30 Saniyede Özet
Bu makaleden öğrenecekleriniz
- KVKK ihlali cezası: 1.9 milyon TL'ye kadar idari para cezası + itibar kaybı.
- CRM'de veri minimizasyonu ilkesi: Sadece ihtiyaç duyulan veriyi topla ve sakla.
- Açık rıza yönetimi: Opt-in mekanizması, rıza kaydı, geri çekme kolaylığı şart.
- Veri saklama süreleri belirlenmeli — süresiz saklama KVKK'ya aykırı.
- 3. parti entegrasyonlar (API) veri işleyen sıfatıyla sözleşme gerektirir.
CRM sisteminizde 50.000 müşteri kaydı var. İsim, e-posta, telefon, satın alma geçmişi, hatta bazılarının TC kimlik numarası. Bu veri altın madeni mi, saatli bomba mı? KVKK ve GDPR çağında cevap: İkisi de. Doğru yönetilen müşteri verisi rekabet avantajı, yanlış yönetilen ise milyonlarca liralık ceza ve itibar kaybı. Bu rehberde CRM sistemlerinizi KVKK/GDPR uyumlu hale getirmenin yollarını öğreneceksiniz.
CRM (Customer Relationship Management) sistemlerinde veri güvenliği, müşteri kişisel verilerinin KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR (General Data Protection Regulation) düzenlemelerine uygun şekilde toplanması, işlenmesi ve saklanmasıdır.
Türkiye'de KVKK 2016'dan beri yürürlükte. İhlal durumunda 1.9 milyon TL'ye kadar idari para cezası ve hapis cezası uygulanabilir. CRM'ler müşteri verisinin merkezi deposu olduğundan uyumluluk kritik.
KVKK Temelleri: Ne Bilmeniz Gerekiyor?
KVKK 6698 sayılı kanun, kişisel verilerin işlenmesini düzenler. Temel kavramlar: Kişisel veri (kimliği belirlenebilir kişiye ait her türlü veri), veri sorumlusu (işleme amacını belirleyen), veri işleyen (sorumlu adına işleyen), açık rıza (bilgilendirilmiş, özgür irade).
Kişisel veri tanımı: İsim, e-posta, telefon, adres, IP adresi, çerez verileri, satın alma geçmişi, konum bilgisi — tümü kişisel veri. Özel nitelikli kişisel veri: Sağlık, din, ırk, siyasi görüş, biyometrik veri — daha sıkı koruma gerektirir. CRM'de hangi verileri topladığınızı tam olarak bilin.
Veri işleme şartları: KVKK'ya göre kişisel veri işleme için hukuki dayanak gerekir. Seçenekler: Açık rıza (en yaygın), sözleşmenin ifası, yasal yükümlülük, meşru menfaat (dikkatli kullanın), hayati çıkar. Pazarlama amaçlı işleme genellikle açık rıza gerektirir.
Veri sorumlusu yükümlülükleri: Aydınlatma (hangi veri, neden, ne kadar süre), güvenlik önlemleri, veri ihlali bildirimi (72 saat içinde Kurul'a), ilgili kişi haklarını yanıtlama (30 gün), VERBİS kaydı (belirli işletmeler için). CRM kullanıyorsanız siz veri sorumlusunuz.
Cezalar: İdari para cezası: 50.000 - 1.966.862 TL (2024 güncel). Aydınlatma yükümlülüğü ihlali: 100.000 - 500.000 TL. Veri güvenliği ihlali: 50.000 - 1.000.000 TL. Kurul kararına uymama: Hapis cezası olasılığı. İtibar kaybı: Hesaplanamaz.
Önemli Uyarı: GDPR kapsamında AB vatandaşı müşterileriniz varsa, GDPR da uygulanır. GDPR cezaları çok daha yüksek: Yıllık cironun %4'üne veya 20 milyon Euro'ya kadar. Global müşteri tabanı = Global uyumluluk.
CRM Uyumluluk Gereksinimleri: Sistem Seçimi ve Konfigürasyon
KVKK uyumlu CRM için 5 kriter: Veri lokasyonu (Türkiye veya yeterli koruma ülkesi), şifreleme (transit ve rest), erişim kontrolü (rol bazlı), audit log (kim ne zaman erişti), veri silme/anonimleştirme özelliği.
Veri lokasyonu: KVKK'ya göre kişisel veri yurt dışına aktarımı için açık rıza veya yeterli koruma gerekir. CRM sunucusu nerede? AWS Türkiye, Azure Türkiye seçenekleri mevcut. Salesforce, HubSpot gibi global CRM'ler — DPA (Data Processing Agreement) imzalayın.
Şifreleme gereksinimleri: Transit: TLS 1.2+ (veri transferinde). Rest: AES-256 (depolamada). Veritabanı seviyesi şifreleme. Backup şifreleme. Anahtar yönetimi (key rotation). Çoğu enterprise CRM bunları sağlar — doğrulayın ve belgeleyin.
Erişim kontrolü: Rol bazlı erişim (RBAC): Satış sadece kendi müşterilerini görsün. Minimum yetki prensibi: Herkes sadece ihtiyacı kadar erişsin. MFA (Multi-Factor Authentication) zorunlu. Oturum timeout ayarları. Eski çalışan hesaplarını hemen devre dışı bırakın.
Audit logging: Kim, ne zaman, hangi veriye erişti? Değişiklik geçmişi (veri güncelleme, silme). Export/download logları (toplu veri çıkışı). Log saklama süresi (en az 2 yıl önerilir). Düzenli log incelemesi (anomali tespiti).
Teknik Önlemler: Güvenli CRM Altyapısı
CRM güvenlik önlemleri 4 katmanda uygulanır: Ağ güvenliği (firewall, VPN), uygulama güvenliği (WAF, güvenli kod), veritabanı güvenliği (şifreleme, backup), endpoint güvenliği (cihaz yönetimi). Defense in depth yaklaşımı.
Ağ güvenliği: Firewall kuralları (sadece gerekli portlar), VPN zorunluluğu (uzaktan erişim), IP whitelist (sabit ofis IP'leri), DDoS koruması (cloud CRM için provider sorumluluğu). Segmentasyon: CRM trafiğini diğer sistemlerden izole edin.
Uygulama güvenliği: WAF (Web Application Firewall), SQL injection koruması, XSS koruması, güvenli API tasarımı (OAuth 2.0, rate limiting). Düzenli güvenlik güncellemeleri — CRM vendor patch'lerini hemen uygulayın. Penetrasyon testi (yılda en az 1).
Veri maskeleme ve anonimleştirme: Test ortamlarında gerçek veri kullanmayın — maskelenmiş veri. Raporlarda gerekirse anonimleştirme. Eski müşteri verileri — silme yerine anonimleştirme seçeneği (istatistiksel değer korunur). KVKK: Anonim veri kişisel veri değildir.
Backup ve disaster recovery: Şifreli backup, farklı lokasyonda. Backup test — restore yapılabilir mi? RTO/RPO tanımları (ne kadar veri kaybı kabul edilebilir?). Ransomware senaryosu planı. Backup'tan da veri silme capability'si (unutulma hakkı için).
Pratik İpucu: CRM vendor'ınızdan SOC 2 Type II veya ISO 27001 sertifikası isteyin. Bu sertifikalar bağımsız denetimle güvenlik kontrollerinin varlığını kanıtlar. Sertifikasız vendor = Risk.
Süreç Yönetimi: İnsan Faktörü ve Politikalar
Teknik önlemler yetmez — süreç ve insan faktörü kritik. Gerekli süreçler: Rıza yönetimi, veri saklama politikası, ilgili kişi talep yönetimi, veri ihlali müdahale planı, çalışan eğitimi.
Rıza yönetimi: Açık rıza toplama mekanizması (opt-in checkbox, ayrı onay). Rıza kaydı tutma (tarih, kapsam, versiyon). Rıza geri çekme kolaylığı (tek tıkla unsubscribe). Çift onay (double opt-in) önerilir. CRM'de rıza durumu alanı zorunlu.
Veri saklama politikası: Her veri kategorisi için saklama süresi belirleyin. Aktif müşteri: İlişki süresince + yasal süre. Pasif müşteri: Son etkileşimden X yıl sonra sil/anonimleştir. Pazarlama verileri: Rıza geri çekilince hemen dur. Otomatik silme workflow'ları kurun.
İlgili kişi hakları yönetimi: Erişim hakkı (verilerimi göster), düzeltme hakkı (yanlış veriyi düzelt), silme hakkı (unutulma), itiraz hakkı (işlemeyi durdur), taşınabilirlik (verilerimi ver). 30 gün içinde yanıt zorunluluğu. CRM'de self-service portal veya manuel süreç tanımlayın.
Veri ihlali müdahale planı: İhlal tespit → değerlendirme → bildirm (72 saat Kurul, ilgili kişiler). Sorumluluk matrisi (kim ne yapar?), iletişim şablonları, teknik müdahale adımları. Masa başı simülasyon (yılda 1). İhlal olmadan önce hazır olun.
Sonuç: Uyumluluk Sürekli Bir Yolculuk
KVKK/GDPR uyumu tek seferlik proje değil, sürekli süreç. Düzenli denetim, güncelleme ve eğitim gerektirir. Uyumluluk maliyeti her zaman ihlal maliyetinden düşüktür.
Hemen yapılacaklar checklist: VERBİS kaydını kontrol edin (zorunluysa), CRM'deki veri envanterini çıkarın (ne veri var?), aydınlatma metninizi güncelleyin, rıza mekanizmalarını kontrol edin, erişim yetkilerini gözden geçirin, eski/gereksiz verileri temizleyin.
3 aylık hedefler: Veri saklama politikası oluşturun, ilgili kişi talep süreci tanımlayın, çalışan eğitimi verin, CRM güvenlik ayarlarını denetleyin, 3. parti entegrasyonları değerlendirin (DPA'lar imzalı mı?), veri ihlali planı hazırlayın.
Yıllık rutin: KVKK mevzuat değişikliklerini takip edin, yıllık uyumluluk denetimi (iç veya dış), penetrasyon testi, eğitim yenileme, politika güncellemeleri, vendor değerlendirmeleri. Uyumluluk yaşayan bir süreç.
Son söz: Müşteri verisi müşteriye aittir — siz sadece emanetçisiniz. Bu perspektifle yaklaşın. KVKK sadece yasal zorunluluk değil, müşteri güveninin temelidir. Güvenli veri yönetimi rekabet avantajıdır. Yatırım yapın, koruyun, güven inşa edin.