KVKK ve Log Saklama Zorunlulugu: Isletmeler Icin Rehber

Icerik

1. KVKK Nedir?
2. Log Saklama ile KVKK Iliskisi
3. Hangi Veriler Kisisel Veri Sayilir?
4. 5651 ve KVKK Arasindaki Fark ve Ortak Noktalar
5. Isletmelerin Yasal Yukumlulukleri
6. Veri Saklama Sureleri
7. Imzali Log Dosyalarinin KVKK Acisindan Onemi
8. Denetim Sureclerine Hazirlik
9. Subgate Network ile KVKK Uyumlu Log Yonetimi

Turkiye'de faaliyet gosteren her isletme, kullanicilarina ait verileri koruma altina almakla yukumludur. Kisisel Verilerin Korunmasi Kanunu (KVKK), bu yukumlulugun yasal cercevesini olusturur. Ozellikle ag uzerinden toplanan log kayitlari, KVKK kapsaminda ozel bir oneme sahiptir. Bu yazi, isletmelerin log saklama sureclerinde KVKK'ya nasil uyum saglayabilecegini acik ve anlasilir bir dille ele almaktadir.

1. KVKK Nedir?

6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK), 2016 yilinda yururluge giren ve kisilere ait verilerin toplanmasi, islenmesi, saklanmasi ve paylasimina iliskin kurallari belirleyen temel yasal duzenlemedir. Kanunun amaci, bireylerin kisisel verilerini hukuka aykiri islenmekten korumak ve veri sorumlularina belirli yukumlulukler getirmektir.

KVKK, yalnizca buyuk olcekli sirketleri degil, kisisel veri isleme faaliyetinde bulunan her olcekteki isletmeyi kapsamaktadir. Bir kafe, otel, hastane veya ofis ortaminda internet erisimi sunan her kurulusun KVKK'ya uyum saglamasi gerekmektedir.

Ozet: Kullanicilarin kimlik bilgilerini, internet erisim kayitlarini veya herhangi bir kisisel veriyi topluyorsaniz, KVKK sizi dogrudan ilgilendirmektedir.

2. Log Saklama ile KVKK Iliskisi

Ag uzerinde tutulan log kayitlari, kullanicilarin internet erisim aliskanliklarina dair onemli bilgiler icerir. Bu kayitlar, bir kullanicinin hangi zaman araliginda, hangi IP adresiyle ve hangi cihazla aga baglandigini gosterir. Dolayisiyla log dosyalari, KVKK kapsaminda kisisel veri niteligindedir.

Bu durum, isletmelerin log kayitlarini tutarken ayni zamanda bu verilerin guvenligini saglamasi, yetkisiz erisime karsi korunmasi ve belirlenen sureler doldugundan imha edilmesi gerektigini ifade etmektedir. Log saklama ve KVKK uyumu bir arada dusunulmesi gereken ayrilmaz iki konudur.

3. Hangi Veriler Kisisel Veri Sayilir?

KVKK'ya gore kisisel veri, kimligli veya kimlik belirlenebilir gercek kisiye iliskin her turlu bilgidir. Ag yonetimi baglaminda asagidaki veriler kisisel veri kapsaminda degerlendirilmektedir:

Veri Turu	Aciklama
IP Adresi	Kullanicinin internete cikis yaptigi benzersiz numara; bir kisiye ulasmayi mumkun kilar.
MAC Adresi	Cihaza ozgu donanim kimligi; belirli bir cihazi ve dolayisiyla kullaniciyi tanimlamaya yarar.
Kullanici Adi	Captive portal veya RADIUS uzerinden toplanan kimlik dogrulama bilgisi.
E-posta Adresi	Misafir ag erisiminde kaydolan kullanicilarin iletisim bilgisi.
Telefon Numarasi	SMS dogrulama ile toplanan numara bilgisi.
Baglanti Zamanlari	Kullanicinin aga ne zaman baglanip ayrildigina dair zaman damgalari.

Onemli: IP adresi ve MAC adresi tek baslarina anlamsiz gibi gorunse de, diger verilerle eslestirildiklerinde bir bireyi dogrudan tanimlamaya yeterlidir. Bu nedenle KVKK tarafindan kisisel veri olarak siniflandirilirlar.

4. 5651 ve KVKK Arasindaki Fark ve Ortak Noktalar

Isletmeler siklikla 5651 sayili kanun ile KVKK'yi birbirine karistirmaktadir. Her iki duzenleme de log kayitlariyla iliskili olmakla birlikte, amaclari ve kapsam alanlari farklidir:

Kriter	5651 Sayili Kanun	KVKK (6698)
Amac	Internet uzerinden islenen suclarla mucadele	Kisisel verilerin korunmasi
Odak	Log tutma ve erisim kaydi zorunlulugu	Kisisel verilerin hukuka uygun islenmesi
Yukumluluk	Loglari en az 2 yil saklamak	Verileri amac ortadan kalktiktan sonra imha etmek
Yaptirim	Idari para cezasi, erisim engeli	Idari para cezasi (1.000.000 TL'ye kadar), tazminat

Ortak nokta: Her iki kanun da isletmelerin log kayitlarini duzenli ve guvenli bir sekilde tutmasini gerektirmektedir. 5651 loglarin tutulmasini zorunlu kilarken, KVKK bu loglarin nasil korunacagini ve ne zaman silinecegini duzenler. Dolayisiyla isletmelerin her iki kanuna ayni anda uyum saglamasi gerekmektedir.

5. Isletmelerin Yasal Yukumlulukleri

KVKK kapsaminda kisisel veri isleme faaliyetinde bulunan isletmelerin yerine getirmesi gereken temel yukumlulukler sunlardir:

Aydinlatma yukumlulugu: Kullanicilar, hangi verilerinin toplandigi, ne amacla islendigi ve ne kadar sure saklanacagi konusunda bilgilendirilmelidir.
Acik riza alma: Zorunlu hukuki yetki disindaki veri isleme faaliyetleri icin kullanicidan onay alinmalidir.
Veri guvenligi onlemleri: Toplanan kisisel veriler, yetkisiz erisime, degistirilmeye ve kaybedilmeye karsi teknik ve idari tedbirlerle korunmalidir.
Veri envanter kaydi: Isletmelerin hangi verileri topladigini, nerede sakladigini ve kimlerle paylastigini gosteren bir envanter olusturmasi gerekmektedir.
Veri sorumlusu sicil kaydina (VERBIS) basvuru: Belirli kriterleri karsilayan veri sorumlularinin VERBIS'e kayit olmasi zorunludur.
Ihlal bildirimi: Veri ihlali durumunda en kisa surede Kisisel Verileri Koruma Kurulu'na ve ilgili kisilere bildirim yapilmalidir.

6. Veri Saklama Sureleri

KVKK, verilerin amacin gerektirdigi sure boyunca saklanmasini ongormektedir. Ancak 5651 sayili kanun, log kayitlarinin en az 2 yil (24 ay) saklanmasini zorunlu kilmaktadir. Bu iki duzenleme bir arada degerlendirildiginde isletmelerin uygulamasi gereken yaklasim sudur:

Log kayitlarini yasal zorunluluk geregi en az 2 yil boyunca saklayin.
2 yillik sure doldugunda, artik islenme amaci kalmayan kisisel verileri KVKK geregi imha edin veya anonim hale getirin.
Isletmenizin sektorune ozgu ek yasal sureler varsa (ornegin finans veya saglik sektoru) bu sureleri de dikkate alin.

Denge kurulmalidir: 5651, verilerin saklanmasini emrederken KVKK gereksiz yere saklanan verilerin silinmesini gerektirmektedir. Bu iki yasal zorunluluk arasindaki dengeyi dogru kurmak isletmelerin sorumlulugundadir.

7. Imzali Log Dosyalarinin KVKK Acisindan Onemi

Log dosyalarinin dijital olarak imzalanmasi, hem 5651 hem de KVKK acisindan kritik bir gereksinimdir. Loglar varsayilan olarak SelfSign ile imzalanir; KamuSM hesabiniz varsa resmi TUBITAK KamuSM imzalamasi da yapabilirsiniz. Her iki yontem de yasal gecerliligi sahiptir. Dijital imzali log dosyalari su avantajlari saglar:

Butunluk kaniti: Log dosyasinin olusturulduktan sonra degistirilmedigini ispatlar. KVKK denetimlerinde verilerin manipule edilmediginin gosterilmesi zorunludur.
Hukuki gecerlilik: Imzali loglar mahkeme sureclerinde ve idari sorusturmalarda delil niteligi tasir.
Hesap verebilirlik: Isletmenin kisisel verileri hukuka uygun islediginin somut kanitini olusturur.
Denetim kolayligi: Kisisel Verileri Koruma Kurulu denetimlerinde, imzali loglar uyumluluk surecini onemli olcude kolaylastirir.

Dikkat: Dijital imza icermeyen log dosyalarinin butunlugu kanitlanamaz. KVKK denetimlerinde SelfSign (varsayilan) veya KamuSM (KamuSM hesabiniz varsa) ile imzalanmis loglar sunmaniz onerilir.

8. Denetim Sureclerine Hazirlik

Kisisel Verileri Koruma Kurulu, isletmeleri habersiz olarak denetleyebilir. Denetim surecine hazirlikli olmak icin asagidaki adimlari takip etmeniz onerilir:

Veri isleme envanterinizi guncelleyin. Hangi log verilerini topladiginizi, nerede sakladiginizi ve kimlerle paylastiginizi belgelendirin.
Aydinlatma metinlerinizi gozden gecirin. Captive portal veya diger giris noktalarinda kullanicilara sunulan bilgilendirme metinlerinin KVKK'ya uygun oldugundan emin olun.
Teknik guvenlik onlemlerini dogrulayin. Log dosyalarinin sifrelenmis ortamlarda saklaniyor olmasi, erisim yetkilerinin sinirlandirilmis olmasi ve yedekleme sureclerinin calisiyor olmasi gerekmektedir.
Veri imha politikasi olusturun. Saklama suresi dolan verilerin nasil silinecegi veya anonimlestirilecegi yazili bir prosedurle belirlenmis olmalidir.
Periyodik ic denetimler yapin. Yillik veya 6 aylik ic denetimlerle KVKK uyumluluk durumunuzu duzenli olarak degerlendirin.

9. Subgate Network ile KVKK Uyumlu Log Yonetimi

KVKK ve 5651 uyumlulugunu es zamanli olarak saglamak, ozellikle birden fazla lokasyonda faaliyet gosteren isletmeler icin karmasik bir surecdir. Subgate Network, bu sureci basitlestirmek icin tasarlanmis kapsamli bir altyapi sunmaktadir:

Tum ag cihazlarindan loglarin merkezi olarak toplanmasi ve siniflandirilmasi
SelfSign (varsayilan) ve TUBITAK KamuSM (opsiyonel) ile otomatik dijital imzalama
Kisisel verilerin sifrelenmis ortamda guvenli saklanmasi
Saklama suresi dolan verilerin otomatik imha sureclerinin yonetilmesi
Denetim sureclerinde sunulmaya hazir uyumluluk raporlari
Captive portal uzerinden KVKK aydinlatma metni gosterimi ve acik riza kaydi
FortiGate, Sophos, pfSense, MikroTik gibi farkli markalarla genis entegrasyon destegi

Subgate Network ile isletmeniz, yasal yukumluluklerini yerine getirirken operasyonel is yukunu en aza indirebilir ve olasi denetim sureclerine her zaman hazirlikli olabilir.

Ilgili Yazilar

Siber Guvenlik Hacker Ne Demek Siber Guvenlik Trojan Nedir Siber Guvenlik Siber Güvenlik Nedir Sektorel Hastane WiFi Yonetimi ve 5651 Uyumluluk Rehberi

Ag Guvenliginizi Guclendirelim

Subgate Network ile 5651 uyumlu loglama, hotspot, 802.1X RADIUS ve MFA cozumlerini kesfet.

Iletisime Gecin