2026 itibarıyla KVKK denetimleri artmış durumda — özellikle KOBİ'ler tarafında. Hotmail, Gmail, Yandex gibi ücretsiz mail hesapları ile müşteri verisi (ad, telefon, kimlik, fatura, sağlık bilgisi, mali bilgi) işliyorsanız bilinçli veya bilinçsiz olarak KVKK uyumsuzluğu üretiyor olabilirsiniz. Bu yazıda 6 somut riski hukuki çerçeve ile birlikte açıklıyor, çözüm yolunu somut adımlarla anlatıyoruz.

⚖ Hukuki uyarı: Bu yazı bilgi amaçlıdır, hukuki danışmanlık yerine geçmez. KVKK kapsamında somut durumunuz için bir hukuk müşaviri ile çalışın. Bu yazıdaki çerçeve, 2026 yılı KVKK uygulama yönetmeliklerini ve Kurum kararlarını dikkate alır.

KVKK Kısa Tekrar: Kim Sorumlu, Hangi Veriler Korunur?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 2016'da yürürlüğe girdi. Türkiye'deki tüm gerçek ve tüzel kişiler için geçerli — şirket büyüklüğü, sektör veya çalışan sayısı fark etmez.

"Kişisel veri" tanımı geniştir:

  • Ad, soyad, TC kimlik no
  • Telefon numarası, e-posta adresi
  • Adres bilgisi
  • Fatura, sözleşme, mali bilgi
  • Sağlık bilgisi (özel nitelikli — daha sıkı korumalı)
  • Görsel/işitsel kayıt
  • İmza, parmak izi, biyometrik veri

"Veri Kontrolörü": Bu verileri kim, neden, nasıl işliyorsa o sorumludur. KOBİ örneği: bir avukat müşterisinin TC kimlik fotokopisini mailine aldığı an veri kontrolörü olur.

6 Somut Risk: Hotmail/Gmail ile İş Yapmak Neden Tehlikeli?

Risk 1: KVKK Madde 9 — Yurt Dışı Veri Aktarımı

Yasal hüküm: Madde 9'a göre kişisel veriler yurt dışına aktarılabilir, ancak:

  1. Veri sahibinin açık rızası olmalıdır, VEYA
  2. Aktarımın yapılacağı ülke yeterli korumalı ülkeler listesinde olmalıdır, VEYA
  3. Veri kontrolörü ve aktarılan ülkedeki taraf yeterli korumayı yazılı olarak taahhüt etmeli ve KVKK Kurumu izni alınmalıdır.

Hotmail/Gmail durumu: Mail içeriğiniz Microsoft (Hotmail) veya Google (Gmail) sunucularında işlenir. Microsoft personal hesapların sunucu lokasyonu büyük ölçüde ABD/Avrupa'dadır. KVKK Kurumu henüz "yeterli korumalı ülke" listesi yayınlamamıştır. Yani:

  • Her müşteri için açık rıza almanız gerek (mail göndermeden önce)
  • Veya yazılı taahhütname + KVKK izni almanız gerek (ücretsiz Hotmail/Gmail hesabı için bu mümkün değildir, çünkü Microsoft/Google ile bireysel anlaşma yapamazsınız)

Sonuç: Müşterinizin TC kimliğini Gmail'e gönderildiği an Madde 9 ihlali oluşur. Müşteri şikayet ederse ceza yolu açılır.

Risk 2: KVKK Madde 12 — Veri Güvenliği Yükümlülüğü

Yasal hüküm: Veri kontrolörü, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri almakla yükümlüdür.

Hotmail/Gmail'de eksik kalan kontroller:

  • İdari tedbir eksikleri: Personel yetkilendirme, gizlilik sözleşmesi, eğitim — kişisel mail hesabı tek kullanıcılı, ekip yönetimi yok.
  • Teknik tedbir eksikleri:
    • Şifre politikası dayatma yok (Hotmail/Gmail kullanıcının seçimine bırakır)
    • İki adımlı doğrulama opsiyoneldir (KVKK için "tedbir" sayılmaz)
    • Erişim logu (audit log) bireysel hesapta yoktur
    • DLP (Data Loss Prevention) — hassas veri tespit/engelleme yoktur
    • Şifreli iletişim/depolama opsiyoneldir, kontrol edilmez

KVKK denetiminde: "Teknik ve idari tedbirleriniz neler?" sorusuna "Hotmail/Gmail kullanıyoruz" yanıtı uyumsuzluk olarak kayda geçer.

Risk 3: Veri Kontrolörü Tanımı Bulanıklığı

Şirket çalışanı satismudur.ahmet@gmail.com hesabıyla iş yapıyor:

  • Hesap kişiseldir — Ahmet'e aittir.
  • Müşteri verisi şirket adına işlenir.
  • Ahmet ayrıldığında veriler onunla gider.
  • KVKK Kurumu açısından soru: "Bu verilerin kontrolörü kim — Ahmet mi, şirket mi?"

Bu bulanıklık, KVKK denetiminde sorumluluk dağılımının netleşmemesi anlamına gelir. Cezalandırılma yine veri kontrolörü pozisyonundaki şirkete yönelir, ama veri üzerinde fiili kontrol yok.

Kurumsal mailde (M365): hesap şirkete aittir, çalışan ayrılınca hesap şirkette kalır, veri kontrolörü açıktır.

Risk 4: Veri İhlali Tespiti ve 72 Saat Bildirim Yükümlülüğü

Yasal hüküm: KVKK Madde 12, veri kontrolörünü ihlali öğrendikten itibaren 72 saat içinde KVKK Kurumu'na bildirim yapmaya zorunlu kılar. İlgili kişiyi (etkilenen müşteriyi) de "en kısa sürede" bilgilendirmek gerekir.

Hotmail/Gmail hesabı çalınırsa:

  • Olayın ne zaman olduğunu bilemezsiniz (Hotmail/Gmail saldırı tespiti bildirimi sınırlıdır)
  • Hangi mailler okundu / sızdırıldı tespit edemezsiniz (forensic erişim yok)
  • Etkilenen müşterileri listeleyemezsiniz
  • Eski mailler değiştirilmiş / silinmiş mi bilemezsiniz

Sonuç: İhlali zamanında ve doğru bildiremezsiniz — bu başlı başına ek bir ihlaldir (bildirimsizlik cezası).

M365'te: tüm erişim audit log'da kayıtlıdır, forensic export 1-2 saatte yapılır, bildirim için somut veri hazırlanır.

Risk 5: Saklama Süresi Politikası Eksikliği

Yasal hüküm: KVKK kişisel verilerin "amaç için gerekli süre kadar" tutulmasını zorunlu kılar. Süre sonunda silme veya anonimleştirme şart.

Hotmail/Gmail'de:

  • Saklama politikası tanımlanamaz (her şey kullanıcı manuel siler)
  • Otomatik retention yok
  • Yıllarca eski müşteri mailleri inbox'ta birikir

KVKK denetimi: "1990'ların müşteri mailini hâlâ neden saklıyorsunuz?" sorusuna cevap yok.

M365'te: Retention Policy ile "X yıl sonra otomatik sil" kuralı tanımlanır. Compliance Center bu kuralı global uygular.

Risk 6: Aydınlatma Yükümlülüğü ve Açık Rıza

Yasal hüküm: Madde 10, veri kontrolörü kişisel veri işlemeye başladığında aydınlatma metni sunmak zorundadır. Madde 11, ilgili kişinin (müşterinin) verilerine erişme, silme, düzeltme hakkı vardır.

Hotmail/Gmail ile çalışırken müşteri "Verilerimi hangi sistemde tutuyorsunuz, kim erişiyor, ne kadar süre tutacaksınız, nasıl silersiniz?" diye sorduğunda:

  • Sunucu lokasyonu kesin söylenemez
  • Kim erişiyor — sadece siz, ama Microsoft/Google çalışanları teorik olarak yapay zeka analizi için erişebilir
  • Saklama süresi tanımsız
  • Silme talebi geldiğinde manuel arama gerekir — kapsamlı silme garantisi zor

Müşteri hakkını kullandığında (KVKK Veri Sorumlusuna Başvuru Usul ve Esasları) cevap veremeyiş başlı başına ihlaldir.

Sektör Bazlı Riskler — Sizin İşiniz Ne Kadar Yüksek Riskte?

Bazı sektörler özel nitelikli kişisel veri işlediği için KVKK koruması daha sıkıdır:

Sektör İşlenen Hassas Veri Risk Seviyesi
Sağlık / Klinik / HekimHasta dosyası, reçete, tahlil sonucuYÜKSEK (özel nitelikli)
Hukuk / Avukat / NoterMüvekkil dosyası, kimlik, dava içeriğiYÜKSEK
Mali müşavir / SMMMVergi beyanı, ciro, banka bilgisiYÜKSEK
Eğitim / Özel okul / AnaokulÖğrenci bilgisi (özellikle 18 altı)YÜKSEK
E-ticaret / PerakendeMüşteri adresi, kredi kartı arşiviORTA-YÜKSEK
Emlak / SigortaMüşteri kimlik, mali bilgiORTA
İmalat (B2B)Sınırlı müşteri verisiORTA
Restoran / OtelRezervasyon, kimlik kayıt (otel)ORTA

Yüksek risk sektörlerinde Hotmail/Gmail ile iş yapmak ciddi cezaya açık bir kapıdır. KVKK 2025-2026 denetim raporlarında bu sektörlerden ceza vakaları artıyor.

2026 Cezaları: Somut Rakamlar

KVKK ihlal cezaları sabit değil — cironuza, ihlalin ağırlığına, etkilenen kişi sayısına göre değişir. Tipik aralıklar:

İhlal Türü Madde Ceza Aralığı (₺, 2026)
Aydınlatma yükümlülüğü ihlaliMadde 10₺50.000 - ₺1.500.000
Veri güvenliği tedbir eksikliğiMadde 12₺100.000 - ₺2.000.000
Açık rıza alınmadan işlemeMadde 5₺50.000 - ₺1.500.000
Yurt dışı veri aktarımı uygunsuzMadde 9₺100.000 - ₺2.000.000
İhlal bildirimi yapmamaMadde 12/5₺50.000 - ₺1.000.000

Kaynak: KVKK Kurumu yayımlanan kararlar 2024-2026.

Mukayese: 5 kişilik bir ekipte M365 Business Basic yıllık ₺18.000. Bir ihlal cezasının ilk dilimi 50.000'den başlıyor — 3 yıllık M365 maliyetini tek bir ihlal karşılar.

Çözüm: Microsoft 365 ile KVKK Uyum Yaklaşımı

Microsoft 365 kurumsal lisansları KVKK uyumunu kolaylaştıran araçları içerir:

Compliance Manager (Microsoft Purview)

  • KVKK kontrol setini önceden tanımlı sunar (Türkiye için yerelleştirilmiş şablon)
  • Sürekli skor güncellemesi (örn: %78 KVKK uyumlu)
  • Eksik kontroller için somut aksiyon listesi
  • Audit denetimine hazırlık raporu

DLP — Data Loss Prevention

  • TC kimlik no, kredi kartı, IBAN gibi hassas veri otomatik tespit
  • Yetkisiz paylaşımı engelle (örn: dışarıya TC kimlik fotokopisi mail attığında uyar)
  • İhlal vakaları log'lanır, audit'te kullanılır

Retention Policy

  • "Müşteri verisi 5 yıl saklanır, sonra silinir" kuralı global uygulanır
  • Vergi mevzuatına uygun (5 yıl ticari defter saklama)
  • Manuel takip gerekmez

eDiscovery + Audit Log

  • Müşteri "verilerimi gösterin" hakkını kullanırsa — eDiscovery ile 30 dk'da tüm mail/dosya bulunur
  • "Verilerimi silin" — Compliance Center toplu silme yapar
  • "Kim erişti" — Audit Log son 1 yıl tam izleme

Conditional Access + MFA

  • "Türkiye dışından girişimi engelle" kuralı
  • Şüpheli giriş tespitinde otomatik blok
  • MFA zorunluluğu — sızdırılan parola tek başına yetmez
📊 Hangi planda hangi KVKK aracı?
  • Business Basic ($6/ay): Temel Audit Log, Litigation Hold (manuel), TR sunucu seçimi yok
  • Business Standard ($12.50/ay): Basic + masaüstü Office (offline işlem)
  • Business Premium ($22/ay): + DLP, + Conditional Access, + Intune, + Defender — KVKK için önerilen minimum
  • E3 ($36/ay): + Advanced Audit Log (1 yıl retention), + advanced eDiscovery
  • E5 ($57/ay): + Compliance Manager Premium, + Insider Risk Management, + Records Management

Geçiş Süreci: KVKK Uyumlu Mail Altyapısı Kurulumu

  1. Mevcut durum analizi (1 hafta):
    • Hangi çalışanlar hangi mail hesabı kullanıyor
    • Hangi tür kişisel veri işliyor
    • Veri akışı haritalama
  2. M365 abonelik + tenant kurulum (1 gün):
    • Business Premium aboneliği (KVKK için minimum)
    • Domain doğrulama, DNS ayarları
    • Kullanıcı oluşturma + ilk lisans atama
  3. Mail migration (1-3 gün):
    • IMAP migration ile Hotmail/Gmail mailleri taşınır
    • Kişiler, takvim transfer
    • Eski hesaplara auto-forward kuralı (6 ay)
  4. KVKK kontrolleri aktivasyonu (2-3 gün):
    • Compliance Manager kurulumu, KVKK şablonu
    • DLP politikaları (TC kimlik, IBAN, kredi kartı tespit)
    • Retention policy (saklama süreleri)
    • MFA + Conditional Access
    • Audit log aktif
  5. Aydınlatma metni ve süreç güncellemesi (1 hafta):
    • Web sitesi + mail imzasına aydınlatma metni
    • Müşteri başvuru süreci tanımı (veri erişim, silme talebi)
    • Çalışan eğitimi (1 saatlik oturum)

Toplam süreç: 2-3 hafta. Profesyonel destek ile ek 1-2 hafta hızlanır.

🛡️ KVKK Uyumlu Microsoft 365 Geçişi Mevcut durum analizi + M365 Business Premium ($22/ay) tenant kurulum + DLP/Compliance Manager + aydınlatma metni — Microsoft Yetkili CSP olarak tek paket destek. Fiyat Teklifi Al → Destek Paketleri →

Sık Sorulan Sorular

Şirketim sadece 3 kişi, KVKK gerçekten beni de bağlıyor mu?

Evet. KVKK kapsamı çalışan sayısına bakmaz; veri işleme faaliyetine bakar. 3 kişilik bir muhasebe ofisi 50 müşterinin TC kimliğini, faturalarını işliyorsa KVKK kapsamındadır. VERBIS kayıt yükümlülüğü (250+ çalışan veya yıllık ciro ₺100M+) ayrıdır; küçük şirketler kayıttan muaftır ama KVKK kurallarına uymak zorundadır.

Açık rıza alarak Hotmail/Gmail kullanmaya devam edemez miyim?

Teorik olarak evet, pratikte hayır. Her müşteriden "verilerinizi ABD'deki Microsoft sunucularına aktarmak için açık rıza" almanız + her yeni mail için yeniden onay + saklama süresi belirlemeniz gerek. Bürokratik olarak ekonomik değil.

Microsoft 365 sunucusu Türkiye'de mi?

Standart Microsoft 365 sunucuları Avrupa'da (Hollanda, İrlanda) veya ABD'de bulunur. Sovereign Cloud (Microsoft Cloud for Sovereignty) ile bazı veriler belirli bölgelerde tutulabilir ama Türkiye veri merkezi henüz aktif değil. Yine de Microsoft'un AB-Türkiye Standart Sözleşme Klozları (SCC) + Compliance Manager KVKK'ya yaklaşımı kişisel mailden çok daha güçlüdür.

İşte KVKK ile ilgili kim ne kararını alıyor?

Şirket sahibi/genel müdür "Veri Sorumlusu" olarak nihai sorumludur. KVKK Uzmanı atanabilir (zorunlu değil ama önerilir). Hukuk müşaviri ile birlikte aydınlatma metni, açık rıza formları, başvuru prosedürü tanımlanır. IT yöneticisi/CSP partner teknik altyapıyı kurar.

Hizli geçiş için minimum ne yapmalıyım?

3 adım: (1) Tüm çalışanları M365 Business Premium'a geçir (1 hafta), (2) DLP + MFA aktive et (1 gün), (3) Aydınlatma metnini web sitenize ekleyin + mail imzasına link koyun (1 saat). Bu üçü KVKK denetiminde temel uyum gösterir; detaylı politika 1-2 ay içinde tamamlanır.

İlgili Rehberler