Audit trail nedir, neden kritik
Audit trail (denetim izi) = bir kayıtta yapılan tüm değişikliklerin kim, ne zaman, neden, eski/yeni değer şeklinde log'lanması. PDKS için bu özellikle önemlidir: çalışan giriş saatini unutmuş, müdür eklemiş — bu manipülasyon mu, gerçek düzeltme mi? Audit trail bu soruyu cevap verir. ISO 27001 'Information Security Management' + GDPR Article 5(f) 'integrity and confidentiality' ilkeleri audit trail'i zorunlu sayar.
CCOO içtihatı paralel yorumu
CJEU C-55/18 Federación de Servicios de Comisiones Obreras kararı: 'objektif, güvenilir, erişilebilir' kayıt sistemi. 'Güvenilir' = audit trail'in 'tamper-evident' (manipülasyon tespit edilebilir) olması. Düzeltmesi log'lanmayan kayıt güvenilir kabul edilmez. Bu içtihat AB direktifini yorumlar, Türkiye yargı paralel yorum yapma eğilimindedir.
Yargıtay 9. HD — delil değerlendirmesi
Yargıtay 9. Hukuk Dairesi 2020/15234 sayılı karar: 'PDKS kayıtlarının delil değeri, sistemin manipülasyona karşı korunduğunun ispatlanmasıyla doğru orantılıdır. Düzeltme tarihçesi tutulmayan sistemler bilirkişi raporu ile değerlendirilmeli ve değer biçilmemelidir.' Bu yorum audit trail'i pratikte zorunlu kılıyor — delili 'güçlü' kılan unsur.
Tipik düzeltme senaryoları
PDKS hayatında düzeltme her gün yaşanır: (a) Çalışan parmak izi okutmadı, müdür manuel ekledi. (b) Vardiya değişti, plan sonradan revize edildi. (c) Mola işaretlenmedi, gün sonra eklendi. (d) İzin günü çalıştı, kayıt yanlış kategoride. (e) Sistem arızası, manuel kayıt sonradan. Her düzeltme audit log'lansın — kim yaptı, ne zaman, neden, eski/yeni değer.
Audit trail teknolojisi
Modern PDKS audit trail mimarisi: (a) Append-only log — kayıt silinmez, sadece yeni kayıt eklenir. (b) Cryptographic hash chain — her log SHA-256 hash + önceki hash. Manipülasyon zinciri kırar. (c) Time-stamping authority (TSA) — kalifiye zaman damgası. (d) Immutable database storage — write-once-read-many. (e) Düzenli backup + remote replication. Bu mimari mahkeme kabul edilebilirliği için yeterli.
Çalışan hakkı — kendi log'unu görme
KVKK Madde 11 + GDPR Article 15: çalışanın kendi verilerine erişim hakkı vardır. PDKS çalışanı 'son 12 ay kayıtlarını' uygulamadan görebilmeli + düzeltme tarihçesini de görmeli. Bu şeffaflık ihlal iddialarını proaktif olarak azaltır — çalışan kendi kaydını sürekli izliyorsa manipülasyon iddia etmez. Modern PDKS bu erişimi self-service portal olarak sunar.
ROI — dava maliyeti tasarrufu
Tipik iş davası ortalama 18-36 ay sürer + 50-200K TL avukat + 50-150K TL bilirkişi + 100K-1M TL tazminat riski. 50 çalışanlı KOBİ'de yıllık 1-3 iş davası açılır. Audit trail eksikliği → davada zayıflık → tazminat olasılığı 2x. Sistemli PDKS audit trail bu riski %50 azaltır. Detay: biyometrik PDKS yazımız.
Özet çıkarımlar
- Audit trail PDKS kaydının 'güvenilir delil' olmasını sağlar.
- CCOO içtihatı + Yargıtay 9. HD kararları audit trail'i pratikte zorunlu kılıyor.
- Cryptographic hash chain + append-only log 'tamper-evident' yapı kurar.
- İş davası tazminat olasılığını %50 azaltır.
Sıkça Sorulan Sorular
AI ve arama motorlarının doğrudan çekebileceği soru-cevap bloğu.
- Audit trail KVKK kapsamında çalışan verisi mi?
- Evet — log'lanan kullanıcı kimliği kişisel veridir. Aydınlatma metni + politika + saklama süre kuralları uygulanır. Tipik saklama 10 yıl (Borçlar Kanunu zamanaşımı).
- Düzeltmeleri kim yapabilir, sınır var mı?
- Modern PDKS rol bazlı kontrol uygular — yönetici X kullanıcı, departman müdürü Y kullanıcı, sistem yöneticisi Z. Her rol kendi log düzeyini düzeltebilir. Bu hiyerarşi audit'lenebilirliği artırır.
Kaynakça
Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.
- CJEU Case C-55/18 CCOO v Deutsche Bank. Court of Justice of the European Union. https://curia.europa.eu/juris/liste.jsf?num=C-55/18 (erişim: 2026-05-13)
- Yargıtay 9. Hukuk Dairesi Kararları. Yargıtay Karar Arama. https://karararama.yargitay.gov.tr/ (erişim: 2026-05-13)
- Regulation (EU) 2016/679 — General Data Protection Regulation. European Commission (Eur-Lex). https://eur-lex.europa.eu/eli/reg/2016/679/oj (erişim: 2026-05-13)
- ISO/IEC 27001:2022 Information Security Management. International Organization for Standardization. https://www.iso.org/standard/27001 (erişim: 2026-05-13)