Derneklerde KVKK Yükümlülükleri: Üyeden Yararlanıcıya Uyum Rehberi

Dernekler, ticari amaç gütmeseler de kişisel veri işledikleri ölçüde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na tabidir. Dernek tüzel kişiliği çoğu süreçte veri sorumlusudur; yönetim kurulu ise uyumun kurulmasını ve denetlenmesini sağlamalıdır. Üye formu, bağış kaydı, gönüllü listesi, çalışan dosyası, yardım başvurusu, sağlık bilgisi, fotoğraf, kamera kaydı ve internet çerezi ayrı işleme faaliyetleridir. VERBİS kaydından istisna bulunması, aydınlatma, hukuki dayanak, veri güvenliği, başvuru ve silme yükümlülüklerini ortadan kaldırmaz. Uyumun temeli; “hangi veriyi, neden, ne kadar süreyle, kimle ve hangi sistemde işliyoruz?” sorusuna belgeli cevap vermektir.

İçindekiler

1. Dernek veri sorumlusu mudur?
2. Kişi ve veri kategorileri
3. İşleme şartı, aydınlatma ve açık rıza
4. Veri envanteri ve saklama-imha
5. Üyelik, bağış ve gönüllü formları
6. Fotoğraf, video, çocuk ve sağlık verileri
7. E-posta, SMS, internet sitesi ve çerezler
8. Hizmet sağlayıcı, bulut ve yurt dışı aktarım
9. İhlal ve ilgili kişi başvuruları
10. VERBİS istisnaları ve kontrol listesi

Dernekler veri sorumlusu sayılır mı?

Veri sorumlusu, kişisel verilerin hangi amaçla ve hangi araçlarla işleneceğini belirleyen; veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. Üyelik formunun alanlarını, bağışçı listesinin kullanımını, gönüllü veri tabanını ve saklama süresini dernek belirliyorsa veri sorumlusu dernek tüzel kişiliğidir.

Başkan, sayman, şube veya idari işler birimi sırf veriyi kullandığı için ayrı veri sorumlusu hâline gelmez. Ancak yetkisiz kullanım yapan kişiler kendi eylemleri bakımından sorumluluk doğurabilir. Şubeli yapılarda merkez ve şubenin hangi süreçte amaç ve araçları belirlediği ayrıca incelenmelidir. Bir federasyonla ortak proje, konsorsiyum veya ortak veri tabanı varsa tarafların bağımsız, ortak veri sorumlusu ya da veri işleyen rolleri sözleşmede açıklanmalıdır.

Dışarıdan alınan bordro, çağrı merkezi, yazılım, bulut, SMS veya arşiv hizmeti sağlayıcısı derneğin talimatıyla veri işliyorsa çoğu durumda veri işleyen konumundadır. Bu sıfat, sağlayıcının güvenlik yükümlülüğünü kaldırmadığı gibi derneğin gözetim sorumluluğunu da sona erdirmez.

Dernekler hangi kişilerin verilerini işler?

Bir veri haritası hazırlanırken yalnız üyeler düşünülmemelidir:

Veri kategorileri ise kimlik, iletişim, lokasyon, finans, işlem güvenliği, hukuki işlem, mesleki deneyim, görsel-işitsel kayıt ve özel nitelikli veriler gibi sınıflara ayrılabilir.

Özel nitelikli kişisel veriler

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik veriler özel niteliklidir. Dikkat çekici biçimde, dernek üyeliği bilgisi de özel nitelikli kişisel veridir.

1 Haziran 2024’te yürürlüğe giren değişikliklerle özel nitelikli verilerin işlenme şartları yeniden düzenlenmiştir. Açık rıza hâlâ bir hukuki dayanaktır; ancak tek seçenek değildir. Kanunda öngörülme, fiilî imkânsızlık, hukuki yükümlülük, alenileştirme, hakkın tesisi/kullanılması/korunması, istihdam ve sosyal güvenlik yükümlülükleri, sağlık hizmetleri ve kâr amacı gütmeyen kuruluşların belirli faaliyetleri gibi şartlar somut olaya göre uygulanabilir.

Her özel nitelikli veri için şu üçlü kontrol yapılmalıdır:

1. Kanun’un 6. maddesinde uygun işleme şartı var mı?
2. Veri gerçekten amaç için gerekli mi?
3. Kurulun öngördüğü yeterli teknik ve idari önlemler uygulanıyor mu?

Üyelik formunda bütün üyelerden sağlık, mezhep veya siyasi görüş istemek, tüzük amacıyla zorunlu bağlantı kurulamadığında ölçüsüz olabilir.

Aydınlatma yükümlülüğü ile açık rıza aynı şey değildir

Aydınlatma, kişiye veri sorumlusunu, işleme amaçlarını, aktarımı, toplama yöntemini/hukuki sebebi ve haklarını bildirmektir. İşleme açık rızaya dayansın veya dayanmasın, Kanun’daki koşullar oluştuğunda aydınlatma yapılmalıdır.

Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilen onaydır. Kanunda başka bir işleme şartı varsa sırf kolay olduğu için açık rıza istenmesi doğru değildir. Rıza hizmetin zorunlu koşuluna dönüştürülmemeli ve farklı amaçlar tek kutucukta birleştirilmemelidir.

Örnek:

• Üyelik başvurusunda kimlik ve iletişim verilerinin tüzük ve üyelik süreci için işlenmesi başka bir hukuki şarta dayanabilir.
• Üyenin portre fotoğrafının sosyal medya reklamında kullanılması için ayrı, özgür ve geri alınabilir açık rıza gerekebilir.
• Aydınlatma metninin altına “okudum ve tüm işlemlere izin veriyorum” yazmak, aydınlatma ve rızayı birbirine karıştırır.

Aydınlatma katmanlı tasarlanabilir: form üzerinde kısa bilgi ve bağlantı; ayrıntılı metinde amaç, alıcı grubu, hukuki sebep ve haklar.

Veri envanteri nasıl hazırlanır?

Kişisel veri işleme envanteri yalnız VERBİS ekranına girilecek bir tablo değildir. Derneğin bütün veri akışlarını görünür kılar. Her süreç için şu alanlar yazılmalıdır:

• süreç ve sorumlu birim;
• ilgili kişi grubu;
• veri kategorisi ve özel nitelik durumu;
• işleme amacı;
• hukuki şart;
• toplama kanalı;
• erişen roller;
• yurt içi/yurt dışı alıcı;
• saklama süresi ve başlangıç olayı;
• kullanılan sistem ve güvenlik önlemi;
• silme/yok etme yöntemi.

Örneğin “bağışçı verileri 10 yıl saklanır” gibi tek bir süre yazmak yerine mali belgenin saklama dayanağı ile pazarlama iletişim listesinin saklama amacı ayrılmalıdır. Aynı kişinin farklı süreçlerdeki verileri farklı sürelerde tutulabilir.

Saklama ve imha politikası

Kişisel veri işleme sebebi ortadan kalktığında veriler resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli ya da anonim hâle getirilmelidir. VERBİS’e kayıt yükümlülüğü bulunan veri sorumluları Kişisel Veri Saklama ve İmha Politikası hazırlamakla yükümlüdür. Kayıttan istisna olan dernekler için aynı adlı politika her durumda zorunlu olmayabilir; ancak silme yükümlülüğü devam eder ve yazılı süre matrisi güçlü bir uyum aracıdır.

Politika şu başlıkları içermelidir:

• saklama ve imha amaçları;
• sorumluluklar;
• hukuki/teknik terimler;
• saklama süreleri;
• periyodik imha dönemi;
• silme, yok etme ve anonimleştirme yöntemleri;
• yedeklerde ve bulutta silme yöntemi;
• imha kayıtlarının korunması.

“Arşiv lazım olabilir” belirsiz ve sınırsız saklama gerekçesi değildir.

Üyelik formları

Üye başvuru formu, tüzüğün üyelik koşullarıyla bağlantılı alanlarla sınırlandırılmalıdır. Kimlik numarası, doğum tarihi, meslek veya fotoğraf için mevzuat ve amaç dayanağı tek tek kontrol edilmelidir.

İyi bir üyelik formunda:

• zorunlu ve isteğe bağlı alanlar ayrılır;
• aydınlatma metni formdan önce veya veri alınırken sunulur;
• tanıtım/bülten tercihi üyelik kabulünden ayrı tutulur;
• özel nitelikli veri alanları gerekçelendirilir;
• belge kopyası isteniyorsa gerçekten gerekli bölümler belirlenir;
• başvuru reddedilirse dosyanın saklama süresi tanımlanır;
• üyelik sona erdiğinde erişim ve silme planı uygulanır.

Üye listesini bütün üyelere e-posta eki olarak göndermek, yönetim grubuna kimlik numaralarıyla paylaşmak veya hazirun listesini açık internet sitesinde yayımlamak veri minimizasyonuna aykırı olabilir.

Bağışçı ve gönüllü formları

Bağışçıdan yalnız tahsilat, mali belge, iletişim tercihi ve yasal yükümlülük için gerekli bilgiler alınmalıdır. Bağış miktarına göre hassas profil oluşturmak veya yardım çağrılarını otomatik biçimde kişiselleştirmek ek şeffaflık ve hukuki değerlendirme gerektirir.

Gönüllüler için görev uygunluğu verileri ile çalışan özlük dosyası birbirine karıştırılmamalıdır. Acil durum kişisi, sağlık kısıtı, sabıka kaydı veya sürücü belgesi yalnız görevle bağlantılı ve ölçülü olduğunda alınmalıdır. Gönüllünün sistem erişimi görev süresiyle sınırlı olmalı; saha bitiminde hesap kapatılmalıdır.

Fotoğraf ve video kullanımı

Bir etkinlikte fotoğraf çekilmesi, fotoğrafın sosyal medyada yayımlanması, reklamda kullanılması ve yurt dışındaki bir platforma yüklenmesi farklı işleme/aktarım aşamalarıdır. Her aşamanın hukuki dayanağı açıklanmalıdır.

Uygulama önerileri:

• genel plan görüntülerinde dahi kişilerin belirlenebilirliği değerlendirilir;
• portre ve hikâye içerikleri için ayrı izin alınır;
• rıza vermeyenlere çekim dışı alan veya görünür işaret sunulur;
• çocuk ve hassas yararlanıcı görüntüleri için daha yüksek koruma uygulanır;
• rıza, etkinliğe katılım veya yardımdan yararlanma koşulu yapılmaz;
• sosyal medya platformuna aktarım ve olası yurt dışı veri akışı açıklanır;
• geri alma talepleri için iletişim kanalı kurulur.

Bir fotoğrafın daha önce paylaşılmış olması, başka bir kampanyada sınırsız yeniden kullanım hakkı vermez.

Çocukların kişisel verileri

Çocuklar için aydınlatma yalnız veliye gönderilen uzun hukuk metniyle sınırlı kalmamalıdır. Çocuğun yaşı ve gelişim düzeyine uygun, sade anlatım hazırlanmalıdır. Velinin yetkisi doğrulanmalı; çocuğun görüşü ve üstün yararı gözetilmelidir.

Çocuk verilerinde temel ilkeler:

• asgari veri toplanması;
• fotoğraf ve konumun varsayılan olarak kapalı tutulması;
• sağlık/alerji bilgisinin yalnız yetkili kişilerce görülmesi;
• sınıf veya etkinlik gruplarında telefon numaralarının açık paylaşılmaması;
• görüntülerin herkese açık hesaplarda etiketlenmemesi;
• erişim ve indirme yetkisinin sınırlandırılması;
• hesapların dönem sonunda kapatılması;
• veli talebi ve acil durumda veri düzeltme prosedürü.

Sağlık ve yardım başvurusu verileri

İnsani yardım, burs, engelli desteği veya sağlık projesi yürüten dernekler; gelir durumu, hastalık, engellilik, ilaç, aile içi sorun ve konum gibi yüksek riskli veriler işleyebilir. “İhtiyacı kanıtlama” amacı sınırsız belge toplama hakkı vermez.

Dosya tasarımında:

• uygunluk kriteri için gereken veri belirlenir;
• tam rapor yerine gerekli sonuç veya sınırlı belge alınması değerlendirilir;
• değerlendirme ekibi ile iletişim/bağış ekibinin erişimi ayrılır;
• yararlanıcı listesi şifreli ve loglu sistemde tutulur;
• saha partnerine aktarım yazılı talimatla sınırlandırılır;
• kamuoyu raporu anonim/toplu hazırlanır;
• ret edilen başvurular için ayrı saklama süresi konur.

E-posta ve SMS iletişimi

Üyelik, bağış veya etkinlik için verilen iletişim bilgisi her türlü gelecekteki mesaj için genel izin değildir. Şu iletişim türleri ayrılmalıdır:

• üyelik yönetimi ve zorunlu bildirimler;
• bağış işlemi ve kampanya sonucu bilgilendirmesi;
• gönüllü vardiya/operasyon mesajı;
• bülten, yeni kampanya ve tanıtım;
• üçüncü taraf adına gönderilen iletişim.

Her tür için hukuki dayanak, tercih ve çıkış mekanizması tanımlanmalıdır. Elektronik ticari ileti mevzuatının uygulanıp uygulanmadığı mesajın ve gönderenin niteliğine göre ayrıca incelenmelidir. Toplu e-postada alıcı adresleri “CC” alanında açık edilmemeli; güvenli toplu gönderim sistemi kullanılmalıdır.

İnternet sitesi ve çerezler

İnternet sitesinde gizlilik/aydınlatma metni, iletişim ve bağış formları, başvuru kanalı ve çerez yönetimi birlikte ele alınmalıdır. Kesinlikle gerekli çerezler dışındaki analitik, işlevsel veya reklam çerezleri için uygun hukuki şart ve çoğu senaryoda aktif onay mekanizması gerekir. Rıza gerektiren çerezler kullanıcı onayından önce çalışmamalıdır.

Çerez panelinde:

• “kabul et” ve “reddet” seçenekleri benzer görünürlükte olmalı;
• kategori bazlı tercih mümkün olmalı;
• çerez adı, sağlayıcısı, amacı, süresi ve aktarım bilgisi açıklanmalı;
• tercih daha sonra değiştirilebilmeli;
• üçüncü taraf video, harita, analiz ve bağış modülleri taranmalıdır.

Sitede metin bulunması yeterli değildir; teknik davranış metinle aynı olmalıdır.

Hizmet sağlayıcılar ve veri işleyen sözleşmeleri

Yazılım, bulut, ödeme, e-posta, SMS, çağrı merkezi, kamera, basım ve arşiv sağlayıcıları seçilirken yalnız fiyat ve özellik karşılaştırılmamalıdır. Asgari tedarikçi değerlendirmesi şunları kapsar:

• verinin nerede tutulduğu ve alt yükleniciler;
• erişim, şifreleme, yedekleme ve loglama;
• ihlal bildirim süresi;
• çalışan gizliliği ve yetkilendirme;
• veri iadesi ve sözleşme sonunda silme;
• denetim/kanıt sağlama;
• yurt dışı aktarım mekanizması;
• iş sürekliliği ve çıkış planı.

Sözleşme, sağlayıcının veriyi kendi reklamı veya model eğitimi için kullanamayacağını açıkça düzenlemelidir.

Bulut sistemleri ve yurt dışına veri aktarımı

Bir hizmetin Türkçe olması veya Türkiye’den fatura kesmesi, verilerin Türkiye’de tutulduğu anlamına gelmez. Sunucu konumu, destek erişimi, yedekleme, e-posta yönlendirmesi ve alt işleyenler incelenmelidir.

1 Haziran 2024’ten beri yurt dışı aktarım rejiminde yeterlilik kararı, uygun güvenceler ve sınırlı arızi hâller esas alınır. Uygun güvence yöntemlerinden biri Kurumun yayımladığı standart sözleşmedir. Standart sözleşme kullanılırsa imzadan itibaren beş iş günü içinde Kuruma bildirim yapılmalıdır. Eski alışkanlıkla yalnız açık rıza metni eklemek, sürekli bulut aktarımını kendiliğinden hukuka uygun hâle getirmez.

Her bulut sistemi için veri akış şeması, aktarım dayanağı ve bildirim kanıtı saklanmalıdır.

Veri ihlali yönetimi

Kayıp dizüstü bilgisayar, yanlış alıcıya e-posta, açık bulut klasörü, fidye yazılımı, gönüllünün üye listesini kopyalaması veya kâğıt dosyanın çalınması kişisel veri ihlali olabilir.

İhlal planı şu adımları içermelidir:

1. olayın tek kanaldan bildirilmesi;
2. erişimin kesilmesi ve delilin korunması;
3. etkilenen kişi, veri, sistem ve zamanın tespiti;
4. risk ve bildirim değerlendirmesi;
5. Kurula gecikmeksizin ve en geç 72 saat içinde bildirim;
6. etkilenen kişilere uygun yöntemle en kısa sürede bilgi;
7. önlem, karar ve iletişimin kayıt altına alınması;
8. kök neden ve düzeltici faaliyet.

72 saat, olayın gerçekleştiği değil veri sorumlusunun ihlali öğrendiği andan itibaren değerlendirilir. Gecikme varsa gerekçe bildirilmelidir. Veri işleyen, olayı gecikmeksizin derneğe haber verecek sözleşmesel süreye tabi tutulmalıdır.

İlgili kişi başvuruları

Üye, bağışçı, çalışan veya yararlanıcı Kanun’daki hakları için derneğe başvurabilir. Başvurular en kısa sürede ve en geç 30 gün içinde sonuçlandırılmalıdır. Kimlik doğrulama ölçülü yapılmalı; başvuru sahibine başka kişilerin verileri verilmemelidir.

Dernekte:

• güncel başvuru kanalları yayımlanmalı;
• gelen başvuru tarih-saatle kaydedilmeli;
• veri kaynakları ve alıcılar araştırılmalı;
• gerekçeli cevap hazırlanmalı;
• silme/düzeltme işlemi sistemlerde uygulanmalı;
• yanıt ve teslim kanıtı arşivlenmelidir.

VERBİS istisnası nasıl kontrol edilir?

Dernekler için “bütün dernekler VERBİS’ten muaftır” demek yanlıştır. 2021/571 sayılı Kurul kararı uyarınca, yalnız ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı veri işleyen Türkiye’de yerleşik derneklerden kendisine bağlı iktisadi işletmesi bulunmayanlar kayıt yükümlülüğünden istisna olabilir.

Bağlı iktisadi işletmesi olan derneklerin VERBİS’e kaydolması ve kayıt sırasında iktisadi işletme faaliyetlerine ilişkin bilgi girmesi gerekir. Ayrıca faaliyet amacı dışına çıkan veri işleme, farklı veri sorumlusu rolleri veya özel yapıların istisna kapsamı somut değerlendirilmelidir.

2025’te güncellenen genel istisna kriterleri de gerektiğinde incelenmelidir:

• ana faaliyeti özel nitelikli veri işleme olmayan gerçek/tüzel kişiler için yıllık çalışan sayısının 50’den az ve yıllık mali bilanço toplamının 100 milyon TL’den az olması;
• ana faaliyeti özel nitelikli veri işleme olanlar için yıllık çalışan sayısının 10’dan az ve mali bilanço toplamının 10 milyon TL’den az olması.

Bilanço esasına göre defter tutmayan veri sorumluları için Kurulun uygulama açıklamaları ayrıca kontrol edilmelidir. İstisna analizi her yıl ve yeni iktisadi işletme/faaliyet açıldığında yenilenmelidir.

Kritik ayrım: VERBİS, KVKK uyumunun yalnız bir parçasıdır. Kayıttan istisna olan dernek de Kanun’un temel ilkelerine, aydınlatmaya, veri güvenliğine, ilgili kişi haklarına ve ihlal yönetimine uymak zorundadır.

Sık Yapılan Hatalar

1. Kâr amacı olmadığı için KVKK’nın uygulanmadığını düşünmek.
2. VERBİS istisnasını bütün yükümlülüklerden muafiyet saymak.
3. Aydınlatma ile açık rızayı tek kutucukta birleştirmek.
4. Üyelik formunda amaçla ilgisiz özel nitelikli veri istemek.
5. Üye ve bağışçı listelerini kişisel cihazlarda tutmak.
6. Fotoğraf iznini üyelik veya yardımdan yararlanma şartı yapmak.
7. Çocuk ve sağlık verilerini herkese açık dosyada paylaşmak.
8. Bulut sağlayıcısının yurt dışı aktarımını kontrol etmemek.
9. Rıza gerektiren çerezleri sayfa açılır açılmaz çalıştırmak.
10. İhlal anında delilleri silmek veya 72 saatlik değerlendirmeyi geciktirmek.
11. Üyelik bitince erişimleri kapatmamak.
12. “Süresiz arşiv” gerekçesiyle bütün verileri saklamak.

Uygulama Kontrol Listesi

• Derneğin veri sorumlusu olduğu süreçler ve ortak projeler haritalandı.
• Üye, bağışçı, çalışan, gönüllü, yararlanıcı ve çocuk veri envanteri hazırlandı.
• Her süreç için amaç, hukuki şart, alıcı ve saklama süresi belirlendi.
• Özel nitelikli veriler ve ek güvenlik önlemleri işaretlendi.
• Aydınlatma metinleri veri toplama anına yerleştirildi.
• Açık rıza yalnız gerekli işlemler için ayrı ve geri alınabilir tasarlandı.
• Üyelik, bağış, gönüllü ve yardım formları veri minimizasyonuyla güncellendi.
• Fotoğraf/video ve çocuk verisi prosedürü oluşturuldu.
• Rol bazlı erişim, güçlü parola, çok faktörlü doğrulama ve loglama uygulandı.
• Kişisel cihaz ve açık e-tablo kullanımı sınırlandırıldı.
• Tedarikçi sözleşmeleri, alt işleyen ve silme hükümleri kontrol edildi.
• Bulut ve sosyal medya için yurt dışı aktarım mekanizması belirlendi.
• Çerez taraması ve tercih paneli teknik olarak test edildi.
• Saklama-imha takvimi ve imha kayıtları oluşturuldu.
• Veri ihlali ekibi, 72 saatlik akış ve iletişim şablonları hazırlandı.
• İlgili kişi başvuruları için 30 günlük takip sistemi kuruldu.
• VERBİS istisnası, iktisadi işletme ve güncel Kurul kararlarıyla belgelendi.

11. SIK SORULAN SORULAR

Dernekler KVKK’ya tabi midir?

Evet. Kâr amacı taşımaması Kanun’u uygulanmaz kılmaz. Dernek, kişisel verilerin amaç ve araçlarını belirlediği süreçlerde veri sorumlusudur.

Bütün dernekler VERBİS’ten istisna mıdır?

Hayır. İstisna; Türkiye’de yerleşik, yalnız mevzuat ve amacıyla sınırlı veri işleyen ve bağlı iktisadi işletmesi bulunmayan dernekler için öngörülmüştür. Somut faaliyet ayrıca incelenmelidir.

VERBİS’ten istisna olmak aydınlatma yükümlülüğünü kaldırır mı?

Hayır. İstisna yalnız Sicile kayıt yükümlülüğüne ilişkindir; aydınlatma, güvenlik, silme, başvuru ve ihlal yükümlülükleri devam eder.

Üye formunda açık rıza almak her işlem için yeterli midir?

Hayır. Önce uygun kanuni işleme şartı belirlenmelidir. Açık rıza belirli, bilgilendirilmiş ve özgür olmalı; zorunlu üyelik işlemleriyle gereksiz tanıtım izinleri birleştirilmemelidir.

Dernek etkinlik fotoğraflarını sosyal medyada paylaşabilir mi?

Paylaşımın amacı, görüntünün niteliği, ilgili kişinin makul beklentisi ve hukuki dayanak değerlendirilmelidir. Portre, çocuk veya tanıtım kullanımlarında ayrı açık rıza çoğu zaman gerekir.

Üye listesi yönetim kurulu WhatsApp grubunda paylaşılabilir mi?

Görev için zorunlu olmayan tam liste paylaşımı risklidir. Yetkili kişilere, gerekli alanlarla sınırlı ve güvenli sistem üzerinden erişim verilmelidir.

Yabancı bulut hizmeti kullanmak yasak mı?

Yasak değildir; ancak yurt dışı veri aktarım şartı, sağlayıcı ve alt işleyenler, güvenlik ve sözleşme incelenmelidir. Standart sözleşme kullanılıyorsa beş iş günü içinde Kuruma bildirilir.

Veri ihlali kaç saat içinde bildirilir?

Kurulun 2019/10 sayılı kararı uyarınca ihlal öğrenildikten sonra gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapılmalıdır; etkilenen kişiler de en kısa sürede bilgilendirilir.

12. İÇ BAĞLANTI ÖNERİLERİ

• “üye kabul ve üyelik sona erme verileri” → Dernek Üyeliğinden Çıkarma Süreçleri
• “bağışçı ve aidat kayıtlarının güvenli eşleştirilmesi” → Bağış ve Aidat Takibi
• “yapay zekâ araçlarına veri girişi kuralları” → STK’lar İçin Yapay Zekâ Kullanım Politikası
• “çocuk, öğrenci ve veli verilerinin yönetimi” → Kur’an Kurslarında Öğrenci ve Veli Yönetimi
• “yurt dışı saha verileri ve görsel kanıtlar” → Yurt Dışı Yardım Operasyonlarında Raporlama
• “KVKK süreç ve belge setinin değerlendirilmesi” → STK360 Mevzuat Danışmanlığı
• “rol bazlı kayıt ve dijital arşiv tasarımı” → STK360 Yazılım ve Dijital Dönüşüm

13. CTA

Derneğinizde kişisel verinin hangi formdan hangi sisteme aktığını görmek ve öncelikli riskleri belirlemek için STK360 ile KVKK süreç envanteri çalışması planlayabilirsiniz.

14. ÖNEMLİ NOT

Bu içerik genel bilgilendirme amacıyla hazırlanmıştır. Derneğinizin tüzüğü, iktisadi işletmesi, yararlanıcı grupları, sağlık veya çocuk verisi işlemesi, kullandığı bulut hizmetleri ve yurt dışı faaliyetleri farklı yükümlülükler doğurabilir. VERBİS istisnası otomatik ve sınırsız bir muafiyet değildir; somut veri işleme faaliyetleri ile güncel Kurul kararları birlikte incelenmelidir.

15. SON GÜNCELLEME TARİHİ

24 Haziran 2026

16. BAŞLICA RESMÎ KAYNAKLAR

1. Mevzuat Bilgi Sistemi — 6698 sayılı Kişisel Verilerin Korunması Kanunu
   Belge: Kişisel Verilerin Korunması Kanunu
   Bağlantı: https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf
   Erişim: 24.06.2026

2. Kişisel Verileri Koruma Kurumu
   Karar: Dernek, Vakıf ve Sendikalara Ait İktisadi İşletmelerin VERBİS’e Kayıt Yükümlülüğü — 2021/571
   Bağlantı: https://www.kvkk.gov.tr/Icerik/6986/2021-571
   Erişim: 24.06.2026

3. Kişisel Verileri Koruma Kurumu
   Doküman: Sorularla Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)
   Bağlantı: https://verbis.kvkk.gov.tr/sharedFolder/sorularla-verbis.pdf?ts=20251006
   Erişim: 24.06.2026

4. Kişisel Verileri Koruma Kurumu
   Duyuru: Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri İşleme Olan Veri Sorumlularının VERBİS İstisna Kriteri — 2025/1572
   Bağlantı: https://www.kvkk.gov.tr/Icerik/8388/KAMUOYU-DUYURUSU
   Erişim: 24.06.2026

5. Kişisel Verileri Koruma Kurumu
   Rehber: Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber
   Bağlantı: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5MjZiZWNiNjQ3N2I.pdf
   Erişim: 24.06.2026

6. Kişisel Verileri Koruma Kurumu
   Rehber: Kişisel Verilerin Yurt Dışına Aktarılması Rehberi
   Bağlantı: https://www.kvkk.gov.tr/Icerik/8142/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi
   Erişim: 24.06.2026

7. Kişisel Verileri Koruma Kurumu
   Sayfa: Kişisel Veri İhlal Bildirim Usul ve Esasları
   Bağlantı: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi
   Erişim: 24.06.2026

8. Kişisel Verileri Koruma Kurumu
   Rehber: Çerez Uygulamaları Hakkında Rehber
   Bağlantı: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf
   Erişim: 24.06.2026