KVKK Terimleri Sözlüğü: A’dan Z’ye Tüm Kavramlar
KVKK metinlerini okurken çoğu kişinin yaşadığı ortak bir durum var: Metin hukuki olarak doğru ama kavramlar teknik ve karmaşık. Bu yüzden “Açık rıza ne demek?”, “Veri sorumlusu kim?”, “Anonimleştirme ile silme aynı şey mi?” gibi sorular doğal olarak gündeme geliyor.
Bu sözlükte amaç; hukuk dilini “basitleştirip yanlış anlatmak” değil, hukuki doğruluğu koruyarak kavramları günlük dile çevirmek. Böylece hem kurum çalışanları hem de veri sahipleri metinleri daha rahat okuyabilecek, süreçleri daha bilinçli yönetebilecek.
Aydınlatma ≠ Açık rıza: Biri bilgi verme, diğeri izin alma sürecidir.
Silme ≠ Anonimleştirme: Silme erişimi kapatır; anonimleştirme kişiyi tamamen koparır.
VERBİS ≠ KVKK uyumu: Kayıt bir parçadır; süreç, güvenlik ve ispat güçlendirilmelidir.
1) Neden KVKK Sözlüğü?
KVKK uyumunda en sık görülen problem, “metin var ama kavram yok” durumudur. Yani kurumun aydınlatma metni, açık rıza metni, saklama-imha politikası hazırlanmıştır; fakat metnin içindeki kavramlar saha ekipleri tarafından tam anlaşılmadığı için uygulama hataları doğar.
Uyum; sadece doküman üretmek değil, aynı zamanda doğru davranışı standart hale getirmektir. Doğru davranışın temeli ise kavramları doğru anlamaktır.
Bu sözlük; özellikle satış, pazarlama, insan kaynakları, müşteri hizmetleri, IT/BT ve operasyon ekipleri için ortak bir dil oluşturmayı hedefler. Çünkü KVKK; tek bir departmanın değil, tüm organizasyonun gündemidir.
2) Bu Sözlük Nasıl Kullanılır?
Metin okurken “takıldığın kavramı” burada bul
Aydınlatma metninde “hukuki sebep”, saklama-imha politikasında “anonimleştirme”, veri ihlali sürecinde “bildirim” gibi kavramlar geçer. Takıldığın terimi bulup 2 dakikada netleştir.
Ekip içi ortak dil için referans yap
“Veri sorumlusu kim?”, “veri işleyen kim?”, “rıza hangi durumda gerekir?” gibi sorular, ekip içi toplantılarda tekrar eder. Sözlük, standart cevap üretmek için pratik bir referans noktasıdır.
3) En Çok Karıştırılan 7 Kritik Fark (Sahada En Çok Hata Burada Çıkıyor)
| Kavram Çifti | Kısa Açıklama | Pratik Örnek |
|---|---|---|
| Aydınlatma vs Açık Rıza | Aydınlatma bilgilendirmedir; rıza ise (gerekiyorsa) ayrıca izin almaktır. | Formda “verini nasıl işleyeceğim” anlatılır (aydınlatma), sonra “kampanya SMS’i ister misin?” sorulur (rıza). |
| Silme vs Yok Etme | Silme erişimi kapatır; yok etme fiziksel/teknik olarak tamamen ortadan kaldırır. | Dosyanın sistemde görünmemesi (silme) ile diskten kalıcı kaldırılması (yok etme) aynı değildir. |
| Silme vs Anonimleştirme | Anonimleştirme, kişiyi veriyle ilişkilendirilemez hale getirir; veri “istatistik” seviyesine iner. | “Bu ay 5.000 sipariş” anonimdir; “Ayşe Yılmaz bu ay 2 sipariş verdi” kişiseldir. |
| Veri Sorumlusu vs Veri İşleyen | Kararı veren veri sorumlusu; talimatla iş yapan veri işleyendir. | Şirket (veri sorumlusu), dış çağrı merkezi firması (veri işleyen) olabilir. |
| Özel Nitelikli Veri vs Diğer Kişisel Veri | Özel nitelikli veriler daha hassastır; daha sıkı tedbir gerekir. | Sağlık raporu özel nitelikli; telefon numarası kişisel veridir. |
| Meşru Menfaat vs Pazarlama | Meşru menfaat “haklı ihtiyaç”tır; pazarlama faaliyetleri çoğu zaman farklı değerlendirme ister. | Güvenlik kamerası (meşru menfaat) ile hedefli reklam (çoğunlukla ayrı tasarım ister). |
| VERBİS Kaydı vs KVKK Uyum Programı | VERBİS kayıt/bildirimdir; uyum programı süreç+kontrol+kanıt bütünüdür. | VERBİS var ama aydınlatma yanlışsa, güvenlik zayıfsa, başvuru süreci yoksa risk devam eder. |
Not: Bu tablo “pratik farkı” göstermek için sadeleştirilmiştir. Kurumsal uygulamada her kavramın süreç ve doküman karşılığı ayrıca ele alınmalıdır.
4) A’dan Z’ye KVKK Terimleri Sözlüğü
Aşağıdaki terimler, KVKK dokümanlarında en sık gördüğünüz ve uygulamada en çok sorulan kavramlardır. Her terimde üç şey hedeflendi: tanım, kritik noktalar ve günlük örnek.
A Harfi Terimleri
Açık Rıza
Kişinin, belirli bir konu hakkında bilgilendirildikten sonra özgür iradesiyle ve açık bir şekilde “evet” demesidir.
- Belirli olmalı: “Her şeye rıza” yaklaşımı doğru değildir.
- Bilgilendirmeye dayalı olmalı: Kişi neye onay verdiğini anlamalıdır.
- Özgür irade olmalı: Hizmeti almak için “mecbur” bırakılan rıza risklidir.
Örnek: Kampanya SMS’i/arama/e-posta için ayrıca onay alınması.
Aydınlatma Yükümlülüğü
Veri işlenmeden önce kişiye; veriyi kimin işlediği, hangi amaçla işlediği, kimlere aktarabileceği ve haklarının neler olduğu gibi konularda net ve anlaşılır bilgi verilmesidir.
Pratik ipucu: Aydınlatma, “sayfanın dibindeki link” olmaktan ziyade, veri alınan temas noktasında görünür olmalıdır.
Anonimleştirme
Verinin, hiçbir şekilde bir kişiyle ilişkilendirilemeyecek hale getirilmesidir. Amaç; veriyi “kişiden koparıp” istatistiksel faydaya dönüştürmektir.
Örnek: “Bu ay satışların %60’ı mobil uygulamadan geldi” bilgisi kişiye bağlı değildir.
Alıcı Grubu
Verinin aktarıldığı tarafların “kategori” olarak adlandırılmasıdır. Tek tek firma ismi yazmak yerine, aktarım yapılan taraf türlerini gösterir.
Örnek: “Kargo şirketleri”, “barındırma (hosting) hizmeti sağlayıcıları”, “hukuk danışmanları” gibi.
B Harfi Terimleri
Başvuru Hakkı
İlgili kişinin veri sorumlusuna başvurarak; verilerinin işlendiğini öğrenmesi, düzeltilmesini istemesi, silinmesini talep etmesi, aktarımları sorgulaması gibi haklarını kullanabilmesidir.
Pratik örnek: “Bende hangi verileriniz var? Bana yazılı iletebilir misiniz?” başvurusu.
Bilgi Güvenliği
KVKK ile doğrudan kesişir: Kişisel veriler de bir bilgi varlığıdır. Yetkisiz erişim, sızıntı, kayıp ve bozulmaya karşı korunmalıdır.
Örnek: Yetki matrisi, log kayıtları, MFA, yedekleme ve eğitim süreçleri.
Ç Harfi Terimleri
Çerez (Cookie)
Web sitesi veya uygulamanın, cihazınızda bıraktığı küçük dosyalardır. Bazıları zorunlu, bazıları analitik veya pazarlama amaçlı olabilir.
Örnek: Sepetteki ürünleri hatırlayan çerez (işlevsel) veya ziyaret analizi yapan çerez (analitik).
Çocuklara Ait Veriler
Çocukların verileri, uygulamada daha hassas ele alınır. Yaş grubu ve hizmetin niteliğine göre rıza/aydınlatma tasarımı daha dikkatli yapılmalıdır.
Örnek: Çocuklara yönelik bir uygulamada profil oluşturma ve iletişim izinleri.
D Harfi Terimleri
Doğruluk ve Güncellik
İşlenen verilerin doğru ve gerektiğinde güncel tutulması ilkesidir. Yanlış veri; hem kişiyi mağdur eder hem kurumu riske sokar.
Örnek: Hatalı e-posta/telefon nedeniyle yanlış kişiye bildirim gitmesi.
Denetim İzleri (Audit Trail)
Kim, ne zaman, hangi veriye erişti? Hangi işlem yapıldı? sorularının kaydını tutan izlerdir. KVKK’da “ispat” gücünü artırır.
Örnek: CRM’de müşteri kaydına erişen kullanıcıların logları.
E Harfi Terimleri
Elektronik Ortam
Verinin dijital sistemlerde tutulduğu her yerdir: sunucular, bulut sistemleri, e-posta altyapıları, CRM/ERP gibi platformlar.
Pratik örnek: “Google Workspace / Microsoft 365” üzerinden e-posta ile veri paylaşımı.
Erişim Kontrolü
Kişisel verilere sadece işi gereği erişmesi gereken kişilerin erişebilmesini sağlayan yönetimdir.
Örnek: İK dosyalarına sadece İK ekibinin erişmesi; pazarlamanın erişememesi.
H Harfi Terimleri
Hukuki Sebep
Bir verinin işlenebilmesi için dayandığı yasal gerekçedir. Her veri işleme faaliyeti “bir sebebe” oturmalıdır.
- Sözleşmenin kurulması/ifası
- Kanuni yükümlülük
- Meşru menfaat
- Açık rıza (gerektiğinde)
Örnek: Fatura kesmek için kimlik/iletişim verisi işlenmesi (çoğu durumda yasal yükümlülük/sözleşme).
İ Harfi Terimleri
İlgili Kişi
Kişisel verisi işlenen gerçek kişidir. Müşteri, çalışan, çalışan adayı, ziyaretçi, tedarikçi yetkilisi olabilir.
Örnek: İş başvuru formunu dolduran aday, ilgili kişidir.
İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi süreçlerinin genel adıdır. “Amaç bitti” ise veri sonsuza kadar tutulmaz; imha gündeme gelir.
Örnek: İşleme amacı kalmayan başvuru CV’lerinin belirlenen süre sonunda kaldırılması.
İhlal (Kişisel Veri İhlali)
Kişisel verilerin yetkisiz kişilerin eline geçmesi, ifşa olması, kaybolması veya erişilemez hale gelmesi gibi güvenlik olaylarıdır.
Örnek: Yanlış kişiye e-posta ile müşteri listesi gönderilmesi.
K Harfi Terimleri
Kurul
Kişisel Verileri Koruma Kurulu’dur. Karar alma ve denetim yetkisini kullanır.
Kurum
Kişisel Verileri Koruma Kurumu’dur. İdari organizasyonu ifade eder.
KVKK (6698)
Türkiye’de kişisel verilerin işlenmesine ilişkin temel kuralları ve kurumların yükümlülüklerini belirleyen kanundur.
Pratik anlam: Aydınlatma, güvenlik, aktarım, saklama ve başvuru süreçleri bu çerçevede yönetilir.
M Harfi Terimleri
Meşru Menfaat
Veri sorumlusunun haklı bir çıkarı varsa ve bu çıkar ilgili kişinin temel haklarına ölçüsüz zarar vermiyorsa veri işlenebilir.
Örnek: Fiziksel güvenlik için kamera kayıt sistemi kurulması.
Kritik not: “Meşru menfaat” otomatik bir serbestlik değildir; denge değerlendirmesi gerekir.
O Harfi Terimleri
Özel Nitelikli Kişisel Veri
Daha hassas kabul edilen veriler: sağlık, biyometrik veri, ceza mahkumiyeti, sendika üyeliği, din vb. Bu veriler için daha sıkı güvenlik ve daha kontrollü süreç gerekir.
Örnek: Personelin sağlık raporu veya biyometrik yüz tanıma kaydı.
Orantılılık (Ölçülülük)
“Gerektiği kadar veri” yaklaşımıdır. Hizmet için gerekli olmayan veri istenirse risk artar.
Örnek: Basit bir bülten üyeliği için “doğum yeri” istemek ölçüsüz olabilir.
P Harfi Terimleri
Politika
Kurumun KVKK yaklaşımını ve kurallarını yazılı hale getiren doküman setidir. Personelin neyi nasıl yapacağını standardize eder.
Örnek: Saklama ve İmha Politikası, Veri İhlali Müdahale Politikası.
Pseudonimleştirme (Takma Adlandırma)
Verinin kişiye bağını tamamen koparmadan, doğrudan kimlik bilgisini ayırarak riski azaltma yöntemidir. Anonimleştirme değildir; hâlâ kişisel veri olabilir.
Örnek: Müşteri ad-soyad yerine “MüşteriID” ile işlem yapmak, ana anahtar ayrı yerde tutulur.
R Harfi Terimleri
Risk
KVKK perspektifinde risk, sadece siber saldırı değildir. Yanlış aktarım, yanlış aydınlatma, gereksiz veri toplama da risktir.
Örnek: Excel ile mail atılan müşteri listeleri, kontrolsüz paylaşım riski doğurur.
Rıza Yönetimi
Açık rızanın hangi amaç için alındığını, nasıl geri çekileceğini ve kayıtların nasıl tutulacağını yöneten yapıdır.
Örnek: SMS izni “var/yok”, tarih, kanal, metin versiyonu gibi izlerin kayıt altına alınması.
S Harfi Terimleri
Silme
Verinin ilgili kullanıcılar için erişilemez hale getirilmesidir. Sistem mimarisine göre “mantıksal silme” olabilir.
Örnek: CRM kaydının kullanıcı ekranında görünmemesi; sadece yetkili adminin erişebilmesi.
Saklama Süresi
Verinin hangi süre boyunca tutulacağını ifade eder. Süre; amaç, mevzuat ve iş ihtiyacına göre belirlenir.
Örnek: Finansal kayıtlar belirli mevzuat süreleri boyunca saklanır; süre bittiğinde imha planına girer.
Standart Metin / Şablon
Şablonlar faydalıdır; ancak “kopyala-yapıştır” yapılırsa metin ile gerçek süreç uyuşmayabilir. Uyumun zayıf noktası genelde budur.
Pratik uyarı: Metin, envanter ve fiili işleyiş aynı şeyi söylemelidir.
T Harfi Terimleri
Teknik ve İdari Tedbirler
Veri güvenliğini sağlamak için alınan önlemlerdir. Teknik tedbirler “sistem”, idari tedbirler “insan ve süreç” tarafını güçlendirir.
- Teknik: Şifreleme, MFA, firewall, loglama, yedekleme, DLP vb.
- İdari: Politika, eğitim, yetkilendirme, prosedür, tedarikçi yönetimi vb.
Örnek: Personel eğitimi + rol bazlı yetkilendirme + log izleme birlikte çalışır.
Toplama Yöntemi
Verinin hangi kanaldan alındığını ifade eder: web formu, çağrı merkezi, e-posta, sözleşme, kamera, çerezler vb.
Örnek: “İletişim formu üzerinden” alınan ad-soyad ve mesaj içeriği.
U Harfi Terimleri
Uyum (Compliance)
KVKK’ya uyum; metin, süreç, sistem ve kayıt bütünüdür. “Sadece doküman” ile sınırlı kalırsa sürdürülebilir olmaz.
Örnek: Başvuru geldiğinde yanıt veremeyen bir kurumun metni güçlü olsa da risk yaşar.
Uluslararası Aktarım
Verinin Türkiye dışına gönderilmesi veya yurt dışında erişilebilir hale gelmesidir. Bulut servisleri bu başlıkta sık gündeme gelir.
Örnek: Yurt dışı veri merkezinde çalışan bir CRM kullanımı.
V Harfi Terimleri
VERBİS
Veri Sorumluları Sicili Bilgi Sistemi’dir. Belirli kriterleri sağlayan veri sorumluları, veri işleme faaliyetlerini buraya bildirir.
- Envanter disiplinini zorunlu kılar.
- Veri kategorileri, kişi grupları, amaçlar, saklama süreleri gibi başlıkları görünür yapar.
- Dokümanların “gerçek sürece dayanmasını” teşvik eder.
Kritik not: VERBİS kaydı, uyumun bir parçasıdır; tek başına “tam uyum” anlamına gelmez.
Veri Sorumlusu
Kişisel verinin hangi amaçla ve nasıl işleneceğine karar veren gerçek veya tüzel kişidir (genellikle kurum/şirket).
Örnek: Çalışan verilerini işleyen işveren şirket veri sorumlusudur.
Veri İşleyen
Veri sorumlusunun talimatıyla, onun adına kişisel verileri işleyen üçüncü kişidir.
Örnek: Dış çağrı merkezi, dış bordro firması, barındırma hizmeti sağlayıcısı.
Y Harfi Terimleri
Yurt Dışına Aktarım
Kişisel verilerin Türkiye dışına gönderilmesi veya yurt dışından erişilebilir hale gelmesidir. Bulut servisleri, e-posta altyapıları, uluslararası grup şirketleri bu kapsamda değerlendirilir.
Örnek: Yurt dışı sunucuda çalışan bir analitik aracı kullanımı.
Yok Etme
Kişisel verilerin bulunduğu ortamın fiziksel veya teknik olarak ortadan kaldırılmasıdır. Silmeden daha “kalıcı” bir imha yöntemidir.
Örnek: Arşiv klasörlerinin imha edilmesi veya disklerin güvenli şekilde bertarafı.
Z Harfi Terimleri
Ziyaretçi Verisi
Fiziksel mekân giriş-çıkış kayıtları, ziyaretçi kartı bilgileri, kamera görüntüleri gibi verilerdir.
Örnek: Ziyaretçi defterindeki ad-soyad ve giriş saati bilgisi.
Zincir (Tedarikçi Zinciri)
Verinin kurumdan tedarikçiye, oradan alt tedarikçiye doğru akabildiği yapıdır. En sık risk; zincirde “kimin ne yaptığı” netleşmediğinde ortaya çıkar.
Örnek: Ajans → e-posta gönderim servisi → barındırma firması şeklinde çok katmanlı yapı.
Kavramları bilmek, uyumun temelini güçlendirir. Ancak asıl fark; bu kavramların süreçlere, sistemlere ve kayıtlara doğru yansıtılmasıyla oluşur.
5) Sık Sorulan Sorular
Aydınlatma metnini okuyup “kabul ediyorum” kutusu işaretlemek şart mı?
Aydınlatma “kabul” işlemi değildir; bilgilendirmedir. Önemli olan kişinin bilgilendirilmeye erişebilmesi ve metnin anlaşılır olmasıdır. Ayrı bir açık rıza gerekiyorsa, o rıza ayrıca ve amaç bazlı alınmalıdır.
Silme ile anonimleştirme arasındaki en basit fark nedir?
Silme, veriye erişimi kapatır (sistem tasarımına göre geri getirilebilir izler kalabilir). Anonimleştirme ise veriyi “kişiden koparır”; artık kimse o veriden kişiye ulaşamaz.
VERBİS kaydı yaptım, uyum bitti mi?
Hayır. VERBİS; envanter ve bildirim boyutudur. Uyumun tamamı; doğru aydınlatma, hukuki sebep kurgusu, saklama-imha, veri güvenliği tedbirleri ve başvuru sürecinin işletilmesiyle oluşur.
“Veri sorumlusu” her zaman şirket midir?
Çoğu kurumsal senaryoda evet. Ancak bazı yapılarda farklı modeller görülebilir. Pratikte temel soru şudur: “Bu verinin hangi amaçla, nasıl işleneceğine kim karar veriyor?” Karar verense veri sorumlusu odur.
6) Sonuç: Kavramı Anlamak, Uyumun Yarısını Tamamlamaktır
Kurumların en sık yaptığı hata şudur: Metin var ama kavram bilinmiyor. Bu sözlük; KVKK metinlerini daha bilinçli okumak, ekip içi ortak dili güçlendirmek ve süreçleri daha doğru yapılandırmak için temel bir rehberdir.
Not: Bu içerik, kavramları sadeleştirerek anlatır. Kurumsal uygulamada; envanter, süreç, doküman seti ve teknik/idari tedbirler birlikte değerlendirilmelidir.
İlgili hizmet: KVKK hakkında detaylı bilgi hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
