Blog / Spor Yönetimi / Yerel Ligler İçin Oyuncu Verisi ve Gizlilik Rehberi — Toplama, Saklama ve Türkiye’de Uyum İçin 7 Hızlı Adım
Yerel Ligler İçin Oyuncu Verisi ve Gizlilik Rehberi — Toplama, Saklama ve Türkiye’de Uyum İçin 7 Hızlı Adım
Spor Yönetimi

Yerel Ligler İçin Oyuncu Verisi ve Gizlilik Rehberi — Toplama, Saklama ve Türkiye’de Uyum İçin 7 Hızlı Adım

Rekabet · 1 Mart 2026 · 5 dk okuma · 2 görüntülenme
gizlilik yerel ligler veri güvenliği KVKK oyuncu verisi

Giriş

Yerel spor ligleri, amatör kulüpler ve turnuva organizatörleri, oyuncu kaydı, maç raporları, sağlık formları, fotoğraf ve istatistik toplamaya ihtiyaç duyar. Ancak bu veriler kişisel veridir ve Türkiye’de KVKK ile düzenlenmiştir. Bu rehber, pratik ve uygulanabilir adımlarla yerel liglerin veri yönetimini güvenli, yasal ve kullanıcı odaklı hale getirmeyi amaçlar.

Neden özel bir rehbere ihtiyaç var?

Bir fikstür uygulaması veya Excel tablosunda toplanan oyuncu listesi bile kişisel veri statüsündedir. Yanlış saklama, yetkisiz erişim veya fotoğrafların izinsiz paylaşımı hem oyuncuların mahremiyetini ihlal eder hem de organizasyon için hukuki ve itibar riski doğurur.

Temel kavramlar: KVKK, veri sorumlusu, özel nitelikli veriler

  • KVKK: Kişisel Verilerin Korunması Kanunu, Türkiye'de kişisel veri işleme kurallarını belirler.
  • Veri Sorumlusu: Verilerin hangi amaçla işlendiğini belirleyen ve sorumluluğu taşıyan kişi/kurum (ör. lig organizasyonu veya kulüp).
  • Özel nitelikli kişisel veriler: Sağlık bilgileri, biyometrik veriler gibi daha sıkı korunması gereken veriler. Bu veriler için açık rıza veya kanunda öngörülen başka bir şart gerekir.

Hızlı Özet: 7 Adım

  1. Veri haritası çıkartın ve amaçları netleştirin
  2. Yasal dayanağı belirleyin ve açık aydınlatma metni hazırlayın
  3. Veri minimizasyonu ve zorunlu veri setini tanımlayın
  4. Saklama sürelerini belirleyin ve otomatik silme uygulayın
  5. Teknik ve idari güvenlik önlemlerini uygulayın (şifreleme, erişim kontrolü)
  6. Üçüncü taraf sözleşmeleri ve veri işleyenlerle anlaşmalar yapın
  7. İhlal yönetimi, kayıt tutma ve denetim mekanizmalarını kurun

1) Veri Haritası ve Amaç Belirleme

Hangi veriyi neden topladığınızı yazılı hale getirin. Örnek:

  • Üyelik kaydı: ad-soyad, doğum tarihi, iletişim bilgileri — sözleşmenin ifası için.
  • Sağlık formu: kronik hastalıklar, alerjiler — acil müdahale ve güvenlik için (özel nitelikli veri).
  • Fotoğraf/video: sosyal medya ve tanıtım — ayrı açık rıza gerektirir.
  • İstatistikler: maç skorları, performans verileri — sportif analiz amaçlı, anonimleştirme tercih edilir.

Bu harita, hangi verinin nerede tutulduğunu, kimlerin eriştiğini ve kimlerle paylaşıldığını gösterir.

2) Yasal Dayanak ve Aydınlatma Metni (KVKK Uyum)

Veri işleme için temel dayanakları belirleyin: sözleşmenin ifası, açık rıza veya yasal yükümlülük. Özellikle sağlık verileri ve kimlik numarası gibi hassas alanlarda açık rıza almak en güvenli yaklaşımdır.

Basit bir aydınlatma metni örneği:

Kulübümüz, üyelik ve etkinlik yönetimi amacıyla adınız, iletişim bilgileriniz ve sağlık durumunuz gibi kişisel verilerinizi işlemektedir. Verileriniz sadece ilgili amaçlarla sınırlı olacak ve üçüncü taraflarla paylaşılmadan önce bilgilendirileceksiniz. KVKK kapsamındaki haklarınız hakkında bilgi almak için bizimle iletişime geçebilirsiniz.

Fotoğraf/video için ayrı bir onay formu ve eğer oyuncu 18 yaşının altındaysa veliden açık rıza alınmalıdır.

3) Veri Minimizasyonu ve Zorunlu Veri Seti

Gerekenden fazla veri toplamayın. Örnek zorunlu veri seti (örnek bir yerel lig için):

  • Ad, soyad
  • Doğum tarihi (yaş grupları için)
  • İletişim telefonu ve e-posta
  • Acil durumda iletişim kurulacak kişi
  • Sporcuya özel sağlık bilgileri (sadece acil durum için, ayrı rıza)

TC kimlik numarası, yalnızca resmi kayıt veya yasal bir gereklilik varsa talep edilmelidir.

4) Saklama Süreleri ve Otomatik Silme

Saklama sürelerini verinin türüne göre belirleyin ve uygulamada otomatikleştirin. Örnek öneriler:

  • Üyelik verileri: üyelik süresi boyunca + son işlemden sonra 5 yıl
  • Sağlık formları: son etkinlik tarihinden sonra 2-3 yıl (amacın sona ermesi halinde hemen silme)
  • Fotoğraf ve videolar: açık rıza süresi boyunca; rıza geri çekilirse kaldırılmalı
  • Finansal kayıtlar (ödeme, fatura): yasal muhasebe süresine göre (ör. 5-10 yıl)

Not: Bu süreler öneridir. Kesin süreler için hukuki danışmanlık alın ve ilgili mevzuatı kontrol edin.

5) Teknik ve İdari Güvenlik Önlemleri

Basit ama etkili önlemler:

  • Şifreleme: Veritabanı seviyesinde AES-256, iletimde TLS 1.2+ kullanın.
  • Pseudonimleştirme: Analiz için kimlikten koparılmış ID kullanın. Örneğin oyuncuID = SHA-256(kullanıcıID + salt).
  • Erişim Kontrolü: Rol bazlı erişim; sıradan kullanıcılar yalnızca ihtiyacı olan verilere erişmeli.
  • Günlük Kaydı ve Denetim: Kim hangi veriye erişti, hangi değişiklik yapıldı kaydedilmeli.
  • Güvenlik Yedekleri: Şifreli yedekler ve düzenli restore testleri.
  • Parola Politikası: Karmaşık parolalar, 2FA önerisi.

Örnek teknik yapı tercihleri: küçük ligler için güvenli bir bulut sağlayıcısında (EU/Türkiye veri merkezi tercih edin) şifreli veritabanı ile başlayın. Kritik veriler için on-prem seçenek de değerlendirilebilir.

6) Üçüncü Taraflar ve Sözleşmeler

Turnuva uygulamaları, ödeme sağlayıcıları veya bulut hizmetleri gibi veri işleyenlerle yazılı sözleşmeler (Data Processing Agreement) yapın. Sözleşmede gizlilik, güvenlik önlemleri, veri silme süreçleri ve denetim hakları açıkça yer almalıdır.

7) İhlal Yönetimi ve Veri Sahibinin Hakları

Bir veri ihlali durumunda hızlı aksiyon planı oluşturun:

  1. Olayı sınıflandırın ve etkilenen veri setini belirleyin.
  2. İç iletişim ve teknik müdahale: erişimi kesin, logları saklayın.
  3. Gerekirse ilgili kişileri ve KVKK kapsamındaki yükümlülükleri değerlendirin; ihlal bildirimi gerekebilir.
  4. İyileştirme adımları ve kök neden analizi yapın.

Ayrıca, oyuncuların KVKK kapsamındaki haklarını (erişim, düzeltme, silme, işlemeyi kısıtlama, itiraz) kolay kullanılır hale getirin. Basit bir talep formu ve 30 günlük cevap süresi politikası faydalıdır.

Pratik Örnek: Kayıt Formu ve Rıza Metni

Kayıt formunda açık, kısa ve anlaşılır bir rıza bölümü olsun. Örnek kısa rıza:

Kulübünüz, adınızı, iletişim bilgilerinizi ve sağlık verilerinizi organizasyon amaçlı işlemektedir. Fotoğraf/video kullanımı için ayrı onay veriyorum. Bu verilerin işlenmesine KVKK kapsamında onay veriyorum.

Rıza alanı ayrıca geri çekme mekanizmasını göstermeli: "Rızamı nasıl geri çekebilirim: [email protected] adresine e-posta göndererek" gibi.

Kontrol Listesi (Hızlı)

  • Veri haritası hazır mı?
  • Aydınlatma metinleri ve rıza formları mevcut mu?
  • Saklama süreleri tanımlandı mı ve otomasyon kuruldu mu?
  • Erişim kontrolü ve şifreleme uygulanıyor mu?
  • Üçüncü taraflarla DPA imzalandı mı?
  • İhlal planı ve iletişim prosedürü var mı?
  • Oyuncuların taleplerini yönetecek sorumlu atandı mı?

Sonuç

Yerel ligler için veri güvenliği ve gizlilik, karmaşık görünse de adım adım yaklaşarak uygulanabilir hale gelir. İlk adım veri haritasını çıkarmak ve hangi verinin gerçekten gerekli olduğunu sorgulamaktır. Ardından yasal uygunluk, teknik koruma ve pratik süreçler ile liginizin hem oyuncu mahremiyetini koruyan hem de operasyonel açıdan sorunsuz çalışan bir yapıya dönüşmesini sağlayabilirsiniz.

Ek not: Bu rehber genel bilgi amaçlıdır. Kesin hukuki tavsiye için KVKK uzmanı veya avukat ile görüşmenizi öneririz.

Paylaş

İlgili Yazılar