Türkiye'de bir kurumun KVKK denetiminden geçeceği gün belli olduğunda, BT ekibinin önündeki ilk soru genellikle teknik değildir: "Veriyi nerede tutuyoruz?" Modern kurumlarda cevap tek cümle değil — Salesforce'ta var, Notion sayfalarında var, bir Slack kanalında kişisel veri paylaşılmış olabilir, finans ekibinin Excel'i Google Drive'da dolaşıyor olabilir. KVKK, kişisel verinin "nerede" ve "ne amaçla" işlendiğini sorar; SaaS dünyasında bu sorunun cevabı çoğu kurumda envanter olmadığı için verilemiyor.
Bu yazıda KVKK + SaaS denkleminin neden envanterle başladığını, RoPA (Records of Processing Activities — Kişisel Veri İşleme Envanteri) hazırlığının pratik adımlarını ve KVKK + ISO 27001 + NIST hizalamasının nasıl ortak çıktıyla kurulabileceğini anlatıyoruz.
KVKK'nın gerçek kapsamı: SaaS dahil
KVKK'nın resmi tanımına göre veri sorumlusu, kişisel verinin işlendiği her ortamdan sorumludur. Pratikte SaaS uygulamaları bu kapsama tam olarak giriyor:
- CRM (Salesforce, HubSpot) — müşteri kişisel verileri
- HR (BambooHR, Workday, Bordro araçları) — çalışan verileri
- İletişim (Slack, Teams, Zoom) — kişisel veri içeren mesajlar
- Dosya depolama (Drive, OneDrive, Dropbox) — müşteri sözleşmeleri, çalışan dosyaları
- Pazarlama (Mailchimp, ActiveCampaign) — kişisel iletişim listeleri
- Destek (Intercom, Zendesk) — müşteri konuşma geçmişi
Denetimden önce hazırlanması gereken RoPA, bu uygulamaların her birini kapsamalı. Çoğu kurum yalnızca yerinde (on-premise) sistemleri kapsayan bir RoPA hazırlıyor; denetim sırasında SaaS boşluğu ortaya çıkıyor.
RoPA hazırlığında üç temel veri
KVKK denetiminde RoPA için her uygulama başına aşağıdaki üç bilgi gerekir:
1. Veri sınıfı
Bu SaaS uygulamasında hangi kişisel veri türü işleniyor? KVKK özellikle özel nitelikli verileri (sağlık, biyometrik, din, sendika üyeliği, yargı kararları) ayırır. Genel kişisel veri için bile RoPA'da kategori belirtmek gerekir.
2. Veri yerleşim yeri (data residency)
Veri AB'de mi, ABD'de mi, başka bir bölgede mi? KVKK, yurt dışına veri aktarımı için ek izin/denetim mekanizmaları getiriyor. SaaS sağlayıcının veri merkezi konumu ve aktarım yolları belgelenmeli.
3. İlgili kişi hakları (KVKK md. 11)
Erişim, silme, taşınabilirlik haklarını nasıl yerine getiriyoruz? Sağlayıcının DSR (Data Subject Request — İlgili Kişi Başvurusu) sürecini desteklemesi gerekir. RoPA'da bu süreç dokümante edilmeli.
Aynı envanter, üç çerçeve
KVKK denetiminden geçen bir kurumun aynı temelle ISO 27001 ve NIST Cybersecurity Framework için de hazır olması teorik olarak mümkün. Pratikte üç çerçeve de aynı bilgilere farklı isimlerle bakıyor:
- KVKK → veri sorumlusu envanteri, RoPA, yurt dışı aktarım, açık rıza.
- ISO 27001 → varlık envanteri (A.5.9), tedarikçi güvenliği (A.5.19-21), erişim kontrolü (A.5.15).
- NIST CSF 2.0 → ID.AM (Asset Management), ID.SC (Supply Chain), PR.AA (Identity Management, Authentication, and Access Control).
Üç çerçeve de aynı sorulara cevap arıyor: hangi SaaS uygulaması var, hangi veri tipini işliyor, kim erişiyor, üçüncü taraf riski ne. CenseCloud bu çerçeveler için ortak rapor çıktısı üretir; aynı envanterden üç ayrı denetime girdi sağlar.
KVKK hazırlığında en sık yapılan üç hata
- 1. Yalnızca finans verisinden başlamak. Muhasebede görünmeyen ama BT dışı bir ekibin kurumsal kartla aldığı SaaS uygulamaları, RoPA'da en sık atlanan kalemlerdir.
- 2. SSO listesini envanter sanmak. SSO ile entegre olmayan ama kişisel veri işleyen onlarca uygulama olur.
- 3. RoPA'yı tek seferlik proje gibi ele almak. SaaS portföyü ayda %3-5 değişiyor. Statik bir RoPA bir sonraki denetimde geçersiz kalır; sürekli güncel tutulması gerek.
Sonuç: envanter, dünyaya ilan ettiğiniz uyumun temelidir
KVKK denetiminden geçmek bir teknik proje değil bir düzenli pratik. Temel pratik ise SaaS envanteridir — görünmeyen uygulamayı uyumlu yapamazsınız.
CenseCloud KVKK risk katmanını + RoPA çıktısını + üç-çerçeve hizalamasını tek envanter üzerinden sağlar. Risk ve uyum çözümü veya CenseRisk modülü detaylar için.