KVKK (Kişisel Verileri Koruma Kanunu) 2016’dan beri yürürlükte. Ama KOBİ’lerin büyük çoğunluğu hâlâ tam uyum sağlayamadı. 2026’da KVKK denetimleri artıyor — ortalama ceza 40.000 - 1.000.000 ₺. Bu rehber 2026 yılı için KOBİ olarak KVKK’ya tam uyum için adım adım yol haritasıdır.
Yaklaşık 18 dakikalık okuma. İçindekiler aşağıda.
1. KVKK Nedir, Neden Uyum Şart?
6698 sayılı Kişisel Verileri Koruma Kanunu — 2016’da yürürlüğe girdi, Avrupa GDPR’ına benzer. Kişisel veri işleyen her kuruluş uyum yükümlülüğündedir — KOBİ, dernek, vakıf, hatta tek kişilik şirket.
Kimleri Bağlar?
- Müşteri kişisel verisi işleyenler (her KOBİ)
- Çalışan verisi işleyenler (işveren)
- Web sitesi olan (çerez verisi)
- E-ticaret yapan (sipariş, adres bilgisi)
- Sosyal medya hesabı yöneten
Kısacası: TC kimlik, telefon, e-posta, adres gibi veri işleyen herkes.
2. 2026 KVKK Ceza Aralıkları
| İhlal Türü | Ceza (₺) |
|---|---|
| Aydınlatma yükümlülüğü ihlali | 40.000 - 800.000 |
| Veri güvenliği önlemleri eksik | 120.000 - 2.500.000 |
| VERBİS kayıt yükümlülüğü ihmali | 80.000 - 4.000.000 |
| İlgili kişi başvurusuna cevap vermeme | 40.000 - 800.000 |
| Veri ihlali bildirimini yapmama | 120.000 - 1.800.000 |
| Ticari elektronik ileti (KEKK) ihlali | 14.000 / kişi |
KEKK ihlali (izinsiz pazarlama maili) için kişi başı 14.000 ₺ — 1000 kişiye spam = 14M ₺ ceza. Bu en sık görülen hata.
3. Temel Kavramlar
Veri Sorumlusu vs Veri İşleyen
- Veri Sorumlusu: Veri işleme amaçlarını belirleyen kişi/kuruluş (siz, KOBİ olarak)
- Veri İşleyen: Sizin adınıza veri işleyen 3. taraf (bulut yazılım sağlayıcı, mali müşavir, kargo şirketi)
İlgili Kişi
Kişisel verisi işlenen gerçek kişi (müşteri, çalışan, tedarikçi temsilcisi).
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilen onay. Detay: Sözlük: Açık Rıza.
Özel Nitelikli Kişisel Veri
Sağlık, cinsel hayat, din, etnik köken gibi hassas veriler. Özel açık rıza gerektirir.
4. VERBİS Sicili Kayıt
Kim Kayıt Olmalı?
- Yıllık çalışan sayısı 50+ olan kuruluşlar
- Yıllık ciro 100M TL üstü olan kuruluşlar
- Özel nitelikli veri işleyen herkes (sağlık, eğitim, finans)
KOBİ olarak çoğunluk VERBİS dışında kalsa da, özel kategori veri işliyorsanız (örn: çalışan sağlık raporu) sicile girersiniz.
VERBİS Başvuru Adımları
- verbis.kvkk.gov.tr üzerinden başvuru
- e-Devlet ile giriş
- Veri sorumlusu bilgileri (şirket bilgileri)
- İrtibat kişisi atama (KVKK temsilcisi)
- İşlenen veri kategorileri ekleme
- Saklama süresi belirleme
- Aktarım (yurt içi/dışı) bildirimi
- Onay + sicil numarası alma
İşlem ~2 hafta sürer. Yıllık güncelleme zorunlu.
5. Aydınlatma Metni Hazırlama
Kişisel veri toplarken (kayıt formu, web formu, sözleşme) aydınlatma metni gösterilmeli.
Aydınlatma Metninde Neler Olmalı?
- Veri sorumlusu kimliği (şirket adı, adres, KEP)
- İşlenen veriler ve amaç
- Hukuki sebep (rıza/sözleşme/kanun)
- Veri kime aktarılır (yurt içi/dışı)
- Veri saklama süresi
- İlgili kişinin hakları (KVKK Md. 11)
- Başvuru kanalları (KEP, posta, e-mail)
OvoCRM kullanıyorsanız aydınlatma metni şablonu hazır — kendi şirketinizin bilgileriyle kişiselleştirebilirsiniz.
6. Açık Rıza Yönetimi
Ne Zaman Açık Rıza Gerekli?
- Pazarlama maili / SMS göndermek (Ticari Elektronik İleti)
- Özel kategori veri işlemek (sağlık, cinsel hayat)
- Yurt dışı veri aktarımı (AB’ye, ABD’ye)
- Veri sahibinin haklarını sınırlamak
Açık Rıza Nasıl Olmalı?
- Özgür irade: Hizmet için zorunlu kılınmamalı
- Bilgilendirilmiş: Veri ne için kullanılacak, kime aktarılacak — şeffaf
- Belirli: Her amaç için ayrı rıza (newsletter ayrı, profilleme ayrı)
- Geri alınabilir: İstediği zaman onay geri alınabilmeli
Yaygın Hatalar
- Tek kutuyla “tüm verilerimi onaylıyorum” — geçersiz
- Hizmet için zorunlu kılma — geçersiz
- Onay almadan reklamcılık şirketine veri satma — büyük ceza
7. Veri Güvenliği Tedbirleri
Teknik Tedbirler
- AES-256 şifreleme (verilerin dinlenmesini engeller)
- HTTPS/TLS (web trafiği şifreli)
- Güçlü parola politikası + 2FA
- Düzenli güncelleme (yazılım, OS, library’ler)
- Yedekleme (3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 offsite)
- Anti-malware, firewall
- VPN (uzaktan erişim için)
İdari Tedbirler
- Çalışanlara KVKK eğitimi (yıllık)
- Rol bazlı erişim yetkisi (kimin neye erişebileceği)
- Audit log (kim ne zaman ne yaptı)
- Tedarikçi sözleşmelerinde KVKK maddeleri
- Veri sorumlusu/işleyen sözleşmesi (DPA)
- İhlal yönetim prosedürü hazır olmalı
Pratik kontrol: Audit log nasıl kullanılır?
8. Veri İhlali Bildirimi
Veri sızıntısı, hack, çalıntı laptop — bunlar veri ihlalidir. KVKK Md. 12 gereği:
İhlal Süresinde Yapılacaklar
- İhlali 72 saat içinde KVKK Kurulu’na bildir — KEP veya başvuru formu
- Etkilenen ilgili kişilere bildir — risk yüksekse
- Etkilenen veri türü, sayı, alınan tedbirleri belge ile sun
- İhlal yönetim raporu hazırla (iç inceleme)
Bildirim yapılmazsa ceza 120.000-1.8M ₺. Geç yapsanız bile bildir — geç bildirim no-bildirimden iyi.
9. İlgili Kişi Başvuruları
Müşteri (ilgili kişi) KVKK Md. 11 kapsamında şu hakları kullanabilir:
- Verilerimin işlenip işlenmediğini öğrenme
- Hangi amaçla işlendiğini öğrenme
- Düzeltilmesini isteme
- Silinmesini isteme (en yaygın talep)
- Verilerin aktarıldığı 3. tarafları öğrenme
- Otomatik karar verilmesine itiraz etme
Başvuruya Cevap Süresi
30 gün içinde cevap vermek zorundasınız. OvoCRM’de KVKK silme talebi için özel iş akışı var: Veri silme talebi nasıl işlenir?
10. Denetim Hazırlığı
KVKK Kurulu sizi denetlerse hazır olması gereken belgeler:
- VERBİS sicil belgesi
- Aydınlatma metni şablonları
- Açık rıza kayıtları (log)
- Veri envanteri (hangi veri nerede)
- Veri akış şeması
- Saklama süreleri tablosu
- İdari + teknik tedbirler raporu
- Çalışan KVKK eğitim kayıtları
- Tedarikçi sözleşmelerindeki KVKK maddeleri
- İhlal yönetim prosedürü
Bunların hepsi dijital arşivde olmalı — OvoCRM Audit Log + Belge yönetimi modülleri bu kayıtları otomatik tutar.
11. 90 Günlük Uyum Checklist’i
Hafta 1-2: Tespit
- Veri envanteri çıkar (hangi veriyi nerede tutuyorsun?)
- Veri akış şeması çiz
- VERBİS yükümlülüğü kontrolü
Hafta 3-6: Politika
- Aydınlatma metni hazırla
- Açık rıza süreçleri tanımla
- Saklama süreleri belirle
- Veri sorumlusu/işleyen sözleşmeleri (tedarikçilerle)
Hafta 7-9: Teknik Önlemler
- Şifreleme aktive (AES-256)
- 2FA çalışan girişler
- Yedekleme stratejisi
- Erişim yetkilendirme (rol bazlı)
Hafta 10-12: Operasyon
- Çalışan KVKK eğitimi
- VERBİS kayıt (gerekiyorsa)
- İhlal yönetim prosedürü
- İlgili kişi başvuru süreci
12. Sık Sorulan Sorular
Tek çalışanlı şirketim, KVKK uyumu şart mı?
Evet. Müşteri kişisel verisi işliyorsanız (telefon, e-posta bile yeterli) uyum yükümlülüğündesiniz. Sadece VERBİS sicili büyük şirketler için zorunlu.
KVKK ihlalinde sigorta var mı?
Cyber Liability Insurance — özel sigorta poliçeleri var. KOBİ için yıllık 2-5K TL prim ile veri ihlali, hack, ceza karşılığı sigorta. Düşünmeye değer.
KVKK denetim olasılığı yüksek mi?
2026’da denetimler arttı. Özellikle şikayet üzerine denetim yapılıyor. Tek bir müşterinin “benim verilerim izinsiz işlendi” şikayeti denetim tetikleyebilir.
KVKK uyumlu yazılım nasıl anlaşılır?
Veri Sorumlusu sözleşmesi (DPA) imzalıyor mu? KVKK silme/dışa aktarım fonksiyonu var mı? AES-256 şifreleme? Audit log? Yurt içi veri merkezi? Bunları sorun.
OvoCRM KVKK uyumlu mu?
Evet, %100 uyumlu: AES-256, audit log, KVKK silme/anonimleştirme/dışa aktarım endpoint’leri, yurt içi veri merkezi (Tier-3), Veri Sorumlusu sözleşmesi sağlanır. Müşterilerimizden KVKK ihlali kaynaklı tek ceza olmadı.
Sonuç:KVKK uyumu KOBİ için sigorta. Doğru yapılırsa unutulur — yıllık küçük güncellemelerle devam eder. Yanlış yapılırsa ceza + dava + müşteri kaybı. OvoCRM’in KVKK uyumlu altyapısıyla siz işinize odaklanın, uyum size bizden gelir.