"Microsoft 365 KVKK uyumlu mu? Verilerimiz nerede saklanıyor? KVKK denetiminde sorumluluğum ne kadar?" — bu üç soru her IT yöneticisinin masasındaki KVKK ihtilafının çekirdeği. Kısa cevap karmaşık: Microsoft 365 teknik olarak KVKK uyumlu ama uyumluluk paylaşılan sorumluluk modeli'ne dayanır — Microsoft tarafı bazı kontrolleri sağlar, müşteri tarafı diğerlerini yapılandırmak ZORUNDA. Yanlış yapılandırılmış M365 KVKK ihlal olur. Bu rehberde veri ikametgahı (data residency), Microsoft'un sorumluluğu, müşterinin sorumluluğu ve KVKK denetiminde nelerden hesap verdiğinizi net açıklıyoruz.

Microsoft 365 Veri Saklama Konumu (Data Residency)

Türkiye Datacenter Mevcut Mu?

Hayır — Microsoft'un Türkiye'de cloud datacenter'ı henüz yok (2025 sonu itibariyle). Microsoft'un duyurduğu Türkiye datacenter projesi planlama / değerlendirme aşamasında, açılış tarihi henüz yok.

Türk Müşteriler İçin Veri Nerede?

Microsoft 365 müşterilerine en yakın EMEA Regional coğrafyasında veri saklar:

  • Birincil: AB datacenter'ları — İrlanda (Dublin), Hollanda (Amsterdam), Avusturya, Finlandiya
  • İkincil yedek: Aynı bölge başka datacenter
  • Disaster recovery: Cross-region (genelde aynı AB içinde)

Microsoft Trust Center'da tenant'ınızın spesifik veri saklama lokasyonu görünür: aka.ms/datalocation üzerinden tenant ID ile sorgulama.

Servis Bazlı Veri Konumu

ServisVeri Konumu (Türk müşterisi için)
Exchange Online (mailbox)AB datacenter (İrlanda / Hollanda)
SharePoint Online + OneDriveAB datacenter
Microsoft Teams (chat, meeting recordings)AB datacenter
Microsoft Entra ID (kimlik dizini)Multi-Geo (genelde AB)
Office 365 ProPlus (lisans aktivasyonu)Cross-region (Microsoft Online Services)
Microsoft Defender / Sentinel telemetriAB veya US (kullanıcı seçimi)
Power BI workspacesTenant home region (AB)
Microsoft Copilot prompt + responseAB datacenter, model training için kullanılmaz

KVKK Açısından AB Datacenter — Geçerli Mi?

KVKK'nın 9. maddesi yurtdışına veri aktarımını düzenler:

  • Yeterli koruma kararı: KVK Kurumu'nun "yeterli koruma sağlayan" ülke listesi vardır. AB ülkelerinin tamamı bu listede DEĞİLDİR — sadece bazı belirli ülkeler.
  • Açık rıza: Veri sahibinin (örn. çalışanınızın, müşterinizin) aktarıma açık rızası
  • Yeterli koruma taahhüdü: Sözleşmede yeterli koruma yazılı taahhüt edilmesi (Microsoft Online Services sözleşmesi)
  • Kurul izni: KVK Kurulu özel izni (her şartı sağlayamıyorsanız)

Microsoft, "Microsoft Online Services Data Protection Addendum (DPA)" dokümanında KVKK'ya benzer GDPR uyumlu yeterli koruma taahhüdü verir. Bu sözleşmesel taahhüt KVKK'nın 9. maddesinin ç) bendindeki "yeterli korumayı yazılı olarak taahhüt etmesi" şartını karşılar.

Net cevap: Microsoft 365 verisinin AB datacenter'da saklanması KVKK ihlali DEĞİLDİR — Microsoft sözleşmesel taahhüt verir, müşteri ek olarak açık rıza alma + işleme amacı belirtme + envanter tutma gibi kendi yükümlülüklerini yerine getirir.

Shared Responsibility — Kim Neyden Sorumlu?

Cloud bilgi güvenliğinde "shared responsibility" (paylaşılan sorumluluk) standart modeldir. Microsoft 365 için:

Sorumluluk AlanıMicrosoftMüşteri (Siz)
— Fiziksel ve Altyapı —
Datacenter güvenliği (fiziksel erişim, biyometri, video, jeneratör)
Sunucu donanımı, ağ ekipmanı, depolama
Hypervisor + OS güncelleme, patch
SOC 2, ISO 27001, ISO 27018, FedRAMP, HIPAA, GDPR sertifikaları
— Servis Sürekliliği —
Servis SLA (%99.9 uptime, financially backed)
Disaster recovery (cross-region replication)
Servis update ve yeni özellikler
— Veri Şifreleme —
Encryption at rest (storage)✓ (default AES-256)
Encryption in transit (TLS)✓ (default TLS 1.2+)
Customer Key (BYOK — kendi anahtarınızla şifreleme)✓ (M365 E5)Yapılandırma sizde
Sensitivity labels (dosya bazlı şifreleme)✓ (kapasite)Etiketleme + kullanıcı eğitimi sizde
— Kimlik ve Erişim —
Multi-Factor Authentication (MFA) altyapısı✓ (servis)MFA aktivasyonu, kullanıcı eğitimi sizde
Conditional Access policy framework✓ (servis)Policy yazma + uygulama sizde
Privileged Identity Management (PIM)✓ (servis)Just-in-time admin, role assignment sizde
Identity Protection (risk-based)✓ (E5)Risk threshold ayarı, response sizde
— Veri Güvenliği —
Data Loss Prevention (DLP) altyapısıDLP policy yazma sizde
Information Protection (sensitivity labels)Etiket taksonomisi + uygulama sizde
In-Place Hold / Litigation HoldHold koyma kararı sizde
Audit log retention✓ (180 gün-7 yıl, lisansa göre)Log inceleme + retention configuration sizde
— Cihaz ve Endpoint —
Microsoft Defender (NGAV, EDR) altyapısıOnboarding, policy, response sizde
Intune (MDM/MAM) altyapısıCompliance policy, app protection sizde
Cihaz envanteri ve kullanıcı yönetimiTamamen sizde
— KVKK Spesifik —
Veri ikametgahı (AB datacenter)
DPA (Data Protection Addendum) sözleşmesiİmzalanması sizde
VERBİS kayıtTamamen sizde
Açık rıza alma (çalışan, müşteri)Tamamen sizde
İşleme amacı + envanterTamamen sizde
Veri ihlal bildirimi (72 saat)Microsoft size bildirirSiz KVK Kuruluna bildirirsiniz (72 saat)

"Microsoft Tarafı" — Net Olarak Ne Sağlar?

1. Sertifikalar ve Denetim

Microsoft, M365 platformu için 30+ uluslararası sertifika tutar:

  • ISO 27001 (Bilgi Güvenliği), ISO 27018 (PII bulut güvenliği), ISO 22301 (İş Sürekliliği)
  • SOC 1, SOC 2 Type II, SOC 3
  • HIPAA / HITRUST (sağlık)
  • FedRAMP High (ABD federal)
  • GDPR uyum (DPA)
  • CSA STAR (Cloud Security Alliance)

Bu sertifikaların raporları servicetrust.microsoft.com'da müşteriye açıktır. KVKK denetiminde bu sertifikaları "Microsoft tarafının yeterli koruma taahhüdü" olarak gösterirsiniz.

2. Sözleşmesel Taahhütler

  • DPA (Data Protection Addendum): GDPR Article 28 + KVKK Article 9 uyumlu veri işleyici taahhüdü
  • OST (Online Services Terms): SLA, veri sahipliği, kurum verileri Microsoft tarafından sahiplenilmez
  • Customer Lockbox (E5): Microsoft mühendisinin verinize erişmek için sizden onay almasını zorunlu kılar
  • Veri sahipliği: Müşteri verisi Microsoft'a değil müşteriye ait. Sözleşme sonunda 90 gün içinde tüm veri export edilebilir + silinir

3. Teknik Kontroller

  • AES-256 encryption at rest (default)
  • TLS 1.2+ encryption in transit
  • Tenant izolasyon (logical separation)
  • DDoS protection
  • Network security (VLAN, NSG, Front Door)
  • Anti-malware tarama
  • Penetration testing (yıllık 3rd-party + iç)

"Müşteri Tarafı" — Sizin YAPMANIZ Gerekenler

Microsoft sertifikaları + sözleşmeler size uyumluluk garantisi vermez. Sizin tarafınızdaki yapılandırma yanlışsa ihlal yine olur. Yapmanız gerekenler:

1. KVKK Yasal Yükümlülükler

  1. VERBİS kayıt: Veri sorumlusu olarak KVK Kurumu siciline kayıt (gerekli durumda)
  2. Veri envanter: Hangi sistem, hangi veri, hangi amaçla, ne süre — yazılı envanter
  3. Açık rıza: Çalışan ve müşterilerden veri işleme rızası
  4. Aydınlatma metni: Web sitesi, sözleşme, e-posta vb. her temas noktasında
  5. Veri sahipliği talepleri (DSR): Erişim, düzeltme, silme, taşınabilirlik talepleri için süreç (30 gün içinde yanıt)
  6. Veri ihlal bildirimi: 72 saat içinde KVK Kurulu'na ve etkilenen kişilere
  7. Aydınlatma yükümlülüğü: Yurtdışına veri aktarımı yapıldığını veri sahibine bildirme

2. M365 Yapılandırması — KVKK Hazırlık

  1. MFA tüm kullanıcılara: Conditional Access ile zorunlu MFA
  2. DLP politikaları: T.C. kimlik, IBAN, kredi kartı, müşteri verisi tipleri için DLP
  3. Sensitivity labels: "Genel / Dahili / Gizli / Çok Gizli" 4-katman etiketleme
  4. In-Place Hold: KVKK denetimde gereken silinmesin'lik için legal hold
  5. Audit log retention: 6+ ay log saklama (M365 E3 default 180 gün, E5 1 yıl)
  6. External sharing kontrolleri: SharePoint / OneDrive dış paylaşım kısıtlama
  7. Conditional Access — yurtdışı erişim filter: Sadece Türkiye + AB IP'lerinden erişim
  8. Endpoint compliance: Intune ile şirket cihazlarında BitLocker, MDM zorunlu

Detaylı kontrol listesi: KVKK Uyumlu M365 Yapılandırması.

3. Personel Eğitimi

  • Phishing farkındalığı (yıllık tatbikat)
  • Sensitivity label kullanımı
  • Hangi veri hangi servise gidebilir (Teams chat ≠ DLP'li SharePoint)
  • Şüpheli e-posta bildirim süreci
  • Veri sahibi talepleri nasıl yönlendirilir (DSR)

KVKK Denetiminde Neye Hesap Verirsiniz?

KVK Kurumu denetiminde sorulan sorular ve hangi sorumluluk:

SoruSorumlulukBelge / Kanıt
"Verileriniz nerede saklanıyor?"Microsoft + SizMicrosoft DPA + tenant data location
"Yurtdışına aktarım onayı nasıl alındı?"SizdeAçık rıza beyanları + aydınlatma metni
"Verbis kaydınız var mı?"SizdeVerbis sicil kaydı
"Hangi kullanıcı hangi veriye nasıl erişebilir?"SizdeRBAC matrisi + Conditional Access policy
"MFA aktif mi?"SizdeM365 admin center MFA report + CA policy screenshot
"Audit log nerede, ne kadar saklanıyor?"Sizde (Microsoft platformu sağlar)Compliance Center → Audit log search ekran görüntüsü
"DLP politikalarınız var mı?"SizdeCompliance Center → DLP policy listesi
"Veri ihlali olursa nasıl müdahale edersiniz?"SizdeYazılı incident response plan + tatbikat kayıtları
"Çalışan ayrılınca veriye erişim nasıl kapatılır?"SizdeOff-boarding süreç dökümanı + Entra ID disable kayıtları
"Yedek alıyor musunuz, ne kadar süre tutuyorsunuz?"Microsoft (servis seviyesi) + Siz (uygulama)M365 retention policy + Microsoft DPA backup taahhüdü

Net çıkarım: KVKK denetim sorularının %80'i SİZE yöneliktir. Microsoft sertifikaları + DPA size "altyapı tarafı tamam" der ama KVKK uyumluluğu sizin yapılandırmanıza bağlı.

"Microsoft uyumlu, biz de uyumluyuz" Yanılgısı

Çok yapılan hata: "M365 satın aldık, KVKK halloldu". Hayır. Microsoft size uyumluluk araçlarını sağlar, uyumluluğu siz yaparsınız.

Tipik Türk şirketinde KVKK gap analizi yapıldığında bulunan açıklar:

  • %70'inde MFA tüm kullanıcılara zorunlu DEĞİL
  • %80'inde DLP politikası YOK veya çok zayıf
  • %60'ında Sensitivity Labels kullanılMIYOR
  • %90'ında Conditional Access geo-filter YOK (yurtdışı erişim kısıtsız)
  • %50'sinde audit log inceleme süreci YOK
  • %70'inde off-boarding sürecinde lisans + veri silme prosedürü tanımLI değil
  • %80'inde DSR (veri sahibi talepleri) süreci yazılı DEĞİL

Bu açıklarla KVKK denetiminde ciddi cezalar (1M-5M TL) gelebilir. M365 satın almakla iş bitmiyor — yapılandırma + süreç + eğitim üçlüsü gerekir.

Sektör Bazlı KVKK + M365 Pratikleri

Detaylı sektör rehberleri:

Sık Sorulan 6 Soru

1. "Microsoft 365 verim Türkiye'de saklanmıyor — bu KVKK ihlali değil mi?"

Hayır, ihlal değil. Microsoft DPA'sı KVKK'nın 9. maddesinin "yeterli koruma taahhüdü" şartını karşılar. Üstüne sizin ilgili veri sahiplerinden açık rıza almanız + aydınlatma yapmanız gerekir. Microsoft Türkiye'de datacenter açana kadar AB datacenter geçerli çözüm.

2. "Customer Key / BYOK ile şifreleme yaparsam Microsoft veriye erişemez mi?"

Customer Key (M365 E5) ile siz Azure Key Vault'ta tutulan şifreleme anahtarınızı yönetirsiniz. Microsoft mühendisleri verinize default erişemez. Ama Microsoft hâlâ servis sunmak için belirli işlemler için (ör. arama, indeksleme) decryption gerekirken anlık erişim olur. Tam izolasyon DEĞİL ama ek güvenlik katmanı.

3. "M365 verisini KVKK için ayrı yedeklemem gerekir mi?"

Microsoft default retention (30-180 gün) çoğu durumda yeterli. KVKK için uzun süreli archive gerekirse Exchange Online Archiving (sınırsız arşiv) + In-Place Hold + Records Management (E5) konfigüre edilir. 3rd-party backup (Veeam M365, Acronis) ek güvence için kullanılabilir ama KVKK için zorunlu değil.

4. "Microsoft'un Türkiye datacenter'ı açılırsa otomatik geçer miyim?"

Hayır — tenant'ı yeniden Türkiye region'a migrate etmek gerekecek. Microsoft "tenant region change" prosedürü sunar (3-6 ay süreç). Çoğu büyük kurumun planı: Türkiye datacenter açılır + en az 1 yıl olgunlaşır + sonra göç.

5. "Microsoft 365 Trust Center nedir?"

Microsoft'un compliance ve security raporlarının merkezi: microsoft.com/trust-center. Sertifikalar, denetim raporları, DPA taslakları, ülke bazlı uyumluluk dökümanları burada. KVKK denetimi öncesi Microsoft tarafının kanıtlarını buradan indirir, denetçiye sunarsınız.

6. "Microsoft Compliance Manager ne işe yarar?"

M365 Compliance Center → Compliance Manager, KVKK / GDPR / ISO 27001 / SOC 2 gibi 100+ regülasyon için tenant'ınızın "compliance score"unu hesaplar. Hangi kontroller eksik, hangileri tamam. KVKK template kullanarak sistematik gap analizi yapılabilir. M365 E3+ dahili.

Sonuç — KVKK Uyumlu M365 İçin Yol Haritası

Microsoft 365 KVKK uyumlu bir altyapı sağlar — ama uyumluluk sizin yapılandırmanıza bağlı. Microsoft sertifikaları + DPA altyapı tarafını çözer; MFA + DLP + Sensitivity Labels + Conditional Access + Audit + Süreçler sizin tarafınızda. KVKK denetim sorularının %80'i size yöneliktir.

Yol haritası:

  1. Microsoft DPA'yı imzala / onayla (M365 lisansıyla otomatik)
  2. VERBİS kayıt + veri envanter
  3. M365 yapılandırması: MFA, DLP, Sensitivity Labels, Conditional Access (Premium / E3 / E5)
  4. Süreçleri yazılı hale getir: incident response, off-boarding, DSR, tatbikat
  5. Personel eğitimi (yıllık)
  6. Compliance Manager ile compliance score takibi
  7. Yıllık iç denetim + 3rd-party gap analizi

Microsoft Yetkili Çözüm Ortağı olarak KVKK + M365 gap analizi, yapılandırma rehberliği ve yıllık denetim hazırlığı hizmeti sunuyoruz — ücretsiz keşif görüşmesi.

KVKK + M365 Gap Analizi

Mevcut M365 yapılandırmanızı KVKK uyumluluk açısından tarayalım — hangi kontroller eksik, hangileri tamam, ücretsiz rapor.

0216 344 15 59 İletişim

İlgili rehber: Conditional Access politikalarının (Block Legacy Auth, Trusted Locations, Risk-based, Privileged Role Protection) sıfırdan kurulumu, "What If" tool ile etki analizi ve "break-glass" admin koruması için Conditional Access Politika Rehberi blog yazısını okuyun. 6 politika örneği + PowerShell ile yönetim detaylı.