Bağışçı Verileri Nasıl Korunmalı? Dernekler İçin Web Sitesi Güvenliği ve KVKK Şartları

Bu İçeriği Yapay Zekâ (AI) ile Özetleyin:

ChatGPT Claude Perplexity

Sivil toplum kuruluşları (STK), bağışçılarından ve gönüllülerinden elde ettikleri verilerle büyük bir güven ilişkisi inşa ederler[cite: 2]. [cite_start]Dijitalleşmenin hız kazandığı günümüzde, web siteleri üzerinden toplanan bu verilerin güvenliğini sağlamak sadece etik bir sorumluluk değil, aynı zamanda yasal bir zorunluluktur[cite: 3]. [cite_start]2026 yılı itibarıyla KVKK kapsamındaki denetimler ve idari para cezaları önemli ölçüde artırılmıştır[cite: 4].

1. Dernekler KVKK Kapsamında Veri Sorumlusu mudur?

Kişisel verileri tamamen veya kısmen otomatik yollarla işleyen tüm kurumlar gibi, STK'lar da veri sorumlusu kabul edilir[cite: 8].

Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı

[cite_start]
• Standart Kişisel Veri: Kimlik ve iletişim bilgileri[cite: 10].
[cite_start]
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, din, sağlık bilgileri ve dernek/vakıf üyeliği bilgileri bu statüdedir[cite: 11]. [cite_start]Bu verilerin işlenmesi ekstra hassasiyet ve kural olarak açık rıza gerektirir[cite: 12].

Yönetim Kurulunun Sorumluluğu

Veri sorumlusu doğrudan derneğin tüzel kişiliğidir[cite: 14]. [cite_start]Ancak tüzel kişiliği temsile yetkili olan yönetim kurulu, kanuni yükümlülüklerin yerine getirilmesinden kurum adına müştereken sorumludur[cite: 16].

2. Web Sitesi ve Online Bağış Süreçleri

Aydınlatma Metni ve Onay Kutucukları

Aydınlatma yükümlülüğü, verilerin elde edilmesi sırasında yerine getirilmelidir[cite: 20]. [cite_start]Aydınlatma metinleri, bağış formunun hemen altında, onay kutucuğuyla (checkbox) birlikte erişilebilir bir link olarak konumlandırılmalıdır[cite: 21].

SMS, E-Posta ve İYS Entegrasyonu

Kampanya duyuruları veya teşekkür belgeleri için SMS ve e-posta gönderimi ancak kullanıcının "Açık Rıza"sı ile mümkündür[cite: 23]. [cite_start]Ayrıca bu izinlerin yasal geçerliliği için kurumların İleti Yönetim Sistemi'ne (İYS) entegre olması zorunludur[cite: 24].

Çerez (Cookie) Politikası

2026 yılı denetimlerinde çerez politikası eksikliği en sık yaptırım uygulanan alanlardandır[cite: 26]. [cite_start]Kullanıcılara çerez tercihlerini yönetme imkanı tanıyan bir panel bulundurulmalıdır[cite: 27].

3. VERBİS Kayıt Zorunluluğu ve Muafiyetler (2026)

Tüm dernekler için doğrudan bir kayıt zorunluluğu yoktur[cite: 30]. 2026 yılı güncel muafiyet şartları şunlardır:

Not: Kayıttan muaf olmak; aydınlatma yapma, açık rıza alma ve veri güvenliğini sağlama yükümlülüklerini ortadan kaldırmaz[cite: 37].

4. Teknik Güvenlik Önlemleri

[cite_start]
• SSL ve 3D Secure: Web sitelerinde 256-bit şifreleme sunan güncel SSL sertifikası ve ödemelerde 3D Secure altyapısı kullanılmalıdır[cite: 41, 42].
[cite_start]
• Veritabanı Şifreleme: CRM veya bulut sistemlerinde veritabanı şifreleme teknolojileri ve Firewall yapılandırılmalıdır[cite: 44, 45].
[cite_start]
• Erişim Yetkileri: Çalışanların ve gönüllülerin yetkileri görev tanımlarıyla sınırlandırılmalı, periyodik KVKK eğitimleri verilmelidir[cite: 48, 49].

5. İdari Yaptırımlar ve Cezalar (2026 Güncel)

2026 yılı yeniden değerleme oranlarıyla belirlenen ceza limitleri şunlardır:

[cite_start]
• Aydınlatma Yükümlülüğüne Uymama: 85.437 TL - 1.709.200 TL[cite: 54].
[cite_start]
• Veri Güvenliği İhlali (Teknik Tedbirler): 256.357 TL - 17.092.242 TL[cite: 55].
[cite_start]
• VERBİS Kayıt Yükümlülüğüne Aykırılık: 341.809 TL - 17.092.242 TL[cite: 56].

[cite_start]72 Saat Kuralı: Bir veri ihlali durumunda, durumun en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu'na ve etkilenen kişilere bildirilmesi zorunludur[cite: 58]. [cite_start]Bildirim yapılmaması durumunda 1.000.000 TL'ye kadar ek cezalar uygulanabilir[cite: 59].

Sonuç olarak; derneğinizin güvenilirliğini artırmak için KVKK süreçlerini 2026 standartlarına uygun hale getirmek en güçlü yatırımdır[cite: 61].