KVKK 2024'te ciddi bir revizyondan geçti. Bazı kurallar 2026'da yürürlüğe girdi. Ama denetimde gördüğüm manzara hep aynı: şirketler hala 2018'den kalma politikalarını sallıyor. Hatta birçoğu o belgenin nerede olduğunu bile hatırlamıyor. Kurul'un son kararlarıyla mevcut metinler bayağı uyumsuz.
Bu yazıda yeni kuralları sıralamayacağım. Onun yerine eski kuralları neden hala yanlış uyguladığınızı anlatacağım. Asıl sorun orada.
"Kim sorumlu?" Sorusuna Net Cevap Var mı?
Şu soruyu kendinize sorun. Şirketinizde yeni bir CRM kurulduğunda, KVKK uyumunu kim onaylıyor? "Hukuk veya BT" cevabı geliyorsa yanlış. Bu cevap kulağa makul gelir, ama pratikte "ikisi de bakmaz"a dönüşüyor. Toplantıda "bunu siz halletmiştiniz değil mi" diye birbirine soruyorlar.
Birinin sahibi olması lazım. Ya KVKK irtibat kişisi, ya hukuk müşaviri. Net görev tanımı, net karar yetkisi. Yazılı tanımlamadıysanız sahibi yok demektir.
Bu yıl Kurul kararlarında "etkin veri sorumlusu temsilcisi olmadığı" tespitleri arttı. Para cezası gelmeyebilir. Ama Kurul'un kapısı bir kez çalındıktan sonra ne çıkar belli olmaz.
VERBİS: "Doldurmak" Yeterli Değil
VERBİS sicili 2017'den beri hayatımızda. Şirketlerin büyük çoğunluğu da sicili bir kere doldurdu. Soru şu: kaçı güncel tutuyor? Cevap can sıkıcı. Çok az.
Sebebi basit. VERBİS güncel envanteri yansıtmak zorunda. Siz yeni bir SaaS aldıysanız, yeni bir tedarikçi anlaştıysanız ya da çalışan veri formatınız değiştiyse, sicil bunu görmüyor olabilir. Görmüyorsa "kayıt yaptım" sayılmıyor.
Tavsiyem: Yılda dört kez sicili açın. BT envanterinizle yan yana koyun. Farklılık varsa güncelleyin. Bu işi KVKK irtibat kişisi yapar, BT envanteri sağlar.
Yurt Dışı Veri Aktarımı: Eski Onay Mektupları Çöp mü?
2024 değişikliği "açık rıza" yerine standart sözleşme veya bağlayıcı kurumsal kurallar modellerini öne çıkardı.
Yeni başlayacağınız aktarımlar için standart sözleşme yolunu seçin. Önceden başladığınız aktarımlar problemli. Özellikle Microsoft 365, Google Workspace, AWS, Slack, GitHub gibi araçlar kullanıyorsanız ve sözleşmenizi son 1,5 yıl içinde yenilemediyseniz, dayanağınızda büyük ihtimalle açık var.
Geçen ay bir müşterimizde tam böyle bir durum çıktı. 2020'de imzalanmış Microsoft sözleşmesi vardı. Veri aktarımı dayanağı muğlak yazılmıştı. Yenilenmesi gerekti.
72 Saatlik İhlal Bildirimi'nin Gerçek Yüzü
Bir ihlali Cumartesi sabah 09:30'da fark ediyorsunuz. Salı 09:30'a kadar Kurul'a bildirmeniz gerek. 72 saat.
İşin gerçeği şu. Cumartesi kimse Kurul'a gitmez. Pazartesi sabah hukukla konuşulur. Salı "acaba bu ihlal mi ki" tartışılır. Çarşamba bildirim hazırlanır. Sayaç 96 saatte biter. Kurul'un tavrı net: "Geç bildirim de eksik bildirim sayılır."
Çözüm var. 72 saatlik içsel bir SLA tanımlayın. Kimin sorumlu olduğunu şimdi yazılı belirleyin. Hafta sonu için yedek isim koyun. SIEM'iniz ihlal şüphesi durumunda uyarı veriyor mu? Vermiyorsa sezgisel "bu ihlal mi" tartışması zaman alır.
KOBİ'siniz Diye "Az Yeter" Sanmayın
Yaygın bir yanılgı var. "Biz küçük bir firmayız, bu kadar detaya gerek yok."
KVKK'da büyüklük eşiği yok. 5 çalışanlı bir kreşin de yükümlülüğü, 5.000 çalışanlı holdingle aynı. Kurul'un para cezası büyüklüğe göre orantılı, ama sorumluluk eşit.
Fark şu. Büyük kurumlar profesyonel ekiplerle yönetir, KOBİ'ler kendisi bir şeyler yapar ve aksaklıklar büyür. KOBİ iseniz iki yol var. Ya iyi bir danışmanla çalışın, ya süreçleri çok yalın tutun. Az veri toplayın, kısa süre saklayın, yurt dışına çıkarmayın. Karmaşık veri akışları KOBİ'ler için risk merkezidir.
İK'da Üç Yaygın Tuzak
Departmanlarda en sık gördüğüm sorunlar şu üçü.
Bir, eski özgeçmişler. İşe almadığınız adayların CV'leri "sonra lazım olur" diye saklanıyor. Yazılı muvafakkat olmadan saklamak ihlal. İade edin ya da imha edin.
İki, performans değerlendirmeleri. Çalışan ayrıldıktan sonra hala kayıtta. Yasal saklama 5 yıl, operasyonel ihtiyaç bittiyse erken imha daha güvenli.
Üç, sağlık raporları. Özel nitelikli veri. Şifreli ortamda, az kişiyle, denetim kayıtlı tutulmalı. Klasörde duruyorsa sorun var.
Tedarikçi Sözleşmeleri Güncellendi mi?
Üçüncü taraflarla veri paylaşıyorsanız, sözleşmelerde KVKK ekleri olmalı. Bulut sağlayıcı, çağrı merkezi, dijital ajans, danışman. 2018-2020 yılında imzalanan tipik sözleşmelerde şöyle bir paragraf var: "Taraflar KVKK'ya uyacağını taahhüt eder." Tek cümle. Bu cümle Kurul önünde sizi kurtarmaz.
Yeni standart şunu istiyor: veri kategorisi, işleme amacı, saklama süresi, alt yüklenici durumu, ihlal bildirim sorumluluğu. Hepsi yazılı.
Bunu yapmanın yolu kolay. En kritik 10 tedarikçinizi listeleyin. Hassas veri işleyenleri seçin. KVKK ek protokolü teklif edin. Karşı taraf direnirse risk kaydı oluşturun.
Şimdi Ne Yapmalısınız?
Kapsamlı denetim ilk adım değil. İlk adım dürüst öz değerlendirme. Şu beş soruyu cevaplayın:
Veri envanteriniz son 12 ayda güncellendi mi?
Açık rıza süreçleriniz hala "web sitesini kullanmakla kabul etmiş sayılırsınız" tarzında mı?
İhlal bildirimi gerçekten 72 saatte yapılabilir mi?
Tedarikçi sözleşmelerinde KVKK ekleri güncel mi?
Çalışanlarınız en son ne zaman veri güvenliği eğitimi aldı?
Beş sorudan birine "hayır" çıkıyorsa kapsamlı gözden geçirme zamanı. Tek başınıza yapmaya kalkmayın. Tecrübeli bir danışmanla bu iş yarı zamanda biter.
Bu konuda destek mi arıyorsunuz?
Durkon olarak 15+ yıllık deneyimimizle kurumlara özel danışmanlık sunuyoruz. Ücretsiz keşif görüşmesi alın.
Ücretsiz Keşif Görüşmesi