KVKK Uyumlu Yazılım Geliştirme: Şirketlerin Bilmesi Gereken Her Şey

2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu — KVKK — Türkiye'deki her işletmeyi doğrudan ilgilendiriyor. Ancak bu kanunun getirdiği yükümlülüklerin yazılım geliştirme süreçlerine nasıl yansıdığı, pek çok şirket tarafından hâlâ tam olarak anlaşılamıyor. "Bir gizlilik politikası ekledik, tamam" yaklaşımı artık yeterli değil — ve KVKK ihlalleri ciddi idari para cezaları ve itibar kayıplarıyla sonuçlanabiliyor.

Bu yazıda KVKK'nın yazılım geliştirme süreçlerine getirdiği teknik yükümlülükleri, uyumlu bir sistem inşa etmenin nasıl mümkün olduğunu ve bu süreçte şirketlerin en sık yaptığı hataları ele alıyoruz.

KVKK Yazılımı Nasıl Etkiler?

KVKK'yı salt bir hukuki mesele olarak ele almak, en yaygın ve en maliyetli hatalardan biridir. Kanun, kişisel veri işleyen her yazılım sistemini — müşteri veri tabanından kullanıcı giriş loglarına, çerezlerden analitik araçlarına kadar — doğrudan kapsamına alıyor.

Bir yazılım sistemi KVKK kapsamında kişisel veri işliyorsa, bu sistemi geliştiren ya da kullanan kuruluşun hem teknik hem de idari tedbirleri hayata geçirmesi zorunludur. Teknik tedbirler; şifreleme, erişim kontrolü, güvenli silme, veri ihlali tespit mekanizmaları ve sızma testlerini kapsar. İdari tedbirler ise veri işleme envanteri oluşturma, personel eğitimi ve açık rıza yönetimini içerir.

Bu gereksinimlerin yazılım mimarisine baştan entegre edilmesi — sonradan yamanmaya çalışılmaması — hem maliyeti düşürür hem de uyum kalitesini artırır. "Privacy by Design" olarak bilinen bu yaklaşım, KVKK'nın da temel beklentilerinden biridir.

Veri Envanteri: Nereden Başlamalısınız?

KVKK uyum sürecinin ilk adımı, yazılım sisteminizin hangi kişisel verileri işlediğini tam olarak bilmektir. Çoğu şirket bu soruya yüzeysel bir cevap veriyor: "Ad, soyad, e-posta." Ancak gerçekte işlenen veri kategorileri genellikle çok daha geniştir: IP adresleri, davranışsal veriler, konum bilgisi, ödeme geçmişi, cihaz tanımlayıcıları.

Veri envanteri — ya da KVKK terminolojisiyle Veri İşleme Envanteri — her veri kategorisi için şu soruları yanıtlamalıdır: Bu veri neden işleniyor? Hangi hukuki dayanağa göre? Nerede saklanıyor? Ne kadar süre tutulacak? Kimler erişebilir? Üçüncü taraflarla paylaşılıyor mu?

Bu envanterin doğru ve güncel tutulması, hem VERBIS kaydı için hem de olası bir denetim sürecinde temel referans noktanız olacaktır. Yazılım sistemlerinizde yapılan her büyük güncelleme envanterin de gözden geçirilmesini gerektirmelidir.

Teknik Tedbirler: Yazılım Mimarisinde KVKK

Açık rıza yönetimi, KVKK uyumunun en görünür teknik bileşenidir. Kullanıcıdan alınan onay; hangi amaçla, hangi veri için, hangi süreyle geçerli olduğunu açıkça ifade etmeli ve bu onay yazılım sistemine kayıt edilmelidir. "Devam ederek gizlilik politikamızı kabul etmiş sayılırsınız" ifadesi KVKK kapsamında geçerli bir rıza mekanizması değildir.

Veri minimizasyonu ilkesi, yalnızca amacınız için gerçekten gerekli olan verileri tolamanızı zorunlu kılar. Bu ilkeyi teknik düzeyde hayata geçirmek için form tasarımlarını, API girdilerini ve veri tabanı şemalarını düzenli olarak gözden geçirmek gerekir. Gereksiz veri toplamak yalnızca yasal bir risk değil — aynı zamanda bir güvenlik açığıdır.

Şifreleme, hem aktarımda hem de depolamada zorunlu teknik bir gerekliliktir. Kişisel veri içeren tüm API iletişimleri HTTPS üzerinden gerçekleşmeli; veri tabanında saklanan hassas veriler AES-256 gibi güçlü algoritmalarla şifrelenmelidir. Parola gibi kimlik bilgileri ise asla düz metin olarak saklanmamalı, bcrypt ya da Argon2 gibi tek yönlü hash fonksiyonlarıyla işlenmelidir.

Erişim kontrolü ve yetkilendirme mimarisi, hangi kullanıcı ya da sistem bileşeninin hangi veriye erişebildiğini net biçimde tanımlamalıdır. En az ayrıcalık ilkesi — bir bileşenin yalnızca görevini yerine getirmek için gereken minimum veriye erişmesi — bu mimarinin temelini oluşturur. Erişim logları düzenli olarak tutulmalı ve saklanmalıdır.

Veri ihlali tespit ve bildirim mekanizması, KVKK'nın en kritik teknik gereksinimlerinden biridir. Kanun, kişisel veri ihlallerinin öğrenilmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirilmesini zorunlu kılmaktadır. Bu süreçte sistem loglarının doğru yapılandırılmış olması, ihlalin kapsamını ve zaman çizelgesini hızla tespit etmeye imkân tanır.

Veri Saklama ve Güvenli Silme

"Veriyi saklayalım, belki lazım olur" yaklaşımı KVKK ile doğrudan çelişmektedir. Kanun, kişisel verilerin yalnızca işleme amacıyla orantılı bir süre saklanmasını zorunlu kılar. Bu süre dolduğunda ya da işleme amacı ortadan kalktığında verinin güvenli biçimde silinmesi ya da anonimleştirilmesi gerekir.

Yazılım sistemlerinde güvenli silme, veritabanından kaydın kaldırılmasının çok ötesindedir. Yedekleme sistemleri, log dosyaları, CDN önbellekleri ve üçüncü taraf servisler — bunların tamamında ilgili verinin temizlenmesi gerekebilir. Bu sürecin yazılım mimarisine baştan entegre edilmemesi, veri silme süreçlerini sonradan son derece karmaşık ve maliyetli hale getirir.

Kullanıcının "hesabımı sil" talebinde bulunması durumunda sistemin bu talebi 30 gün içinde yerine getirmesi ve ilgili tüm sistemlerden veriyi temizlemesi gerekmektedir. Bu sürecin teknik olarak test edilmiş ve belgelenmiş olması kritik önem taşır.

VERBIS Kaydı ve Yazılım Süreçleriyle İlişkisi

Veri Sorumluları Sicil Bilgi Sistemi — VERBIS — yıllık cirosu 50 milyon TL'nin üzerinde olan ya da 50'den fazla çalışanı bulunan şirketler için zorunludur. VERBIS kaydı yalnızca bir form doldurma süreci değildir; sisteminizin veri işleme faaliyetlerini doğru biçimde belgelemesini ve raporlayabilmesini gerektirir.

Yazılım geliştirme sürecinde bu gereksinim şu anlama gelir: her yeni özellik ya da entegrasyon, veri işleme etkisi açısından değerlendirilmeli ve gerektiğinde VERBIS kaydı güncellenmelidir. Bu süreci sürdürülebilir kılmak için şirket içinde belirli bir ekip ya da kişinin veri sorumluluğunu üstlenmesi önerilir.

Albert Einstein'ın dediği gibi: "Her şeyi olabildiğince basit yapın, ama daha basit değil." KVKK uyum sürecinde de aynı denge geçerlidir — aşırı karmaşık sistemler sürdürülemez, aşırı basit yaklaşımlar ise yetersizdir.

Üçüncü Taraf Entegrasyonlar ve Veri Aktarımı

Pek çok yazılım sistemi Google Analytics, Intercom, Stripe ya da AWS gibi yabancı servislerle entegre çalışır. Bu entegrasyonlar, Türkiye sınırları dışına kişisel veri aktarımı anlamına gelir ve KVKK bu aktarımları açık rıza ya da yeterli güvence şartına bağlar.

Entegrasyon kararları alınırken şu sorular yanıtlanmalıdır: Bu servis hangi verilere erişiyor? Veriyi hangi ülkedeki sunucularda saklıyor? GDPR uyumlu mu? Veri işleme sözleşmesi imzalamak mümkün mü? Bu soruların cevapları hem hukuki uyum hem de güvenlik riski değerlendirmesi açısından belirleyicidir.

Penetrasyon Testi ve Güvenlik Denetimleri

KVKK'nın teknik tedbirler kapsamında beklediği en önemli adımlardan biri düzenli güvenlik denetimidir. Penetrasyon testi — ya da pentest — sisteminize kötü niyetli bir saldırganın bakış açısıyla yaklaşarak güvenlik açıklarını tespit eder.

Yılda en az bir kez gerçekleştirilmesi önerilen pentest, özellikle kişisel veri işleyen sistemlerde, ödeme altyapılarında ve kullanıcı kimlik doğrulama katmanlarında kritik önem taşır. Test sonuçları belgelenmeli ve tespit edilen açıklar öncelik sırasına göre kapatılmalıdır. Bu sürecin kaydı, olası bir KVK Kurumu denetimine hazırlık açısından da değerli bir referans oluşturur.

KVKK uyumu, bir kerelik tamamlanan bir proje değil — sürekli sürdürülen bir süreçtir. Yazılım sistemleri geliştikçe, yeni entegrasyonlar eklendikçe ve iş modelleri değiştikçe uyum durumunun da yeniden değerlendirilmesi gerekir. Bu süreci baştan doğru kurmak, ilerleyen dönemde çok daha maliyetli bir yeniden yapılanmayı önler.