KVKK Teknik ve İdari Tedbirler: KOBİ İçin 2026 Uyum Kontrol Listesi

Çoğu KOBİ’de KVKK uyumu iki kelimeye sıkışmış durumda: aydınlatma metni ve VERBİS. Web sitesine bir metin koyulur, sicile kayıt yapılır, dosya kapanır. Oysa Kişisel Verileri Koruma Kurulu bir denetimde asıl şuraya bakar: verinin kendisini koruyor musunuz? Bu sorunun adresi Kanun’un 12. maddesi, yani “veri güvenliğine ilişkin yükümlülükler”.

Aradaki fark bir ceza kaleminde net görülüyor. 2026’da aydınlatma yükümlülüğünü ihlal etmenin tavanı 1.709.200 TL iken, veri güvenliği tedbirlerini almamanın tavanı 17.092.242 TL. Yani kağıt işini halledip teknik tarafı boş bırakmak, riskin büyük kısmını cebinizde tutmak demek.

KVKK m.12 tam olarak neyi zorunlu kılıyor?

Madde üç şeyi emrediyor: kişisel verilerin hukuka aykırı işlenmesini önlemek, verilere hukuka aykırı erişilmesini önlemek ve verilerin muhafazasını sağlamak. Bunu yaparken “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri” almak zorundasınız.

Kanun tek bir reçete vermiyor. 8 kişilik bir muhasebe ofisiyle 200 kişilik bir e-ticaret firmasından aynı altyapıyı beklemek mantıksız olurdu. Kurum bunu biliyor; tedbirlerin şirketin büyüklüğü, işin niteliği ve işlenen verinin türüne göre ölçeklenmesini istiyor. Detaylı çerçeve ise Kurum’un yayımladığı Kişisel Veri Güvenliği Rehberi’nde iki başlık altında toplanmış: idari tedbirler ve teknik tedbirler.

Aşağıdaki iki listeyi bir öz-değerlendirme aracı gibi kullanın. Her satırın yanına “var”, “kısmen”, “yok” yazarak başlayın — uyum yolculuğu genelde bu basit egzersizle netleşiyor.

İdari tedbirler kontrol listesi

Bunlar donanımla değil, kararla ve süreçle ilgili. Açıkçası KOBİ’lerin en çok tökezlediği yer de burası, çünkü “görünmez” işler.

• Kişisel veri işleme envanteri — hangi veriyi, neden, nerede, ne kadar süre tuttuğunuzu yazılı tutuyor musunuz? Envanter yoksa geri kalan her şey tahmine dayanır.
• Kurumsal politikalar — erişim, bilgi güvenliği, kullanım ve saklama-imha politikaları yazılı ve güncel mi?
• Veri işleyenlerle sözleşme — muhasebeci, bulut sağlayıcı, kargo, çağrı merkezi gibi dışarıya veri verdiğiniz herkesle gizlilik ve güvenlik taahhüdü içeren sözleşmeniz var mı?
• Saklama ve imha — süresi dolan veriyi periyodik olarak siliyor, yok ediyor ya da anonim hale getiriyor musunuz?
• Çalışan farkındalık eğitimi — personel oltalama e-postasını tanıyor mu, bir veriyi nereye kaydedeceğini biliyor mu? Eğitim tek seferlik bir slayt değil, tekrarlanan bir alışkanlık olmalı.
• Kurum içi denetim ve risk analizi — tedbirlerin işleyip işlemediğini düzenli kontrol ediyor musunuz?
• VERBİS — yıllık çalışan sayısı 50’yi veya mali bilanço toplamı 100 milyon TL’yi aşıyorsa kayıt zorunlu. Ana faaliyetiniz sağlık, biyometri gibi özel nitelikli veri işlemekse bu eşiklerin altında bile kayıt gerekir.

Teknik tedbirler kontrol listesi

Bu taraf BT ekibinin ya da dış kaynak iş ortağınızın sorumluluğunda. Rehber’in saydığı başlıkları sahadaki karşılıklarıyla veriyorum:

Tedbir	Pratikte ne demek?
Yetki matrisi ve erişim kontrolü	Herkes her veriye değil, yalnızca işi için gerekenine erişir
Kullanıcı hesap yönetimi	Ayrılan personelin hesabı aynı gün kapatılır, ortak parola kullanılmaz
Şifreleme	Disk, veri tabanı ve taşınabilir cihazlar şifreli; trafik HTTPS/TLS
Yedekleme	Düzenli, test edilen ve tercihen değiştirilemez (immutable) yedek
Ağ güvenliği	Güvenlik duvarı, segmentasyon, güncel anti-virüs/EDR
Log kayıtları	Erişim ve işlem logları tutulur, kurcalanmaya karşı korunur
Sızma testi	Periyodik olarak dışarıdan zafiyet taraması yaptırılır
Veri maskeleme / DLP	Hassas alanlar maskelenir, veri sızıntısı önleme devrede
Güvenli imha	SSD/HDD fiziksel imha ya da güvenli silme prosedürüyle elden çıkar

Bu satırların yarısı zaten iyi yönetilen bir BT altyapısında vardır. Eksik olan genellikle yazılı kanıt: tedbiri uyguladığınızı bir denetimde gösterebilmek. Kurul “yapıyoruz” beyanına değil, kayda ve politikaya bakıyor.

Tedbir almazsanız ceza ne kadar?

2026 tutarları 27 Kasım 2025 tarihli Resmî Gazete’de yayımlanan %25,49’luk yeniden değerleme oranıyla güncellendi. Güncel taban ve tavanlar şöyle:

İhlal türü	Alt sınır	Üst sınır
Aydınlatma yükümlülüğü (m.10)	85.437 TL	1.709.200 TL
Veri güvenliği (m.12)	256.357 TL	17.092.242 TL
Kurul kararlarına uymama	427.263 TL	17.092.242 TL

Kurul cezayı belirlerken ihlalin kasıtlı mı taksirli mi olduğuna, etkilenen kişi sayısına, alınan düzeltici önlemlere ve daha önce benzer bir ihlal yaşanıp yaşanmadığına bakıyor. Tedbirlerini önceden almış ve bunu belgeleyebilen bir firma, bir ihlal anında da çok daha savunulabilir bir konumda oluyor.

KOBİ nereden başlamalı?

İşin özü, hepsini aynı hafta yapmaya çalışmak değil. Şu sırayı öneriyorum:

1. Envanteri çıkarın. Neyiniz olduğunu bilmeden neyi koruyacağınızı bilemezsiniz.
2. Yetki ve parolayı düzeltin. Ortak hesapları kapatın, ayrılanların erişimini kesin — bu, sıfır maliyetle en büyük riski düşürür.
3. Yedeği test edin. Var olan ama hiç geri yüklenmemiş yedek, yokmuş gibidir.
4. Eğitimi takvime bağlayın. İhlallerin önemli bölümü teknik açıktan değil, bir çalışanın tıkladığı bağlantıdan başlıyor.
5. Eksikleri yazılı bir yol haritasına dökün. Kurul, kusursuz olmanızı değil, makul ve kanıtlanabilir bir çaba göstermenizi bekliyor.

Sık sorulan sorular

KVKK uyumu sadece büyük şirketler için mi? Hayır. m.12 yükümlülüğü çalışan sayısından bağımsızdır; tek kişilik bir işletme bile veri güvenliği tedbiri almak zorundadır. VERBİS kaydı eşiğe bağlıdır, ama veriyi koruma yükümlülüğü herkese aittir.

Aydınlatma metnim ve VERBİS kaydım var, uyumlu sayılır mıyım? Bunlar gerekli ama yeterli değil. Denetimde teknik tedbirleriniz (şifreleme, yedekleme, erişim kontrolü, log) ve idari süreçleriniz de sorgulanır. En ağır ceza kalemi tam da bu tarafta.

Bütün tedbirleri biz mi kurmalıyız? Şart değil. Birçok KOBİ teknik tedbirleri yönetilen BT iş ortağıyla yürütüyor; veri işleyenle yapılan sözleşme bu işin meşru ve kayıtlı yoludur.

Veri güvenliği tarafınızı bir denetim gözüyle gözden geçirmek isterseniz, mevcut altyapınızı m.12 kontrol listesiyle karşılaştırıp eksik kalan başlıkları birlikte planlayabiliriz. Bizimle iletişime geçin.