Hızlı cevap

Microsoft 365 Copilot, KVKK Veri Sorumlusu çerçevesinde kullanılabilir. Microsoft sözleşmeyle verilerinizi AI eğitiminde kullanmadığını garanti eder; EU Data Boundary ile veri AB içinde işlenir ve saklanır. Sensitivity Label, DLP, Purview Compliance entegrasyonu Copilot çıktısının hassasiyet kurallarına uymasını sağlar. Türkiye'de CSP yetkili çözüm ortağı üzerinden TL faturalı + KVKK uyumlu sözleşme imkânı mevcut.

Copilot ve KVKK — Neden Önemli?

Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri işleyen kurumlar — özellikle finans, sağlık, hukuk, kamu, eğitim sektörlerinde — yapay zeka asistan kullanımında ek önlemler almak zorundadır. Microsoft 365 Copilot şirketinizin OneDrive, SharePoint, Outlook ve Teams verilerine erişerek yanıt ürettiği için, bu erişimin KVKK ve sektörel regülasyonlara uygun olması kritiktir.

Sıkça sorulan endişeler:

  • Verilerimiz Microsoft AI modelinin eğitiminde kullanılıyor mu?
  • Veriler hangi ülkede işleniyor ve saklanıyor?
  • Hassas sınıflı (Confidential, Sırasal) belgeler Copilot çıktısına sızdırılır mı?
  • BDDK, ISO 27001 gibi sektörel regülasyonlara uyumlu mu?
  • KVKK Veri Sorumlusu için Veri Koruma Etki Değerlendirmesi (VKED) gerek mi?

Bu rehberde Microsoft Copilot'un veri güvenliği mimarisini, EU Data Boundary'i ve KVKK uyumlu yapılandırma adımlarını detaylı inceliyoruz.

1. Veri AI Eğitiminde Kullanılır mı?

HAYIR. Microsoft sözleşmeyle garanti eder: Kurumsal Microsoft 365 Copilot ve Copilot Business kullanıcılarının verileri (promptlar, belge içerikleri, AI yanıtları) Microsoft veya OpenAI tarafından temel AI modellerinin eğitiminde kullanılmaz.

Bu garanti aşağıdaki belgelerde açıkça yer alır:

  • Microsoft Customer Agreement (MCA): Müşteri verilerinin işleme amacı ve sınırı.
  • Microsoft 365 Online Services Terms: Copilot için spesifik kullanım maddeleri.
  • Microsoft Trust Center: trust.microsoft.com — public commitment dokümanları.
  • Data Processing Addendum (DPA): GDPR + KVKK uyumu için ek sözleşme.

Önemli ayrım: Bu garanti kurumsal tier'lar için geçerlidir — Microsoft 365 Copilot, Copilot Business, Copilot Studio, GitHub Copilot Business/Enterprise. Bireysel Microsoft Copilot Pro veya ücretsiz Microsoft Copilot (Bing) için ek kontrol gerekir.

2. EU Data Boundary — Veri AB İçinde

2024'te tamamlanan EU Data Boundary programı, Microsoft 365 ve Copilot için verilerin Avrupa Birliği içinde (AB üye devletleri + İzlanda + Norveç + Lihtenştayn) işlenmesini ve saklanmasını garanti eder. Türkiye, AB üye devleti olmamasına rağmen, KVKK Madde 9 (Veri İşlenmesinde Yurt Dışına Aktarım) kapsamında EU veri ikametgâhı uygun koruma sağlayan ülke statüsü görür.

EU Data Boundary Kapsamı

  • Kullanıcı promptları ve Copilot yanıtları: AB içinde işlenir.
  • Hesap verisi (Entra ID): AB datacenter'da.
  • OneDrive / SharePoint / Exchange Online verisi: AB ikametgâhı.
  • Teams sohbet ve dosya: AB içinde.
  • Audit log + telemetri: AB içinde.

Aktivasyon

EU Data Boundary Microsoft 365 admin center'dan kurum tenant düzeyinde aktive edilir. Yeni tenant'larda 2025+'tan itibaren varsayılan olarak EU. Eski tenant'lar için manuel migrasyon gerekir (Microsoft Customer Success Manager veya CSP partner danışmanlığıyla).

3. Sensitivity Label Entegrasyonu

Microsoft Purview Information Protection ile etiketlenmiş belgeler (örn. "Genel", "Dahili", "Gizli", "Sırasal") Copilot tarafından etiket politikasına göre işlenir:

  • "Gizli" etiketli belge: Copilot içerik üretirken kaynak gösterir; çıktı otomatik aynı etiketi alır.
  • "Sırasal" etiketli belge: Copilot erişim için kullanıcı yetkisini kontrol eder; çıktı kullanıcıya özel kalır.
  • DLP politika ihlali: Copilot yanıtı KKTC, kredi kartı numarası, sosyal güvenlik numarası gibi hassas veriyi içeriyorsa otomatik maskelenir veya bloke edilir.
  • Encrypted belge: AAD-protected (eski adıyla AIP) şifrelenmiş belge Copilot tarafından okunmaz — kullanıcının düşmesi gerek.

Pratik örnek: Bir avukat KVKK altı bir müvekkil belgesini açar (Sensitivity Label: Gizli). Copilot'a "bu belgeyi özetle" der. Copilot yanıtı otomatik "Gizli" etiketini alır; özet sadece avukatın yetkilendirilmiş Outlook'unda paylaşılabilir. Şirket dışı paylaşım için DLP kuralı bloklar.

4. Data Loss Prevention (DLP) ile Sızıntı Önleme

Microsoft Purview DLP politikaları Copilot çıktısı üzerinde çalışır:

  • Türk Kimlik Numarası (TCKN) tespiti: DLP TCKN regex pattern'i ile Copilot yanıtında geçen TCKN'leri otomatik maskeler.
  • Kredi kartı numarası: PCI DSS uyumu için Copilot yanıtında kredi kartı görünmesi engellenir.
  • Sağlık bilgisi: Hasta ad-soyad + sağlık bilgisi kombinasyonu Copilot çıktısında izlenir.
  • Mali bilgi: IBAN, hesap numarası, vergi kimlik gibi bilgi Copilot tarafından paylaşılmaz.

DLP politikası ayrıca Copilot'un hangi SharePoint sitelerine erişebileceğini de yönetir. Örn. "İK hassas dosyaları" site grubunda Copilot devre dışı bırakılabilir — sadece o sitede çalışan İK kullanıcıları doğrudan erişir, Copilot bağlamı çekmez.

5. Customer Lockbox — Microsoft Erişimi Kontrolü

Microsoft destek personelinin (örn. teknik sorun gidermek için) müşteri verilerine erişmesi gerektiğinde Customer Lockbox onay süreci devreye girer:

  1. Microsoft destek personeli erişim talebi açar.
  2. Müşteri admin'i Microsoft 365 admin center'da onay/red bildirimi alır.
  3. Onay olmadan erişim yapılamaz — saatler/günler boyunca.
  4. Tüm erişim audit log'a yazılır.

Customer Lockbox M365 E5, E7 ve M365 Compliance add-on'da dahildir. M365 Copilot kullanan kurum E3 tier'daysa Customer Lockbox eklenmeli — KVKK Veri Sorumlusu çerçevesinde "üçüncü taraf erişim kontrolü" gerekliliği için.

6. Microsoft Purview Compliance Manager

Purview Compliance Manager Copilot kullanan kurumlar için regülasyon uyumu skoru hesaplar:

  • KVKK uyum kontrolü — 47 madde bazında durum raporu.
  • GDPR uyum (ek olarak Avrupa müşterileri için).
  • ISO 27001 — bilgi güvenliği yönetim sistemi.
  • SOC 2 Type II.
  • HIPAA (sağlık sektörü için Business Associate Agreement BAA).
  • BDDK (bankacılık) — Microsoft 2024'te Türkiye'de BDDK uyum şablonu yayınladı.

Compliance Manager üzerinden tek panelden "Copilot kullanımının KVKK uyumu nedir?" sorusu yanıtlanır + eksik kontrol önerisi alınır.

7. Audit Logs — Tüm Copilot Etkileşimi Kaydı

Microsoft Purview Audit (Standard/Premium) Copilot tüm kullanım verisini kayıt altına alır:

  • Kullanıcı X tarihinde Y dosyaya Copilot ile erişti.
  • Hangi promptu sordu (içerik anonimize edilebilir).
  • Copilot hangi kaynaklardan yanıt üretti.
  • Yanıt kullanıcıya ne zaman gösterildi.
  • Yanıt üzerinde hangi aksiyon alındı (kopyala/paylaş/sil).

Audit Premium (M365 E5 dahili) 1 yıl saklama. Audit Standard (E3 dahili) 90 gün. KVKK Madde 12 kapsamında veri işleme kayıtlarının saklanma süresi düzenleyicidir — kurumunuza özel saklama politikası tasarlamak gerekebilir.

8. KVKK Veri Koruma Etki Değerlendirmesi (VKED)

KVKK Veri Sorumlusu çerçevesinde yapay zeka kullanımı yüksek risk faaliyet olarak değerlendirilebilir. Bu durumda VKED (Veri Koruma Etki Değerlendirmesi) hazırlanmalıdır.

Microsoft 365 Copilot için tipik VKED içeriği:

  1. İşleme amacı: Bilgi işçilerine üretkenlik AI asistanı sağlamak.
  2. Veri türleri: İş ve kişisel veriler — e-posta, takvim, dosya içeriği, sohbet.
  3. Hukuki dayanak: Sözleşmeden doğan zorunluluk + meşru menfaat (verimlilik).
  4. Veri ikametgâhı: EU Data Boundary aktif, AB içinde.
  5. Üçüncü taraf: Microsoft Ireland Operations Ltd (Veri İşleyen).
  6. Risk değerlendirmesi: Şirket içi veri erişimi sınırlı (Microsoft Graph izin yapısına bağlı). AI eğitimi yapılmaz. Sızıntı riski DLP + Sensitivity Label ile yönetilir.
  7. Önlemler: Sensitivity Label, DLP, Conditional Access, Customer Lockbox, Audit Premium.
  8. İlgili kişi hakları: Veri erişim, silme, düzeltme talepleri Microsoft Purview Subject Rights Requests modülüyle yönetilir.

VKED hazırlığı için Microsoft'un Türkçe KVKK uyum şablonları + örnek metinleri Microsoft Türkiye CSP partner'leri üzerinden temin edilebilir.

9. Pratik Uygulama Adımları

Adım 1: EU Data Boundary Aktivasyonu

M365 Admin Center → Organization Settings → Microsoft Customer Agreement → Data Residency. Yeni tenant ise zaten EU. Eski tenant ise CSP partner ile migrasyon talebi.

Adım 2: Sensitivity Label Politikası

Microsoft Purview Information Protection → Labels. Şirketinize özel 4-5 etiket: Genel, Dahili, Gizli, Sırasal, Restricted. Etiketler otomatik öneri + manuel atama olarak yapılandırılır.

Adım 3: DLP Politikası

Purview DLP → Policies → Yeni politika. Türk Kimlik Numarası, IBAN, kredi kartı için pre-built template'ler mevcut. Copilot çıktısı kapsamına alın.

Adım 4: Conditional Access

Entra ID → Conditional Access → Yeni policy. Şirket cihazı + Türkiye lokasyonu dışında MFA + Compliant cihaz zorunlu. Copilot lisanslı kullanıcılara uygulayın.

Adım 5: Audit Premium Aktivasyonu

M365 E5 değilseniz add-on olarak Audit Premium ekleyin (~$1.10/kullanıcı/ay). 1 yıl saklama + advanced search.

Adım 6: VKED Hazırlığı

KVKK Veri Sorumlusu sürecinizde Microsoft Copilot kullanımını VKED dokümanına ekleyin. Hukuk müşaviri + Veri Koruma Görevlisi (DPO) ile gözden geçirin.

Adım 7: Kullanıcı Onayı + Eğitim

Pilot grubu kullanıcılarına KVKK aydınlatma metni — Copilot'un nasıl çalıştığı, hangi verilere erişimi, kullanıcı haklarının nasıl talep edileceği. Türkçe pilot eğitiminde dahil edilir.

Sıkça Sorulan Sorular

Microsoft Copilot kullanıyorsam KVKK uyumlu mu?

Microsoft'un teknik altyapı + sözleşme katmanı KVKK uyumludur. Ama kurumunuzun Microsoft Copilot kullanımının KVKK uyumlu olması kurumun yapılandırmasına bağlıdır — Sensitivity Label, DLP, EU Data Boundary, Conditional Access ve VKED kombinasyonu gerekir.

BDDK regülasyonu altındaki banka için uygun mu?

Evet — Microsoft 2024'te BDDK uyum şablonu yayınladı. M365 Copilot + E5 (Defender + Purview) + Customer Lockbox + Audit Premium kombinasyonu BDDK gereksinimlerini karşılar. Sözleşme + VKED hazırlığı için CSP partner danışmanlığı önerilir.

EU Data Boundary aktif mi, nereden öğrenirim?

M365 Admin Center → Organization Settings → Data Residency. "European Union" ibaresi varsa aktif. Değilse CSP partner üzerinden migrasyon başlatın — genelde 4-8 hafta sürer.

Bireysel Copilot (Pro) KVKK uyumlu mu?

Microsoft Copilot Pro (bireysel/aile, $20/ay) kurumsal KVKK uyumu için tasarlanmadı. Şirket verisinde kullanılmamalıdır. Kurumsal kullanım için M365 Copilot ($30) veya Copilot Business ($22) gerek.

Microsoft personeli verilerimi görebilir mi?

Sadece Customer Lockbox onayı ile — sizin admin'iniz onaylamadıkça hayır. Microsoft personeli Copilot etkileşim verilerine erişmek için sıkı süreçten geçer (background check + access logs). Verilerin AI eğitiminde kullanılmadığı sözleşmeyle güvence altındadır.

Hukuk müvekkil sırrı (avukat-müvekkil ayrıcalığı) Copilot'ta korunur mu?

Evet — Sensitivity Label "Sırasal" veya "Avukat-Müvekkil Ayrıcalığı" özel etiketi ile dosyalar işaretlenirse Copilot erişimini ona göre yönetir. Türkiye Barosu için Microsoft özel rehber yayınladı (2024).

Veri silme talebi (KVKK Madde 11) nasıl işlenir?

Microsoft Purview Subject Rights Requests modülü — kullanıcı veri silme talep ettiğinde Copilot etkileşim verisi dahil tüm M365 verisi otomatik tespit edilip silinir. KVKK Madde 11 (İlgili Kişinin Hakları) süreci 30 gün içinde tamamlanır.

Audit Premium olmadan compliance mümkün mü?

Audit Standard (E3 dahili) 90 gün saklama yeterlidir genel kurumsal kullanımda. Regülasyon altındaki sektörler (finans, sağlık) için Audit Premium (1 yıl) önerilir. KVKK İlgili Kişinin Hakları talep süreçleri için en az 30 gün audit log gerek.

Fiyat Hesaplama

İşletmeniz için en uygun Microsoft 365 planını ve maliyetini öğrenin

Fiyat Hesapla

Danışmanlık

Microsoft 365 hakkında sorularınız mı var?

0216 344 15 59

Kategoriler

Tüm Yazılar