KOBİ'ler için Pratik KVKK Rehberi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), müşterilerinizin, çalışanlarınızın ve iş ortaklarınızın kişisel verilerini işleyen tüm işletmeleri kapsar. KOBİ'ler için KVKK uyumu, yalnızca yasal bir zorunluluk değil, aynı zamanda müşteri güvenini artıran ve rekabet avantajı sağlayan bir fırsattır.

KVKK Neden Önemli?

💰 Yüksek Cezalar

KVKK ihlalleri ciddi idari para cezaları getirebilir.

🤝 Müşteri Güveni

Veri güvenliği, müşterilerin işletmenize olan güvenini artırır.

🏆 Rekabet Avantajı

KVKK uyumlu çalışmak, rakiplerinizden sizi ayırır.

Sıkça Sorulan Sorular (SSS)

KOBİ'ler için KVKK ile ilgili en çok merak edilen konular ve detaylı açıklamalar:

VERBİS nedir ve kayıt zorunlu mudur? +

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), Kişisel Verileri Koruma Kurumu tarafından oluşturulan, veri sorumlularının kayıt olması gereken resmi sistemdir.

Kimler VERBİS'e kayıt olmalı?
  • Yıllık çalışan sayısı 50'den çok olan gerçek ve tüzel kişiler
  • Yıllık mali bilançosu 100 milyon TL'den (Not: Bu rakam değişebilir, güncel tutarı kontrol edin) çok olan gerçek ve tüzel kişiler
  • Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları
  • Yurtdışında yerleşik veri sorumluları

Not: Bu kriterleri sağlamayan KOBİ'ler VERBİS'e kayıt olmak zorunda değildir, ancak KVKK'ya uyum yükümlülükleri (aydınlatma, veri güvenliği vb.) devam eder.

Veri Sorumlusu kimdir ve sorumlulukları nelerdir? +

Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir (Yani genellikle işletmenin kendisi).

Veri Sorumlusunun Temel Sorumlulukları:
  • Aydınlatma Yükümlülüğü: Veri sahiplerini bilgilendirmek.
  • Veri Güvenliği: Teknik ve idari tedbirleri almak.
  • Başvuru Yönetimi: Veri sahiplerinin taleplerini (silme, düzeltme vb.) 30 gün içinde yanıtlamak.
  • Veri İşleme Envanteri: (VERBİS'e tabi ise) Hangi verileri, neden topladığını kayıt altına almak.
  • Veri İhlal Bildirimi: İhlal durumunda 72 saat içinde Kurul'a ve ilgili kişilere bildirim yapmak.
Aydınlatma Yükümlülüğü nedir ve nasıl yerine getirilir? +

Aydınlatma Yükümlülüğü, kişisel verilerini işlediğiniz kişilere (müşteriler, çalışanlar vb.) bu verileri neden topladığınızı, nasıl işlediğinizi, kimlerle paylaştığınızı ve haklarının neler olduğunu açıkça anlatma zorunluluğudur.

Nasıl Yerine Getirilir?
  • Web Sitesi: Gizlilik Politikası ve Aydınlatma Metni yayınlayarak.
  • Formlar: İletişim, üyelik gibi formların altında kısa aydınlatma metinleri ve onay kutucukları (gerekiyorsa) ekleyerek.
  • Fiziksel Ortam: Kameralı alanlarda bilgilendirme yazıları asarak, iş başvurularında metin sunarak.

Aydınlatma metni, veri toplamadan *önce* veya en geç toplama sırasında yapılmalıdır.

Çerez (Cookie) politikaları KVKK kapsamında mıdır? +

Evet. Çerezler, özellikle kullanıcıları takip eden veya profilleyen türdeyse, kişisel veri toplama aracı olarak kabul edilir. Bu nedenle KVKK kapsamındadır.

Ne Yapılmalı?
  • Web sitenizde hangi çerezlerin kullanıldığını belirten bir **Çerez Politikası** yayınlamalısınız.
  • Zorunlu olmayan çerezler (analitik, reklam vb.) için kullanıcıdan **açık rıza** almalısınız (genellikle bir çerez banner'ı ile).
  • Kullanıcılara çerez tercihlerini yönetme imkanı sunmalısınız.
Veri ihlali durumunda ne yapmalıyım? +

Bir veri ihlali (örn: siber saldırı, veri sızıntısı) tespit ettiğinizde sakin kalmalı ve şu adımları izlemelisiniz:

  1. İhlali Durdur ve Sınırla: Güvenlik açığını kapatın, yayılmasını engelleyin.
  2. Tespit ve Analiz: İhlalin kapsamını (hangi veriler, kaç kişi etkilendi) belirleyin.
  3. Kurul'a Bildirim: İhlali öğrendikten sonra **en geç 72 saat içinde** Kişisel Verileri Koruma Kurumu'na bildirin.
  4. İlgili Kişilere Bildirim: İhlalden etkilenen kişileri "gecikmeksizin" uygun bir yöntemle (e-posta vb.) bilgilendirin.
  5. Kayıt Tutma: İhlalle ilgili tüm adımları kayıt altına alın.

Bu süreci sorunsuz yönetmek için önceden hazırlanmış bir **"Veri İhlali Müdahale Planı"** olması kritiktir.

Her veri işleme için Açık Rıza almak zorunda mıyım? +

Hayır. KVKK, veri işlemek için birden fazla hukuki sebep sunar. Açık rıza bunlardan sadece biridir ve *diğer şartlar* (kanunda öngörülme, sözleşmenin kurulması/ifası, hukuki yükümlülük, meşru menfaat vb.) geçerli değilse başvurulması gereken son çaredir.

Ne Zaman Açık Rıza Gerekir?
  • Pazarlama amaçlı e-posta/SMS gönderimi.
  • Özel nitelikli kişisel verilerin (sağlık, biyometrik vb.) işlenmesi (istisnalar hariç).
  • Verilerin yurtdışına aktarılması (istisnalar hariç).

Birçok durumda (örn: fatura kesmek, sipariş teslim etmek, yasal zorunlulukları yerine getirmek) açık rıza almadan veri işleyebilirsiniz, ancak aydınlatma yükümlülüğünüz devam eder.

Veri Minimizasyonu ilkesi ne anlama geliyor? +

Veri Minimizasyonu, KVKK'nın temel ilkelerinden biridir ve işleme amacıyla bağlantılı, sınırlı ve ölçülü olma anlamına gelir.

Yani, bir işi yapmak için **gerekli olandan fazla kişisel veri toplamamalı, işlememeli ve saklamamalısınız.**

Örnek:

Bir e-bülten üyeliği için sadece e-posta adresi yeterliyken, doğum tarihi veya TC kimlik numarası gibi ilgisiz bilgileri istemek veri minimizasyonu ilkesine aykırıdır.

Bu ilke, hem yasal uyumu sağlar hem de olası bir veri ihlalinin etkisini azaltır.

Kişisel verileri ne kadar süreyle saklayabilirim? Silmek zorunda mıyım? +

Kişisel verileri, ancak işlendikleri amaç için **gerekli olan süre kadar** saklayabilirsiniz. Bu süre dolduğunda veya işleme amacı ortadan kalktığında verileri silmek, yok etmek veya anonim hale getirmek zorundasınız.

Saklama Süreleri Nasıl Belirlenir?
  • Yasal Mevzuat: Bazı kanunlar (örn: Vergi Usul Kanunu, Türk Ticaret Kanunu) belirli belgeler için minimum saklama süreleri öngörür.
  • İşleme Amacı: Amacın gerektirdiği makul süre (örn: müşteri şikayetleri için garanti süresi + makul bir süre).

Bu süreleri belirlemek ve uygulamak için bir **"Kişisel Veri Saklama ve İmha Politikası"** oluşturmanız önerilir.

KVKK için alınması gereken "Teknik ve İdari Tedbirler" nelerdir? +

Veri güvenliğini sağlamak için hem teknolojik hem de organizasyonel önlemler almanız gerekir.

Teknik Tedbirler (Örnekler):
  • Güvenlik duvarları (Firewall)
  • Antivirüs yazılımları
  • Veri yedekleme
  • Erişim yetki kontrolleri
  • Şifreleme (SSL vb.)
  • Sızma (Penetrasyon) testleri
İdari Tedbirler (Örnekler):
  • KVKK politikaları ve prosedürleri oluşturma
  • Çalışan eğitimleri ve farkındalık artırma
  • Gizlilik taahhütnameleri imzalama
  • Veri işleme envanteri hazırlama
  • Risk analizleri yapma
  • Veri minimizasyonu uygulama

Alınacak tedbirler, işlediğiniz verinin türüne ve taşıdığı riske göre değişir.

Yurtdışındaki bir servisi (örn: Mailchimp, Google Analytics) kullanmak KVKK açısından sorun mu? +

Kişisel verilerin yurtdışına aktarımı KVKK'da özel kurallara tabidir. Verilerin aktarılacağı ülke veya uluslararası kuruluşun "yeterli korumaya" sahip olması veya belirli şartların sağlanması gerekir.

Ne Yapılmalı?
  • Kullandığınız yurtdışı servis sağlayıcının bulunduğu ülkenin Kurul tarafından "yeterli korumaya sahip" ilan edilip edilmediğini kontrol edin (Şu an için ilan edilmiş bir ülke yok).
  • Eğer yeterli koruma yoksa, veri aktarımı için şu şartlardan biri sağlanmalı:
    • İlgili kişinin **açık rızası**.
    • Kurul tarafından onaylanmış **taahhütnameler** veya **bağlayıcı şirket kuralları**.
    • Kanundaki diğer istisnai durumlar (nadir).
  • Kullanıcıları aydınlatma metninizde ve gizlilik politikanızda yurtdışına veri aktarımı konusunda bilgilendirin.

Bu konu karmaşık olabildiğinden, yurtdışı servisleri kullanmadan önce hukuki görüş almanız önerilir.

Resmi Kaynak: 6698 Sayılı Kanun

Kişisel Verilerin Korunması Kanunu'nun en güncel ve tam metnine doğrudan T.C. Cumhurbaşkanlığı Mevzuat Bilgi Sistemi üzerinden ulaşabilirsiniz.

Kanun Metnini Görüntüle

Merhaba!

GRCKobi'ye hoş geldiniz!