Hangi işletmeler KVKK’ya tabidir? Bu soru birçok kurum tarafından merak edilir çünkü pek çok işletme KVKK kapsamına girip girmediğini doğru değerlendiremez. Oysa KVKK, yalnızca büyük şirketleri ya da belirli sektörleri kapsamaz. Kişisel veri işleyen tüm işletmeler, ölçek fark etmeksizin KVKK yükümlülüklerine tabidir. Bu nedenle işletmelerin kendi veri işleme faaliyetlerini anlaması ve kapsam dahilinde olup olmadığını netleştirmesi önemlidir.
KVKK’ya tabi olmanın temel kriteri, kişisel veri işlemesidir. Eğer bir işletme çalışan, müşteri, tedarikçi veya ziyaretçi verisi topluyorsa bu işletme KVKK kapsamına girer. Verinin niteliği veya azlığı, KVKK’ya tabi olup olmamayı değiştirmez. Önemli olan, verinin kişiyi tanımlıyor olmasıdır. Bu nedenle birçok küçük işletme farkında olmadan KVKK yükümlülüğü altındadır.
KVKK’ya kesin olarak tabi olan işletmeler:
- Okullar, eğitim kurumları ve kurs merkezleri
- Şirketler (anonim, limited, şahıs şirketleri dahil)
- E-ticaret siteleri
- Hizmet veren küçük işletmeler (kuaför, klinik, kurs, kafe vb.)
- Sağlık kuruluşları
- Ajanslar, danışmanlık firmaları, muhasebe ofisleri
- Perakende ve mağaza işletmeleri
Bu işletmeler kişi verisi işlediği için KVKK hükümlerine uymak zorundadır. Örneğin müşteri telefon numarası almak, çalışan bilgisi kaydetmek veya kamera ile kayıt yapmak bile KVKK’yı devreye sokar. Bu nedenle işletmelerin veri toplamaya başladığı anda KVKK uyum sürecini planlaması gerekir. (Uyum süreci nasıl işler? →)
Bir işletmenin KVKK’ya tabi olmasını belirleyen bir diğer önemli unsur, veri işleme amacıdır. Eğer veriler işin yürütülmesi, güvenlik, iletişim veya pazarlama amacıyla kullanılıyorsa işletme KVKK kapsamındadır. Bu nedenle işletmeler veri işleme amacını net tanımlamalı ve buna uygun politikalar oluşturmalıdır. (Doğru veri yönetimi için → Hizmet İçeriğimiz)
Birçok işletme KVKK’ya tabi olmadığını düşünerek büyük hatalar yapar. Örneğin sadece çalışan verisi işlediği için kapsam dışında olduğunu düşünen işletmeler vardır. Oysa çalışan verisi dahi kişisel veri kapsamındadır ve bu veriyi işleyen her işletme KVKK’ya tabidir. Bu yanlış değerlendirmeler idari cezalara yol açabilir. (En sık yapılan hatalar →)
Ayrıca KVKK sadece dijital ortamda veri işleyen şirketleri kapsamaz. Kağıt üzerinde tutulan kayıtlar, fiziki arşivler ve kamera sistemleri de KVKK kapsamındadır. Bu nedenle “dijital sistemim yok, KVKK bana gerekli değil” düşüncesi yanlıştır.
Kısaca KVKK’ya tabi olmanın temel kriterleri:
- Kişisel veri işlemek
- Verileri dijital ya da fiziki ortamda saklamak
- Veriyi çalışan, müşteri veya ziyaretçi üzerinden toplamak
- Veriyi ticari faaliyet kapsamında kullanmak
Sonuç olarak kişisel veri işleyen tüm işletmeler KVKK’ya tabidir. Bu nedenle işletmeniz küçük, orta ya da büyük ölçekli fark etmeksizin KVKK yükümlülüklerinizi yerine getirmeniz gerekir. Kapsama girip girmediğinizden emin değilseniz ekibimiz size özel bir analiz yapabilir. (→ İletişim)
Kurumumuzun yaklaşımı hakkında daha detaylı bilgi almak isterseniz hakkımızda sayfamızı inceleyebilirsiniz. (→ Hakkımızda)
