İthalat KVKK Veri Güvenliği
İthalat KVKK ve Veri Güvenliği Kapsamlı Rehberi
KVKK ve İthalat Veri Güvenliği Nedir?
Kişisel Verilerin Korunması Kanunu (KVKK), 6698 sayılı kanunla 2016 yılında yürürlüğe girmiş ve Türkiye'de kişisel verilerin işlenmesine ilişkin kapsamlı bir hukuki çerçeve oluşturmuştur. İthalat süreçlerinde, tedarikçi bilgileri, finansal veriler, gümrük beyanname detayları ve lojistik kayıtları gibi hassas bilgilerin işlenmesi KVKK kapsamında kişisel veri işlemi sayılmaktadır. Türk ithalatçıların, 300 milyar doları aşan yıllık ithalat hacminde KVKK uyumunu sağlaması, hukuki risklerin minimize edilmesi açısından kritik önem taşımaktadır.
İthalat süreçlerinde KVKK uyumu, sadece Türk hukukuna uyum anlamına gelmemektedir. AB Genel Veri Koruma Yönetmeliği (GDPR), uluslararası ticaretteki veri akışlarını düzenleyen önemli bir mevzuat düzenlemesidir. Türk ithalatçılar, AB menşeli tedarikçilerle çalışırken GDPR'ın bazı hükümlerine de uymak zorundadır. Ayrıca, veri yerelleştirme yasaları, sınır ötesi veri transferi kısıtlamaları ve endüstriyel sır koruma düzenlemeleri de ithalat veri güvenliği yönetiminin bileşenleri arasındadır.
İthalat Süreçlerinde Kişisel Veri İşleme
Hangi Veriler Kişisel Veridir?
- Tedarikçi Yetkili Kişi Bilgileri: Ad, soyad, unvan, telefon numarası, e-posta adresi
- Gümrük Müşaviri Bilgileri: Yetkili gümrük müşavirlerinin kimlik ve iletişim bilgileri
- Finansal Veriler: Banka hesap bilgileri, ödeme geçmişi, kredi notu
- Lojistik Bilgiler: Teslimat adresi, alıcı kişinin iletişim bilgileri
- Çalışan Verileri: İthalat departmanı çalışanlarının kişisel bilgileri
- Ticari Değeri Olan Veriler: Fiyat teklifleri, sözleşme detayları, tedarikçi listeleri
KVKK Kapsamında Veri İşleme Şartları
KVKK madde 5 ve 6 uyarınca, kişisel veriler ancak açık rıza veya kanuni yükümlülük çerçevesinde işlenebilmektedir. İthalat süreçlerinde, gümrük beyannamesi tescili gibi kanuni zorunluluklar KVKK kapsamında veri işleme hukuki sebebi oluşturmaktadır. Ancak tedarikçi iletişim bilgilerinin CRM sisteminde saklanması, pazarlama amaçlı kullanılması veya üçüncü kişilerle paylaşılması durumunda açık rıza alınması gerekmektedir.
Veri işleme ilkeleri arasında amaca uygunluk, ölçülülük, güncellik ve güvenlik yer almaktadır. İthalatçılar, tedarikçi bilgilerini sadece ithalat amacıyla işlemeli, gerektiğinden fazla veri toplamaktan kaçınmalı ve verileri güncel tutmalıdır. Veri saklama süreleri, Türk Ticaret Kanunu ve Vergi Usul Kanunu'na göre belirlenmelidir. Ticari defter ve belgelerin 10 yıl saklanması zorunluluğu, KVKK veri saklama süresini de etkilemektedir.
Sınır Ötesi Veri Transferi
Uluslararası İthalat Sürecinde Veri Akışı
İthalat süreçleri doğası gereği sınır ötesi veri transferini içermektedir. Tedarikçi ile yapılan yazışmalar, finansal işlemler, lojistik takibi ve gümrük işlemleri sırasında kişisel veriler Türkiye sınırları dışına çıkmaktadır. KVKK madde 9 uyarınca, sınır ötesi veri transferi için ya verilen ülkenin yeterli koruma seviyesine sahip olması ya da açık rızanın alınması gerekmektedir.
KVKK tarafından yeterli koruma seviyesine sahip olduğu belirlenen ülkeler arasında AB üye devletleri, Avrupa Ekonomik Alanı ülkeleri ve Kişisel Verileri Koruma Kurulu tarafından belirlenen diğer ülkeler yer almaktadır. Bu listede yer almayan ülkelerle veri transferinde açık rıza, standart sözleşme maddeleri, bağlayıcı kurum kuralları veya onaylı kurumlar belgesi gibi güvenlik önlemlerinin uygulanması gerekmektedir.
Gümrük İşlemlerinde Veri Paylaşımı
BİLGE gümrük otomasyon sistemi üzerinden gerçekleştirilen işlemlerde, beyanname bilgileri gümrük idaresi, tarım bakanlığı, sağlık bakanlığı ve diğer ilgili kurumlarla paylaşılmaktadır. Bu paylaşım, 4458 sayılı Gümrük Kanunu kapsamında kanuni bir zorunluluktur ve KVKK'nın kanuni yükümlülük istisnası kapsamındadır. Ancak, gümrük beyannamesi üzerinde yer alan tedarikçi yetkili kişisinin kimlik bilgilerinin paylaşımı, veri minimizasyonu ilkesi çerçevesinde sınırlandırılmalıdır.
- Veri Minimizasyonu: Gerekli olan verilerin paylaşılması, gereksiz verilerin paylaşımından kaçınılması
- Şifreleme: Sınır ötesi veri transferinde uçtan uca şifreleme kullanılması
- Erişim Kontrolü: Veriye erişim yetkilerinin kısıtlanması ve loglanması
- Veri Saklama: İhtiyaç duyulmayan verilerin düzenli olarak silinmesi
İthalat İşletmelerinde KVKK Uyum Adımları
Veri Envanteri ve Aydınlatma Yükümlülüğü
KVKK uyum sürecinin ilk adımı, işletmede işlenen kişisel verilerin envanterinin çıkarılmasıdır. İthalat departmanı, finans departmanı, lojistik birimi ve gümrük müşavirliği birimlerinde hangi kişisel verilerin işlendiği, hangi amaçlarla kullanıldığı, kimlerle paylaşıldığı ve nasıl saklandığı belirlenmelidir. Veri envanteri çalışması, KVKK Aydınlatma Metni'nin hazırlanması için temel oluşturmaktadır.
Aydınlatma Yükümlülüğü, KVKK'nın en temel yükümlülüklerinden biridir. İthalatçılar, tedarikçilerin kişisel verilerini işlemeden önce onları veri işleme faaliyetleri hakkında bilgilendirmek zorundadır. Aydınlatma metni, veri sorumlusunun kimliği, işlenen veri kategorileri, işleme amacı, hukuki sebebi, veri saklama süresi ve hakları konusunda bilgi içermelidir.
Veri Güvenliği Önlemleri
İthalat süreçlerinde veri güvenliği, teknik ve idari önlemlerin birleşimi ile sağlanmaktadır. Teknik önlemler arasında şifreleme, erişim kontrolü, güvenlik duvarı, izinsiz giriş tespit sistemleri ve veri yedekleme yer almaktadır. İdari önlemler arasında personel eğitimi, güvenlik politikaları, gizlilik sözleşmeleri ve olay müdahale planı bulunmaktadır.
- Şifreleme: TLS 1.3 ile veri iletim şifrelemesi, AES-256 ile veri depolama şifrelemesi
- Erişim Kontrolü: Rol tabanlı erişim yönetimi (RBAC), çok faktörlü kimlik doğrulama (MFA)
- Güvenlik Duvarı: WAF (Web Application Firewall) ve ağ güvenlik duvarı
- Penetrasyon Testi: Yılda en az bir kez bağımsız siber güvenlik denetimi
- Veri Yedekleme: 3-2-1 kuralına uygun yedekleme stratejisi (3 kopya, 2 farklı ortam, 1 offsite)
KVKK İhlallerinde Yaptırımlar
KVKK ihlallerinde Kişisel Verileri Koruma Kurulu idari para cezası uygulayabilmektedir. Kişisel verilerin hukuka aykırı işlenmesi durumunda 100.000 TL'den 10.000.000 TL'ye kadar, yeterli güvenlik önlemi alınmaması durumunda 50.000 TL'den 5.000.000 TL'ye kadar idari para cezası verilebilmektedir. Özel nitelikli kişisel verilerin (ırk, etnik köken, sağlık verileri vb.) ihlallerinde cezalar iki kat artırılmaktadır.
Ayrıca KVKK ihlalleri, Türk Ceza Kanunu kapsamında da suç teşkil edebilmektedir. Kişisel verileri hukuka aykırı olarak ele geçirme veya yayma suçu, 2 yıldan 4 yıla kadar hapis cezasını gerektirmektedir. İthalatçılar, KVKK uyumunu bir maliyet değil, rekabet avantajı olarak görmeli ve veri güvenliği yatırımlarını stratejik öncelik olarak ele almalıdır.
Sıkça Sorulan Sorular
İthalat firmaları KVKK'ya uymak zorunda mı?
Evet, tüm gerçek ve tüzel kişiler KVKK'ya uymak zorundadır. İthalat süreçlerinde tedarikçi bilgilerini, çalışan verilerini ve müşteri bilgilerini işleyen firmalar, aydınlatma yükümlülüğü, veri güvenliği ve sınır ötesi veri transferi kurallarına uymak zorundadır.
Tedarikçi bilgilerini paylaşırken KVKK'ya dikkat etmeli miyim?
Evet, tedarikçinin yetkili kişisinin adı, soyadı, telefon numarası ve e-posta adresi kişisel veridir. Bu bilgileri üçüncü kişilerle paylaşırken KVKK kapsamında açık rıza almanız veya kanuni bir dayanak oluşturmanız gerekmektedir.
Sınır ötesi veri transferi için ne yapılmalı?
KVKK yeterli koruma listesinde yer almayan ülkelere veri transferinde açık rıza alınması veya standart sözleşme maddeleri kullanılması gerekmektedir. Ayrıca, veri aktarımında şifreleme kullanılması ve veri işleme sözleşmesi imzalanması önerilmektedir. Detaylı bilgi için veri güvenliği sayfamızı inceleyebilirsiniz.
KVKK ihlali durumunda ne yapılmalı?
KVKK ihlali tespit edilmesinde en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmalıdır. İhlalin nedenleri belirlenmeli, etkilenen kişiler bilgilendirilmeli ve gerekli düzeltici önlemler alınmalıdır. Ayrıca olay müdahale planı devreye alınmalıdır.
İthalatçılar için KVKK uyum maliyeti nedir?
KVKK uyum maliyeti, işletmenin büyüklüğüne ve veri işleme hacmine göre değişmektedir. Küçük işletmeler için 10.000-50.000 TL, orta ölçekli firmalar için 50.000-200.000 TL, büyük kuruluşlar için 200.000 TL ve üzeri maliyetler söz konusu olabilmektedir.