KVKK Nedir? İşletmeler İçin Kapsamlı Rehber

Kanunun 3. maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir:

Doğrudan Kişisel Veriler

• Ad, soyad
• TC kimlik numarası
• E-posta adresi
• Telefon numarası
• Adres bilgileri

Dolaylı Kişisel Veriler

• IP adresi
• Çerez bilgileri
• Konum verileri
• Alışveriş geçmişi
• Cihaz bilgileri

Özel Nitelikli Kişisel Veriler (m. 6)

Bu veriler daha sıkı koruma altındadır:

• Sağlık bilgileri
• Biyometrik veriler
• Din ve mezhep
• Siyasi görüş
• Ceza mahkumiyeti bilgileri
• Irk ve etnik köken

1. Aydınlatma Yükümlülüğü (m. 10)

Kişisel verilerin işlenmesinden önce ilgili kişilere şu bilgiler verilmelidir:

• Veri sorumlusunun kimliği
• Hangi verilerin işlendiği
• Verilerin hangi amaçla işlendiği
• Kimlere aktarıldığı
• Veri toplama yöntemi ve hukuki sebebi
• İlgili kişinin hakları

2. VERBİS Kaydı

Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt, belirli şartları taşıyan veri sorumluları için zorunludur:

• Yıllık çalışan sayısı 50'den fazla olan şirketler
• Yıllık mali bilanço toplamı 100 milyon TL'nin üzerinde olan şirketler
• Ana faaliyeti özel nitelikli kişisel veri işleme olan şirketler

3. Teknik ve İdari Tedbirler (m. 12)

Veri sorumluları şu önlemleri almakla yükümlüdür:

• Teknik tedbirler: Şifreleme, güvenlik duvarı, erişim kontrolü, log kaydı
• İdari tedbirler: Veri işleme politikaları, çalışan eğitimleri, gizlilik sözleşmeleri

4. Veri İhlali Bildirimi (m. 12/5)

Kişisel veri ihlali durumunda:

• Kişisel Verileri Koruma Kurulu'na en kısa sürede (72 saat) bildirim
• İlgili kişilere makul sürede bildirim
• İhlalin etkilerini minimize etmek için gerekli önlemler

Kişisel Verileri Koruma Kurulu, kanuna aykırı davranan veri sorumlularına idari para cezası verebilir:

• Aydınlatma yükümlülüğüne aykırılık: 5.000 TL - 100.000 TL
• Veri güvenliğine ilişkin yükümlülüklere aykırılık: 15.000 TL - 1.000.000 TL
• Kurul kararlarına aykırılık: 25.000 TL - 1.000.000 TL
• VERBİS'e kayıt ve bildirim yükümlülüğüne aykırılık: 20.000 TL - 1.000.000 TL

Bu tutarlar her yıl yeniden değerleme oranında güncellenir.

Bir web sitesinin KVKK'ya uyumlu olması için şu belgelerin hazırlanması gerekir:

1. Aydınlatma Metni

Kullanıcılara hangi verilerin, neden ve nasıl işlendiğini açıklayan metin. Genellikle footer'a veya kayıt formlarına yerleştirilir.

2. Çerez Politikası

Web sitesinde kullanılan çerezlerin türleri, amaçları ve sürelerini açıklayan belge. Çerez onay banner'ı ile birlikte sunulmalıdır.

3. Açık Rıza Metni

Zorunlu olmayan veri işleme faaliyetleri için kullanıcıdan alınacak açık rızanın şartlarını belirleyen metin.

4. Veri Saklama ve İmha Politikası

Kişisel verilerin ne kadar süreyle saklanacağını ve imha yöntemlerini belirleyen politika.

5. Gizlilik Politikası

Genel veri işleme uygulamalarını açıklayan kapsamlı belge.

• Aydınlatma metni hazırlandı mı?
• Çerez politikası ve banner eklendi mi?
• Açık rıza metinleri hazırlandı mı?
• VERBİS kaydı yapıldı mı?
• Çalışanlara KVKK eğitimi verildi mi?
• Veri işleme envanteri çıkarıldı mı?
• Teknik güvenlik önlemleri alındı mı?
• Veri ihlali prosedürü belirlendi mi?

Belgio'nun KVKK Uyumluluk Kiti ile aydınlatma metni, çerez politikası, açık rıza formu ve kontrol listesini kolayca oluşturabilirsiniz. Tüm belgeler güncel mevzuata uygun olarak hazırlanır.