Türkiye'de KVKK Uyumu: Şirketler ve Yabancı Yatırımcılar İçin Hukuki Rehber

Türkiye'de kişisel veri uyumu artık biçimsel bir belge çalışması değildir. Şirketlerin hangi veriyi topladığını, neden işlediğini, nereye aktardığını, nasıl koruduğunu ve bir şeyler ters gittiğinde nasıl yanıt vereceğini anlaması gerekir.

Terziolu & Partners16 dk okuma
Türkiye'de KVKK Uyumu: Şirketler ve Yabancı Yatırımcılar İçin Hukuki Rehber

Kişisel veri, modern şirketlerin elinde tuttuğu en değerli ve en hassas varlıklardan biri haline geldi. Müşteri veritabanları, çalışan dosyaları, tedarikçi kayıtları, kamera (CCTV) görüntüleri, web sitesi analizleri, ödeme bilgileri, sağlık verileri, pazarlama listeleri, çağrı kayıtları, bulut sistemleri ve sınır ötesi raporlama akışlarının tümü kişisel veri içerir.

Türkiye'de kişisel verilerin işlenmesi esas olarak, yaygın adıyla KVKK olarak bilinen Kişisel Verilerin Korunması Kanunu kapsamında düzenlenir.

Pek çok şirket için KVKK uyumu bir belgeleme projesi olarak başladı: aydınlatma metinleri, rıza formları, politikalar ve sicil kayıtları. Bu yaklaşım artık yeterli değildir. Veri koruma uyumu artık yönetim kurulu düzeyinde, operasyonel ve sözleşmesel bir meseledir.

Bir şirket şunları anlamalıdır:

  • hangi kişisel veriyi topladığını;
  • bu veriyi neden topladığını;
  • hangi hukuki sebebin uygulandığını;
  • veriye kimin eriştiğini;
  • verinin nerede saklandığını;
  • verinin yurt dışına aktarılıp aktarılmadığını;
  • verinin ne kadar süre saklandığını;
  • ilgili kişilerin nasıl aydınlatıldığını;
  • taleplerin nasıl karşılandığını;
  • tedarikçilerin nasıl denetlendiğini;
  • bir veri ihlali halinde ne olacağını.

Bu rehber, Türkiye'de faaliyet gösterirken şirketlerin, yatırımcıların ve uluslararası işletmelerin dikkate alması gereken başlıca hukuki meseleleri anlatır.

1. KVKK Uyumu Yalnızca Teknoloji Şirketleri İçin Değildir

Yaygın bir hata, veri koruma hukukunun yalnızca teknoloji platformlarını, yazılım şirketlerini veya e-ticaret işletmelerini ilgilendirdiğini varsaymaktır.

Uygulamada neredeyse her şirket kişisel veri işler.

Bir şirket; çalışan istihdam ettiğinde, bordro kayıtları tuttuğunda, müşteri bilgisi topladığında, pazarlama mesajları gönderdiğinde, çağrı kaydettiğinde, kamera (CCTV) kullandığında, ziyaretçi yönettiğinde, bir web sitesi işlettiğinde, çerez kullandığında, tedarikçilerle çalıştığında, sözleşme sakladığında, fatura işlediğinde, tedarikçi irtibatları tuttuğunda, bulut yazılımı kullandığında, yabancı bir ana şirkete raporladığında, iş başvurularını yönettiğinde, iç soruşturma yürüttüğünde veya sadakat ya da üyelik programları işlettiğinde kişisel veri işleyebilir.

Bu nedenle KVKK uyumu; imalat şirketleri, hukuk büroları, klinikler, oteller, okullar, gayrimenkul geliştiricileri, finansal işletmeler, lojistik şirketleri, perakendeciler, ajanslar, aile şirketleri ve yabancı yatırımcılar için geçerlidir.

Soru, bir şirketin kişisel veri işleyip işlemediği değildir. Soru, bunu nasıl ve neden yaptığını bilip bilmediğidir.

2. İlk Adım: Veri Haritalaması

Bir şirket, kendi veri akışlarını bilmiyorsa KVKK'ya uyum sağlayamaz.

Belge hazırlamadan önce şirket, kişisel veri işleme faaliyetlerini haritalamalıdır.

Pratik bir veri haritası; ilgili kişi kategorilerini, kişisel veri kategorilerini, işleme amaçlarını, hukuki sebepleri, toplama yöntemlerini, saklama yerlerini, iç erişim yetkilerini, üçüncü taraf alıcılarını, yurt dışı aktarımlarını, saklama sürelerini, güvenlik tedbirlerini ve silme veya anonimleştirme süreçlerini tanımlamalıdır.

İlgili kişiler; çalışanları, iş başvurusu yapanları, müşterileri, potansiyel müşterileri, tedarikçileri, ziyaretçileri, pay sahiplerini, yöneticileri, yüklenicileri, web sitesi kullanıcılarını, hastaları veya müvekkilleri, etkinlik katılımcılarını, çalışanların aile bireylerini ve acil durum irtibatlarını kapsayabilir.

Veri haritalamasının amacı bürokrasi değildir. Görünürlük yaratmaktır.

Görünürlük olmadan aydınlatma metinleri yanlış olabilir, rıza formları gereksiz veya kusurlu olabilir, tedarikçi sözleşmeleri eksik olabilir ve ihlal müdahalesi kaotik hale gelebilir.

3. Aydınlatma Metinleri ve Aydınlatma Yükümlülüğü

Türk veri koruma hukukundaki temel yükümlülüklerden biri, ilgili kişileri aydınlatma yükümlülüğüdür. Bu genellikle aydınlatma metinleriyle yerine getirilir.

Bir aydınlatma metni; veri sorumlusunun kimliğini, işleme amaçlarını, işlemenin hukuki sebebini, alıcıları veya alıcı gruplarını, toplama yöntemini, ilgili kişinin haklarını ve ilgili kişilerin haklarını nasıl kullanabileceğini açık ve erişilebilir bir biçimde açıklamalıdır.

Kişisel Verileri Koruma Kurumu, kişisel verileri işlenen ilgili kişilerin — işleme açık rızaya veya başka bir hukuki sebebe dayansa dahi — aydınlatılması gerektiğini vurgular.

Bir aydınlatma metni, başka bir şirketten kopyalanmış genel bir belge olmamalıdır. Farklı işleme bağlamları genellikle farklı metinler gerektirir — örneğin çalışan aydınlatma metni, iş başvurusu metni, müşteri metni, web sitesi metni, kamera (CCTV) metni, ziyaretçi metni, tedarikçi irtibat metni, pazarlama metni ve etkinlik katılımcısı metni.

Şirket ayrıca aydınlatma metninin doğru zamanda sunulmasını sağlamalıdır. Web sitesinin alt kısmına gizlenmiş bir metin; yüz yüze, istihdam süreçleriyle veya fiziksel bir ziyaretçi sistemiyle toplanan veriler için yeterli olmayabilir.

4. Açık Rıza Her Zaman Doğru Hukuki Sebep Değildir

Pek çok şirket, her veri işleme faaliyeti için rıza alması gerektiğini varsayar. Bu her zaman doğru değildir.

KVKK kapsamında açık rıza, olası hukuki sebeplerden biridir, ancak tek sebep değildir. Belirli işleme faaliyetleri, koşullara bağlı olarak başka hukuki sebeplere dayanabilir.

Rızayı aşırı kullanmak sorun yaratabilir. Bir şirket işlemenin rızaya dayandığını söylüyorsa, ancak ilgili kişi gerçekçi biçimde reddedemiyorsa, rıza tartışmalı hale gelebilir. Bu, işveren ile çalışan arasındaki dengesizliğin rızanın geçerliliğini etkileyebileceği iş ilişkilerinde özellikle önemlidir.

Kurum, açık rızayı belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlar.

Bu nedenle şirket şunları sormalıdır: Açık rıza gerçekten gerekli mi? Başka bir hukuki sebep var mı? Rıza belirli bir konuya mı ilişkin? İlgili kişi gereği gibi aydınlatıldı mı? Kişi olumsuz sonuç doğmadan reddedebilir mi? Rıza kayıt altına alındı mı? Rıza geri alınabilir mi? Geri alımdan sonra ne olur?

Rıza dekoratif bir imza satırı gibi kullanılmamalıdır. Hukuken gerekli olmalı, gereği gibi alınmalı ve operasyonel olarak gözetilmelidir.

5. VERBİS Kaydı ve Veri Envanteri

Belirli veri sorumlularının, yaygın adıyla VERBİS olarak bilinen Veri Sorumluları Siciline kayıt olması gerekebilir.

VERBİS kaydı, kişisel veri işleme envanterine dayanmalıdır. Kurum, sicile kayıt yükümlülüğüne tabi veri sorumlularının bir kişisel veri işleme envanteri hazırlaması ve VERBİS kayıtlarının bu envantere dayanması gerektiğini belirtmiştir.

Gerçek veri işleme faaliyetlerini yansıtmayan zayıf bir VERBİS kaydı risk yaratabilir.

Şirketler; kayda tabi olup olmadıklarını, herhangi bir istisnanın uygulanıp uygulanmadığını, veri envanterinin eksiksiz olup olmadığını, VERBİS kayıtlarının fiili uygulamayla örtüşüp örtüşmediğini, değişikliklerin güncellenip güncellenmediğini, saklama sürelerinin gerçekçi olup olmadığını, alıcı gruplarının doğru tanımlanıp tanımlanmadığını ve yurt dışı aktarım bilgisinin doğru olup olmadığını gözden geçirmelidir.

VERBİS tek seferlik bir form gibi ele alınmamalıdır. İş değişiklikleri güncelleme gerektirebilir. Yeni yazılım, yeni İK süreçleri, yeni pazarlama uygulamaları, yeni tedarikçiler veya uluslararası raporlama akışlarının tümü veri envanterini etkileyebilir.

6. Çalışan Verisi ve İnsan Kaynakları

İstihdam verisi, KVKK uyumunun en hassas alanlarından biridir.

İşverenler; kimlik bilgileri, iletişim bilgileri, bordro verileri, banka hesap bilgileri, sosyal güvenlik verileri, performans kayıtları, disiplin kayıtları, sağlık raporları, sınırlı hallerde adli sicil belgeleri, izin kayıtları, acil durum irtibat bilgileri, aile bilgileri, bazı işyerlerinde biyometrik veriler, kamera (CCTV) görüntüleri, erişim kayıtları ve e-posta ile cihaz kullanım verileri dahil geniş bir kişisel veri yelpazesi işler.

Çalışan verisi, iş ilişkisindeki güç dengesizliği nedeniyle özel bir özenle işlenmelidir.

Başlıca konular; çalışan aydınlatma metinlerini, istihdam kayıtlarının saklanmasını, özlük dosyalarına erişimi, sağlık verisi işlemeyi, işyeri cihazlarının izlenmesini, işyerinde kamera (CCTV) kullanımını, iç soruşturmaları, disiplin süreçlerini, uzaktan çalışma araçlarını, çalışan verisinin grup şirketlerine aktarımını, bordro sağlayıcılarıyla veri paylaşımını ve fesihten sonra silmeyi içerir.

İşverenler, ileride faydalı olabileceği düşüncesiyle aşırı veri toplamaktan kaçınmalıdır. Kişisel veri; gerekli, hukuka uygun ve ölçülü olanla sınırlı tutulmalıdır.

7. Özel Nitelikli Kişisel Veriler

Belirli kişisel veri kategorileri daha yüksek koruma gerektirir. Özel nitelikli kişisel veriler; uygulanacak mevzuata bağlı olarak sağlık verisini, biyometrik veriyi, sendika üyeliğini, ceza mahkûmiyeti bilgisini ve diğer özel kategorileri içerebilir.

Şirketler özel nitelikli verilerle; istihdam sağlık raporlarında, iş güvenliği süreçlerinde, engellilik kayıtlarında, biyometrik geçiş sistemlerinde, sağlık hizmetlerinde, sigorta süreçlerinde, çalışan yan hak programlarında, iç soruşturmalarda, dava dosyalarında ve çeşitlilik veya kapsayıcılık girişimlerinde karşılaşabilir.

Özel nitelikli veriyi uygun bir hukuki sebep ve güvence olmadan işlemek önemli risk yaratabilir.

Şirketler; özel nitelikli verinin neden toplandığını, toplamanın gerekli olup olmadığını, kimin eriştiğini, özel güvenlik tedbirlerinin uygulanıp uygulanmadığını, verinin üçüncü taraflarla paylaşılıp paylaşılmadığını, yurt dışına aktarılıp aktarılmadığını, ne kadar süre saklandığını ve nasıl silindiğini belirlemelidir.

Özel nitelikli veri asla sıradan idari bilgi gibi ele alınmamalıdır.

8. Pazarlama, CRM ve Ticari İletişim

Pazarlama, yaygın bir veri koruma riski kaynağıdır.

Şirketler; bültenler, tanıtım e-postaları, SMS kampanyaları, müşteri segmentasyonu, CRM sistemleri, yeniden hedefleme, sosyal medya reklamları, sadakat programları, etkinlik davetleri, müşteri adayı oluşturma, çağrı merkezi takibi ve iş geliştirme için kişisel veri toplayıp kullanabilir.

Pazarlama verisi; rıza, aydınlatma metinleri, elektronik ticari ileti kuralları, çerez uygulamaları ve CRM erişim yetkileriyle birlikte gözden geçirilmelidir.

Şirketler; pazarlama irtibatlarının nasıl toplandığını, rızanın gerekli olup olmadığını, çıkış (opt-out) mekanizmalarının çalışıp çalışmadığını, müşteri listelerinin hukuka uygun edinilip edinilmediğini, satın alınan veritabanlarının kullanılıp kullanılmadığını, grup şirketlerinin pazarlama verisi paylaşıp paylaşmadığını, pazarlama tedarikçilerinin veri işleyip işlemediğini ve rıza kayıtlarının tutulup tutulmadığını dikkate almalıdır.

Bir iş geliştirme ekibi, hukuki inceleme olmadan gayriresmî irtibat listeleri kullanmamalıdır. Bu, farklı gizlilik ve pazarlama kurallarının etkileşebileceği Türkiye, AB, Birleşik Krallık veya Orta Doğu genelinde faaliyet gösteren şirketler için özellikle geçerlidir.

9. Web Sitesi, Çerezler ve Analitik

Bir şirket web sitesi beklenenden çok kişisel veri toplayabilir. Veri; iletişim formları, bülten formları, iş başvuru formları, çerezler, analitik araçlar, gömülü haritalar, sohbet pencereleri, sosyal medya pikselleri, randevu sistemleri, indirilebilir içerikler, IP kayıtları ve güvenlik araçları aracılığıyla toplanabilir.

Bir web sitesinin uygun gizlilik ve çerez belgelerine sahip olması gerekir.

Şirketler şunları sormalıdır: Hangi çerezler kullanılıyor? Analitik araçlar aktif mi? Pazarlama pikselleri kurulu mu? Veri Türkiye dışına aktarılıyor mu? Belirli çerezler için kullanıcı rızası gerekiyor mu? Çerez bildirimi doğru mu? Gizlilik politikası fiili araçlarla örtüşüyor mu? Form gönderimleri güvenli saklanıyor mu? Web sitesi başvurularını kim alıyor? Üçüncü taraf eklentileri uyumlu mu?

Bir web sitesi gizlilik politikası yalnızca verinin korunduğunu belirtmemelidir. Web sitesinin fiili teknik yapısını yansıtmalıdır.

10. Tedarikçi ve Veri İşleyen Yönetimi

Çoğu şirket veriyi tek başına işlemez. Bordro sağlayıcıları, muhasebeciler, BT tedarikçileri, bulut barındırma şirketleri, CRM platformları, pazarlama ajansları, çağrı merkezleri, güvenlik şirketleri, işe alım platformları, ödeme sağlayıcıları, lojistik sağlayıcıları, yazılım tedarikçileri ve dış danışmanlar gibi hizmet sağlayıcıları kullanır.

Her tedarikçi ilişkisi veri koruma yükümlülükleri doğurabilir.

Şirketler; hangi kişisel verinin paylaşıldığını, tedarikçinin bunu neden aldığını, tedarikçinin veri işleyen mi yoksa bağımsız veri sorumlusu olarak mı hareket ettiğini, bir veri işleme sözleşmesinin gerekli olup olmadığını, tedarikçinin alt veri işleyen kullanıp kullanmadığını, verinin yurt dışına aktarılıp aktarılmadığını, hangi güvenlik tedbirlerinin uygulandığını, ihlal bildiriminin nasıl işlediğini ve fesihten sonra verinin nasıl iade edildiğini veya silindiğini gözden geçirmelidir.

Tedarikçi sözleşmeleri fiyat ve hizmet kapsamıyla sınırlı olmamalıdır. Veri koruma hükümleri artık zorunludur.

11. Yurt Dışına Veri Aktarımı

Yurt dışına veri aktarımı, Türkiye'deki uluslararası şirketler için en önemli uyum meselelerinden biridir.

Pek çok şirket; yabancı ana şirkete raporlama, küresel İK sistemleri, bulut depolama, CRM platformları, e-posta barındırma, muhasebe sistemleri, uluslararası tedarikçiler, grup şirketi veritabanları, teknik destek erişimi, pazarlama araçları ve yabancı sunucular aracılığıyla kişisel veriyi yurt dışına aktarır.

Kişisel Verileri Koruma Kurumu, mevzuat değişikliklerinin ardından kişisel verilerin yurt dışına aktarımına ilişkin bir rehber yayımlamıştır; şirketler uygulanacak aktarım mekanizmasını dikkatle gözden geçirmelidir.

Şirketler, küresel bir yazılım sağlayıcısı kullanmanın otomatik olarak uyumlu olduğunu varsaymamalıdır.

Şirketler; Türkiye'den hangi verinin çıktığını, hangi ülkenin aldığını, kimin aldığını, hangi aktarım mekanizmasının uygulandığını, standart sözleşmelerin gerekli olup olmadığını, Kuruma bildirimin gerekip gerekmediğini, özel nitelikli veri içerip içermediğini, ilgili kişilerin aydınlatılıp aydınlatılmadığını ve tedarikçi sözleşmelerinin Türkiye gereklilikleriyle uyumlu olup olmadığını belirlemelidir.

Yabancı yatırımcılar için bu özellikle önemlidir; çünkü grup raporlaması ve merkezi sistemler yaygındır.

12. Veri İhlalleri ve Olay Müdahalesi

Bir veri ihlali; kişisel verilerin yetkisiz erişimi, ifşası, kaybı, değiştirilmesi, yok edilmesi veya hukuka aykırı işlenmesini içerebilir.

Örnekler arasında bir fidye yazılımı saldırısı, kaybolan bir dizüstü bilgisayar, yanlış alıcıya gönderilen bir e-posta, bir çalışanın yetkisiz erişimi, ele geçirilmiş bir müşteri veritabanı, çalınmış bir İK dosyası, hatalı yapılandırılmış bir bulut klasörü, bir tedarikçi ihlali, bir oltalama (phishing) olayı, açıkta kalan web sitesi form verileri ve sızdırılmış tıbbi veya mali kayıtlar yer alır.

Bir şirket, bir olay müdahale planı oluşturmak için ihlali beklememelidir.

Pratik bir ihlal müdahale planı; iç bildirimleri kimin aldığını, olayı kimin değerlendirdiğini, delilleri kimin koruduğunu, BT ve güvenlik sağlayıcılarıyla kimin iletişime geçtiğini, bildirimin gerekip gerekmediğine kimin karar verdiğini, etkilenen kişilerle kimin iletişim kurduğunu, yönetimi kimin bilgilendirdiğini, hukuki gizliliği ve belgelemeyi kimin yönettiğini, medya veya itibar meseleleriyle kimin ilgilendiğini ve düzeltici tedbirlerin nasıl kaydedildiğini tanımlamalıdır.

Bir ihlalde zamanlama önemlidir. İlk 24–48 saatteki karmaşa hukuki ve itibari zarar yaratabilir.

13. Yönetim Kurulu ve Yönetimin Sorumluluğu

KVKK uyumu tamamen kıdemsiz personele veya dış danışmanlara devredilmemelidir. Yönetim, şirketin risk profilini anlamalıdır.

Üst yönetim periyodik olarak şunları sormalıdır: Hangi kişisel veriyi işlediğimizi biliyor muyuz? Aydınlatma metinlerimiz doğru mu? Rızaya doğru biçimde mi dayanıyoruz? VERBİS'e kayıt olmamız gerekiyor mu? Veri envanterimiz güncel mi? Yurt dışına veri aktarıyor muyuz? Tedarikçiler sözleşmesel olarak denetleniyor mu? Bir ihlal müdahale planımız var mı? Çalışanlar eğitiliyor mu? Saklama süreleri uygulanıyor mu? Artık gerekmediğinde veriyi siliyor muyuz? İK ile BT, hukuki gerekliliklerle hizalı mı?

Veri koruma yalnızca bir hukuki uyum meselesi değildir. Bir yönetişim, risk ve itibar meselesidir.

14. Birleşme, Devralma, Yatırım ve Durum Tespiti

KVKK uyumu; birleşme, devralma ve yatırım işlemlerinde giderek daha önemli hale gelmektedir.

Bir alıcı veya yatırımcı; hedef şirketin aydınlatma metinlerinin olup olmadığını, gerekli rızaları alıp almadığını, bir veri envanterinin bulunup bulunmadığını, gerekiyorsa VERBİS'e kayıtlı olup olmadığını, tedarikçi sözleşmelerinin bulunup bulunmadığını, yurt dışına veri aktarıp aktarmadığını, veri ihlali yaşayıp yaşamadığını, şikâyet alıp almadığını, özel nitelikli veri işleyip işlemediğini, pazarlama veritabanları kullanıp kullanmadığını, müşteri verisine ticari bir varlık olarak dayanıp dayanmadığını, çalışan izleme uygulamalarının olup olmadığını, çerez ve web sitesi uyum belgelerinin bulunup bulunmadığını ve silme ile saklama politikalarının olup olmadığını gözden geçirmelidir.

Veri koruma meseleleri; değerlemeyi, beyan ve tekeffülleri, tazminat taahhütlerini, kapanış koşullarını, kapanış sonrası entegrasyonu, müşteri veritabanının kullanılabilirliğini, tedarikçi geçişini, BT yeniden yapılandırmasını ve grup raporlamasını etkileyebilir.

Ticari değeri müşteri verisine, yazılım platformlarına, sağlık kayıtlarına, pazarlama veritabanlarına veya kullanıcı hesaplarına bağlı şirketler için KVKK durum tespiti kritik olabilir.

15. Veri Saklama ve Silme

Yaygın bir uyum zafiyeti, veriyi süresiz saklamaktır. Şirketler; depolama ucuz olduğu, silme zahmetli olduğu veya kimin sorumlu olduğunu kimse bilmediği için çoğu zaman belgeleri saklar. Ne var ki aşırı saklama, hukuki ve güvenlik riski yaratır.

Bir veri saklama politikası; veri kategorisine göre saklama süresini, saklamanın hukuki sebebini, sorumlu departmanı, silme yöntemini, ilgili hallerde anonimleştirme yöntemini, arşiv kurallarını, dava nedeniyle saklama istisnalarını, yedek silme yaklaşımını ve periyodik gözden geçirme sürecini tanımlamalıdır.

Farklı veri türleri farklı saklama mantığı gerektirir. Örneğin istihdam kayıtları, muhasebe belgeleri, kamera (CCTV) görüntüleri, pazarlama rızaları, ziyaretçi kayıtları, sözleşmeler ve dava dosyalarının tümü tek bir genel süre altında saklanmamalıdır.

Veri saklama yalnızca silmeyle ilgili değildir. Disiplinli bir bilgi yönetişimiyle ilgilidir.

16. İç Politikalar ve Eğitim

Yalnızca belgeler uyum yaratmaz. Çalışanlar, günlük işlerinde kişisel veriyi nasıl ele alacaklarını anlamalıdır.

Eğitim; kişisel verinin ne olduğunu, temel KVKK ilkelerini, gizliliği, e-posta hatalarını, güvenli belge paylaşımını, parola ve erişim kontrollerini, oltalama farkındalığını, İK verisinin hassasiyetini, müşteri verisinin ele alınmasını, ilgili kişi taleplerini, ihlal bildirimini, kişisel cihaz kullanımını, uzaktan çalışmayı, tedarikçiyle paylaşımı ve sosyal medya ile pazarlama verisini kapsamalıdır.

Politikalar yalnızca biçimsel değil, pratik olmalıdır. Yararlı iç politikalar; bir kişisel veri koruma politikasını, bir veri saklama ve silme politikasını, bir bilgi güvenliği politikasını, bir ihlal müdahale prosedürünü, bir çalışan gizlilik politikasını, bir kamera (CCTV) politikasını, bir temiz masa politikasını, bir kabul edilebilir kullanım politikasını ve bir tedarikçi yönetimi prosedürünü içerebilir.

Mükemmel politikalara sahip ama eğitimsiz bir şirket savunmasız kalmaya devam eder.

17. KVKK Uyumunda Sık Yapılan Hatalar

Sık yapılan hatalar şunlardır: aydınlatma metinlerini başka bir şirketten kopyalamak; rızayı her şeyin çözümü saymak; veri akışlarını haritalamamak; çalışan verisini göz ardı etmek; VERBİS kayıtlarını güncellememek; yabancı bulut araçlarını aktarım analizi olmadan kullanmak; çalışanlardan veya müşterilerden aşırı belge toplamak; veriyi süresiz saklamak; tedarikçileri sözleşmesel olarak denetlememek; çerezleri ve izleme araçlarını göz ardı etmek; çalışanları eğitmemek; bir ihlal müdahale planına sahip olmamak; ilgili kişi taleplerini belgelememek; KVKK'yı tek seferlik bir proje gibi ele almak; ve hukuk danışmanına yalnızca bir şikâyet ya da ihlalden sonra başvurmak.

Pek çok uyum başarısızlığı kötü niyetten kaynaklanmaz. Yapı eksikliğinden kaynaklanır.

18. Pratik KVKK Uyum Kontrol Listesi

Türkiye'de faaliyet gösteren şirketler şu soruları dikkate almalıdır:

  1. Kişisel veri işleme faaliyetlerimizi haritaladık mı?
  2. İşlediğimiz tüm kişisel veri kategorilerini biliyor muyuz?
  3. Aydınlatma metinlerimiz doğru ve erişilebilir mi?
  4. Açık rızaya yalnızca uygun olduğunda mı dayanıyoruz?
  5. Rıza kayıtları gereği gibi tutuluyor mu?
  6. VERBİS'e kayıt olmamız gerekiyor mu?
  7. Veri envanterimiz güncel mi?
  8. Çalışan verisi süreçleri uyumlu mu?
  9. Özel nitelikli kişisel veri işliyor muyuz?
  10. Pazarlama ve CRM uygulamaları gözden geçirildi mi?
  11. Web sitesi çerezleri ve analitik araçları değerlendirildi mi?
  12. Tedarikçi sözleşmeleri veri koruma hükümleri içeriyor mu?
  13. Yurt dışına veri aktarıyor muyuz?
  14. Yurt dışı aktarım mekanizmaları gözden geçirildi mi?
  15. Bir veri ihlali müdahale planımız var mı?
  16. Çalışanlar eğitiliyor mu?
  17. Saklama süreleri tanımlandı mı?
  18. Gerektiğinde veriyi siliyor veya anonimleştiriyor muyuz?
  19. İlgili kişi talepleri gereği gibi karşılanıyor mu?
  20. Yönetim, şirketin veri koruma risklerinin farkında mı?
  21. İş veya teknoloji değişikliklerinden sonra uyum gözden geçiriliyor mu?

Sıkça Sorulan Sorular

KVKK nedir?

KVKK, Türkiye'nin Kişisel Verilerin Korunması Kanunu'nun yaygın kısaltmasıdır. Kişisel verilerin işlenmesini düzenler ve veri sorumlularına — uygulamada Türkiye'de faaliyet gösteren pek çok işletmeye — yükümlülükler getirir.

Her şirketin KVKK uyumuna ihtiyacı var mı?

Çoğu şirket kişisel veri işler ve bu nedenle KVKK yükümlülüklerini dikkate almalıdır. Uyumun kapsamı; şirketin faaliyetlerine, büyüklüğüne, veri kategorilerine, sistemlerine, tedarikçilerine ve aktarımlarına bağlıdır.

Aydınlatma metni yeterli mi?

Hayır. Aydınlatma metni önemlidir, ancak uyumun yalnızca bir parçasıdır. Şirketlerin ayrıca hukuka uygun işleme sebeplerine, veri haritalamasına, tedarikçi kontrollerine, saklama kurallarına, güvenlik tedbirlerine ve ihlal müdahale prosedürlerine ihtiyacı vardır.

Açık rıza her zaman gerekli mi?

Hayır. Açık rıza işleme şartlarından biridir; ancak her zaman gerekli veya uygun değildir. Şirketler her işleme faaliyeti için doğru hukuki sebebi belirlemelidir.

VERBİS nedir?

VERBİS, Veri Sorumluları Sicilidir. Belirli veri sorumlularının kayıt olması ve bilgilerini kişisel veri işleme envanterine dayalı olarak tutması gerekebilir.

Türk şirketleri yabancı bulut hizmetleri kullanabilir mi?

Kullanabilirler; ancak yurt dışına veri aktarımı kuralları gözden geçirilmelidir. Şirket; hangi verinin aktarıldığını, nereye aktarıldığını ve hangi hukuki mekanizmanın uygulandığını belirlemelidir.

Bir veri ihlalinden sonra şirket ne yapmalı?

Şirket; derhal delilleri korumalı, olayı değerlendirmeli, hukuk ve teknik ekipleri sürece katmalı, bildirim yükümlülüklerini belirlemeli, düzeltici tedbirler almalı ve tüm adımları belgelemelidir.

KVKK, şirket devralmalarında önemli mi?

Evet. Veri koruma uyumu; değerlemeyi, beyan ve tekeffülleri, tazminat taahhütlerini, müşteri veritabanının kullanılabilirliğini ve kapanış sonrası entegrasyonu etkileyebilir.

Sonuç

KVKK uyumu bir formalite değildir. Operasyonel bir disiplindir.

Türkiye'deki şirketler; veri akışlarını anlamalı, kişileri gereği gibi aydınlatmalı, doğru hukuki sebeplere dayanmalı, kişisel veriyi korumalı, tedarikçileri yönetmeli, uluslararası aktarımları değerlendirmeli ve olası ihlallere hazırlanmalıdır.

Güçlü bir uyum yapısı işi engellemez. İşi daha güvenilir, denetlenebilir ve dayanıklı kılar.

Uluslararası yatırımcılar için de Türk şirketleri için de kişisel veri koruma; kurumsal yönetişime, sözleşmelere, istihdam süreçlerine, BT sistemlerine ve risk yönetimine entegre edilmelidir.

Veri korumayı yaşayan bir uyum programı olarak ele alan şirketler, onu bir kez hazırlanıp unutulan bir belge klasörü olarak görenlere kıyasla daha iyi konumda olacaktır.

Terziolu & Partners Nasıl Yardımcı Olabilir

Terziolu & Partners; Türkiye'yi ilgilendiren kurumsal, ticari, düzenleyici ve sınır ötesi meselelerde şirketlere, yatırımcılara, girişimcilere ve özel müvekkillere danışmanlık verir. Çalışmalarımız; KVKK uyum yapılarını incelemeyi; aydınlatma metinleri ve iç politikalar hazırlamayı; veri işleme faaliyetlerini değerlendirmeyi; VERBİS ve veri envanteri meselelerinde danışmanlık vermeyi; çalışan verisi süreçlerini gözden geçirmeyi; pazarlama ve CRM uyumu konusunda danışmanlık vermeyi; tedarikçi ve veri işleme sözleşmelerini incelemeyi; yurt dışına veri aktarımı konusunda danışmanlık vermeyi; veri ihlali müdahalesini desteklemeyi; işlemlerde veri koruma durum tespiti yürütmeyi; ve gerektiğinde BT, siber güvenlik ve uluslararası danışmanlarla eşgüdüm sağlamayı içerebilir.

Bir KVKK uyumu, veri koruma veya yurt dışına veri aktarımı meselesini ekibimizle görüşün.

Bu yazı yalnızca genel bilgilendirme amacıyla sunulmuştur ve hukuki danışmanlık niteliği taşımaz. Veri koruma yükümlülükleri; şirketin faaliyetlerine, veri kategorilerine, hukuki sebebe, sektöre, sistemlere, tedarikçilere, aktarım mekanizmalarına, güvenlik tedbirlerine, ilgili kişilere ve danışmanlığın alındığı tarihe göre değişebilir. Yalnızca bu yayına dayanarak herhangi bir işlem yapılmamalı veya yapmaktan kaçınılmamalıdır. Herhangi bir KVKK uyumu, yurt dışı aktarım, veri işleme, tedarikçi yönetimi veya ihlal müdahale tedbirini uygulamadan önce özel hukuki ve teknik danışmanlık alınmalıdır. Terziolu & Partners'a bir başvuru iletmeniz, vekâlet ilişkisi yazılı olarak resmen kabul edilmedikçe ve edilene dek avukat–müvekkil ilişkisi oluşturmaz.

Düzenleme ve Uyumİstanbul
Görüşler