Küçük İşletmeler için KVKK Uyumluluk Adımları

BumerangData Hukuk Ekibi · · 12 dk okuma
Küçük İşletmeler için KVKK Uyumluluk Adımları

Küçük İşletmeler için KVKK Uyumluluk Adımları: Kapsamlı Rehber

Kişisel Verilerin Korunması Kanunu (KVKK), 7 Nisan 2016 tarihinde yürürlüğe girerek Türkiye'de kişisel verilerin işlenmesi, saklanması ve korunmasını düzenleyen temel yasal çerçeveyi oluşturmuştur. Küçük işletmeler için KVKK uyumluluğu, sadece yasal bir zorunluluk değil, aynı zamanda müşteri güveninin temel taşıdır. Bu rehberde, küçük işletmelerin KVKK uyumluluğunu adım adım nasıl sağlayabileceğini detaylı olarak inceleyeceğiz.

KVKK Nedir ve Küçük İşletmeler Neden Uyum Sağlamalıdır?

KVKK, Türkiye'de kişisel verilerin işlenmesini ve korunmasını düzenleyen başlıca mevzuattır. Kanunun 3. maddesi uyarınca, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım, müşteri ismi, telefon numarası, email adresi, kredi kartı bilgisi gibi birçok veriyi kapsamaktadır.

KVKK'nın temel amacı, kişilerin temel hak ve özgürlüklerini, özellikle özel hayatlarını korumaktır. Küçük işletmelerin bile müşteri bilgisi topladığı andan itibaren KVKK'ya tabi olması gerekmektedir. Türk Veri Koruma Kurulu (KVKK Kurulu) tarafından verilen cezalar, işletme büyüklüğüne bakılmaksızın uygulanmaktadır.

Adım 1: Veri Envanterini Hazırlayın

KVKK uyumluluğunun ilk adımı, işletmenizde hangi kişisel verilerin toplandığını ve nerede kullanıldığını tam olarak belirlemektir. Bu, veri envanteri veya veri haritası olarak da bilinir.

Veri Envanterinde Yer Alan Bilgiler

  • Toplanan verilerin türü: Ad, soyad, email, telefon, adres, IP adresi, çerez bilgisi vb.
  • Verilerin toplanma amacı: Müşteri hizmetleri, pazarlama, faturalama, istatistik
  • Verilerin işlendiği yerleri: Web sunucuları, CRM sistemleri, muhasebe yazılımları
  • Veri saklama süresi: Ne kadar süre boyunca saklanacağı
  • Veri alıcıları: Veriye kimlerin erişebileceği (muhasebe, pazarlama, satış personeli)

Örnek: Bir e-ticaret işletmesi, müşteri ismi, adresi ve telefon numarasını kargo hizmeti vermek amacıyla toplamaktadır. Bu veriler, KVKK m.5 uyarınca meşru bir amaç için işlenmektedir. Veri envanterinde, bu verilerin 2 yıl boyunca saklanacağı ve sadece kargo firmalarına aktarılacağı belirtilmelidir.

Adım 2: Yasal Dayanak Belirleyin

KVKK m.5 uyarınca, kişisel verilerin işlenmesi ancak kanunun 6. ve 7. maddelerinde öngörülen şartlar altında mümkündür. Bu şartlardan birinin mevcut olması gerekmektedir.

Kişisel Verilerin İşlenebileceği Meşru Sebepler (KVKK m.6)

  • Rızanın varlığı: Kişi açık olarak veriye işlenmek için izin vermiş olması
  • Sözleşmenin ifası: Bir sözleşmeyi yerine getirmek için veri işlemesi gerekli olması
  • Yasal yükümlülük: Kanun tarafından zorunlu kılınan veriler (muhasebe belgeleri, vergi kayıtları vb.)
  • Hayati menfaat: Kişinin veya başka birinin hayatı korumak gerekli olması
  • Kamu görevinin ifası: Kamu görevini yerine getirmek için gerekli olması
  • Meşru menfaat: Veri sorumlusunun veya üçüncü kişinin meşru çıkarları için gerekli olması

Pratik örnek: Bir kuaför, müşterilerinin telefon numarasını randevu hatırlatması yapabilmek amacıyla toplamak isterse, müşterilerin açık rızasını alması gerekir. Bu rıza, basit bir "Randevu hatırlatması için telefonum kullanılabilir" onayı ile sağlanabilir. KVKK Kurulu kararlarında, rızanın açık, seçenekli ve bilgilendirilmiş olması gerektiği vurgulanmıştır.

Adım 3: Aydınlatma ve Bilgilendirme Yükümlülükleri

KVKK m.10 uyarınca, kişisel veriler bireyden toplanıyorsa, veri sorumlusu tarafından bilgilendirme yapılması zorunludur. Bilgilendirme, veriler toplanmadan önce yapılmalıdır.

Bilgilendirmede Yer Alması Gereken İçerik

  • Veri sorumlusunun kimliği
  • Verilerin işlenme amacı
  • Verilerin hangi üçüncü kişilere aktarılacağı
  • Veri saklama süresi
  • Kişinin KVKK m.11 kapsamında sahip olduğu haklar
  • İşlemenin hangi yasal sebepe dayanıyorsa o sebeple ilgili bilgi
  • Rıza verilme şekli ve kapsamı

Pratik uygulama: Bir muhasebe müşavir, müşterilerin vergi numarasını toplarken, aşağıdaki metni göstermesi gerekir:

"Verileriniz muhasebe hizmetini sunabilmek amacıyla işlenmektedir. Verileriniz YMM ve Mali Müşavir Odasına aktarılabilmektedir. Verileriniz sözleşme ilişkisinin bitiminden sonra 5 yıl saklanacaktır."

Adım 4: Açık Rıza Mekanizması Kurun

KVKK m.6 uyarınca, rızaya dayalı veri işleme için kişinin açık, seçenekli ve bilgilendirilmiş rızası gereklidir. Rıza mekanizması, işletmenin büyüklüğüne bakılmaksızın, tüm küçük işletmelerin kurması gereken temel unsurdur.

Uygun Olmayan Rıza Alma Yöntemleri

  • Ön işaretlenmi