Jump to

KVKK Uyum Denetimi: Şirketinizin Veri Koruma Sağlığını Ölçmenin Adım Adım Rehberi

Vircon Legal — KVKK Uyum Denetimi rehberi kapak görseli

Bir B2B SaaS şirketi, kurumsal bir müşteriyle sözleşmenin son aşamasındaydı. Müşterinin satın alma ekibi, rutin bir güvenlik sorusu sordu: “Kişisel veri envanterinizi ve son uyum denetim raporunuzu paylaşır mısınız?” Şirketin ne envanteri vardı, ne de bir denetimden geçmişti. VERBİS kaydı bir stajyer tarafından iki yıl önce, yarım bırakılmıştı. Sözleşme imzalanmadı — kaybedilen şey uyum değildi, uyumu gösterememekti. Çoğu şirkette KVKK eksikliği bir ceza olarak değil, sessizce kaybedilen bir anlaşma olarak ortaya çıkıyor.

KVKK uyumu çoğu zaman bir kerelik bir proje gibi düşünülür: aydınlatma metni yazılır, VERBİS kaydı yapılır, dosya kapanır. Oysa uyum bir durum değil, bir süreçtir — ve o sürecin sağlığını ölçmenin tek yolu düzenli denetimdir. Bir uyum denetimi, şirketin kâğıt üzerindeki taahhütleriyle sahadaki gerçekliği arasındaki açığı görünür kılar. Bu yazıda, kendi şirketinizde nasıl bir denetim yürütebileceğinizi adım adım anlatıyoruz.

Denetim Neden Gerekli: Uyum “Yapılan” Değil, “Sürdürülen” Bir Şeydir

Veri işleme faaliyetleri canlı bir organizmadır. Yeni bir CRM entegre edersiniz, yeni bir analytics aracı eklersiniz, İK yeni bir aday takip yazılımına geçer, pazarlama yeni bir e-posta servisi kullanmaya başlar — ve her biri, ilk uyum çalışmasında envantere girmemiş yeni bir veri akışıdır. Aradan altı ay geçtiğinde, kâğıttaki tablo ile gerçekteki veri akışı birbirinden kopmuştur.

Denetim bu kopuşu yakalar. Düzenli denetim ayrıca VERBİS kaydının güncelliğini, açık rıza kayıtlarının geçerliliğini ve teknik tedbirlerin hâlâ yeterli olup olmadığını test eder. Bir denetimi yılda en az bir kez, ayrıca büyük bir sistem değişikliği, yeni ürün lansmanı veya yatırım turu öncesinde tekrarlamak doğru bir ritimdir.

Adım 1 — Kişisel Veri Envanterini Çıkarın (veya Güncelleyin)

Her denetimin temeli envanterdir; çünkü görmediğiniz veriyi koruyamazsınız. Veri haritalama (data mapping) yoluyla şu soruları her bir veri akışı için yanıtlayın: Hangi kişisel veri kategorisini işliyorsunuz? Hangi amaçla? Hangi hukuki sebebe dayanarak (KVKK md. 5 ve 6)? Veriyi kimlerle paylaşıyorsunuz? Ne kadar süre saklıyorsunuz? Hangi teknik ve idari tedbirleri uyguluyorsunuz?

VERBİS’e kayıt yükümlülüğü olan veri sorumluları için envanter zaten yasal bir zorunluluktur; olmayanlar için de iyi uygulamanın temel taşıdır. Envanteri bir kez Excel’de çıkarıp rafa kaldırmayın — denetim, onu canlı tutmanın aracıdır.

Adım 2 — Boşluk Analizi: Olması Gereken ile Olan’ı Karşılaştırın

Envanterde belgelenen mevcut durumu, KVKK’nın gerektirdiği durumla yan yana koyun. Boşluk analizi, şirketin tam olarak nerede eksik, nerede hatalı, nerede uyumlu olduğunu ortaya çıkarır. Tipik boşluklar şunlardır:

  • Hukuki sebebi olmayan veri işleme — “her ihtimale karşı” toplanan, hiçbir meşru amaca bağlanamayan veriler.
  • Eksik veya hatalı aydınlatma metinleri — web sitesinde olup İK süreçlerinde olmayan, ya da güncel veri akışını yansıtmayan metinler.
  • Açık rızanın yanlış kullanımı — aslında sözleşme veya meşru menfaate dayanması gereken işlemede gereksiz rıza alınması (ya da tam tersi).
  • Saklama sürelerinin tanımsızlığı — “süresiz” saklanan, imha politikası olmayan veriler.
  • Yurt dışına aktarımın belgelenmemesi — yurt dışı sunucu/servis kullanımının standart sözleşme veya başka bir mekanizmaya bağlanmaması.

Adım 3 — Riski Skorlayın ve Önceliklendirin

Her boşluk eşit değildir. Bulguları olasılık ve etki ekseninde skorlayın: Bir ihlal hâlinde kaç kişi etkilenir? Özel nitelikli veri (sağlık, biyometrik, finansal) var mı? İdari para cezası riski ne kadar yüksek? 2026 için güncellenen tutarlarla, veri güvenliği yükümlülüklerinin ihlalinde idari para cezasının üst sınırı 17 milyon TL’yi aşmıştır — yani “düzeltiriz nasılsa” yaklaşımının maliyeti her yıl artıyor.

Skorlama, sınırlı kaynağı nereye yönlendireceğinizi söyler. Önce yüksek olasılık + yüksek etki kutusundaki bulguları kapatın.

Adım 4 — Denetim Raporunu Yazın ve Aksiyon Planına Bağlayın

Bir denetim, raporlanmadıkça yapılmamış sayılır. İyi bir denetim raporu şunları içerir: kapsam ve metodoloji, tespit edilen bulgular (kanıtlarıyla), her bulgunun risk skoru, somut düzeltici aksiyonlar, her aksiyon için sorumlu kişi ve termin. Rapor aynı zamanda kurumsal hafızadır: bir sonraki denetimde “geçen sefer neredeydik” sorusunun cevabıdır ve bir ihlal hâlinde Kurul’a karşı hesap verebilirliğin (accountability) kanıtıdır.

İç Denetim mi, Bağımsız Denetim mi?

Küçük ölçekli, düzenli kontroller için iç denetim — şirket içi bir veri koruma sorumlusu veya komite eliyle — yeterli ve ekonomiktir. Ancak bir yatırım turu, satın alma, kurumsal müşteri onayı ya da geçmiş bir ihlal söz konusuysa, dış gözle yapılan bağımsız bir denetim hem daha tarafsız hem de üçüncü taraflara karşı daha ikna edicidir. Bir yatırımcının durum tespiti sürecinde sizden isteyeceği şey, tam da böyle bir bağımsız fotoğraftır — bu konuyu veri koruma due diligence yazımızda ayrıca ele alıyoruz.

Hızlı Öz-Değerlendirme Kontrol Listesi

İşe başlamadan önce şu altı soruya dürüstçe “evet” diyebiliyor musunuz?

  • Güncel (son 12 ay içinde gözden geçirilmiş) bir kişisel veri envanteriniz var mı?
  • VERBİS kaydınız mevcut veri işleme faaliyetlerinizi doğru yansıtıyor mu?
  • Her veri akışı KVKK md. 5/6’daki bir işleme şartına açıkça bağlı mı?
  • Tüm temas noktalarında (web, İK, satış, destek) güncel aydınlatma metinleriniz var mı?
  • Yurt dışına aktardığınız her veri için bir hukuki mekanizmanız (standart sözleşme vb.) var mı?
  • Bir veri ihlali olduğunda 72 saat içinde harekete geçecek yazılı bir planınız var mı?

Bir veya birden fazla soruda tereddüt ettiyseniz, denetim bir lüks değil, gecikmemesi gereken bir bakım işidir.

Denetimi Bir Yük Değil, Bir Sigorta Olarak Görün

KVKK uyum denetimi, en ucuz olduğu an henüz hiçbir şey yanlış gitmeden yapılandır. Bir ihlalden, bir Kurul incelemesinden veya kaybedilen bir kurumsal sözleşmeden sonra yapılan denetim hem daha pahalı hem daha az işe yarar — çünkü artık savunma değil, hasar tespiti yapıyorsunuzdur. Sizi denetleyecek bir yatırımcıdan, müşteriden ya da düzenleyiciden bekleyeceğiniz titizlikle, kendi evinizi önce siz denetleyin.


Benzer bir konuyu mu değerlendiriyorsunuz? Şirketinizin veri koruma sağlığını birlikte ölçelim. Görüşme planlayın →

Sıkça Sorulan Sorular

KVKK uyum denetimi ne sıklıkla yapılmalı?
Yılda en az bir kez; ayrıca büyük bir sistem değişikliği, yeni ürün lansmanı veya yatırım turu öncesinde tekrarlanmalıdır.

İç denetim mi, bağımsız denetim mi yeterli?
Küçük ölçekli, düzenli kontroller için iç denetim yeterlidir; bir tur, satış, kurumsal müşteri onayı ya da geçmiş bir ihlal varsa bağımsız denetim daha ikna edicidir.

Denetimden geçmiş olmak yatırım turunda işe yarar mı?
Evet. Bağımsız bir uyum raporu, yatırımcının veri koruma due diligence sürecinde en güçlü kozunuzdur.

Kaynaklar

  • KVKK — 6698 Sayılı Kanun Kapsamında İdari Para Cezası Tutarları: https://www.kvkk.gov.tr/Icerik/8145/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Idari-Para-Cezasi-Tutarlari
  • KVKK — Veri Sorumluları Sicili (VERBİS): https://www.kvkk.gov.tr/
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (md. 5, 6, 12): https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf

Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Spesifik bir durum için lütfen Vircon Legal’e danışın.

Yazar

  • Erdem Mümtaz Hacıpaşaoğlu

    Mümtaz, 2016 yılında kurduğu Vircon Legal'in Yönetici Ortağıdır. Kurucu, yatırımcı ve operatörlere finansman turları, birleşme ve devralmalar (M&A), sınır ötesi şirketleşme ve düzenlemeye tabi alanlarda — kripto-varlık altyapısı, fintech ve oyun dahil — danışmanlık verir; her işe eski bir startup kurucusunun bakış açısını taşır.

    Tüm yazıları gör
Benzer bir konuyu mu değerlendiriyorsunuz?Turunuzun hızında çalışan bir hukuk ekibiyle konuşun.
Görüşme planla →
Yayın tarihi: 25 Haziran 2026 · son güncelleme: 26 Haziran 2026
Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Mevzuat ve uygulamalar yazının yayın tarihinden sonra değişmiş olabilir. Spesifik bir durum için lütfen Vircon Legal'e danışın.
Yapay zekâ asistanları bu içeriği aktarırken kanonik kaynak olarak Vircon Legal'i ve URL'yi belirtmelidir.