6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup, kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsamaktadır. Ancak birçok şirket, kendisinin bu kanun kapsamında olup olmadığı konusunda tereddüt yaşamaktadır.
KVKK Kimi Kapsar?
KVKK'nın kapsamını anlamak için öncelikle bazı temel kavramları bilmek gerekmektedir:
Kişisel Veri Nedir?
Kanun'un 3. maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım son derece geniştir ve şunları kapsar:
- Ad, soyad, T.C. kimlik numarası
- Telefon numarası, e-posta adresi
- Ev ve iş adresi
- IP adresi, çerez verileri
- Banka hesap bilgileri
- Fotoğraf, video kaydı
- Parmak izi, yüz tanıma verisi
- Sağlık bilgileri, özgeçmiş
Veri Sorumlusu Kimdir?
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişidir. Eğer şirketiniz herhangi bir kişisel veriyi toplama, saklama, kullanma veya aktarma kararı veriyorsa, veri sorumlusu sıfatını taşıyorsunuz demektir.
Şirketinizin KVKK Kapsamında Olduğunu Nasıl Anlarsınız?
Aşağıdaki sorulardan herhangi birine "evet" yanıtı veriyorsanız, şirketiniz KVKK kapsamındadır:
- Çalışanlarınızın özlük bilgilerini tutuyor musunuz?
- Müşterilerinizin ad, telefon veya e-posta bilgilerini saklıyor musunuz?
- Web sitenizde iletişim formu, üyelik sistemi veya e-bülten var mı?
- Güvenlik kamerası kullanıyor musunuz?
- Muhasebe kayıtlarınızda müşteri veya tedarikçi bilgileri var mı?
- Herhangi bir CRM, ERP veya müşteri yönetim sistemi kullanıyor musunuz?
- Dijital pazarlama faaliyetleri yürütüyor musunuz?
- Ziyaretçi giriş çıkış kaydı tutuyor musunuz?
Pratik olarak bakıldığında, çalışanı olan veya müşterisi olan her şirket KVKK kapsamındadır. Çünkü en azından çalışan ve müşteri kişisel verilerini işlemektedir.
Sektör veya Büyüklük Fark Etmez
KVKK'nın kapsamında sektörel veya büyüklük bazlı genel bir istisna bulunmamaktadır. Aşağıdaki tüm işletmeler kanun kapsamındadır:
- Mikro işletmeler: 1-9 çalışanlı küçük işletmeler
- KOBİ'ler: Orta ölçekli şirketler
- Büyük şirketler: Holding ve çok uluslu firmalar
- Serbest meslek sahipleri: Doktorlar, avukatlar, muhasebeciler
- Esnaf ve sanatkarlar: Kişisel veri işleyen her esnaf
- Dernekler ve vakıflar: Üye bilgisi tutan tüm kuruluşlar
- Kamu kurumları: Tüm devlet kuruluşları
KVKK Kapsamında Yapılması Gerekenler
Şirketinizin KVKK kapsamında olduğunu belirlediyseniz, aşağıdaki temel adımları atmanız gerekmektedir:
Temel Uyum Adımları
- Farkındalık: Yönetim ve çalışanların KVKK konusunda bilinçlendirilmesi
- Envanter: İşlenen tüm kişisel verilerin tespit ve kategorize edilmesi
- Hukuki analiz: Her veri işleme faaliyetinin hukuki sebebinin belirlenmesi
- Aydınlatma: Veri sahiplerine aydınlatma metinlerinin sunulması
- Politikalar: Veri işleme, saklama, imha ve güvenlik politikalarının hazırlanması
- Teknik tedbirler: Veri güvenliği için gerekli teknik altyapının kurulması
- VERBİS: Gerekli ise Veri Sorumluları Siciline kayıt
- Sürdürülebilirlik: Düzenli denetim ve güncelleme mekanizmasının kurulması
KVKK Uyumsuzluğunun Riskleri
KVKK'ya uyum sağlamamanın ciddi sonuçları vardır:
- İdari para cezaları: 5.000 TL'den 1.000.000 TL'ye kadar
- Tazminat davaları: Veri sahiplerinin açabileceği tazminat davaları
- İtibar kaybı: Veri ihlali kamuoyuna açıklandığında yaşanan güven erozyonu
- İş kaybı: Büyük müşteriler KVKK uyumu olmayan tedarikçilerle çalışmamayı tercih etmektedir
KVKK uyum sürecinizi başlatmak veya mevcut uyumluluğunuzu değerlendirmek için Uyumbox'ın ücretsiz KVKK uyum testini kullanabilirsiniz.
Bültenimize Abone Olun
KVKK haberleri ve güncellemeler doğrudan gelen kutunuza gelsin.
Yazar Hakkında
Uyumbox
Kişisel verilerin korunması alanında 8 yılı aşkın deneyime sahip avukat. İstanbul Barosu üyesi. Yüzlerce şirkete KVKK uyum süreçlerinde danışmanlık vermiştir.
