14 maddelik KVKK checklist

B2B SaaS yayına almadan önce kontrol edilmesi gerekenler:

  • Aydınlatma metni hazırlandı ve sitede yayında
  • Açık rıza formu (form altında checkbox)
  • Çerez politikası ve çerez onayı (banner)
  • Gizlilik politikası ayrı sayfa olarak
  • KVKK aydınlatma metni ayrı sayfa
  • VERBİS kaydı yapıldı (250+ çalışanlı veya 100M+ ciro)
  • Veri sorumlusu iletişim noktası tanımlandı
  • Veri saklama süresi her veri için belirlendi
  • Üçüncü taraf veri aktarımları belgelendi
  • Veri ihlali bildirim prosedürü hazır
  • Müşteri veri silme talep prosedürü tanımlı
  • SSL/HTTPS zorunlu
  • Veri şifreleme (at rest + in transit)
  • Yedekleme + felaket kurtarma planı

Aydınlatma metni vs açık rıza

Aydınlatma metni: KVKK'da zorunlu, kişisel veri toplandığında kullanıcıya ne yapılacağı bildirilir. Açık rıza ise zorunlu değil; bazı işleme amaçları için (pazarlama, profilleme) müşterinin "evet" demesi gerekir.

Form altına "KVKK metnini okudum, anladım" yazıp checkbox koymak yetmez; aydınlatma metni linki + ayrı bir açık rıza checkbox'u doğrusudur.

Veri saklama süreleri

Her veri tipi için bir saklama süresi tanımlanmalı. KVKK'ya göre amaç ortadan kalkınca veri silinmelidir.

  • Müşteri iletişim bilgisi: hizmet süresi + 10 yıl (TTK)
  • Mali kayıtlar: 10 yıl (Vergi Kanunu)
  • Pazarlama izni: müşteri çekene kadar
  • Sistem logları: 6-12 ay
  • IP adresi (5651 sayılı kanun): 2 yıl

KVKK uyumluluğu satışta nasıl avantaj sağlar?

Kurumsal müşteri (banka, sigorta, kamu) satın alma sürecinde KVKK uyum belgesi ister. Hazır olmayan SaaS'lar bu satın alımları kaybeder.

Pricing sayfanda "KVKK uyumlu" rozeti, satış sayfanın altında "Veri güvenliği" bölümü kurumsal müşteri için güven sinyalidir.