Blog / Veri Güvenliği / KVKK Uyumlu Lig Yönetimi: 7 Adımda Türkiye'de Oyuncu Verilerini Güvenle Toplama, Saklama ve Silme
KVKK Uyumlu Lig Yönetimi: 7 Adımda Türkiye'de Oyuncu Verilerini Güvenle Toplama, Saklama ve Silme
Veri Güvenliği

KVKK Uyumlu Lig Yönetimi: 7 Adımda Türkiye'de Oyuncu Verilerini Güvenle Toplama, Saklama ve Silme

Rekabet · 23 Şubat 2026 · 5 dk okuma · 8 görüntülenme
lig-yonetimi veri güvenliği uyum KVKK kişisel veri

Lig yönetimi; turnuva kayıtları, oyuncu profil bilgileri, iletişim, ödeme kayıtları ve performans verileri gibi birçok kişisel veri üretir. Türkiye'de faaliyet gösteren amatör ya da profesyonel liglerin bu verileri KVKK'ya uygun şekilde yönetmesi hem yasal bir gerekliliktir hem de oyuncu güveni için kritik bir unsurdur. Bu rehberde, uygulaması kolay, pratik ve adım adım bir yaklaşım sunuyorum: veriyi nasıl toplayacağınız, saklayacağınız, erişimi nasıl kontrol edeceğiniz ve nasıl güvenli biçimde sileceğinize dair somut öneriler.

Giriş: Neden KVKK Uyumlu Olmak Zorunlu ve İşe Faydası Nedir?

KVKK uyumu yalnızca cezalardan kaçınmak için değildir. Doğru uygulandığında oyuncu memnuniyeti artar, veri kayıpları engellenir ve organizasyonunuzun itibarı korunur. Ayrıca uyumlu süreçler, dış denetimler ve iş ortaklarıyla (ödeme sağlayıcıları, bulut hizmetleri) çalışmayı kolaylaştırır.

Adım 1: Hangi Verileri Topluyorsunuz? Veri Haritası (Data Mapping) Oluşturun

Ne yapmalısınız: Tüm veri akışlarını haritalayın. Hangi veriler alınıyor, nerede saklanıyor, kim erişebiliyor ve kimle paylaşılıyor belirleyin.

  • Temel kategoriler: kimlik bilgileri, iletişim, sağlık (varsa), ödeme, performans/istatistik, teknik loglar, IP ve konum verisi.
  • Somut örnek: Turnuva kaydı sırasında toplanan veri: TC kimlik numarası (gerekiyorsa), isim-soyisim, doğum tarihi, e-posta, telefon, takım bilgisi.
  • Çıktı: her veri türü için işleme amacı ve saklama süresi tablosu oluşturun.

Adım 2: Hukuki Dayanak ve Aydınlatma / Açık Rıza Metinleri

Pratik kural: Her veri işleme için açık bir hukuki dayanak belirlemelisiniz. KVKK kapsamında genellikle aydınlatma ve rıza en yaygın dayanaklardır; sözleşmenin ifası, yasal zorunluluk veya meşru menfaat de uygulanabilir.

  • Aydınlatma metni kısa ve anlaşılır olmalı: hangi veriler, hangi amaçla, kimlerle paylaşılacağı, veri sahibinin hakları ve iletişim bilgileri.
  • Rıza alınacaksa: özgürce verilmiş, belirli, bilgilendirilmiş ve açık olmalıdır. Kutu işaretleri (opt-in) ve ayrı onaylar kullanın (örn. pazarlama, paylaşım, fotoğraf kullanımı).
  • Örnek kısa onay cümlesi: "Turnuva kayıt sürecinde verdiğim kişisel verilerin, organizasyon ve güvenlik amaçlı işlenmesini KVKK çerçevesinde kabul ediyorum."

Adım 3: Veri Minimiza­syonu ve Amaca Bağlama

Her zaman en az veri ilkesini uygulayın. Gerekmeyen bilgileri toplamayın; örneğin bir amatör lig için TC kimlik numarası toplamak yerine e-posta ve iletişim bilgisi yeterli olabilir.

  • Formları sadeleştirin: zorunlu alanlarla opsiyonel alanları açıkça ayırın.
  • Örnek: Ödül ödemesi için banka bilgisi gerekiyorsa, bu alanı yalnızca ödül kazanıldığında talep edin — kayıt esnasında zorlamayın.

Adım 4: Teknik ve İdari Tedbirler — Saklama, Şifreleme, Erişim Kontrolü

Verinin güvenli saklanması hem teknik (encryption, yedekleme, ağ güvenliği) hem de idari (erişim izinleri, eğitim, politika) tedbirler gerektirir.

Teknik Öneriler

  • Hassas veriyi (banka, kimlik) şifreli biçimde saklayın (AES-256 gibi endüstri standartı yöntemler).
  • İletim sırasında TLS kullanın (HTTPS zorunlu).
  • Yedeklemeler de şifreli olmalı ve erişimleri sınırlı tutulmalı.
  • Logları saklayın: kim ne zaman hangi veriye erişti, değişiklik neydi — bir güvenlik olayı için temel gerekliliktir.

İdari Tedbirler

  • Yetki bazlı erişim (least privilege). Yalnızca işlemi yürüten personel verilere erişebilmeli.
  • Veri işleyenlerle sözleşme (DPA) yapın: bulut sağlayıcı, ödeme kuruluşu, iletişim servisleri vb.
  • Personel eğitimi: KVKK farkındalığı, sosyal mühendislik, parola politikaları.

Adım 5: Saklama Süreleri ve Arşivleme — Ne Kadar Tutmalısınız?

Her veri kategorisi için açık saklama süreleri belirleyin ve bu süreleri aydınlatma metninde yayınlayın. Süre bittiğinde güvenli silme uygulayın.

  • Örnek saklama süreleri (örgütünüzün risk değerlendirmesine göre ayarlayın):
  • Basit kayıt bilgileri (isim, e-posta): 2 yıl sonra silinebilir veya anonimleştirilebilir.
  • Ödeme ile ilgili veriler: yasal muhafaza sürelerine göre (ör. vergi mevzuatı) saklanmalı.
  • Hak talebi, şikayet veya hukuki süreçlerde gerekli belgeler ilgili süreç bitene kadar saklanır.

Adım 6: Veri Sahibinin Haklarını Yönetme Süreci

KVKK kapsamında veri sahipleri erişim, düzeltme, silme, aktarma ve itiraz haklarına sahiptir. Bu taleplere yanıt verecek net bir prosedür oluşturun.

  1. Talep kanalları: e-posta, web formu veya posta adresi açıkça belirtilmeli.
  2. Taleplerin alındığı, işlendiği ve sonuçlandırıldığı bir kayıt sistemi kullanın (SLA: 30 gün içinde yanıt gibi).
  3. Kimlik doğrulama: talep sahibinin gerçekten veri sahibi olduğunu doğrulayacak prosedür geliştirin.
  4. Silme talebi gelirse: veriyi kalıcı olarak silme veya anonimleştirme adımlarını uygulayın ve kişiye silme işleminin tamamlandığına dair yazılı bildirim gönderin.

Adım 7: Olay Yönetimi, Denetimler ve Sürekli İyileştirme

Veri ihlali senaryoları için hazırlıklı olmak zorunludur. Hızlı, belgelenmiş ve test edilmiş bir olay müdahale planınız olmalı.

  • Olay müdahale planı: tespit, izolasyon, etkileneni belirleme, bildirim (KVKK kapsamındaki bildirim yükümlülükleri), düzeltici adımlar ve raporlama.
  • Düzenli iç denetimler: yıllık veya altı aylık olarak veri işleme aktivitelerini gözden geçirin.
  • Risk değerlendirmesi ve Veri Koruma Etki Değerlendirmesi (DPIA) yapın; yüksek riskli işler için özellikle önemlidir.

Pratik Kontrol Listesi (Hızlı Uygulama)

  • Veri haritası hazır mı?
  • Aydınlatma ve rıza metinleri güncel mi?
  • Saklama süresi politikası belirlendi mi?
  • Veri işleyenlerle sözleşmeler imzalandı mı?
  • Şifreleme ve erişim kontrolü uygulanıyor mu?
  • Veri sahibi talepleri için bir iletişim kanalı ve kayıt mekanizması var mı?
  • İhlal durumunda bildirim prosedürü test edildi mi?

Sık Karşılaşılan Sorunlar ve Çözümleri

Sık sorun: Gereksiz veri toplama. Çözüm: Formları sadeleştir ve zorunlu alanları sınırla.

Sık sorun: Bulut sağlayıcıyla belirsiz sorumluluk dağılımı. Çözüm: Veri işleyen sözleşmesi hazırlayın, SLA ve güvenlik gereksinimlerini netleştirin.

Sık sorun: Silme taleplerinin tam uygulanmaması (yedeklerde vs.). Çözüm: Yedek politika ve anonimleştirme süreçlerini belgeleyin; silme taleplerini izleyin.

Sonuç: KVKK Uyumlu Lig Yönetimi Bir Süreç İşidir

KVKK uyumlu olmak tek seferlik bir iş değil, dinamik bir süreçtir. Başlangıç olarak 7 adımı uygulayın: veri haritalama, hukuki dayanak ve onay, minimizasyon, teknik ve idari tedbirler, saklama politikası, veri sahibinin hakları süreçleri ve olay yönetimi. Her adım için somut sorumlular atayın, düzenli denetim takvimi oluşturun ve oyuncularınıza açık iletişimle güven verin. Bu hem yasal riski azaltır hem de liginizin profesyonel algısını güçlendirir.

Uyarı: Bu rehber bilgilendirme amaçlıdır; organizasyonunuzun özel koşulları için bir KVKK uzmanı veya hukukçu ile danışmanlık yapmanız önerilir.
Paylaş

İlgili Yazılar