Kreş Yönetimi
Blog'a Dön
KVKK
veri güvenliği
kreş

Kreşte KVKK Uyumu: Dijital Veri Güvenliği Rehberi

Kreşlerde KVKK uyumu nasıl sağlanır? Çocuk verilerinin korunması, yasal yükümlülükler ve yazılım seçiminde dikkat edilmesi gerekenleri anlatıyoruz.

OyunCafe Ekibi
4 Nisan 2026
5 min read

KVKK Nedir ve Kreşleri Neden İlgilendiriyor?

Kişisel Verilerin Korunması Kanunu (KVKK), 6698 sayılı kanun ile 2016 yılında yürürlüğe girmiş olup Türkiye'deki tüm gerçek ve tüzel kişilerin kişisel veri işleme faaliyetlerini düzenlemektedir. Kreşler, gündüz bakımevleri ve çocuk etkinlik merkezleri, işledikleri verilerin hassasiyeti nedeniyle KVKK kapsamında özellikle dikkatli olması gereken kuruluşlar arasında yer alır.

Kreşler, günlük operasyonlarında çocuklara, velilere ve personele ait çok çeşitli kişisel veriler toplar ve işler. Bu verilerin büyük bir kısmı, KVKK tarafından "özel nitelikli kişisel veri" olarak sınıflandırılır ve ek koruma önlemleri gerektirir.

Kreşlerin Topladığı Kişisel Veriler

Kreşlerin günlük faaliyetleri sırasında işlediği veri türlerini anlamak, KVKK uyum sürecinin ilk adımıdır.

Çocuklara Ait Veriler

  • Kimlik bilgileri: Ad, soyad, doğum tarihi, TC kimlik numarası
  • Sağlık verileri: Alerji bilgileri, kronik hastalıklar, aşı takvimi, kullanılan ilaçlar (özel nitelikli veri)
  • Gelişim verileri: Fiziksel ve bilişsel gelişim raporları, davranış notları
  • Görsel veriler: Fotoğraflar, videolar, etkinlik kayıtları
  • Devam bilgileri: Giriş-çıkış saatleri, devamsızlık kayıtları

Velilere Ait Veriler

  • İletişim bilgileri: Telefon numarası, e-posta adresi, ev adresi
  • Kimlik bilgileri: Ad, soyad, TC kimlik numarası
  • Finansal veriler: Ödeme bilgileri, banka/kredi kartı bilgileri
  • Acil durum bilgileri: İkinci iletişim kişileri, sağlık bilgileri

Personele Ait Veriler

  • Kimlik ve iletişim bilgileri: Ad, soyad, adres, telefon
  • Mesleki bilgiler: Diploma, sertifika, referans bilgileri
  • Sağlık bilgileri: Sağlık raporu, bulaşıcı hastalık taramaları (özel nitelikli veri)
  • Çalışma verileri: Vardiya kayıtları, performans değerlendirmeleri

KVKK Kapsamında Kreşlerin Yasal Yükümlülükleri

Aydınlatma Yükümlülüğü

Kreşler, veri sahiplerini (veliler, personel) kişisel verilerin işlenme amaçları, aktarım yapılacak kişiler, toplama yöntemi ve hukuki sebebi hakkında açık ve anlaşılır bir şekilde bilgilendirmelidir. Kayıt aşamasında velilere detaylı bir aydınlatma metni sunulmalıdır.

Açık Rıza Alma

Özel nitelikli kişisel verilerin (sağlık bilgileri, biyometrik veriler, fotoğraflar) işlenmesi için velilerden açık rıza alınması zorunludur. Bu rıza, yazılı veya elektronik ortamda belgelenmeli ve saklanmalıdır.

Veri Güvenliği Tedbirleri

KVKK, veri sorumlularının teknik ve idari tedbirler almasını zorunlu kılmaktadır:

  • Teknik tedbirler: Veri şifreleme, güvenli erişim kontrolü, güvenlik duvarları, düzenli yedekleme, log kayıtları
  • İdari tedbirler: Veri işleme politikaları, personel eğitimi, gizlilik sözleşmeleri, veri envanteri hazırlama

Veri Saklama ve İmha

Kişisel veriler, işleme amacının gerektirdiği süre boyunca saklanabilir. Süre sona erdiğinde veya veri sahibi talebinde veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir. Kreşlerin bir veri saklama ve imha politikası hazırlaması zorunludur.

Veri İhlali Bildirimi

Kişisel veri ihlali gerçekleştiğinde, kreşler en kısa sürede (72 saat içinde) Kişisel Verileri Koruma Kurulu'na bildirimde bulunmalı ve ilgili veri sahiplerini bilgilendirmelidir.

Kreşlerde Sık Yapılan KVKK Hataları

Birçok kreş, farkında olmadan KVKK'ya aykırı uygulamalar gerçekleştirmektedir. En yaygın hatalar şunlardır:

Fotoğraf ve Video Paylaşımı

Çocuk fotoğraflarının WhatsApp gruplarında veya sosyal medyada velilerin açık rızası alınmadan paylaşılması, en sık karşılaşılan ihlallerden biridir. Her çocuğun velisinden fotoğraf paylaşımı için ayrı ayrı onay alınmalıdır.

Güvensiz Veri Saklama

Çocuk bilgilerinin kağıt dosyalarda kilitli olmayan dolaplarda saklanması veya kişisel bilgisayarlarda şifresiz Excel tablolarında tutulması ciddi güvenlik riskleri taşır.

Yetersiz Erişim Kontrolü

Tüm personelin tüm verilere sınırsız erişim sağlaması KVKK ilkelerine aykırıdır. Her personelin yalnızca göreviyle ilgili verilere erişebilmesi sağlanmalıdır.

Veri Aktarımında Güvenlik Eksikliği

Veli bilgilerinin şifresiz e-posta ile üçüncü kişilere gönderilmesi veya güvensiz bulut depolama alanlarında saklanması ihlal riski oluşturur.

Yazılım Seçiminde KVKK Uyum Kriterleri

Kreş yönetim yazılımı seçerken KVKK uyumluluğu en önemli kriterlerden biri olmalıdır. Değerlendirmenizde şu özelliklere dikkat edin:

Veri Şifreleme

Hem aktarım sırasında (SSL/TLS) hem de depolama esnasında (AES-256 vb.) verilerin şifrelenmesi gerekir. Yazılım sağlayıcısının hangi şifreleme standartlarını kullandığını sorgulayın.

Erişim Kontrolü ve Yetkilendirme

Rol bazlı erişim kontrolü (RBAC), farklı personel seviyelerine farklı veri erişim yetkileri tanımlamanıza olanak tanır. Örneğin, bir öğretmen yalnızca kendi sınıfındaki çocukların bilgilerini görebilirken, yönetici tüm verilere erişebilir.

OyunCafe gibi platformlar, SUPERADMIN, ADMIN, MANAGER ve STAFF olmak üzere dört farklı yetki seviyesi sunarak kreşlerin erişim kontrolünü kolayca yapılandırmasını sağlar.

Denetim İzi (Audit Log)

Kimin hangi veriye ne zaman eriştiğinin kayıt altına alınması, hem KVKK uyumu hem de iç denetim açısından kritik öneme sahiptir. Kapsamlı bir denetim izi sistemi, olası ihlallerin tespit edilmesini ve soruşturulmasını kolaylaştırır.

Veri Yedekleme ve Kurtarma

Düzenli ve otomatik yedekleme, veri kaybı riskini minimize eder. Yedeklemelerin de şifreli olarak saklanması ve farklı lokasyonlarda tutulması önerilir.

Veri Silme ve Anonimleştirme

Yazılımın, talep halinde belirli bir kişiye ait tüm verileri kalıcı olarak silme veya anonimleştirme kapasitesine sahip olması gerekir.

Yerel Veri Barındırma

Verilerin Türkiye sınırları içindeki sunucularda barındırılması, yasal uyumluluk açısından tercih edilmelidir. Yurtdışı sunucularda veri barındıran çözümlerde ek hukuki değerlendirme gerekebilir.

KVKK Uyum Kontrol Listesi

Kreşinizde KVKK uyumunu sağlamak için aşağıdaki adımları takip edebilirsiniz:

  • Veri envanteri oluşturun: Hangi verileri, neden, nasıl topladığınızı belgeleyin
  • Aydınlatma metni hazırlayın ve velilere kayıt aşamasında sunun
  • Açık rıza formları düzenleyin (özellikle fotoğraf ve sağlık verileri için)
  • Veri saklama ve imha politikası hazırlayın
  • Personel gizlilik sözleşmeleri imzalatın
  • Personele KVKK farkındalık eğitimi verin
  • KVKK uyumlu bir yazılım çözümü tercih edin
  • Erişim yetkilerini düzenli olarak gözden geçirin
  • Veri ihlali müdahale planı hazırlayın
  • Yıllık KVKK uyum denetimi gerçekleştirin

İhlal Durumunda Yaptırımlar

KVKK ihlallerinde Kişisel Verileri Koruma Kurulu tarafından idari para cezası uygulanabilir. 2026 yılı itibarıyla cezalar yüz binlerce liradan milyonlarca liraya kadar çıkabilmektedir. Maddi cezaların yanı sıra itibar kaybı ve veli güveninin sarsılması, kreşler için çok daha ağır sonuçlar doğurabilir.

Sonuç

KVKK uyumu, kreşler için yalnızca yasal bir zorunluluk değil, aynı zamanda velilere ve topluma karşı bir güven taahhüdüdür. Çocuklara ait hassas verilerin korunması, her kreş işletmecisinin birincil sorumluluğudur.

Doğru yazılım çözümü seçmek, KVKK uyum sürecini önemli ölçüde kolaylaştırır. Şifreli veri saklama, rol bazlı erişim kontrolü, denetim izi ve otomatik yedekleme gibi özelliklere sahip bir platform kullanarak hem yasal yükümlülüklerinizi yerine getirebilir hem de velilerin güvenini kazanabilirsiniz.

Kreşinizi dijital dünyaya taşıyın

Dijital yoklama, veli portalı, sağlık takibi, EK-17 uyumu — hepsi tek platformda.