Av. Dr. Çağrı Tuna

KVKK & GDPR Danışmanı

Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK), hâlâ çok sayıda şirket tarafından “yerine getirilmesi gereken zorunlu bir mevzuat” olarak algılanmaktadır. Bu bakış açısı, çoğu zaman şirketleri yalnızca görünürde uyumlu, fakat fiiliyatta yüksek hukuki ve ticari risk altında bırakmaktadır.

Zira KVKK; yalnızca aydınlatma metinleri veya birkaç politika belgesinden ibaret değildir. Doğru ele alındığında KVKK, şirketlerin kurumsal yönetişim, insan kaynakları, sözleşme yönetimi, bilgi güvenliği ve itibar yönetimi süreçlerini doğrudan etkileyen stratejik bir yapı taşıdır.

“Belgemiz Var” Demek Neden Yeterli Değil?

Uygulamada en sık karşılaşılan yanılgı şudur:

“Politikalar hazırlandıysa, internet sitesine eklendiyse, KVKK işi tamamdır.”

Gerçekte ise bu belgeler;

• Şirket içi süreçlere entegre edilmemişse
• ERP, İK ve fiziki uygulamalarla örtüşmüyorsa
• Sözleşmelere ve operasyonel kararlara yansımıyorsa

hukuki bir koruma sağlamaz. Bir denetim, veri ihlali veya çalışan başvurusu anında bu belgeler şirketi kurtarmak yerine çelişki ve sorumluluk kaynağına dönüşebilir.

Şirketler Açısından En Yüksek Risk Alanı: İnsan Kaynakları

KVKK risklerinin önemli bir bölümü, fark edilmeden İK süreçlerinde ortaya çıkar.
Özlük dosyaları, sağlık raporları, disiplin kayıtları, performans değerlendirmeleri, kamera görüntüleri ve yan haklara ilişkin veriler; çoğu zaman özel nitelikli kişisel veri kapsamındadır.

Bu verilerin:

• Hangi hukuki sebebe dayandığı,
• Ne kadar süre saklandığı,
• Kimlerin erişebildiği,
• Ne zaman ve nasıl imha edildiği

net değilse, KVKK ihlali yalnızca idari para cezası değil; iş hukuku uyuşmazlıkları ve tazminat talepleri olarak da şirketin karşısına çıkar.

Kamu ve Büyük Müşteri Sözleşmelerindeki Görünmeyen KVKK Yükümlülükleri

Özellikle kamu kurumlarıyla veya büyük ölçekli şirketlerle yapılan sözleşmelerde, KVKK’ya ilişkin yükümlülükler çoğu zaman standart maddeler gibi görülerek detaylı incelenmeden kabul edilmektedir.

Bu sözleşmelerde sıklıkla:

• Veri sorumlusu / veri işleyen rollerinin tek taraflı belirlenmesi,
• Denetim ve raporlama yetkileri,
• Ağırlıklı sorumluluk ve cezai şart hükümleri

yer almaktadır. Bu durum, şirketi yalnızca KVKK kapsamında değil; sözleşmesel sorumluluk bakımından da ciddi risk altına sokar.

KVKK Neden Artık Yönetim Kurulu Gündemi Olmalı?

KVKK ihlallerinin etkisi artık yalnızca idari para cezasıyla sınırlı değildir.
Bugün KVKK;

• Marka itibarı,
• Çalışan bağlılığı,
• Yurt dışı iş ilişkileri,
• GDPR bağlantılı yükümlülükler

ile doğrudan bağlantılıdır. Özellikle uluslararası ticaret yapan, yabancı müşterilerle çalışan veya veri temelli faaliyet yürüten şirketler için KVKK, stratejik bir yönetim konusudur.

Sağlam Bir KVKK Yapısı Nasıl Kurulur?

Etkili ve sürdürülebilir bir KVKK uyumu üç temel katman üzerine inşa edilmelidir:

1. Belge Altyapısı

Politika, prosedür ve aydınlatma metinleri:

• Güncel,
• Versiyonlu,
• Şirketin gerçek süreçleriyle uyumlu olmalıdır.

2. Operasyonel Entegrasyon

KVKK; ERP sistemlerine, İK uygulamalarına, fiziki arşivlere ve kamera sistemlerine fiilen entegre edilmelidir.

3. Sözleşmesel ve Yönetsel Katman

Tedarikçi sözleşmeleri, kamu ve müşteri sözleşmeleri ile iç denetim mekanizmaları KVKK perspektifiyle yeniden ele alınmalıdır.

Bu üç katman birlikte çalışmadıkça, uyum kağıt üzerinde kalır.

Danışman Görüşü

Av. Dr. Çağrı Tuna

KVKK’yı yalnızca “yerine getirilmesi gereken bir yükümlülük” olarak gören şirketler, çoğu zaman en büyük risklerini fark etmeden taşır. Oysa doğru kurgulanmış bir KVKK sistemi; şirketi yavaşlatan değil, sözleşme güvenliğini artıran, iç süreçleri netleştiren ve yönetilebilir bir risk alanı yaratan bir yapıdır. Özellikle çalışan yoğunluğu yüksek ve kamu ile iş yapan şirketler açısından KVKK, ertelenebilir bir başlık olmaktan çıkmıştır.

Sonuç

KVKK uyumu, “bir kez yapılıp rafa kaldırılacak” bir çalışma değildir.
Doğru kurulmuş bir sistem; şirketin bugününü olduğu kadar geleceğini de koruyan bir altyapıdır. Bugün ihmal edilen her detay, yarın çok daha ağır maliyetlerle gündeme gelir.