Dijital çağda veri, yeni petroldür. Ancak bu petrolü doğru depolamazsanız, sızdığında şirketinizi yakıp kül edebilir. Startuplar İçin KVKK (Kişisel Verilerin Korunması Kanunu) uyumu, genellikle ürün geliştirme ve yatırım arama telaşı arasında “sonra hallederiz” denilerek ertelenen bir konudur.
Oysa ki bir girişimin en büyük sermayesi “Güven”dir. Müşterilerinizin, çalışanlarınızın veya kullanıcılarınızın verilerini çaldırmak veya hukuka aykırı işlemek, sadece itibarınızı zedelemez; aynı zamanda Kişisel Verileri Koruma Kurumu tarafından kesilen ve can yakan idari para cezalarıyla karşılaşmanıza neden olur.
Bir mobil uygulama yaptınız ve üye kaydı alıyorsunuz. Veya bir e-ticaret sitesi kurdunuz ve kredi kartı saklıyorsunuz. Peki, bu verileri işleme hakkınız var mı? Nerede saklıyorsunuz? Ne zaman sileceksiniz? İşte Startuplar İçin KVKK rehberimizle, hukuki mayın tarlasına basmadan yürümenin yolları.
Kurucu Ortaklar Sözleşmesi (Shareholders Agreement): Neden Her Girişimin Anayasasıdır?
KVKK Nedir ve Startupları Neden İlgilendirir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlar.
Pek çok girişimci, “Biz daha 3 kişilik bir ekibiz, holding değiliz, kanun bizi kapsamaz” yanılgısına düşer. Bu tamamen yanlıştır. Kanun, “Veri Sorumlusu” sıfatıyla veri işleyen herkesi kapsar.
Eğer şunlardan birini bile yapıyorsanız, Startuplar İçin KVKK yükümlülükleri başlamış demektir:
-
Web sitenizde “İletişim Formu” varsa (Ad-Soyad, E-posta alıyorsanız).
-
Çalışanınızın SGK girişini yapıyorsanız.
-
Uygulamanızda üyelik sistemi varsa.
-
Müşterilerinize e-bülten gönderiyorsanız.
Gördüğünüz gibi, veriye dokunmayan bir startup neredeyse yoktur.
Anonim Şirket mi Limited Şirket mi? Bir Startup İçin Hangisi Daha Avantajlı?
Veri Güvenliğinde Dikkat Edilmesi Gereken 5 Altın Kural
KVKK uyumu sadece bir avukata sözleşme yazdırmak değildir; yaşayan, teknik ve idari bir süreçtir. İşte girişiminizi korumak için uygulamanız gereken 5 temel adım:
1. Veri Envanterinizi Çıkarın (Haritanızı Belirleyin)
Neyi koruyacağınızı bilmezseniz, koruyamazsınız. Startuplar İçin KVKK sürecinin ilk ve en önemli adımı “Kişisel Veri İşleme Envanteri” hazırlamaktır. Bu, şirketin veri röntgenidir.
Şu sorulara cevap veren bir tablo oluşturmalısınız:
-
Hangi veriyi alıyorum? (Ad, Telefon, Konum, Ayakkabı numarası vb.)
-
Kimden alıyorum? (Çalışan, Müşteri, Tedarikçi, Ziyaretçi)
-
Neden alıyorum? (Fatura kesmek için mi, pazarlama yapmak için mi?)
-
Nerede saklıyorum? (Bulut sunucu, fiziksel dosya, Excel tablosu)
-
Ne zaman sileceğim? (İşlem bittikten 2 yıl sonra mı?)
Bu envanter, olası bir denetimde Kurul’un sizden isteyeceği ilk belgedir.
Bootstrapping Nedir? Yatırım Almadan Kendi Öz Sermayenizle Büyüme Stratejileri
2. Aydınlatma Yükümlülüğü ve Açık Rıza (İkisi Farklıdır!)
Girişimcilerin en çok karıştırdığı iki kavram: “Aydınlatma Metni” ve “Açık Rıza”.
-
Aydınlatma Metni: “Ben senin şu verini, şu amaçla alıyorum” deme yükümlülüğünüzdür. Bunu yapmak zorundasınız, kullanıcının onayına bağlı değildir. Sitenize koyduğunuz o uzun metin budur.
-
Açık Rıza: “Verini işleyebilir miyim?” sorusuna kullanıcının “Evet” demesidir. Her işlem için açık rıza gerekmez. Örneğin, kargo göndermek için adres istiyorsanız rıza gerekmez (Kanun gereği zorunludur). Ancak, o kişiye sonradan reklam SMS’i atacaksanız Açık Rıza şarttır.
Startuplar İçin KVKK hatası: Üyelik sözleşmesinin içine küçücük bir kutucuk koyup “Sözleşmeyi ve verilerimin işlenmesini kabul ediyorum” diyerek hepsini tek tıkla onaylatmak hukuka aykırıdır. Üyelik onayı ayrı, ticari elektronik ileti (pazarlama) onayı ayrı kutucuklarda olmalıdır.
3. VERBİS Kayıt Yükümlülüğünü Kontrol Edin
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), veri işleyen şirketlerin kayıt olduğu devlete ait bir veri tabanıdır. Ancak her startup buraya kayıt olmak zorunda değildir.
Kayıt zorunluluğu için şu şartlardan birini taşımanız gerekir (2024-2025 kriterlerine göre):
-
Yıllık çalışan sayısı 50’den çok ise.
-
Yıllık mali bilanço toplamı 100 Milyon TL’den çok ise.
-
Veya ana faaliyet konunuz Özel Nitelikli Kişisel Veri (Sağlık, Biyometrik veri vb.) işlemek ise (Doktorlar, Diyetisyenler vb.).
Çoğu erken aşama startup bu limitlerin altındadır. Ancak dikkat! VERBİS’e kayıt zorunluluğunuzun olmaması, Startuplar İçin KVKK kanununa uyma zorunluluğunuz olmadığı anlamına gelmez. Kayıt olmasanız bile aydınlatma metniniz olmak zorundadır.
4. Teknik Tedbirler: Siber Güvenlik Duvarları
KVKK sadece kağıt üzerinde hukuki bir süreç değildir; işin “Teknik Tedbirler” boyutu vardır. Veriyi aldınız ama koruyabiliyor musunuz?
Kurul, bir siber saldırı (Data Breach) olduğunda şunları sorar:
-
Şifreleme: Veritabanındaki şifreler “Hash”lenmiş mi? (Örn: 123456 yerine karmaşık kodlar).
-
Yetki Matrisi: Şirketteki stajyer, tüm müşterilerin kredi kartı bilgilerini görebiliyor mu? (Görmemeli). Kimin hangi veriye erişeceği kısıtlanmalıdır.
-
Log Kayıtları: Veriye kim, ne zaman erişti? İz kayıtları tutuluyor mu?
-
Sızma Testleri (Penetration Test): Sistemin açıklarını düzenli olarak test ediyor musunuz?
Startup’ınızın teknik altyapısı ne kadar güçlüyse, hukuki sorumluluğunuz o kadar azalır.
5. Veri İmha Politikası: Çöpü Dışarı Atın
“Veri güçtür, ne kadar çok toplarsam o kadar iyi” mantığı, Startuplar İçin KVKK açısından büyük bir risktir. İşiniz bittiğinde o veriyi silmek, yok etmek veya anonim hale getirmek zorundasınız.
Örneğin, iş başvurusunda bulunan bir adayın CV’sini, aday işe alınmasa bile sonsuza kadar saklayamazsınız. Bir “Saklama ve İmha Politikası” oluşturmalı ve periyodik olarak (örneğin 6 ayda bir) gereksiz verileri sistemden temizlemelisiniz. Buna “Veri Hijyeni” denir.
Kopyala-Yapıştır Metinlerin Tehlikesi-Startuplar İçin KVKK Rehberi
Pek çok girişimci, “Trendyol’un veya Hepsiburada’nın aydınlatma metnini kopyalayıp sitemize koyalım, nasıl olsa onlar doğrusunu yapmıştır” der. Bu, yapabileceğiniz en büyük hatadır.
Neden mi?
-
O şirketin işlediği veri ile sizinki aynı değildir.
-
Onlar veriyi Call Center için işliyordur, sizde Call Center yoktur.
-
Onlar veriyi yurt dışına aktarıyordur, siz aktarmıyorsunuzdur.
Sitenizde “Çağrı merkezi kayıtlarınız işlenmektedir” yazıp, aslında çağrı merkeziniz yoksa; bir denetimde kullanıcıyı yanılttığınız için ceza alabilirsiniz. Startuplar İçin KVKK metinleri “Terzi İşi” olmalı, girişimin süreçlerine özel yazılmalıdır.
GDPR (Avrupa) ile KVKK Arasındaki Fark
Eğer startup’ınızın hedefi globalleşmekse ve Avrupa Birliği vatandaşlarının verisini işliyorsanız (örneğin Almanya’ya satış yapıyorsanız), sadece Türk kanunu KVKK yetmez; Avrupa’nın GDPR (General Data Protection Regulation) yasasına da uymanız gerekir.
GDPR, KVKK’ya göre çok daha katı kurallara ve çok daha yüksek (Euro bazlı) cezalara sahiptir. Eğer SaaS (Hizmet Olarak Yazılım) işi yapıyorsanız, sisteminizi en baştan GDPR uyumlu (Privacy by Design) tasarlamak size büyük avantaj sağlar.
Uyumsuzluğun Bedeli: İdari Para Cezaları
KVKK’ya uymamanın cezaları her yıl yeniden değerleme oranına göre artmaktadır. 2024-2025 projeksiyonlarına göre:
-
Aydınlatma yükümlülüğünü yerine getirmemek: Yüz binlerce TL
-
Veri güvenliğini sağlamamak (Siber saldırı sonucu veri çaldırmak): Milyonlarca TL
-
Kurul kararlarını yerine getirmemek: Ciddi yaptırımlar
Bir startup için bu rakamlar, şirketin kapısına kilit vurulması anlamına gelebilir.
Sonuç
Veri güvenliği ve hukuk, startup dünyasında “sıkıcı detaylar” olarak görülebilir. Ancak sağlam bir bina, sağlam bir temel üzerine kurulur. Startuplar İçin KVKK uyumu, sadece ceza yememek için değil, yatırımcılara ve müşterilere “Biz işimizi ciddiye alıyoruz, veriniz bizimle güvende” mesajını vermek için bir fırsattır.
Ürününüzün kodlarını yazarken gösterdiğiniz özeni, o kodların işleyeceği verileri korumak için de gösterin. Unutmayın, güven zor kazanılır ama saniyeler içinde kaybedilir.
Sıkça Sorulan Sorular (FAQ)
Sunucularımın yurt dışında olması KVKK’ya aykırı mı? Hayır, yasak değildir ancak sıkı kuralları vardır. AWS, Google Cloud gibi sunucular yurt dışında olduğu için “Yurt Dışına Veri Aktarımı” yapmış sayılırsınız. Bunun için ya kullanıcının “Açık Rızasını” almalı ya da Kurul’un belirlediği güvenli ülkeler listesine veya taahhütnamelere uymalısınız.
Mailchimp kullanmak veri ihlali mi? Mailchimp sunucuları ABD’de olduğu için veriyi yurt dışına aktarmış olursunuz. Kullanıcılarınızdan “Verilerinizin yurt dışında işlenmesine onay veriyor musunuz?” şeklinde açık rıza almazsanız, teknik olarak KVKK’ya aykırı işlem yapmış olabilirsiniz.
KVKK uyumu için avukat şart mı? Hukuki metinlerin hazırlanması için bir avukattan, teknik tedbirlerin (siber güvenlik) alınması için ise bir IT uzmanından destek almak en doğrusudur. Bu süreç tek başına yapılabilecek bir işlem değildir.
