KVKK UYUMLU BULUT YEDEKLEME REHBERİ: TÜRKİYE’DE İŞ HAYATINDA YASAL VE TEKNİK GEREKLİLİKLER
Kişisel verilerin korunması, sadece bireylerin değil kurumların da gündeminde önemli bir yer tutuyor. Türkiye’de yürürlükte olan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işletmelere hem teknik hem de idari bir dizi yükümlülük getiriyor. Bu yükümlülükler arasında, verilerin güvenli bir şekilde yedeklenmesi de önemli bir başlık. Bu yazıda, KVKK’ya uygun bir şekilde bulut yedekleme hizmeti kullanırken dikkat edilmesi gereken yasal ve teknik detayları ele alacağız.
1. KVKK Nedir ve Hangi Verileri Kapsar?
KVKK, kişisel verilerin işlenmesini ve korunmasını düzenleyen bir kanundur.
Kapsam:
- Ad, soyad, T.C. kimlik numarası gibi açık kimlik bilgileri
- IP adresi, log verileri gibi dolaylı tanımlayıcılar
- Özel nitelikli veriler: sağlık bilgisi, biyometrik veriler, din, ırk vb.
Her tür kişisel veri, saklandığı ve işlendiği her noktada KVKK kapsamında korunmalıdır. Bu, yedekleme çözümleri için de geçerlidir.
2. Bulut Yedekleme KVKK’ya Tabi mi?
Evet. Yedekleme çözümleri, kişisel verilerin işlendiği ve saklandığı alanlardır. Bu nedenle:
- Bulutta tutulan her kişisel veri, KVKK kapsamında korunmalıdır.
- Hizmet sağlayıcınızın veri işleyen statüsünde olduğunu unutmamalısınız.
📌 Önemli: Kendi sisteminizde değil, bir üçüncü taraf bulut servisinde yedekleme yapıyorsanız, bu şirketle Veri İşleme Sözleşmesi yapılması KVKK gereğidir.
3. KVKK’ya Uygun Bulut Yedekleme İçin Teknik Gereklilikler
a. Şifreleme (Encryption)
Veriler hem aktarımda (in-transit) hem de depolamada (at-rest) güçlü algoritmalarla şifrelenmelidir.
✅ AES-256 gibi endüstri standartları önerilir.
b. Erişim Kontrolü
– Rol bazlı erişim sistemi (RBAC)
– 2FA (iki faktörlü kimlik doğrulama)
– Kim erişti, ne zaman erişti: Log kayıtları tutulmalı.
c. Yedekleme Sürekliliği ve Testi
– Otomatik yedekleme zamanlamaları
– Düzenli test restore’ları (geri yükleme tatbikatı)
d. Veri Yerelleştirme (Data Residency)
– KVKK, kişisel verilerin yurtdışına aktarılmasını sınırlamaktadır.
– Eğer bulut sağlayıcınızın sunucuları yurtdışındaysa, ilgili kişilerin açık rızası ve KVKK Kurulu’ndan onay gerekir.
4. KVKK’ya Uyumlu Bulut Sağlayıcı Nasıl Seçilir?
Değerlendirme Kriterleri:
- Türkiye lokasyonlu sunuculara sahip mi?
- KVKK ve/veya GDPR uyumluluğu belgelendirilmiş mi?
- Veri işleme sözleşmesi (DPA) sunuyor mu?
- Geri yükleme desteği var mı?
- İzleme ve raporlama modülleri mevcut mu?
💡 AlpCloud gibi yerli sağlayıcılar, veri yerelleştirme ve mevzuat uyumluluğu açısından daha az risk içerir.
5. İdari Tedbirler – Sadece Teknik Değil, Belgeleyin
– Veri envanteri çıkarılmalı
– Risk analizi yapılmalı
– İç politika ve prosedürler oluşturulmalı
– Çalışanlara KVKK eğitimi verilmeli
– Bulut yedekleme hizmeti açıkça aydınlatma metninde belirtilmeli
6. Olası Riskler ve Cezalar
KVKK’ya aykırı hareketin cezaları oldukça ağırdır:
| İhlal Türü | Ceza (₺) |
| Aydınlatma yükümlülüğüne aykırılık | 150.000 – 300.000 ₺ |
| Veri güvenliğine aykırılık | 300.000 – 2.000.000 ₺ |
| Kurul kararına aykırılık | 500.000 – 2.500.000 ₺ |
Kişisel verilerin güvenliğini sağlamak, sadece iyi bir iş pratiği değil, yasal bir zorunluluktur. Bu nedenle kullandığınız bulut yedekleme sisteminin KVKK ile tam uyumlu olması gerekir. AlpCloud gibi yerli ve mevzuata duyarlı sağlayıcılarla çalışmak, bu süreci daha güvenli ve sorunsuz hale getirir.
