Ankara · İstanbul — Kurumsal Hukuk
ARSLANHUKUK & DANIŞMANLIK
Ana Sayfa  /  Blog  /  KVKK & Bilişim Hukuku

İşletmeler İçin KVKK Uyumu: Temel Adımlar ve Yol Haritası

3 Temmuz 20266 dk okumaKVKK & Bilişim Hukuku

Kişisel veri işleyen her işletme, 6698 sayılı KVKK kapsamında belirli yükümlülükler taşıyabilir. Bu yazıda uyum sürecinin temel adımları genel hatlarıyla ele alınmaktadır.

KVKK Uyumu Neden Gündeme Gelir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), gerçek kişilere ait kişisel verilerin işlenmesine ilişkin usul ve esasları düzenler. Çalışan, müşteri, tedarikçi veya ziyaretçi verisi işleyen hemen her işletme, Kanun anlamında 'veri sorumlusu' konumunda olabilir. Bu durum, sektör veya ölçek fark etmeksizin belirli hukuki yükümlülüklerin doğması sonucunu getirebilir.

Uyum, tek seferlik bir işlem değil; süreklilik gerektiren bir yönetim faaliyetidir. Mevzuat, ikincil düzenlemeler ve Kişisel Verileri Koruma Kurulu kararları zaman içinde güncellendiğinden, işletmelerin kurdukları sistemi periyodik olarak gözden geçirmesi beklenir. Aşağıdaki adımlar, uyum sürecinin genel bir çerçevesini ortaya koymak amacıyla derlenmiştir.

Veri Envanteri ve VERBİS Kaydı

Uyum sürecinin çıkış noktası genellikle kişisel veri işleme envanterinin hazırlanmasıdır. Envanter; hangi verilerin, hangi amaçla, hangi hukuki sebebe dayanılarak işlendiğini, kimlere aktarıldığını ve ne kadar süreyle saklandığını ortaya koyan temel bir belgedir. Bu haritalama yapılmadan diğer adımların sağlıklı biçimde kurgulanması güçtür.

Envanterin ardından, Kanunda ve Kurul kararlarında belirlenen kriterleri karşılayan veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) kayıt yükümlülüğü gündeme gelebilir. Yıllık çalışan sayısı, mali bilanço büyüklüğü ve işlenen verinin niteliği gibi ölçütler kayıt yükümlülüğünün kapsamını belirlemede rol oynar. Kayıt eşikleri ve istisnalar zaman zaman güncellendiğinden, işletmenin kendi durumunu güncel düzenlemeler ışığında değerlendirmesi önem taşır.

  • İşlenen veri kategorileri ile özel nitelikli kişisel veriler ayrı ayrı belirlenmelidir.
  • Her işleme faaliyeti için hukuki sebep (açık rıza veya Kanunda sayılan diğer işleme şartları) tespit edilmelidir.
  • VERBİS'e kayıt yükümlülüğünden muaf olmak, KVKK'nın diğer yükümlülüklerinden muafiyet anlamına gelmez.

Aydınlatma Metni ve Açık Rıza Yönetimi

KVKK'nın 10. maddesi uyarınca veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişiyi; verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, toplama yöntemi ve hukuki sebebi ile Kanunda sayılan hakları konusunda bilgilendirmekle yükümlüdür. Aydınlatma yükümlülüğü, işlemenin açık rızaya dayanıp dayanmadığından bağımsız olarak her durumda yerine getirilir.

Açık rıza ise yalnızca uygun hukuki sebeplerden biri olarak devreye girer; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olmalıdır. Bu nedenle rızanın geri alınabilir biçimde alınması, kaydının tutulması ve gerektiğinde ispatlanabilmesi önem taşır. Kurul, aydınlatma metni ile açık rıza beyanının ayrı ayrı düzenlenmesi gerektiğine ilişkin ilke kararları vermiştir; bu ayrımın uygulamada gözetilmesi beklenir.

Saklama, İmha ve Veri Güvenliği

Kişisel veriler, işlendikleri amaç için gerekli olan süreyle sınırlı olarak saklanır. Bu çerçevede işletmelerin bir kişisel veri saklama ve imha politikası oluşturması, saklama sürelerini belirlemesi ve süresi dolan verileri silme, yok etme veya anonim hâle getirme yöntemleriyle imha etmesi beklenir. Periyodik imha süreçlerinin belgelendirilmesi de sürecin bir parçasıdır.

Kanunun 12. maddesi, veri güvenliğine ilişkin idari ve teknik tedbirlerin alınmasını öngörür. Bu tedbirler tek bir listeye indirgenemese de, uygulamada belirli başlıklar öne çıkar.

  • İdari tedbirler: yetki matrisi ve erişim politikaları, gizlilik taahhütnameleri, düzenli farkındalık eğitimleri ve iç denetim mekanizmaları.
  • Teknik tedbirler: erişim kontrolü, şifreleme, güvenlik duvarları, log kayıtları, yedekleme ve güncel yama yönetimi.
  • Verinin üçüncü kişilerle (örneğin bulut veya çağrı merkezi hizmeti alınan taraflarla) paylaşıldığı durumlarda tedbirlerin sözleşmesel olarak da güvence altına alınması.

Veri İşleyen Sözleşmeleri, İhlal Bildirimi ve Farkındalık

İşletmeler, kişisel veri işleme faaliyetlerinin bir kısmını dış hizmet sağlayıcılara (veri işleyenlere) devredebilir. Bu ilişkinin yazılı bir veri işleme sözleşmesiyle düzenlenmesi; veri işleyenin talimatlara uygun hareket etmesi ve gerekli güvenlik tedbirlerini alması bakımından önem taşır. Yurt içi ve yurt dışı veri aktarımlarında ise Kanunda öngörülen şartların ayrıca gözetilmesi gerekir.

Kişisel verilerin hukuka aykırı biçimde başkalarınca elde edilmesi hâlinde, veri sorumlusunun bu durumu ilgili kişiye ve Kurula bildirme yükümlülüğü bulunur. Kurul kararları uyarınca Kurula bildirimin, ihlalin öğrenildiği tarihten itibaren en kısa sürede ve kural olarak yetmiş iki saat içinde yapılması esası benimsenmiştir. Bu nedenle işletmelerin önceden bir ihlal müdahale planı hazırlaması yararlı olabilir.

Son olarak, uyumun sürdürülebilirliği büyük ölçüde çalışan farkındalığına bağlıdır. Verilerle temas eden personelin düzenli olarak bilgilendirilmesi ve süreçlerin iç politikalarla desteklenmesi, uyumun kâğıt üzerinde kalmaması açısından değerlidir.

Genel Bilgilendirme Notu

Bu içerik, 6698 sayılı KVKK ve ilgili ikincil düzenlemeler hakkında genel bilgi vermek amacıyla hazırlanmıştır ve hukuki danışmanlık niteliği taşımaz. Mevzuat ile Kişisel Verileri Koruma Kurulu kararları zaman içinde değişebilir; her işletmenin yükümlülükleri kendi faaliyet alanına, ölçeğine ve işlediği verilere göre farklılık gösterir. Somut bir durumda hak kaybına uğramamak için, atılacak adımların bir avukata veya yetkin bir hukuk danışmanına değerlendirtilmesi önerilir.

Öne çıkanlar

  • Kişisel veri işleyen işletmeler, ölçek fark etmeksizin 6698 sayılı KVKK kapsamında veri sorumlusu olarak belirli yükümlülükler taşıyabilir.
  • Uyum süreci genellikle veri envanterinin çıkarılmasıyla başlar; ardından VERBİS kaydı, aydınlatma metni ve açık rıza yönetimi gelir.
  • Aydınlatma yükümlülüğü her durumda yerine getirilir; açık rıza ise yalnızca uygun hukuki sebeplerden biridir ve ayrı düzenlenmesi beklenir.
  • Saklama-imha politikası, idari ve teknik güvenlik tedbirleri ile veri işleyen sözleşmeleri uyumun temel bileşenleridir.
  • Veri ihlallerinde Kurula bildirimin kural olarak yetmiş iki saat içinde yapılması esası benimsenmiştir.
  • Bu içerik genel bilgilendirme amaçlıdır, hukuki danışmanlık yerine geçmez; somut durumda avukata danışılması önerilir.

Bilgilendirme: Bu yazı yalnızca genel bilgilendirme amacıyla hazırlanmıştır; hukuki danışmanlık veya avukatlık hizmeti niteliği taşımaz. Somut durumunuz için mutlaka bir avukata danışınız. Mevzuat zaman içinde değişebilir.

İletişim

Somut bir meseleniz mi var?

Değerlendirme görüşmesi yükümlülük doğurmaz ve mutlak gizlilik esasına dayanır.

Görüşme Talep Edin
← Tüm yazılar