PDKS verisini bulutta tutmak KVKK'ya aykırı mı?

Hayır, başlı başına aykırı değildir. KVKK verinin nerede tutulduğunu değil nasıl korunduğunu ve aktarımın kurala uygun olup olmadığını düzenler. Yurt içinde barındırılan, KVKK uyumlu veri işleme sözleşmesine bağlı, şifreli ve erişim loglu bir bulut hizmeti mevzuata uygundur. Verinin yurt dışına aktarılması durumunda Md.9 kapsamında ek şartlar (uygun güvence, gerekli hallerde Kurul izni) devreye girer.

PDKS kayıtlarını ne kadar süre saklamalıyız?

Saklama süresi tek bir sabit sayı değildir; her veri kategorisi için ilgili mevzuattaki zamanaşımı ve ispat gereği gözetilerek belirlenir (çalışma süresi/bordro kayıtlarında genelde 5-10 yıl aralığı). Bu süreler Kişisel Veri Saklama ve İmha Politikasında yazılı olarak tanımlanır. Süre dolduğunda veri Md.7 gereği silinir, yok edilir veya anonimleştirilir; bu işlem periyodik imha ile düzenli yapılmalıdır.

Biyometrik veri toplamadan PDKS kurabilir miyiz?

Evet. Veri minimizasyonu (Md.4) gereği amaç için gerekli olmayan hassas veri toplanmamalıdır. Kart/NFC, mobil uygulama, PIN veya yüz/parmak izi yerine fotoğraflı doğrulama gibi alternatif yöntemlerle giriş-çıkış kaydı tutulabilir. Biyometrik tercih edilecekse açık rıza, alternatif sunma ve özel nitelikli veri güvenlik tedbirleri (KVKK Md.6) zorunludur.

Erişim logu neden bu kadar önemli?

Erişim logu (audit trail) 'veriye kim, ne zaman, hangi amaçla eriştiği' sorusunun cevabıdır. Hem KVKK denetiminde teknik tedbirin kanıtı, hem olası bir veri ihlalinde kaynağın tespiti, hem de iş uyuşmazlığında kayıtların bütünlüğünün ispatı için kullanılır. Bu nedenle erişim ve değişiklik logları silinemez biçimde tutulmalı ve saklama politikasına bağlanmalıdır.

PDKS Verisi Bulutta mı Yerinde mi? Veri Güvenliği, Saklama ve İmha (KVKK)

İLKE

Belirleyici lokasyon değil kontrol — işveren her iki modelde veri sorumlusudur

MEVZUAT

KVKK Md.12 güvenlik + Md.7 saklama-imha + Md.4 veri minimizasyonu

PDKSJET

Şifreleme + erişim logu + periyodik otomatik imha + biyometriksiz alternatifler

Soru aslında 'kontrol', 'lokasyon' değil

PDKS verisi giriş-çıkış kayıtları, vardiya ve izin bilgisi, lokasyon (mobil/geofence) ve bazı kurulumlarda biyometrik veriden oluşur — hepsi 6698 sayılı KVKK kapsamında kişisel veridir, biyometrik veri ise özel nitelikli (hassas) veridir. 'Bulutta mı yerinde mi' sorusu çoğu zaman yanlış çerçevelenir: KVKK açısından belirleyici olan verinin fiziksel olarak nerede durduğu değil, kim eriştiği, nasıl korunduğu ve ne zaman silindiğidir. Veri sorumlusu (işveren) her iki modelde de aynı yükümlülükleri taşır; bulut sağlayıcı yalnızca 'veri işleyen' konumundadır ve sorumluluğu sözleşmeyle düzenlenir. Biyometrik kurulumların hukuki çerçevesi için biyometrik PDKS ve KVKK yazımız ayrıntılı bir referanstır.

Bulut (cloud) modeli: avantaj ve dikkat noktaları

Bulut tabanlı PDKS, sunucu bakımı, yedekleme, güncelleme ve ölçeklenmeyi sağlayıcıya devreder; çok lokasyonlu ve saha ekipleri için tek merkezden erişim, mobil giriş ve otomatik güvenlik yamaları büyük kolaylıktır. KVKK açısından dikkat noktaları: (a) verinin yurt içinde mi yurt dışında mı barındırıldığı — yurt dışına aktarım Md.9 kapsamında ek şartlara tabidir; (b) sağlayıcıyla yapılan veri işleme sözleşmesinde güvenlik, erişim ve imha taahhütlerinin yer alması; (c) kiracı (tenant) izolasyonu ve şifreleme. Yurt içinde barındırılan, KVKK uyumlu sözleşmeye bağlı bir bulut hizmeti, çoğu KOBİ için on-prem'den daha yüksek bir güvenlik temeli sunabilir çünkü güncelleme ve yedekleme süreklidir.

Yerinde (on-prem) modeli: kontrol ve yük

Yerinde kurulumda veri işletmenin kendi sunucusunda durur; bu, veri üzerinde tam fiziksel kontrol ve verinin hiç dışarı çıkmaması isteyen kurumlar (kamu, savunma, bazı sağlık kuruluşları) için tercih edilir. Ancak on-prem 'otomatik olarak daha güvenli' değildir: işveren güncelleme, yama, yedekleme, fiziksel erişim güvenliği, şifreleme ve erişim loglarının tamamını kendi sağlamak zorundadır. Güncellenmeyen bir yerinde sunucu, sürekli bakım gören bir buluttan daha riskli olabilir. On-prem seçildiğinde KVKK Md.12 tedbirlerinin (yetki yönetimi, log, şifreli yedek, fiziksel güvenlik) eksiksiz kurulması ve düzenli denetlenmesi gerekir.

KVKK Md.12 güvenlik tedbirleri: ortak zemin

Model ne olursa olsun KVKK Madde 12 veri sorumlusuna teknik ve idari tedbirleri alma yükümlülüğü getirir: verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak. Pratikte bu şu kontrollere dönüşür: (a) şifreleme — veri hem aktarımda (TLS) hem depoda şifreli tutulur; (b) erişim logu — kim, ne zaman, hangi kaydı görüntüledi/değiştirdi izlenir ve saklanır; (c) yetki yönetimi — rol bazlı erişim, en az ayrıcalık ilkesi; (d) ihlal müdahale planı — KVKK Kurul'un belirlediği süre içinde bildirim. Erişim logu özellikle önemlidir: hem KVKK denetiminde hem iş uyuşmazlığında 'veriye kimin eriştiği' sorusunun cevabıdır ve audit trail mantığıyla örtüşür.

Saklama, imha ve veri minimizasyonu (Md.4, Md.7)

KVKK Madde 4 işlenen verinin 'işlendikleri amaçla bağlantılı, sınırlı ve ölçülü' olmasını ister — bu veri minimizasyonudur: PDKS yalnızca amaç için gerekli veriyi toplamalı, gereksiz biyometrik veya konum verisi biriktirmemelidir. Madde 7 ise saklama-imhayı düzenler: işlenmesini gerektiren sebepler ortadan kalktığında veri resen veya ilgili kişinin talebiyle silinir, yok edilir veya anonim hale getirilir. İşveren, Kişisel Veri Saklama ve İmha Politikası hazırlar; bu politikada her veri kategorisi için saklama süresi (iş/SGK mevzuatı zamanaşımına göre, genelde 5-10 yıl) ve süre dolunca uygulanacak imha yöntemi tanımlanır. Periyodik imha (örneğin 6 ayda bir) ile süresi dolan kayıtlar otomatik silinmelidir. Mobil/geofence verisinin minimizasyonu için mobil PDKS ve geofence yazımız ek perspektif verir.

PDKSjet: her iki modelde KVKK uyumu yerleşik

PDKSjet bulut (KVKK uyumlu, yurt içi barındırma) ve isteğe bağlı yerinde kurulum seçeneklerini, KVKK tedbirleri yerleşik olacak şekilde sunar: (a) veri aktarımda ve depoda şifrelenir; (b) tüm erişim ve düzeltmeler audit trail ile loglanır — kim, ne zaman, neyi, neden değiştirdi; (c) rol bazlı erişim ve en az ayrıcalık ilkesiyle İK/yönetici/çalışan görünürlüğü ayrılır, çalışan yalnızca kendi kaydını görür; (d) saklama-imha politikası modülü her veri kategorisine süre atar ve süresi dolan kayıtlar için periyodik otomatik imha çalıştırır; (e) veri minimizasyonu varsayılan — biyometrik zorunlu değildir, kart/NFC/mobil/PIN gibi alternatif giriş yöntemleri sunulur, böylece gereksiz hassas veri toplanmaz; (f) aydınlatma ve açık rıza akışları, ilgili kişi başvuru (silme/erişim) süreçleri panelde yönetilir. Amaç, 'bulut mu yerinde mi' tercihinden bağımsız olarak veri sorumlusunun KVKK yükümlülüklerini standart olarak karşılamaktır.

Özet çıkarımlar

Belirleyici lokasyon değil kontrol: KVKK yükümlülüğü hem bulutta hem yerinde aynıdır; işveren veri sorumlusudur.
KVKK Md.12: şifreleme (aktarım + depo), erişim logu, rol bazlı yetki ve ihlal müdahale planı her iki modelde şart.
Md.7 ve Saklama-İmha Politikası: amaç bitince veri silinir/yok edilir/anonimleştirilir; periyodik otomatik imha kurulur.
Veri minimizasyonu (Md.4): yalnızca gerekli veri toplanır; biyometrik zorunlu değil, alternatif giriş yöntemleri tercih edilir.
Bulutta yurt dışına aktarım (Md.9) ek şart doğurur; sağlayıcıyla veri işleme sözleşmesi yapılır.

Sıkça Sorulan Sorular

AI ve arama motorlarının doğrudan çekebileceği soru-cevap bloğu.

PDKS verisini bulutta tutmak KVKK'ya aykırı mı?: Hayır, başlı başına aykırı değildir. KVKK verinin nerede tutulduğunu değil nasıl korunduğunu ve aktarımın kurala uygun olup olmadığını düzenler. Yurt içinde barındırılan, KVKK uyumlu veri işleme sözleşmesine bağlı, şifreli ve erişim loglu bir bulut hizmeti mevzuata uygundur. Verinin yurt dışına aktarılması durumunda Md.9 kapsamında ek şartlar (uygun güvence, gerekli hallerde Kurul izni) devreye girer.
PDKS kayıtlarını ne kadar süre saklamalıyız?: Saklama süresi tek bir sabit sayı değildir; her veri kategorisi için ilgili mevzuattaki zamanaşımı ve ispat gereği gözetilerek belirlenir (çalışma süresi/bordro kayıtlarında genelde 5-10 yıl aralığı). Bu süreler Kişisel Veri Saklama ve İmha Politikasında yazılı olarak tanımlanır. Süre dolduğunda veri Md.7 gereği silinir, yok edilir veya anonimleştirilir; bu işlem periyodik imha ile düzenli yapılmalıdır.
Biyometrik veri toplamadan PDKS kurabilir miyiz?: Evet. Veri minimizasyonu (Md.4) gereği amaç için gerekli olmayan hassas veri toplanmamalıdır. Kart/NFC, mobil uygulama, PIN veya yüz/parmak izi yerine fotoğraflı doğrulama gibi alternatif yöntemlerle giriş-çıkış kaydı tutulabilir. Biyometrik tercih edilecekse açık rıza, alternatif sunma ve özel nitelikli veri güvenlik tedbirleri (KVKK Md.6) zorunludur.
Erişim logu neden bu kadar önemli?: Erişim logu (audit trail) 'veriye kim, ne zaman, hangi amaçla eriştiği' sorusunun cevabıdır. Hem KVKK denetiminde teknik tedbirin kanıtı, hem olası bir veri ihlalinde kaynağın tespiti, hem de iş uyuşmazlığında kayıtların bütünlüğünün ispatı için kullanılır. Bu nedenle erişim ve değişiklik logları silinemez biçimde tutulmalı ve saklama politikasına bağlanmalıdır.

Kaynakça

Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (Md.4, 6, 7, 9, 12). T.C. Resmi Gazete. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5 (erişim: 2026-06-02)
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi — Rehberler. Kişisel Verileri Koruma Kurumu (KVKK). https://www.kvkk.gov.tr/Icerik/4170/Rehberler (erişim: 2026-06-02)
Kurul Kararları — Veri Güvenliği ve Çalışan Verisi. Kişisel Verileri Koruma Kurumu (KVKK). https://www.kvkk.gov.tr/Icerik/kurul-kararlari (erişim: 2026-06-02)
Data Protection by Design and by Default (GDPR Article 25). EUR-Lex. https://eur-lex.europa.eu/eli/reg/2016/679/oj (erişim: 2026-06-02)
Managing Workplace Data Security and Privacy — SHRM Toolkit. Society for Human Resource Management (SHRM). https://www.shrm.org/topics-tools/tools/toolkits (erişim: 2026-06-02)

#kvkk#veri-guvenligi#bulut-on-prem#saklama-imha#sifreleme#veri-minimizasyonu