Kişisel Veri mi, Kurumsal Veri mi?
Log Kayıtları, IP Adresleri ve Mail Kayıtlarının KVKK’daki Yeri
KVKK uyum süreçlerinde teknik ekipler ile hukuk ekipleri arasında en sık yaşanan tartışmalardan biri; log kayıtları, IP adresleri ve e-posta kayıtlarının kişisel veri sayılıp sayılmadığıdır. Uygulamada bu veriler “teknik veri” veya “kurumsal kayıt” etiketiyle KVKK dışı görülse de, belirleyici olan çoğu zaman verinin bağlam içinde bir kişiyle ilişkilendirilebilir olup olmadığıdır.
Bu yazıda; IP, log ve e-posta kayıtlarının KVKK kapsamındaki yerini belirlenebilirlik kriteri üzerinden, denetim perspektifi ve pratik uygulama başlıklarıyla birlikte ele alıyoruz.
Belirleyici unsur: “veri türü” değil belirlenebilirlik ve işleme bağlamıdır.
IP, log ve e-posta kayıtları; kişiyle ilişkilendirilebildiği ölçüde KVKK kapsamında kişisel veri sayılabilir.
Denetimlerde; hukuki sebep, aydınlatma, erişim yetkileri, saklama süresi ve
kanıtlanabilirlik birlikte değerlendirilir.
- IP/log/mail verilerinin hangi senaryolarda kişisel veri sayılabileceğini netleştirir.
- Denetimde sorulan “en kritik 5 soruyu” tek ekranda toplar.
- Saklama-imha, rol bazlı erişim ve kayıt/kanıt yaklaşımını pratikleştirir.
1. Kişisel Veri Tanımı Nerede Başlıyor?
KVKK’ya göre kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Buradaki ana eşik “belirlenebilirlik” unsurudur.
Bir veri tek başına kişiyi doğrudan tanımlamasa bile, başka verilerle ilişkilendirildiğinde ilgili kişinin tespit edilmesine imkân tanıyorsa KVKK kapsamında kişisel veri olarak değerlendirilir.
- Bu kayıtlar bir kullanıcı/çalışan hesabı ile eşleşebiliyor mu?
- IP + tarih/saat + oturum bilgisi gibi alanlar birlikte kişiyi “ayırt edilebilir” kılıyor mu?
- Veriye erişebilen kişiler/ekipler, kimliği tespit edecek ek veriye de erişebiliyor mu?
2. IP Adresleri: Teknik Bilgi mi, Kişisel Veri mi?
Yaygın yanılgı
IP adresinin sadece sistemsel bir tanımlayıcı olduğu ve otomatik olarak KVKK dışında kaldığı düşüncesi.
KVKK açısından değerlendirme
IP adresi, bir kullanıcıyla ilişkilendirilebildiği ölçüde kişisel veri niteliği taşır. Değerlendirme çoğu zaman “IP’nin türünden” çok eşleştirme imkânına bağlıdır.
- Statik IP çoğu senaryoda daha kolay ilişkilendirilebilir olduğu için risk eşiği yüksektir.
- Dinamik IP ise loglar, üyelik/oturum kayıtları veya servis sağlayıcı verileriyle eşleştirilebiliyorsa kişisel veri olarak değerlendirilebilir.
3. Log Kayıtları: Güvenlik Verisi mi, Kişisel Veri mi?
Teknik perspektif
Log kayıtları; sistem güvenliği, hata tespiti ve izleme amacıyla tutulan, çoğu zaman otomatik üretilen kayıtlardır.
Hukuki perspektif
Loglar içinde kullanıcı adı, IP, oturum zamanı, erişilen kaynak gibi alanlar yer alıyorsa ve bu alanlar bir gerçek kişiye bağlanabiliyorsa KVKK kapsamında kişisel veri niteliği doğar.
- Veri kapsamı: Gereksiz alanlar (tam URL query, token, içerik) loglanıyor mu?
- Erişim: Kim, hangi amaçla, hangi yetkiyle loglara erişiyor?
- Bütünlük: Loglar değiştirilemezlik/bütünlük açısından korunuyor mu?
- Saklama: Süre tanımlı mı ve fiilen uygulanıyor mu?
4. Mail Kayıtları ve E-Posta Trafiği
Sık yapılan hata
Kurumsal e-posta hesabının tamamen “şirkete ait” olduğu ve KVKK kapsamı dışında kaldığı düşüncesi.
KVKK açısından durum
Kurumsal e-posta süreçlerinde; gönderici/alıcı, IP ve zaman damgaları, içerik ve ekler gerçek kişilere ilişkin bilgi içerebilir. Bu nedenle süreç, çoğu senaryoda KVKK yükümlülükleriyle birlikte ele alınmalıdır.
Özellikle çalışan e-postalarının izlenmesi, loglanması veya arşivlenmesinde; aydınlatma, hukuki sebep ve ölçülülük ilkesi kritik hale gelir.
5. “Kurumsal Veri” Kavramı Neden Yanıltıcı?
“Kurumsal veri” pratikte sık kullanılan bir ifade olsa da, KVKK açısından belirleyici olan veri türü değil; verinin kime ilişkin olduğu ve hangi bağlamda kimle ilişkilendirilebildiğidir.
- Verinin kurum sistemlerinde üretilmesi
- Teknik amaçla tutulması
- Güvenlik gerekçesiyle işlenmesi
onu otomatik olarak KVKK kapsamı dışına çıkarmaz.
6. Denetimlerde Kurul Ne Bekliyor?
Denetimlerde Kurul; IP, log ve e-posta kayıtlarının kişisel veri olarak ele alınıp alınmadığını, bu veriler için hukuki sebebin belirlenip belirlenmediğini, aydınlatma metinlerinde süreçlerin yer alıp almadığını ve saklama sürelerinin tanımlı/uygulanabilir olup olmadığını özellikle inceler.
- Envanter: Amaç, veri kategorisi, saklama süresi tanımlı mı?
- Hukuki sebep: Süreçle uyumlu mu, gerekçe yazılı mı?
- Erişim: Rol bazlı mı, yetki ve erişimler kayıtlı mı?
- Saklama-İmha: Fiilen uygulanıyor mu, kanıtlanabilir mi?
- Şeffaflık: Aydınlatma metinlerinde süreç anlaşılır mı?
7. Sonuç: Teknik Veri – Kişisel Veri Ayrımı Süreç Bazlı Yapılmalıdır
Log kayıtları, IP adresleri ve e-posta trafiği; tek başına değil, işleme bağlamı içinde değerlendirilmelidir. Teknik ekiplerin güvenlik gerekçeleri ile hukuk ekiplerinin KVKK yaklaşımı birbirinin alternatifi değil, tamamlayıcısıdır.
8. Nesil Teknoloji Yaklaşımı
Nesil Teknoloji olarak; teknik kayıtların kişisel veri niteliğini süreç bazlı analiz ediyor, hem güvenlik hem de mevzuat uyumunu birlikte ele alıyoruz. Böylece sahada en sık görülen teknik–hukuki çatışmalar, uygulanabilir kontrol modeliyle çözümlenebilir hale geliyor.
9. Sık Sorulan Sorular
IP adresi her durumda kişisel veri midir?
Her senaryo aynı değildir; ancak IP bir kullanıcıyla ilişkilendirilebiliyorsa (özellikle erişim/log kayıtlarıyla), KVKK kapsamında kişisel veri olarak ele alınmalıdır.
Log tutmak KVKK açısından risk mi, gereklilik mi?
Log yönetimi, güvenlik ve denetlenebilirlik için gerekliliktir. Risk; loglarda yer alan kişisel verilerin kontrolsüz erişim, ölçüsüz saklama ve belgesiz süreçlerle işlenmesinden doğar. Sağlam model; rol bazlı erişim + saklama süresi + kayıt/kanıt yaklaşımıdır.
Kurumsal e-posta tamamen KVKK dışı sayılabilir mi?
Hayır. E-posta trafiği gerçek kişilere ilişkin bilgi içeriyorsa kişisel veri niteliği doğabilir. İzleme/arşivleme gibi uygulamalar; hukuki sebep, aydınlatma ve ölçülülük ilkeleriyle uyumlu tasarlanmalıdır.

