KVKK ve Veri Güvenliği: Veteriner Klinikleri İçin Uyum Rehberi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 2016'da yürürlüğe girdi ve tüm sektörleri etkiliyor. Veteriner klinikleri de hasta sahiplerinin kişisel verilerini işlediği için KVKK'ya uymak yasal zorunluluk. İhlalde yüksek idari para cezaları ve tazminat davaları riski var. İşte bilmeniz gereken her şey.

KVKK Nedir?

Tanım

KVKK, kişisel verilerin işlenmesinde:

• 🔒 Kişilerin temel hak ve özgürlüklerini korur
• 📋 Verileri işleyenlerin yükümlülüklerini belirler
• ⚖️ İhlallerde yaptırımlar öngörür

Kişisel Veri Nedir? Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi:

• İsim, soyisim, TC kimlik no
• Telefon, email, adres
• Fotoğraf, video
• Finansal bilgiler (kredi kartı)
• Özel Nitelikli Veri: Sağlık bilgileri, biyometrik veriler

Pet Sahiplerinin Verileri:

• Ad, soyad, telefon, email
• Adres
• Pet'in sağlık bilgileri (özel nitelikli!)
• Ödeme bilgileri

Veteriner Kliniklerde İşlenen Veriler

Kişisel Veriler

Pet Sahibi Bilgileri:

• 👤 Kimlik bilgileri (ad, soyad, TC no)
• 📞 İletişim bilgileri (telefon, email, adres)
• 💳 Finansal bilgiler (ödeme kayıtları, kredi kartı - son 4 hane)
• 🖼️ Görsel/İşitsel veriler (güvenlik kamerası, pet fotoğrafları)

Pet Bilgileri:

• Doğrudan kişisel veri değil AMA pet sahibiyle birlikte işlendiğinde kişisel veri sayılır

Özel Nitelikli Kişisel Veriler

Sağlık Verileri (Pet):

• Tıbbi geçmiş
• Tanılar
• Tedaviler
• Lab sonuçları
• Radyolojik görüntüler

KVKK'ya Göre: Evcil hayvanların sağlık verileri doğrudan özel nitelikli veri değil, ancak pet sahibinin kimliğiyle birlikte işlendiğinde daha yüksek koruma gerektirir.

KVKK'nın Temel İlkeleri

1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

• Verileri sadece yasal amaçlarla işleyin
• Gizli yöntemlerle veri toplama yasak

2. Doğru ve Güncel Tutma

• Yanlış verileri düzeltin
• Güncel olmayan verileri güncelleyin veya silin

3. Belirli, Açık ve Meşru Amaçlarla İşleme

• Veriyi neden topladığınızı belirtin
• Başka amaçla kullanmayın (örn: pazarlama için açık rıza gerekir)

4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

• Sadece gerekli verileri toplayın
• Gereksiz veri istemeyin (örn: kan grubu gerekmiyorsa sormayın)

5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Saklama

• Gereksiz verileri imha edin
• Yasal saklama süreleri: Minimum 10 yıl (muhasebe kayıtları)

6. Veri Güvenliğini Sağlama

• Teknik önlemler (şifreleme, yedekleme)
• İdari önlemler (personel eğitimi, yetki sınırlaması)

Veteriner Kliniklerin Yasal Yükümlülükleri

1. Aydınlatma Yükümlülüğü

Ne Zaman? Veri toplamadan ÖNCE (ilk temas anında).

Nasıl?

• Yazılı veya elektronik (website, form)
• Açık, anlaşılır dil
• Kolay erişilebilir

İçerik (KVKK md. 10):

1. ✅ Veri sorumlusunun kimliği
2. ✅ Verilerin işlenme amacı
3. ✅ Verilerin kimlere ve hangi amaçla aktarılabileceği
4. ✅ Veri toplama yöntemi ve hukuki sebebi
5. ✅ KVKK md. 11'de sayılan haklar

Örnek Aydınlatma Metni (Kısaltılmış):

VETİGEN VETERİNER KLİNİĞİ
KİŞİSEL VERİLERİN KORUNMASI AYDINLATMA METNİ

Veri Sorumlusu: Vetigen Veteriner Kliniği, [Adres]
İletişim: [Email], [Telefon]

1. Toplanan Veriler:
   - Kimlik bilgileri (ad, soyad, TC no)
   - İletişim bilgileri (telefon, email, adres)
   - Pet sağlık bilgileri

2. İşleme Amacı:
   - Veteriner hizmet sunumu
   - Randevu yönetimi
   - Faturalandırma
   - Yasal yükümlülüklerin yerine getirilmesi

3. Hukuki Sebep:
   - Sözleşmenin ifası (KVKK md. 5/2-c)
   - Yasal yükümlülük (KVKK md. 5/2-a)
   - İlgili kişinin açık rızası (pazarlama için)

4. Haklarınız (KVKK md. 11):
   - Verilerinize erişim
   - Düzeltme, silme, işlemenin durdurulması
   - İtiraz
   - Şikayet (Kişisel Verileri Koruma Kurumu)

Tarih: ___/___/______
İmza: _______________

2. Açık Rıza Alma (Özel Nitelikli Veriler)

Özel Nitelikli Veriler (Pet Sağlık Bilgileri) İçin:

• Açık rıza gerekir
• İstisna: Sağlık hizmeti sunumu için rıza gerekmez (KVKK md. 6/3)

Pazarlama İçin:

• Mutlaka açık rıza gerekir (SMS, email gönderimi)
• Ticari Elektronik İletiler Kanunu da geçerli

Açık Rıza Örneği:

☐ Vetigen Veteriner Kliniği'nden kampanya, promosyon ve bilgilendirme
   amaçlı ticari elektronik ileti (SMS, email) almayı kabul ediyorum.

Tarih: ___/___/______
İmza: _______________

---

---

3. Veri Güvenliği Önlemleri

Teknik Önlemler:

✅ Şifreleme:

• Veritabanı şifreleme (AES-256)
• İnternet bağlantısı şifreleme (SSL/TLS)

✅ Yedekleme:

• Günlük otomatik yedekleme
• Yedeklerin ayrı konumda saklanması

✅ Güvenlik Duvarı (Firewall):

• Yetkisiz erişimi engelleme
• DDoS saldırı koruması

✅ Antivirüs ve Güncellemeler:

• Antivirüs yazılımı
• İşletim sistemi güncellemeleri

✅ İki Faktörlü Kimlik Doğrulama (2FA):

• Giriş için ek güvenlik katmanı

İdari Önlemler:

✅ Personel Eğitimi:

• KVKK farkındalık eğitimi (yılda 1)
• Veri güvenliği protokolleri

✅ Yetki Sınırlaması:

• Her personel sadece göreviyle ilgili verilere erişebilir
• Veteriner: Tüm hasta kayıtları
• Resepsiyonist: İletişim bilgileri, randevular
• Muhasebe: Finansal bilgiler

✅ Gizlilik Sözleşmesi:

• Tüm personel gizlilik sözleşmesi imzalamalı

✅ Veri İmha Prosedürü:

• Eski kayıtların güvenli silinmesi
• Fiziksel dokümanların parçalanması

4. Veri Saklama ve İmha

Saklama Süreleri:

| Veri Türü | Süre | Yasal Dayanak | |-----------|------|---------------| | Muhasebe kayıtları | 10 yıl | Vergi Usul Kanunu | | Tıbbi kayıtlar | 10 yıl | Tıbbi Kayıtlar Yönetmeliği* | | Görüntü kayıtları (CCTV) | 6 ay | KVKK Kamera İzleme Rehberi |

*Not: Veteriner kayıtlar için özel düzenleme yok, ancak benzer süre önerilir.

İmha Yöntemleri:

• Dijital: Veri silme yazılımı (geri kurtarılamaz)
• Fiziksel: Kağıt parçalama, CD/USB imha

5. Veri Aktarımı

Üçüncü Taraflara Aktarım:

İzin Gereken Durumlar:

• Lab şirketleri (test sonuçları)
• Sigorta şirketleri (tazminat talepleri)
• Bulut hizmet sağlayıcıları (Vetigen gibi)

Veri İşleme Sözleşmesi: Aktarım öncesi yazılı sözleşme gerekir:

• Veri güvenliği yükümlülükleri
• Alt işleyici yasağı (onaysız)
• Veri ihlali bildirim yükümlülüğü

Yurtdışına Aktarım:

• Sadece Yeterli Koruma olan ülkeler (AB, İngiltere)
• Veya Açık rıza + Veri Koruma Kurulu izni

Vetigen:

• Veriler Türkiye'de saklanır (AWS İstanbul)
• Yurtdışı aktarım yok

6. Veri Sorumlusu Siciline Kayıt (VERBİS)

Kimler Kayıt Olmalı?

• 50+ çalışan veya
• Yıllık mali bilanço >25 milyon TL veya
• 1,000+ kişinin özel nitelikli verisini işleyen

Çoğu Veteriner Klinik İçin:

• VERBİS kaydı zorunlu değil (küçük işletme istisnası)
• Ancak yükümlülükler geçerli (aydınlatma, veri güvenliği vb.)

İlgili Kişinin Hakları (KVKK md. 11)

Pet sahipleri klinikten şunları talep edebilir:

1. Bilgi Talep Etme

• "Benim hangi verilerim var?"
• "Verilerim hangi amaçla kullanılıyor?"

Cevaplama Süresi: 30 gün (ücretsiz)

2. Düzeltme

• "Telefon numaram yanlış, düzeltir misiniz?"

Yükümlülük: Hemen düzeltin + Aktardığınız 3. taraflara bildirin

3. Silme / İmha

• "Artık hastanız değilim, verilerimi silin."

Şartlar:

• İşleme amacı ortadan kalkmış
• Yasal saklama süresi dolmuş
• İlgili kişi rızasını geri çekmiş

Ret Sebepleri:

• Yasal yükümlülük (10 yıl saklama)
• Hukuki uyuşmazlık (dava riski varsa)

4. İtiraz

• "Bana pazarlama mesajı göndermeyin."

Yükümlülük: İşlemeyi durdurun (rızaya dayalıysa)

5. Zararın Tazmin i

• Veri ihlali nedeniyle zarar → Maddi/manevi tazminat davası

Veri İhlali ve Bildirim Yükümlülüğü

Veri İhlali Nedir?

• Yetkisiz erişim (hacker saldırısı)
• Veri kaybı (yedek olmadan silme)
• Veri sızıntısı (kazara ifşa etme)

Örnek: Resepsiyonist pet sahiplerinin telefon numaralarını Excel'de kopyalayıp kişisel telefona atıyor → Veri ihlali!

Bildirim Yükümlülüğü

Kime Bildirilir?

1. Kişisel Verileri Koruma Kurumu (KVKK Kurulu): 72 saat içinde
2. İlgili Kişiler (Pet Sahipleri): En kısa sürede

Bildirim İçeriği:

• İhlalin niteliği
• Etkilenen veri kategorileri ve kişi sayısı
• Alınan önlemler
• İlgili kişilere öneriler

Cezalar

İdari Para Cezaları (KVKK md. 18):

| İhlal | Ceza | |-------|------| | Aydınlatma yükümlülüğü ihlali | 50,000 TL | | Veri güvenliği önlemleri alınmaması | 1,000,000 TL | | Veri ihlali bildirimi yapmama | 1,000,000 TL | | Silme/imha yükümlülüğü ihlali | 1,000,000 TL |

Not: 2024 yılı için güncel tutarlar. Her yıl revalorizasyon uygulanır.

Tazminat Davaları:

• İlgili kişiler maddi/manevi tazminat davası açabilir
• Mahkeme kararı gerekir

KVKK Uyum Kontrol Listesi

Aydınlatma ve Rıza

• [ ] Aydınlatma metni hazırlandı mı?
• [ ] Tüm pet sahiplerine verildi mi?
• [ ] Website'de yayınlandı mı?
• [ ] Pazarlama için açık rıza formu var mı?

Veri Güvenliği

• [ ] Veritabanı şifreleme aktif mi?
• [ ] Günlük yedekleme yapılıyor mu?
• [ ] Antivirüs güncel mi?
• [ ] Güvenlik duvarı aktif mi?
• [ ] İki faktörlü kimlik doğrulama kullanılıyor mu?

Personel

• [ ] KVKK eğitimi verildi mi?
• [ ] Gizlilik sözleşmesi imzalandı mı?
• [ ] Yetki sınırlaması yapıldı mı?

Veri Yönetimi

• [ ] Veri envanteri hazırlandı mı? (Hangi veriler nerede?)
• [ ] Saklama süreleri belirlendi mi?
• [ ] İmha prosedürü var mı?

Üçüncü Taraflar

• [ ] Veri işleme sözleşmeleri imzalandı mı?
• [ ] Lab, sigorta, yazılım sağlayıcılar ile anlaşma var mı?

İlgili Kişi Hakları

• [ ] Talep başvuru prosedürü var mı?
• [ ] Başvuru formu hazırlandı mı?
• [ ] 30 gün içinde cevaplama süreci var mı?

---

---

Vetigen ve KVKK Uyumu

Vetigen'in KVKK Önlemleri

✅ Veri Şifreleme:

• AES-256 veritabanı şifreleme
• SSL/TLS internet şifrelemesi

✅ Veri Lokasyonu:

• %100 Türkiye'de (AWS İstanbul)
• Yurtdışı aktarım yok

✅ Yedekleme:

• Günlük otomatik yedekleme
• 30 gün geri alma

✅ Yetki Kontrolü:

• Rol bazlı erişim
• İki faktörlü kimlik doğrulama (2FA)

✅ Denetim Logları:

• Tüm işlemler kaydedilir
• Kim, ne zaman, hangi veriyi gördü?

✅ KVKK Modülleri:

• Aydınlatma metni şablonları
• Açık rıza form yönetimi
• İlgili kişi talep modülü

✅ Veri İmha:

• Otomatik imha (saklama süresi sonrası)
• Manuel imha onayı

✅ ISO 27001 Sertifikası:

• Bilgi güvenliği yönetim sistemi (2025'te alınacak)

Klinik Tarafı Sorumluluklar

Vetigen kullanıyor olsanız bile:

• [ ] Pet sahiplerine aydınlatma metni vermek sizin sorumluluğunuz
• [ ] Personel eğitimi sizin sorumluluğunuz
• [ ] İlgili kişi taleplerini cevaplamak sizin sorumluluğunuz

Vetigen = Veri işleyici (alt yüklenici) Klinik = Veri sorumlusu (yasal yükümlülüklerin sahibi)

Sıkça Sorulan Sorular

S: KVKK sadece büyük klinikler için mi?

C: Hayır! Veri işleyen tüm klinikler KVKK'ya uymak zorunda. VERBİS kaydı küçük kliniklere zorunlu değil ama diğer yükümlülükler geçerli.

S: Pet'in bilgileri kişisel veri mi?

C: Doğrudan değil, ama pet sahibinin kimliğiyle birlikte işlendiğinde kişisel veri sayılır.

S: Kağıt kayıtlarım KVKK kapsamında mı?

C: Evet! KVKK hem dijital hem fiziksel verileri kapsar. Kağıt kayıtları kilitli dolaplarda saklayın.

S: Eski hasta kayıtlarını ne yapmalıyım?

C: Yasal saklama süresi (10 yıl) dolmadıysa saklayın. Dolduysa imha edin (kağıt parçalama).

S: Pet sahibi "verilerimi silin" derse ne yapmalıyım?

C: Yasal saklama süresi dolmadıysa ret cevabı verin ("10 yıl saklama yükümlülüğü"). Dolduysa silin ve 30 gün içinde bilgilendirin.

S: WhatsApp'tan hasta fotoğrafı almak yasak mı?

C: Hayır, ama açık rıza gerekir ve güvenli saklama şart. WhatsApp yetkisiz erişime açık olabilir, Vetigen gibi güvenli platform tercih edin.

---

İlgili Vetigen Özellikleri

KVKK uyumunuzu Vetigen ile kolaylaştırın:

• KVKK Modülleri - Aydınlatma metni, rıza yönetimi, ilgili kişi talepleri
• Veri Güvenliği - Şifreleme, yedekleme, yetki kontrolü
• Bulut Altyapısı - Türkiye'de veri saklama, ISO 27001 uyumlu
• Ücretsiz Demo - KVKK özelliklerini test edin

---

İlgili Blog Yazıları

Yasal uyum ve teknoloji:

• Dijital Dönüşüm - Dijitalleşmenin veri güvenliği boyutu
• Klinik Yazılımı Seçimi - KVKK uyumlu yazılım seçimi
• Telemedicine - Online hizmetlerde veri güvenliği

---

Kaynaklar

• KVKK Kanun Metni
• Kişisel Verileri Koruma Kurumu
• KVKK Rehberleri

---

Etiketler: #KVKK #VeriGüvenliği #YasalUyum #HastaGizliliği #VeriKoruma #VeterinerHukuk