KVKK Uyumu: Türkiye'de Veri Koruma Yükümlülükleri Rehberi

Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'deki kişisel veri işleme faaliyetlerini düzenleyen temel kanundur. AB GDPR ile büyük ölçüde paralel düzenlemeler içeren KVKK, müşteri verisi, çalışan verisi veya iş ortağı verisi işleyen her kuruluş için uyum yükümlülüğü doğurur. Antalya'da turizm, sağlık, gayrimenkul, eğitim ve teknoloji sektörlerinde faaliyet gösteren işletmeler için KVKK, sıradan bir mevzuat değil; mali, hukuki ve itibari risk doğuran ciddi bir uyum konusudur. Bu rehber, KVKK uyumunun temellerini ve şirketlerin atması gereken adımları ele almaktadır.

KVKK'nın Kapsamı

KVKK, kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar. Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir:

• Ad, soyad,
• TC kimlik / yabancı kimlik numarası,
• E-posta, telefon,
• IP adresi,
• Lokasyon bilgisi,
• Sağlık verisi,
• Cinsel yönelim,
• Biyometrik veri,
• Çalışan performans bilgileri,
• Müşteri tercihleri,
• Çerez bilgileri.

Hassas kategorideki özel nitelikli kişisel veriler (sağlık, etnik köken, dini inanç, biyometrik vb.) için ek koruma kuralları uygulanır.

Veri Sorumlusu ve Veri İşleyen

KVKK iki temel rol tanımlar:

• Veri Sorumlusu: Veri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi/kuruluş.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen kişi/kuruluş.

Bir şirket genellikle veri sorumlusudur; kullandığı bulut servis sağlayıcısı veya CRM yazılımı şirketi ise veri işleyendir.

Temel Uyum Yükümlülükleri

1. Aydınlatma Yükümlülüğü

Veri sorumlusu, kişisel verisi işlenen ilgili kişiyi şu hususlarda aydınlatmak zorundadır:

• Veri sorumlusunun kimliği,
• Verilerin hangi amaçla işlendiği,
• İşlenen verilerin kimlere aktarılabileceği,
• Veri toplamanın yöntemi ve hukuki sebebi,
• İlgili kişinin hakları (erişim, silme, düzeltme vb.).

Bu aydınlatma genellikle Aydınlatma Metni veya Gizlilik Politikası biçiminde web sitesinde yayımlanır; başvuru, sözleşme veya hizmet alımı sırasında ilgili kişiye sunulur.

2. Açık Rıza

Bazı veri işleme faaliyetleri için ilgili kişinin açık rızası alınmalıdır. Açık rıza:

• Belirli bir konuya ilişkin olmalıdır,
• Bilgilendirmeye dayanmalıdır,
• Özgür iradeyle verilmelidir,
• Geri çekilebilmelidir.

Aydınlatma ile açık rıza karıştırılmamalıdır. Aydınlatma her durumda gereklidir; açık rıza ise sadece belirli işlemlerde aranır.

3. VERBİS Kaydı

Belirli bir büyüklüğün üzerindeki veri sorumluları Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)'ne kayıt yaptırmak zorundadır. VERBİS:

• Hangi tip veriler işlendiği,
• Kim için işlendiği,
• Hangi amaçlarla,
• Ne kadar süreyle saklandığı,
• Kimlerle paylaşıldığı

bilgilerinin kayıt altına alındığı kamuya açık bir sicildir. Yükümlü olduğu hâlde VERBİS'e kayıt yaptırmayan veya kaydını eksik tutan veri sorumluları için idari yaptırımlar öngörülmektedir.

4. Kişisel Veri Saklama ve İmha Politikası

VERBİS'e kaydı zorunlu olan veri sorumluları Kişisel Veri Saklama ve İmha Politikası hazırlamak zorundadır. Bu politika:

• Kişisel veri envanterini içerir,
• Hangi verinin ne kadar süreyle saklanacağını belirler,
• Saklama süresi sonunda imha veya anonimleştirme yöntemini gösterir,
• Periyodik denetim mekanizmasını tarif eder.

5. Veri Güvenliği Tedbirleri

Veri sorumluları:

• Yetkisiz erişimi önleyecek idari ve teknik tedbirleri almak,
• Şifreleme, erişim kontrolü, yedekleme uygulamak,
• Çalışanlarla gizlilik sözleşmeleri yapmak,
• Veri ihlal müdahale planı kurmakla yükümlüdür.

6. Veri İhlal Bildirimi

Bir veri ihlali (siber saldırı, sızıntı vb.) yaşandığında veri sorumlusu:

• En kısa sürede Kurum'a bildirim yapmalı,
• İlgili kişileri haberdar etmelidir.

Geç bildirim ve geç müdahale, ihlal başına ek yaptırımlara yol açar.

7. İlgili Kişi Başvurularını Yanıtlama

İlgili kişi:

• Verilerinin işlenip işlenmediğini öğrenme,
• İşlenen veriler hakkında bilgi alma,
• Düzeltme veya silme isteme,
• Otomatik sistemler analiziyle aleyhine sonuç çıkarsa itiraz etme

haklarına sahiptir. Veri sorumlusu, bu başvuruları belirli süre içinde yanıtlamakla yükümlüdür.

Yurt Dışına Veri Aktarımı

Türkiye'de işlenen kişisel verilerin yurt dışına aktarımı kural olarak kısıtlamaya tabidir. İlgili kişinin açık rızası, Türk Veri Koruma Kurumu'nun tanıdığı yeterli koruma sağlayan ülkeler listesi veya bağlayıcı şirket kuralları gibi mekanizmalar uygulanır.

Bulut hizmeti, e-posta servisleri veya yabancı kuruluşlara yapılan müşteri veri aktarımları bu kapsama girer; ihmal ihlali, ağır yaptırımları beraberinde getirir.

İdari Yaptırımlar

KVKK'ya aykırılıklar için Veri Koruma Kurumu idari para cezası uygulamaya yetkilidir. Ceza tutarları:

• İhlalin türüne,
• İhlalden etkilenen kişi sayısına,
• Veri sorumlusunun büyüklüğüne,
• Tekrarlanma durumuna

göre değişmekte olup ciddi seviyelere ulaşabilir. Kurum'un yayımladığı kararlar kamuya açıktır ve şirketler için itibar kaybı doğurur.

Şirketlerde Pratik Uyum Adımları

KVKK uyumunu sağlamak için izlenen tipik yol:

1. Veri envanteri çıkarma — şirket içindeki tüm veri akışlarının haritalanması.
2. Aydınlatma metinleri ve gizlilik politikalarının hazırlanması.
3. Açık rıza süreçlerinin tasarlanması — pazarlama, çalışan, müşteri bağlamlarında.
4. Saklama ve imha politikası hazırlığı.
5. VERBİS kaydının tamamlanması.
6. Çalışan eğitimi.
7. Sözleşmelerin güncellenmesi — özellikle veri işleyenlerle (CRM, bulut, IT hizmetleri) yapılan sözleşmelerde KVKK maddeleri.
8. Veri ihlal müdahale planı kurulması.
9. Periyodik denetim ve gerektiğinde güncelleme.

Sektörel Özel Konular

Turizm İşletmeleri

Otel ve seyahat acenteleri büyük miktarda kişisel veri işler: pasaport bilgileri, sağlık beyanları, ödeme verileri. Yurt dışına aktarım ve kart bilgilerinin saklanması özel önem taşır.

Sağlık Sektörü

Hasta verileri özel nitelikli veri kategorisindedir; daha sıkı kurallar uygulanır.

E-Ticaret

Çerez politikası, kullanıcı analiz araçları ve hedefli reklam araçları KVKK kapsamında titiz değerlendirme gerektirir.

Gayrimenkul

Müşteri kimlik bilgileri, finansal veriler, tapuyla ilgili dokümanlar uzun süreli saklama gerektirir.

Hukuki Destek

Antalya'da faaliyet gösteren işletmelerin KVKK uyumunu sağlamak için MONA HUKUK olarak veri envanteri çıkarımından VERBİS kaydına, aydınlatma metni hazırlığından çalışan eğitimine kadar kapsamlı bir uyum hizmeti sunuyoruz. Bilişim Hukuku alanındaki uzmanlığımızla, şirketinizin hem mevzuata hem uluslararası standartlara uyumunu güvence altına alıyoruz.

Danışmanlık için contact@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.