KVKK + GDPR Uyum Kontrol Listesi

CHECKLIST · 30 MADDE · 25 DK

KVKK + GDPR Uyum Kontrol Listesi

Türkiye-AB iki-rejim veri koruma uyumu için 30 maddelik kontrol listesi — kapsam-uygulanabilirlik, hukuki dayanak-aydınlatma, sınır-ötesi aktarım (Schrems II), operasyonel uyum. 2024 KVKK reformu + 72 saatlik ihlal + 30 günlük DSR.

Kontrol listesini aç

E-postanı gir ve Vircon Substack listesine katılarak bu kontrol listesine eriş. Bilgilerin sadece tarayıcında saklanır.

Vircon Substack listesine katılarak yeni içerik almayı kabul ediyorum.

0 / 30 Kaydedildi

BÖLÜM 1 8 MADDEKapsam ve Uygulanabilirlik BÖLÜM 2 8 MADDEHukuki Dayanak ve Aydınlatma BÖLÜM 3 8 MADDESınır-Ötesi Aktarım BÖLÜM 4 6 MADDEOperasyonel Uyum

BÖLÜM 1 · 8 MADDE

Kapsam ve Uygulanabilirlik

Her rejimin nerede uygulandığı. Kurucuların düşündüğünden daha sık çift uygulama oluşur — AB müşterileri olan TR şirketi hem KVKK hem GDPR’ye tabidir.

01KVKK ülkesel ve maddi kapsamıKVKK m.2: Veri sorumlusu ve veri işleyenler için, Türkiye’deki veri sahiplerini etkileyen işleme veya Türkiye’de yerleşik kuruluşlarca yapılan işleme — kuruluş yerinden bağımsız uygulanır.

02GDPR ülkesel kapsamı (Madde 3)GDPR AB’de yerleşik veri sorumlusu/işleyenlere ve (a) AB veri sahiplerine mal/hizmet sunan veya (b) AB veri sahiplerinin davranışını izleyen AB-dışı operatörlere uygulanır.

03Çift uygulama — AB müşterili Türk şirketiAB müşterilerine SaaS satışı, AB-hedefli reklam, AB iş başvuranı verisi işleme — Türk şirketlerini GDPR’ye çeker. KVKK ile GDPR paralel uygulanır.

04Çocuk verisi özel değerlendirmeleriGDPR m.8: 16 yaş altı çocuklar (ulusal sapma 13) bilgi toplumu hizmetleri için ebeveyn rızası gerektirir. KVKK belirli yaş eşiği içermez ancak çocuk verisini yüksek hassasiyetle ele alır.

05Özel nitelikli veri tetikleyicileriSağlık, biyometrik, genetik, ırk, siyasi görüş, dini inanç, cinsel hayat, cezai kayıt. KVKK m.6 (açık rıza veya dar istisnalar) ve GDPR m.9 (10 istisna dayanağı) tetiklenir.

06Veri sorumlusu – veri işleyen analiziAraç ve amaçları kim belirliyor? Sorumlu-işleyen analizi sözleşmesel yapıyı (DPA), yükümlülük dağılımını ve ihlal bildirim sorumluluğunu çerçeveler.

07Müşterek veri sorumluluğuGDPR m.26: müşterek sorumlular düzenlemenin özünü yayımlamak zorundadır. KVKK sessiz ama Kurul yönlendirmesi müşterek sorumluları müteselsil sorumlu sayar.

08Grup-içi veri aktarımlarıGrup şirket transferleri her iki rejimde de istisna DEĞİL. Her transferin hukuki dayanak + güvence gereklidir. Grup-içi DPA veya bağlayıcı şirket kuralları (BCR) ile belgelenir.

BÖLÜM 2 · 8 MADDE

Hukuki Dayanak ve Aydınlatma

İşlemenin hukuka uygunluğu ve şeffaflık yükümlülükleri. Yaptırımların çoğu yanlış dayanak seçimi veya yetersiz aydınlatmadan kaynaklanır.

09Hukuki dayanak seçimi: KVKK m.5/6 vs GDPR m.6/9KVKK 7 kişisel veri + 4 özel nitelikli dayanak içerir. GDPR 6 + 10. Eşleme önemli çünkü KVKK ‘meşru menfaat’ (m.5/2-f) altında izin verilen GDPR m.6(1)(f) dengeleme testinde başarısız olabilir.

10Açık rıza mekaniğiAmaç-bazlı granüler, özgür iradeyle, bilgilendirilmiş, belirli, geri alınabilir. Önceden işaretli kutular geçersiz (her iki rejim). Geri alma mekanizması rıza vermek kadar erişilebilir olmalıdır.

11Sözleşme gerekliliği dayanağıHer iki rejim de sözleşme ifası için gerekli işlemeye izin verir — ancak ‘gereklilik’ dar yorumlanır. Pazarlama, analitik, profilleme nadiren karşılar.

12Meşru menfaat dengeleme testi (LIA)Üç aşamalı testi belgeleyin: (a) meşru menfaat tespit edildi, (b) işleme gerekli, (c) denge sorumlu lehine. KVKK Kurul Karar 2018/63 parametreleri belirler.

13KVKK aydınlatma metni ve GDPR m.13/14 bildirimiHer ikisi de toplama öncesi bildirim gerektirir. İçerik örtüşür ama özdeş değildir — GDPR uluslararası transfer özellikleri, veri saklama süresi, profilleme mantığı ekler.

14Katmanlı aydınlatma metni tasarımıToplama anında kısa-form bildirim + bağlantı üzerinden uzun-form. Aynı anda etkileşimi ve uyumu iyileştirir. Hassas işlemler için JIT (tam zamanında) bildirimler.

15Çocuk rızası ve ebeveyn doğrulamaGDPR m.8 + ulusal yaş (AB varsayılan 16, UK/IT 13). Ebeveyn rıza doğrulama mekanizması belgelenir. KVKK belirli yaş içermez ancak Kurul yönlendirmesi uygulanır.

16DPIA tetikleyicileri — etki değerlendirmesi ne zaman zorunluKVKK Kurul Karar 2018/10 senaryoları listeler. GDPR m.35 + EDPB 9 kriter. Her ikisi de yüksek riskli işleme öncesi DPIA gerektirir — biyometri, profilleme, büyük ölçekli özel nitelikli.

BÖLÜM 3 · 8 MADDE

Sınır-Ötesi Aktarım

Verinin Türkiye veya AB’den çıktığı yer. Schrems II bunu tamamen yeniden şekillendirdi — devlet erişimi riski artık ön planda.

17KVKK m.9 transfer mekanizmaları (2024 reformu sonrası)Yeterli korumalı ülke listesi (KVKK Karar 2024/1568) + SCC-eşdeğeri (taahhütname) + bağlayıcı şirket kuralları + açık rıza + dar istisnalar. Yeterli koruma listesi periyodik güncellenir.

18KVKK SCC (Standart Sözleşme) uygulamasıKVKK 2024 Karar 2024/1568 ile SCC’leri yayımladı. Ek I (sorumlu-sorumlu), Ek II (sorumlu-işleyen), Ek III (işleyen-işleyen). Kurum’a 5 gün içinde bildirim.

19GDPR Bölüm V transfer mekanizmalarıYeterlilik kararı + SCC + BCR + Davranış Kuralları + Sertifikasyon + m.49 istisnalar. Her biri Schrems II altında Transfer Etki Değerlendirmesi (TIA) gerektirir.

20Schrems II ve Transfer Etki Değerlendirmesi (TIA)Transfer-öncesi değerlendirme: hedef ülkenin gözetim yasaları, yargısal başvurular, ek önlemler (şifreleme, takma adlaştırma, sözleşmesel).

21ABD transfer özellikleri (DPF, SCC, ek önlemler)AB-ABD Veri Gizlilik Çerçevesi (2023’ten beri aktif) katılan ABD şirketleri için yeterlilik sağlar. DPF-dışı transferler SCC + TIA + ek teknik önlemler gerektirir.

22Bulut ve SaaS satıcı transfer zinciri haritalamaAWS, Azure, GCP, M365 — her birinin birden fazla alt-işleyen katmanı vardır. Transfer zincirini uçtan uca haritalayın. Satıcının standart DPA’sı gerçek akışı kapsamayabilir.

23İleri aktarım ve devlet erişim riskiİçeri alınan veri üçüncü ülkelere ileri aktarılabilir. Schrems II hem hedef hem ileri-transfer hedeflerinin değerlendirilmesini gerektirir. ABD FISA 702 / CLOUD Act riski ayrı derecelendirilir.

24Ek önlemler — şifreleme, takma adlaştırmaTeknik (anahtarları AB/TR veri ihracatçısında tutan uçtan-uca şifreleme), organizasyonel (bölünmüş işleme), sözleşmesel (şeffaflık, itiraz hakları). Belgelenir ve doğrulanır.

BÖLÜM 4 · 6 MADDE

Operasyonel Uyum

Politikayı gerçek yapan günlük kontroller. Operasyonel gerçeklik olmadan kâğıt-üzeri uyum, en yaygın yaptırım tetikleyicisidir.

25DPO ataması — zorunlu tetikleyicilerKVKK DPO zorunlu kılmaz ancak Kurul yönlendirmesi tavsiye eder. GDPR m.37 kamu otoriteleri, büyük ölçekli sistematik izleme, büyük ölçekli özel nitelikli işleme için DPO zorunlu kılar.

26VERBİS kaydı + GDPR m.30 işleme kayıtlarıVERBİS (KVKK m.16) eşik üstü sorumlular için kamuya açık kayıt. GDPR m.30 dahili işleme faaliyet kaydı. Her ikisi de güncel olmalı — KVKK 7 gün içinde güncelleme, GDPR proaktif.

27Veri ihlali 72 saatlik bildirimKVKK 72 saat içinde Kurum’a + veri sahiplerine bildirim (Veri İhlali Bildirim Tebliği). GDPR m.33 (72 saat denetim otoritesine) + m.34 (yüksek riskli ihlal veri sahibine). Paralel bildirim akışı kullanın.

28Veri sahibi talep akışıKVKK m.13 — 30 gün içinde yanıt. GDPR m.12 — karmaşık talepler için 90 güne uzatılabilir 30 gün. Her iki rejimin yanıt yükümlülüklerine eşleşen tek giriş portalı kullanın.

29Satıcı/işleyen yönetimi (DPA + m.28)Her veri işleyen DPA kapsamında olmalı: talimatlar, gizlilik, güvenlik, alt-işleyen yetkilendirme, denetim hakları, fesih sırasında iade/silme. Tedarik kapı kontrolü gereklidir.

30Olay müdahale runbook’u + periyodik denetimÜç ayda bir masaüstü egzersizleri. Dış denetim (GDPR m.32 / KVKK Veri Güvenliği Tebliği) yıllık. Her iki rejimde 5+ yıl denetim izi koruyun.

Karar Matrisi — Çift Rejim Uyumumuz Sağlam mı?

Tikledikleriniz dağılımı uyum olgunluğunuzu gösterir:

Bölüm 1 7+/8: Hangi rejimlere tabi olduğunuz net. Çift uygulamayı doğru tespit etmişsiniz.
Bölüm 2 7+/8: Hukuki dayanak haritası ve aydınlatma metinleri tam.
Bölüm 3 7+/8: Sınır-ötesi transferler güvence altında. Schrems II analizi belgelenmiş.
Bölüm 4 4+/6: Operasyonel kontroller canlı. Denetime hazır.
Bölüm 2-3 zayıf: Yaptırım riski yüksek — KVKK Kurum kararları + EDPB rehberleri üzerinden hızlı yamamlama.
Sınır-ötesi haritası eksik: Bulut satıcısı transfer zinciri tek-tek haritalanmalı. SCC + TIA olmadan transfer açıkta.
72 saatlik runbook yok: İhlal anında yanıt verme kapasitesi yok — masaüstü egzersizi şart.
Dört bölüm eşik üstü: KVKK + GDPR uyumu üst seyirde. Yıllık dış denetim ve düzenli güncellemelerle kalıcı tutun.

Hukuki uyarı. Bu doküman yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz. Atıfta bulunulan KVKK, GDPR, KVKK Kurul Kararları, EDPB rehberleri ve diğer mevzuat genel referanslardır; şirketinize uyarlaması veri koruma deneyimi olan bir hukukçu tarafından değerlendirilmelidir. Vircon Legal: [email protected]

KARDEŞ CHECKLİSTLER

Bunlar da ilginizi çekebilir

VERBİS Kayıt Yükümlülüğü

Aç →

ETBİS Kayıt Yükümlülüğü

Aç →

Bir sonraki adım

30 dakikalık ücretsiz tanışma görüşmesi planlayın

Bu checklist'i geçtikten sonra, size özel risk değerlendirmesi ve eksik maddelerin önceliklendirilmesi için aşağıdan uygun bir zaman dilimi seçebilirsiniz.