SaaS Şirketleri İçin KVKK Uyum Rehberi: Veri Sorumlusu vs. Veri İşleyen Karmaşası (2026)
Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
SaaS şirketleri KVKK'da genellikle çift role sahiptir: kendi son kullanıcı verileri açısından veri sorumlusu, B2B müşterilerinin platformda işlediği veriler açısından veri işleyen.
Bu çift rolün doğru tespiti, hangi yükümlülüklerin kime ait olduğunu ve bir ihlalde cezanın kime kesileceğini belirler.
B2B SaaS'ta müşteri hesap verisi (şirket adı, e-posta, fatura bilgisi) ile müşterinin platformda işlediği ürün verisi (CRM kayıtları, müşteri listeleri) farklı hukuki kategorilerdir.
Müşteri destek sürecinde destek personelinin ürün verisine erişimi, veri işleyen rolünün sınırlarını test eden kritik bir noktadır.
Alt işlemci (sub-processor) yönetimi SaaS şirketlerinin en karmaşık KVKK alanıdır: onlarca alt işlemcinin güncel listesinin tutulması, müşterilere bildirim ve itiraz mekanizması kurulması zorunludur.
B2C SaaS'ta şirket doğrudan veri sorumlusu sıfatındadır ve tüm KVKK yükümlülükleri (aydınlatma, açık rıza, VERBİS, ilgili kişi başvuruları) kendisine aittir.
SaaS sözleşmelerine eklenen Veri İşleme Eki (DPA) artık bir tercih değil, hukuki zorunluluktur.
SaaS Şirketinde Veri Akışını Anlamak
Bir SaaS platformunda dört farklı veri katmanı aynı anda işlenir. Her katmanın KVKK'daki hukuki durumu farklıdır.
Katman 1: Hesap Verisi (Account Data)
SaaS platformuna kayıt olan kişinin veya şirketin bilgileridir: şirket adı, yetkili kişi adı-soyadı, e-posta, telefon, fatura adresi, vergi numarası, ödeme bilgileri.
KVKK durumu: SaaS şirketi bu verilerin veri sorumlusudur. Kim kaydolacağına, hangi bilgilerin alınacağına ve bunların nasıl kullanılacağına SaaS şirketi karar verir.
Katman 2: Ürün Verisi (Product Data / Customer Content)
B2B müşterinin platformda işlediği verilerdir: bir CRM SaaS'ında müşterinin yüklediği müşteri listeleri, bir İK SaaS'ında çalışan özlük bilgileri, bir e-posta pazarlama SaaS'ında abone listeleri.
KVKK durumu: SaaS şirketi bu verilerin veri işleyenidir. Hangi verilerin yükleneceğine, hangi amaçla işleneceğine B2B müşteri (veri sorumlusu) karar verir; SaaS şirketi yalnızca platform altyapısını sunar.
Katman 3: Kullanım Verisi (Usage Data / Telemetry)
Kullanıcının platformla etkileşim verileridir: oturum süreleri, tıklama verileri, özellik kullanım istatistikleri, hata raporları, performans metrikleri.
KVKK durumu: Bu katman tartışmalıdır. SaaS şirketi bu verileri kendi ürün geliştirme ve analitik amaçlarıyla işliyorsa veri sorumlusu sıfatı kazanabilir. Yalnızca müşteriye raporlama amacıyla tutuyorsa veri işleyen kalabilir. Kullanım verisinin hangi amaçla toplandığı DPA'da açıkça belirlenmelidir.
Katman 4: Türetilmiş Veri (Derived / Aggregated Data)
Ürün verisinden türetilmiş istatistiksel verilerdir: sektörel benchmark raporları, anonim kullanım trendleri, toplu performans analizleri.
KVKK durumu: Gerçek anonimleştirme yapılmışsa KVKK kapsamından çıkar. Ancak pseudo-anonimleştirme (takma ad) yeterli değildir; verinin hiçbir suretle kişiyle ilişkilendirilemez hale getirilmesi gerekir.
B2B SaaS: Veri İşleyen Olarak Yükümlülükler
B2B SaaS şirketi, müşterilerinin platformda işlediği ürün verisi açısından veri işleyen konumundadır. Bu sıfatın getirdiği yükümlülükler şunlardır.
Talimat Sınırı
SaaS şirketi, ürün verisini yalnızca müşterinin (veri sorumlusu) talimatları doğrultusunda işleyebilir. Bu talimatlar DPA'da ve hizmet sözleşmesinde somut biçimde tanımlanmalıdır.
Talimat dışı veri işleme — örneğin müşterinin CRM verilerini SaaS şirketinin kendi pazarlama amacıyla kullanması — SaaS şirketinin o veri seti için bağımsız veri sorumlusu sıfatını kazanmasına yol açar. Bu durum hem DPA ihlali hem de KVKK ihlali oluşturur.
Müşteriye DPA Sunma Zorunluluğu
Her B2B müşteriye Veri İşleme Eki (DPA) sunulması zorunludur. DPA'nın SaaS sözleşmesinin ayrılmaz bir parçası olarak düzenlenmesi veya ayrı bir ek olarak imzalanması gerekir.
DPA'da yer alması gereken asgari unsurlar: işleme konusu ve süresi, işlenecek kişisel veri kategorileri ve ilgili kişi grupları, SaaS şirketinin yalnızca müşteri talimatlarıyla hareket edeceği, teknik ve idari güvenlik tedbirleri, alt işlemci listesi ve onay mekanizması, ihlal bildirim süresi, denetim hakkı ve sözleşme sona erdiğinde veri iadesi veya imhası.
Veri Silme ve İade Yükümlülüğü
Müşteri hesabını kapattığında veya sözleşme sona erdiğinde, SaaS şirketi o müşteriye ait tüm ürün verisini iade etmek veya güvenli biçimde imha etmek zorundadır.
Pratikte bu, müşteriye veri dışa aktarım (export) imkânı sunulmasını ve belirlenen süre sonunda verilerin tüm sistemlerden (ana veritabanı, yedekler, loglar, cache) silinmesini kapsar. Silme işleminin teyit belgesi müşteriye sunulmalıdır.
B2C SaaS: Doğrudan Veri Sorumlusu
B2C SaaS şirketi (doğrudan son kullanıcıya hizmet sunan), kullanıcı verilerinin veri sorumlusudur. Hangi verilerin, hangi amaçla, nasıl işleneceğine SaaS şirketi karar verir.
Bu sıfat, tüm KVKK yükümlülüklerini doğrudan şirketin omuzlarına yükler: aydınlatma metni hazırlama, açık rıza alınması gereken durumlarda usulüne uygun rıza mekanizması kurma, VERBİS kaydı (eşikler sağlanıyorsa), ilgili kişi başvurularını 30 gün içinde yanıtlama, veri saklama ve imha politikası hazırlama, veri ihlali bildirimi (72 saat).
B2C SaaS'ın en büyük riski ölçek etkisidir: milyonlarca kullanıcıya sahip bir uygulamada tek bir aydınlatma hatası veya çerez ihlali milyonlarca kişiyi etkileyebilir ve Kurul cezasını üst sınıra yaklaştırır.
Hibrit Model: Aynı Platformda Çift Rol
Çoğu SaaS şirketi saf B2B veya saf B2C değildir; ikisinin birleşimidir.
Senaryo: Freemium SaaS
Bir proje yönetim platformunu düşünün. Bireysel kullanıcılar ücretsiz hesap açıyor (B2C — veri sorumlusu); aynı zamanda şirketler kurumsal hesap açıp çalışanlarını ekliyor (B2B — veri işleyen). İki model aynı platformda, aynı veritabanında, aynı altyapıda çalışıyor.
KVKK çözümü: Her iki rol için ayrı ayrı yükümlülükler yerine getirilmelidir. Bireysel kullanıcılara yönelik aydınlatma metni ile kurumsal müşterilere sunulan DPA farklı belgelerdir. İlgili kişi başvurularında hangi verinin hangi role tabi olduğunun doğru tespiti gerekir.
Senaryo: Marketplace / Platform
Bir e-ticaret altyapısı sağlayan SaaS platformu, satıcıların (B2B müşteri) ürün ve sipariş verilerini işler — bu kapsamda veri işleyen. Ancak platformun kendi sadakat programı, reklam sistemi veya alıcı profilleme mekanizması varsa bu veriler üzerinde bağımsız amaçlar belirliyor demektir — bu kapsamda veri sorumlusu veya ortak veri sorumlusu.
Hesap Verisi vs. Ürün Verisi Ayrımı
Bu ayrım SaaS KVKK uyumunun en pratik ve en çok karıştırılan noktasıdır.
Kriter | Hesap Verisi | Ürün Verisi |
|---|---|---|
Ne? | Müşterinin kayıt ve fatura bilgileri | Müşterinin platformda işlediği veriler |
Kimin verisi? | B2B müşterinin yetkili kişisi | B2B müşterinin kendi müşterileri/çalışanları |
SaaS'ın rolü | Veri sorumlusu | Veri işleyen |
Aydınlatma kim yapar? | SaaS şirketi | B2B müşteri (SaaS değil) |
İlgili kişi başvurusu kime? | SaaS şirketine | B2B müşteriye |
Müşteri ayrılınca | Fatura saklama süresi boyunca tutulabilir | İade veya imha zorunlu |
Bu ayrımın önemi şudur: bir CRM platformundaki müşterinin kendi müşteri listesi ürün verisidir ve SaaS şirketi bu listeye yalnızca müşterinin talimatları çerçevesinde erişebilir. Bu listedeki bir kişi "verilerimi silin" diye SaaS şirketine başvurursa, SaaS şirketi bu talebi doğrudan karşılamaz; veri sorumlusu olan B2B müşteriye yönlendirir.
Müşteri Destek Sürecinde Veri Görüntüleme
SaaS şirketlerinin en hassas operasyonel alanlarından biri müşteri destek (customer support) sürecidir. Destek personeli, müşteriyle ilgili sorunu çözmek için ürün verisine erişmek zorunda kalabilir.
Hukuki Çerçeve
SaaS şirketi veri işleyen konumunda olduğundan, ürün verisine erişimi yalnızca müşterinin talimatı çerçevesinde gerçekleştirilmelidir. DPA'da destek amaçlı erişimin koşulları açıkça düzenlenmelidir.
Pratik Uygulama
Erişim seviye sistemi: Destek personeli yalnızca sorunu çözmek için gereken minimum veriye erişmelidir (en az yetki ilkesi). Tier 1 destek personeli hesap verisi görebilir; ürün verisine erişim yalnızca Tier 2/3 veya mühendislik ekibine tanınmalıdır.
Erişim logu: Destek personelinin ürün verisine her erişimi loglanmalıdır: kim, ne zaman, hangi müşterinin hangi verisine, ne amaçla erişti. Bu loglar hem iç denetim hem Kurul savunması açısından kritik delildir.
Müşteri onayı: DPA'da destek amaçlı erişimin genel onayı yer alabilir; ancak hassas veriler (sağlık, finansal) içeren platformlarda her erişim için müşteriden anlık onay alınması daha güvenlidir.
Ekran görüntüsü ve kopyalama yasağı: Destek personelinin müşteri ürün verisinin ekran görüntüsünü alması veya kopyalaması yasaklanmalı ve DLP (Data Loss Prevention) araçlarıyla teknik olarak engellenmelidir.
Alt İşlemci (Sub-Processor) Yönetimi
SaaS şirketleri genellikle onlarca alt işlemci kullanır: bulut altyapı (AWS, GCP), e-posta gönderim (SendGrid), analitik (Mixpanel), ödeme (Stripe), arama (Algolia), CDN (Cloudflare), hata takip (Sentry) ve daha pek çoğu.
KVKK kapsamında SaaS şirketinin (veri işleyen) alt işlemci kullanması için veri sorumlusunun (B2B müşteri) önceden onayı zorunludur.
İki Onay Modeli
Spesifik onay: Her yeni alt işlemci eklenmesinden önce müşteriden ayrı ayrı onay alınır. En güvenli model; ancak operasyonel olarak yavaştır ve ölçeklenmesi zordur.
Genel onay + bildirim + itiraz: Müşteri DPA'da genel onay verir; SaaS şirketi yeni alt işlemci eklemeden belirli süre önce (genellikle 30 gün) müşteriye bildirim yapar. Müşteri itiraz ederse SaaS şirketi o müşterinin verilerini ilgili alt işlemciden uzak tutar veya makul süre tanıyarak sözleşmeyi sonlandırma hakkı verir.
Bu ikinci model SaaS sektöründe standart haline gelmiştir. DPA'da bu mekanizmanın açık ve net biçimde düzenlenmesi kritik önem taşır.
Alt İşlemci Listesi Yönetimi
SaaS şirketinin güncel alt işlemci listesini kamuya açık biçimde (genellikle web sitesinde ayrı bir sayfa) yayımlaması ve her değişiklikte bu listeyi güncellemesi standart uygulamadır. Liste şu bilgileri içermelidir: alt işlemcinin adı, merkez ülkesi, sağladığı hizmet ve işlenen veri kategorileri.
SaaS DPA'sında Olması Gereken Özel Maddeler
Standart DPA maddeleri dışında, SaaS iş modeline özgü ek maddelerin DPA'ya eklenmesi gerekir.
Veri Lokasyonu ve Transfer
Ürün verisinin hangi ülkede veya bölgede depolanacağı ve işleneceği açıkça belirtilmelidir. AB bölgesi seçimi mümkünse bu tercih DPA'da sabitlenmelidir. Veri lokasyonu değişikliği için müşteri onayı şartı eklenmelidir.
Destek Erişimi Koşulları
Müşteri destek sürecinde ürün verisine erişimin koşulları, erişim seviye sistemi ve loglama yükümlülüğü DPA'da düzenlenmelidir.
Veri Taşınabilirliği (Portability)
Müşterinin hesap kapatma veya sözleşme sona erme durumunda verilerini standart formatta (CSV, JSON, XML) dışa aktarabilme hakkı DPA'da garanti altına alınmalıdır.
İmha Takvimi
Müşteri ayrıldıktan sonra ürün verisinin ne kadar sürede imha edileceği somut biçimde belirlenmelidir. Standart uygulama: veri dışa aktarım imkânı için 30-90 gün süre tanınması, ardından tüm sistemlerden kalıcı silme.
Denetim Hakkı
Müşterinin SaaS şirketini denetleme hakkı DPA'da saklı tutulmalıdır. SaaS şirketleri pratikte SOC 2 Type II veya ISO 27001 sertifikasını "denetim hakkının karşılanması" olarak sunar. Bu yaklaşım kabul edilebilir; ancak müşterinin ek denetim talebini tamamen engelleyen hükümlerden kaçınılmalıdır.
İhlal Bildirim Süresi
SaaS şirketinin veri ihlalini müşteriye (veri sorumlusu) ne kadar sürede bildireceği somut biçimde belirlenmelidir. Müşterinin 72 saatlik Kurul bildirimini yönetebilmesi için SaaS şirketinin en geç 24 saat içinde bildirim yapması pratikte zorunludur.
Tazminat ve Rücu
SaaS şirketinin DPA ihlali nedeniyle müşterinin uğradığı zararları (KVKK cezaları dahil) tazmin etmesi hükmü DPA'da yer almalıdır. Tazminat üst sınırı genellikle müzakere konusudur: SaaS şirketleri yıllık sözleşme bedeliyle sınırlama isterken, müşteriler sınırsız rücu hakkı talep eder.
SaaS'a Özgü Teknik KVKK Gereksinimleri
Multi-Tenant Mimari ve Veri İzolasyonu
Çoğu SaaS platformu multi-tenant mimaridedir: tüm müşterilerin verileri aynı veritabanı altyapısında tutulur. Bu yapı KVKK açısından iki risk doğurur.
Çapraz erişim riski: Bir müşterinin verisinin başka bir müşteri tarafından görülmesi katastrofik bir ihlaldir. Tenant bazlı erişim kontrollerinin (row-level security, tenant isolation) doğru yapılandırılması teknik açıdan kritiktir.
Müşteriye özel silme zorluğu: Bir müşteri hesabını kapattığında onun verilerini diğer müşterilerin verilerinden izole biçimde silmek multi-tenant yapıda karmaşık olabilir. Bu sürecin teknik olarak test edilmiş ve belgelenmiş olması gerekir.
Şifreleme
Ürün verisi hem at rest (depolama sırasında) hem in transit (aktarım sırasında) şifrelenmelidir. Customer-managed encryption keys (CMEK) sunulması, müşterinin kendi şifreleme anahtarını yönetmesine olanak tanır ve KVKK uyum güvencesini güçlendirir.
Kullanıcı Silme API'si
KVKK'nın silme/yok etme hakkına uyum için SaaS platformlarının otomatik veri silme API'si sunması idealdir. B2B müşteri, kendi son kullanıcısından gelen silme talebini bu API üzerinden hızla yerine getirebilmelidir.
SaaS İçin KVKK Uyum Kontrol Listesi
Rol Tespiti
☐ Hangi veri katmanında veri sorumlusu, hangisinde veri işleyen olduğunuz tespit edildi mi?
☐ Kullanım verisi (telemetri) için hukuki dayanak belirlendi mi?
☐ Türetilmiş verinin gerçekten anonimleştirildiği doğrulandı mı?
Sözleşmeler
☐ Tüm B2B müşterilere DPA sunuluyor mu?
☐ DPA'da hesap verisi/ürün verisi ayrımı yapılmış mı?
☐ Alt işlemci listesi güncel ve kamuya açık mı?
☐ Alt işlemci değişikliğinde bildirim/itiraz mekanizması kurulu mu?
☐ İhlal bildirim süresi (en geç 24 saat) DPA'da belirlenmiş mi?
☐ Veri iadesi/imhası ve takvimi DPA'da düzenlenmiş mi?
Teknik Tedbirler
☐ Multi-tenant izolasyon test edilmiş mi?
☐ Şifreleme at rest + in transit aktif mi?
☐ Müşteri destek erişimi loglanıyor mu?
☐ Veri silme API'si mevcut mu?
☐ Backup'larda müşteriye özel silme mümkün mü?
Aydınlatma ve Rıza (Veri Sorumlusu Rolü İçin)
☐ Hesap verisi için aydınlatma metni güncel mi?
☐ Çerez banner'ı KVKK uyumlu mu?
☐ Açık rıza ve aydınlatma ayrı belgeler mi?
Yurt Dışı Aktarım
☐ Altyapı sağlayıcılarla standart sözleşme imzalandı mı?
☐ 5 iş günü Kurul bildirimi yapıldı mı?
Sık Sorulan Sorular
SaaS şirketim veri sorumlusu mu, veri işleyen mi?
İkisi birden. Kendi hesap verileri açısından veri sorumlusu, B2B müşterilerinin platformda işlediği ürün verileri açısından veri işleyensiniz. Bu çift rol DPA'da ve iç süreçlerde açıkça tanımlanmalıdır.
DPA sunmazsam ne olur?
DPA yokluğu başlı başına KVKK m. 12 kapsamında veri güvenliği ihlalidir. 2026 yılında cezası 256.357 – 17.092.242 TL arasındadır. Ayrıca B2B müşterinizin kendi KVKK uyumu için DPA sunmanız zorunludur; DPA sunmayan SaaS şirketleri kurumsal müşteri kaybı riski taşır.
Müşterimin son kullanıcısı bana "verilerimi sil" derse ne yapmalıyım?
Ürün verisi açısından veri işleyensiniz; ilgili kişi başvurusunun muhatabı veri sorumlusu olan B2B müşterinizdir. Talebi müşterinize yönlendirin. Müşteriniz talimat verdiğinde silme işlemini gerçekleştirin. DPA'da bu sürecin nasıl işleyeceği açıkça düzenlenmiş olmalıdır.
Alt işlemci listemi ne sıklıkla güncellemeliyim?
Her yeni alt işlemci eklendiğinde veya mevcut alt işlemci çıkarıldığında derhal güncellenmeli ve müşterilere bildirim yapılmalıdır. Bildirim süresi DPA'da belirlenir; standart uygulama yeni alt işlemci eklenmesinden 30 gün önce bildirimdir.
Müşteri destek ekibim ürün verisini görebilir mi?
Evet, ancak DPA'da düzenlenmiş koşullar dahilinde. Erişim en az yetki ilkesiyle sınırlandırılmalı, her erişim loglanmalı ve destek personeli gizlilik taahhütnamesi imzalamış olmalıdır.
Multi-tenant yapıda bir müşterinin verisini silmek zorunlu mu?
Evet. Müşteri hesabını kapattığında veya sözleşme sona erdiğinde o müşteriye ait tüm ürün verisinin tüm sistemlerden (ana veritabanı, yedekler, loglar) silinmesi zorunludur. Multi-tenant yapıda bu işlemin teknik olarak mümkün olduğunun test edilmiş ve belgelenmiş olması gerekir.
Okuyucular Bunları da Soruyor
SaaS platformumda ücretsiz plan kullanıcıları var. Onlar için de DPA gerekli mi?
Ücretsiz plan kullanıcıları genellikle bireysel kullanıcılardır (B2C). Bu durumda SaaS şirketi veri sorumlusudur ve DPA değil, aydınlatma metni ve gizlilik politikası gerekir. Ancak ücretsiz kurumsal hesaplar (B2B free tier) varsa DPA sunulması önerilir.
Müşterim kendi kullanıcılarına aydınlatma yapmamışsa benim sorumluluğum ne?
Ürün verisi açısından aydınlatma yükümlülüğü veri sorumlusu olan B2B müşterinize aittir. SaaS şirketi olarak bu yükümlülük doğrudan size ait değildir. Ancak DPA'da müşterinin KVKK yükümlülüklerini yerine getireceğine dair taahhüt maddesi bulunmalıdır. Müşterinizin ihmali sizin cezalandırılmanıza doğrudan yol açmaz; ancak itibar riski oluşturur.
Telemetri verilerini ürün geliştirmede kullanabilir miyim?
Kullanabilirsiniz; ancak bunun için hukuki dayanağınızın net olması gerekir. Gerçek anonimleştirme yapılmış toplu veriler KVKK kapsamından çıkar ve serbestçe kullanılabilir. Kişisel veri niteliği taşıyan telemetri verileri için ise DPA'da bu kullanımın açıkça düzenlenmiş olması ve müşteri onayının alınmış olması gerekir.
SOC 2 sertifikam var, KVKK uyumu için yeterli mi?
SOC 2 güçlü bir güvenlik göstergesidir ve Kurul savunmasında olumlu değerlendirilir. Ancak tek başına KVKK uyumunu sağlamaz. SOC 2, güvenlik kontrollerini denetler; KVKK ise hukuki dayanaklar, aydınlatma, açık rıza, VERBİS, ilgili kişi başvuruları ve saklama-imha gibi ek yükümlülükler getirir. SOC 2 + KVKK hukuki uyum çalışması birlikte yürütülmelidir.
Sonuç
SaaS şirketleri, KVKK'nın en karmaşık aktörlerinden biridir. Veri sorumlusu ve veri işleyen rollerinin aynı anda taşınması, hesap verisi ve ürün verisi ayrımının doğru yapılması, onlarca alt işlemcinin yönetilmesi ve müşteri destek sürecinde veri erişim kurallarının belirlenmesi — bunların her biri ayrı bir hukuki değerlendirme gerektirir.
Doğru kurgulanmış bir DPA, güncel alt işlemci listesi, teknik veri izolasyonu ve privacy by design yaklaşımı birlikte uygulandığında SaaS şirketinin KVKK riski yönetilebilir düzeye iner. Bu unsurlardan herhangi birinin eksik olması ise hem ceza riskini hem müşteri kaybı riskini hem de itibar riskini artırır.
Güneş Partners olarak SaaS şirketlerinin KVKK uyum süreçlerinde — rol tespiti, DPA hazırlığı, alt işlemci yönetimi, yurt dışı aktarım güvencesi, teknik uyum danışmanlığı ve Kurul süreçlerinde temsil — kapsamlı hukuki destek sağlıyoruz. SaaS ürününüzün KVKK uyumunu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK m. 3, 5, 12 ve 16, 7499 sayılı Kanun'un yurt dışı aktarım değişiklikleri, Kurul'un veri sorumlusu/veri işleyen rehberleri, SOC 2 ve ISO 27001 standartları ve uluslararası SaaS DPA best practice'leri temelinde hazırlanmıştır. SaaS şirketleri ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.