KVKK uyumlu sanal santral: 2026'da Mersin'de bir KOBİ için nasıl seçilir?

Bir KOBİ patronu olarak telefon sisteminizi modernize etmek istediğinizde karşınıza onlarca seçenek çıkar. Ancak çoğu satıcı size KVKK'nın asıl gerektirdiği şeyleri anlatmıyor. Bu yazıda Mersin merkezli bir hukuk büromuz, eğitim kurumumuz veya sağlık kuruluşumuz olarak sanal santral seçiminde kontrol etmeniz gereken 12 maddeyi paylaşıyoruz.

Niye KVKK'yı önemsemelisiniz?

6698 sayılı Kişisel Verilerin Korunması Kanunu, telefon görüşmelerini açıkça "kişisel veri" olarak tanımlar. Aramanın taraflarının ses kaydı, kim aradı bilgisi, görüşmenin transkripti — hepsi yasal anlamda veri sorumlusunun (yani sizin kurumun) yönetim alanına girer.

KVK Kurulu 2024-2026 döneminde özellikle çağrı merkezi denetimlerini sıkılaştırdı. Aydınlatma metni eksikliği, açık rıza alınmaması, yurt dışı aktarım belgesizliği gibi maddelerden cezalar 100.000 TL'den başlıyor.

Kontrol listesi (12 madde)

1. Sunucu nerede? "Bulut santral" diyenlerin %80'i AWS Frankfurt veya Microsoft Azure Dublin kullanıyor. Bu yurt dışı aktarımdır — ek aydınlatma metni + Açık Rıza şart. Türkiye sınırları içinde barındıran sağlayıcı tercih edilmeli.
2. Aydınlatma metni şablonu var mı? Sağlayıcı sadece teknoloji satıyorsa size hukuki şablon vermez. KVKK m.10'a uygun aydınlatma metni hazır mı kontrol edin.
3. IVR'da rıza anonsu otomatik mi? "Görüşmemiz hizmet kalitesi için kayıt altına alınmaktadır" anonsu KVKK m.5'in ön koşuludur. Bu otomasyon olmadan her aramada hatırlatmak imkansız.
4. Saklama süresi ayarlanabiliyor mu? KVKK "gerekenden uzun saklama" yasak. 90 gün (sıcak) + 365 gün (arşiv) gibi otomatik silmeli.
5. Kayıtlar şifreli mi? AES-256 at-rest şifreleme zorunlu. Disk şifrelenmemişse fiziksel hırsızlık riski.
6. Erişim audit log'u tutuluyor mu? Kim hangi kaydı dinledi — KVKK m.12 teknik tedbir gereği.
7. Veri sahibi haklarına yanıt akışı var mı? KVKK m.11 hakları (export, silme) için 30 günlük yasal süre. Sağlayıcı tek tıkla zip indirme veya silme aksiyonu sunmuyorsa manuel yapacaksınız.
8. VERBİS başvuru zorunlu mu? Bilanço aktif toplam 100M TL üstü işletmeler ve 50+ çalışanlı yıllık net satış 100M TL üstü için zorunlu. Sağlayıcı veri işleme envanteri çıkarmanıza yardım ediyor mu?
9. DKIM/SPF/DMARC kurulumu varsayılan mı? E-posta gönderimleri için. Phishing önleme.
10. Yedekleme yurt içi mi? Off-site backup'ı yurt dışı buluta atan çoğu sağlayıcı bunu söylemiyor. Hetzner Almanya bile risktir, KVKK m.9.
11. İlk 30 gün koşulsuz iade garantisi? "3 yıl sözleşme" baskısı yapan satıcıdan kaçın.
12. Yerinde destek bölgenizde var mı? Bulut sistemler bile arada lokal müdahale ister (telefon kurulumu, kablolama). Mersin'deki bir sağlayıcı 4 saat içinde gelir, İstanbul/İzmir merkezliler 24+ saat.

GalagoAI yaklaşımı

GalagoAI, 324 Ajans Bilgi Teknolojileri'nin Mersin Yenişehir'deki kendi colo sunucusunda barındırılır. Veriler yurt dışına çıkmaz. Aydınlatma metni 8 sektör için hazır şablon halinde gelir, sektörünüzü seçtiğiniz an otomatik üretilir. AES-256 şifreleme, 90/365 gün retention, audit log, veri sahibi hakları (export+silme) tek tıkla — hepsi paket dahili.