KVKK Kurulu kararlarına bakınca Madde 12 (veri güvenliği) ihlali nedeniyle son 12 ayda kesilen idari para cezalarının ortalaması 650.000 TL. Bazı şirketler 4-7 milyon TL ceza aldı. Peki sizin şirketiniz denetimden geçer mi? Bu yazıda KVKK denetim sürecinde Kurum'un kontrol ettiği 12 ana maddeyi kapsamlı bir self-assessment olarak ele alıyoruz — VERBİS, aydınlatma metni, Madde 12 teknik tedbirler, veri ihlali müdahale, yurtdışı aktarım. Microsoft 365 ile her madde için pratik çözüm + 90 gün eylem planı.
KVKK Denetim Süreci: Pratikte Ne Oluyor?
KVKK Kurulu denetimleri 3 yoldan başlar:
- Re'sen (kendiliğinden) inceleme: Medyada haber, sosyal mağdur şikayeti, başka bir cezanın referansı.
- İlgili kişi şikayeti: Veri sahibinin (örn. eski çalışan, müşteri) Kurum'a şikayeti.
- Veri ihlali bildirimi: Şirket Madde 12'ye göre 72 saat içinde Kurum'a ihlali bildirir, sonrasında Kurum incelemeye girer.
Denetim açıldıktan sonra Kurum şirketten şu belgeleri ister:
- VERBİS kayıt çıktısı + güncellik tarihi
- Aydınlatma metinleri (web, İK, müşteri sözleşmesi)
- Açık rıza belgeleri ve saklama yöntemi
- Kişisel veri envanteri (Excel/dokümante)
- Saklama ve imha politikası dokümanı
- Madde 12 teknik tedbir uygulama listesi (MFA, şifreleme, log)
- Çalışan KVKK eğitim sertifikaları
- Veri işleyen sözleşmeleri (Microsoft, hosting, muhasebe SaaS)
- Veri ihlal müdahale planı
- İlgili kişi başvuru takip kayıtları (son 1 yıl)
Bu belgelerin herhangi biri eksikse veya tutarsızsa Kurum kararı genelde "Madde 12 ihlali — idari para cezası" yönünde olur.
12 Madde Self-Assessment Kontrol Listesi
Aşağıdaki 12 madde, KVKK Kurulu kararlarında sık geçen kontrol noktalarıdır. Her birini "✓ Tam Uyum / ◐ Kısmen / ✗ Eksik" olarak değerlendirin.
Madde 1: VERBİS Kaydı Aktif ve Güncel mi? (Madde 16)
Çalışan sayısı 50+ veya yıllık mali bilanço 100M TL üzerindeki tüm şirketler için zorunlu. Eksik veya güncel olmayan VERBİS kaydı en sık ceza nedenidir.
- ✓ Tam: verbis.kvkk.gov.tr'de aktif kayıt + son 12 ayda güncellendi + tüm veri kategorileri eklenmiş
- ◐ Kısmen: Kayıt var ama 1+ yıl güncellenmedi
- ✗ Eksik: Hiç kayıt yok veya bilmiyorum
Çözüm: verbis.kvkk.gov.tr → giriş → veri kategorisi, alıcı grubu, yurt dışı aktarım, saklama süresi alanları doğru doldurulmalı. Yıllık review takvime ekle.
Madde 2: Aydınlatma Metinleri Tüm Veri Toplama Noktalarında mı? (Madde 10)
İletişim formu, kariyer başvurusu, e-bülten, müşteri sözleşmesi — her biri için ayrı veya kapsamlı genel metin gerekli.
- ✓ Tam: Tüm noktalar + sürüm tarihli + her form bağlantıyı içerir
- ◐ Kısmen: Web sitesinde var ama İK formlarında yok
- ✗ Eksik: Yok veya genel template kopya
Çözüm: Veri kategorisi, işleme amacı, hukuki sebep, alıcı grubu, yöntem, ilgili kişi hakları başlıkları her toplama noktası için yazılmalı. Versiyon/tarih damgası şart.
Madde 3: Açık Rıza Belgeleri Hukuki Sebep Ayrımıyla Saklanıyor mu? (Madde 5)
Açık rıza ile sözleşmenin ifası farklı hukuki sebeplerdir. Pazarlama için ayrı, "okudum onaylıyorum" değil bilinçli kutucuk gerekli.
- ✓ Tam: IP + tarih + onaylanan metin sürümü log saklı
- ◐ Kısmen: Sadece kutucuk var, log yok
- ✗ Eksik: Hiç belge tutulmuyor
Çözüm: Çift opt-in, IP + zaman damgası + onaylanan metin sürümü kayıt. Açık rıza geri çekme süreci de tanımlı olmalı (1 tıkla unsubscribe).
Madde 4: Kişisel Veri Envanteri Güncel mi? (Madde 16)
VERBİS'in detaylı versiyonu — IK, müşteri, satıcı, müşteri adayı verileri için süreç bazlı dokümantasyon.
- ✓ Tam: Süreç bazlı + 6 ayda update + Microsoft Purview Data Map ile entegre
- ◐ Kısmen: Eski veya kısmi envanter
- ✗ Eksik: Hiç yok
Çözüm: Excel/Confluence ile süreç-veri kategorisi-saklama yeri-saklama süresi-erişim hakları matrisi. M365'te Microsoft Purview Data Map entegrasyonu.
Madde 5: Saklama ve İmha Politikası Yazılı mı? (Madde 7)
Süresi dolmuş veriler aktif silinmiyorsa (sadece "kullanmıyoruz" değil) ihlal sayılır.
- ✓ Tam: Yazılı politika + Microsoft Purview Retention Policy ile otomatik silme
- ◐ Kısmen: Yazılı politika var ama manuel uygulama
- ✗ Eksik: Politika yok
Çözüm: Microsoft Purview Retention + Microsoft 365 retention policies — örn. "İK CV: 1 yıl, sonra otomatik sil". 6 ayda bir denetim raporu.
Madde 6: Madde 12 Teknik Tedbirler Tam mı? (En Önemli)
KVKK Kurulu'nun en sık ceza verdiği alan. MFA, şifreleme, DLP, log birlikte kullanılmalı.
- ✓ Tam: MFA tüm kullanıcılar + BitLocker + Purview DLP (TC kimlik) + audit log 1 yıl
- ◐ Kısmen: Bazıları aktif (örn. MFA var ama DLP yok)
- ✗ Eksik: Temel seviyede / sadece şifre koruması
Çözüm: Microsoft 365 Business Premium asgari + Defender for Office 365 P1. Plan Seçici v2 aracımız sektörünüze göre öneri verir.
| KVKK Madde 12 Tedbir | Microsoft 365 Çözümü | Lisans |
| Erişim yetkilendirme + RBAC | Microsoft Entra ID — Conditional Access, PIM | BP / E3+ (Entra P1) |
| MFA (çok faktörlü kimlik) | Entra ID MFA + Authenticator | BB+ (P1 ile zorunlu) |
| Şifreleme (rest + transit) | Service Encryption + TLS 1.2 default + OME | E3 / E5 |
| Log kayıt + 1 yıl saklama | Audit Log Premium | E5 (1 yıl) veya E3 + add-on |
| Veri sızıntı engelleme (DLP) | Microsoft Purview DLP (TC Kimlik built-in) | BP / E3+ |
| Saklama + imha | Retention Policy + Litigation Hold | Plan 2 / E3+ |
| İhlal tespit + müdahale | Defender for Office 365 + Defender XDR | Defender P1 / E5 |
| Veri sınıflandırma | Sensitivity Labels (Microsoft Purview) | BP / E3+ |
Madde 7: Madde 12 İdari Tedbirler Var mı?
Çalışan KVKK gizlilik sözleşmesi + yıllık eğitim + erişim yetki minimum prensibi.
- ✓ Tam: İşe giriş gizlilik taahhütnamesi + yıllık 1 saatlik online eğitim + role-based access matrisi
- ◐ Kısmen: Sadece sözleşme var, eğitim yok
- ✗ Eksik: Hiçbiri
Madde 8: İlgili Kişi Başvuru Prosedürü Yazılı mı? (Madde 13)
Bilgi talebi, silme talebi, düzeltme talebi geldiğinde 30 gün içinde yanıt verme yükümlülüğü vardır.
- ✓ Tam: kvkk@sirket.com mailbox + Power Automate ticket + 30 gün takvim + DPO onayı
- ◐ Kısmen: Email var ama prosedür yok
- ✗ Eksik: Hiç düşünülmemiş
Çözüm: Microsoft 365 Forms veya Power Apps ile başvuru formu + Power Automate workflow ile takip + log saklama.
Madde 9: Veri İhlal Müdahale Planı (72 Saat) Var mı? (Madde 12)
KVKK Kurulu 2019 kararı: ihlal öğrenildikten sonra 72 saat içinde Kuruma bildirim. Geç bildirim ek ceza.
- ✓ Tam: Yazılı plan + tatbikat (yılda 2× simulasyon)
- ◐ Kısmen: Yazılı plan var ama tatbikat yok
- ✗ Eksik: Plan yok
Çözüm: Incident Response Plan: tespit → DPO bilgilendirme → 72 saat sayacı → Kurum + ilgili kişi bildirimi. Microsoft Defender alert'leri tetikleyici.
Madde 10: Yurtdışı Veri Aktarımı Hukuki Sebebe Bağlı mı? (Madde 9)
Microsoft 365, Google Workspace, AWS gibi servisler veriyi yurtdışı datacenter'da işleyebilir. Açık rıza, taahhütname veya yeterlilik kararı şart.
- ✓ Tam: Microsoft DPA imzalı + Türkiye/EU datacenter + envanterde aktarım kaydı
- ◐ Kısmen: Açık rıza alınıyor ama belgelenmiyor
- ✗ Eksik: Hiç düşünülmemiş
Çözüm: Microsoft DPA (Data Protection Addendum) imza + Türkiye datacenter (West Europe / North Europe) kullanımı + envanterde aktarım kaydı.
Madde 11: Veri İşleyen Sözleşmeleri KVKK Uyumlu mu? (Madde 12)
Microsoft, hosting şirketi, muhasebe SaaS, hukuk bürosu — kişisel verinize erişen tüm hizmet sağlayıcılarla KVKK ek protokolü gerekli.
- ✓ Tam: Tüm işleyenlerle KVKK ek protokolü imzalı
- ◐ Kısmen: Standart sözleşme var, KVKK ek yok
- ✗ Eksik: Sözleşme bile yok
Çözüm: KVKK Veri İşleyen Sözleşmesi — gizlilik + alt işleyen + ihlal bildirim klozları içerecek.
Madde 12: DPO/Veri Sorumlusu Temsilcisi Belirli mi? (Madde 16)
Şirket içinden veya dışarıdan; sadece "İK ilgilenir" yetersiz. Eğitim sertifikalı + iletişim bilgisi VERBİS'te.
- ✓ Tam: Belirli + eğitim sertifikalı + VERBİS'te
- ◐ Kısmen: Belirli ama eğitim yok
- ✗ Eksik: Belirli değil
Çözüm: KVKK Akademi / TBV / Bilgi Teknolojileri Kurumu sertifikalı eğitim + VERBİS'te iletişim bilgisi güncel + her yıl tazeleme.
KVKK Madde 18 İdari Para Cezası — Güncel Tarife
| İhlal | Min Ceza (2026) | Max Ceza (2026) |
| Madde 12 (veri güvenliği) | ~150.000 TL | ~4.500.000 TL |
| Madde 10 (aydınlatma yükümlülüğü) | ~75.000 TL | ~1.500.000 TL |
| VERBİS kayıt eksikliği | ~150.000 TL | ~7.500.000 TL |
| Madde 9 (yurtdışı aktarım izinsiz) | ~150.000 TL | ~7.500.000 TL |
| Madde 11 (ilgili kişi başvuruya cevap vermemek) | ~75.000 TL | ~1.500.000 TL |
Cezalar her yıl yeniden değerleme oranıyla artar. Birden fazla ihlal birleştiğinde toplam ceza üst sınıra yaklaşır.
90 Gün Eylem Planı (Denetimden Önce Kapatılacaklar)
İlk 30 Gün (Acil)
- VERBİS kaydını gözden geçirme + eksik kategoriler ekleme
- Madde 10 aydınlatma metinlerini güncelleyip yayınlama (web sitesi + İK + müşteri form üçlü)
- Veri ihlali müdahale planı tamamlama (72 saat KVKK bildirim akış şeması)
- Microsoft 365'te audit log + sign-in monitoring etkinleştirme
30-60 Gün (Yapısal)
- Veri envanteri tamamlama (kişisel veri + saklama süresi + işleme amacı matrisi)
- Microsoft Purview Sensitivity Labels (Halka Açık / Dahili / Gizli) yapılandırma
- DLP politikası: TC Kimlik, kart, IBAN sızıntı engelleme (Microsoft Purview DLP)
- Çalışan KVKK eğitimi + kayıt
60-90 Gün (Sürdürülebilir)
- Veri işleyen sözleşmeleri (Microsoft, hosting, muhasebe SaaS, hukuk)
- Düzenli (3 aylık) KVKK iç audit takvimi
- Litigation Hold yapısı (Madde 7 — saklama/imha + hukuki süreç)
- İlgili kişi başvuru takip sistemi (Power Apps form veya manuel matris)
Sıradaki Adım: Skorunuzu Sayısal Olarak Ölçün
KVKK Uyum Skoru — 12 Soruda Risk Analizi + PDF Rapor
12 soruda 0-100 KVKK uyum skorunuzu öğrenin. Eksik maddeler + Madde 18 ceza riski + 90 gün eylem planı. Patron / hukuk müşaviri sunumu için 10 sayfalık PDF rapor ücretsiz.
KVKK Uyum Skoru Aracını Aç →
Microsoft Yetkili Çözüm Ortağı (CSP) olarak KVKK + Microsoft 365 boşluk analizi + Sensitivity Labels + DLP yapılandırması + Conditional Access politikası kurulumu hizmetlerini sunuyoruz. WhatsApp 0216 344 15 59.
Sıkça Sorulan Sorular
VERBİS kaydı zorunlu mu?
Evet, çalışan sayısı 50+ veya yıllık mali bilanço 100M TL üzerindeki tüm gerçek/tüzel kişiler için zorunlu. Eksik veya güncel olmayan VERBİS kaydı en sık KVKK ceza nedenidir — 150.000 - 7.500.000 TL aralığında.
KVKK denetimi sırasında ne kadar süre cevap vermeliyim?
Kurum ilk yazısında 15-30 gün süre verir. Karmaşık taleplerde ek süre talep edebilirsiniz. Süre uzatmasına gerekçe + plan sunmak şart. Cevap vermemek ek ceza nedenidir (Madde 18'deki yaptırımlar uygulanır).
Microsoft 365 ile KVKK Madde 12 tam karşılanır mı?
Microsoft 365 Business Premium + Defender for Office 365 P1 kombinasyonu Madde 12 teknik tedbirlerin %80'ini karşılar (MFA, şifreleme, DLP, audit log, ihlal tespit). Geriye kalan %20: idari tedbirler (eğitim, sözleşme, prosedür) — bunlar yazılı dokümantasyon işidir, lisans değil.
DPO mutlaka avukat mı olmalı?
Hayır. KVKK Kurulu DPO için "veri koruma + bilgi güvenliği bilgisine sahip kişi" ifadesini kullanır. Avukat olabilir, IT Direktörü olabilir, dış danışman olabilir. Sertifikalı eğitim şart (KVKK Akademi, TBV, BTK gibi). VERBİS'te DPO iletişim bilgisi güncel olmalı.
Microsoft DPA nedir, nasıl alınır?
Microsoft Data Protection Addendum (DPA), Microsoft'un müşteriyle imzaladığı KVKK / GDPR ek protokolü. Verinizin nasıl işlendiği, datacenter lokasyonu, alt işleyenler (sub-processors), ihlal bildirim süreçleri tanımlı. CSP partner üzerinden Microsoft 365 alındığında otomatik dahil — ayrıca talep etmenize gerek yok. PDF olarak istemek için CSP'nizden talep edin.
Veri ihlal müdahale planı yoksa ne olur?
İhlal yaşanmadığı sürece direkt ceza yok. Ancak ihlal yaşanır + plan yoksa: (1) 72 saat içinde Kurum'a bildirim yapamazsınız → ek ceza, (2) ilgili kişilere bildirim yapamazsınız → ek ceza, (3) Madde 12 "gerekli teknik/idari tedbir" yükümlülüğü ihlal edilmiş sayılır → ana ceza üst sınıra yaklaşır.
KVKK uyumu kaç ayda tamamlanır?
Sıfırdan başlayan bir KOBİ için 3-6 ay realistik. Acil durumda (denetim açıldı) 30-60 günde temel uyumu tamamlamak mümkün ama optimal değil. Microsoft Yetkili Çözüm Ortağı (CSP) olarak hızlandırılmış 90 günlük programlar yürütüyoruz.
Kaynaklar