Menu

Sonuçlar yükleniyor

2020’nin ilk yarısı bitiyor: Kişisel verilerin korunması ile ilgili ne durumdasınız?

Özet

2020’nin ilk yarısı bitmek üzere. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) yürürlüğe girdiği tarihten itibaren neredeyse 4 yıl geçti. Peki siz KVKK uyum yolculuğunda ne durumdasınız?

Şirket faaliyetlerinizde KVKK’ya ne kadar uyumlu olduğunuzu değerlendirmeniz için aşağıdaki kontrol listesini hazırladık. Bu listeyi Kişisel Verileri Koruma Kurumu'nun son dönemde verdiği kararları göz önüne alarak uyulamadaki tecrübelerimiz doğrultusunda hazırladık. KVKK uyumluluğunuzu ölçmek adına faydalı olacağını umuyoruz.

  • Websitenizde ve/veya kişisel veri işlediğiniz elektronik uygulamalarınızda çerez tutuyorsanız websitenizi ziyaret eden kişilerin siteye girdikleri anda karşısına çıkacak bir çerez pop-up metni ve çerez politikası hazırladınız mı? Bu çerez pop-up metninde gerekiyorsa veri işleme faaliyetiniz için açık rıza alıyor musunuz?
  • Gizlilik ve çerez bildirimlerinizdeki ifadeler, süreçlerinizi doğru yansıtıyor mu ve mevzuat ile uyumlu mu?
  • Websitenizde üyelik süreçleri kapsamında kişisel veri işliyor musunuz? Bu süreçlerde, verinin sisteme ilk giriş noktasında aydınlatma ve açık rıza yükümlülüklerinizi hukuka uygun olarak yerine getiriyor musunuz? Kişinin üye olmadan da websitenizden alışveriş yapabilmesine olanak tanıyan sistemi kurdunuz mu?
  • Açık rıza ve aydınlatma metinlerinizi ayrı ayrı düzenlediniz mi?
  • İmha edilmesi gereken belgeleri imha ettiniz mi? (Örn. aksi mevzuatta düzenlenmediği sürece çalışanlara ait sabıka kayıtlarının kopyalarının tutulmaması ve imha edilmesi gerekmektedir)
  • Hazırlanması gereken Kişisel Verilerin İşlenmesi Politikası, Kişisel Veri Saklama ve İmha Politikası gibi gerekli politika ve prosedürleri hazırlayıp uygulamaya aldınız mı?
  • Reklam, kampanya veya promosyon amacıyla elektronik ticari ileti gönderebilmek için Kanun ve ilgili mevzuata uygun açık rıza alıyor musunuz?
  • Elektronik ticari iletiler için onay alırken, kişinin aktif eylemi ile onay verebileceği (opt-in) bir sistem oluşturdunuz mu?
  • Hizmetlerinizi sunarken, kişilerin iradesini sakatlayacak şekilde kişisel verilerin işlenmesinin hizmet şartına bağlanması olarak değerlendirilebilecek uygulamalardan kaçınıyor musunuz? Açık rızanın, hizmetin/sözleşmenin bir koşulu olarak öne sürülmediğinden emin misiniz?
  • Aydınlatma metinleri ve politikalarınızda “kişisel verilerinizin işlenmesini kabul etmiş sayılacaksınız” gibi kişinin zımni onayını içeren ifadelerin olmadığını kontrol ettiniz mi?
  • Websitenize üye olan kişilerin verilerini işlerken, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerini gözetiyor musunuz? (Örn. websitenize üye olan ilgili kişinin, kendisi haricinde yakınlarının da kişisel verilerini işlememelisiniz.)
  • Veri aktarımı yapmak için gerekli düzeyde idari ve teknik güvenlik tedbirlerini aldınız mı?
  • Kişisel verilerin yurtiçinde üçüncü taraflara aktarımını gerçekleştiriyorsanız, yurtiçi veri aktarımı koşullarını sağlıyor musunuz? Aktarım yaptığınız taraflarla veri aktarım sözleşmesi imzalıyor musunuz?
  • Yurtiçi veri aktarım süreçlerinizi KVKK’ya uygun olarak düzenlediniz mi? (örn. kişisel verisi aktarılacak kişiyi en geç kişisel verinin aktarılmasından önce aydınlatıyor musunuz, KVKK m. 5/2’de düzenlenen istisnalar mevcut değilse kişinin açık rızasını alıyor musunuz?)
  • Yurt dışı veri aktarım süreçlerinizi KVKK’ya uygun olarak düzenlediniz mi? (örn. kişisel verileri yurt dışına aktarılan kişilerden açık rıza aldınız mı? Eğer açık rıza almanız mümkün değilse Kurum’un yayınladığı Taahhütname ve/veya Bağlayıcı Şirket Kuralları metinlerini hazırlayarak Kurum’a onay almak için başvuru yaptınız mı?)
  • VERBİS kaydınızı tamamladınız mı? Kişisel veri faaliyet envanteriniz ile VERBİS kaydınızın uyumlu olduğundan emin misiniz?
  • Hangi özel nitelikli verileri işlediğinizi tespit ettiniz mi? Bu özel nitelikli kişisel verilerin işlenmesinin hukuki sebeplerini KVKK m. 5 ve m. 6 kapsamında değerlendirdiniz mi?
  • Özel nitelikli verileriniz ve özellikle sağlık verilerinin korunması için gerekli idari ve teknik tedbirleri aldınız mı? Sağlık verilerinin Türkiye’de tutulduğundan ve yurt dışına aktarılmadığından emin misiniz?
  • CCTV kaydı yaptığınız alanlarda gerekli aydınlatmayı yapıyor musunuz?
  • Mevzuatta yer alan saklama süreleri doğrultusunda saklama sürelerinizi belirlediniz mi?
  • Veri İhlal Planı ve Prosedürünüzü oluşturdunuz ve uygulamaya aldınız mı? Olası bir veri ihlali durumunda nasıl bir yol izleyeceğiniz belli mi?
  • KVKK’nın öngördüğü yıllık denetim yükümlülüğünüzü yerine getirdiniz mi?
Bizi takip edin:

© 2025 - 2026 PwC. Gago Türkmen Avukatlık Ortaklığı. Tüm hakları saklıdır.
Bu sitede “GSG Avukatlık Ortaklığı” veya “GSG Hukuk” ibaresi, Gago Türkmen Avukatlık Ortaklığı’nı ifade etmektedir.