ikitech
← Blog · · 4 dk okuma · ikitech Ekibi

KVKK Uyumu: Teknik Ekibin Bilmesi Gereken 5 Zorunluluk

Kişisel verilerin korunması için teknik gereklilikler: veri minimizasyonu, erişim logu, silme mekanizması ve güvenli saklama.

kvkkgdprveri-güvenliğiuyumlulukgizlilik

Önemli Not: Bu yazı, bilgilendirme amacıyla hazırlanmıştır. Hukuki tavsiye niteliği taşımaz. KVKK uyumu için hukuki danışmanlık almanız tavsiye edilir.

KVKK (Kişisel Verilerin Korunması Kanunu) uyumu denilince akla genellikle hukuk departmanları, aydınlatma metinleri ve veri işleme sözleşmeleri gelir. Oysa kanunun gerektirdiği zorunlulukların önemli bir kısmı teknik niteliktedir ve yazılım ekibinin kararlarıyla doğrudan ilgilidir.

Yatırımcı denetimi, kurumsal müşteri sözleşmesi veya düzenleyici bir denetim sürecinde “teknik güvenlik tedbirleriniz neler?” sorusuyla karşılaşmak, ekibin hazırlıklı olmasını gerektiriyor. Bu yazı, teknik ekiplerin anlaması ve uygulaması gereken beş temel zorunluluğu somut bir çerçevede ele alıyor.

1. Veri Minimizasyonu: Sadece İhtiyaç Duyulanı Topla

KVKK’nın temel ilkelerinden biri, kişisel verilerin yalnızca belirli, açık ve meşru amaçlarla ve bu amaçlarla orantılı biçimde işlenmesidir. Teknik karşılığı şudur: uygulamanızda ihtiyaç duymadığınız veriyi toplamayın.

Pratikte ne anlama geliyor:

  • Kayıt formlarındaki her alan sorgulanmalıdır: “Bu veriyi neden topluyoruz? Nerede kullanıyoruz?”
  • Doğum tarihi, telefon numarası, konum bilgisi gibi hassas alanlar gerçekten gerekli olmadıkça formlardan çıkarılmalıdır.
  • Analytics araçlarına gönderilen veriler gözden geçirilmelidir. Üçüncü taraf araçlara (Google Analytics, Mixpanel vb.) kişisel tanımlayıcı veri gönderilmesi varsayılan davranış olmamalıdır.
  • Veritabanı şemaları zaman zaman denetlenmeli; eski, kullanılmayan veya gereksiz kolonlar tespit edilip silinmelidir.
  • Test ve geliştirme ortamlarında gerçek kullanıcı verisi kullanılmamalıdır. Anonimleştirilmiş veya sentetik veri tercih edilmelidir.

2. Erişim Kontrolü ve Loglama: Kim, Neye, Ne Zaman Erişti?

KVKK, kişisel verilere erişimin yetkisiz kişilerden korunmasını açıkça zorunlu kılıyor. Bu, teknik açıdan iki boyutu olan bir gerekliliktir: erişimi kısıtlamak ve kısıtlamaya rağmen yaşanan erişimleri kayıt altına almak.

Pratikte ne anlama geliyor:

  • Rol tabanlı erişim kontrolü (RBAC) uygulanmalıdır. Bir destek ekibi üyesinin finansal verilere, bir pazarlama çalışanının sağlık verilerine erişimi olmamalıdır.
  • Kişisel veri içeren tablolara ve API endpoint’lerine yapılan erişimler denetim loğuna yazılmalıdır: hangi kullanıcı, hangi kayda, hangi işlemi gerçekleştirdi?
  • Bu loglar değiştirilemez biçimde saklanmalıdır; uygulama loglarıyla karıştırılmamalıdır.
  • Çalışanların sistem erişimleri işten ayrılma durumunda anında iptal edilecek şekilde otomatize edilmelidir.
  • Üçüncü taraf entegrasyonlar (CRM, destek araçları, pazarlama platformları) hangi kişisel veriye erişiyor, bu veri nerede işleniyor ve saklanıyor? Bu soruların yanıtı belgelenmiş olmalıdır.

3. Silme ve Anonimleştirme Mekanizması: Unutulma Hakkı

KVKK, veri sahiplerine kişisel verilerinin silinmesini talep etme hakkı tanıyor. Bu hak, kağıtta kalmayıp teknik olarak uygulanabilir olmalıdır. Bir kullanıcı silme talebinde bulunduğunda, ekibiniz bu talebi yerine getirebiliyor mu?

Pratikte ne anlama geliyor:

  • Kullanıcıya ait verilerin sistemdeki tüm kopyaları tespit edilebilir olmalıdır. Bu, ana veritabanının yanı sıra yedekleri, arşivleri, log sistemlerini ve üçüncü taraf entegrasyonları kapsar.
  • “Silme” gerçek bir silme mi yoksa soft delete mi olacak? KVKK kapsamında işleme amacı ortadan kalktığında gerçek silme gereklidir.
  • Anonimleştirme, silmeye teknik bir alternatiftir. Ancak anonimleştirmenin geri döndürülemez olması şarttır; sadece isim alanını boşaltmak yeterli değildir.
  • Silme talebi süreci belgelenmiş ve test edilmiş olmalıdır. “Yapabiliriz” değil, “nasıl yapıyoruz” sorusunun yanıtı hazır olmalıdır.
  • Veri saklama süreleri politika olarak belirlenmeli ve teknik olarak uygulanmalıdır (örneğin, eski kayıtların otomatik anonimleştirilmesi veya silinmesi).

4. Şifreleme: Hem Aktarımda Hem Depoda

Kişisel verilerin yetkisiz erişime karşı korunması, teknik güvenlik tedbirlerinin en somut biçimidir. KVKK bu tedbiri açıkça tanımlamıyor olsa da “uygun güvenlik düzeyi” standardı, hassas verilerin şifrelenmesini fiilen zorunlu kılmaktadır.

Pratikte ne anlama geliyor:

  • Tüm trafik HTTPS üzerinden iletilmelidir. HTTP, kişisel veri aktarımı için kabul edilemez.
  • Veritabanında saklanan hassas veriler (TCKN, sağlık bilgisi, finansal veri, özel nitelikli kişisel veriler) sütun düzeyinde veya tam veritabanı şifrelemesiyle korunmalıdır.
  • Yedekler de şifrelenmiş olmalıdır. Şifrelenmemiş bir yedek dosyası, tüm şifreleme önlemlerini anlamsız kılar.
  • Şifreleme anahtarları veriden ayrı yönetilmelidir. Anahtarlar ve veri aynı sistemde saklanırsa şifrelemenin koruma değeri düşer.
  • Parolalar düzgün hash algoritmaları (bcrypt, Argon2) ile saklanmalıdır; tersine çevrilebilir şifreleme veya zayıf hash kabul edilemez.

5. İhlal Bildirimi Süreci: 72 Saat Kuralı

KVKK, kişisel veri ihlali durumunda Kişisel Verileri Koruma Kurumu’na 72 saat içinde bildirim yapılmasını zorunlu kılıyor. Bu zaman dilimi düşündüğünüzden çok daha kısa; özellikle bir ihlali fark etmek, analiz etmek ve raporlamak için gereken süreyi hesaba kattığınızda.

Pratikte ne anlama geliyor:

  • İhlal bildirimi için tanımlı bir süreç olmalıdır: Kim karar veriyor? Kim bildirimi yapıyor? Hangi bilgiler gerekiyor?
  • Sistemlerinizin bir veri ihlalini tespit edecek izleme altyapısı var mı? Alarm ve uyarı mekanizması kurulu olmalıdır.
  • Teknik ekip, hukuk ve varsa DPO (Veri Koruma Görevlisi) arasındaki iletişim kanalları önceden netleştirilmelidir.
  • Veri ihlali tatbikatı (tabletop exercise) en az yılda bir yapılmalıdır. Senaryo çalışmaları ekibin gerçek ihlale hazırlıklı olmasını sağlar.
  • İhlal sonrası teknik analiz için log altyapısı yeterli olmalıdır. Neyin, nasıl, ne zaman etkilendiğini kanıtlayabilmek hem regülasyon hem de etkilenen kullanıcılara bildirim açısından kritiktir.

GDPR ile İlişkisi

Türkiye’de faaliyet gösteren ancak AB vatandaşlarına hizmet veren ya da ilerleyen dönemde uluslararası pazara açılmayı hedefleyen şirketler için: GDPR (Genel Veri Koruma Yönetmeliği) yukarıdaki beş alanda büyük ölçüde aynı teknik standartları gerektiriyor. KVKK uyumluluğu için atılan teknik adımlar, GDPR uyumuna da önemli ölçüde katkı sağlar. İki düzenleme arasındaki temel farklar hukuki yapıda; teknik gereklilikler büyük ölçüde örtüşüyor.

Sonuç

KVKK uyumu bir kere yapılıp tamamlanan bir proje değil, süregelen teknik bir disiplindir. Bu beş zorunluluk, teknik ekibin sahiplenebileceği somut uygulamalar içeriyor. Her biri, hem yasal risk hem de kullanıcı güveni açısından anlamlı bir adım.

Kişisel verileri nasıl işlediğinizi değerlendirmek, mevcut teknik altyapınızın KVKK gerekliliklerini ne ölçüde karşıladığını anlamak istiyorsanız, ücretsiz bir keşif görüşmesi için bize ulaşabilirsiniz.

Bu yazı işe yaradı mı?

Teknoloji kararlarınızda somut adımlar atmak istiyorsanız görüşelim. İlk görüşme ücretsiz.

Ücretsiz Görüşme Ayarla

İlgili Yazılar

Yapay Zeka Dönüşümü Neden Teknik Değil Stratejik Bir Sorundur?

Ürününüze LLM Entegre Ederken Yapılan 4 Kritik Hata

Felaket Kurtarma Planı Olmayan Şirketler İçin Uyarı