5651 ile KVKK arasındaki fark, çoğu kurumda sanıldığından daha nettir: 5651, internet ortamındaki yayınlar ve belirli aktörlerin trafik verisi, erişimin engellenmesi ve rol bazlı yükümlülükleri etrafında kurulur; KVKK ise kişisel verilerin işlenmesine ilişkin genel koruma çerçevesini tanımlar. Kısa cevap şudur: 5651 “hangi internet aktörü hangi kayıt ve süreçten sorumlu” sorusuna yaklaşırken, KVKK “kişisel veri hangi şartlarla işlenebilir, korunur ve ne kadar tutulur” sorusuna cevap verir. Bu rehber, iki mevzuatı aynı sepete koymadan operasyonel olarak ayırmak isteyen ekipler için hazırlandı.
Bu rehber özellikle şu ekipler içindir:
- 5651 ve KVKK yükümlülüklerini birlikte yorumlamak zorunda kalan BT yöneticileri
- log yönetimi, SIEM ve erişim kayıtları üzerinde çalışan güvenlik ekipleri
- hukuk, uyum ve bilgi güvenliği koordinasyonu kurmak isteyen yöneticiler
- misafir ağı, hotspot, barındırma veya merkezi loglama projesi olan kurumlar
Hızlı Özet
- 5651 sayılı Kanun,
4/5/2007tarihli kabul metniyle içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülüklerini düzenler. - 5651’de
trafik bilgisi; IP adresi, port, hizmetin başlama ve bitiş zamanı, hizmet türü, aktarılan veri miktarı ve varsa abone kimlik bilgilerini kapsar. - 5651 uyarınca yer sağlayıcıların trafik bilgisini
1 yılile2 yılarasında, erişim sağlayıcıların ise6 ayile2 yılarasında saklaması öngörülür. - KVKK’nın amacı, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyenlerin yükümlülüklerini düzenlemektir.
- KVKK tarafında veri işleme; hukuka uygunluk, belirli amaç, ölçülülük ve gerekli süre kadar saklama ilkeleriyle sınırlıdır.
- Pratikte birçok 5651 logu aynı zamanda kişisel veri içerir; bu yüzden “5651 için tuttuğum log” aynı zamanda KVKK kapsamında korunması gereken veri setine dönüşebilir.
- Bu yazı operasyonel ve yönetsel bir çerçeve sunar; somut hukuki yorum için kurumunuzun hukuk danışmanlığıyla birlikte değerlendirme yapılmalıdır.
İçindekiler
- 5651 Neyi Düzenler?
- KVKK Neyi Düzenler?
- 5651 ile KVKK Neden Karıştırılır?
- 5651 ve KVKK Arasındaki Farklar Tablosu
- Loglama ve Saklama Süreleri Nasıl Birlikte Okunmalı?
- Kurumların En Sık Yaptığı Hatalar Nelerdir?
- İlgili İçerikler
- Kontrol Listesi
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - A view of the server room at The National Archives.
5651 Neyi Düzenler?
5651 sayılı Kanun’un amaç ve kapsam maddesi açık: düzenleme, internet ortamında işlenen belirli suçlarla mücadeleye ilişkin esasları ve içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ile toplu kullanım sağlayıcıların yükümlülüklerini tanımlar. Yani 5651, her kuruma otomatik olarak aynı yükümlülüğü yükleyen genel bir veri koruma kanunu değildir; önce kurumun hangi rolde olduğu belirlenir.
Bu nedenle 5651 değerlendirmesi yapılırken önce şu soru sorulmalıdır:
- içerik sağlayıcı mısınız?
- yer sağlayıcı mısınız?
- erişim sağlayıcı mısınız?
- ticari amaçla toplu kullanım sağlayıcı mısınız?
Kanunun 2. maddesindeki trafik bilgisi tanımı da oldukça somuttur. IP adresi, port bilgisi, hizmetin başlama ve bitiş zamanı, yararlanılan hizmet türü, aktarılan veri miktarı ve varsa abone kimlik bilgisi bu kapsamda değerlendirilir. Bu ayrım önemlidir; çünkü 5651 çoğu zaman “her veriyi saklama” zorunluluğu değil, belirli internet trafiği ve yayın zincirine ilişkin kayıt yükümlülüğü üretir.
Operasyonel tarafta 5651’in en çok karşılaşılan iki sonucu şunlardır:
- trafik verisinin belirli süreler boyunca saklanması
- içeriğin çıkarılması veya erişimin engellenmesi kararlarının uygulanması
Erişim Sağlayıcıları Birliği’nin resmi SSS sayfası da, 5651’in 6/A maddesi uyarınca ESB’nin aynı Kanunun 8 ve 8/A maddeleri kapsamı dışındaki içeriğin çıkarılması ve erişimin engellenmesi kararlarının uygulanmasında koordinasyon sağladığını açıkça belirtir.
KVKK Neyi Düzenler?
KVKK tarafında çerçeve daha geniştir. Kurumun resmi yayınında vurgulandığı üzere Kanunun amacı, kişisel verileri işlenen gerçek kişilerin temel hak ve özgürlüklerini korumak ve bu verileri işleyen gerçek veya tüzel kişilerin yükümlülüklerini düzenlemektir.
Kapsam bakımından KVKK:
- kişisel verileri işlenen gerçek kişileri
- bu verileri tamamen veya kısmen otomatik yollarla işleyenleri
- otomatik olmayan fakat bir veri kayıt sisteminin parçası olarak işleyenleri
hedefler. Bu nedenle KVKK yalnız internet trafiğiyle sınırlı değildir. İnsan kaynakları kayıtları, müşteri verileri, güvenlik kamerası kayıtları, erişim kayıtları, destek talepleri ve log dosyaları gibi çok daha geniş bir yüzeyi kapsar.
KVKK’yı operasyonel olarak kritik yapan nokta ise temel ilkeleridir:
- hukuka ve dürüstlük kurallarına uygun işleme
- doğru ve gerektiğinde güncel olma
- belirli, açık ve meşru amaçlar için işleme
- amaçla bağlantılı, sınırlı ve ölçülü olma
- ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza etme
Kurumun Veri Güvenliğine İlişkin Yükümlülükler sayfası ve Kişisel Veri Güvenliği Rehberi de veri sorumlusunun gerekli teknik ve idari tedbirleri alması, denetim yapması ve log kayıtları dahil güvenlik kontrollerini uygulaması gerektiğini açıkça çerçeveler.
5651 ile KVKK Neden Karıştırılır?
Karışıklığın temel nedeni loglardır. Çünkü 5651 denildiğinde kurumların aklına çoğu zaman log saklama gelir; KVKK denildiğinde de veri koruma. Oysa birçok log dosyası hem trafik verisi hem de kişisel veri unsuru taşıyabilir.
Örnek:
- misafir Wi-Fi veya internet erişim hizmeti sunan bir yapı 5651 açısından trafik kaydı üretmek zorunda olabilir
- aynı kayıtta IP, zaman damgası ve kullanıcı bilgisi varsa bu kayıt KVKK açısından kişisel veri de içerebilir
Buradaki kritik sonuç şudur: 5651 bazı kayıtların tutulmasını gerektirebilir, fakat KVKK bu kayıtların nasıl korunacağına, kimlerin erişeceğine, hangi amaçla kullanılacağına ve zorunlu süre sonrasında ne yapılacağına çerçeve getirir.
Bu yüzden “biz 5651 cihazı aldık, KVKK tamam” yaklaşımı teknik olarak zayıftır. Tersi de doğrudur: yalnız aydınlatma metni yayınlamak veya veri envanteri çıkarmak, 5651 tarafındaki trafik verisi ve erişim zinciri sorularını otomatik kapatmaz.
5651 ve KVKK Arasındaki Farklar Tablosu
| Başlık | 5651 | KVKK |
|---|---|---|
| Ana amaç | İnternet yayınları, belirli suçlarla mücadele ve internet aktörlerinin yükümlülükleri | Kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunması |
| Kapsam mantığı | Rol bazlı: içerik, yer, erişim ve toplu kullanım sağlayıcı | Kişisel veri işleyen gerçek ve tüzel kişiler |
| Merkez veri türü | Trafik bilgisi ve yayın zinciriyle ilgili kayıtlar | Kişisel veriler ve bu verilere ilişkin tüm işleme faaliyetleri |
| Saklama yaklaşımı | Kanun ve yönetmelik temelli belirli trafik verisi süreleri | Amaçla sınırlı, ölçülü ve gerekli süre kadar muhafaza |
| Güvenlik beklentisi | Doğruluk, bütünlük, gizlilik ve karar uygulama yükümlülüğü | Teknik ve idari tedbir, erişim kontrolü, denetim, minimizasyon |
| Temel soru | “Hangi internet rolündeyim ve hangi kaydı tutmalıyım?” | “Bu veri hangi şartla işleniyor ve nasıl korunuyor?” |
Loglama ve Saklama Süreleri Nasıl Birlikte Okunmalı?
5651 metninde yer sağlayıcı için 1 yıl ile 2 yıl arasında, erişim sağlayıcı için 6 ay ile 2 yıl arasında trafik bilgisi saklama çerçevesi vardır. Bu sayıların pratik anlamı şudur: eğer kurumunuz 5651 bakımından ilgili roldeyse, belirli kayıtları hiç tutmamak veya keyfi biçimde kısa tutmak ayrı bir risk üretir.
Ancak aynı kayıtların içinde kişisel veri yer alıyorsa, KVKK tarafında şu ek sorular doğar:
- erişim yetkisi kimde?
- kayıtlar şifreli veya bütünlüğü korunmuş biçimde mi tutuluyor?
- herkes tüm logları görebiliyor mu?
- amaç dışı kullanım engelleniyor mu?
- yasal saklama zemini bittiğinde imha veya anonimleştirme planı var mı?
Bu nedenle iyi model, 5651 ve KVKK’yı çatıştırmak değil; katmanlı okumaktır. Önce 5651 açısından rol ve log yükümlülüğünü tespit edin. Sonra bu kayıtları KVKK açısından kişisel veri işleme disiplini içine alın.
Bu noktada İş ve Yönetim Hizmetleri altında verilen Siber Güvenlik Değerlendirme Hizmeti, mevzuat yorumunu teknik kontrol mimarisiyle hizalamakta doğrudan değer üretir. Log toplama ve korelasyon katmanı için Donanım & Yazılım Hizmetleri altındaki SIEM ve Güvenlik Olay Yönetimi Entegrasyonu da aynı zincirin uygulama ayağıdır.
Kurumların En Sık Yaptığı Hatalar Nelerdir?
5651’i her kurum için aynı sanmak
5651 rol bazlıdır. Her şirket erişim sağlayıcı veya yer sağlayıcı değildir. Önce rol tespiti gerekir.
KVKK’yı yalnız aydınlatma metnine indirgemek
KVKK yalnız belge işi değildir; log güvenliği, erişim kontrolü, denetim, saklama ve silme süreçlerini de etkiler.
Logları tutup korumayı ihmal etmek
5651 açısından kayıt üretmek yeterli görünse bile, KVKK açısından bu kayıtların gizliliği ve bütünlüğü ayrıca yönetilmelidir.
Süresiz saklamayı güvenli sanmak
“Nasıl olsa lazım olur” yaklaşımı KVKK’nın ölçülülük ve gerekli süre ilkesiyle uyumlu değildir. Yasal saklama ile süresiz arşiv aynı şey değildir.
Teknik ve hukuki ekipleri ayrı çalıştırmak
5651 ve KVKK kesişimi en çok burada kopar. Hukuk ekibi ne tutulacağını, BT ekibi nasıl tutulacağını, güvenlik ekibi ise nasıl korunacağını birlikte tasarlamalıdır.
İlgili İçerikler
- KVKK için VMware Loglama Nasıl Yapılır?
- KVKK için Dell Server Loglama Gereksinimleri
- VMware KVKK Teknik Tedbirler Rehberi
- KVKK için Storage Disaster Recovery Nasıl Kurulur?
Kontrol Listesi
- Kurumun 5651 bakımından rolü netleştirildi
- 5651 kapsamına giren trafik verisi veya kayıt türleri listelendi
- Aynı kayıtların KVKK bakımından kişisel veri içerip içermediği değerlendirildi
- erişim, saklama, maskeleme ve imha yetkileri ayrıştırıldı
- log bütünlüğü ve zaman senkronizasyonu doğrulandı
- yasal saklama süresi ile operasyonel arşiv süresi birbirinden ayrıldı
- denetim ve olay inceleme prosedürü yazılı hale getirildi
LeonX ile Sonraki Adım
5651 ile KVKK arasındaki farkı doğru kurmak, yalnız mevzuat maddelerini ezberlemek değildir; hangi kaydın neden tutulduğunu, o kaydın kişisel veri boyutunu ve operasyonel güvenlik gereksinimini aynı modelde yönetmek gerekir. LeonX, İş ve Yönetim Hizmetleri altında özellikle Siber Güvenlik Değerlendirme Hizmeti ile kontrol boşluklarını görünür hale getirir; teknik uygulama tarafında ise Donanım & Yazılım Hizmetleri ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ile log yönetimini daha denetlenebilir hale getirir. Mevcut yapınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Siber Güvenlik Değerlendirme Hizmeti
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İletişim
Sık Sorulan Sorular
5651 ile KVKK aynı şey midir?
Hayır. 5651 internet yayınları ve belirli internet aktörlerinin yükümlülüklerine odaklanır; KVKK kişisel verilerin işlenmesi ve korunmasına odaklanır.
5651 logları kişisel veri sayılabilir mi?
Evet. IP adresi, zaman damgası, kullanıcı bilgisi veya abone bilgisi içeriyorsa çoğu zaman kişisel veri boyutu da oluşur.
Her şirket 5651 kapsamında trafik logu tutmak zorunda mıdır?
Hayır. Bu sorunun cevabı kurumun 5651 bakımından hangi rolde olduğuna bağlıdır. Rol tespiti yapılmadan genelleme yapmak doğru değildir.
KVKK, 5651’de zorunlu olan kayıtların silinmesini ister mi?
KVKK temel olarak verinin mevzuatta öngörülen veya amaç için gerekli süre kadar tutulmasını söyler. Dolayısıyla özel bir yasal saklama yükümlülüğü varsa, değerlendirme bu yükümlülükle birlikte yapılmalıdır.
Sadece 5651 uyumlu loglama cihazı almak yeterli midir?
Hayır. Erişim yetkisi, bütünlük, şifreleme, denetim, alarm üretimi ve imha süreci de ayrıca tasarlanmalıdır.
Sonuç
5651 ile KVKK arasındaki fark, birinin internet yayıncılığı ve trafik zincirine, diğerinin ise kişisel verinin işlenmesi ve korunmasına odaklanmasıdır. Doğru yaklaşım; 5651’i rol ve kayıt yükümlülüğü, KVKK’yı ise bu kayıtların kişisel veri boyutu ve güvenlik disiplini olarak birlikte okumaktır. Böylece kurum, hem neyi tutması gerektiğini hem de tuttuğu veriyi nasıl yönetmesi gerektiğini daha net görür.
Kaynaklar
- 5651 Sayılı Kanun - mevzuat.gov.tr PDF
- Erişim Sağlayıcıları Birliği - Mevzuat
- Erişim Sağlayıcıları Birliği - Sıkça Sorulan Sorular
- KVKK - 6698 Sayılı Kişisel Verilerin Korunması Kanununun Amacı ve Kapsamı
- KVKK - Veri Güvenliğine İlişkin Yükümlülükler
- KVKK - Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
- KVKK - Kişisel Verilerin Korunması Kanunu ve Uygulaması PDF
- Wikimedia Commons - A view of the server room at The National Archives
