KVKK Uyum Danışmanlığı: VERBİS, Politikalar ve Denetim Adım Adım

TL;DR

KVKK uyumu tek seferlik bir form doldurma işi değil, yaşayan bir yönetim sistemidir. Türkiye'de faaliyet gösteren ve kişisel veri işleyen her organizasyon, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu sıfatıyla yükümlüdür. Bu yazıda VERBİS kaydından politika setine, veri envanterinden iç denetime kadar tüm uyum adımlarını sırayla anlatıyoruz. Dayanak çerçeve, Kişisel Verileri Koruma Kurumu rehberleri ve VERBİS operasyonel kılavuzudur. İhlal yönetimi konusunda pratik bir adım listesi için ayrıca KVKK veri ihlali bildirimi yazımıza, teknik altyapı uyumu için ISO 27001 nasıl alınır rehberimize ve adli boyut için Adli Bilişim Süreci 2026 içeriğimize bakabilirsiniz.

KVKK Çerçevesinin Temel Maddeleri

Uyumun başlangıç noktası kanunun kendisidir. Yöneticinin ezber yerine madde mantığını bilmesi yeterlidir.

• Madde 4: Kişisel veri işlemenin genel ilkeleri. Hukuka uygunluk, doğruluk, belirli ve meşru amaç, ölçülülük, sınırlı süre saklama.
• Madde 5: Kişisel verilerin işlenme şartları. Açık rıza esas, ancak kanunda öngörülme, sözleşmenin kurulması, hukuki yükümlülük, meşru menfaat gibi rıza dışı dayanaklar mevcut.
• Madde 6: Özel nitelikli kişisel veriler. Sağlık, biyometrik, dini inanç, sendika, ceza mahkumiyeti gibi veriler. Bu kategorinin işlenmesi daha sıkı koşullara bağlı.
• Madde 12: Veri güvenliğine ilişkin yükümlülükler. İdari ve teknik tedbirler, denetim, ihlalin tespiti halinde bildirim.
• Madde 28: İstisnalar. Tamamen otomatik olmayan ve herhangi bir veri kayıt sisteminin parçası olmayan işlemeler ile ulusal güvenlik, suç önleme, istatistik gibi sınırlı haller.

GDPR çerçevesi ile karşılaştırıldığında KVKK büyük ölçüde uyumludur, fakat yurt dışı aktarım rejimi ve özel nitelikli veri tanımı gibi noktalarda ayrıştığı kalemler vardır.

Veri Sorumlusu ve Veri İşleyen Ayrımı

Uyum projelerinde en sık karıştırılan iki rol vardır.

• Veri sorumlusu: Veri işleme amaç ve vasıtalarını belirleyen taraf. Şirket sahibi, kurum, dernek, devlet kurumu.
• Veri işleyen: Veri sorumlusu adına ve onun talimatıyla veri işleyen taraf. Bulut sağlayıcı, bordro firması, çağrı merkezi.

Sözleşmesel yükümlülükleri net şekilde yazmadan dış hizmet almak, sorumluluğun tamamının sizde kalması anlamına gelir. Vendor sözleşmelerinde veri işleyen sıfatı, talimat sınırı, alt işleyen rejimi, silme yükümlülüğü açıkça belirtilmelidir.

Kimler KVKK Uyumlu Olmak Zorunda?

Yaygın yanılgı, "biz küçük şirketiz, bizi ilgilendirmez" yaklaşımıdır. Bu doğru değildir.

• Türkiye'de yerleşik her veri sorumlusu kapsamdadır.
• Yurt dışı yerleşik olsa bile Türkiye'deki kişilere yönelik veri işleyen, yurt dışı veri sorumlusu temsilcisi atamak zorundadır.
• Gerçek kişi tacirler, serbest meslek erbabı, dernek ve vakıflar da kapsamdadır.
• Yalnızca fiziksel kayıt tutmak otomatik istisna değildir. Kayıt sistematik bir dosyalama yapısındaysa kanun uygulanır.

VERBİS kayıt yükümlülüğü için ise Kurum tarafından belirlenen çalışan sayısı, yıllık ciro veya faaliyet alanı eşikleri esastır. Eşik altında kalan veri sorumlusu uyumdan değil yalnızca kayıttan muaf olur.

VERBİS Kaydı: Adım Adım

VERBİS, veri sorumlularının işleme faaliyetlerini Kuruma deklare ettiği elektronik sicildir. Sicil sayfalarına VERBİS üzerinden ulaşılır.

1. Yetkili belirleme: Şirket içi irtibat kişisi atayın. Vekil değil, çalışan veya temsil yetkili kişi olmalıdır.
2. e-Devlet üzerinden başvuru: Yetkili e-Devlet ile sisteme giriş yapar ve şirket bilgilerini doldurur.
3. Veri envanterine dayalı doldurma: Kayıt envantersiz yapılamaz. Önce envanter, sonra VERBİS.
4. Veri kategorileri: Kimlik, iletişim, finans, sağlık, çalışan özlük gibi başlıkların hangilerinin işlendiğini seçin.
5. İşleme amaçları: İnsan kaynakları yönetimi, sözleşme süreçleri, pazarlama, hukuki yükümlülükler vb.
6. Aktarılan taraflar: Vergi Dairesi, SGK, banka, bulut sağlayıcı, danışman, yurt dışı şirket.
7. Yurt dışı aktarım: Aktarım var ise hangi ülke, hangi taahhütname veya karar dayanağı?
8. Saklama süresi: Her kategori için ortalama saklama süresi.
9. Güvenlik tedbirleri: Kurumun belirlediği güvenlik kriterleri listesinden uygulananlar.
10. Onay ve kayıt: Sistem üzerinden kayıt tamamlanır ve sicil numarası alınır.

Kayıt sonrası değişiklikler 7 gün içinde sisteme yansıtılmalıdır. VERBİS'i bir kere doldurup unutmak, denetimlerde en sık karşımıza çıkan eksiklik kalemlerinden biridir.

11+ Politika Seti

KVKK uyumu yazılı politikalarla kurulur. Aşağıdaki seti minimum sayın.

1. KVKK Genel Politikası: Üst metin, tüm diğer prosedürlerin çatısı.
2. Aydınlatma Metinleri Yönetim Politikası: Hangi kanalda hangi metnin gösterileceği.
3. Açık Rıza Yönetim Politikası: Rıza alma, geri alma, kanıtlama.
4. Kişisel Veri Saklama ve İmha Politikası: Süreler, periyodik imha takvimi.
5. Veri İhlali Müdahale Prosedürü: 72 saat, kim, ne, nasıl.
6. Çalışan Kişisel Verilerinin İşlenmesi Politikası: Özlük, performans, izleme.
7. Müşteri Kişisel Verilerinin İşlenmesi Politikası: CRM, satış sonrası, pazarlama.
8. Tedarikçi ve İş Ortağı Politikası: Vendor due-diligence, sözleşme şartları.
9. Bilgi Güvenliği Politikası: Erişim, parola, log, yedek.
10. BYOD ve Uzaktan Çalışma Politikası: Kişisel cihazda kurumsal veri.
11. Çerez ve Web Veri İşleme Politikası: Site üzerindeki izleme teknolojileri.
12. Görüntü ve Ses Kayıt Politikası: CCTV ve çağrı merkezi.
13. Veri Sahibi Başvuru Yönetim Prosedürü: 30 günlük cevap süresi.

Politikaların yalnız basılı olması değil, çalışanların okuduğunu kanıtlayan eğitim ve sınav kayıtlarının da bulunması gerekir.

Veri Envanteri Çıkarma

Envanter, uyumun motorudur. Pratikte şu sıralama işe yarar.

• Süreç bazlı yaklaşım: İK, satış, satın alma, pazarlama, BT, hukuk, finans gibi süreçleri ayrı ayrı yürütün.
• Kaynak tarama: Her süreçte kullanılan formlar, yazılımlar, tablolar, e-postalar, paylaşımlı klasörler taranır.
• Veri kalemi çıkarma: Ad, soyad, T.C., telefon, e-posta, IP, lokasyon, sağlık raporu vb. tek tek listelenir.
• Hukuki sebep eşleştirme: Her veri kalemi için Madde 5 veya 6 dayanağı yazılır.
• Aktarım haritası: Kim, hangi tarafa, hangi ülkeye gönderiyor?
• Saklama süresi: Mevzuatla belirli (örn. SGK 10 yıl), sözleşmeyle belirli veya politikayla belirlenmiş.
• Risk skoru: Veri hacmi, özel nitelik durumu, dış paylaşım kalemleri esas alınarak yüksek, orta, düşük.

Envanter Excel ile başlatılabilir, sonrasında GRC araçlarına taşınabilir. Önemli olan canlı tutulmasıdır.

Açık Rıza ve Aydınlatma Metinleri

Bu iki kavram sürekli karıştırılır.

• Aydınlatma: Veri sorumlusunun bilgilendirme yükümlülüğü. Her zaman vardır, rızadan bağımsızdır.
• Açık rıza: Yalnızca Madde 5/2 veya 6/3'teki başka bir dayanak yoksa istenir.

Aydınlatma metni örnek iskeleti (genel)

"Şirketimiz, sizden topladığı ad, soyad, iletişim ve fatura bilgilerini sözleşmenin kurulması ve hukuki yükümlülüklerin yerine getirilmesi amaçlarıyla işler. Veriler, mali müşavir ve resmi kurumlarla sınırlı şekilde paylaşılır. Yasal saklama süresinin bitiminde imha edilir. Madde 11 kapsamındaki haklarınızı info@... adresinden kullanabilirsiniz."

Açık rıza örnek iskeleti (genel)

"Tarafıma ticari elektronik ileti gönderilmesi amacıyla telefon ve e-posta bilgilerimin işlenmesine açık rıza veriyorum. Bu rızamı dilediğim zaman geri alabileceğimi biliyorum."

Form üzerinde aydınlatma ve rıza ayrı kutucuklar olmalıdır. Önceden işaretli kutucuk geçerli rıza sayılmaz.

Saklama ve İmha Politikası

Saklama süreleri konusunda en yaygın hata, tüm verileri ihtiyaç süresinin çok ötesinde tutmaktır. Örnek aralıklar:

• Müşteri faturalama verileri: Vergi mevzuatı kaynaklı 5 yıl.
• SGK bildirim verileri: 10 yıl.
• İş başvurusu CV'leri: Pozisyon kapanmasından sonra makul bir süre, genelde 6 ila 12 ay.
• CCTV kayıtları: Genelde 30 ila 60 gün, faaliyet konusuna göre değişir.
• Pazarlama izinleri: İzin geri alınana kadar.

Periyodik imha, 6 ayı geçmeyen aralıklarla yapılır ve imha tutanakları arşivlenir. Fiziksel evrak için shredder, dijital için güvenli silme ve disk imha tutanakları zorunludur.

İç Denetim ve Sürekli Kontrol

Politika yazmak yetmez, denetlemek gerekir. Önerilen ritim:

• Aylık: Erişim logları örneklemesi, başvuru cevap süresi metrikleri.
• Üç aylık: Vendor uyum kontrolü, eğitim katılım raporu.
• Altı aylık: Envanter güncelleme, periyodik imha.
• Yıllık: Tam KVKK iç denetimi, üst yönetim raporu, VERBİS güncel kontrolü.

Denetimde bulgular Düzeltici Önleyici Faaliyet (DÖF) formuyla takip edilmeli, kapanış kanıtlarıyla arşivlenmelidir.

Çalışan Eğitimi

KVKK ihlallerinin önemli bir kısmı teknik açıktan değil, çalışan davranışından kaynaklanır.

• Yeni işe başlayan her çalışana ilk hafta KVKK oryantasyonu.
• Yılda en az bir kez tüm personele yenileme eğitimi.
• Yüksek riskli birimlere (İK, BT, çağrı merkezi) ek özel eğitim.
• Phishing simülasyonu ve dijital hijyen tatbikatları.
• Eğitim katılım ve sınav skorlarının kayıt altına alınması.

Eğitim olmadan politika rafta kalır.

Yurt Dışı Veri Aktarımı (Madde 9)

Bulut hizmetleri yaygınlaştıkça yurt dışı aktarım uyumun en kritik kalemlerinden biri haline geldi.

• Aktarım yapılan ülke Kurum tarafından güvenli ülke ilan edilmişse aktarım daha esnek bir rejimle yürütülür.
• Bu listede yer almayan ülkelere aktarım, taahhütname onayı veya bağlayıcı şirket kuralları gibi araçlarla yapılır.
• Veri sahibinin açık rızası tek başına sürekli aktarım için sürdürülebilir bir araç değildir.
• ABD merkezli SaaS kullanımı, sözleşmesel ve teknik tedbirlerle (şifreleme, anahtar yönetimi, veri minimizasyonu) desteklenmelidir.

İhlal Süreci Hızlı Bakış

Bir ihlal yaşandığında kronometre 72 saatten başlar.

1. Olayın tespiti ve sınıflandırması.
2. Kapsamın belirlenmesi, etkilenen veri sahipleri.
3. Acil teknik tedbirler, sızıntı durdurma.
4. Kurum'a en kısa sürede ve en geç 72 saat içinde bildirim.
5. Etkilenen kişilere makul süre içinde bilgilendirme.
6. Adli boyut için delil zinciri ve adli bilişim incelemesi.
7. Kök neden analizi ve DÖF.

Adım adım form ve süreç için KVKK veri ihlali bildirimi yazımız ayrıntılı şablon sunar. Olayın delil yönü için Adli Bilişim Süreci 2026 içeriğindeki delil zinciri akışı izlenmelidir.

KVKK Kurulu Kararlarından Örüntüler

Şirket adı vermeden, Kurum'un yayımladığı kamuya açık karar özetlerinden çıkan tekrar eden örüntüler şunlardır.

• Aydınlatma yükümlülüğünün eksik veya genel ifadelerle yerine getirilmesi.
• Açık rızanın hizmetin koşulu haline getirilmesi.
• VERBİS kaydının eksik veya güncellenmemiş olması.
• Veri sahibi başvurularına 30 gün içinde cevap verilmemesi.
• Veri güvenliği tedbirlerinin yetersiz olması nedeniyle sızıntı yaşanması.
• Çalışanın yetkisiz erişimi sonucu üçüncü kişi verisinin paylaşılması.
• Çağrı merkezinde kayıt amacının önceden bildirilmemiş olması.

Kurul karar özetlerine KVKK Kurumu sitesinden ulaşılabilir.

Cezaların Belirleyicileri

Kurul idari para cezası takdir ederken birkaç temel kalemi gözetir.

• İhlalin niteliği ve ağırlığı.
• Veri sahibi sayısı ve özel nitelikli veri içerip içermediği.
• Kasıt, ihmal veya tedbirsizlik derecesi.
• Veri sorumlusunun kapasitesi.
• Önceki ihlal geçmişi ve iş birliği tutumu.
• Alınan düzeltici tedbirler.

Aktif iş birliği ve hızlı kök neden çözümü, idari yaptırımın ölçüsünde belirleyici olur.

ISO 27001 ve 27701 ile Birlikte Uyum

KVKK yalnız hukuki bir uyum projesi değil, aynı zamanda bilgi güvenliği yönetim sistemidir. Bu nedenle Türkiye'de olgun şirketler üç katmanı birlikte yürütür.

• KVKK: Hukuki çerçeve, politika seti, VERBİS.
• ISO 27001: Bilgi güvenliği yönetim sistemi, teknik ve idari kontroller.
• ISO/IEC 27701: Gizlilik bilgi yönetim sistemi, ISO 27001 üzerine inşa edilen mahremiyet katmanı.

Üç katmanın birleşimi denetimlerde "olgun veri sorumlusu" izlenimi yaratır. Sertifikasyon süreci için ISO 27001 nasıl alınır yazımızda detaylı yol haritasını paylaştık. Kamu projelerinde CBDDO tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi de bu üçlüyü tamamlayan bir denetim çerçevesi sunar.

Sıkça Sorulan Sorular

1. Şirketim 5 çalışana sahip, VERBİS kaydı zorunlu mu? Eşik altında kalıyorsanız kayıttan muaf olabilirsiniz ancak KVKK uyumu yine zorunludur. Politika seti ve envanter hazırlanmalıdır.

2. Açık rıza her zaman gerekli mi? Hayır. Sözleşme, kanuni yükümlülük, meşru menfaat gibi başka bir dayanak varsa rıza istenmez. Yalnızca pazarlama ve özel nitelikli veriler için tipik olarak rıza gerekir.

3. Yurt dışı bulut servisi kullanırsam ihlal mi etmiş olurum? Otomatik ihlal değildir. Doğru sözleşme, teknik tedbirler ve aktarım rejimi seçimi ile uyumlu hale getirilebilir.

4. Çalışan e-postasını işverenin okuma hakkı var mı? Önceden aydınlatma yapılmış, politikada izleme yetkisi tanımlanmış ve ölçülülük korunmuşsa sınırlı şekilde mümkündür.

5. CCTV görüntüsünü ne kadar tutabilirim? Faaliyet konusuna göre değişir. Tipik aralık 30 ila 60 gündür. Politikada belirtilmesi ve girişte aydınlatma levhası bulunması gerekir.

6. Veri sahibi başvurusu geldiğinde ne kadar sürede cevap vermeliyim? En geç 30 gün. Ücretsizdir, ancak Kurum tarifesi belirli istisnalarda küçük bir ücret alınmasına izin verir.

7. KVKK denetimi olur mu, nasıl başlar? Kurul resen veya şikayet üzerine denetim başlatabilir. Genelde ilk adım yazılı bilgi talebidir.

8. ISO 27001 belgem var, KVKK için yeter mi? Hayır. Teknik temel sağlar ama hukuki uyum tablosunu (politikalar, VERBİS, aydınlatma) ayrıca tamamlamak gerekir.

9. Danışmanlık aldığımda sorumluluk danışmana mı geçer? Hayır. Veri sorumlusu sıfatı her zaman şirkettedir. Danışman, süreci kurar ve sürdürür ama hukuki sorumluluk transfer edilmez.

DSET ile KVKK Uyum

Hacettepe Teknokent Ankara'daki ekibimiz, KVKK uyum projelerini VERBİS kaydından politika setine ve iç denetime kadar uçtan uca yürütüyor. Sıfırdan kurulum, mevcut uyumun olgunlaştırılması veya ihlal sonrası toparlanma projeleriniz için ücretsiz ön görüşme planlayalım.

Telefon: +90 536 662 38 09 Konum: Hacettepe Teknokent, Ankara

İlk görüşmede şirketinizin mevcut uyum olgunluğunu ölçer, öncelikli eksiklerinizi ve 90 günlük yol haritanızı çıkarırız.

---

Kaynaklar: 6698 sayılı KVKK, KVKK Kurumu, VERBİS, GDPR, ISO/IEC 27701, CBDDO