AB pazarına hitap eden veya Türkiye'de kişisel veri işleyen her şirket iki mevzuatı eş zamanlı yönetmek zorundadır: Türkiye'deki KVKK (6698 sayılı Kanun) ve AB'deki GDPR (General Data Protection Regulation). İki düzenleme arasında önemli benzerlikler bulunsa da uygulama detayları, ceza yapısı ve denetleme mekanizmaları farklıdır.
Bir GDPR uyum yazılımı satın almadan veya uygulamadan önce "bu araçta ne olmalı?" sorusunun yanıtını netleştirmek gerekir. Bu rehber, Türkiye'de faaliyet gösteren şirketler için uyumluluk yazılımının temel özelliklerini ve seçim kriterlerini açıklamaktadır.
GDPR ve KVKK: Eş Zamanlı Yönetim Zorunluluğu
Türkiye merkezli bir şirketin GDPR'a tabi olup olmadığı iki koşuldan biriyle belirlenir:
- AB'deki bireylere mal veya hizmet sunmak (ücretli/ücretsiz)
- AB'deki bireylerin davranışlarını izlemek (analytics, çerezler, profilleme)
Bu koşullardan biri gerçekleşiyorsa şirket hem KVKK'ya hem GDPR'a tabidir.
| KVKK | GDPR | |
|---|---|---|
| Denetleyici | KVKK (Türkiye) | Ulusal Veri Koruma Otoriteleri (AB) |
| İhlal bildirimi | 72 saat (KVKK'ya + veri sahibine) | 72 saat (DPA'ya), gerekirse veri sahibine |
| VERBİS kaydı | Zorunlu (eşik geçilirse) | Zorunlu değil |
| DPO atama | Zorunlu değil | Belirli durumlarda zorunlu |
| Para cezası | 50.000 – 17.092.242 TL | Ciro bazlı (20M € veya global cironun %4'ü) |
Uyumluluk Yazılımında Olması Gereken Temel Özellikler
1. Veri Envanteri ve İşleme Kaydı (ROPA)
GDPR Madde 30 ve KVKK kapsamında, şirketin hangi kişisel veriyi, neden, kimin için ve ne kadar süreyle işlediğini belgeleyen İşleme Faaliyetleri Kaydı (Record of Processing Activities — ROPA) tutulması zorunludur.
Aranacak özellikler:
- İşleme amacı ve hukuki dayanağı başına veri kategorisi eşleştirmesi
- Veri sahibi türleri (müşteri, çalışan, ziyaretçi) bazında kayıt
- Veri saklama süreleri ve silme takvimi
- Üçüncü taraf aktarım kaydı (alt işlemciler, yurt dışı aktarım)
- Dışa aktarılabilir ROPA raporu (denetim için)
2. Rıza Yönetimi (Consent Management)
Pazarlama e-postaları, çerezler ve profilleme gibi rıza gerektiren işlemler için merkezi rıza takibi zorunludur.
Aranacak özellikler:
- Rıza alma kaydı (ne zaman, hangi kanaldan, hangi metin ile alındı)
- Rıza geri çekme kaydı
- Çerez onay kategorileri (zorunlu / analitik / pazarlama)
- Rıza değişikliği geçmişi (audit trail)
3. Veri Sahibi Talep Yönetimi (DSR)
GDPR ve KVKK kapsamında veri sahipleri erişim, düzeltme, silme, taşınabilirlik ve itiraz hakları kullanabilir. Her talepte işleme süresi 30 gün (GDPR) / 30 gün (KVKK).
Aranacak özellikler:
- Talep alma formu veya portal
- Talep türüne göre iş akışı (erişim / silme / itiraz)
- Otomatik süre takibi ve hatırlatıcı
- Tamamlanan taleplerin kanıtlanabilir kaydı
4. Veri İhlali Yönetimi
İhlal tespit edildiğinde 72 saat içinde denetim otoritesine bildirim yapılması gerekir. İnsan hatası veya siber saldırı — her iki durumda da süreç aynıdır.
Aranacak özellikler:
- İhlal kayıt formu (etkilenen veri kategorileri, kişi sayısı, risk değerlendirmesi)
- Bildirim gönderim takibi (KVKK'ya ve GDPR kapsamında ilgili DPA'ya)
- Veri sahibi bildirim şablonları
- İhlal sonrası aksiyon planı izleme
5. Veri İşleme Sözleşmesi (DPA) Yönetimi
GDPR Madde 28 ve KVKK kapsamında, kişisel veri aktarılan her alt işlemci (cloud sağlayıcı, e-posta servisi, CRM) ile imzalı Veri İşleme Sözleşmesi (Data Processing Agreement) bulunmalıdır.
Aranacak özellikler:
- Alt işlemci kaydı (isim, ülke, işleme amacı)
- DPA imza durumu takibi
- Yenileme tarihi hatırlatıcısı
- Yurt dışı aktarım için ek mekanizma kaydı (SCCs, yeterlilik kararı)
6. Denetim İzi (Audit Trail)
Denetim sırasında "ne zaman ne yaptınız?" sorusunu yanıtlayabilmek için tüm uyumluluk aksiyonlarının kaydı zorunludur.
Aranacak özellikler:
- Tüm kullanıcı aksiyonlarının zaman damgalı logu
- Değiştirilemez kayıt (immutable log)
- Politika versiyonlama
- Dışa aktarılabilir denetim raporu
Türkiye'ye Özgü Gereklilikler
Yalnızca GDPR uyum yazılımı değil, KVKK uyumunu da karşılayan araçlar için ek kontrol noktaları:
VERBİS Entegrasyonu VERBİS (Veri Sorumluları Sicili Bilgi Sistemi), KVKK'nın Türkiye'ye özgü veri sorumlusu kayıt sistemidir. Uyum yazılımının VERBİS'e uygun format çıktısı üretmesi arama verimliliğini artırır.
Aydınlatma Metni Yönetimi KVKK Madde 10 kapsamında her işleme amacı için ayrı aydınlatma metni hazırlanmalıdır. Yazılımın bu metinleri sürüm bazında saklayabilmesi denetimde kritik kanıttır.
Kurul Kararı Takibi KVKK Kurul kararları ve rehberleri düzenli güncellenir. Türkiye'ye özgü uyum yazılımı bu kararları takip ederek uyumluluk gerekliliklerini otomatik güncelleyen sistemler içerebilir.
Yazılım Seçerken Değerlendirme Kriterleri
| Kriter | Detay |
|---|---|
| Dil desteği | Türkçe arayüz + Türkçe rapor çıktısı |
| Veri merkezi konumu | Türk veri için yurt içi veya AB altyapısı |
| Entegrasyon | CRM, HR, e-posta platformlarıyla API bağlantısı |
| Fiyatlandırma modeli | Kullanıcı başına / veri hacmine göre |
| Destek | Türkiye'de yerel destek hattı veya partner ağı |
| Sertifikasyon | ISO 27001, SOC 2 veya eşdeğer |
Sıkça Sorulan Sorular
Yalnızca Türk müşterilere hizmet veriyorsak GDPR gerekli mi? Türk müşterilere hizmet veriyorsanız GDPR zorunluluğu yoktur; yalnızca KVKK uyumu gereklidir. Ancak AB'deki kullanıcılara hizmet sunuyorsanız veya AB'deki bireyleri izliyorsanız GDPR da devreye girer.
DPO atamak zorunlu mu? GDPR'a göre belirli durumlarda (kamu kurumları, yüksek riskli işleme yapanlar, büyük ölçekli profilleme) DPO zorunludur. KVKK'da "irtibat kişisi" benzer bir rol üstlenir ancak atama zorunluluğu koşullara bağlıdır.
Rıza her zaman gerekli mi? Hayır. Hem KVKK hem GDPR, rıza dışında sözleşme ifası, yasal yükümlülük ve meşru menfaat gibi alternatif hukuki dayanaklar tanımaktadır. Doğru hukuki dayanağı seçmek, gereksiz rıza toplamayı önler.
İlgili Kaynaklar
Bu konuyu Regulfy ile yönetin → KVKK & GDPR Uyum Çözümü
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →