolu’daki şubeli yapılara kadar tüm şirketler için ortak bir kurumsal çerçeve sunar.
9. KVKK Uyum Projesi ve VERBİS
9.1. VERBİS’e Kayıt
VERBİS yükümlülüğü; çalışan sayısı, bilanço büyüklüğü ve faaliyet konusuna göre belirlenen eşiklere tabidir. Özetle:
- Yıllık çalışan sayısı 50’den veya yıllık mali bilançosu 25 milyon TL’den çok olan veri sorumluları ile yurt dışında yerleşik veri sorumluları için kayıt yükümlülüğüne ilişkin süreçler tamamlanmıştır.
- Yıllık çalışan sayısı 50’den ve yıllık mali bilançosu 25 milyon TL’den az olan, ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları için de belirli tarihlere kadar kayıt zorunluluğu getirilmiştir.
Eşikler ve süreler zaman içinde güncellenebileceğinden KVKK Kurumu’nun en son duyurularının takip edilmesi gerekir.
9.2. Uyum Projesinde İlk Adımlar
Kurumsal KVKK uyum projesi genellikle şu adımlarla başlar:
- Uyumdan sorumlu iç ekibin veya komitenin oluşturulması,
- Kanun hakkında temel bilgilendirme yapılması,
- Çalışma takvimi ve kilometre taşlarının belirlenmesi,
- Şirket içi farkındalık için KVKK uyum duyurusunun hazırlanması,
- Kişisel veri envanterinin doldurulması için süreç sahiplerine eğitim verilmesi ve envanterin toplanması.
10. KVKK Politikası, Taahhütnameler ve Prosedürler
KVKK uyumunun sürdürülebilir olması için; politika, taahhütname ve prosedürlerin yazılı ve erişilebilir olması gerekir. Bu dokümanlar, gündelik işleyiş ile uyum programı arasındaki köprüyü oluşturur.
10.1. KVKK Politikası
Tipik bir KVKK politikasında şu başlıklar yer alır:
- Politikanın kapsamı ve amacı,
- Tanımlar,
- Görev ve sorumluluklar,
- Risk değerlendirme yaklaşımı,
- Veri koruma ilkeleri,
- Veri sahiplerinin hakları,
- Açık rıza alma süreçleri,
- Veri güvenliği ve veri paylaşım esasları,
- Kayıtların yönetimi, saklama ve imha kuralları,
- Denetim mekanizması,
- Politikanın güncel tutulmasına ilişkin hükümler.
10.2. Taahhütnameler ve Sözleşmeler
- Çalışan KVKK taahhütnameleri,
- Tedarikçi ve müşteri taahhütnameleri,
- Veri işleyenlerle imzalanan taahhütnameler ve sözleşme ekleri.
Bu metinler; veri güvenliğine ilişkin sorumlulukların taraflar arasında açık şekilde paylaşılmasını sağlar.
10.3. Prosedürler
Günlük işleyişte en çok ihtiyaç duyulan prosedürlerden bazıları:
- Olay (ihlâl) yönetim prosedürü,
- Kayıt ve dosya yönetim prosedürü,
- Veri aktarım politikası ve prosedürü,
- Veri sahibi talep/şikâyet yönetim prosedürü,
- Disiplin prosedürü.
11. Sık Sorulan Sorular
KVKK’nın temel amacı nedir?
KVKK’nın temel amacı, kişisel veriler işlenirken bireylerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyenlerin uyması gereken kuralları belirlemektir. Böylece veri işleme faaliyetlerine şeffaflık ve denetlenebilirlik kazandırılır.
Kimler KVKK kapsamına girer?
Kişisel verileri işlenen gerçek kişiler ve tamamen veya kısmen otomatik yollarla ya da bir veri kayıt sisteminin parçası olarak kişisel veri işleyen tüm gerçek ve tüzel kişiler KVKK kapsamına girer. Müşteri, çalışan, tedarikçi, ziyaretçi verisi işleyen hemen her şirket bu kapsamda değerlendirilir.
VERBİS’e kayıt zorunlu mudur?
Belirli çalışan sayısı, bilanço büyüklüğü veya özel nitelikli veri işleme durumuna göre VERBİS’e kayıt zorunludur. Ancak noterler, siyasi partiler, avukatlar gibi bazı gruplar istisna tutulmuştur. Güncel eşikler için KVKK Kurumu’nun duyuruları takip edilmelidir.
Veriler ne zaman silinmeli veya anonimleştirilmelidir?
Kişisel verilerin işlenmesini gerektiren sebep ortadan kalktığında; veriler, Saklama ve İmha Politikası’na uygun olarak silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
Şirketler uyum sürecine nasıl başlamalı?
Öncelikle bir uyum ekibi kurulmalı, kişisel veri envanteri çıkarılmalı, ardından politika ve prosedürler hazırlanmalı, teknik/idari tedbirler devreye alınmalı ve gerekiyorsa VERBİS kaydı yapılmalıdır. Bu adımlar tamamlandığında KVKK, şirket kültürüne entegre edilebilir hâle gelir.
