KVKK nedir? — Bilgi Güvenliği Sözlüğü

Uyum & Yönetim

KVKK

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir müşteri listesini izinsiz pazarlama için paylaşmak ya da çalışan özlük dosyalarını şifresiz bir klasörde tutmak — KVKK'ya göre milyonlarca liralık idari para cezasıyla sonuçlanabilir; kişisel veri artık şirketin değil, sahibinin kontrolündedir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta Türkiye'nin kişisel veri koruma rejimini düzenleyen KVKK'yı (6698 sayılı Kişisel Verilerin Korunması Kanunu) inceliyoruz: ne olduğunu, hangi ilkelere dayandığını, veri işleyen kurumların yükümlülüklerini ve iş yerinde nasıl uygulandığını adım adım göreceğiz.

Anlatım

NEDİR? KVKK, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun kısaltmasıdır; 7 Nisan 2016'da yürürlüğe girmiştir. Amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlükleri korumak ve veri işleyen gerçek/tüzel kişilerin yükümlülüklerini düzenlemektir. Kanun büyük ölçüde Avrupa Birliği veri koruma çerçevesiyle (önce 95/46/EC Direktifi, bugün GDPR ile paralel) uyumludur. Denetleyici otorite Kişisel Verileri Koruma Kurumu (KVKK Kurumu) ve karar organı Kişisel Verileri Koruma Kurulu'dur (Kurul). TEMEL KAVRAMLAR • Kişisel veri: Belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi (ad, T.C. kimlik no, e-posta, IP adresi, konum vb.). • Özel nitelikli (hassas) veri: Sağlık, biyometrik/genetik veri, din, etnik köken, cinsel hayat, ceza mahkûmiyeti, dernek-vakıf-sendika üyeliği gibi veriler — daha sıkı korunur. • Veri sorumlusu: Verinin işlenme amaç ve araçlarını belirleyen taraf (genelde şirketin kendisi). • Veri işleyen: Veri sorumlusu adına veriyi işleyen taraf (ör. bulut sağlayıcı, çağrı merkezi). • İlgili kişi: Verisi işlenen gerçek kişi. NASIL ÇALIŞIR? (İŞLEME DÖNGÜSÜ) 1) Hukuki dayanak belirlenir: İşleme ya açık rızaya dayanır ya da kanundaki rıza istisnalarından birine (sözleşmenin kurulması, hukuki yükümlülük, meşru menfaat vb.) dayanır. 2) Aydınlatma yapılır: İlgili kişiye kim, hangi veriyi, hangi amaçla, ne kadar süre işleyeceği bildirilir (aydınlatma yükümlülüğü). 3) Veri işleme ilkelerine uyulur: Hukuka uygunluk, belirli/açık/meşru amaç, amaçla bağlılık ve ölçülülük (gereğinden fazla veri toplama), doğruluk ve güncellik, amaç için gereken süre kadar saklama. 4) Güvenlik tedbirleri alınır: Şifreleme, erişim kontrolü, log tutma, yedekleme, sızma testi gibi teknik ve idari tedbirler. 5) Saklama/imha: Saklama süresi dolduğunda veri silinir, yok edilir veya anonim hale getirilir (Saklama ve İmha Politikası). 6) İhlal yönetimi: Veri ihlali olursa Kurul'a en kısa sürede (uygulamada 72 saat içinde) ve etkilenen ilgili kişilere bildirim yapılır. İLGİLİ KİŞİNİN HAKLARI (md. 11) İlgili kişi; verisinin işlenip işlenmediğini öğrenme, bilgi talep etme, amacını sorma, aktarıldığı tarafları öğrenme, eksik/yanlış verinin düzeltilmesini, silinmesini/yok edilmesini ve zararın giderilmesini isteme haklarına sahiptir. NEDEN ÖNEMLİ / İŞ YERİNDE • Yaptırım: Aydınlatma, veri güvenliği ve VERBİS yükümlülüklerinin ihlali ciddi idari para cezaları doğurur; ayrıca itibar ve müşteri güveni kaybı yaşanır. • VERBİS: Belirli kriterleri aşan veri sorumluları Veri Sorumluları Sicili'ne (VERBİS) kayıt olmak zorundadır. • Bilgi güvenliği ile bağı: KVKK uyumu, ISO 27001 BGYS, erişim kontrolü, şifreleme ve olay müdahalesi gibi güvenlik kontrolleriyle doğrudan örtüşür — güvenlik olmadan KVKK uyumu olmaz. DİKKAT / İYİ UYGULAMA • Açık rıza her şeyin çözümü değildir; mümkünse kanuni dayanağa (sözleşme, kanun, meşru menfaat) yaslan, rıza son çare olsun. • Sadece gereken veriyi topla (veri minimizasyonu); 'belki lazım olur' diye fazla veri biriktirme. • Verileri sınırsız saklama — saklama süresi dolan veriyi periyodik imha süreciyle sil. • Yurt dışına veri aktarımında ek koşullar (yeterlilik kararı/taahhütname/Kurul izni) gerekebilir. • KVKK Türkiye'ye özgüdür; AB vatandaşlarının verisini işliyorsan ayrıca GDPR de geçerli olabilir.

📌 Senaryolar

📌 Örnek 1 (Aydınlatma + rıza): Bir e-ticaret sitesi, üyelik formunda topladığı ad, e-posta ve telefon bilgilerini pazarlama amaçlı SMS göndermek için kullanmak istiyor.
  Açıklama: Üyelik sözleşmesinin kurulması için gereken veriler 'sözleşmenin ifası' dayanağıyla işlenebilir; ancak pazarlama amaçlı ileti göndermek bu kapsama girmez. Bunun için ayrı, açık ve özgür iradeyle verilen açık rıza alınmalı ve kullanıcıya aydınlatma metni sunulmalıdır. Rıza, üyelik şartı haline getirilemez (rıza özgür olmalı).

📌 Örnek 2 (Veri ihlali bildirimi): Bir şirketin müşteri veritabanı bir saldırı sonucu sızdırıldı ve binlerce kişinin adı ve T.C. kimlik numarası ele geçirildi.
  Açıklama: Bu bir veri ihlalidir. Veri sorumlusu, ihlali öğrendiği andan itibaren gecikmeksizin (uygulamada en geç 72 saat içinde) Kişisel Verileri Koruma Kurulu'na bildirmek; etkilenen ilgili kişilere de uygun yöntemlerle haber vermek zorundadır. Olay kaydı, kök neden analizi ve alınan tedbirler belgelenmelidir.

📌 Örnek 3 (Veri minimizasyonu ve saklama): İK departmanı, işe alım sürecinde başvuranlardan sağlık raporu ve adli sicil belgesi talep ediyor ve işe alınmayan adayların belgelerini de yıllarca saklıyor.
  Açıklama: Sağlık ve adli sicil özel nitelikli/hassas veridir ve yalnızca pozisyon için gerçekten gerekliyse, kanuni dayanak varsa istenebilir (amaçla bağlılık ve ölçülülük). İşe alınmayan adayların verileri belirlenen saklama süresi sonunda Saklama ve İmha Politikası uyarınca silinmeli veya anonimleştirilmelidir; süresiz saklama KVKK'ya aykırıdır.

Özet

• KVKK = 6698 sayılı Kişisel Verilerin Korunması Kanunu (2016); denetleyen Kişisel Verileri Koruma Kurumu/Kurulu. • Temel ilkeler: hukuka uygunluk, belirli ve meşru amaç, amaçla bağlılık/ölçülülük (veri minimizasyonu), doğruluk, sınırlı süre saklama. • İşleme ya açık rızaya ya da kanuni istisnaya (sözleşme, hukuki yükümlülük, meşru menfaat vb.) dayanır; aydınlatma zorunludur. • Özel nitelikli (sağlık, biyometrik, din vb.) veriler daha sıkı korunur; ilgili kişinin md. 11 hakları (öğrenme, düzeltme, silme) vardır. • İhlalde Kurul'a (≈72 saat) ve ilgili kişilere bildirim; uyum için şifreleme, erişim kontrolü, VERBİS kaydı ve imha politikası şarttır.

✅ Mini-Test (3)

1.KVKK'da "özel nitelikli (hassas) kişisel veri" sayılan ve daha sıkı korunan veri aşağıdakilerden hangisidir?

2.Bir veri ihlali (sızıntı) yaşandığında KVKK'ya göre veri sorumlusunun ilk yükümlülüğü nedir?

3.KVKK'ya göre kişisel veriler, ileride lazım olabileceği düşüncesiyle amaç için gereken süreden daha uzun süreyle saklanabilir.

← Tüm sözlük terimleri · Farkındalık eğitimi