KVKK Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye'nin GDPR benzeri veri koruma yasasıdır (2016). Türkiye'de faaliyet gösteren veya Türk vatandaşlarının verilerini işleyen tüm kuruluşları kapsar.
GDPR ile Benzerlikleri
- Kişisel veri tanımı benzer
- Açık rıza zorunluluğu
- Veri sorumlusu / veri işleyen ayrımı
- Kullanıcı hakları (erişim, düzeltme, silme)
- İhlal bildirimi zorunluluğu
GDPR'dan Farkları
| Konu | KVKK | GDPR |
|---|---|---|
| Otorite | KVKK Kurumu | Ulusal DPA'lar |
| Cezalar | Daha düşük | Çok yüksek |
| DPO zorunluluğu | Yok | Belirli durumlarda var |
| Yurt dışı aktarım | Kurul izni gerekli | Yeterlilik kararı/SCC |
Mobil Uygulama İçin Yapılması Gerekenler
1. Aydınlatma Metni
- Uygulama içi erişilebilir olmalı
- Veri sorumlusu bilgileri
- Hangi veriler, hangi amaçla işleniyor
- Veri aktarım bilgileri
- Kullanıcı hakları
2. Açık Rıza
- Belirli konuya ilişkin
- Bilgilendirmeye dayanan
- Özgür irade ile açıklanan
- Önceden tıklanmış kutucuk GEÇERSİZ
3. VERBİS Kaydı
- Veri Sorumluları Sicili'ne kayıt
- Belirli eşik değerleri üzerindeki şirketler için zorunlu
- Yıllık beyan güncelleme
4. Veri Güvenliği
- Teknik önlemler (şifreleme, erişim kontrolü)
- İdari önlemler (politikalar, eğitim)
- Veri ihlali durumunda 72 saat bildirim
Özel Nitelikli Veriler
Sağlık, biyometrik, din, ırk gibi hassas veriler:
- Açık rıza ZORUNLU (istisna yok)
- Ekstra güvenlik önlemleri gerekli
- Sağlık uygulamaları için dikkat
Mobil Uygulama KVKK Uyum Kontrol Listesi
Uygulamanızın KVKK'ya tam uyumlu olmasını sağlamak için:
- Aydınlatma metni hazırlandı ve uygulama içinde erişilebilir
- Açık rıza mekanizması entegre edildi (opt-in, önceden tıklı değil)
- VERBİS'e kayıt yapıldı (eşik değerleri üzerindeyse)
- Kişisel veri envanteri çıkarıldı (hangi veri, neden, ne kadar süre)
- Veri işleme sözleşmeleri üçüncü taraflarla imzalandı
- Veri ihlali müdahale planı hazırlandı
- Kullanıcı hakları talep süreci tanımlandı (erişim, düzeltme, silme)
- Verilerin yurt dışına aktarımı için Kurul izni/taahhütname alındı
- Teknik güvenlik önlemleri uygulandı (şifreleme, erişim kontrolü, log tutma)
Kullanıcı Hakları ve Başvuru Süreci
KVKK kapsamında kullanıcıların şu hakları vardır:
- Öğrenme hakkı: Kişisel verisinin işlenip işlenmediğini öğrenme
- Bilgi talep etme: İşlenmişse buna ilişkin bilgi talep etme
- Amaç öğrenme: Verilerin hangi amaçla işlendiğini ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Üçüncü taraf bilgisi: Verilerin yurt içi/yurt dışında aktarıldığı kişileri öğrenme
- Düzeltme: Eksik veya yanlış işlenen verilerin düzeltilmesini isteme
- Silme/yok etme: İşlenme şartları ortadan kalktığında verilerin silinmesini talep etme
- İtiraz: İşlenen verinin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhe bir sonuç çıkması halinde itiraz etme
Başvuru süreci: Kullanıcı yazılı başvuru yapar → 30 gün içinde yanıt verilmeli → Yanıt yetersizse KVKK Kurumu'na şikâyet hakkı vardır.
Yurt Dışı Veri Aktarımı
Türkiye'den yurt dışına veri aktarımı için:
- Yeterli korumaya sahip ülkeler (KVKK Kurulu listesi)
- Veya her iki tarafın taahhütnamesi + Kurul izni
- Bulut hizmetler (AWS, Firebase) için dikkat gerekli
Ceza Yapısı
KVKK ihlallerinde uygulanacak cezalar:
- Aydınlatma yükümlülüğüne aykırılık: 5.000 - 100.000 TL
- Veri güvenliği yükümlülüğüne aykırılık: 15.000 - 1.000.000 TL
- Kurul kararlarına aykırılık: 25.000 - 1.000.000 TL
- VERBİS kayıt yükümlülüğüne aykırılık: 20.000 - 1.000.000 TL
KVKK ihlal cezaları GDPR kadar yüksek olmasa da itibar kaybı ve işletme durdurma riski var.