KVKK Uyumu
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği'nin GDPR düzenlemesiyle büyük ölçüde örtüşen Türkiye'nin veri koruma çerçevesidir. AnchorSpot, kişisel veri işleme süreçlerini KVKK gerekliliklerine uygun biçimde tasarlanmıştır.
Kapsam ve Yasal Dayanak
AnchorSpot, misafir Wi-Fi hizmetini işletirken aşağıdaki KVKK hükümlerine dayanarak veri işler:
| Madde | İşleme Amacı |
|---|---|
| Md. 5/2-c | Sözleşmenin kurulması veya ifası (Wi-Fi hizmet sunumu) |
| Md. 5/2-ç | Hukuki yükümlülük (5651 sayılı Kanun kaydı) |
| Md. 5/1 | Açık rıza (pazarlama veri işleme, opsiyonel) |
Veri Minimizasyonu
AnchorSpot yalnızca hizmetin sunumu için zorunlu olan kişisel verileri toplar:
| Veri Kategorisi | Toplanan Veriler | Zorunluluk |
|---|---|---|
| Kimlik | Telefon numarası veya e-posta adresi | Zorunlu (5651) |
| Cihaz | MAC adresi, cihaz tipi | Zorunlu (5651) |
| Ağ | IP adresi, oturum başlangıç/bitiş | Zorunlu (5651) |
| Erişim | SSID, kimlik doğrulama yöntemi | Zorunlu |
| İletişim | Pazarlama izni, tercihler | Opsiyonel (açık rıza) |
KVKK kapsamında zorunlu olmayan veri toplama (örneğin doğum tarihi, ad-soyad, meslek) portal formuna eklenmesi önerilmez. Her ek alan için ayrı hukuki dayanak gerekir.
Şifreli Depolama
| Katman | Teknoloji | Kapsam |
|---|---|---|
| Disk şifrelemesi | LUKS AES-256-XTS | Edge N100 veri bölümü |
| Aktarım şifrelemesi | TLS 1.3 | Cihaz ↔ Bulut |
| Veritabanı şifrelemesi | PostgreSQL pgcrypto | PII alanları (telefon, e-posta) |
| Yedek şifrelemesi | AES-256 + RSA-4096 | Bulut yedekleri |
Saklama ve Otomatik Silme
Saklama süresi dolduğunda veriler otomatik olarak güvenli biçimde kaldırılır. Yapılandırma: Ayarlar → KVKK → Saklama Politikası.
# Veri saklama politikası örneği
identity_data:
retention_days: 730 # Telefon/e-posta, 2 yıl (5651 minimum)
deletion_method: secure_wipe # DoD 5220.22-M üç geçiş
session_data:
retention_days: 730 # Oturum logları
deletion_method: secure_wipe
analytics_data:
retention_days: 365 # Anonim analitik, 1 yıl
deletion_method: standard # Anonim veri, standart silme
marketing_consent:
retention_days: 1095 # Pazarlama izni, 3 yıl
deletion_method: secure_wipe
5651 saklama süresinin KVKK saklama süresinden uzun olması durumunda 5651 süresi geçerliliğini korur. Hukuki yükümlülük özel rızanın önüne geçer.
Veri Kategorileri ve İşleme Amaçları
Kimlik Verisi
- Veri: Telefon numarası (uluslararası format), e-posta adresi
- Amaç: Captive portal kimlik doğrulaması, OTP gönderimi
- Dayanak: Md. 5/2-c (hizmet ifası) + Md. 5/2-ç (5651 uyumu)
Cihaz Verisi
- Veri: MAC adresi, cihaz tipi/üretici, işletim sistemi
- Amaç: Oturum yönetimi, eş zamanlı cihaz kontrolü
- Dayanak: Md. 5/2-c, 5/2-ç
Ağ Verisi
- Veri: IP adresi, oturum başlangıç/bitiş zamanı, indirilen/yüklenen bayt
- Amaç: 5651 kaydı, kota yönetimi
- Dayanak: Md. 5/2-ç (hukuki yükümlülük)
Erişim Verisi
- Veri: SSID, kimlik doğrulama yöntemi, portal sürümü
- Amaç: Operasyonel izleme, portal iyileştirme
- Dayanak: Md. 5/2-f (meşru menfaat)
İlgili Kişi Hakları (KVKK Madde 11)
Haklar ve İşleme Süreci
| Hak | Yasal Süre | AnchorSpot Süreci |
|---|---|---|
| Bilgi edinme | 30 gün | Otomatik veri envanteri raporu |
| Erişim | 30 gün | Kişisel veri dışa aktarma (JSON/PDF) |
| Düzeltme | 30 gün | Kimlik bilgisi güncelleme |
| Silme | 30 gün | Güvenli silme (5651 süresi dolmuşsa) |
| İşlemeye itiraz | Anında | Pazarlama izni geri çekme |
| Veri taşınabilirliği | 30 gün | JSON/CSV dışa aktarma |
Başvuru İşleme
Ayarlar → KVKK → Veri Sahibi Talepleri bölümünden:
1. Yeni Talep Aç → Talep türünü seçin → Kimlik doğrulama
2. Sistem ilgili veri kayıtlarını otomatik toplar
3. Yönetici inceleyip onaylar
4. Talep sahibine 30 gün içinde yanıt gönderilir
5. Tüm işlemler denetim günlüğüne kaydedilir
Silme talebinde bulunan kişinin verileri 5651 saklama süresi (minimum 730 gün) dolmadan silinemez. Bu durum yasal zorunluluktan kaynaklanmaktadır. İlgili kişiye bu bilgi yazılı olarak iletilmelidir.
PII Maskeleme
Denetim günlüklerinde ve uyum raporlarında kişisel veriler otomatik olarak maskelenir:
Telefon numarası : +90532123**** (son 4 hane gizlenir)
E-posta : e***@gmail.com (kullanıcı adı kısaltılır)
TCKN : 123456***** (son 5 hane gizlenir)
MAC adresi : AA:BB:CC:**:** (son 2 oktett gizlenir)
Maskeleme seviyesi Ayarlar → KVKK → PII Maskeleme bölümünden yapılandırılabilir. Tam erişim yalnızca "Veri Sorumlusu" rolündeki kullanıcılara verilir.
Veri İşleme Etki Değerlendirmesi (VİE / DPIA)
KVKK'nın 3. maddesinde belirtilen "özel nitelikli kişisel veri" kategorilerine giren veriler işleniyorsa VİE zorunludur. AnchorSpot şablonu:
Uyum → KVKK → VİE Şablonu İndir
Şablon şunları kapsar:
- İşleme faaliyetinin tanımı
- Gereklilik ve orantılılık değerlendirmesi
- Risk tanımlaması ve azaltma tedbirleri
- KVK Kurulu danışma gereksinimi değerlendirmesi
Portal Aydınlatma Metni Gereklilikleri
KVKK Md. 10 uyarınca portal giriş sayfasında şunlar yer almalıdır:
- Veri sorumlusunun kimliği — Şirket unvanı ve adresi
- İşleme amacı — "Wi-Fi hizmetinin sunulması ve 5651 yasal yükümlülüğü"
- Veri kategorileri — Telefon/e-posta, MAC, IP, süre
- Aktarım bilgisi — "Veriler yurt içinde SiperOne altyapısında işlenir"
- Saklama süresi — "Minimum 730 gün (5651 gereği)"
- Haklar — KVKK Md. 11 hakları ve başvuru yöntemi
Şablon metni: Uyum → KVKK → Aydınlatma Metni Şablonu.