KVKK Nedir?
KVKK (Kişisel Verilerin Korunması Kanunu), 6698 sayılı kanun olarak 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanunun amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumak ve veri işleyen gerçek veya tüzel kişilerin uyması gereken kuralları belirlemektir.
Avrupa Birliği'nin GDPR (General Data Protection Regulation) düzenlemesine paralel olarak oluşturulan KVKK, Türkiye'de faaliyet gösteren tüm işletmeler için bağlayıcıdır. 2026 yılı itibarıyla KVKK uyumluluğu, sadece yasal bir zorunluluk değil, aynı zamanda müşteri güvenini sağlamanın temel koşullarından biridir.
Kişisel Veri Nedir?
KVKK kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir:
- Kimlik bilgileri: Ad, soyad, TC kimlik numarası, doğum tarihi
- İletişim bilgileri: Telefon numarası, e-posta adresi, ev adresi
- Finansal bilgiler: Banka hesap numarası, kredi kartı bilgileri
- Dijital veriler: IP adresi, çerez verileri, konum bilgisi
- Görsel ve işitsel veriler: Fotoğraf, ses kaydı, video
Özel Nitelikli Kişisel Veriler
Bazı kişisel veriler, hassas yapıları nedeniyle daha sıkı koruma altındadır:
- Irk, etnik köken, siyasi düşünce, felsefi inanç, din veya mezhep
- Dernek, vakıf ve sendika üyeliği
- Sağlık verileri ve cinsel hayata ilişkin veriler
- Ceza mahkumiyeti ve güvenlik tedbirleri
- Biyometrik ve genetik veriler
Kişisel Veri İşleme Şartları
KVKK'ya göre kişisel verilerin işlenebilmesi için şu şartlardan en az birinin sağlanması gerekir:
- Açık rıza: Veri sahibinin belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıkladığı rıza.
- Kanunda açıkça öngörülme: Yasaların veri işlemeyi gerektirdiği durumlar.
- Sözleşmenin ifası: Bir sözleşmenin kurulması veya yerine getirilmesi için gerekli olması.
- Hukuki yükümlülük: Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi.
- Hayati çıkar: Kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Meşru menfaat: Veri sorumlusunun meşru menfaatleri için gerekli olması (temel hak ve özgürlüklere zarar vermemek kaydıyla).
Veri Sorumlusu Yükümlülükleri
Kişisel verileri işleyen her işletme (veri sorumlusu) şu yükümlülükleri yerine getirmelidir:
Aydınlatma Yükümlülüğü
Veri sahiplerini kişisel verilerinin nasıl işlendiği konusunda bilgilendirmelisiniz:
- Veri sorumlusunun kimliği
- Verilerin hangi amaçla işleneceği
- Verilerin kimlere ve hangi amaçla aktarılabileceği
- Veri toplamanın yöntemi ve hukuki sebebi
- Veri sahibinin KVKK kapsamındaki hakları
VERBİS Kaydı
Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yaptırmak zorunludur. VERBİS kaydında şu bilgiler beyan edilir:
- İşlenen kişisel veri kategorileri
- Veri işleme amaçları
- Veri sahibi grupları
- Verilerin aktarıldığı alıcı grupları
- Yurt dışına aktarım bilgileri
- Veri güvenliğine ilişkin alınan tedbirler
- Verilerin azami muhafaza süreleri
Veri Güvenliği Tedbirleri
İşletmeniz, kişisel verilerin güvenliğini sağlamak için hem teknik hem de idari tedbirler almalıdır:
Teknik Tedbirler
- Verilerin şifrelenmesi
- Erişim kontrolü ve yetkilendirme
- Güvenlik duvarı ve antivirüs yazılımları
- Düzenli yedekleme
- Sızma testleri ve güvenlik denetimleri
İdari Tedbirler
- Veri işleme envanteri oluşturma
- Kişisel veri saklama ve imha politikası
- Çalışan farkındalık eğitimleri
- Gizlilik sözleşmeleri
- Veri işleyen üçüncü taraflarla sözleşmeler
Veri Sahibinin Hakları
KVKK, kişisel verileri işlenen bireylere şu hakları tanımaktadır:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmişse düzeltilmesini isteme
- Silinmesini veya yok edilmesini isteme
- Otomatik sistemler aracılığıyla aleyhine bir sonuç çıkmasına itiraz etme
- Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme
KVKK İhlali ve Yaptırımlar
KVKK'ya aykırı hareket eden işletmelere ciddi yaptırımlar uygulanmaktadır:
| İhlal Türü | İdari Para Cezası |
|---|---|
| Aydınlatma yükümlülüğüne aykırılık | 50.000 - 1.000.000 TL |
| Veri güvenliğine aykırılık | 75.000 - 5.000.000 TL |
| Kurul kararlarına aykırılık | 100.000 - 5.000.000 TL |
| VERBİS'e kayıt yükümlülüğüne aykırılık | 40.000 - 2.000.000 TL |
Ayrıca Türk Ceza Kanunu kapsamında kişisel verilerin hukuka aykırı olarak kaydedilmesi, yayılması veya ele geçirilmesi hapis cezası gerektirebilir.
İşletmenizi KVKK'ya Uyumlu Hale Getirme
KVKK uyum sürecinde izlemeniz gereken adımlar:
- Veri envanteri çıkarma: Hangi kişisel verileri, neden, nasıl ve nerede işlediğinizi belirleyin.
- Hukuki dayanak belirleme: Her veri işleme faaliyeti için hukuki dayanağı tespit edin.
- Aydınlatma metinleri hazırlama: Web sitesi, çalışan, müşteri ve tedarikçi aydınlatma metinlerini oluşturun.
- Açık rıza metinleri hazırlama: Gerekli durumlarda açık rıza formları düzenleyin.
- Politika ve prosedürler oluşturma: Veri saklama, imha, ihlal bildirimi ve başvuru yanıtlama prosedürleri hazırlayın.
- Teknik tedbirleri uygulama: Şifreleme, erişim kontrolü ve yedekleme sistemlerini kurun.
- VERBİS kaydı: Sicil kaydınızı tamamlayın.
Ekolsoft, KVKK uyumlu yazılım geliştirme ve veri güvenliği altyapısı konusunda işletmelere teknik destek sağlamaktadır.
Sonuç
KVKK uyumluluğu, işletmenizin yasal yükümlülüklerini yerine getirmesinin yanı sıra müşteri güvenini sağlamanın temel koşullarından biridir. Kişisel verileri doğru şekilde işleyin, güvenlik tedbirlerini alın, şeffaf olun ve haklarına saygı gösterin. KVKK uyumu bir kerelik bir proje değil, sürekli yönetilmesi gereken bir süreçtir.
