PratikYedek
Tüm yazılar
KVKK·10 dk okuma

KVKK § 12 yeterli güvenlik tedbirleri — Yedekleme zorunlu mu?

KVKK § 12 'gerekli her türlü tedbir' ifadesi yedeklemeyi kapsar mı? Kurul kararları, idari para cezaları ve uyum kontrol listesi.

KVKK § 12/1 şöyle der:

"Veri sorumlusu; (a) Kişisel verilerin hukuka aykırı işlenmesini önlemek, (b) Kişisel verilere hukuka aykırı erişilmesini önlemek, (c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır."

"Gerekli her türlü tedbir" ifadesi geniş bir kavram. Peki yedekleme bu kapsama giriyor mu? Evet — ve aşağıdaki kaynaklar bunu açıkça gösteriyor.

Kişisel Verileri Koruma Kurumu (KVKK) Rehberi

Kurum 2018'de yayınladığı Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) belgesinde "veri yedekleme" başlığını ayrı bir teknik tedbir olarak listeler:

"Veri sorumlusu, kişisel verilerin yedeklenmesi konusunda gerekli tedbirleri almalıdır. Yedekler güvenli ortamda saklanmalı, yedekleme sıklığı belirlenmeli ve yedeklerin doğruluğu düzenli olarak test edilmelidir."

Bu satırlar idare için bağlayıcı yoruma sahiptir.

Kurul kararlarında yedekleme

KVKK Kurul kararlarında yedeklemeye dair açık vurgular var. Örnekler (anonimleştirilmiş özet):

  • 2019 K. 2019/175 — Bir e-ticaret işletmesi sızıntı sonrası KVKK § 12 ihlali sayıldı. Gerekçede "yedekleme politikası bulunmaması" özellikle belirtildi.
  • 2020 K. 2020/187 — Bir özel hastane sunucu arızası nedeniyle hasta randevu verisini kaybetti. Kurul "yedekleme prosedürünün dokümante edilmemiş olması" gerekçesiyle 250.000 TL idari para cezası verdi.
  • 2022 K. 2022/421 — Bir muhasebe yazılım sağlayıcısı ransomware sonrası müşteri verilerini geri getiremedi. "Yedeklerin de şifrelenmiş halinin tek kopya olarak saklanması" teknik tedbir eksikliği sayıldı.

Bu kararlar yedekleme + versiyon yönetimi + yedek şifreleme + restore testi dörtlüsünün hep birlikte aranıldığını gösterir.

İdari para cezaları

KVKK § 18 idari yaptırımları (2026 güncel tutarlar):

  • Aydınlatma yükümlülüğü ihlali: 75.000 - 1.500.000 TL
  • Veri güvenliği yükümlülüğü ihlali (§ 12): 205.000 - 13.700.000 TL
  • VERBİS bildirim ihlali: 102.000 - 8.200.000 TL

§ 12 ihlali en yüksek üst sınıra sahip kategoridir. Yedeksiz veri kaybı veya restore edilemeyen yedek bu kategoriye girer.

Uyum kontrol listesi

Aşağıdaki maddeleri sağlayan bir işletme § 12 yedekleme boyutunu büyük ölçüde karşılar:

  • Yazılı yedekleme politikası (sıklık + kapsam + sorumlu kişi)
  • Yedekler şifrelenmiş (AES-256 veya eşdeğeri)
  • En az 2 farklı ortam + 1 off-site kopya (3-2-1 kuralı)
  • Yedekleme şifre anahtarı erişimi sınırlandırılmış
  • Aylık restore drill kayıtları
  • Yedeklerin tutulma süresi politikası (KVKK § 7 silme + saklama)
  • Aydınlatma metninde "yedekleme alt işleyen" olarak bulut sağlayıcı belirtilmiş
  • BYOS (Google Drive vb.) kullanılıyorsa veri sorumlusunun talimatları yazılı

"Yedekleme alt işleyen" konusu

KVKK § 3 alt işleyici tanımı geniş: "veri sorumlusu adına işleyen". Bulut yedekleme sağlayıcısı bu tanıma girer. Uyum için:

  1. DPA (Data Processing Agreement) — Yazılı sözleşme zorunlu. PratikYedek standart DPA'yı Erken Erişim başvurusunda dijital imzayla sunar.
  2. Yurtdışı aktarım yoksa — § 9 yurtdışı aktarım izni alt işleyenin Türkiye sunucu kullanmasıyla aşılır. PratikYedek 100% Türkiye veri merkezi.
  3. Alt-alt işleyen zinciri görünür — Hangi servis hangi alt işleyenle çalışıyor, müşteri talep ettiğinde belge ile sunulmalı.

PratikYedek § 12 uyum desteği

  • ✅ Uçtan uca AES-256-GCM (sunucu okuyamaz)
  • ✅ Türkiye sunucusu (§ 9 yurtdışı aktarım yok)
  • ✅ Snapshot zinciri + WAL+PITR (restore garantili)
  • ✅ Aylık otomatik restore drill kaydı (denetim için)
  • ✅ Standart DPA + aydınlatma metni şablonu

Ücretsiz danışma randevusu — KVKK uyum kontrolünü ekibimiz birlikte yapar.

İlgili makaleler

Available in English: Read in English →

PratikYedek'i 30 gün ücretsiz deneyin

KVKK uyumlu uçtan uca şifreli yedekleme. Kredi kartı istemiyoruz.

Ücretsiz Dene