Konu İçeriği
KVKK Nedir?
KVKK kelimesini ilk duyduğumda “bu beni niye ilgilendirir ki” diye düşünmüştüm. Ben sadece bir blog sahibiydim, bir şirketim yoktu. Ama bir gün siteme çerez uyarısı koymadığım için uyarı aldığımda konunun ciddiyetini anladım. Küçük bir blog bile olsanız, ziyaretçilerinizin IP adresini, tarayıcı bilgilerini, çerezlerini topluyorsanız KVKK kapsamındasınız demektir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, kısaca KVKK, Türkiye’de kişisel verilerin nasıl toplanacağını, işleneceğini ve saklanacağını düzenleyen yasadır. Avrupa’daki GDPR’ın Türk versiyonu olarak düşünebilirsiniz. 2016’da yürüğe girdi ama gerçekten ciddiye alınmaya 2020’lerden sonra başlandı. Şimdi ise uyum sağlamamak ciddi yaptırımlarla sonuçlanabiliyor. Para cezaları 2026 itibarıyla yüz bin liradan başlıyor ve bir milyona kadar çıkabiliyor.
KVKK Uyum Gereksinimleri
Bir web sitesi sahibi olarak KVKK’ya uyum sağlamak gözünüze büyük görünebilir. Ama aslında dört temel adımdan oluşuyor. Ben bu adımları kendi sitem için uyguladım ve toplam iki günümü aldı. Profesyonel yardım alırsanız daha hızlı da biter.
| Gereksinim | Açıklama | Zorunlu mu? |
|---|---|---|
| Aydınlatma yükümlülüğü | Hangi verileri neden topladığınızı açıklama | Evet |
| Açık rıza alma | Veri toplama için kullanıcı onayı | Evet |
| VERBIS kaydi | Veri sorumluları siciline kayıt olma | Evet (belirli kosullarda) |
| Veri ihlali bildirimi | 72 saat içinde ihlal bildirme | Evet |
| Veri güvenliği tedbirleri | Teknik ve idari güvenlik önlemleri | Evet |
Tabloda görünen en önemli madde aydınlatma yükümlülüğü. Sitenize giren birinin hangi verilerini topladığınızı, neden topladığınızı, ne kadar saklayacağınızı ve kimlerle paylaşacağınızı bilmesi gerekiyor. Bu bilgiyi gizlilik politikası sayfasında açıkça belirtmelisiniz. Ben kendi sitemde Google Analytics kullandığım için IP adresi ve tarayıcı bilgilerini topladığımı, bu verilerin Google sunucularında saklandığını ve üçüncü taraflarla paylaşılmadığını belirttim.
Web Siteleri Icin KVKK Uyumluluk Adimlari
Şimdi pratik adımlara gelelim. Ben bu adımları sırasıyla uyguladım ve her birini tamamladıktan sonra diğerine geçtim. Bu sırayı takip ederseniz en sorunsuz şekilde uyum sağlarsınız.
1. Cerez Politikasi
Çerez politikası en çok gözden kaçan ama en kolay çözülen adım. Ben bir yıl boyunca siteme çerez uyarısı koymadan çalıştım. Sonra bir okuyucum e-posta atıp “sitenizde çerez uyarısı yok mu?” diye sorunca konuyu araştırdım ve haklı olduğunu anladım.
- Zorunlu çerezler: Oturum yönetimi, güvenlik gibi site çalışması için gerekli olanlar. Bunlar için ayrıca onay gerekmez.
- Analitik çerezler: Google Analytics gibi araçlar için kullanılanlar. Bunun için açık rıza gerekli. Ben şeritli bir uyarı koydum, kullanıcılar kabul ederse Analytics çalışıyor, etmezse çalışmıyor.
- Pazarlama çerezleri: Reklam takibi, sosyal medya pikseli gibi amaçlarla kullanılanlar. Bunlar için en katı rıza gerekli ve reddetme seçeneği kolay görünür olmalı.
Çerez uyarısı için WordPress kullanıyorsanız CookieYes veya GDPR Cookie Consent eklentilerini kurabilirsiniz. Ben CookieYes kullanıyorum, ücretsiz versiyonu çoğu site için yeterli. Otomatik olarak çerezleri tespit ediyor ve uyarı şeridini gösteriyor.
2. Gizlilik Politikasi Sayfasi
Gizlilik politikası sayfası olmadan KVKK uyumlu olmanız imkânsız. Ben bu sayfayı hazırlarken saatlerce uğraştım çünkü ne yazmam gerektiğini bilmiyordum. Sonra bir avukat arkadaşın taslağını gördüm ve aslında standart bir yapı olduğunu anladım.
Gizlilik politikası sayfasında şu bölümler olmalı:
- Hangi veriler toplanıyor: İsim, e-posta, IP adresi, tarayıcı bilgisi, konum verisi gibi. Topladığınız her veriyi tek tek yazın.
- Veriler neden toplanıyor: Site performansını iyileştirme, iletişim kurma, yorum yönetimi gibi amaçlarınızı belirtin.
- Veriler kimlerle paylaşılıyor: Google, hosting sağlayıcınız, e-posta servisiniz gibi üçüncü tarafları açıkça yazın.
- Veriler ne kadar saklanıyor: Yorumlar site üzerinden silinene kadar, analitik veriler 26 ay gibi belirli süreler belirtin.
- Kullanıcı hakları: Verilerini görme, düzeltme, silme talebinde bulunma hakkını açıklayın ve iletişim bilgilerinizi verin.
Ben gizlilik politikası sayfasını hazırlarken hazır taslaklardan yararlandım ama sonunda mutlaka bir hukukçuya gösterdim. Hazır taslaklar iyi bir başlangıç noktası ama her sitenin kendine özgü durumu var. Eğer e-ticaret yapıyorsanız veya üyelik sistemi varsanız mutlaka profesyonel yardım alın.
3. Ilgili Kisinin Haklari
KVKK’ya göre kişisel verileri işlenen herkesin belirli hakları var. Siz bir web sitesi sahibi olarak bu hakları tanımalı ve kullanıcıların bu haklarını kullanabilmesini sağlamalısınız.
- Bilgi talep etme: Kullanıcı kendisi hakkında hangi verilerin toplandığını sorabilir. Ben bu talepleri e-posta yoluyla alıyorum ve en geç otuz gün içinde yanıt veriyorum.
- Düzeltme talebi: Yanlış bilgiler varsa düzeltilmesini isteyebilir. Yorumunda ismini yanlış yazan biri düzeltme talebinde bulunduğunda hemen düzeltiyorum.
- Silme talebi: KVKK’da “unutulma hakkı” olarak bilinen hak. Bir kullanıcı verilerinin silinmesini isterse silmek zorundasınız. Bana şimdiye kadar iki kez silme talebi geldi, ikisinde de hızlıca yerine getirdim.
- İtiraz etme: Verilerin işlenmesine itiraz edebilir. Bu durumda veri işleme işlemini durdurmanız gerekir.
Bu hakları kullanabilmeleri için iletişim bilgilerinizi gizlilik politikası sayfasında net bir şekilde belirtin. Ben e-posta adresimi ve bir iletişim formu linkini koydum.
4. VERBIS Kaydi
VERBIS, Veri Sorumluları Sicili. Bunu duymamış birçok site sahibi var ama belirli koşulları karşılıyorsanız kayıt olmanız zorunlu. Ben kayıt olup olmayacağımı araştırırken kafam karışmıştı, ama kurallar aslında net.
Şu durumlarda VERBIS kaydı zorunlu:
- Yıllık çalışan sayısı 50’den fazlaysa
- Yıllık mali bilançomuz 25 milyon TL’yi aşiyorsa
- Kişisel verileri özel nitelikli kişisel veri (sağlık, biyometrik vb.) ise
- Verileri yurt dışına aktarıyorsanız
Ben küçük bir blog sahibiyim ve bu koşulların hiçbirini karşılamıyorum. Bu yüzden VERBIS kaydı yaptırmadım. Ama e-ticaret yapıyorsanız veya üyelik sisteminiz varsa muhtemelen yurt dışına veri aktarımı yapıyorsunuzdur (Google Analytics, Mailchimp gibi araçlarla). Bu durumda kayıt olmanız gerekebilir. Emin değilseniz bir hukukçuya danışın, cezadan kaçınmak bence bedelinden çok daha ucuz.
Veri Ihlali Durumunda Yapilmasi Gerekenler
Veri ihlali, kimsenin başına gelmesini istemediği ama herkesin hazırlıklı olması gereken bir durum. Ben bir keresinde hosting sağlayıcımın güvenlik açığı nedeniyle kullanıcıların IP adreslerinin sızdırılabileceği bir durumla karşılaştım. Panikledim, ne yapacağımı bilmiyordum. Sonra KVKK’nın ihlal prosedürünü araştırdım ve adımları öğrendim.
- 72 saat kuralı: Veri ihlalini fark ettiğiniz andan itibaren 72 saat içinde Kurul’a bildirmek zorundasınız. Bu süreyi kaçırmayın.
- Etkilenen kişilere bildirim: Verileri sızdırılan kişilere durumu bildirmeniz gerekiyor. E-posta, site üzerinden duyuru veya telefon ile ulaşabilirsiniz.
- Önlem alma: İhlalin tekrar yaşanmaması için teknik önlemleri arttırın. Ben ihlalden sonra iki faktörlü doğrulama ve SSL sertifikasını güçlendiridim.
- Kayıt tutma: İhlalin nasıl olduğunu, hangi verilerin etkilendiğini ve hangi önlemleri aldığınızı kayıt altına alın.
Sonuç
KVKK uyumluluğu başta korkutucu görünebilir ama aslında temel adımlar basit. Çerez politikası koyun, gizlilik sayfası hazırlayın, kullanıcı haklarını belirtin ve VERBIS kaydı gerekip gerekmediğini kontrol edin. Ben bu adımları iki günde tamamladım ve o günden beri rahat uyuyorum. KVKK uyumlu olmak sadece yaptırımlardan kaçınmak değil, ziyaretçilerinize saygı gösterdiğinizi de kanıtlıyor. Birine e-posta adresini neden vermesi gerektiğini açıklıyorsunuz, verilerini nasıl koruduğunuzu gösteriyorsunuz. Bu, güven inşa ediyor. Ziyaretçilerinizin size güvenmesini sağlıyor.
