Ankara KVKK ve Veri Koruma Danışmanlığı: VERBİS, Politikalar ve Denetim

Hızlı Cevap: Ankara'da faaliyet gösteren ve kişisel veri işleyen her şirket, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındadır. Uyum, tek bir belge değil bir süreçtir: önce hangi verileri, neden, nereye kaydederek işlediğinizi gösteren bir kişisel veri envanteri çıkarılır; belirli kriterleri aşan veri sorumluları VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı yapar; aydınlatma metni, açık rıza, saklama ve imha politikası, veri güvenliği tedbirleri ve veri ihlali müdahale planı hazırlanır. Bir ihlal yaşandığında, Kurul'a en kısa sürede, 72 saat içinde bildirim yapılması beklenir. KVKK'ya aykırılığın idari para cezaları yüksektir, bu yüzden uyum hem yasal bir zorunluluk hem de bir risk yönetimidir. Ankara merkezli bir işletme için bu süreç, yerinde envanter, doküman seti ve teknik tedbirlerin birlikte kurulmasıyla tamamlanır.

KVKK uyumu, birçok Ankara'lı işletme için hâlâ "bir aydınlatma metni koyduk, tamamdır" sanılan bir konu. Oysa uyum, kağıt üstünde bir metinden çok daha fazlasıdır: verinin nasıl toplandığı, nerede saklandığı, kimlerin eriştiği ve nasıl korunduğunun bütünüyle yönetilmesidir. KVKK uyumunun genel çerçevesini ve VERBİS adımlarını KVKK uyum danışmanlığı, VERBİS, politikalar, denetim yazımızda anlattık; bu yazı, özellikle Ankara'da faaliyet gösteren işletmeler için süreci adım adım ele alır. Teknik tarafıyla, yani sistemlerin gerçekten güvenli olup olmadığıyla ilgili boyutu bilgi güvenliği danışmanlığı, ISO 27001 ve KVKK yazımızda ele aldık.

KVKK kimi kapsıyor

6698 sayılı Kanun, kişisel veri işleyen herkesi kapsar. Kişisel veri, kimliği belirli ya da belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir: ad, telefon, e-posta, TC kimlik numarası, konum, hatta IP adresi. Bir şirket müşterisinin, çalışanının ya da tedarikçisinin bu tür verilerini topluyorsa, KVKK kapsamındadır. Bu, Ankara'daki bir hastaneden bir e-ticaret sitesine, bir muhasebe bürosundan bir yazılım şirketine kadar neredeyse her işletme demektir.

İki temel rol vardır. Veri sorumlusu, verinin neden ve nasıl işleneceğine karar veren kişi/kurumdur. Veri işleyen ise veri sorumlusu adına veriyi işleyen taraftır, örneğin bir bulut hizmeti ya da bir bordro firması. Sorumluluğun büyük kısmı veri sorumlusundadır, ama veri işleyenle yapılan sözleşmeler de uyumun parçasıdır.

Adım 1: Kişisel veri envanteri

Uyumun temeli, neyi işlediğinizi bilmektir. Kişisel veri işleme envanteri, şirketin hangi kişisel verileri, hangi amaçla, hangi hukuki sebebe dayanarak işlediğini, nerede sakladığını, kimlerle paylaştığını ve ne kadar süre tuttuğunu gösteren bir haritadır. Bu envanter olmadan ne VERBİS kaydı doğru yapılabilir, ne politikalar gerçeği yansıtır, ne de bir ihlal anında ne kaybedildiği bilinebilir.

Envanter çıkarmak, çoğu işletme için aydınlatıcıdır: çoğu şirket, çalışan özlük dosyalarından eski müşteri veritabanlarına, WhatsApp yazışmalarından paylaşılan Excel dosyalarına kadar tahmin ettiğinden çok daha fazla kişisel veri tuttuğunu fark eder.

Adım 2: VERBİS kaydı

VERBİS, veri sorumlularının Kurul'a kaydolduğu resmi sistemdir. Her şirket VERBİS'e kayıt olmak zorunda değildir; Kurul, çalışan sayısı, yıllık mali bilanço ve işlenen verinin niteliği (özel nitelikli veri işlenmesi gibi) kriterlerine göre kayıt yükümlülüğünü belirler. Kayıt yükümlülüğü olup olmadığınızı doğru tespit etmek önemlidir, çünkü yükümlü olduğu halde kaydolmamak idari yaptırıma tabidir. Güncel kayıt kriterleri ve süreç için KVKK'nın resmi VERBİS portalı esas alınmalıdır.

VERBİS kaydı tek seferlik bir form doldurma değildir; envanterle tutarlı, doğru beyan gerektirir ve veri işleme süreçleri değiştikçe güncellenir.

Adım 3: Politika ve doküman seti

KVKK uyumu, birbiriyle tutarlı bir doküman seti gerektirir:

  • Aydınlatma metni: Veriyi topladığınız anda, kişiye hangi verisini neden işlediğinizi, kiminle paylaştığınızı ve haklarını bildiren metin. Web sitesi, başvuru formu, sözleşme gibi her temas noktasında bulunmalıdır.
  • Açık rıza: Bazı işlemler için (özellikle açık rızaya dayanan), kişinin özgür, bilgilendirilmiş ve açık onayı gerekir. Rıza, hizmet şartı olarak dayatılamaz ve geri alınabilir olmalıdır.
  • Saklama ve imha politikası: Verinin ne kadar tutulacağı ve süresi dolduğunda nasıl güvenli biçimde silineceği. Verinin güvenli imhası teknik bir konudur; gelişigüzel silme yeterli değildir.
  • Veri güvenliği politikası: Erişim kontrolü, şifreleme, yedekleme, loglama gibi teknik ve idari tedbirler.
  • Veri ihlali müdahale planı: Bir ihlal olduğunda kimin ne yapacağı, nasıl tespit ve bildirim yapılacağı.

Bu dokümanların kopyala-yapıştır şablonlarla değil, şirketin gerçek envanterine ve süreçlerine göre hazırlanması gerekir; aksi halde bir denetimde tutarsızlık ortaya çıkar.

Adım 4: Teknik ve idari tedbirler

KVKK, yalnızca kağıt değil, gerçek güvenlik ister. Kanun, veri sorumlusunun kişisel veriyi korumak için uygun teknik ve idari tedbirleri almasını zorunlu kılar. Bu, erişim yetkilerinin sınırlanması, verinin şifrelenmesi, güçlü kimlik doğrulama, düzenli yedekleme, log tutma ve sistemlerin güncel tutulmasını içerir. Bu tedbirlerin gerçekten yeterli olup olmadığını anlamanın yolu, sistemleri test etmektir; bir sızma testi (pentest), açıkların gerçek bir saldırgandan önce bulunmasını sağlar. Bu konuyu Ankara siber güvenlik, pentest ve KVKK yazımızda ele aldık.

Adım 5: Veri ihlali ve 72 saat

Her tedbire rağmen bir ihlal yaşanabilir: bir veritabanı sızar, bir cihaz çalınır, bir fidye yazılımı sistemleri kilitler. KVKK, böyle bir durumda veri sorumlusunun ihlali en kısa sürede, 72 saat içinde Kurul'a bildirmesini bekler; etkilenen kişilere de bildirim gerekebilir. Bir ihlalin doğru yönetimi, hem hukuki yükümlülüğü yerine getirmek hem de zararı sınırlamak için kritiktir. İhlal bildirimi sürecini ve hazırlığı KVKK veri ihlali bildirimi, 72 saat yazımızda anlattık. İhlalin teknik olarak ne olduğunu, neyin sızdığını ve nasıl olduğunu tespit etmek ise adli bilişim işidir; bu noktada delil zincirini koruyarak inceleme yapılması gerekir.

İdari para cezaları ve neden önemli

KVKK'ya aykırılık, ciddi idari para cezalarına yol açar: aydınlatma yükümlülüğünü yerine getirmemek, veri güvenliği tedbirlerini almamak, VERBİS yükümlülüğünü ihlal etmek ve Kurul kararlarına uymamak ayrı ayrı cezalandırılır ve tutarlar her yıl güncellenir. Ama ceza, riskin yalnızca bir yüzüdür: bir veri ihlali, müşteri güvenini, ticari itibarı ve iş sürekliliğini de tehdit eder. Bu yüzden KVKK uyumu, bir formaliteden çok, bir risk yönetimi ve güven yatırımıdır.

DSET'in Ankara'daki yaklaşımı

DSET olarak KVKK uyumunu, kağıt bir doküman seti olarak değil, envanter, politika ve gerçek teknik güvenliğin birlikte kurulduğu bir süreç olarak ele alırız. Önce yerinde veri envanteri çıkarılır, VERBİS yükümlülüğü doğru tespit edilir, şirkete özel doküman seti hazırlanır, teknik tedbirler test edilir ve bir ihlal müdahale planı kurulur. Ankara merkezli olmamız, yerinde envanter ve denetim için bir avantajdır.

Sıkça Sorulan Sorular

Her şirket VERBİS'e kayıt olmak zorunda mı? Hayır. Kayıt yükümlülüğü çalışan sayısı, mali bilanço ve işlenen verinin niteliğine göre belirlenir. Yükümlü olup olmadığınızı doğru tespit etmek önemlidir; güncel kriterler KVKK'nın resmi VERBİS portalında yer alır.

KVKK uyumu sadece aydınlatma metni koymak mı? Hayır. Aydınlatma metni sürecin bir parçasıdır; uyum, veri envanteri, VERBİS, politika seti, teknik tedbirler ve ihlal planını birlikte gerektirir.

Veri ihlalinde ne kadar sürede bildirim yapmalıyım? KVKK, ihlalin en kısa sürede, 72 saat içinde Kurul'a bildirilmesini bekler; etkilenen kişilere de bildirim gerekebilir.

KVKK'ya uymazsam ne olur? Aydınlatma, veri güvenliği, VERBİS ve Kurul kararlarına uymama gibi ihlaller için idari para cezaları uygulanır ve tutarlar her yıl güncellenir; ayrıca itibar ve iş sürekliliği riski doğar.

Kaynaklar

Ankara'da KVKK uyumu, VERBİS kaydı ve veri koruma denetimi için DSET ile iletişime geçin.