6698 sayılı KVKK 2016'da yürürlüğe girdiğinde "biz nasıl uyacağız?" sorusu kurumsal arşiv yöneticilerini bir süre uykusuz bıraktı. Yedinci yılında ise denetim raporları, idari para cezaları ve emsal kararlar artık net bir tablo sunuyor. Bu rehber, KVKK uyumlu bir kurumsal arşiv sisteminin pratik gereklerini özetliyor — hukuk dili minimum, uygulanabilir kontrol listesi maksimum.
İçindekiler
KVKK'da Arşiv İçin Temel Kavramlar
KVKK metnine girmeden, arşiv açısından bilinmesi gereken temel kavramlar:
- Veri Sorumlusu: Verinin işlenme amacını ve yöntemini belirleyen kurum. Belge arşivini tutan siz.
- Veri İşleyen: Veri sorumlusu adına işleme yapan üçüncü taraf. Mesela bulut depolama sağlayıcınız.
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay.
- İlgili Kişi: Kişisel verisi işlenen gerçek kişi. Arşivdeki dilekçeyi imzalayan vatandaş.
- VERBİS: Veri Sorumluları Sicili — belirli ciroyu aşan kurumlar kayıt olmak zorunda.
⚖️ Önemli: Yıllık net satış hasılatı 25 milyon TL veya çalışan sayısı 50'yi aşan kurumlar VERBİS'e kayıt olmak zorundadır. Eğer kurumunuz bu eşiğin üstündeyse arşiv sistemi seçerken KVKK uyumu pazarlanan bir özellik değil, yasal zorunluluktur.
Zorunlu Teknik Tedbirler
KVKK m.12 "Veri Güvenliğine İlişkin Yükümlülükler" başlığı altında veri sorumlusuna "uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri almak" görevini verir. Pratikte arşiv için şunlar zorunludur:
Şifreleme
- Veritabanı düzeyinde şifreleme (encryption at rest)
- Bağlantıda şifreleme (TLS 1.2+)
- Şifreler asla düz metin olarak saklanmamalı
Erişim Kontrolü
- Her kullanıcı kendi hesabıyla giriş yapmalı (paylaşılan hesap yok)
- Rol bazlı yetkilendirme — herkes her belgeyi görmemeli
- Güçlü şifre politikası (uzunluk, karmaşıklık)
- Başarısız giriş denemesinde otomatik hesap kilitleme
- Oturum süresi limiti ve otomatik kapanma
Denetim İzi (Audit Log)
Bu en sık atlanan ama denetimde ilk sorulan başlık. Her oluşturma, güncelleme, silme ve görüntüleme olayı kayıt altında olmalıdır. Hangi kullanıcı, ne zaman, hangi IP'den, hangi belgeyi açtı — hepsi.
Yedekleme ve Felaket Kurtarma
- Düzenli otomatik yedek (en az günlük)
- Yedeklerin de şifrelenmiş olması
- Felaket senaryosunda en fazla kabul edilebilir veri kaybı (RPO) ve kurtarma süresi (RTO) belirlenmeli
İdari ve Organizasyonel Tedbirler
Teknik tedbirler yetmez. Kurum içinde insanların ne yapacağı da yazılı kurallarla belirlenmiş olmalı:
- Kişisel Veri Saklama ve İmha Politikası — belge türü başına saklama süresi
- Personel Gizlilik Sözleşmesi — arşive erişen herkes imzalar
- KVKK Eğitimi — yılda en az bir kez tüm personele
- Veri Sorumlusu Temsilcisi — kurum içinden bir kişi sorumlu atanmalı
- İhlal Bildirim Prosedürü — bir ihlal yaşandığında ne yapılacak, yazılı olarak
Aydınlatma ve Açık Rıza Yükümlülükleri
KVKK m.10'a göre kişisel veri toplandığı her ortamda Aydınlatma Metni bulunmalıdır. Arşive evrak girişi de buna dahildir.
Aydınlatma metni şu bilgileri içermeli:
- Veri sorumlusunun kimliği ve adresi
- İşlenen kişisel veri kategorileri (kimlik, iletişim, vb.)
- İşleme amaçları
- Aktarımı varsa kime ve niçin
- Toplama yöntemi ve hukuki sebebi
- Saklama süresi
- İlgili kişinin KVKK m.11 hakları
Bizim kendi KVKK Aydınlatma metnimize örnek olarak bakabilirsiniz — yapısı hem yasal hem okunabilir bir denge tutturmaya çalıştığımız bir şablon.
Saklama Süresi ve İmha Politikası
"Saklama süresinin dolması" KVKK'nın en güçlü silahlarından biridir. Süresi dolan veriler silinmek zorundadır — yer kapladığı için değil, yasal olarak.
Tipik saklama süreleri (Türkiye):
| Belge Türü | Saklama Süresi |
|---|---|
| Ticari defter ve belgeler | 10 yıl (TTK) |
| Vergi belgeleri | 5 yıl (VUK) |
| SGK belgeleri | 10 yıl |
| İK personel dosyaları | İş ilişkisi + 10 yıl |
| Müşteri iletişim verileri | İlişki + 2 yıl (genelde) |
| CCTV kayıtları | 30 gün |
İyi bir arşiv sistemi, her belge türü için süre tanımlamanıza izin verir ve dolduğunda otomatik uyarı verir veya imhayı tetikler.
Veri İhlali Durumunda Ne Yapmalı?
KVKK m.12/5'e göre, veri ihlalini öğrendiğinizden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmek zorundasınız. İhlalden etkilenen ilgili kişilere de bildirim yapılmalı.
Cezalar ciddi:
- Aydınlatma yükümlülüğüne uymama: 47.300 - 945.300 TL (2025)
- Veri güvenliği tedbirleri almama: 141.900 - 9.453.000 TL
- Kurul kararına uymama: 236.500 - 9.453.000 TL
Bu yüzden iyi bir arşiv sisteminin denetim izi kritik — bir ihlal yaşandığında hangi verinin etkilendiğini, kime gittiğini hızla tespit edebilmeniz lazım.
Pratik Kontrol Listesi
Arşiv sisteminizin KVKK uyumunu hızlıca değerlendirmek için:
| Kontrol Maddesi | Durumum |
|---|---|
| Tüm veriler şifrelenmiş şekilde saklanıyor mu? | ☐ |
| Her kullanıcı kendi hesabıyla mı giriş yapıyor? | ☐ |
| Rol bazlı yetkilendirme uygulanmış mı? | ☐ |
| Tüm görüntüleme/değişiklik olayları log'lanıyor mu? | ☐ |
| Saklama süresi politikası yazılı ve uygulanıyor mu? | ☐ |
| Aydınlatma metni güncel ve erişilebilir mi? | ☐ |
| Personel KVKK eğitimi aldı mı? | ☐ |
| Veri sorumlusu temsilcisi atandı mı? | ☐ |
| Yedeklemeler otomatik ve şifreli mi? | ☐ |
| İhlal bildirim prosedürü yazılı mı? | ☐ |
| VERBİS kaydı tamamlandı mı (eşik aşıldıysa)? | ☐ |
| Süresi dolan veriler otomatik tespit ediliyor mu? | ☐ |
Bu listede 9'dan az "evet" varsa, denetimde sorun çıkma ihtimaliniz yüksek demektir.
Sonuç
KVKK uyumu bir kerede tamamlanan iş değil; sürekli bakım gerektiren bir süreçtir. Mevzuat değişiyor, Kurul kararları emsal oluşturuyor, teknoloji evriliyor. Doğru bir arşiv altyapısı seçerseniz bu sürekli bakım yükünün büyük kısmı sistemde otomatik olarak halledilir — siz politika düzeyinde yönetirsiniz.
Yanlış altyapı seçerseniz ise her güncelleme yeni baştan iş demektir. Bu yüzden arşiv yazılımı seçerken sadece bugünkü ihtiyaca değil, 5 yıllık vizyona bakmak şart.