KVKK § 10 "Aydınlatma Yükümlülüğü" başlığı kişisel veri işleme öncesi veri sahibine bilgilendirme yapılması zorunluluğunu tanımlar. Bulut yedek sağlayıcı seçerken sağlayıcının Aydınlatma Metnini incelemek en hızlı uyum testidir — metin eksikse sağlayıcı KVKK'ya aykırı ürün satıyor demektir.
Bu yazıda Kurum'un denetim listesinden çıkardığımız 8 zorunlu alanı tek tek inceliyoruz, hangi sorulara cevap aradığını ve PratikYedek'in metninin ilgili bölümlerini göstereceğiz.
1. Veri sorumlusunun kimliği (KVKK § 10/1-a)
Metinde:
- Şirket adı + ünvan
- MERSİS no
- Ticari adres
- KVKK Kurumu'na sicil kayıt numarası (VERBİS no)
bulunmalı. "info@..." bir e-posta kimlik değil; ticari sicil bilgisidir.
PratikYedek metninde: § 1 "Veri Sorumlusu Bilgileri" — şirket bilgileri, MERSİS, VERBİS, KVKK irtibat kişisi açıkça listelidir.
2. İşleme amacı (KVKK § 10/1-b)
"Yedekleme" tek başına yeterli amaç değil. Metin özelleşmeli:
- Hangi veri kategorileri yedekleniyor (mali tablo, mukellef bilgisi, çalışan kayıtları, vs.)
- Bu yedeğin hangi durumda kullanılacağı (ransomware geri dönüş, kaza silme, KVKK § 12 ispat)
- Saklama süresi sonunda ne olacağı (otomatik silme, anonimleştirme)
PratikYedek metninde: § 3 "İşlenen Veri Kategorileri ve Amacı" — 7 kategori ve her birinin spesifik amacı listelidir.
3. Aktarılan üçüncü kişiler ve amaçları (KVKK § 10/1-c)
Sağlayıcı sub-processor (alt-işleyici) kullanıyorsa isim isim listelenmeli: hangi servis (e-posta gönderim, SMS, hata izleme, ödeme), hangi şirket, nerede barındırılıyor.
PratikYedek metninde: § 5 "Üçüncü Taraf Hizmet Sağlayıcılar" — Mailcow (kendi sunucumuz), Twilio Türkiye SMS, GlitchTip (kendi sunucumuz), PaynKolay/iyzico/PayTR ödeme, Bien/Uyumsoft/İzibiz/Foriba/CRSSoft e-Belge entegrasyon. Hepsi açıkça listelidir.
4. Yurt dışına aktarım (KVKK § 9)
Veriniz yurt dışına gidiyorsa açık rıza veya § 9 istisnalarından biri şart. Sağlayıcının metni "veri merkezimiz [ülke]'de" diyorsa ve § 9 dayanağını belirtmiyorsa yasal değil.
PratikYedek metninde: § 6 "Veri Saklama Konumu" — "Tüm kişisel veriler Türkiye Cumhuriyeti sınırları içinde, KVKK § 9 uyumlu fiziksel sunucularda barındırılır. Yurt dışına aktarım yoktur." İstanbul ve Ankara veri merkezi adresleri verilidir.
5. Veri toplama yöntemi ve hukuki sebebi (KVKK § 10/1-d)
"Kayıt formu üzerinden" yetersiz. Hangi alanların hangi hukuki sebebe dayandığı (§ 5/2-a açık rıza, § 5/2-c sözleşme ifası, § 5/2-ç hukuki yükümlülük, § 5/2-f meşru menfaat) alan bazlı belirtilmeli.
PratikYedek metninde: § 7 "Hukuki Sebepler Tablosu" — her veri alanı için ayrı hukuki sebep referansı + örnek senaryo.
6. Veri sahibinin hakları (KVKK § 11)
Metin § 11'in 7 bendinin tamamını sayılmalı (a-g) ve hak kullanım kanalını (e-posta, fiziki başvuru) belirtmeli. Sadece "haklarınızı kullanabilirsiniz" yetersiz.
PratikYedek metninde: § 9 "Veri Sahibinin Hakları" — 7 bent tek tek listelidir + KVKK İlgili Kişi Başvuru Formu PDF linki + 30 günlük yanıt taahhüdü.
7. Saklama süresi (KVKK § 7 silme/anonimleştirme)
VUK 242 5 yıl genel kural; özel nitelikli veride farklı (KVKK § 6); finansal veride farklı (BDDK düzenlemeleri). Metin veri kategorisi bazında saklama süresi vermeli.
PratikYedek metninde: § 8 "Saklama ve İmha Süreleri" — 7 kategori, her biri için kanuni dayanak + süre. Saklama süresi sonunda anonimleştirme prosedürü açıklı.
8. Güvenlik tedbirleri (KVKK § 12)
Metin teknik ve idari tedbirleri listelemeli. "Gerekli tedbirleri alıyoruz" yetersiz; spesifik tedbirler (şifreleme algoritması, anahtar yönetimi, erişim kontrol, audit log, eğitim) sayılmalı.
PratikYedek metninde: § 11 "Teknik ve İdari Tedbirler" — AES-256-GCM şifreleme, RBAC erişim, 6 ayda bir penetrasyon testi, çalışan KVKK eğitimi, audit log retention 5 yıl. Hepsi spesifik şekilde listelidir.
Denetim checklist
Sağlayıcınızın Aydınlatma Metnini açın ve şu 8 maddeyi tek tek kontrol edin. Yokları işaretleyin. Üçünden fazla eksik varsa sağlayıcı KVKK uyumlu değildir. Bu, denetim durumunda sizi (veri sorumlusu konumundaki müşteri olarak) zora sokar — Kurum "sub-işleyici seçim sorumluluğu" başlığı altında müşteriye de ceza kesebilir.
PratikYedek Aydınlatma Metni v1.1: pratikyedek.com/legal/aydinlatma — SHA-256 damgalı, sürüm geçmişli, PDF ve Markdown formatlarında.
Erken Erişim'de KVKK uyum
Erken Erişim programına katılan firmalar onboarding sürecinde:
- DPA (Veri İşleyici Sözleşmesi) v1.1 imzalanır
- Aydınlatma Metni v1.1 e-imza ile onaylanır
- KVKK uyum checklist'i (yukarıdaki 8 madde + 12 ek kontrol) doldurulur ve denetim hazırlığı belgesi olarak verilir