PDF ve KVKK: Hassas Belgeler İçin Tam Güvenlik ve Uyumluluk Rehberi

Emin Kılıç
Kurucu & Geliştirici
21 Nisan 2026 7 dk okuma
PDF ve KVKK: hassas belgelerde güvenlik, şifreleme ve uyumluluk rehberi

PDF kvkk uyumluluğu, iş dünyasının 2026 yılında en çok konuştuğu konulardan biri. Bordro, özlük dosyası, sağlık raporu veya müşteri sözleşmesi gibi PDF belgeleri hemen her gün paylaşılıyor ve çoğu ciddi miktarda kişisel veri içeriyor. 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu belgelerin hem teknik hem idari önlemlerle korunmasını zorunlu kılar; aksi halde idari para cezaları 1,5 milyon TL'yi bulabilir. Bu rehberde KVKK'nın temel ilkelerini, PDF'te hassas verilerin nasıl tespit edileceğini, anonimleştirme ve şifreleme tekniklerini, VERBIS yükümlülüğünü ve PDFişlemleri.com'un güvenlik altyapısını adım adım anlatıyoruz. Her madde, Türkiye'de faaliyet gösteren işletmelerin operasyonel gerçekliğine uyarlanmış pratik bir başvuru kaynağıdır.

KVKK Kapsamında "Veri Sorumlusu" ve "Veri İşleyen" Ayrımı

KVKK uyum sürecinde en çok karıştırılan iki kavram "veri sorumlusu" ve "veri işleyen"dir. Veri sorumlusu, kişisel verilerin işlenme amacını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu kişi ya da kurumdur; tipik olarak işvereni kastetmektedir. Veri işleyen ise veri sorumlusu adına kişisel verileri işleyen üçüncü taraftır: bordro yazılımı sağlayıcıları, bulut depolama hizmetleri, muhasebe bürosu veya dönüştürme aracı gibi. Veri işleyen ile yapılacak sözleşme (DPA - Data Processing Agreement) KVKK madde 12 kapsamında zorunludur; sözleşmede hangi verilerin ne amaçla işleneceği, güvenlik tedbirleri ve alt yüklenici durumu açıkça yazılır. PDFişlemleri.com, kurumsal kullanımda veri işleyen sıfatıyla hareket eder ve talep üzerine standart DPA sunar.

KVKK Temelleri: 6698 Sayılı Kanun Ne Getirir?

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yürürlüğe girdi ve bugün iş dünyasının her köşesinde etkisini hissettiriyor. Kanun, kişisel veriyi "belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlar; bir PDF'te yer alan isim, adres, TC kimlik numarası veya fotoğraf otomatik olarak bu kapsama girer. Veri sorumlusu sıfatıyla işletmeler şu altı ilkeye uymak zorundadır: hukuka uygunluk, doğruluk, belirli amaçla işleme, amaca bağlı kalma, sınırlı saklama ve bütünlük. Her PDF süreci bu ilkeler süzgecinden geçirilmelidir.

PDF'te Hassas Veri Örnekleri: TCKN, Sağlık, Mali

PDF belgelerinde en çok karşılaşılan hassas veri kategorileri şunlardır:

  • Kimlik verileri: TC kimlik numarası, pasaport no, nüfus cüzdanı fotokopisi, doğum tarihi. Standart kişisel veri kategorisinde yer alır, şifrelenerek paylaşılmalıdır.
  • İletişim verileri: Adres, telefon, e-posta. Genellikle müşteri formlarında, iş başvurularında ve sözleşmelerde bulunur.
  • Mali veriler: IBAN, banka hesap dökümü, maaş bordrosu, kredi skoru. Hem KVKK hem Bankacılık Kanunu kapsamında korunur.
  • Sağlık verileri: Tahlil sonucu, reçete, epikriz, ameliyat raporu. Özel nitelikli kişisel veri sayılır, açık rıza veya özel kanun hükmü olmadan işlenemez.
  • Özlük verileri: Bordro, iş sözleşmesi, performans değerlendirme, izin dilekçesi. 10 yıl saklama yükümlülüğü vardır.
  • Biyometrik veriler: Parmak izi, yüz tanıma verisi, ses örneği. Özel nitelikli sayılır, son derece sıkı korunmalıdır.

KVKK Uyumluluk Checklist'i

Bir PDF belge iş akışı KVKK uyumlu sayılabilmesi için aşağıdaki kontrol listesinden geçmelidir:

  • Aydınlatma metni hazır ve ilgili kişiye iletilmiş mi?
  • Açık rıza gerektiren durumlarda rıza yazılı ya da elektronik imzalı alınmış mı?
  • PDF dosyası AES-128 veya AES-256 ile şifrelenmiş mi?
  • Hassas alanlar (TCKN, IBAN) redaksiyon/maskeleme uygulanmış mı?
  • Dosya paylaşımı HTTPS/TLS üzerinden mi yapılıyor?
  • Veri işleyen (bulut servis) ile sözleşme imzalandı mı?
  • Saklama süresi belirlendi ve sonunda imha planı var mı?
  • Erişim kayıtları (log) tutuluyor mu?
  • Personel farkındalık eğitimi tamamlandı mı?
  • VERBIS kaydı gerekliyse yapıldı mı?

Anonimleştirme: Redaksiyon ve Filigran

Anonimleştirme, kişisel veriyi hiçbir şekilde bir kişiyle ilişkilendirilemez hâle getirme işlemidir. PDF belgelerinde iki yaygın yöntem vardır: redaksiyon (karartma/silme) ve metin değiştirme. Redaksiyon yapılırken yaygın bir hata, metnin üstüne siyah dikdörtgen koymaktır; bu yöntem görseli kapatır ama altta yatan metin katmanı hâlâ kopyalanabilir. Doğru redaksiyon, metin katmanının tamamen silinmesi ve üstüne opak bir alan yerleştirilmesiyle yapılır. Kurumsal kullanım için profesyonel redaksiyon araçları tercih edilmelidir.

Filigran ekleme anonimleştirme değildir ancak belgenin kaynağını izlenebilir kılar. "Gizli - Sadece İK" gibi filigranlar, belge yetkisiz paylaşıldığında sızıntının hangi kopyadan geldiğini tespit etmeye yarar. Dinamik filigran (her alıcıya kendi adıyla) iç denetim süreçlerinde güçlü bir caydırıcıdır.

Şifreleme: AES-128 ve AES-256 Farkı

PDF şifreleme standardı iki ana algoritma sunar: AES-128 ve AES-256. AES-128 yaygın, hızlı ve büyük çoğunluk için yeterlidir; kırılması pratik olarak imkansızdır. AES-256 ise askeri dereceli şifreleme olarak bilinir ve özel nitelikli kişisel veri (sağlık, biyometrik) içeren PDF'lerde tercih edilmelidir. Şifreleme sırasında zayıf parola seçimi (ör. "1234", "sifre123") şifrelemenin gücünü baltalayan en büyük hatadır. KVKK rehberi, en az 12 karakter, büyük/küçük harf, sayı ve özel karakter içeren parolalar önerir. PDF şifreleme aracımız AES-256 varsayılanı ile çalışır.

VERBIS Kaydı Kimler İçin Zorunlu?

VERBIS (Veri Sorumluları Sicili) KVKK Kurulu'nun işlettiği merkezi kayıt sistemidir. Yıllık çalışan sayısı 50'den fazla veya yıllık bilanço toplamı 100 milyon TL'yi aşan veri sorumluları ile özel nitelikli kişisel veri işleyen tüm kurumlar kayıt yaptırmak zorundadır. Küçük işletmeler için zorunluluk bulunmasa da gönüllü kayıt tavsiye edilir. VERBIS kaydı, hangi veri kategorilerinin hangi amaçla işlendiğini, saklama sürelerini ve aktarım alıcılarını şeffaf biçimde deklare eder. Kayıt yapmayan yükümlü kuruma 250.000 TL'den başlayan idari para cezası uygulanır.

İhlal Cezaları: 2026 Güncel Rakamlar

2026 yılı yeniden değerleme oranı sonrası KVKK idari para cezaları ciddi rakamlara ulaştı. Aydınlatma yükümlülüğünü ihlal etmek yaklaşık 100.000 TL'den başlar, veri güvenliği tedbirlerini almamak 500.000 TL ve üzerine çıkar, Kurul kararlarına uymamak 1.500.000 TL'ye kadar çıkabilir. Veri ihlali (data breach) durumunda 72 saat içinde KVKK Kurulu'na bildirim yapılması zorunludur; geç bildirim ayrı bir ceza konusudur. Cezaların yanında ilgili kişiler maddi-manevi tazminat davası açma hakkına sahiptir ve reputasyonel hasar çoğu zaman idari cezadan daha büyük kayıp yaratır.

PDFişlemleri.com Güvenlik Politikası

Platformumuz KVKK ilkelerini altyapısının her katmanına yerleştirmiştir. Üç temel garanti şöyle sıralanır:

  • HTTPS/TLS 1.3 aktarım şifrelemesi: Dosya yüklenirken ve indirilirken uçtan uca şifrelidir. Aradaki hiçbir aktör (ağ sağlayıcı, proxy, CDN) içeriği okuyamaz.
  • 15 dakika otomatik silme: İşlem bittikten sonra kaynak PDF ve çıktı dosyası 15 dakika içinde geri dönüşümsüz silinir. Log'lar da minimum tutulur.
  • Aydınlatma metni ve KVKK sayfası: Site altbilgisindeki KVKK sayfası hangi verinin ne amaçla işlendiğini, kimlere aktarıldığını, saklama sürelerini ve kullanıcı haklarını açıkça belirtir.

Veri İhlali Durumunda 72 Saatlik Bildirim Süreci

Her işletme veri ihlaline maruz kalabilir; önemli olan, ihlal fark edildikten sonraki ilk 72 saat içinde yapılanlardır. KVKK rehberine göre veri sorumlusu öncelikle ihlalin kapsamını ve etkilenen kişi sayısını belirler, ardından bir olay yönetim ekibi devreye sokar. 72 saat içinde KVKK Kurulu'na resmi bildirim yapılır; bildirimde ihlalin niteliği, etkilenen veri kategorileri, olası sonuçlar ve alınan tedbirler yer alır. Aynı süre içinde etkilenen ilgili kişilere de açık bir dille duyuru yapılması şarttır. Geç bildirim ayrı bir ceza konusudur, hazır bir "ihlal müdahale planı" her kurumda dokümante edilmelidir.

Personel Farkındalık Eğitimi ve İç Denetim

KVKK ihlallerinin büyük çoğunluğu teknik açıklardan değil, insan hatasından kaynaklanır: yanlış alıcıya gönderilen PDF, şifresiz paylaşılan özlük dosyası, USB belleğe alınıp ofis dışına çıkarılan arşiv. Bu riskleri azaltmak için her kurumun yılda en az iki kez personel farkındalık eğitimi düzenlemesi, yeni başlayanlara oryantasyon programında KVKK modülü vermesi gerekir. Eğitim içeriği: kişisel veri kavramı, örneklerle tanıma, güvenli paylaşım teknikleri, ihlal durumunda ne yapılacağı ve iç bildirim kanalları. İç denetim ekibi düzenli aralıklarla e-posta örneklemesi, erişim log'u incelemesi ve rastgele dosya kontrolü yaparak uyumluluğu ölçmelidir.

Aydınlatma Metni ve Açık Rıza: Farklar ve Örnekler

Aydınlatma metni KVKK madde 10 kapsamında veri sorumlusunun ilgili kişiye yaptığı tek taraflı bilgilendirmedir; hangi verinin, hangi amaçla, kimlere aktarılacağını, saklama süresini ve ilgili kişinin haklarını açıklar. Aydınlatma metni her veri işleme faaliyetinden önce sunulmalı, anlaşılır ve net bir dilde yazılmalıdır. Açık rıza ise madde 5 ve 6 kapsamında özel nitelikli kişisel veri ya da belirli istisnai durumlar için alınan onaydır; özgür iradeyle, bilgilendirilmiş olarak ve belirli bir amaca yönelik verilmesi gerekir. PDF ile gelen her forma "KVKK'yı kabul ediyorum" kutucuğu koymak yeterli değildir; bu çoğu zaman "battaniye rıza" olarak değerlendirilir ve geçersiz sayılır. İyi örnek: aday CV'si alınırken iş başvurusunun amacı ve saklama süresi ayrı ayrı belirtilmeli, adayın açık onayı yazılı veya elektronik imzayla alınmalıdır.

E-Posta ile PDF Paylaşımı: Güvenli Yöntemler

Günlük iş akışında PDF paylaşımının en yaygın aracı e-postadır; ancak düz e-posta ekleri KVKK açısından risklidir. Önerilen yöntem şöyledir: hassas PDF'i AES-256 ile şifreleyin, parolayı asla aynı e-postada iletmeyin, ikinci bir kanaldan (telefon, SMS, kurumsal mesajlaşma) iletin. Mümkünse e-posta yerine kurumsal dosya paylaşım platformu kullanın; bu platformlar alıcı doğrulama, indirme sayaç limiti, otomatik süre sonu ve erişim log'u özellikleri sunar. BCC kullanımına dikkat edilmeli, "herkese yanıtla" kazaları için kurumsal e-posta istemcilerinde "gönderim iptal" süresi 30 saniyeye ayarlanmalıdır.

PDF Şifreleme, KVKK Uyumlu Koruma

AES-256 ile hassas belgelerinizi anında şifreleyin. Ücretsiz.

Aracı Aç

Sonuç

PDF kvkk uyumluluğu yalnızca yasal bir zorunluluk değil, marka güvenilirliğinin temel taşıdır. 6698 sayılı kanunun altı ilkesine uyan, AES-256 şifreleme uygulayan, redaksiyon ve anonimleştirme teknikleri ile veri minimizasyonunu sağlayan, gerekliyse VERBIS kaydı yapan kurumlar hem cezalardan hem reputasyonel kayıplardan korunur. PDFişlemleri.com bu ihtiyaçların tamamına cevap veren bir platform olarak 15 dakika otomatik silme, HTTPS/TLS 1.3 aktarım ve AES-256 şifreleme garantisi sunar. Hassas belgeleriniz için hemen PDF şifreleme aracımızı kullanın ve KVKK uyumlu iş akışınızı kurun.

EK

Emin Kılıç

PDFişlemleri.com Kurucusu

Full-stack geliştirici. PDFişlemleri.com'u 2024'te KOBİ'lerin ve serbest çalışanların ücretsiz, KVKK uyumlu PDF araçlarına erişebilmesi için kurdu. FastAPI, Python ve Tesseract tabanlı altyapıyı tek başına geliştirdi. PDF dosya formatı, e-imza standartları (5070 Sayılı Kanun) ve KVKK uyumu konularında uygulamalı deneyim sahibi.

Sık Sorulan Sorular

KVKK'ya göre PDF dosyaları nasıl korunmalı?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) PDF dosyaları için özellikle teknik ve idari tedbirlerin birlikte alınmasını zorunlu kılar. Teknik tedbirler arasında AES-128 veya AES-256 ile şifreleme, erişim kontrolü, log tutma, yedekleme ve güvenli silme yer alır. İdari tedbirler ise personel farkındalık eğitimi, veri envanteri tutulması, aydınlatma metni hazırlanması ve gerekliyse VERBIS kaydı yapılmasıdır. Hassas veri içeren PDF (sağlık raporu, TCKN, mali bilgi) mutlaka şifrelenmeli, gerektiğinde redaksiyon (karartma) uygulanmalı ve veri minimizasyonu ilkesine göre yalnızca gerekli bilgiler paylaşılmalıdır. Saklama süreleri kanuni dayanağa göre belirlenmelidir.

Hangi PDF verileri "kişisel veri" sayılır?

KVKK kapsamında kişisel veri, "belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlanır. PDF dosyalarında sıkça karşılaşılan kişisel veri örnekleri: ad-soyad, TC kimlik numarası, adres, telefon, e-posta, doğum tarihi, IBAN, maaş bilgisi, işe giriş tarihi, fotoğraf, imza, özlük dosyası bilgileri ve çalışma saatleri. Bunların yanında "özel nitelikli kişisel veri" kategorisi vardır ve çok daha katı korunur: sağlık verileri, din, ırk, etnik köken, siyasi görüş, cinsel hayat, ceza mahkumiyeti, biyometrik ve genetik veriler. Sağlık raporu veya adli sicil içeren PDF'ler bu kategoride değerlendirilir ve açık rıza ya da özel kanun hükmü olmadan işlenemez.

Bulut servisleri KVKK uyumlu mu?

Bulut servislerinin KVKK uyumluluğu, veri merkezi konumuna, sözleşme hükümlerine ve teknik önlemlere bağlıdır. Türkiye veya AB sınırları içindeki veri merkezlerinde işleyen, standart sözleşme maddelerini (SCC) imzalayan ve veri işleme sözleşmesi (DPIA) sunan servisler genellikle uyumludur. ABD merkezli bulut servislerine yapılan kontrolsüz aktarımlar KVKK 9. madde gereği açık rıza ya da KVKK Kurulu izni gerektirir. Kullandığınız servisin aydınlatma metnini ve gizlilik politikasını okuyun, veri nereye gidiyor doğrulayın. PDFişlemleri.com sunucuları Türkiye ve AB sınırları içindedir, dosyalarınız 15 dakika içinde otomatik silinir ve hiçbir yurt dışı aktarım yapılmaz.

Çalışan CV'leri ne kadar saklanmalı?

Çalışan CV'leri ve özlük dosyalarının saklama süresi, veri kategorisine ve yasal dayanağa göre değişir. KVKK Kurulu rehberine göre, işe alınmayan adayların CV'leri başvurudan sonra en fazla 6 ay-1 yıl saklanmalıdır; açık rıza varsa bu süre uzatılabilir. İşe alınan personelin özlük dosyaları, iş akdi sona erdiğinden itibaren 4857 sayılı İş Kanunu ve SGK mevzuatı gereği 10 yıl boyunca tutulmalıdır. Maaş bordroları ve bordro hesaplama belgeleri için süre yine 10 yıl, vergi dayanaklı belgeler için 5 yıldır. Saklama süresi bittiğinde veriler güvenli şekilde silinmeli (dijital dosyalar için geri dönüşümsüz silme, kağıt için imha) ve imha tutanağı düzenlenmelidir.

KVKK ihlali durumunda ne olur?

KVKK 18. madde kapsamında ihlal durumunda idari para cezaları uygulanır. 2026 yılı için güncel cezalar: aydınlatma yükümlülüğüne uymayanlara yaklaşık 100.000 TL'den başlayan, VERBIS kaydı yapmayanlara 250.000 TL'den başlayan, veri güvenliği tedbirlerini almayanlara 500.000 TL ve üzeri, Kurul kararlarına uymayanlara 1.500.000 TL'yi bulan cezalar söz konusudur. Ceza miktarları her yıl yeniden değerleme oranına göre artırılır. Veri ihlali (data breach) durumunda 72 saat içinde KVKK Kurulu'na bildirim yapmak zorunludur; ayrıca etkilenen ilgili kişilere de bildirim yapılmalıdır. İdari cezaların yanı sıra mağdurların tazminat davası açma hakkı saklıdır.

İlgili Yazılar