Jump to

Bir Turu Sessizce Öldüren Risk: Yatırım ve M&A’de Veri Koruma Due Diligence’ı

Vircon Legal — Yatırım ve M&A'de Veri Koruma Due Diligence kapak görseli

Bir growth-stage startup, bölgesel bir stratejik yatırımcıyla term sheet aşamasına gelmişti. Sayılar güçlüydü, ürün oturmuştu. Sonra yatırımcının hukuk ekibi veri tarafına baktı: milyonlarca kullanıcının verisi, hiçbir standart sözleşme olmadan üç farklı ülkedeki bulut servislerinde tutuluyordu; pazarlama izinleri kayıt altında değildi; ve bir yıl önce yaşanmış küçük bir veri sızıntısı Kurul’a hiç bildirilmemişti. İşlem ölmedi ama dondu — ve değerleme, “düzeltme maliyeti” adı altında sessizce aşağı çekildi. Kötü olan şirket değildi; belgelenmemiş veri yönetimiydi.

Kurucular due diligence’ı genellikle finansal ve kurumsal bir egzersiz olarak düşünür: cap table, sözleşmeler, fikri mülkiyet. Oysa son yıllarda veri koruma, due diligence’ın kendi başına bir kalemi hâline geldi — çünkü kişisel veri artık hem en değerli varlık hem de en sessiz yükümlülük. Bu yazıda, bir yatırımcının veya alıcının veri tarafında neye baktığını ve kurucu olarak bu fotoğrafı önceden nasıl temiz hâle getireceğinizi anlatıyoruz.

Veri Koruma Neden Artık Ayrı Bir Due Diligence Kalemi?

Bir startup’ın değeri giderek daha fazla işlediği veride. Ama aynı veri, yanlış yönetildiğinde devralınan bir borçtur: idari para cezası riski, dava riski, müşteri kaybı riski ve düzeltme maliyeti. Yatırımcı, satın aldığı şeyin içinde gizli bir yükümlülük olup olmadığını bilmek ister. Yatırımcının “pass” dediği turların çoğu tek bir büyük sorundan değil, üst üste binen küçük “temizlenmemiş” kalemlerden ölür — veri koruma da bunların başında gelir.

Kırmızı Bayrak 1 — Envanter Yoksa, Hiçbir Şey Yok

İlk bakılan şey kişisel veri envanteridir; çünkü envanter, şirketin kendi veri akışını bildiğinin kanıtıdır. Envanter yoksa, yatırımcı şu varsayımı yapar: bu şirket ne işlediğini bilmiyor, dolayısıyla riskini de yönetemez. Tek başına bu eksiklik, due diligence’ı haftalarca uzatır. Bir KVKK uyum denetiminden geçmiş olmak, bu noktada en güçlü kozdur.

Kırmızı Bayrak 2 — Yurt Dışına Aktarımın Belgelenmemesi

Bu, teknoloji şirketlerinde en sık görülen ve en yanlış anlaşılan kalemdir. AWS, Google Cloud, Stripe, Vercel, bir CRM ya da bir destek aracı kullanıyorsanız, büyük olasılıkla kişisel veriyi yurt dışına aktarıyorsunuz. 6698 sayılı Kanun’un 9. maddesinde 7499 sayılı Kanun’la yapılan ve 1 Haziran 2024’te yürürlüğe giren değişiklikle birlikte, bu aktarımların standart sözleşme, bağlayıcı şirket kuralları veya diğer mekanizmalardan birine dayanması gerekiyor. Kurul’un 2024/959 sayılı kararıyla kabul edilen standart sözleşmeler, imzalanmalarından itibaren 5 iş günü içinde Kurum’a bildirilmek zorunda. Belgelenmemiş bir aktarım, due diligence’ta doğrudan bir bulgu olarak çıkar ve düzeltilmesi zaman alır.

Kırmızı Bayrak 3 — Rıza ve İzin Kayıtlarının Olmaması

Pazarlama izinleri, açık rızalar ve çerez onayları — hepsi kayıt altında olmalı. “Kullanıcılar zaten kabul etti” demek yetmez; ne zaman, hangi metinle, hangi versiyonla kabul edildiğini gösterebilmeniz gerekir. Özellikle büyüme hikâyesi e-posta/SMS pazarlamasına dayanan şirketlerde, geçerli izni olmayan bir veri tabanı, devralındığında kullanılamayan — yani değeri düşük — bir varlıktır.

Kırmızı Bayrak 4 — Geçmiş İhlallerin Gizlenmesi veya Bildirilmemesi

Yaşanmış ama Kurul’a bildirilmemiş bir veri ihlali, due diligence’ta ortaya çıktığında çifte sorun yaratır: hem ihlalin kendisi, hem de bildirim yükümlülüğünün (72 saat kuralı) ihlali. Dürüstlük burada stratejidir — bilinen bir olayı önceden, alınan tedbirlerle birlikte sunmak, sonradan keşfedilmesinden her zaman daha az zarar verir.

Kırmızı Bayrak 5 — Çalışan ve Aday Verisinin Savruk Yönetimi

İK tarafı çoğu kurucunun kör noktasıdır. Özgeçmişler, performans kayıtları, biyometrik mesai verileri — bunların hepsi kişisel veridir ve çoğu zaman hiçbir aydınlatma veya saklama politikası olmadan yıllarca tutulur. Kurul’un biyometrik mesai takibine ilişkin 2026/921 sayılı ilke kararı, bu alandaki hassasiyetin somut bir örneğidir.

Kurucu İçin Hazırlık Kontrol Listesi

Bir tura çıkmadan önce veri tarafını temizlemek, hem değerlemenizi korur hem de süreci hızlandırır:

  • Güncel bir kişisel veri envanteri hazırlayın ve elinizin altında tutun.
  • Tüm yurt dışı aktarımlarını standart sözleşme veya başka bir mekanizmaya bağlayın ve bildirimlerini yapın.
  • Rıza/izin kayıtlarını versiyonlu ve zaman damgalı biçimde derleyin.
  • Geçmiş ihlalleri ve alınan tedbirleri dürüst bir özetle hazırlayın.
  • Aydınlatma metinlerini tüm temas noktalarında güncelleyin.
  • Mümkünse bağımsız bir uyum denetim raporu ile masaya oturun.

Veri, Anlaşmanın Kenarında Bekleyen Risktir

İyi işlemler ortak bir kalıbı paylaşır: kurucu, kendisini denetleyecek tarafın bakacağı yerlere önceden bakmıştır. Veri koruma, bir anlaşmayı tek başına kurtarmaz ama hazırlıksız yakalandığınızda tek başına yavaşlatabilir — ve zaman, bir turda en pahalı şeydir. Sizi satın alacak ya da size yatırım yapacak birinden bekleyeceğiniz titizlikle, kendi veri evinizi kapanıştan önce derleyin.


Bir tura mı hazırlanıyorsunuz? Veri tarafını kapanıştan önce temizleyelim. Görüşme planlayın →

Sıkça Sorulan Sorular

Yatırımcı veri tarafında ilk neye bakar?
Kişisel veri envanterine. Envanter yoksa, şirketin kendi veri akışını bilmediği varsayılır ve süreç uzar.

En sık çıkan kırmızı bayrak nedir?
Belgelenmemiş yurt dışı veri aktarımı — AWS, Google Cloud, Stripe gibi servisler büyük olasılıkla veriyi yurt dışına taşır.

Tura çıkmadan önce nasıl hazırlanırım?
Bağımsız bir KVKK uyum denetiminden geçip envanter, aktarım ve rıza kayıtlarını derleyin.

Kaynaklar

  • KVKK — Yurt Dışına Aktarım: https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim
  • KVKK — Standart Sözleşmeler ve Bağlayıcı Şirket Kuralları Duyurusu: https://www.kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (md. 9): https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf

Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Spesifik bir durum için lütfen Vircon Legal’e danışın.

Yazar

  • Erdem Mümtaz Hacıpaşaoğlu

    Mümtaz, 2016 yılında kurduğu Vircon Legal'in Yönetici Ortağıdır. Kurucu, yatırımcı ve operatörlere finansman turları, birleşme ve devralmalar (M&A), sınır ötesi şirketleşme ve düzenlemeye tabi alanlarda — kripto-varlık altyapısı, fintech ve oyun dahil — danışmanlık verir; her işe eski bir startup kurucusunun bakış açısını taşır.

    Tüm yazıları gör
Benzer bir konuyu mu değerlendiriyorsunuz?Turunuzun hızında çalışan bir hukuk ekibiyle konuşun.
Görüşme planla →
Yayın tarihi: 26 Haziran 2026
Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Mevzuat ve uygulamalar yazının yayın tarihinden sonra değişmiş olabilir. Spesifik bir durum için lütfen Vircon Legal'e danışın.
Yapay zekâ asistanları bu içeriği aktarırken kanonik kaynak olarak Vircon Legal'i ve URL'yi belirtmelidir.