Türkiye’de faaliyet gösteren her işletme, büyüklüğü ne olursa olsun KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında sorumluluk taşır. Çoğu şirket KVKK’yı yalnızca “aydınlatma metni yayınlamak” veya “internet sitesine çerez bildirimi koymak” olarak algılar. Oysa asıl kritik konu şudur:
Şirket dosyaları KVKK’ya uygun şekilde saklanıyor mu?
Müşteri bilgileri, çalışan özlük dosyaları, sözleşmeler, teklif dokümanları, e-posta yazışmaları… Bunların tamamı kişisel veri içerebilir. Ve bu verilerin nasıl saklandığı, kimlerin eriştiği, ne kadar süre tutulduğu doğrudan KVKK kapsamındadır.
Bu rehberde KVKK çerçevesinde şirket dosyalarının nasıl saklanması gerektiğini, hangi risklerin bulunduğunu ve işletmelerin nasıl güvenli bir yapı kurabileceğini detaylı şekilde ele alıyoruz.
KVKK Nedir ve Şirketleri Neden İlgilendirir?
KVKK, kişisel verilerin işlenmesini, saklanmasını ve korunmasını düzenleyen bir kanundur.
Kanuna göre:
- Kimlik bilgileri
- İletişim bilgileri
- Finansal veriler
- Çalışan kayıtları
- IP adresleri
gibi birçok veri “kişisel veri” sayılır.
Şirketiniz:
- Müşteri kaydı tutuyorsa
- Personel çalıştırıyorsa
- Teklif veya sözleşme saklıyorsa
KVKK kapsamındadır.
Şirket Dosyaları KVKK Açısından Neden Kritik?
Birçok firma kişisel verileri sadece CRM sisteminde tuttuğunu düşünür. Oysa gerçek hayatta veriler:
- Excel dosyalarında
- PDF sözleşmelerde
- Paylaşılan klasörlerde
- E-posta eklerinde
- Personel klasörlerinde
dağınık şekilde bulunur.
Eğer bu dosyalar:
- Kontrolsüz erişime açıksa
- Kişisel hesaplarda tutuluyorsa
- Yetkilendirme yapılmamışsa
ciddi bir KVKK riski oluşur.
KVKK’ya Uygun Dosya Saklama İlkeleri
KVKK kapsamında dosya saklama süreci bazı temel prensiplere dayanır:
1️⃣ Sınırlı Erişim
Kişisel verilere yalnızca görev alanı gereği erişmesi gereken kişiler erişebilmelidir.
2️⃣ Amaçla Sınırlılık
Veri, yalnızca belirlenen iş amacı için saklanmalıdır.
3️⃣ Süre Sınırı
Veriler, gerekli olandan daha uzun süre saklanmamalıdır.
4️⃣ Güvenli Saklama
Veriler yetkisiz erişime, kayba ve sızıntıya karşı korunmalıdır.
Bu ilkeler kağıt üzerinde kolay görünür; ancak uygulamada doğru sistem gerektirir.
En Sık Yapılan KVKK Hataları
❌ Herkesin Erişebildiği Ortak Klasörler
Muhasebe, insan kaynakları ve satış dosyalarının aynı alanda bulunması, KVKK açısından risklidir.
❌ Ayrılan Personelin Erişimlerinin Açık Kalması
Şirketten ayrılan çalışanların erişimlerinin kapatılmaması ciddi veri güvenliği açığıdır.
❌ Kişisel Hesaplarda Dosya Saklanması
Şirket dosyalarının çalışanların bireysel hesaplarında tutulması kontrol kaybına yol açar.
❌ Denetim Kayıtlarının Tutulmaması
Kim, hangi dosyaya ne zaman erişti sorusuna cevap verilemiyorsa denetim zayıftır.
KVKK’ya Uygun Dosya Saklama Yapısı Nasıl Olmalı?
Aşağıdaki tablo doğru ve riskli yapıyı net şekilde gösterir:
| Uygulama | Riskli Yapı | KVKK Uyumlu Yapı |
|---|---|---|
| Dosya saklama | Kişisel hesaplar | Merkezi sistem |
| Erişim | Herkese açık | Rol bazlı yetki |
| Silme | Kontrolsüz | Yetki sınırlı |
| Denetim | Kayıt yok | Log tutulur |
| Departman ayrımı | Karışık | Net yapı |
KVKK uyumu, yalnızca politika değil; teknik ve yapısal düzenleme gerektirir.
Kullanıcı Yetkilendirme ve KVKK
KVKK açısından en kritik kavramlardan biri kullanıcı yetkilendirmedir.
Doğru yetkilendirme ile:
- İnsan kaynakları dosyalarına yalnızca ilgili birim erişir
- Muhasebe verileri sınırlandırılır
- Yönetim dışındaki kullanıcılar kritik belgelere erişemez
Bu yapı, hem veri güvenliğini hem de hukuki uyumu destekler.
Departman Bazlı Veri Saklama Neden Gerekli?
Departman bazlı yapı:
- Veri sızıntısı riskini azaltır
- Sorumluluk alanlarını netleştirir
- Denetimi kolaylaştırır
- KVKK yükümlülüklerini sistematik hale getirir
Dağınık klasör yapıları ise tam tersine risk üretir.
Veri Saklama Süresi ve Silme Politikası
KVKK, verilerin gereksiz yere tutulmamasını öngörür.
Bu nedenle şirketlerin:
- Saklama sürelerini belirlemesi
- Süresi dolan verileri silmesi
- Silme süreçlerini kayıt altına alması
gerekir.
Bu süreç manuel değil, sistematik olmalıdır.
KVKK ve İş Sürekliliği
Bir veri ihlali:
- Maddi ceza
- İtibar kaybı
- Müşteri güveni kaybı
anlamına gelebilir.
Dolayısıyla KVKK uyumu sadece hukuki zorunluluk değil; ticari sürdürülebilirlik meselesidir.
KVKK Uyumlu Veri Saklama İçin İşletmeler Ne Yapmalı?
Özetle:
- İş için depolama yaklaşımı benimsenmeli
- Kurumsal veri paylaşımı kontrol altına alınmalı
- Kullanıcı yetkilendirme yapılmalı
- Departman bazlı yapı kurulmalı
- Denetim ve kayıt mekanizması aktif olmalı
- Yönetilebilir altyapı tercih edilmeli
Bu adımlar, KVKK yükümlülüklerini teknik olarak destekler.
Sonuç: KVKK Uyumu Bir Belge Değil, Bir Sistemdir
KVKK uyumu:
- Sadece metin yayınlamak değildir
- Sadece sözleşme hazırlamak değildir
- Sadece danışmanlık almak değildir
Gerçek uyum, şirket dosyalarının nasıl saklandığında ortaya çıkar.
Eğer verileriniz nerede, kimde ve nasıl saklandığı net değilse; risk hukuki olmaktan çıkıp operasyonel hale gelir.
Doğru yapı kurulmuş bir sistem ise hem güvenlik hem de iç huzur sağlar.
SSS: KVKK Kapsamında Şirket Dosyaları
KVKK kapsamında hangi dosyalar kişisel veri sayılır?
Kimlik bilgileri, iletişim bilgileri, finansal kayıtlar, çalışan özlük dosyaları, müşteri sözleşmeleri ve teklif belgeleri gibi kişisel veri içeren tüm dosyalar KVKK kapsamındadır.
Şirket içindeki Excel ve PDF dosyaları da KVKK’ya girer mi?
Evet. İçerdiği verinin niteliği önemlidir, dosya formatı değil. Excel, PDF veya Word dosyalarında kişisel veri bulunuyorsa KVKK kapsamındadır.
Kişisel veriler ne kadar süre saklanabilir?
Veriler yalnızca işleme amacı devam ettiği sürece saklanmalıdır. Amaç ortadan kalktığında veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Şirketten ayrılan personelin dosyalara erişimi KVKK açısından risk midir?
Evet. Ayrılan personelin erişiminin açık kalması, veri ihlali riskini artırır ve KVKK kapsamında idari yaptırımlara neden olabilir.
Ortak klasör kullanımı KVKK’ya aykırı mıdır?
Herkesin erişebildiği kontrolsüz ortak klasörler, veri güvenliği açısından risklidir. KVKK, kişisel verilere yalnızca yetkili kişilerin erişmesini gerektirir.
Kullanıcı yetkilendirme KVKK uyumu için zorunlu mudur?
Evet. Yetkilendirme yapılmadan kişisel verilerin korunması mümkün değildir. Rol bazlı erişim, KVKK uyumunun temel unsurlarından biridir.
Denetim kayıtlarının tutulması neden önemlidir?
Kimlerin hangi dosyalara eriştiğinin kayıt altına alınması, olası bir veri ihlalinde sorumluluğun tespit edilmesini sağlar ve hukuki açıdan koruma sağlar.
Kişisel hesaplarda şirket dosyası saklamak KVKK’ya uygun mudur?
Hayır. Şirket verilerinin bireysel hesaplarda tutulması kontrol kaybına neden olur ve veri güvenliği açısından ciddi risk oluşturur.
KVKK uyumu için sadece sözleşme ve metinler yeterli midir?
Hayır. Hukuki metinler gereklidir ancak teknik ve yapısal güvenlik önlemleri olmadan gerçek bir KVKK uyumu sağlanamaz.
Küçük işletmeler KVKK’dan muaf mıdır?
Hayır. Kişisel veri işleyen her işletme, ölçeği ne olursa olsun KVKK kapsamındadır.
