- Hızlı bilgi panosu
- KVKK nedir?
- Temel kavramlar (veri sorumlusu, işleyen, ilgili kişi)
- Veri işleme şartları (m.5–6)
- Aydınlatma yükümlülüğü ve açık rıza
- VERBİS kayıt yükümlülüğü
- Veri güvenliği — teknik ve idari tedbirler
- Veri ihlali ve 72 saat kuralı
- İlgili kişinin hakları (m.11)
- Yurt dışına veri aktarımı (7499 değişikliği)
- İdari para cezaları ve ceza sorumluluğu
- KVKK hizmetlerimiz
- Kurul uygulamasından öne çıkan ilkeler
- Veri korumasını şekillendiren kararlar
- 12 sıkça sorulan soru
- Yazar hakkında
- Randevu ve iletişim
Hızlı Bilgi Panosu
KVKK Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu, kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerini korumak ve verileri işleyenlerin yükümlülüklerini düzenlemek amacıyla 2016 yılında yürürlüğe girmiştir. Kanun, Avrupa veri koruma hukukuyla (özellikle GDPR ile) paralel ilkeler taşır ve kişisel veri işleyen hemen her gerçek ve tüzel kişiyi ilgilendirir.
Bir kişiye ait ad-soyad, T.C. kimlik numarası, telefon, adres, e-posta, konum, ödeme bilgisi, sağlık verisi, görüntü ve ses kaydı gibi kimliği belirli veya belirlenebilir kılan her türlü bilgi kişisel veridir. Bu verileri toplayan, kaydeden, saklayan, aktaran ya da başka şekilde işleyen işletmeler Kanun kapsamında veri sorumlusu sıfatını taşır ve bir dizi yükümlülük altındadır.
2024 yılında yürürlüğe giren 7499 sayılı Kanun ile özel nitelikli kişisel verilerin işlenmesi (m.6) ve kişisel verilerin yurt dışına aktarılması (m.9) rejimi önemli ölçüde değişmiştir. Bu nedenle daha önce kurulmuş KVKK uyum sistemlerinin de güncellenmesi gerekmektedir.
Temel Kavramlar
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel nitelikli (hassas) veri: Sağlık, cinsel hayat, ırk, etnik köken, siyasi düşünce, din, mezhep, dernek/vakıf/sendika üyeliği, ceza mahkûmiyeti ve biyometrik–genetik veriler. İşlenmesi çok daha sıkı şartlara tabidir (m.6).
- Veri sorumlusu: Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetiminden sorumlu kişi (genellikle işletmenin kendisi).
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen taraf (örn. bulut sağlayıcı, muhasebe bürosu, çağrı merkezi).
- İlgili kişi: Kişisel verisi işlenen gerçek kişi (müşteri, çalışan, üye, ziyaretçi).
- İşleme: Verinin toplanması, kaydedilmesi, saklanması, değiştirilmesi, aktarılması, sınıflandırılması veya yok edilmesi dahil her türlü işlem.
Veri İşleme Şartları (m.5–6)
Kişisel veri işlemenin hukuka uygun olabilmesi için, açık rıza veya KVKK m.5'te sayılan diğer şartlardan en az birinin bulunması gerekir:
- Kanunlarda açıkça öngörülmesi,
- Bir sözleşmenin kurulması veya ifası için zorunlu olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması,
- İlgili kişinin verisini kendisinin alenileştirmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması.
Bu şartlardan biri varsa açık rıza alınmasına gerek yoktur. Özel nitelikli verilerde ise işleme şartları m.6'da ayrıca ve daha dar düzenlenmiştir; 7499 sayılı değişiklikle özel nitelikli veriler için de m.5'e benzer şekilde genişletilmiş işleme sebepleri getirilmiştir.
Kişisel veriler; hukuka ve dürüstlük kurallarına uygun, doğru ve güncel, belirli–açık–meşru amaçlarla, işlendikleri amaçla bağlantılı–sınırlı–ölçülü ve ilgili mevzuatta öngörülen süre kadar saklanmak şartıyla işlenir.
Aydınlatma Yükümlülüğü ve Açık Rıza
KVKK uygulamasında en sık karıştırılan iki kavram aydınlatma ve açık rızadır:
Aydınlatma Yükümlülüğü (m.10)
Veri sorumlusu, verileri toplarken ilgili kişiyi; kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi–hukuki sebebi ve m.11'deki hakları konusunda bilgilendirmek zorundadır. Aydınlatma bir onay değildir; kişinin rızası olmasa da yapılır.
Açık Rıza
Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. Yalnızca m.5/6'daki diğer işleme şartlarının bulunmadığı hallerde alınır. Bir hizmetin verilmesini açık rıza şartına bağlamak (rızayı "dayatmak") rızayı geçersiz kılar. Açık rıza her zaman geri alınabilir; bu nedenle gereksiz yere rızaya dayanmak işletme için risk yaratır.
VERBİS Kayıt Yükümlülüğü
VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), Kurul tarafından belirlenen kriterleri aşan veri sorumlularının kayıt olmak zorunda olduğu kamuya açık bir sicildir. Kayıt yükümlülüğü; yıllık çalışan sayısı, yıllık mali bilanço tutarı ve işlenen verinin niteliği (özel nitelikli veri işleyenlerde eşik daha düşüktür) gibi ölçütlere göre belirlenir. Bazı küçük ölçekli veri sorumluları istisna kapsamındadır.
Güncel duruma göre; ana faaliyeti özel nitelikli veri işlemek olmayan işletmeler için yıllık çalışan sayısı 50'den çok veya yıllık mali bilanço toplamı 100 milyon TL'den çok ise kayıt zorunludur (eşik, Kurul'un 2023/1154 sayılı kararıyla 25 milyon TL'den 100 milyon TL'ye yükseltilmiştir). Ana faaliyeti sağlık, biyometri gibi özel nitelikli veri işlemek olanlar ise kural olarak eşiksiz kayıt yükümlüsüdür; yalnızca çalışanı 10'dan az ve bilançosu 10 milyon TL'den az olan mikro işletmeler istisnadır (Kurul 2025/1572). Kamu kurumları ve yurt dışında yerleşik veri sorumluları da kayıt yükümlüsüdür.
VERBİS kaydı, yalnızca bir form doldurmaktan ibaret değildir; doğru bir kayıt için önce kişisel veri işleme envanterinin çıkarılması gerekir. Eksik veya gerçeğe aykırı kayıt, idari yaptırım riski doğurur. Eşikler, istisna grupları ve kaydın adım adım nasıl yapıldığına dair ayrıntılar için VERBİS Kayıt Rehberi yazımıza göz atabilirsiniz.
Veri Güvenliği — Teknik ve İdari Tedbirler (m.12)
Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve verilere yetkisiz erişimi önlemek için uygun güvenlik düzeyini sağlamakla yükümlüdür. Başlıca tedbirler:
- İdari tedbirler: Veri işleme envanteri, kişisel veri saklama ve imha politikası, gizlilik taahhütnameleri, çalışan eğitimleri, veri işleyenlerle sözleşmeler, erişim ve yetki matrisi.
- Teknik tedbirler: Erişim yetkilendirme ve loglama, güçlü kimlik doğrulama, şifreleme, yedekleme, güvenlik duvarı/antivirüs, sızma testleri, veri maskeleme.
Bu tedbirlerin alınmamış olması, bir veri ihlali yaşanması halinde idari para cezasının ağırlaştırıcı unsuru olarak değerlendirilir.
Veri İhlali ve 72 Saat Kuralı
Kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi (siber saldırı, yetkisiz erişim, cihaz kaybı, hatalı gönderim vb.) bir veri ihlalidir. Bu durumda veri sorumlusu:
- İhlali öğrendiği tarihten itibaren en kısa sürede ve en geç 72 saat içinde Kurul'a bildirmek,
- İhlalden etkilenen ilgili kişilere de makul en kısa sürede bildirmek,
- İhlalin etkilerini sınırlandıracak teknik müdahaleleri yapmak ve süreci belgelemekle yükümlüdür.
72 saatlik süre, KVKK m.12/5 ve Kurul'un 24.01.2019 tarihli 2019/10 sayılı kararına dayanır ve ihlalin öğrenildiği andan başlar. Uygulamada çok kısadır; bu nedenle her işletmenin önceden hazırlanmış bir veri ihlali müdahale planı (sorumlu ekip, karar akışı, bildirim şablonları) bulunması kritik öneme sahiptir. Bildirim formunun içeriği ve 9 adımlı müdahale planı için Veri İhlali Müdahale Rehberi yazımızı inceleyebilirsiniz.
İlgili Kişinin Hakları (m.11)
Her ilgili kişi, veri sorumlusuna başvurarak şu haklarını kullanabilir:
- Kişisel verisinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde/dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- Şartları oluştuğunda silinmesini veya yok edilmesini isteme,
- Düzeltme/silme işlemlerinin aktarıldığı taraflara bildirilmesini isteme,
- Münhasıran otomatik analizle aleyhine bir sonuç çıkmasına itiraz etme,
- Hukuka aykırı işleme nedeniyle zararının giderilmesini talep etme.
Veri sorumlusu başvuruyu en geç 30 gün içinde sonuçlandırır. Başvuru reddedilir, yetersiz yanıtlanır veya süresinde yanıtlanmazsa ilgili kişi Kurul'a şikayette bulunabilir.
Yurt Dışına Veri Aktarımı (7499 Sayılı Değişiklik)
2024'te yürürlüğe giren 7499 sayılı Kanun, KVKK m.9'u yeniden düzenleyerek yurt dışına veri aktarımını kademeli bir rejime bağladı:
- Yeterlilik kararı: Kurul'un yeterli korumaya sahip olduğunu ilan ettiği ülke/sektörlere aktarım mümkündür.
- Uygun güvenceler: Yeterlilik kararı yoksa, taraflar arası standart sözleşme, bağlayıcı şirket kuralları, taahhütname gibi uygun güvencelerin sağlanması gerekir.
- İstisnai haller: Bunların da bulunmadığı arızi durumlarda, kanunda sayılan sınırlı şartlarla aktarım yapılabilir.
Yurt dışı merkezli bulut, e-posta, CRM veya yazılım hizmetleri kullanan işletmeler, mevcut aktarım altyapılarını bu yeni kurallara göre gözden geçirmeli ve gereken sözleşmesel güvenceleri kurmalıdır.
İdari Para Cezaları ve Ceza Sorumluluğu
KVKK m.18, çeşitli yükümlülük ihlalleri için idari para cezası öngörür:
- Aydınlatma yükümlülüğünün ihlali,
- Veri güvenliği tedbirlerini almama,
- Kurul kararlarını yerine getirmeme,
- VERBİS'e kayıt ve bildirim yükümlülüğünü yerine getirmeme.
Bu cezalar her takvim yılı yeniden değerleme oranında güncellenir ve fiilin ağırlığına göre yüksek tutarlara ulaşabilir. Güncel ceza tutarları için danışmanlık alınması önerilir.
Ayrıca kişisel verileri hukuka aykırı şekilde kaydetmek, aktarmak veya yok etmemek, Türk Ceza Kanunu m.135–140 kapsamında hapis cezası gerektiren ayrı bir suçtur. Yani KVKK uyumsuzluğu yalnızca idari değil, cezai sorumluluk da doğurabilir.
KVKK Hizmetlerimiz
Denge Hukuk Bürosu olarak, işletmenizin büyüklüğüne ve sektörüne göre uçtan uca KVKK uyum desteği sunuyoruz:
- KVKK uyum projesi: Veri envanteri, boşluk (gap) analizi, hukuki sebep haritalaması.
- Metin hazırlığı: Aydınlatma metinleri, açık rıza beyanları, çerez politikası, saklama ve imha politikası, başvuru formları.
- VERBİS kaydı ve güncelleme desteği.
- Sözleşmeler: Veri işleyen sözleşmeleri, gizlilik taahhütnameleri, yurt dışı aktarım için standart sözleşme/taahhütname.
- Veri ihlali yönetimi: Müdahale planı, Kurul'a 72 saat bildirimi, ilgili kişi bildirimleri.
- İlgili kişi başvurusu ve Kurul şikayet/savunma süreçlerinin yönetimi.
- Sürekli danışmanlık: Mevzuat takibi, yeni süreçlerin değerlendirilmesi, çalışan eğitimleri.
Kurul Uygulamasından Öne Çıkan İlkeler
Kişisel Verileri Koruma Kurulu'nun kamuya açık karar özetleri ve rehberlerinde yıllar içinde belirginleşen bazı yerleşik ilkeler, işletmeler için yol göstericidir:
- Gereksiz rıza alınmamalı: Başka bir işleme şartı varken (sözleşme, kanuni yükümlülük, meşru menfaat) açık rıza almak hatalıdır; rıza, dayatma aracına dönüştürülemez.
- Aydınlatma ve rıza ayrı belgelerde: Aydınlatma metni ile açık rıza beyanının birbirine karıştırılması ve tek metinde birleştirilmesi sakıncalı bulunmaktadır.
- Veri minimizasyonu: Amaç için gerekli olandan fazla veri toplanması ölçülülük ilkesine aykırıdır.
- İhlalde hız: Veri ihlalinin Kurul'a en geç 72 saat içinde bildirilmesi beklenir; gecikme başlı başına yaptırım sebebidir.
- Veri güvenliği tedbirleri ispatlanabilir olmalı: Teknik–idari tedbirlerin sadece alınmış değil, belgelenmiş olması önemlidir.
Not: Yukarıdaki ilkeler, aşağıda künyeleriyle yer verdiğimiz Anayasa Mahkemesi ve Kişisel Verileri Koruma Kurulu kararlarında somutlaşmaktadır. Her somut olay kendi koşulları içinde değerlendirilmelidir.
KVKK uyumu, bir kez kurulan ve sonra unutulan bir belge seti değil; süreklilik gerektiren bir yönetim sistemidir. Yeni yazılımlar, tedarikçiler ve mevzuat değişiklikleri uyumun düzenli güncellenmesini zorunlu kılar.
Veri Korumasını Şekillendiren Kararlar
Kişisel verilerin korunması hukuku yalnızca mevzuat hükümlerinden ibaret değildir. Anayasa Mahkemesi'nin yargı içtihatları ile Kişisel Verileri Koruma Kurulu'nun (idari nitelikte olmakla birlikte uygulamada yol gösterici) kararları; sağlık verisi, çerezler, açık rıza ve unutulma hakkı gibi konularda uygulamanın nasıl şekillendiğini gösterir. Aşağıdaki seçki, künyeleri ve resmî kaynaklarıyla birlikte sunulmuştur.
Sağlık Verisinin Rıza Olmadan Üçüncü Kişiye Verilmesi Hak İhlalidir
Başvurucunun sağlık bilgilerini içeren raporun, rızası olmadan bir yakınına verilmesi üzerine yapılan bireysel başvuruda Anayasa Mahkemesi, özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir. Karar, sağlık verisinin özel nitelikli veri olarak çok daha sıkı korumaya tabi olduğunu teyit eder.
İlke: Sağlık gibi özel nitelikli veriler, ilgilinin rızası olmadan üçüncü kişilerle paylaşılamaz; aksi anayasal kişisel verilerin korunmasını isteme hakkını ihlal eder.
Kişinin Kendi Verilerine Erişim Talebinin Esası İncelenmelidir
Başvurucunun kendi telefon hattına ilişkin internet kullanımı, log kaydı ve IMEI gibi verilere erişim talebinin esası incelenmeden sonuçsuz bırakılması üzerine Anayasa Mahkemesi, kişisel verilerin korunmasını isteme hakkıyla bağlantılı etkili başvuru hakkının ihlal edildiği sonucuna varmıştır.
İlke: İlgili kişinin kendi kişisel verilerine erişim talebi esastan incelenmelidir; talebin görmezden gelinmesi etkili başvuru hakkını ihlal eder.
Arama Motorları Veri Sorumlusudur; İndeksten Çıkarmada Denge Testi Yapılır
Kurul, arama motorlarını veri sorumlusu olarak nitelendirmiş; kişilerin ad-soyad ile çıkan sonuçların indeksten çıkarılması (unutulma hakkı) taleplerinde, ilgili kişinin temel hak ve özgürlükleri ile kamunun bilgiyi edinme menfaati arasında denge testi yapılması gerektiğini belirlemiştir. Kişi önce doğrudan arama motoruna başvurmalı, sonuç alınmazsa Kurul'a şikayet edebilir.
İlke: Arama motorları veri sorumlusudur; indeksten çıkarma talepleri kişisel hak ile kamu yararı arasında denge testiyle değerlendirilir.
Eczanenin Sağlık Verisini İşleme Şartı Olmadan Paylaşması Hukuka Aykırıdır
Doktor kontrolünde ilaç kullanan kişinin sağlık verisinin, ilaçların temin edildiği eczane tarafından KVKK m.8'deki aktarım şartları sağlanmadan üçüncü kişiyle paylaşılması hukuka aykırı bulunmuş; Kanun'un 12. maddesine aykırılık nedeniyle idari para cezası uygulanmıştır.
İlke: Sağlık verisi, kanunda sayılan aktarım şartları sağlanmadan üçüncü kişilerle paylaşılamaz; aksi idari yaptırım gerektirir.
Kamu Yararı Bulunmayan Sağlık Haberinde Özel Nitelikli Veri İhlali
Bir gazetede kişinin kanser tedavisi gördüğüne ilişkin bilginin paylaşılması üzerine Kurul, somut olayda kamu yararı bulunmadığını ve özel nitelikli kişisel verinin hukuka aykırı işlendiğini değerlendirerek 125.000 TL idari para cezası uygulamıştır.
İlke: Kamu yararı bulunmayan hallerde sağlık gibi özel nitelikli verilerin basında paylaşılması hukuka aykırıdır.
Zorunlu Olmayan Çerezler İçin Açık Rıza ve İlk Ziyarette Aydınlatma Gerekir
Kurul, sitenin işleyişi için zorunlu çerezlerde açık rıza aranmadığını; ancak reklam, pazarlama ve performans amaçlı zorunlu olmayan çerezlerin ilgili kişinin açık rızasına tabi olduğunu ve kullanıcılara siteye ilk ziyaretlerinde aydınlatma yapılması gerektiğini tespit ederek 300.000 TL idari para cezası uygulamıştır.
İlke: Zorunlu olmayan çerezler ancak açık rıza ile çalıştırılabilir; ilk ziyarette aydınlatma zorunludur.
Aydınlatma Metni ile Açık Rıza Beyanı Ayrı Ayrı Düzenlenmelidir
Kurul, açık rızaya dayalı işlemlerde aydınlatma metni ile açık rıza metninin farklı başlıklar altında, ayrı beyanlarla düzenlenmesi gerektiğini; işlemenin açık rıza dışındaki bir hukuki sebebe dayandığı hallerde ise yalnızca aydınlatma yapılması, ayrıca açık rıza metni sunulmaması gerektiğini ilke kararıyla belirlemiştir.
İlke: Aydınlatma ve açık rıza ayrı metinler olmalı; rıza gerekmeyen işlemlerde gereksiz yere rıza alınmamalıdır.
Önemli: Yukarıdaki kararlar genel bilgilendirme amacıyla, künyeleri ve resmî kaynaklarıyla derlenmiştir. Anayasa Mahkemesi kararları yargı içtihadı; Kurul kararları idari nitelikte olup uygulamada yol gösterici emsallerdir. Her somut uyuşmazlık kendi koşulları içinde değerlendirilmelidir.
KVKK — Sıkça Sorulan Sorular
Kişisel verilerin korunması ve uyum süreçlerinde en sık yönelen 12 soruyu derledik. Somut durumunuz için mutlaka bir avukata danışmanızı tavsiye ederiz.
KVKK nedir, kimleri kapsar?
KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur. Kişisel verileri otomatik veya bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri kapsar. Çalışanı, müşterisi veya üyesi olan hemen her işletme (KOBİ'ler dahil), dernek, vakıf ve kamu kurumu Kanun kapsamındadır.
VERBİS kaydı zorunlu mu?
VERBİS kaydı, Kurul'un belirlediği kriterleri (yıllık çalışan sayısı, mali bilanço, işlenen verinin niteliği) aşan veri sorumluları için zorunludur. Özel nitelikli veri işleyenlerde eşik daha düşüktür. Bazı küçük ölçekli veri sorumluları istisna kapsamındadır. Kayıt yükümlülüğünüz, işleme envanteri çıkarılarak netleştirilmelidir.
Açık rıza her zaman gerekli mi?
Hayır. Açık rıza, işlemenin yalnızca bir hukuki sebebidir. KVKK m.5'teki diğer şartlardan biri (kanuni yükümlülük, sözleşme, meşru menfaat vb.) varsa açık rıza aranmaz. Gereksizken rıza almak yanlıştır; çünkü açık rıza her zaman geri alınabilir ve işletmeye risk yaratır.
Aydınlatma metni ile açık rıza aynı şey mi?
Hayır. Aydınlatma (m.10) bir bilgilendirmedir; kişinin onayı gerekmez. Açık rıza ise bilgilendirmeye dayalı, özgür iradeyle verilen bir onaydır ve yalnızca başka bir hukuki sebep yoksa alınır. İkisini tek metinde birleştirmek Kurul uygulamasında sakıncalı bulunmaktadır.
Veri ihlali olduğunda ne yapmam gerekir?
Veri sorumlusu, ihlali öğrendiği tarihten itibaren en kısa sürede ve en geç 72 saat içinde Kurul'a bildirmek; etkilenen ilgili kişilere de makul en kısa sürede bildirim yapmakla yükümlüdür. 72 saat çok kısa olduğundan, önceden hazırlanmış bir veri ihlali müdahale planı kritik öneme sahiptir.
KVKK'ya uymazsam ne kadar ceza öderim?
KVKK m.18, aydınlatma ihlali, veri güvenliği tedbirlerini almama, Kurul kararına uymama ve VERBİS'e kayıtsızlık için idari para cezası öngörür. Cezalar her yıl yeniden değerleme oranında güncellenir ve fiilin ağırlığına göre yüksek tutarlara çıkabilir. Ayrıca verileri hukuka aykırı işlemek/aktarmak TCK m.135–140 kapsamında hapis cezası gerektiren ayrı bir suçtur.
İlgili kişi haklarını nasıl kullanır, nasıl yanıt vermeliyim?
İlgili kişi (m.11) öğrenme, bilgi talep etme, düzeltme, silme/yok etme, aktarılan tarafları öğrenme ve zararın giderilmesi haklarına sahiptir. Veri sorumlusu başvuruyu en geç 30 gün içinde sonuçlandırmalıdır. Süresinde/yeterince yanıtlanmazsa ilgili kişi Kurul'a şikayet edebilir. İşletmelerin bir başvuru yönetim prosedürü kurması önemlidir.
Kişisel veriyi yurt dışına aktarabilir miyim?
Yurt dışı aktarım, 7499 sayılı Kanun ile değişen KVKK m.9'a tabidir: önce Kurul'un yeterlilik kararı, yoksa uygun güvenceler (standart sözleşme, bağlayıcı şirket kuralları, taahhütname), onlar da yoksa sınırlı istisnai haller. Yurt dışı bulut/e-posta/yazılım kullanan işletmeler altyapılarını bu kurallara göre güncellemelidir.
Çalışan verilerini işlerken nelere dikkat etmeliyim?
Özlük, SGK, bordro, sağlık raporu, kamera ve performans verisi çoğunlukla iş sözleşmesi ve kanuni yükümlülüğe dayanır; bu hallerde açık rıza almak yanlıştır çünkü çalışan-işveren ilişkisinde rızanın özgürlüğü tartışmalıdır. Sağlık verileri, biyometrik giriş ve işyeri kameraları özel dikkat ister. Çalışan aydınlatma metni, gizlilik taahhütnamesi ve erişim yetkilendirmesi mutlaka kurulmalıdır.
Web sitemde çerez kullanıyorum, ne yapmalıyım?
Zorunlu olmayan analitik/pazarlama çerezleri kişisel veri işleme niteliği taşıyabilir. Sitede çerez bildirimi (banner), çerez politikası ve tercih yönetimi sunulması; zorunlu olmayan çerezlerin önceden onay alınmadan çalıştırılmaması beklenir. Çerez envanterinin çıkarılması tavsiye edilir.
KVKK danışmanlığı tek seferlik mi, sürekli mi?
Uyum projesi (envanter, metinler, VERBİS, tedbirler) bir kez kurulur; ancak uyum süreklilik ister. Yeni süreçler, tedarikçiler, mevzuat değişiklikleri, ilgili kişi başvuruları ve olası ihlaller düzenli takip gerektirir. Bu nedenle birçok işletme sürekli (abonelik tipi) danışmanlık modelini tercih eder.
Küçük bir işletmeyim, yine de KVKK beni bağlar mı?
Evet. KVKK'nın kapsamı işletme büyüklüğüne göre değil, kişisel veri işleyip işlemediğinize göre belirlenir. Tek çalışanı veya müşteri listesi olan küçük işletme de veri sorumlusudur ve aydınlatma, veri güvenliği gibi temel yükümlülüklere tabidir. Yalnızca VERBİS gibi bazı yükümlülüklerde ölçek bazlı istisnalar olabilir.
