TİCARET HUKUKU

Şirketler İçin KVKK Uyum Rehberi: Yükümlülükler, Cezalar ve Uyum Süreci (2025)

Dijital çağda veri, işletmeler için en değerli varlıklardan biri haline gelmiştir. Ancak bu değer, beraberinde büyük bir sorumluluk getirir: kişisel verilerin korunması. 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’de faaliyet gösteren ve müşteri, çalışan veya ziyaretçi verisi işleyen her ölçekteki işletme için uyulması zorunlu kurallar ve ağır idari para cezaları öngörmektedir.

“KVKK nedir?”, “Şirketimin KVKK yükümlülükleri neler?”, “KVKK uyum süreci nasıl yürütülür?” ve “Uyum sağlamazsam ne gibi cezalarla karşılaşırım?” gibi sorular, günümüzdeki her işletme sahibinin ve yöneticisinin gündemindedir. Bu rehberde, KVKK uyumunu bir kabus olmaktan çıkarıp, şirketiniz için yönetilebilir bir yol haritasına dönüştürecek adımları açıklayacağız.

Bölüm 1: KVKK’nın Temel Kavramları

Süreci anlamak için öncelikle kanunun temel kavramlarını bilmek gerekir:

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek bir kişiye ilişkin her türlü bilgidir. (Örn: Ad-soyad, T.C. kimlik numarası, telefon, e-posta, IP adresi, özgeçmiş, müşterinin alışveriş geçmişi, güvenlik kamerası kaydı).
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Hemen hemen her şirket bir veri sorumlusudur.
• Veri İşleme: Kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. (Örn: Veriyi toplama, kaydetme, depolama, değiştirme, kullanma, aktarma, silme).
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. Her veri işleme faaliyeti için zorunlu değildir, ancak kanundaki diğer şartlar yoksa alınması gerekir.
• Aydınlatma Yükümlülüğü: Veri sorumlusunun, verisini işlediği kişilere; kimliği, veriyi hangi amaçla işlediği, kimlere aktarabileceği, toplama yöntemi, hukuki sebebi ve kişinin hakları konusunda bilgi verme zorunluluğudur.

Bölüm 2: Adım Adım Şirketler İçin KVKK Uyum Süreci

KVKK uyumu, tek seferlik bir proje değil, yaşayan ve sürekli dikkat gerektiren bir süreçtir. İşte izlemeniz gereken temel adımlar:

Adım 1: Kişisel Veri Envanteri Hazırlanması (Veri Haritası Çıkarma)

Bu, uyum sürecinin temelidir. Şirketinizdeki tüm departmanları (insan kaynakları, satış, pazarlama, muhasebe vb.) analiz ederek şu soruların cevabını içeren bir envanter oluşturmalısınız:

• Hangi kişisel verileri işliyoruz? (Çalışan maaş bilgisi, müşteri adresi, tedarikçi iletişim bilgisi vb.)
• Bu verileri hangi amaçla işliyoruz? (Maaş ödemek, fatura kesmek, ürün göndermek, e-posta pazarlaması yapmak vb.)
• Verileri hangi hukuki sebebe dayanarak işliyoruz? (Sözleşme gereği, kanuni zorunluluk, meşru menfaat, açık rıza vb.)
• Verileri kimlere aktarıyoruz? (Muhasebe firmasına, kargo şirketine, grup şirketlerine vb.)
• Verileri ne kadar süreyle saklıyoruz?
• Verilerin güvenliği için ne gibi tedbirler aldık?

Adım 2: Hukuki Metinlerin Hazırlanması ve Gözden Geçirilmesi

Veri envanterinize dayanarak, tüm süreçlerinizi KVKK’ya uygun hale getiren hukuki metinleri hazırlamanız gerekir:

• Aydınlatma Metinleri: Web siteniz, mobil uygulamanız, fiziki mağazanız ve işe alım süreçleriniz için müşterilere, çalışanlara ve ziyaretçilere yönelik ayrı ayrı aydınlatma metinleri hazırlanmalıdır.
• Açık Rıza Metinleri: Özellikle pazarlama, reklam, kampanya gibi faaliyetler için kanundaki diğer şartlar yoksa, kişilerden geçerli bir “açık rıza” almanız gerekir. Bu rıza, aydınlatma metninden ayrı olmalı ve kişinin “onay” veya “ret” seçeneğini özgürce işaretleyebileceği şekilde tasarlanmalıdır.
• Gizlilik Politikaları ve Sözleşmeler: Şirket içi veri koruma politikaları, çalışanlar için gizlilik taahhütnameleri, veri aktarımı yapılan üçüncü partilerle (veri işleyenlerle) yapılan sözleşmeler KVKK’ya uygun hale getirilmelidir.

Adım 3: İdari ve Teknik Tedbirlerin Alınması

KVKK, veri güvenliğini sağlama yükümlülüğünü çok ciddiye alır.

• İdari Tedbirler: Çalışanlara KVKK farkındalık eğitimi vermek, veri erişim yetkilerini sınırlandırmak (herkesin her veriye ulaşmasını engellemek), veri sızıntısı durumunda izlenecek prosedürleri belirlemek.
• Teknik Tedbirler: Güçlü şifreler kullanmak, anti-virüs ve güvenlik duvarı (firewall) sistemlerini güncel tutmak, veri tabanlarını güvence altına almak, sızma testleri yapmak, verileri şifrelemek.

Adım 4: VERBİS Kaydının Yapılması

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), veri sorumlularının kendilerini ve yürüttükleri veri işleme faaliyetlerini kaydettikleri kamusal bir sicildir. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 100 milyon TL’den çok olan veri sorumlularının sicile kayıt olması zorunludur. (Bu sınırlar Kişisel Verileri Koruma Kurulu tarafından değiştirilebilir).

Adım 5: Veri Saklama ve İmha Politikası Oluşturulması

Kişisel veriler, kanunen sonsuza kadar saklanamaz. İşleme amacı ortadan kalkan veya yasal saklama süresi dolan verilerin, geri döndürülemez bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Şirketinizin bu süreci nasıl işleteceğine dair yazılı bir politikası olmalıdır.

Uyumsuzluğun Bedeli: Ağır İdari Para Cezaları

KVKK’ya uyum sağlamamanın yaptırımları oldukça yüksektir. Kişisel Verileri Koruma Kurulu tarafından, ihlal edilen yükümlülüğe göre her yıl güncellenen ve milyonlarca Türk Lirası’na varabilen idari para cezaları kesilebilmektedir. Örneğin, aydınlatma yükümlülüğünü ihlal etmenin, veri güvenliğini sağlamamanın veya VERBİS’e kaydolmamanın ayrı ayrı ciddi para cezaları vardır.

KVKK Uyum Sürecinde Avukatın Rolü Neden Kritik?

KVKK uyumu, sadece bir IT veya idari bir iş değil, temelinde derinlemesine hukuki analiz gerektiren bir süreçtir. Bu süreçte bir KVKK avukatı;

• Şirketinizin hukuki bir veri haritasını çıkararak risklerinizi tespit eder.
• Veri işleme faaliyetlerinizin hukuki sebeplerini doğru bir şekilde belirler.
• Tüm aydınlatma, açık rıza metinlerinizi, politika ve sözleşmelerinizi kanuna tam uyumlu olarak hazırlar.
• VERBİS kaydı ve veri imha politikaları gibi teknik konularda size rehberlik eder.
• Olası bir veri ihlali veya Kurul denetimi durumunda, şirketinizi hukuken en doğru şekilde savunarak ağır cezalardan korunmanızı sağlar.

Yasal Uyarı: Bu makale, genel bilgilendirme amacıyla hazırlanmış olup hukuki danışmanlık niteliği taşımaz. Her işletmenin faaliyet alanı ve veri işleme süreçleri farklıdır. Şirketinizin KVKK’ya tam uyumunu sağlamak ve yasal riskleri yönetmek için mutlaka bu alanda uzman bir avukattan danışmanlık almanız gerekmektedir.