Türkiye'de faaliyet gösteren işletmeler, son yıllarda çakışan iki önemli yasal düzenlemenin getirdiği yükümlülüklerle karşı karşıyadır: 5651 sayılı İnternet Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK). Her iki kanun da internet işlem loglarıyla doğrudan ilgili olmakla birlikte, gerektirdikleri uyum yükümlülükleri ilk bakışta çelişkili görünebilir. Bu rehber, iki kanunun kesişim noktalarını ve her ikisine aynı anda nasıl uyum sağlanabileceğini açıklamaktadır.
5651 ve KVKK: İki Kanunun Temel Farkı
5651 sayılı Kanun, internet işlem loglarının saklanmasını zorunlu kılarken; KVKK, kişisel veri niteliği taşıyabilecek bu logların nasıl işleneceğini, kiminle paylaşılabileceğini ve ne zaman silineceğini düzenler. Bu durum teorik olarak bir gerilim yaratmaktadır: 5651 logların tutulmasını isterken, KVKK gereksiz veri tutmamayı ve belirli sürelerin sonunda silmeyi emreder.
Ancak pratikte bu gerilim çözülebilir bir niteliktedir. Anahtar kavram "veri minimizasyonu"dur: 5651 kapsamında yalnızca zorunlu olan log verilerini kaydedin, KVKK gereği ise bu veriler için açık bir amaç ve hukuki dayanak oluşturun.
5651 kapsamındaki log kayıt zorunluluğu, KVKK'nın 5. maddesi uyarınca "kanunlarda açıkça öngörülme" hukuki dayanağıyla kişisel veri işleme için meşru bir zemin oluşturur. Bu sayede açık rıza alınmasına gerek kalmaksızın log kaydı tutulabilir.
KVKK Kapsamında Log Verisinin Statüsü
İnternet işlem loglarının kişisel veri sayılıp sayılmayacağı tartışmalı olmakla birlikte, Kişisel Verileri Koruma Kurulu (KVKK) IP adreslerini kişisel veri olarak değerlendirmektedir. Bu nedenle 5651 kapsamında tutulan log kayıtları, büyük olasılıkla KVKK kapsamında kişisel veri içermektedir. Bunun pratik sonuçları şunlardır:
- Log kayıtları için Veri İşleme Envanterine kayıt yapılması gerekir.
- Log verilerine erişimi olan personelin gizlilik yükümlülükleri altında olması gerekir.
- Log verilerini üçüncü kişilerle paylaşırken hukuki dayanak oluşturulmalıdır.
- Yetkili makamlar dışında log verilerine yetkisiz erişim önlenmelidir.
Saklama Süreleri: Çelişki mi, Uyum mu?
5651, log verilerinin 2 yıl saklanmasını zorunlu kılmaktadır. KVKK ise "işleme amacının ortadan kalkması durumunda" verilerin silinmesini gerektirir. Bu çelişki görünür, ancak aslında değildir: 2 yıllık saklama süresi boyunca hukuki dayanak (5651 zorunluluğu) geçerlidir. Süre sonunda ise veriler usulüne uygun şekilde imha edilmelidir.
Önemli nokta şudur: 2 yıllık süre dolduğunda log verilerini aktif olarak silmek hem 5651'e hem de KVKK'ya uyum sağlar. Bu sürecin otomatikleştirilmesi, yönetim yükünü önemli ölçüde azaltır.
Teknik Uyum için Pratik Adımlar
- Log verilerini şifreleyin: KVKK, kişisel veriler için uygun güvenlik önlemleri alınmasını ister. AES-256 şifreleme hem 5651 hem KVKK gereksinimlerini karşılar.
- Erişim kontrolü uygulayın: Log verilerine yalnızca yetkili personel erişebilmelidir. Bu erişimler de loglanmalıdır.
- VERBİS'e kayıt yapın: Yıllık cirosu 50 milyon TL'yi geçen işletmeler için VERBİS kaydı zorunludur. Log işleme faaliyeti bu envantere eklenmelidir.
- Veri imha protokolü oluşturun: 2 yıllık saklama süresi dolduğunda log verilerinin nasıl ve ne zaman imha edileceğini belgeleyin.
"KVKK ve 5651 uyumluluğunu ayrı ayrı ele almak yerine, her ikisini kapsayan entegre bir veri yönetimi stratejisi geliştirmek, hem maliyeti düşürür hem de hukuki riskleri minimize eder."
Logiyo ile İkili Uyumluluk
Logiyo, hem 5651 hem de KVKK gereksinimlerini gözetecek şekilde tasarlanmıştır. Platformumuz, yalnızca zorunlu log verilerini kaydederek veri minimizasyonu ilkesine uyar; AES-256 şifreleme ve rol tabanlı erişim kontrolüyle veri güvenliğini sağlar; 2 yıllık saklama süresinin ardından otomatik imha seçeneği sunar. KVKK uyumluluk belgeleri için dışa aktarılabilir raporlar oluşturur.
Daha fazla bilgi için uzman ekibimizle iletişime geçin.