KVVK Teknik Tedbirler ve Uygulanması

KVKK Kapsamında Genel Yükümlülükler

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri sorumluları işledikleri kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemekle yükümlüdür.

Temel İlke: Veri güvenliği sadece teknolojik bir altyapı değil; idari, hukuki ve teknik süreçlerin bir bütün olarak yönetilmesidir.

Veri Sorumlusunun Sorumlulukları

  • Kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmek.
  • Kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak.
  • İşlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, durumu en kısa sürede Kurula bildirmek.

İdari Tedbirler (Organizasyonel Güvenlik)

Sürecin yönetimsel kısmını kapsayan bu tedbirler, olası ihlalleri oluşmadan engellemeyi amaçlar.

1. Veri İşleme Envanteri

Kurumun hangi biriminde, hangi verinin, hangi amaçla ve ne kadar süreyle saklandığının haritasıdır. Envanter olmadan KVKK uyumu ispatlanamaz.

2. Kurumsal Politikalar

  • Saklama ve İmha Politikası: Süresi dolan verilerin nasıl yok edileceği.
  • Bilgi Güvenliği Politikası: Kurum içi erişim kuralları.
  • Veri Aktarım Sözleşmeleri: Üçüncü taraflara (muhasebe, IT vb.) aktarılan verilerin güvenliği.

3. Eğitim ve Farkındalık

Personelin “sosyal mühendislik” saldırılarına karşı eğitilmesi ve kişisel verilerin korunması bilincine sahip olması sağlanmalıdır.

Teknik Tedbirler (Bilişim Güvenliği)

Teknik tedbirler, dijital ortamdaki verilerin saldırılara ve sızıntılara karşı korunmasını sağlar.

Tedbir Alanı Uygulama İçeriği
Erişim Yönetimi Kullanıcı yetki matrisi, Güçlü şifreleme ve İki faktörlü doğrulama (MFA).
Siber Güvenlik Güncel Güvenlik Duvarı (Firewall) ve Antivirüs (Endpoint Protection) sistemleri.
Loglama Verilere kimin, ne zaman ulaştığının değiştirilemez şekilde (Zaman Damgalı) kaydı.
Veri Maskeleme Özellikle test ortamlarında gerçek verilerin gizlenerek kullanılması.
Sızma Testleri Sistemin açıklarını bulmak için periyodik olarak yapılan etik saldırı testleri.

Risk Analizi ve Olay Yönetimi

Veri sorumlusu, sistemlerindeki riskleri önceden belirlemeli ve bir kriz anında nasıl hareket edeceğini planlamalıdır.

Veri Etki Analizi (DPIA)

Yeni bir yazılım veya süreç başlatılmadan önce; “Bu işlem veriler için bir risk oluşturuyor mu?” sorusuna yanıt aranmalıdır.

Olay Müdahale Planı: Bir veri ihlali yaşandığında 72 saat içerisinde KVKK Kurulu’na yapılacak bildirim süreci ve teknik müdahale adımları dökümante edilmelidir.

Denetim ve İspat Yükümlülüğü

Kanun, sadece tedbir almayı değil, bu tedbirlerin **sürekliliğini** ve **denetlendiğini** de şart koşar.

  • Periyodik Denetimler: Yılda en az iki kez iç denetim veya bağımsız dış denetim yapılmalıdır.
  • Dökümantasyon: Alınan her teknik kararın (log kaydı, fatura, sözleşme, eğitim katılım formu) fiziksel veya dijital olarak saklanması gerekir.
  • VERBİS Kaydı: İlgili kriterleri sağlayan kurumların VERBİS üzerinden beyanlarını güncel tutması şarttır.

Unutulmamalıdır ki; KVKK Kurulu bir inceleme başlattığında bakacağı ilk şey “ispat edilebilir dökümanlar” olacaktır.

⚖️
Temel Kanunlar
Anayasa, KVKK, TCK
💻
IT & Operasyon
5651, Elektronik İmza
📜
Yönetmelikler
İmha, VERBİS, Rehberler
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Temel Mevzuat

Türkiye’deki tüm veri işleme faaliyetlerinin çatısını oluşturan kanundur. Veri sorumlularının tüm idari ve teknik tedbirleri bu kanun çerçevesinde şekillenir.

  • Madde 4: Kişisel verilerin işlenme ilkeleri.
  • Madde 10: Veri sahiplerine karşı aydınlatma yükümlülüğü.
  • Madde 12: Veri güvenliğini sağlama yükümlülüğü (Siber Güvenlik).
📄 Resmî Kanun Metnini İndir
5237 Sayılı Türk Ceza Kanunu (TCK)
Cezai Hükümler

KVKK’nın idari yaptırımlarının aksine, verilerin hukuka aykırı işlenmesi durumunda hapis cezası öngören hükümleri içerir.

  • Madde 135: Verilerin hukuka aykırı kaydedilmesi (1-3 yıl hapis).
  • Madde 136: Verileri hukuka aykırı ele geçirme (2-4 yıl hapis).
📄 TCK Veri Maddelerini Gör
5651 Sayılı İnternet Aktörleri Kanunu
Teknik Tedbir / Log Yönetimi

Log kayıtlarının tutulması, IP trafik verilerinin saklanması ve siber suçlarla mücadele kapsamında teknik tedbirlerin yasal zeminidir.

  • Yer Sağlayıcı: Verilerin Türkiye sınırlarında tutulması ve erişim kayıtları.
  • Zaman Damgası: Log dosyasının değiştirilmediğinin kanıtlanması.
📄 Teknik Detay PDF
Veri Silme, Yok Etme ve Anonim Hale Getirme Yönetmeliği
Uygulama Esasları

Kişisel verilerin saklama süresi bittiğinde hangi yöntemlerle (fiziksel/yazılımsal) yok edileceğini detaylandırır.

📄 Yönetmelik Detayı

6698 sayılı Kanun, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumayı amaçlar. Kanun yalnızca hukuki bir metin değil; sistem yöneticileri, yazılım geliştiriciler ve IT ekipleri için doğrudan teknik sorumluluklar da yükler.

Temel Kavramlar

  • Kişisel veri
  • Özel nitelikli kişisel veri
  • Veri sorumlusu
  • Veri işleyen
    Bu kavramlar loglama, yedekleme, erişim yetkileri gibi teknik süreçlerle doğrudan ilişkilidir.

Veri Sorumlusunun Yükümlülükleri

  • Aydınlatma yükümlülüğü
  • Açık rıza
  • Veri güvenliği
  • İhlal bildirimi
    Bu yükümlülükler firewall, SIEM, DLP, yedekleme ve erişim kontrol politikalarıyla desteklenmelidir.

IT Perspektifinden KVKK

  • Log kayıtlarının saklanması
  • Yetkisiz erişimin önlenmesi
  • Yedeklerin şifrelenmesi
  • Uzak erişimlerin kayıt altına alınması

Sık Yapılan Hatalar

  • “Log tutuyoruz yeter” yaklaşımı
  • Yedeklerin sınırsız süre saklanması
  • Test ortamlarında gerçek verilerin kullanılması
KVKK Teknik ve İdari Tedbirler Checklist

📋 KVKK Teknik ve İdari Tedbirler Kontrol Listesi

6698 Sayılı Kişisel Verilerin Korunması Kanunu Uyum Kontrol Listesi

0%
0
Tamamlanan
0
Toplam Tedbir
0%
Uyum Oranı
🔐 1. Yönetimsel Tedbirler
12 Tedbir
🔒 2. Teknik Güvenlik Tedbirleri
15 Tedbir
👤 3. Erişim Yönetimi
8 Tedbir
🏢 4. Fiziksel Güvenlik
7 Tedbir
🌐 5. Veri Aktarımı ve Paylaşımı
6 Tedbir
🚨 6. Olay Müdahalesi ve İş Sürekliliği
5 Tedbir

KVKK Uyum Değerlendirme Raporu

0%
Uyum Durumu