Kişisel Verileri Koruma Kanunu (KVKK) 2016'dan beri yürürlükte ama cezaların gerçekten hayata geçmesi son 2-3 yılda oldu. 2024'te verilen idari cezaların ortalaması 80 bin TL, en yüksek ceza 1,8 milyon TL seviyesinde. "Başıma bir şey gelmez" dönemi bitti.
KVKK Süreçlerinin Üç Ayağı
1. Envanter ve Sınıflandırma
"Hangi verileri tutuyorum?" sorusunun cevabı. Müşteri isim-soyisim, telefon, e-posta, T.C. kimlik, adres, IBAN, maaş, sağlık bilgisi — her biri ayrı bir veri kategorisi.
2. VERBİS Kaydı
50+ çalışanı veya 25 milyon TL+ bilanço toplamı olan şirketler Veri Sorumluları Sicili'ne (VERBİS) kayıt olmak zorunda. 2024'te eşikler düştü; büyük ihtimalle 2026'da daha da düşecek. Daha küçük şirketler de kayıt olabilir.
3. İşleme Amacı ve Hukuki Dayanak
Her veri için "niye topladım ve neye dayanarak" açıklaması lazım. "Sözleşmenin ifası", "meşru menfaat", "açık rıza" gibi KVKK'nın kabul ettiği dayanaklardan biriyle eşleştirilir.
ERP'de Hangi Kişisel Veri Var?
Tipik bir KOBİ ERP'sinde veri haritası şöyle görünür:
| Modül | Kişisel Veri | Hassas mı? |
|---|---|---|
| CRM | Müşteri ad, telefon, e-posta, adres | Sıradan |
| Muhasebe | Müşteri/tedarikçi T.C. no, vergi no, IBAN | Özel nitelikli |
| İK | Personel T.C. no, SGK, adres, sağlık raporu | Özel nitelikli + sağlık |
| Satış | Müşteri sipariş geçmişi, fiyat indirim | Sıradan |
| Self-Servis | Portal kullanıcı IP, oturum kayıtları | Sıradan |
Bu haritayı elle çıkarmak günlerce sürer. Birasyo KVKK Envanter modülü bunu otomatikleştirir: her veri alanını kategoriye yerleştirir, işleme amacını önerir, hukuki dayanağı eşleştirir ve VERBİS bildirim şablonunu hazır üretir.
1 Haftalık Takvim
Gün 1 — Kapsam belirleme Şirket yetkinizi, iş süreçlerinizi ve hangi modülleri kullandığınızı listeleyin. Envanter şablonuna bu bilgiler girer.
Gün 2 — Otomatik envanter Birasyo KVKK modülü çalıştırılır; tüm modüllerdeki kişisel veri alanlarını tarar, listeler. 2-3 saat sürer.
Gün 3 — İşleme amacı eşleme Her alan için "neden tutuyoruz?" sorusunu cevaplarsınız. Modül 12 tipik KOBİ senaryosunu önerir; siz seçersiniz.
Gün 4 — Aktarım kaynakları Verinin nereye aktarıldığını belirleyin: mali müşavir, kargo şirketi, banka, Azure, e-Fatura entegratörü. Aktarım alıcıları VERBİS'te açıklanması gereken bilgilerdir.
Gün 5 — Aydınlatma metinleri Müşteri, çalışan, tedarikçi ve web sitesi ziyaretçisi için ayrı aydınlatma metinleri otomatik oluşturulur. Mali müşavirinizin veya avukatınızın onayına sunulur.
Gün 6 — VERBİS bildirim Üretilen veri tablosu VERBİS sistemine yüklenir. Kayıt dakikalar içinde tamamlanır.
Gün 7 — Çalışan eğitimi KVKK farkındalık eğitimi — kısa video + quiz. Çalışanlarınız giriş yaparken tamamlar, sertifika üretilir.
Veri İhlali Halinde Ne Olur?
KVKK; veri ihlalini 72 saat içinde Kurul'a bildirme zorunluluğu getirir. Zaman kritik. Birasyo'nun olay yönetim süreci:
- SIEM sistemi anormal erişimi 15 dk içinde tespit eder
- Otomatik uyarı DPO'ya (veri koruma yetkilisi) gönderilir
- Olay kayıt dosyası (tarih, kapsam, etkilenen kayıt sayısı) 4 saatte hazır
- Hukuki tavsiye + KVKK bildirim şablonu 24 saat içinde
Bu altyapı olmadan 72 saat genelde kaçırılır. Cezalar buradan çıkar.
Sık Sorulanlar
"KVKK ile GDPR farklı mı?" — Büyük oranda uyumlu. GDPR daha sıkı bazı noktalarda; AB'ye veri transferiniz varsa Data Processing Agreement (DPA) imzalarsınız. Biz AB müşterilerimize DPA sunuyoruz.
"Cloud'da saklamak uygun mu?" — Evet, VERBİS aktarım alıcısı olarak Microsoft Azure (Avrupa) belirtilir. KVKK aktarım kurallarına uyum sağlanır. Azure Türkiye talebiniz varsa bu da mümkün.
"Silme talebi gelirse?" — Müşteri "unutulma hakkını" kullanabilir. Birasyo, veri silme akışını otomatik yürütür: ilişkili tüm kayıtlar anonimleştirilir (fatura arşiv yasal süreleri korunarak), yazılı cevap hazırlanır.
Şirketinizin KVKK olgunluk seviyesini değerlendirmek için demo üzerinden KVKK uzmanımızla 30 dakikalık değerlendirme toplantısı talep edebilirsiniz.