Küçük işletmeler KVKK'ya uymak zorunda mı?

Evet. KVKK işletme büyüklüğüne göre muafiyet tanımaz; müşteri, çalışan veya tedarikçi verisi işleyen her işletme kanun kapsamındadır. Küçük işletmeler için fark, yükümlülüklerin ağırlığında ve özellikle VERBİS kayıt zorunluluğunda ortaya çıkar.

VERBİS kaydı her işletme için zorunlu mu?

Hayır, VERBİS kaydı belirli kriterlere (örneğin yıllık çalışan sayısı, mali bilanço veya işlenen verinin niteliği) bağlıdır. Bu kriterleri aşan veri sorumluları kayıt yaptırmak zorundadır. Kaydın gerekli olup olmadığını netleştirmek için veri envanterinizi çıkarmanız ve güncel mevzuata göre değerlendirmeniz gerekir.

Aydınlatma metni ile açık rıza metni aynı şey mi?

Hayır, bu ikisi farklıdır. Aydınlatma metni, kişiye hangi verisinin neden işlendiğini bildirmek için kullanılır ve çoğu durumda zorunludur. Açık rıza ise yalnızca hukuki başka bir dayanak yoksa, özellikle pazarlama gibi amaçlarda kişinin onayını almak için gereklidir.

Güvenlik kamerası kayıtları KVKK kapsamında mı?

Evet. Kişilerin tanınabildiği kamera görüntüleri kişisel veridir ve KVKK kapsamında değerlendirilir. Kamera kullanan işletmelerin bilgilendirme levhası asması, kayıtları sınırlı süre saklaması ve erişimi yetkilendirmesi gerekir. KVKK uyumlu kamera kurulumu bu yükümlülükleri kolaylaştırır.

KVKK uyumu için işe nereden başlamalıyım?

İlk adım veri envanteri çıkarmaktır: hangi veriyi, nereden, hangi amaçla topladığınızı ve nerede sakladığınızı listeleyin. Ardından her işleme için hukuki dayanağı belirleyip aydınlatma metni hazırlayın, teknik güvenlik tedbirlerini alın ve gerekiyorsa VERBİS kaydını tamamlayın.

KVKK Rehberi: KOBİ Uyum Adımları

Müşteri telefon numaraları, çalışan özlük dosyaları, tedarikçi sözleşmeleri, kamera kayıtları, e-bülten listeleri... Küçük bir işletme bile gün içinde sandığından çok daha fazla kişisel veri işler. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu verileri toplayan ve kullanan herkesi kapsar; cironuz ne olursa olsun yükümlülükler aynıdır. İyi haber şu: doğru bir yol haritasıyla uyum süreci, sanıldığı kadar karmaşık ve maliyetli değildir.

Bu KVKK rehberi, hukuki jargona boğulmadan küçük işletmelerin atması gereken pratik adımları sıralıyor. Amacımız, sadece ceza riskini azaltmak değil; aynı zamanda müşterinizin verisini koruyarak markanıza duyulan güveni artırmaktır. Çünkü veri güvenliği bugün rekabetin bir parçasıdır.

KVKK Nedir ve Hangi İşletmeleri Kapsar?

KVKK, gerçek kişilere ait her türlü bilginin (ad, soyad, telefon, adres, TC kimlik numarası, sağlık bilgisi, IP adresi vb.) hukuka uygun şekilde işlenmesini düzenleyen temel kanundur. Kanunda iki ana rol vardır: verinin işlenme amacını belirleyen "veri sorumlusu" ve onun adına işlemi yapan "veri işleyen". Çoğu küçük işletme, kendi müşteri ve çalışan verisini yönettiği için veri sorumlusudur.

Yaygın bir yanılgı, "Biz küçüğüz, KVKK bizi ilgilendirmez" düşüncesidir. Oysa kanun, işletme büyüklüğüne göre muafiyet tanımaz. Bir berber, bir kafe, bir teknik servis ya da küçük bir e-ticaret sitesi de müşteri verisi işlediği anda kapsama girer. Fark, yükümlülüklerin ağırlığında ve VERBİS kayıt zorunluluğunda ortaya çıkar.

Küçük İşletmelerin Temel KVKK Yükümlülükleri

Bir KVKK rehberinin kalbi, yükümlülüklerin net anlaşılmasıdır. Küçük işletmeler için öne çıkan başlıkları şöyle özetleyebiliriz:

Aydınlatma yükümlülüğü: Veriyi topladığınız anda, kişiye hangi veriyi neden işlediğinizi açık biçimde bildirmek zorundasınız.
Açık rıza alma: Hukuki bir dayanak yoksa (örneğin sözleşme veya kanuni zorunluluk), veri işlemek için ilgili kişinin özgür iradeyle verilmiş, bilgilendirilmiş onayını almalısınız.
Veri güvenliği: Teknik ve idari tedbirlerle verilerin kaybolmasını, çalınmasını veya yetkisiz erişimi önlemekle yükümlüsünüz.
Saklama ve imha: Veriyi yalnızca gerekli süre boyunca tutmalı, amaç ortadan kalktığında silmeli, yok etmeli veya anonim hâle getirmelisiniz.
İlgili kişi başvuruları: Bir müşteri "Hakkımdaki verileri silin" derse, başvuruyu süresinde yanıtlamak zorundasınız.
VERBİS kaydı: Belirli kriterleri aşan veri sorumluları, Veri Sorumluları Sicili'ne kaydolmakla yükümlüdür.

Adım Adım KVKK Uyum Yol Haritası

Uyumu tek seferde değil, yönetilebilir adımlara bölerek ilerletmek en sağlıklısıdır. Aşağıdaki sıralama, çoğu küçük işletme için işleyen pratik bir akıştır:

Veri envanteri çıkarın: Hangi verileri, nereden, hangi amaçla topladığınızı, nerede sakladığınızı ve kimlerle paylaştığınızı bir tabloya dökün. Uyumun temeli budur.
Hukuki dayanağı belirleyin: Her veri işleme faaliyeti için "rıza mı, sözleşme mi, kanuni yükümlülük mü?" sorusunu yanıtlayın.
Aydınlatma metnini hazırlayın: Web sitenize, sözleşmelerinize ve formlarınıza uygun, sade bir aydınlatma metni yerleştirin.
Politika ve prosedürleri yazın: Saklama-imha politikası, veri güvenliği politikası ve başvuru yanıtlama sürecini belgeleyin.
Teknik tedbirleri alın: Şifreleme, erişim yetkilendirme, güncel antivirüs, güvenlik duvarı ve düzenli yedekleme uygulayın.
VERBİS kaydını değerlendirin: Zorunluysa kaydı tamamlayın; değilse bu durumu da belgeleyin.
Çalışanları eğitin: En büyük veri ihlali kaynağı insan hatasıdır; ekibinizi bilinçlendirin.

Veri Güvenliği İçin Teknik ve İdari Tedbirler

KVKK uyumu yalnızca evrak işi değildir; somut güvenlik önlemleri ister. İdari tedbirler süreç ve politika tarafını, teknik tedbirler ise altyapı tarafını kapsar. İkisinin birlikte uygulanması gerekir.

Teknik tedbir örnekleri

Sunucu ve cihazlarda güçlü parolalar, çok faktörlü kimlik doğrulama, disk şifreleme, düzenli güncellemeler, güvenlik duvarı ve yetkiye dayalı erişim kontrolü başta gelir. Düzenli ve test edilmiş ağ ve yedekleme altyapısı, bir saldırı ya da arıza durumunda veri kaybını önler.

İdari tedbir örnekleri

Çalışanlarla gizlilik sözleşmesi imzalamak, erişim yetkilerini görev tanımına göre sınırlamak, düzenli farkındalık eğitimleri vermek ve bir veri ihlali müdahale planı hazırlamak idari tarafın özüdür. İşletmenizde güvenlik kamerası kullanıyorsanız, görüntü kayıtları da kişisel veridir ve KVKK kapsamında değerlendirilmelidir; bu konuda KVKK uyumlu kamera sistemleri kurulumu önem taşır.

Rıza Temelli mi, Yükümlülük Temelli mi? Karşılaştırma

Veriyi hangi hukuki zeminde işlediğinizi bilmek, ileride doğacak başvuru ve denetimlerde belirleyici olur. Aşağıdaki tablo iki yaklaşımı karşılaştırır:

Kriter	Açık rıza ile işleme	Yükümlülük/sözleşme ile işleme
Onay gerekir mi?	Evet, açık ve özgür iradeyle	Hayır, kanuni dayanak yeterli
Tipik örnek	E-bülten, pazarlama mesajı	Fatura kesme, SGK bildirimi
Geri çekilebilir mi?	Evet, kişi istediği an	Yükümlülük sürdükçe çekilemez
Risk düzeyi	Onay kanıtlanamazsa yüksek	Dayanak doğruysa düşük

Pratik kural: Mümkün olduğunca işlemeyi sözleşme veya kanuni yükümlülük gibi sağlam dayanaklara oturtun; açık rızayı yalnızca gerçekten gerekli olduğunda (özellikle pazarlama amaçlı) kullanın.

Küçük İşletmelerin En Sık Yaptığı KVKK Hataları

Tek bir metinle her şeyi çözmeye çalışmak: Aydınlatma metni ile rıza metni farklı amaçlara hizmet eder, birbirinin yerine geçmez.
Gereğinden fazla veri toplamak: "İleride lazım olur" mantığıyla ihtiyaç dışı veri biriktirmek, riski büyütür.
Veriyi süresiz saklamak: Amacı biten veriyi silmemek, denetimlerde sık karşılaşılan bir eksikliktir.
Yedeği olmayan ya da şifrelenmemiş sistemler: Tek bir fidye yazılımı saldırısı tüm müşteri verisini kilitleyebilir.
Başvuruları yanıtsız bırakmak: İlgili kişi taleplerine süresinde dönmemek, şikâyet ve idari yaptırım sebebidir.

Uzman ipucu: KVKK uyumunu "bir kez yapıp bitirilen proje" değil, yaşayan bir süreç olarak kurgulayın. Veri envanterinizi yılda en az bir kez güncelleyin, yeni bir hizmet ya da yazılım eklediğinizde hangi verinin işlendiğini yeniden değerlendirin. Küçük ve düzenli güncellemeler, yıllar sonra yapılan büyük ve telaşlı bir uyum çalışmasından çok daha kolaydır.

KVKK uyumu, müşterinizin verisini koruyarak işletmenizin itibarını güçlendiren stratejik bir yatırımdır. Doğru kurgulanmış bir altyapı, hem yasal riski azaltır hem de veri ihlallerine karşı sizi koruma altına alır. Koznet Bilişim olarak; KVKK uyumlu kamera sistemleri, güvenli ağ ve yedekleme altyapısı, web sitelerine uygun aydınlatma metni entegrasyonu ve veri güvenliği danışmanlığıyla küçük işletmelerin uyum yükünü hafifletiyoruz. Diğer hizmetlerimizi inceleyebilir, işletmenize özel bir değerlendirme için 0850 346 85 16 numaralı çağrı merkezimizi arayabilir ya da ücretsiz teklif alıp iletişim sayfamızdan bize ulaşabilirsiniz. Verilerinizi güvene almak için bugün ilk adımı atın.

KVKK Rehberi: Küçük İşletmeler İçin Pratik Uyum Adımları

İçindekiler