Giriş
Profesyonel amatör fark etmeksizin lig yönetimi; maç kayıtları, yayın videoları ve oyuncu verisini işlerken KVKK gerekliliklerine uymak zorundadır. Bu rehber, sahadaki teknik uygulamalardan hukuki metinlere kadar 8 adımda pratik bir yol haritası sunar. Ayrıca kullanıma hazır izin şablonları eklenmiştir; bunları kendi lig yapınıza göre uyarlayabilirsiniz.
Neden KVKK önemli? Kısa bir çerçeve
Kişisel veriler sadece isim ve iletişim değil; oyuncu performans verileri, görsel kayıtlar, IP adresleri gibi geniş bir alanı kapsar. Yanlış işleme, saklama veya üçüncü taraf paylaşımı hem itibar hem de para cezası riski doğurur. KVKK, bu riskleri yönetecek prosedürleri zorunlu hale getirir.
Hangi veriler söz konusu? Pratik sınıflandırma
1. Kayıt ve kimlik verileri
- İsim, doğum tarihi, T.C. kimlik numarası (gerekliyse), iletişim bilgileri
2. Yayın videoları ve görseller
- Maç kayıtları, canlı yayın görüntüleri, yayın kayıtlarının kesitleri
3. Performans ve istatistik verileri
- Oyun içi istatistikler, zaaflar, antrenman verileri
4. Teknik ve izleme verileri
- IP adresleri, bağlantı logları, cihaz bilgileri
8 Adımlık Pratik Rehber
Adım 1 — Veri envanteri ve iş akışı haritası çıkarın
Hangi veriyi nerede, kimler tarafından ve hangi amaçla işlediğinizi yazılı hale getirin. Basit bir tablo yeterli: veri türü, kaynak, sorumlu birim, saklama yeri, üçüncü taraf paylaşımları ve yasal dayanak.
Örnek: Maç kaydı videosu — kaynağı: yayın sunucusu — saklama: şifreli bulut — erişim: yayın ekibi ve arşiv yöneticisi — yasal dayanak: rıza ve sözleşme.
Adım 2 — Hukuki dayanağı belirleyin
KVKK'ya göre her işlem için bir hukuki dayanak gerekir: aydınlatma + rıza, sözleşmenin ifası, hukuki yükümlülük ya da meşru menfaat. Yayın videoları için genellikle rıza veya sözleşme maddesi kullanılır; ancak oyuncu sağlık verisi gibi hassas veriler için açık rıza zorunludur.
Adım 3 — Aydınlatma metinleri ve rıza şablonları oluşturun
Aşağıda örnek, kısa ve anlaşılır iki şablon bulacaksınız: oyuncu kayıt rızası ve yayın/röportaj rızası. Bu metinler temel olarak; hangi veriler işlendiğini, amaçları, saklama süresini, veri sahibinin haklarını belirtmelidir.
Oyuncu Kayıt ve Veri İşleme Rızası (Örnek)
Ben, aşağıda imzası bulunan, ad ve soyad, iletişim ve maç kayıtlarımın lig organizasyonu tarafından kayıt, yayın, arşiv ve istatistik amaçlı işlenmesini ve organizasyonun ilgili üçüncü taraflarla sınırlı paylaşımını kabul ediyorum. Verilerim KVKK kapsamında saklanacak; erişim, düzeltme, silme taleplerimi KVKK hükümlerine göre kullanabileceğim konusunda bilgilendirildim. Saklama süresi: 24 ay (maç kaydı için) veya açık rıza geri çekilene kadar.
Yayın / Röportaj İzni (Örnek)
Maç sırasında alınan görüntü ve ses kayıtlarının lig yayınları, tanıtım materyalleri, sosyal medya ve sponsor içeriklerinde kullanılması için açık rızamı veriyorum. Bu izin, rızamı yazılı olarak geri çekene kadar geçerlidir.
Pratik ipucu: Rıza metinlerini mümkün olduğunca kısa tutun, fakat saklama sürelerini, iletişim adresini ve hak kullanımını net ifade edin. Dijital formlarda ayrı onay kutuları kullanın; tek checkbox ile tüm maddeleri toplamaktan kaçının.
Adım 4 — Veri minimizasyonu ve saklama politikası
Yalnızca işlemeye gerek duyduğunuz veriyi toplayın. Örneğin turnuva ön eleme için T.C. kimlik numarası gerekli değilse almayın. Saklama sürelerini belirleyin: maç videoları için genellikle 12–36 ay arası, kişisel iletişim verileri için sözleşme süresi artı muhakeme süresi önerilir.
- Maç videoları: 24 ay (aktif arşiv için), uzun dönem özel arşiv: 60 ay ve üstü için ayrı prosedür
- Oyuncu iletişim verisi: sözleşme süresi + 2 yıl
Adım 5 — Erişim kontrolleri ve yetkilendirme
Role dayalı erişim (RBAC) uygulayın. Yayın ekibi tüm arşivlere erişmemeli; yalnızca yayınlanacak kesitlere erişim olmalı. Erişimler günlüklenmeli ve düzenli olarak denetlenmelidir.
Adım 6 — Güvenlik teknikleri: şifreleme, pseudonimleştirme, yedekleme
Hassas verileri hem aktarımda (TLS) hem de saklamada (AES-256 vb.) şifreleyin. Yayın kayıtlarını arşivlerken mümkünse kişisel verileri ayrı bir katmanda pseudonimleştirin; örnek: oyuncu kimliği yerine kullanıcı kodu kullanımı.
Adım 7 — Veri sahibinin hakları ve süreçleri
KVKK kapsamında erişim, düzeltme, silme, itiraz, verinin taşınması hakları vardır. Bu talepler için şablon e-posta adresi ve 30 günlük yanıt süresi belirleyin. Taleplerin nasıl doğrulanacağına dair prosedürünüz açık olmalı.
Adım 8 — İhlal yönetimi, kayıt tutma ve üçüncü taraf sözleşmeleri
Veri ihlali durumunda bildirim süresini (72 saat gibi) ve iletişim şablonlarını hazır edin. Üçüncü taraf hizmet sağlayıcılarla Veri İşleme Sözleşmesi (DPA) mutlaka olmalı; veri işleme amacı, süresi, güvenlik önlemleri ve alt işveren kullanım kuralları net belirtilmeli.
Pratik örnek: Maç kayıt formu için önerilen alanlar
- Takım / Oyuncu adı
- İletişim e-posta
- Doğum tarihi (yaş doğrulama için)
- Rıza onay kutuları: yayın izni, istatistik işleme, sponsor paylaşımları
- Aydınlatma metni linki
Hazır izin şablonlarını nasıl uyarlarsınız: kısa rehber
- Şablonu liginizin amaçlarına göre kısaltın veya genişletin.
- Hassas veri işliyorsanız açık rıza kutusunu ayrı yapın.
- Rıza geri çekme prosedürünü ve iletişim bilgisini ekleyin.
- Saklama sürelerini somut tarihlerle belirtin.
Sonuç
KVKK uyumlu lig yönetimi, prosedürlerin ve teknik önlemlerin birlikte yürütülmesini gerektirir. Bu rehber; veri envanteri çıkarmadan, hazır izin şablonlarına, erişim kontrollerinden ihlal yönetimine kadar uygulamaya dönük adımlar sundu. Uygulamayı 3 aylık sprintlerle hayata geçirip, her sprint sonunda denetim yapmanız uyumu hızlandırır.
Hızlı kontrol listesi:
- Veri envanteri tamam mı?
- Rıza ve aydınlatma metinleri hazır mı?
- Saklama politikası ve erişim rolleri tanımlı mı?
- DPA sözleşmeleri imzalanmış mı?
- İhlal bildirim planı var mı?
Bu rehberi liginizin operasyonel gereksinimlerine göre özelleştirin. İzin şablonlarını kullanmadan önce hukuki danışmanlık almanız tavsiye edilir; ancak günlük operasyonel uygulamalar için bu adımlar sizi büyük oranda hazır hale getirecektir.
