KVKK Danışmanlığı
KVKK Nedir? Armutlu’daki İşletmeleri Neden İlgilendirir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK); kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel haklarını korumayı ve veri sorumlularının yükümlülüklerini düzenlemeyi amaçlar. KVKK sadece büyük şirketleri değil; esnafı, KOBİ’yi, oteli/pansiyonu, site yönetimini, klinikleri, eğitim kurumlarını, e-ticaret yapanları, dernek-vakıfları da doğrudan ilgilendirir.
Armutlu özelinde pratikte en çok risk üreten alanlar şunlardır:
-
Konaklama ve turizm (kimlik bildirim süreçleri, rezervasyon listeleri, kamera kayıtları)
-
Site/apartman yönetimleri (aidat listeleri, icra dosyaları, kamera kayıtları, duyuru grupları)
-
Sağlık/estetik/hizmet işletmeleri (randevu, sağlık verisi, fotoğraf/video paylaşımı)
-
E-ticaret ve kargo süreçleri (adres/telefon, teslimat kayıtları, iade süreçleri)
-
İK ve personel süreçleri (özlük dosyaları, bordro, puantaj, SGK kayıtları)
Temel Kavramlar: Veri Sorumlusu, Veri İşleyen, Kişisel Veri
KVKK uyumu doğru terimleri doğru yere koymakla başlar:
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad-soyad, telefon, TCKN, görüntü, lokasyon vb.).
Özel nitelikli kişisel veri: Sağlık verisi, biyometrik veri vb. daha sıkı koşullara tabi veri grubu. Bu verilerde “alışkanlıkla” metin hazırlamak yerine süreçleri çok dikkatli kurmak gerekir.
Veri sorumlusu: Hangi verinin neden işlendiğine, ne kadar saklanacağına ve kimin erişeceğine karar veren gerçek/tüzel kişi.
Veri işleyen: Veri sorumlusu adına teknik/operasyonel işleme yapan taraf (ör. dış kaynak bordro firması, bulut hizmet sağlayıcı, çağrı merkezi).
KVKK Uyumunda En Çok Yapılan Hatalar (Armutlu’da Sık Görülen)
KVKK dosyalarında en sık karşılaşılan problem “evrak var ama uygulama yok” durumudur. Örnekler:
-
Gereksiz açık rıza: Her şeye açık rıza imzalatmak, çoğu zaman hukuken “güvenli” değil; tersine risk doğurabilir.
-
Aydınlatma metni ile açık rızanın karıştırılması: Aydınlatma ayrı, rıza ayrı mantıkla kurgulanır.
-
Kamera kayıtlarının ölçüsüz kullanımı: Süre, erişim, amaç, kayıt güvenliği net değilse sorun büyür.
-
WhatsApp grupları: Site yönetimlerinde/işletmelerde “duyuru grubu” üzerinden veri paylaşımı çok kolay ihlale dönüşür.
-
Saklama-imha yok: “Ne zaman siliyoruz?” sorusunun cevabı yoksa risk sürekli devam eder.
Yurt dışına veri aktarımı fark edilmeden yapılıyor: Bulut, e-posta, analiz araçları vb. üzerinden aktarım gündeme gelebilir
KVKK Nedir? Armutlu’daki İşletmeleri Neden İlgilendirir?
KVKK dosyalarında en sık karşılaşılan problem “evrak var ama uygulama yok” durumudur. Örnekler:
-
Gereksiz açık rıza: Her şeye açık rıza imzalatmak, çoğu zaman hukuken “güvenli” değil; tersine risk doğurabilir.
-
Aydınlatma metni ile açık rızanın karıştırılması: Aydınlatma ayrı, rıza ayrı mantıkla kurgulanır.
-
Kamera kayıtlarının ölçüsüz kullanımı: Süre, erişim, amaç, kayıt güvenliği net değilse sorun büyür.
-
WhatsApp grupları: Site yönetimlerinde/işletmelerde “duyuru grubu” üzerinden veri paylaşımı çok kolay ihlale dönüşür.
-
Saklama-imha yok: “Ne zaman siliyoruz?” sorusunun cevabı yoksa risk sürekli devam eder.
Yurt dışına veri aktarımı fark edilmeden yapılıyor: Bulut, e-posta, analiz araçları vb. üzerinden aktarım gündeme gelebilir.
1 Haziran 2024 Sonrası Dönem: Uyumun Güncel Takibi Neden Önemli?
KVKK alanında mevzuat ve uygulama canlıdır. Kamuoyunda “8. Yargı Paketi” olarak anılan 7499 sayılı Kanun 12.03.2024 tarihli Resmî Gazete’de yayımlanmıştır. (Türkiye Barolar Birliği)
Bu paket kapsamında KVKK’ya ilişkin bazı başlıklarda da değişiklik gündeme gelmiş; özellikle uygulamada yurt dışına veri aktarımı gibi alanlarda işletmelerin “alışkanlıklarını” yeniden gözden geçirmesi gerekmiştir. (Somut ihtiyaçlar işletmenin sektörüne ve kullandığı sistemlere göre değişir.)
Armutlu KVKK Danışmanlığı Neleri Kapsar?
KVKK danışmanlığını tek bir metin hazırlama işi gibi görmek yerine, kurumsal bir uyum programı olarak düşünmek gerekir. Sağlıklı bir danışmanlık genellikle üç katmandan oluşur:
1) Hukuki ve İdari Uyum
Şirketin veriyi hangi amaçla işlediği, hangi hukuki sebebe dayandığı, kime aktardığı ve nasıl sakladığı ortaya konur. Bu aşamada genellikle:
-
Veri işleme faaliyetlerinin haritalanması (departman bazlı)
-
Aydınlatma metinleri (müşteri/çalışan/ziyaretçi)
-
Gerekliyse açık rıza metinleri (yalnızca gerçekten gerekli alanlarda)
-
Gizlilik taahhütnameleri, KVKK ek protokoller (çalışan ve tedarikçi ilişkileri)
-
Saklama ve imha politikası / prosedürleri
-
Veri ihlali müdahale planı (kime haber verilecek, hangi sürelerde, hangi kayıtlar tutulacak)
2) Süreç Tasarımı (Uygulama)
Kağıt üzerindeki uyumun günlük işleyişe dönmesi gerekir. Örneğin:
-
Kamera kayıtlarına erişim yetkisi kimde?
-
E-posta arşivleri nasıl yönetiliyor?
-
Personel dosyaları kilitli dolapta mı, paylaşımlı klasörde mi?
-
Müşteri kayıtları kimlerle paylaşılıyor?
-
“Talep gelirse” (erişim/silme/düzeltme) kim cevaplayacak?
3) Teknik Tedbirler (Bilgi Güvenliğiyle Uyum)
KVKK, verinin korunması için teknik/idari tedbir mantığını birlikte düşünür. Uygun tedbir seti şirketin ölçeğine göre belirlenir: erişim logları, yetkilendirme, parola politikaları, yedekleme, sızma testleri, ağ güvenliği, uç cihaz güvenliği vb.
Yurt Dışına Veri Aktarımı ve Sözleşmesel Mekanizmalar
Günümüzde e-posta servisleri, bulut depolama, CRM, analiz araçları veya çağrı merkezi altyapıları nedeniyle yurt dışına veri aktarımı gündeme gelebilir. Bu noktada sözleşmesel çözümler ve teknik-idari tedbirlerin birlikte kurgulanması gerekir.
KVKK Kurumu tarafından yayımlanan Standart Sözleşme setleri, bu alandaki araçlardan biridir; metinlerin kullanımında aktarım senaryosuna göre doğru kurgu şarttır.
VERBİS ile KVKK Uyumunun Karıştırılmaması
Uygulamada sık yapılan hata şudur: “VERBİS’e kayıt olmuyoruz, o halde KVKK bizi ilgilendirmez.”
Bu doğru değildir. VERBİS yükümlülüğü ayrı, KVKK’ya uyum (aydınlatma, güvenlik, saklama, taleplere cevap vb.) ayrı bir konudur. İşletmenin VERBİS’ten muaf olması, KVKK sorumluluğunu otomatik kaldırmaz. Bu ayrım, uyum planının doğru kurulması açısından kritiktir.
Armutlu’da KVKK Danışmanlığı Kimler İçin Özellikle Gerekli?
-
Otel, pansiyon, apart, tatil tesisi işletenler
-
Site yönetimleri ve yönetim şirketleri
-
Sağlık/estetik, diyetisyen, psikolog, klinik gibi hassas veri işleyenler
-
E-ticaret yapanlar (mesafeli satış, kargo, iade, pazarlama)
-
İnsan kaynağı yoğun işletmeler (özlük, bordro, kamera, giriş-çıkış)
-
Dış kaynak hizmet kullananlar (bulut, çağrı merkezi, yazılım firması)
Armutlu KVKK Avukatı ile Çalışmanın Pratik Faydası
KVKK’da asıl ihtiyaç “metin” değil; senaryo bazlı risk yönetimidir. Avukat desteğiyle:
-
Hangi işlemde hangi hukuki sebebin kullanılacağı netleşir,
-
Gereksiz açık rıza yükü ve bunun doğurduğu risk azalır,
-
Şikâyet/ihlal halinde verilecek cevapların dili ve stratejisi hazırlanır,
-
Sözleşmeler (tedarikçi, çalışan, hizmet sağlayıcı) KVKK uyumlu hale getirilir,
-
Uyum sürdürülebilir bir iç sisteme dönüşür.
Sık Sorulan Sorular
KVKK uyumu kaç günde biter?
Şirketin büyüklüğü, veri çeşitliliği ve kullanılan sistemlere göre değişir. Sağlıklı olan, kısa sürede “evrak üretmek” değil; uygulanabilir bir çerçeve kurmaktır.
Açık rıza her zaman gerekir mi?
Hayır. Pek çok süreç açık rıza dışındaki hukuki sebeplerle yürütülebilir. Gereksiz rıza, uyum riskini artırabilir.
Kamera kaydı almak KVKK’ya aykırı mı?
Tek başına değil. Ama amaç, süre, erişim, güvenlik, bilgilendirme ve saklama-imha disiplininin kurulması gerekir.
Son Not: Armutlu’da KVKK Uyumunu “Kopyala-Yapıştır” Değil, İşletmeye Özel Kurgu ile Kurun
KVKK danışmanlığında en pahalı hata; başka bir işletmenin metinlerini alıp aynı şekilde kullanmaktır. Çünkü her işletmenin veri akışı, saklama süreleri, erişim yetkileri ve aktarım senaryoları farklıdır. Doğru kurgu; mevzuata uygun, uygulanabilir, denetlenebilir ve güncellenebilir bir sistem kurmaktır.
Aşağıdaki metin kopyala-yapıştır hazır, paragraf ağırlıklı, intihalden uzak ve mevzuata uygun bir “SEO iskeleti” gözetilerek yazıldı. (Ücret kalemlerinde 2026 için güncel tutarları esas aldım; başvuru öncesi yine de resmi tarifeden teyit edilmelidir. (Rasyotek))