PDF ve KVKK: Hassas Belgeler İçin Tam Güvenlik ve Uyumluluk Rehberi
PDF kvkk uyumluluğu, iş dünyasının 2026 yılında en çok konuştuğu konulardan biri. Bordro, özlük dosyası, sağlık raporu veya müşteri sözleşmesi gibi PDF belgeleri hemen her gün paylaşılıyor ve çoğu ciddi miktarda kişisel veri içeriyor. 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu belgelerin hem teknik hem idari önlemlerle korunmasını zorunlu kılar; aksi halde idari para cezaları 1,5 milyon TL'yi bulabilir. Bu rehberde KVKK'nın temel ilkelerini, PDF'te hassas verilerin nasıl tespit edileceğini, anonimleştirme ve şifreleme tekniklerini, VERBIS yükümlülüğünü ve PDFişlemleri.com'un güvenlik altyapısını adım adım anlatıyoruz. Her madde, Türkiye'de faaliyet gösteren işletmelerin operasyonel gerçekliğine uyarlanmış pratik bir başvuru kaynağıdır.
KVKK Kapsamında "Veri Sorumlusu" ve "Veri İşleyen" Ayrımı
KVKK uyum sürecinde en çok karıştırılan iki kavram "veri sorumlusu" ve "veri işleyen"dir. Veri sorumlusu, kişisel verilerin işlenme amacını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi ya da kurumdur; tipik olarak işvereni kastetmektedir. Veri işleyen ise veri sorumlusu adına kişisel verileri işleyen üçüncü taraftır: bordro yazılımı sağlayıcıları, bulut depolama hizmetleri, muhasebe bürosu veya dönüştürme aracı gibi. Veri işleyen ile yapılacak sözleşme (DPA - Data Processing Agreement) KVKK madde 12 kapsamında zorunludur; sözleşmede hangi verilerin ne amaçla işleneceği, güvenlik tedbirleri ve alt yüklenici durumu açıkça yazılır. PDFişlemleri.com, kurumsal kullanımda veri işleyen sıfatıyla hareket eder ve talep üzerine standart DPA sunar.
KVKK Temelleri: 6698 Sayılı Kanun Ne Getirir?
6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlüğe girdi ve bugün iş dünyasının her köşesinde etkisini hissettiriyor. Kanun, kişisel veriyi "belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlar; bir PDF'te yer alan isim, adres, TC kimlik numarası veya fotoğraf otomatik olarak bu kapsama girer. Veri sorumlusu sıfatıyla işletmeler şu altı ilkeye uymak zorundadır: hukuka uygunluk, doğruluk, belirli amaçla işleme, amaca bağlı kalma, sınırlı saklama ve bütünlük. Her PDF süreci bu ilkeler süzgecinden geçirilmelidir.
PDF'te Hassas Veri Örnekleri: TCKN, Sağlık, Mali
PDF belgelerinde en çok karşılaşılan hassas veri kategorileri şunlardır:
- Kimlik verileri: TC kimlik numarası, pasaport no, nüfus cüzdanı fotokopisi, doğum tarihi. Standart kişisel veri kategorisinde yer alır, şifrelenerek paylaşılmalıdır.
- İletişim verileri: Adres, telefon, e-posta. Genellikle müşteri formlarında, iş başvurularında ve sözleşmelerde bulunur.
- Mali veriler: IBAN, banka hesap dökümü, maaş bordrosu, kredi skoru. Hem KVKK hem Bankacılık Kanunu kapsamında korunur.
- Sağlık verileri: Tahlil sonucu, reçete, epikriz, ameliyat raporu. Özel nitelikli kişisel veri sayılır, açık rıza veya özel kanun hükmü olmadan işlenemez.
- Özlük verileri: Bordro, iş sözleşmesi, performans değerlendirme, izin dilekçesi. 10 yıl saklama yükümlülüğü vardır.
- Biyometrik veriler: Parmak izi, yüz tanıma verisi, ses örneği. Özel nitelikli sayılır, son derece sıkı korunmalıdır.
KVKK Uyumluluk Checklist'i
Bir PDF belge iş akışı KVKK uyumlu sayılabilmesi için aşağıdaki kontrol listesinden geçmelidir:
- Aydınlatma metni hazır ve ilgili kişiye iletilmiş mi?
- Açık rıza gerektiren durumlarda rıza yazılı ya da elektronik imzalı alınmış mı?
- PDF dosyası AES-128 veya AES-256 ile şifrelenmiş mi?
- Hassas alanlar (TCKN, IBAN) redaksiyon/maskeleme uygulanmış mı?
- Dosya paylaşımı HTTPS/TLS üzerinden mi yapılıyor?
- Veri işleyen (bulut servis) ile sözleşme imzalandı mı?
- Saklama süresi belirlendi ve sonunda imha planı var mı?
- Erişim kayıtları (log) tutuluyor mu?
- Personel farkındalık eğitimi tamamlandı mı?
- VERBIS kaydı gerekliyse yapıldı mı?
Anonimleştirme: Redaksiyon ve Filigran
Anonimleştirme, kişisel veriyi hiçbir şekilde bir kişiyle ilişkilendirilemez hâle getirme işlemidir. PDF belgelerinde iki yaygın yöntem vardır: redaksiyon (karartma/silme) ve metin değiştirme. Redaksiyon yapılırken yaygın bir hata, metnin üstüne siyah dikdörtgen koymaktır; bu yöntem görseli kapatır ama altta yatan metin katmanı hâlâ kopyalanabilir. Doğru redaksiyon, metin katmanının tamamen silinmesi ve üstüne opak bir alan yerleştirilmesiyle yapılır. Kurumsal kullanım için profesyonel redaksiyon araçları tercih edilmelidir.
Filigran ekleme anonimleştirme değildir ancak belgenin kaynağını izlenebilir kılar. "Gizli - Sadece İK" gibi filigranlar, belge yetkisiz paylaşıldığında sızıntının hangi kopyadan geldiğini tespit etmeye yarar. Dinamik filigran (her alıcıya kendi adıyla) iç denetim süreçlerinde güçlü bir caydırıcıdır.
Şifreleme: AES-128 ve AES-256 Farkı
PDF şifreleme standardı iki ana algoritma sunar: AES-128 ve AES-256. AES-128 yaygın, hızlı ve büyük çoğunluk için yeterlidir; kırılması pratik olarak imkansızdır. AES-256 ise askeri dereceli şifreleme olarak bilinir ve özel nitelikli kişisel veri (sağlık, biyometrik) içeren PDF'lerde tercih edilmelidir. Şifreleme sırasında zayıf parola seçimi (ör. "1234", "sifre123") şifrelemenin gücünü baltalayan en büyük hatadır. KVKK rehberi, en az 12 karakter, büyük/küçük harf, sayı ve özel karakter içeren parolalar önerir. PDF şifreleme aracımız AES-256 varsayılanı ile çalışır.
VERBIS Kaydı Kimler İçin Zorunlu?
VERBIS (Veri Sorumluları Sicili) KVKK Kurulu'nun işlettiği merkezi kayıt sistemidir. Yıllık çalışan sayısı 50'den fazla veya yıllık bilanço toplamı 100 milyon TL'yi aşan veri sorumluları ile özel nitelikli kişisel veri işleyen tüm kurumlar kayıt yaptırmak zorundadır. Küçük işletmeler için zorunluluk bulunmasa da gönüllü kayıt tavsiye edilir. VERBIS kaydı, hangi veri kategorilerinin hangi amaçla işlendiğini, saklama sürelerini ve aktarım alıcılarını şeffaf biçimde deklare eder. Kayıt yapmayan yükümlü kuruma 250.000 TL'den başlayan idari para cezası uygulanır.
İhlal Cezaları: 2026 Güncel Rakamlar
2026 yılı yeniden değerleme oranı sonrası KVKK idari para cezaları ciddi rakamlara ulaştı. Aydınlatma yükümlülüğünü ihlal etmek yaklaşık 100.000 TL'den başlar, veri güvenliği tedbirlerini almamak 500.000 TL ve üzerine çıkar, Kurul kararlarına uymamak 1.500.000 TL'ye kadar çıkabilir. Veri ihlali (data breach) durumunda 72 saat içinde KVKK Kurulu'na bildirim yapılması zorunludur; geç bildirim ayrı bir ceza konusudur. Cezaların yanında ilgili kişiler maddi-manevi tazminat davası açma hakkına sahiptir ve reputasyonel hasar çoğu zaman idari cezadan daha büyük kayıp yaratır.
PDFişlemleri.com Güvenlik Politikası
Platformumuz KVKK ilkelerini altyapısının her katmanına yerleştirmiştir. Üç temel garanti şöyle sıralanır:
- HTTPS/TLS 1.3 aktarım şifrelemesi: Dosya yüklenirken ve indirilirken uçtan uca şifrelidir. Aradaki hiçbir aktör (ağ sağlayıcı, proxy, CDN) içeriği okuyamaz.
- 15 dakika otomatik silme: İşlem bittikten sonra kaynak PDF ve çıktı dosyası 15 dakika içinde geri dönüşümsüz silinir. Log'lar da minimum tutulur.
- Aydınlatma metni ve KVKK sayfası: Site altbilgisindeki KVKK sayfası hangi verinin ne amaçla işlendiğini, kimlere aktarıldığını, saklama sürelerini ve kullanıcı haklarını açıkça belirtir.
Veri İhlali Durumunda 72 Saatlik Bildirim Süreci
Her işletme veri ihlaline maruz kalabilir; önemli olan, ihlal fark edildikten sonraki ilk 72 saat içinde yapılanlardır. KVKK rehberine göre veri sorumlusu öncelikle ihlalin kapsamını ve etkilenen kişi sayısını belirler, ardından bir olay yönetim ekibi devreye sokar. 72 saat içinde KVKK Kurulu'na resmi bildirim yapılır; bildirimde ihlalin niteliği, etkilenen veri kategorileri, olası sonuçlar ve alınan tedbirler yer alır. Aynı süre içinde etkilenen ilgili kişilere de açık bir dille duyuru yapılması şarttır. Geç bildirim ayrı bir ceza konusudur, hazır bir "ihlal müdahale planı" her kurumda dokümante edilmelidir.
Personel Farkındalık Eğitimi ve İç Denetim
KVKK ihlallerinin büyük çoğunluğu teknik açıklardan değil, insan hatasından kaynaklanır: yanlış alıcıya gönderilen PDF, şifresiz paylaşılan özlük dosyası, USB belleğe alınıp ofis dışına çıkarılan arşiv. Bu riskleri azaltmak için her kurumun yılda en az iki kez personel farkındalık eğitimi düzenlemesi, yeni başlayanlara oryantasyon programında KVKK modülü vermesi gerekir. Eğitim içeriği: kişisel veri kavramı, örneklerle tanıma, güvenli paylaşım teknikleri, ihlal durumunda ne yapılacağı ve iç bildirim kanalları. İç denetim ekibi düzenli aralıklarla e-posta örneklemesi, erişim log'u incelemesi ve rastgele dosya kontrolü yaparak uyumluluğu ölçmelidir.
Aydınlatma Metni ve Açık Rıza: Farklar ve Örnekler
Aydınlatma metni KVKK madde 10 kapsamında veri sorumlusunun ilgili kişiye yaptığı tek taraflı bilgilendirmedir; hangi verinin, hangi amaçla, kimlere aktarılacağını, saklama süresini ve ilgili kişinin haklarını açıklar. Aydınlatma metni her veri işleme faaliyetinden önce sunulmalı, anlaşılır ve net bir dilde yazılmalıdır. Açık rıza ise madde 5 ve 6 kapsamında özel nitelikli kişisel veri ya da belirli istisnai durumlar için alınan onaydır; özgür iradeyle, bilgilendirilmiş olarak ve belirli bir amaca yönelik verilmesi gerekir. PDF ile gelen her forma "KVKK'yı kabul ediyorum" kutucuğu koymak yeterli değildir; bu çoğu zaman "battaniye rıza" olarak değerlendirilir ve geçersiz sayılır. İyi örnek: aday CV'si alınırken iş başvurusunun amacı ve saklama süresi ayrı ayrı belirtilmeli, adayın açık onayı yazılı veya elektronik imzayla alınmalıdır.
E-Posta ile PDF Paylaşımı: Güvenli Yöntemler
Günlük iş akışında PDF paylaşımının en yaygın aracı e-postadır; ancak düz e-posta ekleri KVKK açısından risklidir. Önerilen yöntem şöyledir: hassas PDF'i AES-256 ile şifreleyin, parolayı asla aynı e-postada iletmeyin, ikinci bir kanaldan (telefon, SMS, kurumsal mesajlaşma) iletin. Mümkünse e-posta yerine kurumsal dosya paylaşım platformu kullanın; bu platformlar alıcı doğrulama, indirme sayaç limiti, otomatik süre sonu ve erişim log'u özellikleri sunar. BCC kullanımına dikkat edilmeli, "herkese yanıtla" kazaları için kurumsal e-posta istemcilerinde "gönderim iptal" süresi 30 saniyeye ayarlanmalıdır.
PDF Şifreleme, KVKK Uyumlu Koruma
AES-256 ile hassas belgelerinizi anında şifreleyin. Ücretsiz.
Sonuç
PDF kvkk uyumluluğu yalnızca yasal bir zorunluluk değil, marka güvenilirliğinin temel taşıdır. 6698 sayılı kanunun altı ilkesine uyan, AES-256 şifreleme uygulayan, redaksiyon ve anonimleştirme teknikleri ile veri minimizasyonunu sağlayan, gerekliyse VERBIS kaydı yapan kurumlar hem cezalardan hem reputasyonel kayıplardan korunur. PDFişlemleri.com bu ihtiyaçların tamamına cevap veren bir platform olarak 15 dakika otomatik silme, HTTPS/TLS 1.3 aktarım ve AES-256 şifreleme garantisi sunar. Hassas belgeleriniz için hemen PDF şifreleme aracımızı kullanın ve KVKK uyumlu iş akışınızı kurun.