Dernekler İçin KVKK Rehberi

Dernekler, üyelerinin, bağışçılarının, gönüllülerinin ve hizmet alanlarının verilerini işlerken kanunun getirdiği KVKK sorumluluklarını yerine getirmek zorundadır.

Paylaş
Bu İçeriği Yapay Zekâ (AI) ile Özetleyin:
ChatGPT Claude Perplexity

Dernekler İçin KVKK Rehberi: Kişisel Verilerin Korunmasında Dikkat Edilmesi Gerekenler

Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı amaçlar. Sadece ticari kuruluşlar değil, dernekler de dahil olmak üzere kişisel veri işleyen tüm kurum ve kuruluşlar bu kanun hükümlerine uymakla yükümlüdür. Dernekler, üyelerinin, bağışçılarının, gönüllülerinin ve hizmet alanlarının verilerini işlerken kanunun getirdiği sorumlulukları yerine getirmek zorundadır.

Bu kapsamlı rehber, derneklerin KVKK uyum sürecinde yol haritasını çizmek ve dikkat etmeleri gereken kritik noktaları detaylandırmak amacıyla hazırlanmıştır.

1. KVKK Nedir ve Dernekler İçin Önemi

KVKK, kişisel verilerin gizliliğini ve güvenliğini sağlayan, bu verilerin hangi şartlarda ve nasıl işleneceğini düzenleyen temel bir hukuk metnidir. Dernekler, tüzüklerinde belirtilen amaç ve faaliyet alanları doğrultusunda doğal olarak çok sayıda kişisel veri (ad, soyad, TCKN, adres, telefon, e-posta, bağış bilgileri, hatta sağlık verileri gibi özel nitelikli kişisel veriler) işler. Kanuna uymamak, hem hukuki yaptırımlara hem de derneğin itibarına zarar verecek ciddi sonuçlar doğurabilir.

2. Kişisel Veri Envanteri Oluşturma ve Veri Türleri

KVKK uyum sürecinin ilk ve en kritik adımı, derneğin işlediği tüm kişisel verilerin kapsamlı bir Kişisel Veri Envanterinin çıkarılmasıdır. Bu envanter; hangi verinin (üye, bağışçı, gönüllü, bursiyer vb.), kimden, ne amaçla, hangi yöntemle toplandığını, kimlerle paylaşıldığını (yurt içi/yurt dışı) ve ne kadar süreyle saklandığını detaylıca kayıt altına alır.

Derneklerin sıkça işlediği veri türleri şunlardır:

  • Kimlik ve İletişim Bilgileri: Üye ve bağışçıların ad, soyad, TCKN, adres, telefon, e-posta.
  • Özel Nitelikli Kişisel Veriler: Bursiyer veya yardım alan kişilerin sağlık bilgileri, dernek faaliyet alanı ile ilgili özel durumları. Bu verilerin işlenmesi için açık rıza veya Kanunda belirtilen istisnai şartlar mutlak gereklidir.
  • Mali Veriler: Aidat ve bağış bilgileri, banka hesap numaraları.

3. Hukuki Dayanağın Belirlenmesi ve Aydınlatma Yükümlülüğü

Kişisel veri işleme faaliyetinin KVKK'ya uygun sayılması için mutlaka bir hukuki dayanağı olmalıdır. Dernekler için en yaygın hukuki dayanaklar şunlardır:

  • Açık Rıza: İlgili kişinin bilgilendirilerek, özgür iradesiyle ve tereddütsüz verdiği onay.
  • Kanunlarda Açıkça Öngörülmesi: Dernekler Kanunu, Vergi Kanunları gibi yasalarda veri işlemenin zorunlu kılınması.
  • Sözleşmenin Kurulması/İfası: Üyelik sözleşmesi veya burs/yardım protokolü gibi sözleşmelerin gereği.
  • Meşru Menfaat: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için işlemenin zorunlu olması.

Aydınlatma Yükümlülüğü: Veri sorumlusu olarak dernek, kişisel verileri toplarken ilgili kişiyi; kimliği, verilerin işlenme amacı, kimlere aktarılacağı, toplama yöntemi ve hukuki sebebi hakkında aydınlatma metni ile bilgilendirmek zorundadır. Bu metin, formlarda, web sitesinde ve diğer iletişim kanallarında erişilebilir olmalıdır.

4. Veri Güvenliği ve Teknik/İdari Tedbirler

Kişisel verilerin hukuka aykırı erişime, kayba veya ifşaya karşı korunması derneğin en temel yükümlülüğüdür. Hem teknik hem de idari alanda gerekli tedbirler alınmalıdır:

İdari Tedbirler:

  • Politika ve Prosedürler: Veri Saklama ve İmha Politikası, Kişisel Veri İşleme Politikası oluşturulmalıdır.
  • Eğitim ve Farkındalık: Çalışanlara, gönüllülere ve yönetim kurulu üyelerine KVKK eğitimleri verilmelidir.
  • Gizlilik Taahhütnameleri: Veri işleyen üçüncü taraflar ve çalışanlarla gizlilik sözleşmeleri yapılmalıdır.

Teknik Tedbirler:

  • Erişim Kontrolü: Verilere sadece yetkili kişilerin ulaşması sağlanmalı (kullanıcı adı/şifre, yetkilendirme matrisi).
  • Güvenlik Yazılımları: Virüs koruma, güvenlik duvarları ve sızma testleri düzenli olarak uygulanmalıdır.
  • Yedekleme ve Şifreleme: Kritik veriler şifrelenmeli ve düzenli olarak yedeklenmelidir.

5. KVKK İhlallerinin Dernekler İçin Sonuçları

KVKK’ya uyulmaması durumunda dernekler hem idari para cezalarıyla hem de itibar kaybıyla karşı karşıya kalabilir. Kişisel verilerin hukuka aykırı paylaşılması durumunda, 50.000 TL’den başlayan cezalar söz konusu olabilir.

Ancak asıl kayıp, derneğin güvenilirliğinin zedelenmesidir. Bağışçılar ve üyeler, verilerinin güvende olmadığını hissettiklerinde derneğe olan güven azalır. Bu da hem bağış miktarlarını hem de gönüllü katılımını etkiler.

6. Süreli İmha ve İlgili Kişi Haklarının Yönetimi

İşleme amacı ortadan kalkan veya Kanunda belirtilen saklama süresi dolan kişisel veriler, oluşturulan Veri Saklama ve İmha Politikası uyarınca periyodik olarak (6 ayda bir gibi) silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kanun, veri sahiplerine (ilgili kişilere) kendi verileri üzerinde bir dizi hak tanımıştır. Dernekler, üyelerden veya bağışçılardan gelen; verilerinin işlenip işlenmediğini öğrenme, düzeltilmesini, silinmesini veya anonim hale getirilmesini talep etme gibi başvurulara yasal süreler içinde (en geç 30 gün) yanıt vermek zorundadır.

Sıkça Sorulan Sorular (SSS)

1. Derneklerin VERBİS'e Kayıt Zorunluluğu Var mı? Kişisel Verileri Koruma Kurulu'nun (KVKK) kararlarına göre, ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye'de yerleşik dernekler, genellikle Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğünden istisna tutulmuştur. Ancak, bu istisnanın kapsamı değişebileceği için en güncel Kurul Kararları takip edilmelidir.

2. Üye Listesini E-posta ile Göndermek KVKK’ya Aykırı mıdır? Üye listesinin, her bir üyenin açık rızası olmadan, listenin tamamını görebilecek şekilde diğer üyelere veya üçüncü kişilere gönderilmesi, verilerin hukuka aykırı şekilde ifşa edilmesi anlamına gelebilir ve KVKK’ya aykırıdır.

3. Bağışçıların Bilgileri Ne Kadar Süre Saklanmalıdır? Bağışçı bilgileri, ilgili mevzuat (özellikle Vergi Usul Kanunu) uyarınca belirlenen yasal saklama süreleri (genellikle 10 yıl) boyunca saklanabilir. Bu süre sonunda, işleme amacı kalmadığı için veriler silinmeli veya anonimleştirilmelidir.

4. Etkinliklerde Çekilen Fotoğraflar İçin Rıza Gerekli midir? Etkinlik fotoğraflarında yer alan kişilerin tanınabilir olması durumunda bu bir kişisel veridir. Bu fotoğrafların derneğin tanıtım materyallerinde (web sitesi, sosyal medya vb.) yayınlanması için kural olarak ilgili kişilerin açık rızasının alınması gerekir. Rıza metninde, fotoğrafın nerede ve hangi amaçla kullanılacağı açıkça belirtilmelidir.

Son Yazılarımız

STK PRO ya katılın