KVKK (Kişisel Verilerin Korunması Kanunu) 2016'da yürürlüğe girdi; ama gerçek denetimlerin yoğunlaşması 2024-2025'te oldu. Bir cookie banner yapıştırmak; uyumluluğun yalnızca yüzde beşini karşılar. Aşağıda ardışık 11 adımda; bir KOBİ veya orta ölçekli kurumun fiilen uyum sağlaması için yapması gerekenler.
1. Veri Envanteri (VERBIS Bildirimi)
Şirketinizin topladığı her kişisel veri kalemi — müşteri e-postası, çalışan TC kimlik, IP logu, kamera kaydı — KVKK'nın resmi sicili VERBIS'e bildirilmek zorunda. Hangi veriyi ne amaçla topluyorsunuz, kimle paylaşıyorsunuz, ne kadar süre saklıyorsunuz, hangi güvenlik tedbirini alıyorsunuz — hepsi tek tek listelenmeli.
2. Aydınlatma Metni: 8 Zorunlu Madde
- Veri sorumlusunun kim olduğu (firma adı + iletişim)
- Veri kaleminin ne olduğu (e-posta, telefon, IP, vb.)
- Hangi amaçla işlendiği (sipariş, pazarlama, muhasebe, vb.)
- Hukuki dayanağı (sözleşme, açık rıza, hukuki yükümlülük)
- Kimlere aktarıldığı (3. taraf hizmet sağlayıcılar, yurt dışı)
- Saklama süresi
- İlgili kişinin hakları (silme, düzeltme, itiraz, taşıma)
- Şikayet için KVKK Kurumu iletişimi
3. Açık Rıza: Pazarlama İletileri
Pazarlama e-postası, SMS veya WhatsApp gönderiyorsanız; genel sözleşme onayı YETMEZ. Ayrı bir checkbox ile "Pazarlama iletişimine açık rıza veriyorum" onayı alınmalı, opt-in. Önceden işaretli kutucuk yasak. Bu rızanın kanıtı (zaman damgası, IP) saklanmalı.
4. Cookie Banner: Türlere Göre Onay
Tek "Kabul Et" butonu cookie banner artık geçersiz. Banner'ın 4 kategori sunması gerekir: zorunlu (rıza istemez), tercih (dil seçimi vb), analitik (Google Analytics), pazarlama (Facebook Pixel, Ads). Her kategori için ayrı toggle. Reddetme "Kabul Et" kadar görünür olmalı ("Sadece Zorunlu" buton aynı boyut).
5. Yurt Dışı Aktarım Kısıtlaması
AWS US-East, Google Cloud, Mailchimp gibi servisler kişisel veriyi yurt dışına aktarır. KVKK "yeterli koruma sağlayan ülke listesi" yayınlamadığı için her aktarım için ayrı açık rıza alınması zorunlu. Türkiye merkezli alternatifler tercih edilebilir: AIOR/Bursa veri merkezi, Yandex Bulut, Vargonen.
6. Veri İhlal Bildirimi: 72 Saat
Bir hack, veri sızıntısı, malware, fidye saldırısı durumunda; ihlali öğrendiğinizden itibaren 72 saat içinde KVKK Kurumu'na bildirim yapmak zorunlu. "Kaç kişi etkilendi, hangi veriler sızdı, ne tedbir alındı" bilgisiyle. Geç bildirim cezası 1.000.000 TL'ye kadar çıkar.
7. Çalışan Verisi: Ayrı Aydınlatma
Müşteri aydınlatma metni çalışan için yetmez. Bordro, parmak izi PDKS, kamera kaydı, e-posta arşivi gibi çalışan verileri için ayrı bir aydınlatma metni İK departmanı tarafından imzalatılmalı. İşten ayrılan çalışanın verileri belirli bir süre (genelde 10 yıl, vergi mevzuatı) saklanır, sonra silinir.
8. Sözleşmesel Veri İşleyici Anlaşmaları
Hosting sağlayıcı, e-posta servisi, muhasebe yazılımı, CRM, bulut sağlayıcı — hepsi "veri işleyici" konumunda. Her biriyle KVKK uyumlu Veri İşleme Sözleşmesi (DPA) imzalanmalı. AIOR olarak tüm hosting müşterilerimize standart DPA sağlıyoruz.
9. Erişim Talebi Yanıt Süreci
Bir kişi "hakkımda hangi verileri tutuyorsunuz, silmek istiyorum" derse; 30 gün içinde resmi cevap verilmek zorunda. Otomatik bir takip sistemi kurulmalı: form → ticket → IT taraması → hukuk onayı → gönderim. Sürecin loglarının saklanması da zorunlu.
10. Yıllık Risk Değerlendirmesi
KVKK uyumluluğu yıllık dönüm noktası gerektirir: yeni eklenen yazılım, yeni veri akışı, yeni 3. taraf entegrasyonu. Yıllık risk değerlendirmesi raporu hazırlanır; veri sorumlusu yöneticisi (DPO görevini yapan kişi) imzalar. Denetimde ilk istenen belge.
11. Eğitim: Çalışan Farkındalığı
En sağlam teknik tedbir bile bir çalışanın phishing e-postasına tıklamasıyla aşılır. Yıllık KVKK ve siber güvenlik eğitimi tüm çalışanlara verilmeli; eğitim katılım kayıtları saklanmalı. AIOR olarak müşterilerimize 90 dakikalık online + interaktif eğitim modülü sunuyoruz.
KVKK uyumluluğu "bir kez yapılan iş" değil; sürekli devam eden bir disiplin. AIOR olarak müşterilerimizi yıllık denetim raporu, otomatik VERBIS güncelleme, çalışan eğitimi ve incident response süreciyle bütünsel destekliyoruz. Cezadan kaçınmak değil, müşteri güvenini koruma — uzun vadeli kazanım.
