Dijital İstifçilik: Bir Şirketin Hafızası mı, Yoksa Takıntısı mı?
Hayalet E-posta: Altı Yıl Sonra Gelen "Yasadışı" Davet
Geçen hafta gelen bir e-posta beni durdurdu. Eski bir işverenden gelen mesaj: "Alumni Network’e Davet!"
Sorun şu: O şirketten ayrılalı tam altı yıl olmuş.
Daha da vahimi: İş başvurusu yaptığım dönemde bana hiçbir Aydınlatma Metni sunulmamıştı. KVKK formları, veri saklama politikaları, rıza beyanları... Hiçbiri yoktu. Sadece özgeçmişimi gönderdim, mülakat yaptım ve işe başladım.
İlk bakışta etkili bir topluluk yönetimi (community building) örneği gibi görünebilir. "Vay be, eski çalışanlarını hatırlıyorlar" diye düşünebilirsiniz. Ancak bir stratejist gözüyle benim gördüğüm; kötü yönetilen bir envanterin dışavurumu, bir veri hijyeni felaketi ve Türk Ceza Kanunu kapsamında işlenen bir suçtur.
Çünkü altı yıl önce sadece "istihdam" amacıyla verdiğim veriler, bugün benim rızam dışında bir "pazarlama/etkinlik" materyaline dönüştürülemez.
Dijital İstifçilik: Veri "Asset" mi, "Liability" mi?
Küresel ölçekte şirketlerin %80’inden fazlası aynı hastalıktan muzdarip: Dijital İstifçilik. Şirketler veriyi bir varlık (asset) sanıyor. Oysa yönetilemeyen, imha süresi geçmiş her veri bir borçtur (liability). Üzerinizde taşıdığınız, her gün büyüyen ve patlamayı bekleyen bir mali bombadır. Sadece KVKK değil, GDPR (General Data Protection Regulation) standartları da artık "veri minimizasyonu" ve "amaçla sınırlılık" ilkelerini, küresel ticaretin etik kuralı haline getirdi.
Eğer Avrupa ile iş yapıyorsanız veya küresel bir vizyonunuz varsa, "belki bir gün lazım olur" mantığıyla veri saklamak, stratejik bir intihardır.
Hukuki Dinamit: TCK 138 ve "Unutulan" Hapis Riski
İş dünyası genellikle idari para cezalarına odaklanır. "Kaç milyon TL ceza yeriz?" diye sorulur. Ancak asıl risk, hiyerarşinin en tepesindeki yöneticileri ilgilendiren Türk Ceza Kanunu Madde 138’dir.
TCK 138 ne diyor?
"Kanunların belirlediği sürelerin geçmiş olmasına karşın, kişisel verileri sistem içinde yok etmeyenler, bir yıldan iki yıla kadar hapis cezası ile cezalandırılır."
Dikkat edin; bu bir para cezası değil, hapis cezasıdır. Ve bu suç, sadece veriyi "başkasına satmak" ile oluşmaz. Veriyi silmeniz gerektiği halde silmemek, aktif bir suç fiilidir.
Özlük Dosyası Yanılgısı: 10 Yıl Saklama Hakkı, Her Şeyi Yapma Hakkı mıdır?
Şirketlerin en büyük savunması şudur: "İş Kanunu ve Sosyal Güvenlik hukuku gereği personel verilerini 10 yıl saklamak zorundayız."
Bu bilgi kısmen doğrudur ama stratejik olarak eksik yorumlanmaktadır:
Saklama Zorunluluğu (Özlük Dosyası): 6098 sayılı Türk Borçlar Kanunu ve İş Kanunu uyarınca, işçi-işveren arasındaki uyuşmazlıklarda (kıdem tazminatı, fazla mesai alacakları vb.) zamanaşımı süresi genellikle 5 ila 10 yıldır. Bu nedenle bir şirketin, eski çalışanının verisini "savunma hakkı" kapsamında bir "arşivde/özlük dosyasında" tutması meşrudur.
Amaç Dışı Kullanım Yasağı: Veriyi özlük dosyasında "hukuki yükümlülük" için tutuyor olmanız, o veriyi aktif pazarlama listelerine, "Alumni" davetlerine veya kampanya duyurularına ekleme hakkı vermez. Özlük Verisi: Sadece mahkeme veya SGK istediğinde çıkarılmak üzere "kilitli" durmalıdır. Alumni/Pazarlama Verisi: Bunun için iş akdi bittikten sonra kişiden "ayrı ve spesifik bir açık rıza" alınması şarttır.
Eski çalışanınıza, rızası olmadan alumni maili atıyorsanız; özlük dosyasındaki veriyi "amacından saptırmış" olursunuz. Bu hem KVKK Madde 4 (Amaçla sınırlılık) ihlalidir hem de GDPR'daki "Privacy by Design" (Tasarım yoluyla gizlilik) ilkesine aykırıdır.
2026 Finansal Gerçekliği: 17 Milyon TL'yi Aşan Risk
Ocak 2026 itibarıyla, KVKK ihlallerinde uygulanacak idari para cezası üst sınırı 17.666.000 TL seviyesine geldi. Artık bu rakamlar sadece "uyarı" değil, orta ölçekli bir şirket için "kepenk kapatma" sebebidir.
Üstelik GDPR uyumlu bir denetim söz konusu olduğunda, ceza miktarları şirketin küresel cirosunun %4’üne kadar çıkabilmektedir. Dijital dünyada sınırların kalktığı bir dönemde, "biz yerel bir KOBİ'yiz" demek artık koruyucu bir kalkan değildir.
Veri Hijyeni: BT Görevi Değil, Bir Liderlik Disiplini
Çoğu CEO, veri korumayı IT departmanına veya hukuk birimine delege eder. Bu, stratejik bir hatadır. Veri koruma, şirketin "itibar sermayesinin" yönetimidir.
Eğer aydınlatma metni sunmadan veri topluyorsanız (benim vakamda olduğu gibi), en baştan "kusurlu" bir temel üzerine bina inşa ediyorsunuz demektir. Hukuka aykırı toplanan veri, ağaçtaki zehirli elma gibidir; ondan yapılan her türlü "Alumni" veya "Pazarlama" faaliyeti de zehirlidir.
CEO Gece Rahat Uyuma Checklist’i
Şirketinizin veri güvenliğini strateji masasına yatırmak için şu 6 soruyu sorun:
1. Veri Envanteri: "Hangi Veriye Sahibiz ve Neden?"
Eski çalışan, aday ve müşteri listelerini çıkarın. "Bu veri hala toplandığı günkü amaca hizmet ediyor mu?" sorusuna "Hayır" dediğiniz her satırı silin.
2. Saklama Süreleri ve "Özlük" Ayrımı
İşten ayrılan personelin verisini özlük dosyasında (savunma hakkı için) 10 yıl saklayın; ancak bu verinin pazarlama/iletişim sistemlerine (CRM/Topluluk Yönetimi) sızmasını engelleyin. İkisi arasında aşılmaz bir duvar (firewall) olmalı.
3. TCK 138 Uyumu: Silme Kültürü
Şirketinizde "veri silmek" bir performans göstergesi mi? Eğer ekipleriniz "ne olur ne olmaz kalsın" diyorsa, TCK 138 uyarınca hapis cezası riskini şahsen üstleniyorsunuz demektir. Periyodik imha takviminiz var mı?
4. Aydınlatma ve Rıza Hijyeni
Topladığınız her verinin bir "kimlik kartı" (Aydınlatma Metni) var mı? Aydınlatma yapılmadan alınan her veri, sisteminizde dolaşan bir virüstür. Geçmişteki boşlukları "yeni rıza" süreçleriyle (re-opt-in) kapatın.
5. GDPR Standartları ve Küresel Uyumluluk
Sadece yerel KVKK'ya değil, GDPR'ın "Unutulma Hakkı" ve "Veri Taşınabilirliği" ilkelerine uyum sağlayın. Küresel rakiplerinizle ancak bu standartlarla yarışabilirsiniz.
6. Teknik İmha Denetimi
"Silindi" denilen veriler gerçekten yok mu ediliyor, yoksa sadece "pasif"e mi alınıyor? IT departmanınızdan "Gerçek İmha" raporu isteyin. Log dosyalarında veya yedeklerde kalan veri, hala risk altındadır.
2026'da Gerçek Güç, Neyi Sileceğini Bilmektir
Altı yıl önce bana aydınlatma metni sunmayan o şirket, bugün bana "Alumni" maili atarak aslında şunu söylüyor: "Ben senin hakkındaki her şeyi kontrolsüzce saklıyorum ve hukuku umursamıyorum."
Bir stratejist olarak cevabım net: Dijital istifçilik bir güç göstergesi değil, bir yönetim zafiyetidir. 2026 dünyasında ayakta kalacak olanlar, en çok veriyi saklayanlar değil; en hijyenik veri envanterine sahip olanlar olacaktır.
Çünkü bir sabah kapınızı çalacak olan KVKK Kurumu'nun tebligatı değil, Cumhuriyet Savcılığı'nın "Verileri Yok Etmeme Suçu" (TCK 138) soruşturması olabilir.
Siz hazır mısınız?
#strateji #kvkk #gdpr #riskyönetimi
