KVKK Uyumluluk Kontrol Listesi 2026: Kişisel Veri Koruması Adım Adım Rehberi
Kişisel Verileri Koruma Kanunu (KVKK) uyumluluğu artık işletmeler için opsiyonel değil; yasal zorunluluktur. Türkiye'de veri işleyen her kuruluş, KVKK'nın getirdiği yükümlülükleri yerine getirmek zorundadır. Ancak bu yükümlülüklerin tam listesini tutmak ve sistematik bir şekilde uygulamak çoğu zaman karmaşık görünmektedir.
Bu rehber, işletmeler, kamu kuruluşları ve dernekler için KVKK uyumluluğunu sağlamaya yönelik kapsamlı bir kontrol listesi sunmaktadır. Burada yer alan adımları izleyerek, kişisel verilerinizi yasal çerçeve içinde koruyabilir, ceza risklerini minimize edebilir ve müşteri güveninizi artırabilirsiniz.
1. KVKK Uyumluluk Neden Zorunlu?
KVKK ihlalleri ciddi cezalara yol açmaktadır:
- İdarî para cezaları: Kanun'un ihlali halinde 500.000 TL'ye kadar ceza
- Kamuoyunda açıklanma: Ceza kararının Resmi Gazete'de yayımlanması
- Arabuluculuk: Zarar gören kişilerin tazminat talepleri
- Reputasyonel hasar: Veri ihlali haberlerinin medya tarafından yaygın şekilde yayılması
Dolayısıyla, KVKK uyumluluğu sadece hukuki bir zorunluluk değil; aynı zamanda işletmenizin itibarını ve müşteri güvenini korumanın anahtarıdır.
2. Veri Envanteri ve İşleme Faaliyetleri Kaydı
Hedef: Kuruluşunuz hangi kişisel verileri işliyor, nereden geliyor, nereye gidiyor ve ne kadar süre tuttuğu tam olarak belgelenmeli.
2.1 Veri Envanteri Oluşturma Kontrol Listesi
- [ ] Tüm veri kaynakları tanımlandı (web siteleri, uygulamalar, formlar, müşteri veritabanları)
- [ ] Her bir veri türü (ad, telefon, e-posta, IP adresi, konum, finansal bilgiler vb.) listelenmiş
- [ ] Hangi bölüm/kişi tarafından toplandığı kaydedilmiş
- [ ] Veri kalitesi ve güncelliği kontrol mekanizmaları belirlemiş
- [ ] Kopyalar ve yedekleme yapılan yerler belirtilmiş
2.2 İşleme Faaliyetleri Kaydı
- [ ] Her bir işleme faaliyeti (pazarlama, muhasebe, insan kaynakları vb.) yazılı hale getirilmiş
- [ ] İşlemenin hukuki dayanağı açıkça belirtilmiş (sözleşme, yasal yükümlülük, meşru menfaat, açık rıza)
- [ ] Veri saklama süresi tanımlanmış
- [ ] Verinin üçüncü şahıslara aktarılıp aktarılmadığı belirtilmiş
3. Açık Rıza ve Aydınlatma Yükümlülükleri
Hedef: Müşteri ve çalışanlarınız, hangi verileri neden topladığınızı açık ve anlaşılır bir şekilde bilmeli.
3.1 Aydınlatma Metni Kontrol Listesi
- [ ] Aydınlatma metni basit ve anlaşılır bir dilde yazılmış
- [ ] Kuruluşunuzun adı ve iletişim bilgileri yazılı
- [ ] Verilerin işlenme nedeni açıkça anlatılmış
- [ ] Verinin hangi bölümde kullanılacağı belirtilmiş
- [ ] Saklama süresi açıkça yazılı
- [ ] Kişilerin hakları (erişim, düzeltme, silme, iytiraz vb.) anlatılmış
- [ ] Şikâyet mekanizmaları hakkında bilgi verilmiş
3.2 Açık Rıza Mekanizmaları
- [ ] Rıza alma otomatik değil, elle tıklanmış onay kullanılıyor
- [ ] "Varsayılan olarak seçili" kutular kullanılmıyor
- [ ] Rıza vermenin tanıtımla ya da hizmetin alınmasıyla koşullandırılmamış (opsiyonellik ilkesi)
- [ ] Her bir işleme amacı için ayrı rıza alınıyor (bundling yasaklanmış)
- [ ] Rızanın geri alınması kadar kolay bir şekilde verilmiş
4. Veri Güvenliği Teknik Tedbirler
Hedef: Kişisel veriler, yüksek düzeyde teknik güvenlik altında saklanmalı.
4.1 Şifreleme ve Erişim Kontrolü
- [ ] Tüm hassas veriler (şifreler, kredi kartları, kimlik numaraları) en az AES-256 ile şifrelenmemiş
- [ ] Veritabanı yönetim sistemine güçlü şifreler kullanılıyor
- [ ] İdari erişim 2FA (iki faktörlü kimlik doğrulama) ile korunmuş
- [ ] Her çalışanın yalnızca ihtiyacı kadar veriye erişimi var (en az yetki ilkesi)
- [ ] Eski çalışanların sistemlere erişimi derhal kapatılmış
4.2 Bilgisayar ve Ağ Güvenliği
- [ ] Tüm sunucular ve bilgisayarlar güncellenmiş antivirus ile korunmuş
- [ ] Güvenlik duvarı (firewall) kurulmuş ve aktif
- [ ] VPN kullanımı, uzaktan çalışanlar için zorunlu kılınmış
- [ ] Kablosuz ağlar şifreli (WPA3) ve güçlü şifreli
- [ ] USB ve taşınabilir cihazların kullanımı kontrol edilmiş
4.3 Veri Yedekleme ve Felaket Kurtarma
- [ ] Günlük otomatik yedeklemeler yapılıyor
- [ ] Yedekler şifrelenmemiş ve farklı bir fiziksel konumda tutulmuş
- [ ] Yedek geri yükleme testleri en az yılda bir yapılmış
- [ ] Felaket kurtarma planı yazılı ve test edilmiş
5. İdari Tedbirler ve İç Politikalar
Hedef: Veri güvenliği sadece teknik değil; örgütsel bir kültür olmalı.
5.1 Çalışan Eğitimi ve Sorumluluk
- [ ] Tüm çalışanlara KVKK eğitimi verilmiş (yılda en az bir kez)
- [ ] İşe alınırken veri koruma taahhütü alınmış
- [ ] Çalışanlara düşen veri güvenliği sorumlulukları yazılı
- [ ] Veri sızıntısını fark ettiklerinde rapor etme prosedürü var
- [ ] Gizlilik anlaşması (NDA) imzalatılmış
5.2 Tedarikçi Yönetimi
- [ ] Bulut hizmetleri sağlayıcısıyla KVKK uyumluluğu kontratında yazılı
- [ ] Veri işleme anlaşması (DPA) imzalanmış ve güncel
- [ ] Tedarikçisinin teknik güvenlik standartları (ISO 27001 vb.) doğrulanmış
- [ ] Tedarikçi denetimi yılda en az bir kez yapılmış
- [ ] Tedarikçi değişikliğinde veri aktarımı güvenliği sağlanmış
6. Veri İhlali Bildirim Prosedürü
Hedef: Veri sızıntısı ya da yetkisiz erişim fark edildiğinde hızlı ve yasal hareket etmelisiniz.
6.1 İhlali Tespit Ettikten Sonra İlk 24 Saat
- [ ] İhlalin boyutu ve kapsamı tespit edilmiş (kaç kişinin verisi etkilendi)
- [ ] İhlalin sebebi hızlıca tanımlanmış (siber saldırı, personel hatası, fiziksel kayıp vb.)
- [ ] Zarar sınırlamak için acil tedbirler alınmış (etkilenen hesapların kilitlenmesi, şifre sıfırlama vb.)
- [ ] İç ekibe bilgilendirilmiş; sorumlu kişiler belirlenmiş
6.2 KVK Kurulu'na Bildirim (7 gün içinde)
- [ ] KVK Kurulu'na yazılı başvuru hazırlanmış
- [ ] İhlal türü, tarih, etkilenen veri sayısı açıkça yazılı
- [ ] Alınan ve alınacak teknik tedbirler ayrıntılı anlatılmış
- [ ] İletişim bilgileri güncel
- [ ] Dilekçe noterlikteki bir avukat tarafından imzalanmış (önerilir)
6.3 Kişilere Bildirim (7 gün içinde)
- [ ] Etkilenen kişilere e-posta ya da SMS gönderilmiş
- [ ] Bildirimde riskin niteliği açıkça yazılı
- [ ] Alınan tedbirler açıklanmış
- [ ] Şikâyet mekanizması sağlanmış
- [ ] Ücretsiz kredi raporu kontrolü sağlanmış (finansal veriler söz konusu ise)
7. Yurt Dışı Veri Aktarımı Kontrol Listesi
Hedef: Veriler Türkiye dışına gönderiliyorsa, alıcı ülkenin veri koruma yasaları Türkiye kadar koruyucu olmalı.
7.1 Aktarım Öncesi Kontroller
- [ ] Hedef ülkenin veri koruma standartları araştırılmış (GDPR uygunluğu gibi)
- [ ] KVK Kurulu'nun yasaklanmış ülkeler listesi kontrol edilmiş
- [ ] Alıcı kuruluşun değerlendirilmesi yapılmış
- [ ] Veri işleme anlaşması (DPA) yapılmış
- [ ] Standart kontrat cümleleri (SCC) ya da binding corporate rules (BCR) hazırlanmış
7.2 Devam Eden Izleme
- [ ] Alıcı ülkedeki yeni yasal değişiklikleri takip ediliyor
- [ ] Alıcı kuruluşun güvenlik durumunda değişiklik kontrol ediliyor
- [ ] Geri çekme prosedürü tanımlanmış
8. KVK Kurulu Bildirimleri ve VERBİS
Hedef: KVK Kurulu'na yapılan tüm bildirimleri ve kayıtları sistematik olarak tutmalı.
8.1 Zorunlu Bildirimler
- [ ] Veri işleme ve kontrolörü bildirimi yapılmış (ilk işlemede)
- [ ] Veri ihlali bildirimi yapılmış (varsa)
- [ ] Gizlilik Etki Değerlendirmesi (KVKK'nın 5/4. maddesi) yapılmış ve kaydedilmiş
- [ ] Üçüncü ülkelere veri aktarımı bildirimi yapılmış
8.2 VERBİS (Veri Sorumluları Bilgi Sistemi)
- [ ] Kuruluş kaydı yapılmış
- [ ] Veri sorumlusu ve sorumlu kişi bilgileri güncel
- [ ] İşleme faaliyetleri sistematik olarak açıklanmış
- [ ] Yıllık istatistik formu doldurulmuş ve gönderilmiş
9. Periyodik Denetim Takvimi
Hedef: KVKK uyumluluğu bir kerelik değil; sürekli bir proses olmalı.
9.1 Yılda En Az Bir Kez Yapılması Gerekenler
- [ ] İç denetim yapılmış (bağımsız ekip tarafından)
- [ ] Veri envanteri güncellenmmiş
- [ ] Yeni veri işleme faaliyetleri eklenmiş mi kontrol edilmiş
- [ ] Eski veriler silinmemiş mi kontrol edilmiş
- [ ] Çalışan gizlilik eğitimi tekrar edilmiş
9.2 Yılda İki Kez Yapılması Gerekenler
- [ ] Teknik güvenlik denetimi yapılmış (penetration testing vb.)
- [ ] Erişim kontrolleri gözden geçirilmiş (şirketten ayrılan çalışanlar kontrol edilmiş)
- [ ] Güvenlik duvarı kuralları ve log analizimleri incelenmmiş
9.3 Olaylar Tabanlı Denetimler
- [ ] Yeni bir tedarikçi eklenirse, veri güvenliği kontrol edilmiş
- [ ] Sistem değişikliği yapılırsa, KVKK etkileri değerlendirilmiş
- [ ] Veri sızıntı talebi ya da şikâyet gelirse, hemen soruşturulmuş
10. KVKK Uyumluluk Master Kontrol Listesi
Aşağıdaki listeyi Excel ya da başka bir araçta tutup düzenli güncelleyin:
Temel Yükümlülükler
- [ ] Aydınlatma metni hazırlanmış ve güncel
- [ ] Açık rıza mekanizması uygulanmış
- [ ] Veri envanteri ve işleme faaliyetleri kaydı yazılı
- [ ] İç politikalar yazılı ve uygulanıyor
- [ ] Çalışan gizlilik anlaşmaları imzalanmış
- [ ] Tedarikçi DPA'ları yapılmış
Teknik Tedbirler
- [ ] Veri şifrelenmesi uygulanmış
- [ ] Erişim kontrolleri kurulmuş
- [ ] Otomatik yedekleme aktif
- [ ] Antivirus ve güvenlik duvarı kurulu
- [ ] Güvenlik logu tutulmuş
İdari Tedbirler
- [ ] Veri koruma sorumlusu atanmış (varsa zorunlu)
- [ ] Iç denetim yapılmış
- [ ] Tedarikçi denetimi yapılmış
- [ ] Çalışan eğitimi verilmiş
- [ ] Olay müdahale planı hazırlanmış
İhlal Durumunda Hazırlık
- [ ] İhlalin kim tarafından rapor edileceği belirlenmiş
- [ ] KVK Kurulu'na bildirim prosedürü hazırlanmış
- [ ] Hukuk müşaviri kontakları kayıtlı
- [ ] İletişim şablonları hazırlanmış
- [ ] Arşiv ve dokumentasyon sistemi kurulmuş
11. Regulfy ile KVKK Takibi
KVKK uyumluluğu karmaşık olabilir, özellikle büyüyen kuruluşlar için. Regulfy's platform, aşağıdakileri otomatikleştirmeye yardımcı olabilir:
- Uyumluluk takvimi: Bildirim ve denetim tarihlerinizi takip edin
- Şablon kütüphanesi: Aydınlatma metni, DPA ve iç politika şablonları
- Veri envanteri yönetimi: Tüm veri faaliyetlerinizi merkezi bir yerden yönetin
- Denetim raporları: Otomatik denetim planı ve raporlama
Regulfy KVKK uyumluluk modülüne erişin →
Sonuç
KVKK uyumluluğu, birkaç adımı takip ederek sağlanabilir. Bu rehberdeki kontrol listesini düzenli olarak gözden geçirerek, kuruluşunuzu hukuki risklerden koruyabilir ve müşteri güveninizi artırabilirsiniz. Herhangi bir sorunla karşılaştığınızda, bir veri koruma danışmanına ya da hukuk müşavirine başvurmaktan çekinmeyin.
Kaynaklar ve Yasal Dayanaklar
- Kişisel Verileri Koruma Kanunu (KVKK) — Resmi Metin — Kanun Kararı No. 6698 (2014)
- Kişisel Verileri Koruma Kurulu — Resmi Web Sitesi — KVK Kurulu tebliğleri, rehberler ve bildirimleri
- KVKK Uygulama Rehberleri — KVK Kurulu — Veri envanteri, gizlilik etki değerlendirmesi, DPA hazırlama
- GDPR — Avrupa Birliği Veri Koruma Yönetmeliği — Kıyas için, uluslararası standartlar
- İş Bankası KVKK Uyumluluk Rehberi — Sektör uygulamaları ve best practices
İlgili İçerikler
- KVKK'dan GDPR'a: Türkiye'nin Veri Hukukunda Yeni Dönem — KVKK ve GDPR karşılaştırması, sınırötesi veri aktarımı
- KVKK Yönetmeliği 2026: Veri Taşınabilirliği Hakları ve Yapay Zeka — Veri taşınabilirliği, AI ve KVKK uyumluluğu
- Resmi Gazete Takibi Nasıl Yapılır? 2026 Dijital Rehberi — Yeni KVKK tebliğlerini izlemek için
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →