KVKK Uyumlu Yazılım Geliştirme: Ürün Yöneticileri İçin 7 Pratik Tuzak

1. Tuzak: Amaçla sınırlı olmayan log'lar

Çoğu uygulama olay analizinde kullanmak için erişim log'ları tutar. Yerinde bir pratik. Sorun log'ların kişisel veri içerdiği yerde başlıyor — ve neredeyse her zaman içerir. Kullanıcı kimliği, IP adresi, e-posta hash'i, oturum token'ı.

KVKK Madde 4 açık bir şekilde "amaçla bağlantılı, sınırlı ve ölçülü olma" ve "ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan süre kadar muhafaza edilme" ilkelerini koyar. Döngüsü olmayan bir log havuzu, hukuken süresiz bir profildir.

Pratik çözüm: Saklama politikasını depolama katmanında sabitleyin (erişim log'ları 30 gün, debug log'ları 7 gün). Loki veya Elasticsearch'te ILM yapılandırın. Kişisel alanları uygulamadan çıkmadan hash'leyin veya kısaltın.

2. Tuzak: Yurt dışı aktarımın denetimsiz kalması

KVKK Madde 9, kişisel verilerin yurt dışına aktarılmasını belirli koşullara bağlar. Kurul'un 2024 yılındaki güncel rehberi sonrası, Standart Sözleşme mekanizması resmileşti. Ancak uygulamada çoğu B2B ürün bu çerçeveyi takip etmeden CRM, analytics, e-posta sağlayıcı ve hata takip araçlarına veri gönderiyor.

Ortalama bir B2B ürün 20-50 harici servise veri iletir. Bunların her biri bir aktarım noktasıdır. Çözüm iki katmanlı: birinci katman, hangi verinin hangi servise gittiğinin bir envanterinin çıkarılması (Madde 7 kapsamında VERBİS'e işlenen envanterle uyumlu). İkinci katman, yüksek riskli aktarımlar için Standart Sözleşme imzalanması ve gerekirse yurt içi alternatifleri değerlendirilmesi.

3. Tuzak: Test edilmemiş veri silme iş akışları

KVKK Madde 11, veri sahibine silinme talep etme hakkını verir. Çoğu ürün yazılı bir silme prosedürüne sahip. Az bir kısmının çalışan bir prosedürü var.

Gerçeklik testi: bugün üretim veritabanınızda bir test kullanıcı oluşturun, resmi kanaldan silme talebi gönderin ve 48 saat sonra tüm izlerin kaybolup kaybolmadığını kontrol edin — yedekler, log akışları ve event kuyrukları dahil.

Neredeyse her mimari kalıntı bırakır. Bu KVKK'dan çok bir mimari meselesidir: her veri varlığı için net bir yaşam döngüsü sahibi var mı?

4. Tuzak: Teknik içeriği boş veri işleyen sözleşmeleri

KVKK Madde 12 çerçevesinde veri sorumlusu ile veri işleyen arasındaki sözleşme bir şablon olarak alınıp imzalanır. Kritik kısım — işleyenin hangi güvenlik tedbirlerini somut olarak uyguladığı — Ek 2'de jenerik ifadelere düşer. "Uygun şifreleme" bir teknik özellik değildir, yer tutucu bir ifadedir.

İçeriği dolu bir sözleşme şunları adlandırır: parola hash algoritması (en az Argon2id ya da cost ≥ 12 bcrypt), TLS sürümü (≥ 1.2, tercihen 1.3), bütünlük korumalı erişim log'u, saat cinsinden olay müdahale penceresi. Bu ayrıntıları veremeyen bir tedarikçiyle sözleşme biçimsel olarak geçerli, içerik olarak boştur.

5. Tuzak: Takma ad gibi görünen sabit tanımlayıcı

Takma adlaştırma, veri sahibiyle eşleşmenin ayrı tutulan ek bilgi olmaksızın yapılamadığı bir işleme türüdür (KVKK Kurulu Kararı 2020/193). Her veritabanında aynı özneyi referans eden artan bir kullanıcı ID'si takma adlaştırma değildir — kıyafet değiştirmiş sabit tanımlayıcıdır.

Doğru uygulama: Ayrı bir anahtar tablosu kullanıcı ID'sini bir takma ad anahtarına eşler, analytics veritabanı sadece takma adı içerir. Ek bilgi farklı bir güvenlik bölgesinde, sıkı erişim kısıtlamasıyla tutulur.

6. Tuzak: Özensiz hukuki sebep seçimi

Madde 5, işleme için altı hukuki sebep sayar. Çoğu B2B ürün refleksle "sözleşmenin kurulması veya ifası için gerekli olması" ya da "meşru menfaat" maddesine tutunur. İkisi de olabilir — ikisi de olmayabilir.

Örnek. Bir bülten aracı sözleşme gereği aylık ürün bilgilendirmesi gönderir. Sözleşmenin ifası. Aynı araç, fiilen pazarlama olan bir "müşteri başarısı" anketi gönderir. Sözleşmenin ifası artık geçerli değil; ya yeni bir açık rıza ya da meşru menfaat için belgelenmiş bir denge testi ve net reddetme hakkı gerekir.

Her veri kategorisini ve işleme amacını bir işleme envanterine (Madde 16'daki VERBİS) eşlemek bu belirsizlik sınıfını çözer.

7. Tuzak: Hizmet erişiminin açık rızaya koşullanması

Açık rıza, özgür iradeyle, tereddüde yer bırakmayacak biçimde açıklanmalıdır (Madde 3). Hizmete erişimi, hizmetin verilmesi için gerekli olmayan bir rızaya bağlamak rızanın özgür iradeyle verildiği varsayımını çürütür. Buna rağmen çoğu B2B uygulama girişi pazarlama onayıyla paketler ya da kapıda zorunlu takip çerezi kurar.

Temiz ayrım: rıza gerektirmeyen işlevsel çerezler (Madde 5(2)(f) meşru menfaat), diğer her şey gerçek rızanın arkasında, kabul seçeneği kadar görünür bir ret seçeneği, afişte karanlık desen yok.

KVKK uyumunu yapısal olarak nasıl gömüyoruz

D'Cloud yazılım projelerinde KVKK uyumu her sprint'in Definition of Done'ının bir parçası. Her yeni user story, kişisel veriye dokunuyorsa merge öncesi kısa bir gizlilik gözden geçirmesinden geçer — üç soruya yanıt olmalı: hukuki sebep, saklama süresi, silme yolu. Türk müşterilerin üretim verileri AWS Frankfurt veya Hetzner Helsinki gibi Avrupa bölgelerinde, geliştirme sentetik veriyle. Bu uygulamalar siber güvenlik ve DevOps ve bulut altyapı hizmetlerimizin ayrılmaz bir parçası — güvenlik ve gizlilik iki ayrı konu olarak ele alınmaz.

Eser sözleşmeleri teknik güvenlik tedbirlerini bir niyet beyanı olarak değil, sözleşme eki olarak içerir. Teslim sonrası 15 gün ücretsiz hata düzeltme ilk canlıya alma sırasında açığa çıkan tüm uyum eksikliklerini kapsar.

Sonraki adım

Ürününüz önümüzdeki aylarda bir KVKK Veri Koruma Etki Analizine ya da dış denetime hazırlanıyorsa, denetim tarihinden önceki yapılandırılmış bir gözden geçirme genellikle haftalarca yeniden çalışmayı ortadan kaldırır. Ücretsiz online keşif görüşmesi planlayın — yedi maddeyi mimariniz üzerinde gezer, gerçekçi bir efor tahmini paylaşırız.

Sık sorulan sorular

KVKK Madde 12 ile Madde 4 arasındaki fark nedir?

Madde 4 işleme ilkelerini (hukuka uygunluk, amaçla bağlantı, ölçülülük, doğruluk, saklama süresi) koyar. Madde 12 veri güvenliği yükümlülüklerini (teknik ve idari tedbirler, ihlal bildirimi) düzenler. İkisi kesişir ama aynı değildir: Madde 4 mimari, Madde 12 operasyoneldir.

VERBİS kaydı yapıldıktan sonra başka bir şey yapmalı mıyız?

VERBİS kaydı bir başlangıç noktasıdır, bir bitiş değil. İşleme envanteri yaşayan bir belgedir — her önemli işleme değişikliğinde güncellenmeli, pratikte en azından üç ayda bir gözden geçirilmelidir. Envanter Git veya uyum aracında yaşamalı, dosya paylaşımında Excel olarak değil.

Açık rıza için zorunlu yazılı imza gerekir mi?

Hayır. Elektronik ortamda açık rıza, kullanıcının aktif bir eylemiyle (onay kutusuna işaret koyma, butona tıklama) verilebilir ve loglanabilir. Önemli olan özgür irade, bilgilendirilmiş olma ve belirli bir konuya ait olma koşullarının sağlanmasıdır.

Dış tedarikçinin KVKK uyumunu nasıl doğrularız?

Veri sorumlusu olarak siz, işleyenin uyumunu denetleme hakkına sahipsiniz (Madde 12/4). Sözleşmede yıllık denetim hakkı ve üçüncü taraf sertifika (ISO 27001, KVKK uyum sertifikası) talep edilmesi iyi uygulamadır. Büyük işleyenler için bağımsız denetim raporu (SOC 2 Type II) kabul edilebilir bir alternatifidir.

İhlal durumunda ne yapmalıyız?

Madde 12/5 uyarınca ihlali en kısa sürede (72 saat içinde tavsiye edilir) Kurul'a ve etkilenen veri sahiplerine bildirmelisiniz. Bildirim mekanizması hazır olmalı, kim, nasıl, hangi sürede bildirim yapacağı bir prosedüre bağlı olmalıdır. Hazırlıksız bir ihlal, ihlalin kendisinden daha pahalıya patlar.