Kvkk Danışmanlığı Mı Korku Ticareti Mi?

KVKK Gerçeklerin Farkına Varın!

Bu bir ticari girişim değil, bilinçlendirme projesidir.

Kişisel Verilerin Korunması Kanunu (KVKK), şirketler için bir yükümlülük olsa da, bu süreci istismar eden "sözde" danışmanlık firmaları piyasada kol geziyor.

Bir bilgi işlem uzmanı olarak sizi uyarıyorum: KVKK bir ürün değil, bir süreçtir.

5 Maddede "Uzak Durmanız Gereken" Firma Tipi

• "Sertifika Veriyoruz" Diyenler: KVKK Kurumu tarafından onaylanmış veya hukuken geçerliliği olan bir "KVKK Uyum Sertifikası" yoktur. Size çerçeveletip asacağınız bir kağıt satanlar, sadece kağıt satıyor demektir.
• "Resmi Denetçiyiz" Diyenler: Türkiye’de denetim yetkisi sadece Kişisel Verileri Koruma Kurumu’ndadır. Hiçbir özel firmanın "resmi denetçi" sıfatıyla kapınızı çalma yetkisi yoktur.
• Korkuyla Pazarlama Yapanlar: Görüşmeye "Milyonluk cezalar kapıda!" diyerek başlayan, sizi kanunla korkutup hızlıca sözleşme imzalatmak isteyenlerden kaçının.
• Kopyala-Yapıştır Belgeler: Firmanızın iş akışını incelemeden, teknik altyapınızı (log yönetimi, firewall vb.) analiz etmeden önünüze hazır bir dosya koyanlar sizi korumaz.
• Teknikten Anlamayanlar: KVKK sadece hukuk değil, %50 oranında teknik güvenliktir. "Biz sadece hukukçuyuz, teknik kısma karışmayız" diyen bir yapı, sizi yarı yolda bırakır.

Doğru Bir KVKK Süreci Nasıl Olmalıdır?

• Gerçek bir KVKK uyumu için şu üç sac ayağının aynı anda kurulması gerekir:
• Hukuki Süreç: Envanter hazırlığı, aydınlatma metinleri ve sözleşme revizeleri.
• Teknik Tedbirler: Yetki matrisi, log yönetimi, veri maskeleme, ağ güvenliği ve imha politikaları.
• Fiziki Güvenlik: Arşiv odaları, giriş-çıkış kontrolleri ve donanım güvenliği.

Sıkça Sorulan Sorular

KVKK danışmanı beni cezadan kurtarır mı?

Hayır. Veri sorumlusu her zaman firmanın kendisidir. Yanlış danışmanlık sizi daha büyük risk altına sokar.

Her firma VERBİS'e kayıt olmak zorunda mı?

Hayır. Çalışan sayısı ve yıllık mali bilanço gibi belirli kriterlere göre zorunluluk değişir. Sizi araştırmadan "Hemen kayıt yapmalıyız" diyenlere inanmayın.

Bu firmalar neden türedi?

Cezaların yüksekliği ve konunun karmaşıklığı, "hızlı para" kazanmak isteyenler için uygun bir zemin oluşturdu.

Son Söz: Para kazanma amacı güden sözde KVKK denetim firmasına değil, Kanuna güvenin.

İşletmenizi korumak için kapınıza gelenlere şu soruyu sorun:

"Bize özel teknik veri envanterimizi nasıl çıkaracaksınız ve siber güvenlik açıklarımızı nasıl raporlayacaksınız?" Eğer yanıtlar yuvarlaksa, oradan uzaklaşın.

Unutmayın: KVKK bir kâğıt yığını değil, dijital bir disiplindir.

KVKK Danışmanını 10 Soruda Test Et

Kapınızı çalan veya sizi arayan firmaya aşağıdaki soruları yöneltin. Eğer çoğuna "kaçamak" cevaplar alıyorsanız, dikkatli olun!

1. "Verdiğiniz uyum sertifikası bizi KVKK incelemelerinde yasal olarak korur mu?"
Doğru Cevap: "Hayır, kurum nezdinde yasal bir geçerliliği yoktur, sadece sürecin tamamlandığını belgeleyen sembolik bir evraktır."

⚠️ Yanlış Cevap: "Evet, bu sertifika ile denetimlerden muaf olursunuz." (Külliyen yalan!)

2. "Teknik tedbirler kapsamında log yönetimimizi ve firewall kurallarımızı denetleyecek misiniz?"
Doğru Cevap: "Evet, teknik bir analiz yapıp eksikleri raporlayacağız."

⚠️ Yanlış Cevap: "Biz sadece hukuk kısmına bakıyoruz, teknik kısımları siz halledersiniz." (Yarım hizmet!)

3. "Veri envanterimizi hazırlarken her departmanla ayrı ayrı mülakat yapacak mısınız?"
Doğru Cevap: "Evet, muhasebeden İK'ya kadar tüm veri akışını bizzat yerinde analiz edeceğiz."

⚠️ Yanlış Cevap: "Size bir form göndereceğiz, siz doldurunca biz sisteme gireceğiz." (Sorumluluğu size yıkıyorlar!)

4. "Bize vereceğiniz belgeler bizim şirketimize özel mi olacak?"
Doğru Cevap: "İş akışınıza göre özelleştirilmiş, butik metinler hazırlanacak."

⚠️ Yanlış Cevap: "Standart yasal metinlerimiz var, onları size uyarlayacağız." (Kopyala-yapıştır tehlikesi!)

5. "Siber güvenlik saldırısı (Veri İhlali) yaşarsak süreç yönetiminde yanımızda olacak mısınız?"
Doğru Cevap: "72 saatlik bildirim süreci ve kriz yönetiminde teknik ve hukuki destek vereceğiz."

⚠️ Yanlış Cevap: "O konu bizim kapsamımız dışında, siber güvenlikçinizle görüşmelisiniz."

6. "Resmi KVKK Denetçisi olduğunuzu kanıtlayabilir misiniz?"
Doğru Cevap: "Özel firmaların resmi denetçilik yetkisi yoktur, biz danışmanlık yapıyoruz."

⚠️ Yanlış Cevap: "Tabii, biz akredite denetim firmasıyız." (Büyük bir yanıltma!)

7. "Sadece VERBİS kaydı yapmanız bizi hukuken tam uyumlu yapar mı?"
Doğru Cevap: "Hayır, VERBİS sadece bir beyandır. Asıl olan içerideki veri güvenliği ve hukuki altyapıdır."

⚠️ Yanlış Cevap: "Evet, VERBİS kaydınız varsa ceza almazsınız."

8. "Çalışanlarımıza farkındalık eğitimi verecek misiniz?"
Doğru Cevap: "Evet, hem hukuki hem teknik farkındalık eğitimi zorunludur ve programımızda var."

⚠️ Yanlış Cevap: "Size bir sunum dosyası bırakırız, çalışanlarınıza okutursunuz."

9. "Yarın bir gün bir çalışanımız veya müşterimiz 'Verilerimi sil' dediğinde ne yapacağımızı gösterecek misiniz?"
Doğru Cevap: "Veri imha politikanızı ve başvuru yanıtlama prosedürünüzü beraber kuracağız."

10. "Referanslarınızda daha önce KVKK Kurumu tarafından denetlenmiş ve sürecinizden başarıyla geçmiş bir firma var mı?"
Doğru Cevap: "Evet, şu firmalar denetimden geçti ve sunduğumuz dökümantasyon kabul gördü."

Makale: Umut Yıldız 17 Nisan 2019