Manuel işleme için de aydınlatma yükümlülüğü var mıdır?

Evet. Kişisel veriler ister otomatik ister otomatik olmayan yollarla işlensin, veri sorumlusu ilgili kişiye aydınlatma yükümlülüğünü yerine getirmek zorundadır. Örneğin ziyaretçi defterine kayıt alınırken, hangi amaçla ve ne kadar süre saklanacağı hakkında bilgi verilmelidir.

Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi (Manuel Veri İşleme) · KVKK Rehberi

KVKK · Kişisel Veriler · Manuel Veri İşleme

Kişisel Verilerin Otomatik Olmayan Yollarla İşlenmesi (Manuel Veri İşleme) Nedir?

Q: Kağıt üzerindeki her kayıt KVKK kapsamına girer mi?

Hayır. KVKK açısından önemli olan, kişisel verilerin bir veri kayıt sisteminin parçası olup olmadığıdır. Belirli bir kritere göre yapılandırılmış, arandığında bulunabilen ve sistematik şekilde tutulan kağıt kayıtlar KVKK kapsamına girer. Tamamen dağınık, herhangi bir sisteme bağlı olmayan notlar her zaman aynı kapsamda değerlendirilmez.

Q: Manuel kayıtların dijital ortama aktarılması zorunlu mudur?

Hukuken her manuel kaydın dijital sisteme taşınması zorunlu değildir. Ancak erişilebilirlik, saklama ve güvenlik açısından pek çok kurum karma (hibrit) bir yapı kurmayı tercih eder. Önemli olan, manuel veya dijital fark etmeksizin, kişisel verilerin KVKK ilkelerine uygun şekilde işlenmesidir.

Kişisel verilerin otomatik olmayan yollarla işlenmesi; verilerin tamamen manuel yöntemlerle, fiziksel dosyalar, arşivler ve kağıt kayıt sistemleri üzerinden işlenmesini ifade eder. Bu tür işlemler, her ne kadar dijital sistemlere kıyasla “klasik” görünse de, KVKK kapsamında kişisel veri işleme faaliyeti olarak kabul edilir ve sıkı koruma yükümlülükleri doğurur.

Günümüzde birçok kurumda dijital sistemlerle birlikte hâlâ kağıt ortamında tutulan sözleşmeler, personel dosyaları, sağlık raporları, finansal belgeler, müşteri kartları gibi manuel kayıtlar kullanılmaktadır. Bu rehberde, bu kayıtların hangi şartlarda “veri kayıt sistemi” sayıldığını, hangi riskleri barındırdığını ve KVKK’ya uyum için neler yapılması gerektiğini ele alıyoruz.

Genel Bakış 1. Otomatik Olmayan Veri İşleme Kavramı 2. Veri Kayıt Sistemi ile Bağlantı 3. KVKK Kapsamında Değerlendirme

Uygulama & Örnekler 4. Uygulama Alanları ve Örnekler 5. Riskler ve Zorluklar 6. Teknik ve İdari Tedbirler

Rehber & SSS 7. Kurumlar İçin Yol Haritası 8. Sık Sorulan Sorular

Unutmayın: Kişisel verilerin sadece dijital (otomatik) ortamlarda değil, kağıt ve fiziki dosyalarda tutulması da KVKK kapsamındadır.
Otomatik olmayan (manuel) işleme, doğru tasarlanmadığında veri sızıntıları, kaybolma, yetkisiz erişim

1. Otomatik Olmayan Veri İşleme Kavramı

Kişisel verilerin otomatik olmayan yollarla işlenmesi, verilerin bilgisayar, yazılım, otomasyon veya algoritmalar yerine tamamen manuel yöntemlerle işlendiği durumları ifade eder. Bu yaklaşımda:

Veriler çoğunlukla kağıt ortamında tutulur,
Elle doldurulan formlar, dosyalar, klasörler ve arşivler kullanılır,
Verilerin aranması, güncellenmesi veya silinmesi insan müdahalesiyle yapılır.

Bu işlemler, otomatik sistemlere göre daha yavaş ve emek yoğun olabilir; ancak doğru yapılandırıldıklarında verilerin yönetimi, izlenmesi ve kontrolü açısından son derece etkili olabilir.

Kısaca; kağıt ortamında, klasörler içinde, belirli bir sisteme göre tutulan müşteri kartları, personel dosyaları veya sözleşme arşivleri çoğu zaman otomatik olmayan veri işleme kapsamındadır.

2. Veri Kayıt Sistemi ile Bağlantısı

Bir veri işleme faaliyetinin KVKK kapsamına girmesi için kritik kriterlerden biri “veri kayıt sistemi” dir. Veri kayıt sistemi; kişisel verilerin belirli kriterlere göre yapılandırıldığı ve erişilebilir kılındığı her türlü sistemdir.

Otomatik olmayan veriler bakımından bu, genellikle şu anlama gelir:

Personel dosyalarının sicil numarasına, departmana veya soyadına göre sıralandığı dolaplar,
Müşteri sözleşmelerinin müşteri numarası veya tarih aralığına göre tasnif edildiği klasörler,
Hasta dosyalarının protokol numarasına göre tutulduğu arşiv rafları.

Yani verilerin; “rastgele dağınık kağıt yığınları” şeklinde değil, belirli bir kritere bağlı düzenli bir sistem

Bu nedenle, pek çok kurumun “klasik arşiv odası”, bilgisayar kullanılmasa bile KVKK anlamında veri kayıt sistemi ve kişisel veri işleme faaliyeti olarak değerlendirilir.

3. KVKK Kapsamında Otomatik Olmayan İşlemenin Önemi

KVKK, kişisel verilerin kısmen veya tamamen otomatik yollarla işlenmesini ve bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesini kapsamına alır. Dolayısıyla:

Her tür manuel kayıt değil, veri kayıt sistemi parçası olanlar KVKK kapsamına girer,
Bu kayıtlar için de aydınlatma yükümlülüğü, veri güvenliği tedbirleri, saklama ve imha hükümleri uygulanır,
“Kağıt üzerinde, bilgisayarda değil” bahanesi, veri sorumlusunu yükümlülükten muaf kılmaz.

Kısacası; manuel tutulan personel dosyaları, müşteri formları, ziyaretçi kayıt defterleri, hasta kartları vb. de KVKK anlamında kişisel veri işlenmesi olarak değerlendirilir ve bu işlemlerin de hukuka uygun bir temele ve ilkelere dayanması gerekir.

4. Uygulama Alanları ve Örnekler

Kişisel verilerin otomatik olmayan yollarla işlenmesi, birçok sektörde ve süreçte karşımıza çıkar. Yaygın örneklerden bazıları:

İK ve Personel Yönetimi:
Fiziksel personel dosyaları, özlük dosyaları, imzalı sözleşmeler, performans formları.
Sağlık Kuruluşları:
Kağıt ortamında tutulan hasta dosyaları, film zarfları, tetkik sonuçları, hemşire gözlem formları.
Finans ve Muhasebe:
Islak imzalı kredi sözleşmeleri, çek/senet dosyaları, müşteriye ait fiziki evrak arşivi.
Eğitim Kurumları:
Öğrenci dosyaları, sınav evrakları, yoklama çizelgeleri, disiplin tutanakları.
Hukuk ve Danışmanlık:
Dava dosyaları, müvekkil klasörleri, fiziki sözleşme arşivleri.
Güvenlik ve Ziyaretçi Yönetimi:
Ziyaretçi defterleri, güvenlik kayıt formları, fiziki giriş-çıkış listeleri.

Bu işlemlerin tamamı; veriler belirli bir kritere göre düzenlenmiş ve sistematik olarak saklanıyorsa, otomatik olmayan yollarla kişisel veri işlenmesi olarak değerlendirilir.

5. Otomatik Olmayan Veri İşlemenin Riskleri ve Zorlukları

Manuel veri işleme, dijital sistemlere göre farklı türden riskler içerir. Başlıca risk ve zorluklar şunlardır:

Fiziksel güvenlik riskleri:
Arşiv odasına yetkisiz erişim, kilitsiz dolaplar, kaybolan dosyalar, yangın ve su baskını gibi olaylar.
İzlenebilirlik eksikliği:
Hangi dosyaya kim ne zaman erişti, hangi evrak alındı, fotokopi çekildi mi gibi hareketlerin çoğu zaman kayda alınmaması.
Yanlış dosyalama ve karışma riski:
Benzer isimli kişilerin dosyalarının karışması, yanlış klasöre kaldırma, yanlış kişiye evrak gönderimi.
İmha süreçlerinin zayıflığı:
Arşiv süresi dolan dosyaların uygun yöntemlerle imha edilmemesi, çöpe atılan veya herkesin görebileceği şekilde bırakılan evraklar.
Güncelleme zorlukları:
Adres veya iletişim bilgisi değişen kişilerin verilerinin kağıt dosyalarda güncellenmemesi, eski verilerin dolaşımda kalması.

Bu riskler, politikalar, prosedürler, eğitimler ve fiziksel güvenlik önlemleri ile önemli ölçüde azaltılabilir; ancak “arşiv odası” KVKK uyum programının en kritik bileşenlerinden biri olarak ele alınmalıdır.

6. Otomatik Olmayan İşleme İçin Teknik ve İdari Tedbirler

Kişisel verilerin otomatik olmayan yollarla işlenmesinde de veri güvenliği yükümlülüğü aynen devam eder. Kurumların alabileceği temel tedbirlerden bazıları:

6.1. Fiziksel Güvenlik Tedbirleri

Arşiv odalarının kilitli tutulması ve giriş çıkışların kontrol altına alınması,
Yetkisiz kişilerin dosyalara erişimini engelleyecek kilitli dolap ve kilit sistemleri,
Yangın, su baskını gibi risklere karşı arşiv ortamının korunması; gerekli sensör ve alarm sistemleri.

6.2. Erişim Yetkileri ve Yetki Matrisi

Hangi departmanın hangi tür dosyalara erişebileceğinin yazılı olarak belirlenmesi,
“Herkes her dosyayı görebilir” yaklaşımından kaçınılarak rol bazlı erişim kurgulanması,
Dosya ödünç alma, iade, arşivden çıkarma ve imha süreçlerinin kayıt altına alınması.

6.3. Politika, Prosedür ve Eğitim

Otomatik olmayan veri işleme ve arşiv yönetimi için yazılı prosedürlerin oluşturulması,
Çalışanlara KVKK, kişisel veri gizliliği, evrak taşıma/çoğaltma kuralları hakkında düzenli eğitim verilmesi,
İhlal tespit edildiğinde uygulanacak adımların (incident response) belirlenmesi.

6.4. Saklama ve İmha Yönetimi

Her tür manuel kayıt için saklama sürelerinin tanımlandığı “Veri Saklama ve İmha Politikası” oluşturulması,
Süresi dolan dosyaların parçalama, presleme, güvenli imha hizmeti gibi yöntemlerle yok edilmesi,
İmha edilen dosyalar için tarih ve yöntem içeren kayıtların tutulması.

7. Kurumlar İçin Yol Haritası: Manuel Kayıtları KVKK’ya Uyumlu Hale Getirmek

Kurumlar, kişisel verilerin otomatik olmayan yollarla işlenmesini KVKK’ya uyumlu hâle getirmek için şu adımları izleyebilir:

Envanter Çıkarma: Hangi departmanda, hangi tür kağıt kayıtlar tutuluyor? (Personel dosyaları, sözleşmeler, ziyaretçi defterleri vb.)
Veri Kayıt Sistemi Analizi: Bu kayıtlar hangi kritere göre sınıflandırılıyor? KVKK anlamında veri kayıt sistemi oluşturuyor mu?
Aydınlatma ve Hukuki Dayanak: Bu veriler hangi hukuki sebebe dayanarak işleniyor? İlgili kişilere nasıl aydınlatma yapılıyor?
Erişim ve Güvenlik: Kimler bu dosyalara erişebiliyor? Fiziksel ve idari güvenlik önlemleri yeterli mi?
Saklama Süresi ve İmha: Her kayıt türü için saklama süreleri tanımlı mı? Sonrasında nasıl imha ediliyor?
Eğitim ve Farkındalık: Arşivle çalışan personel, kişisel verilerin niteliği ve önemi hakkında bilgilendirildi mi?

Manuel kayıtlar, dijital sistemlere göre daha “somut” göründüğü için çoğu zaman gözden kaçabiliyor. Oysa KVKK’ya uyumlu bir programda arşiv odası, dosya dolabı ve ziyaretçi defteri de en az CRM sistemi kadar önemlidir.

Sık Sorulan Sorular: Otomatik Olmayan (Manuel) Veri İşleme

Kişisel verilerin otomatik olmayan yollarla işlenmesi nedir?

Kişisel verilerin otomatik olmayan yollarla işlenmesi; verilerin dijital sistemler yerine manuel yöntemlerle, çoğunlukla kağıt ortamında veya fiziksel dosya/arşiv sistemleri üzerinden işlenmesi anlamına gelir. Dosyalama, sınıflandırma, arşivleme gibi işlemler insan müdahalesiyle yapılır.

Kağıt üzerindeki her kayıt KVKK kapsamına girer mi?

Hayır. KVKK için önemli olan, kişisel verilerin bir veri kayıt sisteminin parçası olup olmadığıdır. Belirli bir kritere göre düzenlenmiş, arandığında bulunabilen ve sistematik şekilde tutulan kağıt kayıtlar kapsam dahilindedir. Tamamen dağınık, herhangi bir sisteme bağlı olmayan notlar her zaman aynı kapsamda değerlendirilmez.

Manuel işleme için de aydınlatma yapmak gerekir mi?

Evet. Kişisel veriler ister otomatik ister otomatik olmayan yollarla işlensin, veri sorumlusu ilgili kişiye aydınlatma yükümlülüğünü yerine getirmelidir. Örneğin; ziyaretçi defterine kayıt alınırken, hangi amaçla ve ne kadar süre saklanacağı hakkında bilgi verilmelidir.

Manuel kayıtlar için hangi güvenlik tedbirleri alınmalıdır?

Arşiv odalarının kilit altında tutulması, dosya dolaplarının kilitlenmesi, erişim yetkilerinin sınırlandırılması, saklama sürelerinin belirlenmesi ve süre sonunda dosyaların güvenli imhası gibi fiziksel ve idari tedbirler alınmalıdır. Ayrıca çalışanlara düzenli gizlilik ve KVKK eğitimleri verilmesi gerekir.

Otomatik olmayan veri işleme, otomatik işleme kadar riskli midir?

Risk türü farklı olmakla birlikte, manuel kayıtlar da en az dijital kayıtlar kadar kritik olabilir. Özellikle sağlık, finans veya personel dosyaları gibi hassas içerikli evrakların kaybolması, yanlış kişiye verilmesi veya yetkisiz kişilerce görüntülenmesi ciddi ihlallere yol açabilir.

Manuel kayıtların dijital ortama aktarılması zorunlu mudur?

Hukuken her manuel kaydın dijital sisteme aktarılması zorunlu değildir; ancak erişilebilirlik, saklama ve güvenlik açısından pek çok kurum karma (hibrit) bir yapı kurmayı tercih eder. Önemli olan, manuel veya dijital fark etmeksizin, kişisel verilerin KVKK ilkelerine uygun işlenmesidir.