KVKK uyumlu kulüp yönetimi: nelere dikkat etmeli?

KVKK ile uyumlu olmak bir avukatla aylık görüşmek değildir. Doğru yazılım seçmek, doğru süreç tanımlamak ve birkaç temel kuralı uygulamaktır. Bu yazı, yüzme kulübü yöneticilerine pratik bir başlangıç sunar.

Önce: KVKK gerçekten kulübüne uygulanır mı?

Evet. KVKK, gerçek kişilerin verilerini işleyen her kuruma uygulanır — kulüp, dernek, şirket, vakıf fark etmez. Eğer ad, telefon, e-posta, TC kimlik veya doğum tarihi kayıt ediyorsan, sen KVKK anlamında veri sorumlususun.

Kulübünde 30 sporcunun bilgisini Excel'de tutuyor olabilirsin. KVKK için bu yeterli risk. WhatsApp grubunda ödeme yazışıyorsan ekstra risk.

Toplaman gereken 4 belge

1. Aydınlatma metni: Hangi veriyi neden topladığını, ne kadar süre sakladığını, kimlerle paylaştığını anlatan bir döküman. Sporcu kayıt formunda imzalatılmalı.
2. Açık rıza beyanı: Pazarlama amaçlı veri kullanımı için ayrı bir onay. Hizmet için onay yetmez.
3. Veri envanteri: Hangi veriyi nerede tuttuğunu listeleyen iç tablo (Excel mi, kulüp yazılımı mı, banka mı).
4. Veri silme prosedürü: Sporcu "benim verimi silin" istediğinde 30 gün içinde silmen gereken adımlar.

5 pratik adım

1. Excel ve WhatsApp'tan vazgeç.

WhatsApp grubunda "Mehmet ödedi mi?" yazışmak veri ihlalidir. Sporcu bilgisi, ödeme ve devam takibi mutlaka şifreli bir sistem içinde olmalı.

2. Erişim sınırla.

Tüm antrenörler tüm sporcuların verisine erişmemeli. Antrenörler sadece kendi öğrencilerinin verisini görmeli. Kulüp yöneticisi tüm kulübü, sporcu sadece kendisini.

3. Çocuk velayetinde olduğunda veliden onay al.

18 yaş altı sporcu için aydınlatma ve onay velidenalınır. Kayıt formuna velinin imzasını koy.

4. Üçüncü tarafları beyan et.

SMS gönderiyorsan Mutlucell, ödeme alıyorsan iyzico, AI kullanıyorsan AI servis sağlayıcımız — bu üçüncü taraflar veri görür. Aydınlatma metnine bunları yazmak zorundasın.

5. Yurt içi/yurt dışı net ol.

Verinin nerede saklandığını bil ve beyan et. Türkiye veya AB ülkesi olması durumunda farklı kurallar geçerli. Hetzner Frankfurt (Almanya) AB sınırlarındadır; ABD'de host edilen bir sistem ek izin gerektirir.

Sporcu "verimi silin" dediğinde

Yapılacaklar:

• Talep tarihini kayıt et (e-posta zaman damgası işe yarar).
• 30 gün içinde verisini sistemden sil (soft-delete + 6 ay sonra hard-delete tipik).
• Yasal saklama yükümlülüğü olan veriyi (örn. fatura) tut, kalanını sil.
• Silme tamamlandığında sporcuya e-posta ile bildir.

Cezalar ne kadar?

KVKK ihlalinde 2024 cezaları 100.000 TL - 3.000.000 TL aralığında. Çocuk verisi söz konusuysa caza katlanır. Ama gerçek maliyet ceza değil — itibar kaybıdır. Bir veli "çocuğumun bilgisi sızdı" diye sosyal medyada yazarsa kulübün toparlamak yıllar sürer.

Kulüp Bul nasıl yardımcı olur?

Bizim KVKK uyumumuz şunlarla başlıyor:

• Veriler Hetzner Frankfurt'ta (AB) — KVKK yurt dışı transfer kurallarına uygun.
• Tüm kişisel veriler veritabanında şifreli (AES-256).
• Rol-bazlı erişim kontrol (antrenör sadece kendi sporcusunu görür).
• Soft-delete + audit log — kim ne zaman ne sildi, kaydı tutulur.
• Aydınlatma metni şablonu kayıt akışında otomatik.
• Veri silme talebi self-service — sporcu kendi panelinden yapar.

Sistemimizi seçmek seni KVKK'dan tamamen muaf etmez (hiçbir yazılım etmez), ama riski %80 azaltır ve uyum sürecini hızlandırır.

KVKK'yı "yapılması gereken yasal bir iş" olarak değil, "velilere sunduğun güvence" olarak gör. O zaman süreç gönüllü, sonuç güçlü olur.