Türkiye'de dernekler ve vakıflar son yıllarda KVKK denetiminin radarına girdi. KVKK Kurulu, hassas faydalanıcı verisi (mülteci statüsü, sağlık raporu, çocuk verisi, mali durum) koruyamayan STK'lara para cezası uyguladı. Bir mülteci destek derneği yıllık operasyon bütçesinin %5-10'u kadar para cezasıyla karşı karşıya kalabilir.
STK'lar için KVKK uyumu özellikle zor çünkü faydalanıcı verisinin önemli bir kısmı KVKK Madde 6 kapsamında "özel nitelikli kişisel veri": sağlık verisi (engellilik, kronik hastalık), ırk/etnik köken (mülteci kökeni), inanç bilgisi (din eğitimi alan çocuk), siyasi düşünce (aktif sivil toplum). Bu kategori için en yüksek koruma seviyesi gereklidir.
Bu rehber Microsoft 365 (özellikle Business Premium Nonprofit) ile dernek/vakıfların KVKK uyumlu yapısının nasıl kurulacağını içerir. Faydalanıcı veri sınıflandırmasından açık rıza akışına, retention policy'den anonimleştirme süreçlerine.
1. STK için KVKK Yükümlülükleri
1.1 Veri Sorumlusu Sıfatı
STK üye, bağışçı, gönüllü, faydalanıcı verilerini işlerken "veri sorumlusu" sıfatına sahiptir. Bu yükümlülükler:
- Aydınlatma yükümlülüğü (KVKK m.10)
- Açık rıza alma (özellikle özel nitelikli veri için)
- Veri güvenliği teknik tedbirleri (KVKK m.12)
- VERBİS kayıt (Veri Sorumluları Sicil)
- İlgili kişi taleplerine cevap (KVKK m.13)
- Sızıntı bildirimi (KVKK Kuruluna 72 saat içinde)
1.2 Özel Nitelikli Veri (Madde 6)
STK'larda en kritik konu — özel nitelikli kişisel veri kategorileri:
- Irk ve etnik köken — mülteci verisi
- Siyasi düşünce
- Felsefi inanç, din, mezhep
- Kılık kıyafet
- Dernek, vakıf, sendika üyeliği
- Sağlık verisi — engellilik, kronik hastalık
- Cinsel hayat — LGBTİ+ STK'ları
- Ceza mahkumiyeti, güvenlik tedbirleri
- Biyometrik veri (yüz tanıma, parmak izi)
- Genetik veri
Özel nitelikli veriyi işlemek için açık rıza veya kanunda öngörülen istisna gerekir. Açık rıza yazılı + tarihli + somut olmalı.
1.3 STK Veri Tipleri ve KVKK Kategorisi
| STK Veri Tipi | KVKK Kategorisi | Korunma Seviyesi |
| Üye iletişim bilgisi | Genel kişisel veri | Standart |
| Üye TC kimlik no | Genel kişisel veri | Standart |
| Bağışçı bilgisi + tutar | Genel kişisel veri | Standart |
| Üye sağlık raporu | Özel nitelikli (sağlık) | Yüksek |
| Mülteci statüsü | Özel nitelikli (etnik köken) | Yüksek |
| Çocuk faydalanıcı verisi | Genel + ebeveyn rıza | Yüksek |
| Engellilik durumu | Özel nitelikli (sağlık) | Yüksek |
| Mali durum (ekonomik dezavantaj) | Genel + hassas | Yüksek |
| Din eğitimi alan çocuk | Özel nitelikli (din) | Yüksek |
| LGBTİ+ STK üye verisi | Özel nitelikli (cinsel) | En yüksek |
2. Microsoft 365 Information Protection Yapılandırma
2.1 Etiket Yapısı
Microsoft Purview Information Protection ile veri etiketleme:
- Public — kamuya açık (web sitesi, basın bülteni)
- Internal — STK içi (yıllık rapor taslağı)
- Confidential — gizli (üye listesi, bağışçı bilgisi)
- Highly Confidential — çok gizli (özel nitelikli veri — mülteci, sağlık, çocuk)
2.2 Otomatik Etiketleme
Power Automate akışı ile:
- SharePoint "Faydalanıcı Verisi" sitesine yüklenen tüm dosyalar otomatik "Highly Confidential"
- "Bağışçı Verisi" sitesindeki dosyalar "Confidential"
- Üye listeleri "Confidential"
- İçerik tarama ile sağlık raporu / mülteci statüsü tespit edilirse otomatik upgrade
2.3 Etiket Etkileri
Highly Confidential etiketli belge:
- Otomatik şifreleme (AES-256)
- Sadece yetkili kullanıcı açabilir
- Dış paylaşım engellenir
- Kopyala/yapıştır engellenir (opsiyonel)
- Ekran görüntüsü engellenir (opsiyonel)
- Yazdırma engellenir (opsiyonel)
- Watermark eklenir
- Audit log her erişim/değişiklik
3. DLP (Data Loss Prevention) Yapılandırma
3.1 Built-in Pattern Tespiti
Microsoft 365 DLP otomatik tespit eder:
- TC Kimlik Numarası (11 haneli format + checksum)
- IBAN (Türkiye TR formatı)
- Vergi Numarası
- Kredi Kartı Numarası
- Telefon Numarası
- E-posta Adresi
3.2 STK için Özel Pattern
STK ihtiyacına özel custom pattern:
- UNHCR Kimlik Numarası (mülteci için)
- Engellilik raporu numarası
- Hastane dosya numarası
- SGK numarası (üye için)
3.3 DLP Politikaları
- Dış e-postada TC kimlik tespit edilirse → engelle + uyarı
- 10+ kişiyle paylaşım yapılan dosyada hassas veri → onay gerekli
- OneDrive'da Highly Confidential dosya başka kullanıcıya paylaşım → engelle
- USB'ye Confidential dosya kopyalama → engelle (Intune ile)
4. Açık Rıza Yönetimi
4.1 Üye Açık Rızası
Microsoft Forms ile dijital aydınlatma + rıza:
- Üye başvuru formuna entegre aydınlatma metni (KVKK m.10)
- "Aydınlatma metnini okudum, anladım" checkbox
- "Veri işlenmesine açık rıza veriyorum" checkbox
- "Pazarlama amaçlı iletişim için ayrı açık rıza" checkbox (opsiyonel)
- Form gönderildiğinde tarih + IP otomatik kaydedilir
- SharePoint'te üye dosyasına eklenir
4.2 Bağışçı Açık Rızası
Bağış formunda:
- KVKK aydınlatma metni
- Bağış kayıt için açık rıza
- Makbuz e-posta için açık rıza
- Kampanya raporu için açık rıza (sürekli iletişim)
- Sosyal medyada teşekkür için açık rıza (opsiyonel)
4.3 Faydalanıcı Açık Rızası (En Hassas)
Faydalanıcı için özel akış:
- Çocuk için ebeveyn açık rızası (18 yaş altı)
- Yaşlı için kanuni temsilci rızası (vesayet altındaysa)
- Mülteci için anlayabileceği dilde aydınlatma (Arapça/Farsça)
- Tercüman aracılığıyla rıza alımı belgelenir
- Engelli için anlaşılabilir formatta aydınlatma
5. Retention Policy (Saklama Süresi)
KVKK ilgili kişinin talebi olmadan yasal saklama süresi sonunda otomatik silinmeli:
| Veri Tipi | Yasal Saklama | Sonraki Adım |
| Üye verisi | Üyelik + 5 yıl | Anonimleştir |
| Bağışçı verisi | 5 yıl (vergi) | Anonimleştir |
| Bağış makbuzu | 10 yıl (mali) | Sil |
| Faydalanıcı sağlık verisi | Proje + 5 yıl | Anonimleştir |
| Mülteci statüsü | Hizmet + 5 yıl | Anonimleştir |
| Çocuk verisi | Hizmet + 5 yıl | Sil (özel) |
| Gönüllü verisi | Çıkış + 5 yıl | Anonimleştir |
| Personel verisi | İş Kanunu + 10 yıl | Yasal saklama |
SharePoint Retention Policy ile otomatik. Süre dolduğunda anonimleştirme veya silme. Tüm akış audit log'da.
6. İlgili Kişi Talepleri (KVKK m.13)
Faydalanıcı/üye/bağışçı talep hakları:
- Verilerinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- Veri işleme amacını öğrenme
- Yurt dışı aktarım yapılan üçüncü kişileri öğrenme
- Düzeltme talep etme
- Silme veya yok etme talep etme
- Otomatik karar mekanizmasından doğan zararını ortadan kaldırma
Power Automate workflow:
- Talep formu (Forms) doldurulur
- Veri sorumlusu (KVKK görevlisi) Teams bildirim alır
- Talep değerlendirilir (30 gün sınırı)
- Bilgi/düzeltme/silme uygulanır
- Talep eden kişiye yanıt + kayıt
- Tüm akış SharePoint'te arşivlenir (KVKK Kurulu denetiminde sunulabilir)
7. VERBİS Kayıt
VERBİS (Veri Sorumluları Sicili) STK'lar için önemli:
- Yıllık ciro 25 milyon TL üzeri
- Çalışan sayısı 50+ VEYA
- Yıllık ciro 25 milyon TL altı + Çalışan 50- VE
- Özel nitelikli veri işleyen tüm STK'lar (mülteci destek, engelli destek vb.)
VERBİS kayıt zorunluluğu olan STK'lar için Microsoft 365 ile uyum kolaylaşır — Compliance Manager'da VERBİS ihtiyaçları izlenir.
8. KVKK Denetim Hazırlığı
KVKK Kurulu STK denetimi yaparsa istenen belgeler:
- Aydınlatma metni güncel mi
- Açık rıza akışı çalışıyor mu
- Veri envanteri var mı (hangi veri nerede)
- Teknik tedbirler (DLP, IP, MFA, audit log)
- İdari tedbirler (politika, eğitim, sözleşme)
- İlgili kişi talep yönetimi
- Sızıntı bildirim süreçleri
- VERBİS kayıt güncel
Compliance Manager'da KVKK kontrol noktaları otomatik izlenir. Denetçi geldiğinde tek panelden tüm dokümanlar sunulur.
9. Tipik Maliyet ve ROI
Yatırım (50 kişilik STK)
- Business Premium Nonprofit $5.50 × 50 = $275/ay
- SharePoint mimari + KVKK politikaları kurulum: $2.000-3.000 (tek seferlik)
- KVKK eğitim (personel + gönüllü): $1.000-1.500
Risk Eliminasyonu
- KVKK Kurulu para cezası riski (yıllık 50.000-1.000.000 TL) sıfır
- Faydalanıcı güveni — donör ilişkileri korunur
- Sızıntı durumunda sigorta ve hukuki süreç
Pay-back: Bir KVKK para cezası bile elimine ettiğinde yatırım çıkıyor.
Sonuç
STK'lar için KVKK uyumu seçenek değil zorunluluktur — özellikle hassas faydalanıcı verisi işleyenler için. Microsoft 365 Business Premium Nonprofit ile bu uyum sağlanır, donör güveni artar, KVKK denetiminden temiz çıkılır.
Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak STK'lara KVKK uyum yapılandırması (Information Protection, DLP, açık rıza akışları, Compliance Manager) hizmeti sunmaktadır. STK için Microsoft 365 sayfamızı inceleyin veya ücretsiz KVKK değerlendirmesi için iletişime geçin.
İlgili yazılar: Nonprofit Başvuru Rehberi · Gönüllü Koordinasyonu Teams