format_list_bulletedBu İçerikte Bahsedilen Konular
- arrow_rightKVKK Nedir ve Hosting Şirketlerini Nasıl Etkiler?
- arrow_rightKVKK Kapsamında Hosting Şirketlerinin Yükümlülükleri
- arrow_rightGDPR Nedir ve Hosting Şirketlerini Nasıl Etkiler?
- arrow_rightGDPR'nin Temel İlkeleri
- arrow_rightHosting Şirketleri İçin GDPR Gereksinimleri
- arrow_rightKVKK ve GDPR Arasındaki Temel Farklar
- arrow_rightHosting Şirketleri İçin Uyumluluk Adımları
- arrow_right1. Veri Envanteri Oluşturma
- arrow_right2. Hukuki Dayanak Belirleme
- arrow_right3. Veri İşleme Anlaşmaları (DPA) Hazırlama
- arrow_right4. Teknik Güvenlik Önlemleri
- arrow_right5. İdari Önlemler
- arrow_rightVeri İşleme Anlaşması (DPA) Nasıl Hazırlanmalı?
- arrow_rightDPA'da Bulunması Gereken Temel Maddeler
- arrow_rightVeri İhlal Yönetimi
- arrow_rightİhlal Müdahale Planı
- arrow_rightSunucu Altyapısı ve Uyumluluk
- arrow_rightÖnerilen Altyapı Önlemleri
- arrow_rightÜçüncü Taraf Tedarikçi Yönetimi
Hosting Şirketleri İçin KVKK ve GDPR Uyumluluk Rehberi
Hosting şirketleri, müşterilerinin kişisel verilerini barındırdıkları için hem KVKK (Kişisel Verilerin Korunması Kanunu) hem de GDPR (General Data Protection Regulation - Genel Veri Koruma Yönetmeliği) kapsamında kritik sorumluluklar taşımaktadır. Bu rehber, hosting sağlayıcılarının uyumluluk süreçlerini adım adım açıklamaktadır.
KVKK Nedir ve Hosting Şirketlerini Nasıl Etkiler?
KVKK, Türkiye'de 2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu'dur. Hosting şirketleri, veri işleyen sıfatıyla hem veri sorumlusu müşterilerine hem de son veri sahiplerine karşı yükümlülükler taşır.
KVKK Kapsamında Hosting Şirketlerinin Yükümlülükleri
Hosting sağlayıcıları, aşağıdaki temel yükümlülüklere tabidir:
- Veri İşleme Kaydı Tutma: Her yıl Veri Sorumluları Sicil Sistemine (VERBİS) kayıt yaptırma zorunluluğu
- Güvenlik Önlemleri: Kişisel verilerin hukuka aykırı işlenmesini önlemek için teknik ve idari tedbirler alma
- Veri İhlal Bildirimi: İhlal durumunda 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim
- Aydınlatma Yükümlülüğü: Müşterileri veri işleme süreçleri hakkında bilgilendirme
Hosting altyapınızda kullanılan Nginx ve Brotli sıkıştırma teknikleri, veri transfer güvenliğini artıran önemli unsurlardan biridir.
GDPR Nedir ve Hosting Şirketlerini Nasıl Etkiler?
GDPR, Avrupa Birliği vatandaşlarının kişisel verilerini korumak amacıyla oluşturulan ve 2018 yılında yürürlüğe giren kapsamlı bir düzenlemedir. AB vatandaşlarına hizmet veren tüm şirketler, GDPR'ye uymak zorundadır.
GDPR'nin Temel İlkeleri
- Hukuka ve dürüstlüğe uygunluk: Verilerin yasal süreçlere göre işlenmesi
- Şeffaflık: Veri sahiplerine açık ve anlaşılır bilgi sunma
- Veri minimizasyonu: Yalnızca gerekli verilerin toplanması
- Doğruluk: Verilerin güncel tutulması
- saklama sınırlaması: Verilerin belirlenen sürelerden uzun tutulmaması
- Bütünlük ve gizlilik: Uygun güvenlik önlemlerinin alınması
Hosting Şirketleri İçin GDPR Gereksinimleri
Hosting sağlayıcıları, AB müşterilerine hizmet veriyorlarsa, aşağıdaki gereksinimleri karşılamalıdır:
- Yasal Dayanak: Her veri işleme faaliyeti için uygun hukuki dayanak belirleme
- Veri Koruma Etki Değerlendirmesi (DPIA): Yüksek riskli işlemler için değerlendirme yapma
- Veri Koruma Görevlisi (DPO): Belirli durumlarda DPO atama
- Uluslararası Veri Transferleri: AB dışına transferlerde uyguin koruma sağlama
- Murakıplık Yükümlülüğü: İşlenen kişisel verilerin kaydını tutma
KVKK ve GDPR Arasındaki Temel Farklar
Her iki düzenleme de kişisel verileri korumayı amaçlasa da uygulama ve yaptırım açısından önemli farklılıklar içermektedir.
| Kriter | KVKK | GDPR |
|---|---|---|
| Yürürlük Tarihi | 7 Nisan 2016 | 25 Mayıs 2018 |
| Coğrafi Kapsam | Türkiye | AB Üye Ülkeleri + AB Vatandaşları |
| Para Cezası | 2024 itibarıyla 50.000 TL - 3.000.000 TL | 20 milyon Euro veya yıllık cironun %4'ü |
| Veri Koruma Kurulu | KVKK Kurulu | EDPB (Avrupa Veri Koruma Kurulu) |
| DPO Zorunluluğu | Belirli şirketler için önerilen | Belirli kriterlerde zorunlu |
| İhlal Bildirim Süresi | 72 saat | 72 saat |
| Sicil Sistemi | VERBİS (zorunlu) | Her ülkede farklı uygulama |
Hosting Şirketleri İçin Uyumluluk Adımları
1. Veri Envanteri Oluşturma
Hangi kişisel verilerin işlendiğini, hangi amaçla kullanıldığını ve kimlerin erişim sahibi olduğunu belirleyen kapsamlı bir envanter hazırlanmalıdır. Bu envanter, hem KVKK hem de GDPR gereksinimlerinin temelini oluşturur.
2. Hukuki Dayanak Belirleme
Her veri işleme faaliyeti için uygun hukuki dayanak (onay, sözleşme, meşru menfaat vb.) tanımlanmalıdır. AB müşterileri için özellikle GDPR'nin 6. maddesindeki altı yasal dayanaktan birinin belirlenmesi zorunludur.
3. Veri İşleme Anlaşmaları (DPA) Hazırlama
Müşterilerinizle yapılan her sözleşmede, veri işleme koşullarını açıkça tanımlayan ek madde bulunmalıdır. Bu anlaşmalar, hem veri sorumlusu hem de veri işleyen sorumluluklarını netleştirir.
4. Teknik Güvenlik Önlemleri
Hosting altyapınızda aşağıdaki teknik önlemler mutlaka alınmalıdır:
- Şifreleme: SSL/TLS sertifikaları ve at-rest şifreleme
- Erişim Kontrolü: Role-based access control (RBAC) uygulaması
- Denetim İzleri: Tüm veri erişimlerinin loglanması
- Yedekleme: Düzenli ve güvenli yedekleme prosedürleri
- WAF: Web Application Firewall kullanımı
Sunucu güvenliği için WAF uygulaması kritik öneme sahiptir.
5. İdari Önlemler
Teknik tedbirlerin yanı sıra idari önlemler de alınmalıdır:
- Çalışanlara düzenli KVKK ve GDPR eğitimi verilmesi
- Gizlilik politikalarının güncellenmesi ve paylaşılması
- Veri ihlal müdahale planının oluşturulması
- Üçüncü taraf tedarikçi değerlendirmesi yapılması
- Düzenli uyumluluk denetimlerinin gerçekleştirilmesi
Veri İşleme Anlaşması (DPA) Nasıl Hazırlanmalı?
Hosting şirketleri ile müşterileri arasındaki veri işleme ilişkisini düzenleyen DPA'lar, uyumluluğun temel belgeleridir. Bu anlaşmalarda şu konular yer almalıdır:
DPA'da Bulunması Gereken Temel Maddeler
- Tarafların tanımları ve sorumlulukları
- İşlenen kişisel veri kategorileri
- Veri işleme amaçları ve hukuki dayanakları
- Veri sahibi haklarının nasıl yerine getirileceği
- Alt işleyen kullanımı koşulları
- Veri ihlal bildirim prosedürleri
- Sözleşme sonrası veri iade/imha koşulları
- Sorumluluk sınırlamaları ve tazminat
Veritabanı güvenliği için bağlantı havuzu yönetimi de önemli bir güvenlik unsurudur.
Veri İhlal Yönetimi
Her iki düzenleme de veri ihlalleri için 72 saatlik bildirim süresi öngörmektedir. Hosting şirketleri, olası ihlal senaryolarına karşı hazırlıklı olmalıdır.
İhlal Müdahale Planı
- Tespit: İhlalin belirlenmesi ve dokümantasyonu
- Değerlendirme: İhlalin niteliği ve etkisinin analizi
- Bildirim: KVKK Kurulu ve/veya ilgili AB makamlarına 72 saat içinde bildirim
- Müdahale: İhlalin etkisinin azaltılması için acil önlemler
- Bildirim: Etkilenen veri sahiplerinin bilgilendirilmesi (GDPR'da gerekirse)
- Düzeltme: Tekrarı önlemek için kalıcı önlemler
Sunucu Altyapısı ve Uyumluluk
Hosting şirketlerinin teknik altyapısı, KVKK ve GDPR uyumluluğunun temel taşlarından biridir. Sunucu seçimi ve konfigürasyonu, veri güvenliği açısından kritik öneme sahiptir.
Önerilen Altyapı Önlemleri
- Fiziksel Güvenlik: Veri merkezlerinin fiziksel erişim kontrolleri
- Ağ Güvenliği: Güvenlik duvarları, IDS/IPS sistemleri
- Veri Yedekleme: RAID yapılandırması ve off-site yedekleme
- Erişim İzleme: 7/24 monitoring ve loglama
- SLA: Müşterilere uptime garantisi sağlama
Yüksek performanslı depolama çözümleri ve RAID yapılandırması ile veri güvenliği sağlanabilir.
Üçüncü Taraf Tedarikçi Yönetimi
Hosting şirketleri, alt işleyenler ve tedarikçiler aracılığıyla da sorumluluk taşımaktadır. GDPR'nin 28. maddesi, veri işley
