Diyarbakır KOBİ'leri için KVKK Uyum Rehberi: Adım Adım

KVKK uyumunun ilk adımı veri envanteridir — hangi kişisel veriyi, hangi amaçla, nerede, ne kadar süreyle işlediğinizi belgelemek. Diyarbakır'daki müşterilerimizde tipik envanter şöyle çıkıyor: müşteri ad/soyad, telefon, TCKN, IP adresi, lokasyon, ödeme bilgisi, cookie verileri, çalışan özlük verileri. Bunların her birini 'kategori-amaç-süreç-hukuki sebep-saklama süresi' matrisi üzerinde sınıflandırmak gerekiyor.

Envanter çıkarırken CRM, ERP, e-ticaret altyapısı, muhasebe yazılımı, çağrı merkezi kayıtları ve e-posta yazışmaları gibi tüm veri kaynaklarını taramak gerekiyor. Diyarbakır'daki bir müşterimizde envanteri tamamladığımızda 47 farklı veri akışı tespit etmiş, bunların 11'inin hukuki sebebinin belirsiz olduğunu görmüştük. Envanter olmadan aydınlatma metni ve açık rıza formu yazılamaz.

Veri Sorumluları Sicili (VERBİS), yıllık cirosu 25 milyon TL üzeri veya çalışan sayısı 50 üstü tüm işletmeler için zorunlu. Diyarbakır'daki orta ölçekli bir tekstil firmasının veya e-ticaret sitesinin büyük ihtimalle VERBİS kaydı yapması gerekiyor. Süresinde kayıt olmamanın idari para cezası 50.000-1.000.000 TL arası.

VERBİS kaydında hangi veri kategorilerini işlediğinizi, hangi amaçla kullandığınızı, yurtdışına aktarım yapıp yapmadığınızı ve saklama sürelerini beyan ediyorsunuz. Yanlış beyan geri dönük cezalara yol açabileceği için envanterin doğru çıkarılması kritik. Müşterilerimize bu süreci kurumsal hukuk ekibi ile birlikte yürütmelerini öneriyoruz.

Aydınlatma metni bilgilendirme amaçlıdır — 'Verinizi şu amaçla, şu süreyle, şu hukuki sebeple işliyoruz' der. Açık rıza ise spesifik onay gerektiren durumlarda (pazarlama iletisi, yurtdışı aktarım, özel nitelikli veri) kullanıcının açıkça 'evet, onay veriyorum' demesini gerektirir. Bu ikisini karıştıran Diyarbakır işletmelerini sıkça görüyoruz.

Doğru uygulama: her form başında kısa aydınlatma metni linki + gerekli yerlerde ayrı açık rıza kutucuğu (önceden işaretlenmiş olamaz). 'Kayıt olarak tüm şartları kabul ediyorum' gibi paket rızalar KVKK'ya aykırı. Her amaç için ayrı, açık ve bilgilendirilmiş rıza almak gerekiyor.

KVKK'nın 12. maddesi veri güvenliği için 'uygun güvenlik düzeyi' şart koşuyor. Minimum teknik önlemler: aktarımda TLS 1.3, saklamada AES-256, veritabanı seviyesinde şifrelenmiş alan (TCKN, kredi kartı gibi özel nitelikli veriler), rol bazlı erişim (RBAC), tüm kritik işlemlere audit log, ve aktif güvenlik izleme.

Diyarbakır'daki bir müşterimizde yaşadığımız örnek: ortak kullanılan admin hesabı, loglanmamış veritabanı erişimleri ve düz metin TCKN saklama — üçünün kombinasyonu bir veri ihlalinde 'ağır ihlal' olarak değerlendirilecek ve ceza tavanına yaklaşacaktı. Teknik kontrolleri 2 hafta içinde kapattık; audit log yapısını kurduk ve RBAC'ı uyguladık.

Teknik önlemler kadar idari önlemler de önemli. Bilgi güvenliği politikası, veri ihlali müdahale planı, tedarikçi güvenlik denetimi, üçüncü taraf sözleşmeleri (DPA — Data Processing Agreement) ve yıllık iç denetim. Diyarbakır'daki ortalama KOBİ'de bu dokümanların %30'u eksik oluyor.

Çalışan farkındalık eğitimi yılda en az bir kez, yeni işe alımda mutlaka yapılmalı. Phishing simülasyonu, sosyal mühendislik senaryoları, veri ihlali bildirim prosedürü ve cihaz güvenliği temel konular. VefaSec olarak Diyarbakır'daki müşterilerimize özelleştirilmiş 2 saatlik eğitim paketi sunuyoruz, KVKK denetiminde kanıt olarak sunabileceğiniz katılım kayıtları ve ölçme sınavları dahil.

Veri ihlali yaşadığınızda 72 saat içinde KVKK Kurumu'na bildirimde bulunmak zorundasınız. Hangi verilerin etkilendiği, kaç kişinin ne şekilde etkilendiği, alınan tedbirler ve zararın giderilmesi için yapılanlar raporda yer almalı. 72 saati aşan bildirim hem ayrı bir ihlal hem de ağırlaştırıcı sebep.

Bildirim formu ve iç müdahale akışı önceden hazır olmalı. Diyarbakır'daki müşterilerimize template formlar ve 24/7 olay müdahale hattı sağlıyoruz. İhlal anında 1 saat içinde tehdit analizi, 4 saat içinde etki değerlendirmesi, 24 saat içinde teknik düzeltme hedeflerimiz.

Diyarbakır merkezli VefaSec ekibi olarak uyguladığımız 6 haftalık uyum projesi: 1. hafta envanter ve risk analizi, 2. hafta politika yazımı, 3. hafta teknik kontroller, 4. hafta VERBİS kaydı, 5. hafta çalışan eğitimi, 6. hafta iç denetim provası ve raporlama. Sonunda denetim hazır, kanıt dosyası ve sürekli iyileştirme takvimi teslim ediyoruz.

Uyum projemizi tamamlayan Diyarbakır'daki müşterilerimizin hiçbirinde geçen 3 yılda KVKK cezası olmadı. Kurum denetimine girdiklerinde dokümantasyon, teknik kontrol kanıtları ve olay müdahale kayıtları tam olduğu için süreç 2-3 saatte tamamlanıyor.