Erişim loglarında IP adresi saklamak mevzuat açısından nasıl değerlendirilir?

Erişim loglarında IP adresi saklamanın kişisel veri, saklama süresi, hukuki dayanak, hosting altyapısı ve log güvenliği açısından nasıl ele alınması gerektiğini öğrenin.

Reklam Alanı

Web sitelerinde ve uygulamalarda tutulan erişim logları, güvenlik olaylarını incelemek, kötüye kullanımı tespit etmek ve hizmet sürekliliğini sağlamak için kritik öneme sahiptir. Ancak bu loglarda IP adresi yer alıyorsa konu yalnızca teknik bir kayıt meselesi olmaktan çıkar; kişisel verilerin korunması, saklama süresi, hukuki dayanak ve erişim yetkileri açısından dikkatle değerlendirilmesi gerekir.

IP adresinin tek başına her durumda bir kişiyi kesin olarak tanımladığı söylenemese de, özellikle tarih, saat, kullanıcı hesabı, cihaz bilgisi veya işlem kaydıyla birlikte işlendiğinde kişiyi belirlenebilir hale getirebilir. Bu nedenle erişim logları tasarlanırken “ne kadar veri gerekli, ne kadar süre tutulmalı ve kimler erişebilmeli?” soruları başlangıçta yanıtlanmalıdır.

IP adresi kişisel veri sayılır mı?

Türkiye’de kişisel verilerin korunması yaklaşımı bakımından IP adresi, belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebildiği ölçüde kişisel veri olarak kabul edilir. Statik IP adreslerinde bu ilişki daha doğrudan kurulabilirken, dinamik IP adreslerinde de servis sağlayıcı kayıtları, kullanıcı oturumu veya zaman damgası gibi ek bilgilerle kişiye ulaşılması mümkün olabilir.

Bu nedenle işletmelerin erişim loglarını “sadece teknik kayıt” olarak görmesi risklidir. Özellikle e-ticaret, üyelik sistemi, müşteri paneli, kurumsal portal veya form gönderimi gibi alanlarda IP adresi; işlem güvenliği, uyuşmazlık yönetimi ve siber olay incelemesi açısından anlamlı bir veri haline gelir.

Erişim loglarında IP adresi saklamanın hukuki dayanağı

IP adresinin erişim loglarında tutulabilmesi için veri işleme faaliyetinin meşru, ölçülü ve belirli bir amaca bağlı olması gerekir. En sık karşılaşılan dayanaklar; hukuki yükümlülüğün yerine getirilmesi, bir hakkın tesisi veya korunması, hizmet güvenliğinin sağlanması ve meşru menfaat değerlendirmesidir.

Örneğin bir web sitesine yönelik olağan dışı trafik, yetkisiz giriş denemesi veya zararlı istekler incelenirken IP kayıtları gerekli olabilir. Benzer şekilde, müşteri hesabında yapılan kritik işlemlerin hangi bağlantı üzerinden gerçekleştiğini göstermek uyuşmazlık çözümünde önem taşıyabilir. Ancak bu gerekçeler, sınırsız ve kontrolsüz log saklama anlamına gelmez.

Saklama süresi nasıl belirlenmeli?

Erişim loglarında en sık yapılan hata, tüm kayıtları belirsiz süreyle arşivlemektir. Mevzuat açısından uygun yaklaşım, amaca göre makul bir saklama süresi belirlemek ve süre dolduğunda logları silmek, anonimleştirmek veya erişilemez hale getirmektir.

Saklama süresi belirlenirken şu kriterler dikkate alınabilir:

  • Logun hangi amaçla tutulduğu
  • İlgili sektör veya hizmet için özel bir düzenleme bulunup bulunmadığı
  • Siber güvenlik olaylarının geriye dönük incelenme ihtiyacı
  • Uyuşmazlık, talep veya yasal başvuru ihtimali
  • Veri minimizasyonu ve ölçülülük ilkeleri

Kurumsal yapılarda bu sürelerin bilgi güvenliği politikası, kişisel veri saklama ve imha politikası ile uyumlu hale getirilmesi önerilir. Teknik ekiplerin log rotasyonu yapması tek başına yeterli değildir; süre, yetki ve imha süreci yazılı olarak yönetilmelidir.

Hosting hizmetlerinde sorumluluk nasıl paylaşılır?

Bir web sitesi hosting altyapısı üzerinde çalışıyorsa, logların nerede üretildiği ve kim tarafından erişilebilir olduğu ayrıca incelenmelidir. Paylaşımlı sunucu, VPS, bulut altyapı veya yönetilen hizmet modellerinde sorumluluk dağılımı farklılaşabilir.

Site sahibi genellikle kendi uygulamasında oluşturduğu kullanıcı işlem kayıtlarından sorumludur. Altyapı sağlayıcısı ise sunucu seviyesindeki erişim, güvenlik ve sistem loglarını belirli teknik ve hukuki amaçlarla işleyebilir. Bu noktada hizmet sözleşmesi, veri işleme şartları, log saklama politikası ve erişim taleplerine verilen yanıt prosedürleri kontrol edilmelidir.

Pratik kontrol listesi

  • Sunucu erişim loglarında hangi alanların tutulduğunu inceleyin.
  • IP adresiyle birlikte kullanıcı kimliği, çerez, oturum veya işlem bilgisi kaydediliyorsa bunu veri envanterine ekleyin.
  • Loglara erişebilen kişileri görev bazlı sınırlandırın.
  • Yönetici paneli, SSH, FTP ve veritabanı erişimlerini ayrıca izleyin.
  • Log dosyalarının yedeklerde ne kadar süre kaldığını kontrol edin.

Açık rıza gerekir mi?

Erişim loglarında IP adresi saklamak için her durumda açık rıza almak gerekmez. Hizmet güvenliği, kötüye kullanımın önlenmesi veya hukuki yükümlülük gibi geçerli bir işleme şartı varsa açık rıza yerine ilgili hukuki dayanak kullanılabilir. Ancak kullanıcıların bu işleme faaliyeti hakkında aydınlatılması gerekir.

Aydınlatma metninde hangi verilerin işlendiği, hangi amaçlarla log tutulduğu, saklama süresi, aktarım ihtimali ve ilgili kişinin hakları anlaşılır şekilde yer almalıdır. “Güvenlik amacıyla kayıt tutulur” gibi genel ifadeler tek başına yeterli olmayabilir; metin, uygulamadaki gerçek süreçlerle uyumlu olmalıdır.

Log güvenliği ve erişim yetkileri

IP adresi içeren loglar korunması gereken kayıtlardır. Log dosyalarının herkese açık dizinlerde tutulması, panel üzerinden yetkisiz kişilerce indirilebilmesi veya şifrelenmemiş yedeklerde uzun süre saklanması veri ihlali riskini artırır.

Uygulanabilir güvenlik önlemleri arasında erişim yetkilerinin sınırlandırılması, düzenli yetki gözden geçirmesi, log bütünlüğünün korunması, merkezi log yönetimi, maskeleme veya anonimleştirme teknikleri ve güvenli yedekleme süreçleri bulunur. Özellikle kurumsal hosting altyapılarında log yönetimi, bilgi güvenliği ve KVKK uyum çalışmalarının birlikte ele alınması daha sağlıklı sonuç verir.

Yanlış uygulamalardan kaçınmak için dikkat edilmesi gerekenler

En yaygın yanlışlardan biri, tüm kullanıcı hareketlerini ayrıntılı biçimde kaydedip hiçbir ayrım yapmadan uzun süre saklamaktır. İhtiyaç duyulmayan URL parametreleri, form içerikleri, kimlik numaraları veya hassas bilgiler loglara yazılıyorsa risk ciddi biçimde artar.

Uygulama geliştirirken hata kayıtlarına kişisel veri sızmasını önlemek gerekir. Örneğin giriş hatası loglarında parolanın, ödeme adımlarında kart bilgisinin veya destek formlarında özel nitelikli verilerin görünmesi kabul edilebilir bir loglama pratiği değildir. Loglama seviyesi canlı ortamda minimum ihtiyaçla sınırlanmalı, test ve hata ayıklama kayıtları üretim sistemlerinde kontrolsüz bırakılmamalıdır.

IP adresi saklama süreci, teknik zorunluluk ile kişisel veri koruma ilkeleri arasında dengeli kurulmalıdır. İşletmeler için en güvenli yaklaşım; amaç, kapsam, süre, erişim yetkisi ve imha adımlarını yazılı hale getirmek, kullanıcıları açıkça bilgilendirmek ve sunucu tarafındaki kayıtları düzenli aralıklarla denetlemektir.

Kategori: Dijital Pazarlama
Yazar: Editör
İçerik: 773 kelime
Okuma Süresi: 6 dakika
Zaman: Bugün
Yayım: 14-07-2026
Güncelleme: 14-07-2026