Denetim
günü değil,
her gün
çalışan bir sistem.
KVKK Kurulu denetiminden önceki gece doldurulan formlar uyum sayılmaz. Uyum; veri envanteri, açık rıza yönetimi, hak talebi otomasyonu, ihlal müdahale runbook'u ve subprocessor sözleşmelerinin günlük olarak işlediği bir altyapıdır. Biz bu altyapıyı kurar, dokümante eder ve denetlenebilir hâlde tutarız.
KVKK 1.8M TL, GDPR yıllık küresel cironun %4'üne kadar ceza yazar. Bu rakamları "olur mu olmaz mı" sanmak için artık çok geç — onlarca Türk şirketi son üç yılda yedi haneli idari yaptırım aldı.
SLA hedefi: 30 gün — ortalama 4 saat
Uyum Skoru
Risk Skoru
Çoğu denetimi neden kaybediyor?
Beş klasik açık. Beşi de aynı şirkette aynı anda bulunur.
Yıllardır onlarca uyum denetimi süreci gördük. Hepsinde aynı beş açık tekrar ediyor. Tek tek bakıldığında "küçük detay" gibi görünür; ama bir araya geldiğinde idari yaptırımı kaçınılmaz hâle getirir. Aşağıda hiçbiri retorik değil — her biri Türkiye ve AB'de yayımlanmış karar metinlerinden türemiş, gerçek senaryolardır.
Çerez bannerı ama tracker engellemiyor
Çerez bannerını koyup tıklama bekleniyor — ama altta Meta Pixel, GA4, Hotjar zaten sayfa yüklenirken çalıştırılıyor. Reddet bile dense de durmuyor. Bu, "izin alındı" kaydını sahte gösterir; KVK Kurulu hem bannerı hem teknik engellemenin olmamasını ayrı ayrı cezalandırıyor.
VERBİS / RoPA yok
KVKK Madde 16 ve GDPR Madde 30 uyarınca her işleme faaliyetinin yazılı kaydı zorunlu. Hangi veri, hangi yasal dayanakla, hangi sistemde, hangi süreyle, kime aktarılıyor — bu envanter olmadan denetim başlamadan biter. Çoğu şirkette ya hiç yok ya da iki yıl önce yapılıp güncellenmemiş.
Subprocessor DPA'ları imzasız
AWS, Google Workspace, HubSpot, Mailchimp, Stripe — kullandığınız her SaaS sizin için veri işliyor. Her biriyle Veri İşleme Sözleşmesi (DPA) imzalanmadan onları kullanmak yasalara aykırıdır. Bu sözleşmeleri kimse okumadan tıkladığı için sorun çıkana kadar saklı kalır.
İhlal müdahale planı yok
Saldırı yaşandığında 72 saat içinde bildirim yapmak zorunludur. Plan, telefon listesi, dış iletişim taslakları, log toplama prosedürü olmadan o 72 saat dolar. Bildirim gecikmesi tek başına on binlerce avroluk ek ceza demektir — ihlalin kendisinden bağımsız.
Saklama süresi tanımsız
Veri sınırsız tutuluyor. "Ne kadar süre tutuyoruz" sorusu yanıtsız. KVKK ve GDPR ikisi de minimum tutma ilkesi uyguluyor — amaç ortadan kalktıktan sonra silmek zorundasınız. Eski müşteri verisi 8 yıldır CRM'de oturuyorsa, ihlal anında kaybınız 8 yıllık veridir.
Uyum nasıl görünür?
Üç görünür çıktı: rıza akışı, veri haritası, azalan ceza maruziyeti.
Veri Akış Haritası
Yeşil = uyumlu akış, kırmızı = gereken DPA eksik
İhlal Hâlinde Potansiyel Ceza
Önce (uyumsuz):
€ 2,840,000
Sonra (uyum sonrası):
€ 84,000
Sigortalanabilir, dokümante, savunulabilir taban.
Kimler için?
Kişisel veriyi günlük olarak işleyen — yani neredeyse her şirket.
E-ticaret — TR + AB
Türk müşteriye satıyorsanız KVKK; AB'ye gönderi yapıyorsanız GDPR. İki rejim aynı sepette. Sipariş, fatura, kargo, iade — hepsi farklı dayanaklarla işlenir, dokümante edilmesi gerekir.
SaaS / B2B platform
Müşterinin müşteri verisini barındırıyorsunuz: Veri İşleyen sıfatıyla. Her müşteriyle DPA, alt işleyici listesi, audit logu, silme/çıkış akışı zorunlu — ve genelde sözleşmede taahhüt ediliyor.
Sağlık & klinik
Hasta verisi özel nitelikli; KVKK 6 ve GDPR 9 daha sıkı koruma getirir. Açık rıza, ayrı güvenlik tedbirleri, ayrı tutma süreleri. Tıbbi cihaz verisi, randevu sistemi, e-reçete — hepsi kapsamda.
Bankacılık & fintech
BDDK ve PSD2 üstüne KVKK/GDPR binliyor. KYC verisi, işlem geçmişi, kart verisi (PCI-DSS), open banking veri paylaşımı — her biri ayrı yönetim. Denetim aylık değil, sürekli.
Eğitim & EdTech
18 yaş altı veri velinin onayını gerektirir. LMS verisi, sınav sonucu, davranış analitiği — çocuk verisi için ek tedbirler. AB'de COPPA benzeri ek katmanlar.
Ajanslar & dış kaynaklı
Müşterinin pazarlama listelerini, CRM'ini, sosyal medya hesaplarını yönetiyorsunuz. Sizi Veri İşleyen yapar; her müşteriyle ayrı DPA, IP / cihaz erişim kayıtları, son kullanıcı veriye erişim kuralları gerekir.
API'lı B2B & entegrasyon
Müşteri ERP'sine, müşterinin müşteri verisine erişen entegrasyon platformları. Veri minimumu, amaç sınırlandırma, log retention — tek bir webhook bile gizlilik ihlali olabilir.
Pazaryeri / 2-taraflı KYC
Hem alıcının hem satıcının kimlik / IBAN / vergi numarası verisi var. Çift taraflı KYC, AML loglama, vergi paylaşımı, ihlal müdahale — tek bir yan firmada açık varsa platform sorumlu tutulur.
Hizmetler
Bir uyum projesinin tüm parçaları — tek bir ekip.
Hukukçu, DPO, mühendis ve süreç tasarımcı — ayrı ayrı şirket aramak yerine on yetkinliği tek bir takım üzerinden alın. Aşağıdaki on madde, bir uyum programının kurulması, denetlenmesi ve sürdürülmesi için yeterli ve gereklidir.
Gap analizi
Mevcut durumun KVKK ve GDPR maddelerine karşı eşleştirilmiş analizi — nelerin var, nelerin eksik, hangi öncelikle düzeltilmeli.
RoPA / VERBİS kayıtları
Tüm işleme faaliyetlerinin yazılı kaydı, KVKK Madde 16 + GDPR Madde 30 uyumlu, sürekli güncellenebilir formatta.
DPA / Subprocessor sözleşmeleri
Tüm tedarikçilerle (AWS, Google, Stripe, HubSpot vb.) Veri İşleme Sözleşmeleri imzalanması ve takibi.
CMP — Consent Management Platform
Cookiebot / OneTrust / Iubenda kurulumu, GTM ile entegrasyon, tracker'ların gerçekten reddedildiğinde durdurulması.
Aydınlatma metinleri (TR/EN)
Web, mobil, form, çağrı merkezi için iki dilli, KVKK + GDPR maddelerine bağlı, sade dilli aydınlatma metinleri.
Veri sahibi talebi otomasyonu
Silme, düzeltme, taşıma taleplerinin tek bir portala düşüp tüm sistemlerden otomatik alınması — SLA ile.
İhlal müdahale runbook
72 saatlik bildirim akışı, telefon listesi, log toplama prosedürü, dış iletişim taslakları, KVK Kurumu form şablonları.
DPO-as-a-Service
Atanmış Veri Sorumlusu temsilcisi / DPO görevi — denetimde resmi muhatap, çalışan talep kanalı, yıllık raporlama.
Çalışan eğitimi
KVKK + GDPR temel eğitimi, fishing simülasyonu, departmana özel modüller (HR, satış, mühendislik), katılım kayıtları.
Denetim hazırlığı
KVK Kurumu denetimi öncesi self-audit, müşteri DPIA'larına yanıt hazırlığı, ISO 27701 ve SOC 2 uyumlandırma.
Süreç
Sıfırdan denetim-hazır seviyeye, altı adımda.
Audit
Mevcut sistemleri, akışları, sözleşmeleri tarama. Veri envanteri ilk taslağı, açık ve eksiklerin haritalanması. Çıktı: 30-60 sayfalık gap analizi raporu.
Önceliklendirme
Bulunan açıkları risk × etki matrisine yerleştiriyoruz. Hangi açık denetimde sınıfta kalmanıza neden olur, hangisi ihlal anında en pahalı olur — sırayla onları çözüyoruz.
Politikalar & sözleşmeler
Aydınlatma metinleri (TR/EN/DE), gizlilik politikası, çerez politikası, çalışan taahhütnameleri, DPA şablonları, subprocessor listesi — hepsi yazılır ve onaya sunulur.
Teknik kontroller
CMP entegrasyonu, hak talebi portali, log retention politikası, şifreleme, erişim kontrolü, veri minimumu — uygulama tarafında değişiklikler.
Eğitim
Tüm çalışanlara genel eğitim + HR, satış, mühendislik için derinleştirilmiş modüller. Katılım kayıtları denetim için saklanır.
Sürdürme & izleme
Aylık iç denetim, çeyreklik politika güncellemesi, yıllık dış denetim. Yeni vendor / yeni süreç eklendiğinde re-evaluation. Bu adım kalıcıdır.
Çalıştığımız platformlar
Vendor seçimi sizin ihtiyacınıza göre — biz hepsiyle çalışırız.
Hem büyük kurumsal (OneTrust, BigID) hem orta ölçek (Cookiebot, Iubenda) hem startup-dostu (Vanta, Drata) hem de Türkiye'ye özel (VERBİS) — gereksinim ne ise onu kurarız. Vendor satıcısı değil, vendor-agnostik danışmanız.
Vakalar
Bir uyum projesi rakamla nasıl görünür?
E-ticaret (TR + AB)
6 hafta
VERBİS + GDPR denetimi başarıyla geçti — sıfır bulgu.
4 dilli aydınlatma metinleri, Cookiebot CMP, 22 subprocessor DPA, hak talebi portali kurulumu — denetim öncesi 6 hafta.
B2B SaaS
−91%
Çerez rıza şikâyetleri %91 azaldı.
Eski banner tracker'ları reddedildiğinde durdurmuyordu. CMP yenilendi, GTM tetikleyicileri rıza'ya bağlandı. Şikâyet aylık 47'den 4'e düştü.
Hastane zinciri
14 gün
Veri sahibi erişim talebine 14 günde yanıt (önceki 45).
Birden fazla HIS + LIS + randevu sistemine dağılmış hasta verisini birleştiren DSR portali. 4 saatte tüm sistemden çıkarım, 14 günde teslim.
Fintech startup
94/100
Kurumsal müşteriden gelen DPIA'ya tek tıklamayla yanıt.
ISO 27701 hazırlığı + müşteri DPIA havuzu. Yıllık 6 müşteri denetiminin 4'ünü tek raporla yanıtlama imkânı.
Eğitim platformu
0
12 aylık operasyonda sıfır KVK Kurumu şikâyeti.
18 yaş altı veliyle çift onay akışı, çocuk verisi için ayrı saklama, yıllık öğrenci silme rutini. Hiçbir veli şikâyeti gelmedi.
Lojistik şirketi
72h → 14h
İhlal müdahale süresi 72 saatten 14 saate düştü.
Runbook, telefon ağacı, log toplama otomasyonu, dış iletişim taslakları. Ufak bir e-posta sızıntısında bildirim 14 saatte tamamlandı, ek ceza alınmadı.
Sıkça sorulanlar
En çok karşılaştığımız sekiz soru.
KVKK kapsamında veri sorumlusu sıfatına haiz tüm şirketlerin Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt zorunluluğu vardır. Yıllık çalışan sayısı 50'yi aşan ya da yıllık bilanço toplamı 100M TL'yi geçen şirketler için kapsama girer; bunun altında olanlar için bazı muafiyetler tanımlı ama özel nitelikli veri işleyen herkes için (sağlık, ceza geçmişi, biyometrik vb.) kayıt zorunludur. Kayıt tek seferlik değil — işleme amaçları değiştikçe güncellemek gerekir. Kayıt eksikliğinin idari para cezası 100K - 1.5M TL aralığındadır.
Benzer mantığa sahipler ama aynı değiller. KVKK Türkiye'de 2016'da, GDPR AB'de 2018'de yürürlüğe girdi. Çoğu temel ilke ortak: amaç sınırlandırma, veri minimumu, hesap verebilirlik. Ancak GDPR çok daha sıkı — sınır ötesi transferler için SCC'ler, DPO atama zorunluluğu daha sık devreye girer, hak talebi süresi 30 günle sınırlı, ihlal bildirimi 72 saat, ceza miktarı yıllık global cironun %4'üne kadar. Bir Türk şirketi AB'de varlık gösteriyor ya da AB sakinlerine satış yapıyorsa her ikisi de uygulanır. Pratik tavsiyemiz: GDPR'a göre tasarlayın, KVKK'ya uyumlandırın — tersi olmaz.
Doğrudan AB'ye ürün/hizmet satmıyorsanız ve AB sakinlerinin davranışlarını izlemiyorsanız GDPR doğrudan kapsamınızda olmayabilir. Ama dolaylı kapsam çok daha geniş: AB'deki bir müşterinin sitenize girip form doldurması, AB'deki bir tedarikçinizin verisini işlemeniz, AB'li çalışanınız olması — hepsi GDPR'a temas eder. Üstelik B2B müşterileriniz GDPR uyumu zorunlu kılan sözleşme şartları getirebilir. KVKK'ya uyum sağlarken GDPR seviyesinde tasarlamak, ileride yapılacak müşteri DPIA'larında elinizi rahatlatır. "Şu an gerek yok" görüşü uzun vadede daha pahalı çıkar.
Evet — hem KVKK 5/1 hem GDPR Article 6 + ePrivacy Directive uyarınca açık rıza dışında çerez yerleştirmek yasaktır. "Zorunlu çerezler" istisnası vardır (örn. oturum, sepet); ama analitik, pazarlama, profil çerezleri için aktif rıza şart. Bannerın "Tamam" butonuna tıklamadan çerez yüklenmesi, "Devam Et" yazıp rıza eşdeğerine çekmek, reddedildiğinde bile tracker çalıştırmak — hepsi ceza nedenidir. Türkiye'de 2024'te onlarca markaya yalnızca bu nedenle ceza yazıldı. Doğru kurulum: CMP + GTM rıza modu + tüm tracker'ların rıza alanına bağlı tetiklenmesi.
GDPR'a göre üç durumda DPO ataması zorunludur: kamu kurumu olmak, ana faaliyeti büyük ölçekli sistematik izleme olmak, ya da ana faaliyeti büyük ölçekli özel nitelikli veri işleme olmak. Bunun dışında zorunlu değil ama tavsiye edilir. KVKK'da ise "irtibat kişisi" atama zorunluluğu var; VERBİS kaydı olan her şirket bir irtibat kişisini Kurul'a bildirmek zorunda. DPO veya irtibat kişisi rolünü içeriden atayabilirsiniz ya da DPO-as-a-Service olarak dışarıdan alabilirsiniz — biz ikinci modeli sıkça uyguluyoruz. Çıkar çatışması olmaması, organizasyon hiyerarşisinde bağımsızlık ve doğrudan yönetime raporlama kritik.
AB içinde aktarım serbest. AB dışına aktarım için bir aktarım mekanizması gerekir: ya yeterlilik kararı olan ülkelere (UK, İsviçre, Japonya vb.), ya da Standart Sözleşme Hükümleri (SCC) imzalanmış olarak. ABD için EU-US Data Privacy Framework (2023) sertifikalı vendor kullanabilirsiniz; sertifikalı olmayan ABD vendor'ı için SCC + Transfer Impact Assessment (TIA) gerekir. Türkiye'den AB'ye aktarımda KVKK Madde 9 uyarınca "yeterli korumaya sahip" kararı yok; yazılı taahhüt + Kurul onayı ya da açık rıza yoluyla yapılır. Bu mekanizmaları doğru kurmak, çoğu denetimde en çok atlanan konudur.
GDPR'a göre 72 saat içinde denetim otoritesine bildirim zorunludur. Ek olarak, "yüksek risk" oluşturuyorsa veri sahiplerine de gecikmeksizin bildirim gerekir. KVKK'da süre "en kısa sürede" denmiş; pratikte Kurul "72 saat" yorumuyla uyguluyor. Bildirim süresi kaçırılırsa ihlalin kendisinden ayrı bir ceza yazılır — ki bu çoğu vakada esas cezanın yarısına denk gelir. Bizim kurduğumuz runbook: ihlal şüphesi → 1 saat içinde triage → 4 saat içinde kapsamı belirleme → 24 saat içinde resmi metin hazırlama → 72 saat içinde bildirim ve veri sahiplerine duyuru. Önceden hazır metinler, telefon listesi ve karar ağacı olmadan bu süre yetmez.
KVKK'da idari para cezaları yıllık olarak yeniden değerleme oranıyla artar. 2024 yılı için: aydınlatma yükümlülüğüne aykırılık 47K-940K TL, veri güvenliği yükümlülüğüne aykırılık 141K-9.4M TL, Kurul kararına aykırılık 235K-9.4M TL aralığında. GDPR'da iki kademe var: hafif ihlaller için yıllık global cironun %2'sine veya 10M Euro'ya kadar; ağır ihlaller için %4'üne veya 20M Euro'ya kadar (hangisi yüksekse). Bunlara ek olarak müşteri kayıpları, sözleşme cezaları, marka itibar zararı binlerce katı çıkabilir. British Airways'in 2019 ihlalinde başlangıç teklifi 183M sterlin, indirimle 20M sterlin oldu — küçük şirketleri yok edebilir.
Sıradaki adım
Denetimden bir gece önce değil — bugünden.
30 dakikalık görüşmede mevcut uyum durumunuzu, en kritik üç açığınızı ve 90 günlük yol haritasını birlikte çıkarıyoruz. Ücretsiz, taahhütsüz, dosya gizliliği içinde.
Yanıt süresi
< 24 saat
Tipik proje süresi
6-12 hafta
Gizlilik
NDA standart