info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

KVKK ve IT Due Diligence Sürecinde Hangi Veri Güvenliği Riskleri İncelenir?

31 Tem 2025
0

Giriş

Günümüz şirketleri için en değerli varlıklardan biri hiç şüphesiz “veri”dir. Ancak bu veri varlığının yönetimi, yalnızca teknolojik değil, aynı zamanda hukuki bir sorumluluktur. Şirket birleşmeleri, satın almalar, yatırım ve ortaklık süreçlerinde yapılan IT ve KVKK (Kişisel Verilerin Korunması Kanunu) due diligence, hem dijital varlıkların hem de veri güvenliği yükümlülüklerinin kapsamlı şekilde incelendiği bir süreçtir.

Bu yazıda, IT ve KVKK odaklı due diligence sürecinde hangi risklerin incelendiği, kontrol edilmesi gereken belgeler, sorulması gereken sorular ve özellikle Türk hukuku bakımından dikkat edilmesi gereken noktalar detaylı olarak ele alınacaktır.

1. KVKK ve IT Due Diligence Nedir?

IT due diligence, şirketin bilgi teknolojileri altyapısını, yazılım lisanslarını, siber güvenlik önlemlerini ve dijital süreçlerini inceleyen teknik ve hukuki analiz sürecidir.

KVKK due diligence ise şirketin kişisel veri işleme faaliyetlerini, veri envanterini, açık rıza mekanizmalarını, veri saklama politikalarını ve kanuna uyum düzeyini ortaya koyan incelemedir.

Her iki süreç, yatırımcı açısından kritik önem taşır çünkü veri ihlali riskleri yalnızca cezai ve idari yaptırımlar değil, aynı zamanda itibar kaybı ve tazminat yükümlülükleri doğurur.

2. KVKK ve IT Due Diligence Neden Gereklidir?

  • 6698 sayılı KVKK’ya uyumsuzluk, şirketin devrine engel olabilecek ciddi idari para cezalarına yol açabilir.

  • Veri ihlalleri, alıcı şirketin itibarını zedeler ve müşteri güvenini sarsar.

  • Yazılım lisans ihlalleri veya açık kaynak kullanımına dair eksiklikler, telif hakları davalarına neden olabilir.

  • Yatırımcı, şirketin siber güvenlik kapasitesini, olası veri sızıntılarını ve KVKK uyumluluğunu bilmeden satın alma kararı veremez.

3. KVKK ve IT Due Diligence Sürecinde Hangi Belgeler İncelenir?

A. KVKK Belgeleri

  • Veri Envanteri (VERBİS kayıtları)

  • Aydınlatma metinleri ve açık rıza formları

  • Kişisel veri işleme politikası

  • Silme, yok etme ve anonim hale getirme prosedürleri

  • Kişisel veri saklama ve imha politikası

  • Veri sorumlusu atama belgeleri ve yetki devri kayıtları

  • KVKK kurul kararlarına karşı yapılan savunmalar / yazışmalar

B. IT ve Siber Güvenlik Belgeleri

  • Yazılım lisansları ve sözleşmeleri

  • Sistem mimarisi ve BT altyapı şeması

  • Siber güvenlik politikaları ve önlemler

  • Penetrasyon testi raporları

  • Veri yedekleme ve felaket kurtarma planları

  • Ağ erişim izinleri ve kullanıcı log kayıtları

  • Siber saldırı bildirimleri ve müdahale tutanakları

4. KVKK ve IT Due Diligence Sürecinde İncelenen Başlıca Veri Güvenliği Riskleri

1. KVKK’ya Uyum Eksiklikleri

  • Şirket VERBİS’e kayıtlı değilse veya kayıt güncel değilse ciddi idari para cezaları uygulanabilir.

  • Aydınlatma yükümlülüğü yerine getirilmemişse, hukuka aykırı veri işleme riski doğar.

  • Silme ve imha yükümlülüklerine uyulmaması, Kişisel Verileri Koruma Kurulu tarafından yaptırıma neden olabilir.

2. Açık Rıza ve Hukuki Dayanak Sorunları

  • Açık rızanın kapsamı, amacı ve süresi açıkça belirlenmemişse, veri işleme hukuka aykırı hale gelir.

  • İşlemeye esas sözleşmelerde veya iş akitlerinde veri işleme hükümlerinin olmaması durumunda veri sorumlusu doğrudan sorumlu olur.

3. Yazılım Lisans İhlalleri

  • Kullanılan ticari yazılımların lisanssız olması, FSEK ve TCK kapsamında telif hakkı ihlali oluşturur.

  • Açık kaynak kodların ticari amaçla kullanımı sırasında lisans hükümlerine uyulmamışsa hukuki tazminat söz konusu olabilir.

4. Siber Güvenlik Açıkları

  • Güvenlik duvarı, antivirüs yazılımları veya şifreleme önlemlerinin yetersizliği veri ihlallerine davetiye çıkarır.

  • Çalışanlara siber güvenlik eğitimi verilmemesi, insan hatasına dayalı veri sızıntılarını artırır.

5. Veri Sızıntısı Geçmişi ve Bildirim Eksiklikleri

  • Geçmişte yaşanmış ancak KVKK’ya bildirilmemiş veri ihlalleri, ileride ağır idari yaptırımlar doğurabilir.

5. Uygulamada KVKK ve IT Due Diligence Nasıl Yürütülür?

Adım 1: Süreç Haritası Oluşturma

  • Hedef şirketin veri işleme süreçleri tüm yönleriyle analiz edilir.

Adım 2: Belgelerin Toplanması

  • Yukarıda belirtilen KVKK ve IT belgeleri toplanarak incelenir.

Adım 3: Teknik ve Hukuki Analiz

  • Teknik uzmanlar altyapıyı denetlerken, hukukçular sözleşmeler ve yasal uyumu kontrol eder.

Adım 4: Raporlama ve Öneri Geliştirme

  • Tespit edilen açıklar, uyumsuzluklar ve riskler raporlanır.

  • Önerilen çözüm yolları ve hukuki aksiyon planı hazırlanır.

6. Risk Yönetimi ve Sözleşmelere Etkisi

Due diligence sürecinde tespit edilen veri güvenliği açıkları, hisse devir sözleşmelerinde aşağıdaki tedbirlerle güvence altına alınabilir:

  • Garanti ve tazminat hükümleri

  • Uygunsuzluk durumunda bedel indirimi

  • Alıcı lehine ek teminat veya escrow şartları

  • Uyum taahhütnameleri ve özel şartlar

Sonuç ve Değerlendirme

KVKK ve IT due diligence, bir şirketin dijital varlıklarının ve veri sorumluluğunun eksiksiz analiz edildiği çok yönlü bir süreçtir. Bu süreç, yalnızca teknik uzmanların değil, aynı zamanda hukukçuların aktif katılımını da gerektirir. Yetersiz veya eksik bir KVKK incelemesi, yatırım sonrası ciddi cezai yaptırımlar ve marka itibarında bozulma gibi sonuçlara yol açabilir. Yazılım lisans sorunları, hem Türk Ceza Kanunu hem de FSEK kapsamında ciddi yaptırımlar doğurabilir. Bu nedenle, yatırım kararı verilmeden önce, KVKK ve IT uyumluluğu konusunda kapsamlı bir due diligence yapılması, hukuki güvenlik ve ticari sürdürülebilirlik açısından vazgeçilmezdir.

Hukuk Fakültesi Öğrencisi Gamze Akbulut 

, , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button