KVKK Uyumluluğu İçin IT Kontrol Listesi: 12 Somut Madde

KVKK (Kişisel Verilerin Korunması Kanunu) KOBİ'lerin de zorunlu uyum alanıdır. Kanun ve ikincil mevzuat teknik ve idari tedbirleri belirtir; ancak IT tarafında uygulamaya döküldüğünde net bir kontrol listesi gerekir. Bu rehber KVKK uyumu için pratik 12 maddeyi açıklar.

KVKK IT Uyumluluğu Neden Önemli?

Kanun ihlali durumunda idari para cezaları ve itibar kaybı söz konusudur. Ayrıca müşteri ve çalışan verileri başka türlü yönetilse bile veri sızıntısı halinde bildirim yükümlülüğü vardır. KOBİ'lerde tipik boşluklar:

• Kişisel veri envanteri çıkarılmamış
• Hangi verinin nerede tutulduğu belirsiz
• Erişim kayıtları eksik
• Yedekler şifrelenmemiş
• Çalışan eğitimi hiç yapılmamış
• Veri silme taleplerine teknik cevap üretilememesi
• Veri ihlali bildirim sürecinin hiç test edilmemesi

12 kontrol bu boşlukları pratik olarak kapatır.

12 Kontrol Maddesi

1. Kişisel Veri Envanteri

Hangi veriler işleniyor? Çalışan, müşteri, tedarikçi, potansiyel müşteri kayıtları listelenir. Her kayıt tipinin kaynağı, amacı, saklama süresi ve silme/imha prosedürü belgelenir.

2. Veri Akış Haritası

Veri nerede toplanıyor, nereye gidiyor, nerede saklanıyor? CRM, muhasebe, e-posta, dosya sunucusu arasındaki akışlar görselleştirilir.

3. Erişim Kontrolü

Her kullanıcı yalnızca iş için gerekli verilere erişir. Rol bazlı erişim kurulur; ayrılan personelin erişimi derhal kaldırılır.

4. MFA Zorunluluğu

Kritik veri içeren sistemlerde (muhasebe, HR, CRM) iki faktörlü kimlik doğrulama zorunlu olmalıdır.

5. Şifreleme (Diskte ve Aktarımda)

Laptop'larda BitLocker, sunucularda disk şifreleme, aktarımda HTTPS/TLS uygulanır. E-posta eklerinde hassas veri için şifreli gönderim değerlendirilir.

6. Yedekleme ve Silme Prosedürü

Yedekler şifreli tutulmalı; silme talebi geldiğinde yedekten de silme prosedürü olmalıdır. Saklama süresi aşılan veriler otomatik veya manuel olarak imha edilir.

7. Log Tutma ve Saklama

Kişisel veriye erişim, değişiklik ve silme işlemleri loglanır. Loglar en az 2 yıl saklanır; sahteciliğe karşı korunur.

8. Üçüncü Parti Yönetimi

Bulut hizmetleri, kargo firmaları, muhasebe danışmanları gibi veri işleyicilerle sözleşme imzalanmalıdır. GDPR benzeri DPA (veri işleme sözleşmesi) yapılır.

9. Veri İhlali Bildirim Süreci

72 saat içinde Kurul'a bildirim ve ilgili kişilere haber verme prosedürü yazılı olmalıdır. Tatbikatla test edilir.

10. Çalışan Eğitimi

Tüm personel yılda en az bir kez KVKK farkındalık eğitimi almalıdır. Yeni çalışan onboarding'inde de eğitim yer alır.

11. Fiziksel Güvenlik

Sunucu odası kilidi, evrak dolabı anahtarı, ziyaretçi kaydı gibi fiziksel tedbirler belgelenmeli ve denetlenmelidir.

12. Periyodik Denetim

Yılda en az bir kez iç denetim yapılmalı; eksiklikler aksiyon planına dönüştürülmelidir.

Kontrol Tablosu

Madde	Sorumlu	Sıklık
Envanter	Veri Sorumlusu + IT	Yıllık güncelleme
Erişim	IT	Her değişiklikte
MFA	IT	Sürekli izleme
Şifreleme	IT	Yılda denetim
Yedekleme	IT	Aylık test
Loglama	IT	Sürekli
Üçüncü parti	Hukuk + Veri Sorumlusu	Yıllık
İhlal prosedürü	Yönetim + IT	Yıllık tatbikat
Eğitim	İK + Veri Sorumlusu	Yıllık
Fiziksel güvenlik	Yönetim	Yılda iki
Denetim	Bağımsız iç	Yıllık

Sık Yapılan Hatalar

• Envanterin tek seferlik yapılıp güncellenmemesi
• Yedekteki kişisel verilerin silinmesinin atlanması
• Çalışan eğitimine yöneticilerin dahil olmaması
• İhlal durumu için yazılı prosedür yerine sözlü plan
• Üçüncü parti sözleşmelerinin eksik kalması
• Log saklama süresinin kısalığı
• Sadece uyum için minimum yaklaşım; aslında güvenlik riski azaltma fırsatı kaçırılıyor

Gerçek İşletme Örnekleri

Örnek 1: Muhasebe Firmasında Envanter Çalışması

Bir muhasebe firması KVKK uyumu için verilerin nerede tutulduğunu somut olarak ilk kez çıkardı. Birkaç hassas veri kalıntısının eski bilgisayarlarda olduğu fark edildi; düzenli imha prosedürü kuruldu.

Örnek 2: Üretim Tesisinde Erişim Temizliği

Bir üretim tesisinde ayrılmış personelin hesapları hâlâ aktifti. Yıllık denetim bunu tespit etti. Ayrılış sürecine "hesap kapatma doğrulaması" adımı eklendi; IT dönüş yapmadığında İK'nın onay vermemesi kuralı konuldu.

Örnek 3: Danışmanlık Firmasında İhlal Tatbikatı

Bir danışmanlık firması hayali bir sızıntı senaryosu üzerinden tatbikat yaptı. 72 saatlik bildirim süresinin ne kadar sıkışık olduğu görüldü; hazır bildirim şablonu oluşturuldu.

Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?

Yamanlar Bilişim, KVKK uyumunun IT tarafını 12 kontrol çerçevesiyle ele alır. Envanterden ihlal tatbikatına kadar tüm adımlar işletmenize özel olarak uygulanır.

Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:

• Kişisel veri envanteri ve akış haritası
• Erişim kontrol politikası ve rol tasarımı
• MFA ve kimlik güvenliği kurulumu
• Disk ve aktarım şifreleme
• Yedekleme ve silme prosedürü
• Log toplama ve uyumluluk raporları
• Veri ihlali bildirim planı ve tatbikatı
• Çalışan eğitim programı

SSS

KOBİ için KVKK idari ceza riski ne kadar yüksek?

Şikayet veya denetim sonrası eksiklik tespit edildiğinde ciddi cezalar uygulanabilir. Proaktif uyumla risk minimuma iner.

Kişisel veri envanteri ne kadar sıklıkla güncellenmeli?

Yılda bir tam gözden geçirme; ayrıca her yeni sistem veya iş akışı değişikliğinde güncelleme yapılır.

Veri silme talebi geldiğinde yedeklerden de silmek zorunda mıyım?

Prensipte evet; uygulamada belirli istisnalar var. Yedek döngüsü tamamlanana kadar erişim kısıtlaması kabul edilebilir yaklaşımdır.

Yurt dışı bulut hizmeti kullanabilir miyim?

Yurt dışı aktarım için özel prosedürler ve açık rıza gerekebilir. Hukuk görüşü alınmalıdır.

Çalışan eğitimi nasıl belgelenir?

Eğitim katılım listesi, eğitim içeriği ve tarih kayıtları saklanmalıdır. İhtiyaç halinde denetçiye sunulur.

Teklif Alın

KVKK uyumu IT tarafında somut kontrollere dönüştüğünde hem yasal risk azalır hem güvenlik sağlığı iyileşir. Yamanlar Bilişim, 12 kontrolü işletmenize özel olarak uygular. Detaylı değerlendirme için /teklif sayfasından talep iletebilir, mevcut durum için /iletisim üzerinden ulaşabilirsiniz.