Türkiye'de dernekler ve vakıflar son yıllarda KVKK denetiminin radarına girdi. KVKK Kurulu, hassas faydalanıcı verisi (mülteci statüsü, sağlık raporu, çocuk verisi, mali durum) koruyamayan STK'lara para cezası uyguladı. Bir mülteci destek derneği yıllık operasyon bütçesinin %5-10'u kadar para cezasıyla karşı karşıya kalabilir.

STK'lar için KVKK uyumu özellikle zor çünkü faydalanıcı verisinin önemli bir kısmı KVKK Madde 6 kapsamında "özel nitelikli kişisel veri": sağlık verisi (engellilik, kronik hastalık), ırk/etnik köken (mülteci kökeni), inanç bilgisi (din eğitimi alan çocuk), siyasi düşünce (aktif sivil toplum). Bu kategori için en yüksek koruma seviyesi gereklidir.

Bu rehber Microsoft 365 (özellikle Business Premium Nonprofit) ile dernek/vakıfların KVKK uyumlu yapısının nasıl kurulacağını içerir. Faydalanıcı veri sınıflandırmasından açık rıza akışına, retention policy'den anonimleştirme süreçlerine.

1. STK için KVKK Yükümlülükleri

1.1 Veri Sorumlusu Sıfatı

STK üye, bağışçı, gönüllü, faydalanıcı verilerini işlerken "veri sorumlusu" sıfatına sahiptir. Bu yükümlülükler:

  • Aydınlatma yükümlülüğü (KVKK m.10)
  • Açık rıza alma (özellikle özel nitelikli veri için)
  • Veri güvenliği teknik tedbirleri (KVKK m.12)
  • VERBİS kayıt (Veri Sorumluları Sicil)
  • İlgili kişi taleplerine cevap (KVKK m.13)
  • Sızıntı bildirimi (KVKK Kuruluna 72 saat içinde)

1.2 Özel Nitelikli Veri (Madde 6)

STK'larda en kritik konu — özel nitelikli kişisel veri kategorileri:

  • Irk ve etnik köken — mülteci verisi
  • Siyasi düşünce
  • Felsefi inanç, din, mezhep
  • Kılık kıyafet
  • Dernek, vakıf, sendika üyeliği
  • Sağlık verisi — engellilik, kronik hastalık
  • Cinsel hayat — LGBTİ+ STK'ları
  • Ceza mahkumiyeti, güvenlik tedbirleri
  • Biyometrik veri (yüz tanıma, parmak izi)
  • Genetik veri

Özel nitelikli veriyi işlemek için açık rıza veya kanunda öngörülen istisna gerekir. Açık rıza yazılı + tarihli + somut olmalı.

1.3 STK Veri Tipleri ve KVKK Kategorisi

STK Veri TipiKVKK KategorisiKorunma Seviyesi
Üye iletişim bilgisiGenel kişisel veriStandart
Üye TC kimlik noGenel kişisel veriStandart
Bağışçı bilgisi + tutarGenel kişisel veriStandart
Üye sağlık raporuÖzel nitelikli (sağlık)Yüksek
Mülteci statüsüÖzel nitelikli (etnik köken)Yüksek
Çocuk faydalanıcı verisiGenel + ebeveyn rızaYüksek
Engellilik durumuÖzel nitelikli (sağlık)Yüksek
Mali durum (ekonomik dezavantaj)Genel + hassasYüksek
Din eğitimi alan çocukÖzel nitelikli (din)Yüksek
LGBTİ+ STK üye verisiÖzel nitelikli (cinsel)En yüksek

2. Microsoft 365 Information Protection Yapılandırma

2.1 Etiket Yapısı

Microsoft Purview Information Protection ile veri etiketleme:

  • Public — kamuya açık (web sitesi, basın bülteni)
  • Internal — STK içi (yıllık rapor taslağı)
  • Confidential — gizli (üye listesi, bağışçı bilgisi)
  • Highly Confidential — çok gizli (özel nitelikli veri — mülteci, sağlık, çocuk)

2.2 Otomatik Etiketleme

Power Automate akışı ile:

  • SharePoint "Faydalanıcı Verisi" sitesine yüklenen tüm dosyalar otomatik "Highly Confidential"
  • "Bağışçı Verisi" sitesindeki dosyalar "Confidential"
  • Üye listeleri "Confidential"
  • İçerik tarama ile sağlık raporu / mülteci statüsü tespit edilirse otomatik upgrade

2.3 Etiket Etkileri

Highly Confidential etiketli belge:

  • Otomatik şifreleme (AES-256)
  • Sadece yetkili kullanıcı açabilir
  • Dış paylaşım engellenir
  • Kopyala/yapıştır engellenir (opsiyonel)
  • Ekran görüntüsü engellenir (opsiyonel)
  • Yazdırma engellenir (opsiyonel)
  • Watermark eklenir
  • Audit log her erişim/değişiklik

3. DLP (Data Loss Prevention) Yapılandırma

3.1 Built-in Pattern Tespiti

Microsoft 365 DLP otomatik tespit eder:

  • TC Kimlik Numarası (11 haneli format + checksum)
  • IBAN (Türkiye TR formatı)
  • Vergi Numarası
  • Kredi Kartı Numarası
  • Telefon Numarası
  • E-posta Adresi

3.2 STK için Özel Pattern

STK ihtiyacına özel custom pattern:

  • UNHCR Kimlik Numarası (mülteci için)
  • Engellilik raporu numarası
  • Hastane dosya numarası
  • SGK numarası (üye için)

3.3 DLP Politikaları

  • Dış e-postada TC kimlik tespit edilirse → engelle + uyarı
  • 10+ kişiyle paylaşım yapılan dosyada hassas veri → onay gerekli
  • OneDrive'da Highly Confidential dosya başka kullanıcıya paylaşım → engelle
  • USB'ye Confidential dosya kopyalama → engelle (Intune ile)

4. Açık Rıza Yönetimi

4.1 Üye Açık Rızası

Microsoft Forms ile dijital aydınlatma + rıza:

  1. Üye başvuru formuna entegre aydınlatma metni (KVKK m.10)
  2. "Aydınlatma metnini okudum, anladım" checkbox
  3. "Veri işlenmesine açık rıza veriyorum" checkbox
  4. "Pazarlama amaçlı iletişim için ayrı açık rıza" checkbox (opsiyonel)
  5. Form gönderildiğinde tarih + IP otomatik kaydedilir
  6. SharePoint'te üye dosyasına eklenir

4.2 Bağışçı Açık Rızası

Bağış formunda:

  • KVKK aydınlatma metni
  • Bağış kayıt için açık rıza
  • Makbuz e-posta için açık rıza
  • Kampanya raporu için açık rıza (sürekli iletişim)
  • Sosyal medyada teşekkür için açık rıza (opsiyonel)

4.3 Faydalanıcı Açık Rızası (En Hassas)

Faydalanıcı için özel akış:

  • Çocuk için ebeveyn açık rızası (18 yaş altı)
  • Yaşlı için kanuni temsilci rızası (vesayet altındaysa)
  • Mülteci için anlayabileceği dilde aydınlatma (Arapça/Farsça)
  • Tercüman aracılığıyla rıza alımı belgelenir
  • Engelli için anlaşılabilir formatta aydınlatma

5. Retention Policy (Saklama Süresi)

KVKK ilgili kişinin talebi olmadan yasal saklama süresi sonunda otomatik silinmeli:

Veri TipiYasal SaklamaSonraki Adım
Üye verisiÜyelik + 5 yılAnonimleştir
Bağışçı verisi5 yıl (vergi)Anonimleştir
Bağış makbuzu10 yıl (mali)Sil
Faydalanıcı sağlık verisiProje + 5 yılAnonimleştir
Mülteci statüsüHizmet + 5 yılAnonimleştir
Çocuk verisiHizmet + 5 yılSil (özel)
Gönüllü verisiÇıkış + 5 yılAnonimleştir
Personel verisiİş Kanunu + 10 yılYasal saklama

SharePoint Retention Policy ile otomatik. Süre dolduğunda anonimleştirme veya silme. Tüm akış audit log'da.

6. İlgili Kişi Talepleri (KVKK m.13)

Faydalanıcı/üye/bağışçı talep hakları:

  • Verilerinin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme
  • Veri işleme amacını öğrenme
  • Yurt dışı aktarım yapılan üçüncü kişileri öğrenme
  • Düzeltme talep etme
  • Silme veya yok etme talep etme
  • Otomatik karar mekanizmasından doğan zararını ortadan kaldırma

Power Automate workflow:

  1. Talep formu (Forms) doldurulur
  2. Veri sorumlusu (KVKK görevlisi) Teams bildirim alır
  3. Talep değerlendirilir (30 gün sınırı)
  4. Bilgi/düzeltme/silme uygulanır
  5. Talep eden kişiye yanıt + kayıt
  6. Tüm akış SharePoint'te arşivlenir (KVKK Kurulu denetiminde sunulabilir)

7. VERBİS Kayıt

VERBİS (Veri Sorumluları Sicili) STK'lar için önemli:

  • Yıllık ciro 25 milyon TL üzeri
  • Çalışan sayısı 50+ VEYA
  • Yıllık ciro 25 milyon TL altı + Çalışan 50- VE
  • Özel nitelikli veri işleyen tüm STK'lar (mülteci destek, engelli destek vb.)

VERBİS kayıt zorunluluğu olan STK'lar için Microsoft 365 ile uyum kolaylaşır — Compliance Manager'da VERBİS ihtiyaçları izlenir.

8. KVKK Denetim Hazırlığı

KVKK Kurulu STK denetimi yaparsa istenen belgeler:

  • Aydınlatma metni güncel mi
  • Açık rıza akışı çalışıyor mu
  • Veri envanteri var mı (hangi veri nerede)
  • Teknik tedbirler (DLP, IP, MFA, audit log)
  • İdari tedbirler (politika, eğitim, sözleşme)
  • İlgili kişi talep yönetimi
  • Sızıntı bildirim süreçleri
  • VERBİS kayıt güncel

Compliance Manager'da KVKK kontrol noktaları otomatik izlenir. Denetçi geldiğinde tek panelden tüm dokümanlar sunulur.

9. Tipik Maliyet ve ROI

Yatırım (50 kişilik STK)

  • Business Premium Nonprofit $5.50 × 50 = $275/ay
  • SharePoint mimari + KVKK politikaları kurulum: $2.000-3.000 (tek seferlik)
  • KVKK eğitim (personel + gönüllü): $1.000-1.500

Risk Eliminasyonu

  • KVKK Kurulu para cezası riski (yıllık 50.000-1.000.000 TL) sıfır
  • Faydalanıcı güveni — donör ilişkileri korunur
  • Sızıntı durumunda sigorta ve hukuki süreç

Pay-back: Bir KVKK para cezası bile elimine ettiğinde yatırım çıkıyor.

Sonuç

STK'lar için KVKK uyumu seçenek değil zorunluluktur — özellikle hassas faydalanıcı verisi işleyenler için. Microsoft 365 Business Premium Nonprofit ile bu uyum sağlanır, donör güveni artar, KVKK denetiminden temiz çıkılır.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak STK'lara KVKK uyum yapılandırması (Information Protection, DLP, açık rıza akışları, Compliance Manager) hizmeti sunmaktadır. STK için Microsoft 365 sayfamızı inceleyin veya ücretsiz KVKK değerlendirmesi için iletişime geçin.

İlgili yazılar: Nonprofit Başvuru Rehberi · Gönüllü Koordinasyonu Teams