KVKK Uyumlu WiFi Giriş: Veri Koruma Gereklilikleri ve Uygulama Rehberi
KVKK uyumlu WiFi giriş, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 5651 sayılı İnternet Kanunu gerekliliklerini karşılayan captive portal ve veri toplama süreçlerini ifade eder. Türkiye'de WiFi...
KVKK uyumlu WiFi giriş, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 5651 sayılı İnternet Kanunu gerekliliklerini karşılayan captive portal ve veri toplama süreçlerini ifade eder. Türkiye'de WiFi hizmeti sunan işletmeler için hem kişisel veri koruması (KVKK) hem de log tutma yükümlülükleri (5651) kritik öneme sahiptir.
KVKK, 2016 yılında yürürlüğe giren ve Türkiye'de kişisel verilerin korunmasında temel düzenleme haline gelmiştir. WiFi hizmeti sağlayan işletmeler, bağlantı sürecinde kişisel veri topladıklarında bu düzenlemeye uyum sağlamak zorundadır. Ayrıca 5651 sayılı kanun, toplu kullanım sağlayıcılarına 2 yıl log tutma zorunluluğu getirir. Uyumsuzluk, ciddi maddi cezalar ve itibar zararıyla sonuçlanabilir.
Obifi, işletmelerin müşteri verilerini toplamasını, sadakat kampanyaları yürütmesini, markalı WiFi giriş sayfaları oluşturmasını ve ziyaretçi davranışlarını analiz etmesini sağlayan bulut tabanlı bir WiFi pazarlama ve captive portal platformudur.
KVKK ve WiFi Veri Toplama Kapsamı
KVKK'nın WiFi hizmetlerine nasıl uygulandığını anlamak, uyumlu sistemler tasarlamak için esastır.
Kişisel Veri Tanımı
KVKK kapsamında, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi kişisel veridir:
Doğrudan Tanımlayıcılar: Ad, soyad, e-posta adresi, telefon numarası.
Dolaylı Tanımlayıcılar: IP adresi, MAC adresi, cihaz tanımlayıcıları.
Davranış Verileri: Ziyaret zamanları, bağlantı süreleri, konum kalıpları.
Profil Verileri: Tercihler, ilgi alanları, demografik bilgiler.
WiFi Veri Toplama Senaryoları
WiFi hizmetlerinde tipik veri toplama noktaları:
Captive Portal Formları: E-posta, telefon, ad-soyad toplama.
Sosyal Login: Sosyal medya platformlarından profil verileri.
Cihaz Verileri: MAC adresi, cihaz tipi, işletim sistemi.
Bağlantı Verileri: Oturum süreleri, bant genişliği kullanımı.
Konum Verileri: Erişim noktası bazlı yaklaşık konum.
Coğrafi Kapsam
Türkiye'de KVKK tüm işletmelere uygulanır:
- Türkiye'de yerleşik işletmelerin tüm veri işleme faaliyetleri
- Türkiye'deki kişilere hizmet veren yabancı işletmeler
- Türk vatandaşlarının verilerinin işlenmesi
Uluslararası müşteriler için GDPR de geçerli olabilir (AB vatandaşları, AB ülkelerinden gelen turistler).
KVKK Temel İlkeleri ve WiFi Uygulaması
KVKK'nın temel ilkeleri WiFi veri toplamaya özel şekilde uygulanır.
Hukuka Uygunluk, Dürüstlük ve Şeffaflık (Madde 5/1-a)
Hukuka Uygunluk: Veri işleme için geçerli yasal dayanak (tipik olarak rıza).
Dürüstlük: Veri sahiplerinin makul beklentilerine uygun işleme.
Şeffaflık: Veri işleme hakkında açık, anlaşılır bilgilendirme.
WiFi Uygulaması:
- Captive portal'de açık rıza mekanizması
- Anlaşılır dilde gizlilik bildirimi
- Veri kullanım amaçlarının net açıklaması
Amaçla Sınırlılık (Madde 5/1-b)
Veriler, belirli, açık ve meşru amaçlar için toplanmalı ve bu amaçlarla bağdaşmayan şekillerde işlenmemelidir.
WiFi Uygulaması:
- Veri toplama amaçlarının önceden belirlenmesi
- Amacı aşan veri kullanımından kaçınma
- Yeni amaçlar için yeni rıza alınması
Veri Minimizasyonu (Madde 5/1-c)
Sadece gerekli, ilgili ve yeterli miktarda veri toplanmalıdır.
WiFi Uygulaması:
- Gereksiz form alanlarından kaçınma
- İş amacına gerçekten gerekli verilerin tespiti
- Minimal zorunlu alan politikası
Doğruluk (Madde 5/1-d)
Veriler doğru ve güncel tutulmalı, yanlış veriler düzeltilmeli veya silinmelidir.
WiFi Uygulaması:
- Veri doğrulama mekanizmaları (e-posta, SMS)
- Kullanıcı güncelleme imkanı
- Geçersiz veri temizleme süreçleri
Saklama Sınırlaması (Madde 5/1-e)
Veriler, işleme amaçları için gerekli süre boyunca saklanmalıdır.
WiFi Uygulaması:
- Veri saklama süreleri belirleme
- Otomatik silme/anonimleştirme
- Saklama politikası dokümantasyonu
Bütünlük ve Gizlilik (Madde 5/1-f)
Veriler, uygun güvenlik önlemleriyle korunmalıdır.
WiFi Uygulaması:
- Şifreleme (aktarım ve depolama)
- Erişim kontrolü
- Güvenlik izleme ve denetim
Hesap Verebilirlik (Madde 5/2)
Veri sorumlusu, uyumluluğu gösterebilir durumda olmalıdır.
WiFi Uygulaması:
- Politika ve prosedür dokümantasyonu
- Rıza kayıtlarının saklanması
- Denetim izlerinin tutulması
Yasal Dayanak Seçimi
KVKK'ya göre, kişisel veri işleme altı yasal dayanaktan birine dayanmalıdır.
Rıza (Madde 6/1-a)
Veri sahibinin açık, özgür, belirli ve bilgilendirilmiş rızası.
WiFi İçin Uygunluk: Pazarlama amaçlı veri toplama için en uygun dayanak.
Gereklilikler:
- Aktif eylem gerektiren mekanizma (işaretlenmemiş checkbox)
- Amaç bazlı ayrı rızalar
- Kolay geri çekme imkanı
- Rıza kanıtının saklanması
Sözleşmenin İfası (Madde 6/1-b)
Veri sahibiyle yapılan veya yapılacak sözleşmenin ifası için gerekli işleme.
WiFi İçin Uygunluk: WiFi hizmeti sunumu için zorunlu veriler (örn: MAC adresi).
Sınırlamalar: Pazarlama faaliyetleri bu dayanağa sığmaz.
Meşru Menfaat (Madde 6/1-f)
Veri sorumlusunun veya üçüncü tarafın meşru menfaatleri.
WiFi İçin Uygunluk: Ağ güvenliği, analitik amaçlı bazı işlemeler.
Gereklilikler: Menfaat değerlendirmesi (LIA) yapılması.
KVKK Uyumlu Captive Portal Tasarımı
Uyumlu captive portal tasarımı belirli unsurları içermelidir.
Bilgilendirme Katmanı
Kısa Bildirim: Portal üzerinde özet bilgilendirme.
- Kim tarafından toplandığı
- Hangi veriler, hangi amaçlarla
- Haklar ve iletişim bilgisi özeti
Detaylı Politika: Bağlantı ile erişilebilir kapsamlı gizlilik politikası.
- Tam veri sorumlusu bilgisi
- Tüm işleme amaçları
- Yasal dayanaklar
- Alıcı kategorileri
- Saklama süreleri
- Tüm veri sahibi hakları
- Şikayet hakkı
Rıza Mekanizması
Aktif Onay: İşaretlenmemiş checkbox'lar, açık eylem gerektiren sistem.
Ayrıştırılmış Rızalar:
- WiFi kullanım koşulları (zorunlu olabilir)
- E-posta pazarlama (isteğe bağlı)
- SMS pazarlama (isteğe bağlı)
- Profilleme (isteğe bağlı)
Eşit Görünürlük: Rıza seçenekleri eşit belirginlikte sunulmalı.
Rızasız Erişim: Pazarlama rızası vermeden WiFi kullanabilme seçeneği.
Veri Toplama Tasarımı
Minimal Form: Gerçekten gerekli alanlar.
Zorunlu vs İsteğe Bağlı: Net ayrım.
Amaç Açıklaması: Her alanın neden toplandığının belirtilmesi.
Doğrulama: Veri kalitesi için format kontrolleri.
Veri Sahibi Hakları ve WiFi Uygulaması
GDPR, veri sahiplerine kapsamlı haklar tanır.
Erişim Hakkı (Madde 15)
Veri sahipleri, işlenen kişisel verilerinin bir kopyasını talep edebilir.
WiFi Uygulaması:
- Erişim talebi işleme süreci
- Kimlik doğrulama mekanizması
- 30 gün içinde yanıt
- Verilerin okunabilir formatta sunumu
Düzeltme Hakkı (Madde 16)
Yanlış verilerin düzeltilmesini talep etme hakkı.
WiFi Uygulaması:
- Self-servis profil güncelleme
- Düzeltme talebi kanalı
- Hızlı yanıt ve güncelleme
Silme Hakkı (Madde 17)
Belirli koşullarda verilerin silinmesini talep etme hakkı.
WiFi Uygulaması:
- Silme talebi işleme süreci
- Yasal saklama zorunluluklarının değerlendirilmesi
- Silme teyidi bildirimi
İşlemeyi Kısıtlama Hakkı (Madde 18)
Belirli koşullarda işlemenin kısıtlanmasını talep etme hakkı.
WiFi Uygulaması:
- Kısıtlama talebi süreci
- Verilerin işaretlenmesi ve işleme durdurma
Veri Taşınabilirliği Hakkı (Madde 20)
Verilerin yapılandırılmış, yaygın formatta alınması ve başka veri sorumlusuna aktarılması.
WiFi Uygulaması:
- JSON veya CSV formatında dışa aktarma
- Otomatik veya talep bazlı aktarım
İtiraz Hakkı (Madde 21)
Meşru menfaat veya kamu görevi dayanağıyla işlemeye itiraz hakkı.
WiFi Uygulaması:
- İtiraz kanalı ve süreci
- Pazarlama itirazında derhal durdurma
Teknik Güvenlik Gereklilikleri
GDPR, verilerin uygun teknik önlemlerle korunmasını gerektirir.
Aktarım Güvenliği
TLS/SSL Şifreleme: Captive portal ve tüm veri aktarımları için.
HTTPS Zorunluluğu: HTTP trafiğinin engellenmesi veya yönlendirilmesi.
Sertifika Yönetimi: Geçerli, güncel sertifikalar.
Depolama Güvenliği
Veritabanı Şifreleme: Hassas verilerin şifreli depolanması.
Anahtar Yönetimi: Güvenli şifreleme anahtarı saklama ve rotasyonu.
Yedekleme Güvenliği: Yedeklerin de şifrelenmesi.
Erişim Kontrolü
Kimlik Doğrulama: Güçlü parola politikaları, çok faktörlü doğrulama.
Yetkilendirme: Rol bazlı erişim kontrolü (RBAC).
Minimum Ayrıcalık: Sadece gerekli erişim hakları.
İzleme ve Denetim
Günlük Kaydı: Veri erişimi ve işleme kayıtları.
Anomali Algılama: Olağandışı erişim kalıplarının tespiti.
Düzenli Denetim: Güvenlik değerlendirmeleri.
Veri İhlali Yönetimi
GDPR, veri ihlallerinin yönetimi için özel gereklilikler içerir.
İhlal Bildirimi (Madde 33)
Veri sorumlusu, farkına vardıktan sonra 72 saat içinde yetkili makama bildirim yapmalıdır.
Gereklilikler:
- İhlal tespit mekanizmaları
- Değerlendirme süreçleri
- Bildirim şablonları ve prosedürleri
- Dokümantasyon
Veri Sahibine Bildirim (Madde 34)
Yüksek risk durumunda veri sahiplerine bildirim.
Gereklilikler:
- Risk değerlendirme süreci
- İletişim şablonları
- Toplu bildirim kapasitesi
Üçüncü Taraf Yönetimi
WiFi hizmeti genellikle üçüncü taraf sağlayıcıları içerir.
Veri İşleyen Sözleşmeleri (Madde 28)
Veri işleyenlerle yazılı sözleşme zorunluluğu.
Sözleşme İçeriği:
- İşleme konusu, süresi, niteliği, amacı
- Veri türleri ve veri sahipleri
- Veri sorumlusunun talimatlarına bağlılık
- Gizlilik yükümlülüğü
- Güvenlik önlemleri
- Alt işleyenlere ilişkin kurallar
- Veri sahibi haklarına destek
- Sözleşme sonu veri iadesi/silme
Tedarikçi Değerlendirmesi
Uyumluluk Kontrolü: Veri işleyenlerin KVKK uyumluluğu.
Güvenlik Değerlendirmesi: Teknik güvenlik önlemleri.
Sürekli İzleme: Düzenli denetim ve değerlendirme.
KVKK (Türkiye) Paralellikleri
Türkiye'nin KVKK'sı GDPR ile önemli benzerlikler taşır.
Temel Benzerlikler
- Kişisel veri tanımı benzer
- Amaçla sınırlılık, veri minimizasyonu ilkeleri
- Veri sahibi hakları (erişim, düzeltme, silme)
- Açık rıza gerekliliği
- Veri güvenliği yükümlülükleri
Önemli Farklılıklar
- VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı
- İdari para cezası yapısı
5651 Sayılı Kanun ve WiFi Hizmeti
Türkiye'de WiFi hizmeti sunan işletmeler için 5651 Sayılı İnternet Düzenlemesi ve Bu Düzenleme Kapsamında Yapılan Suçlarla Mücadele Edilmesi Hakkında Kanun kritik öneme sahiptir. KVKK'dan farklı olarak, 5651 özellikle internet erişimi sağlayan işletmeleri hedefler.
5651 Kapsamında Kimler?
Kanun kapsamında "toplu kullanım sağlayıcı" olarak tanımlanan işletmeler:
- Konaklama Tesisleri: Oteller, pansiyonlar, hosteller, tatil köyleri
- Yeme-İçme İşletmeleri: Restoranlar, kafeler, barlar
- Ticari Alanlar: AVM'ler, mağazalar, ofis binaları
- Eğitim Kurumları: Üniversiteler, okullar, kütüphaneler
- Sağlık Tesisleri: Hastaneler, klinikler
- Ulaşım Noktaları: Havalimanları, otobüs terminalleri, metro istasyonları
- Eğlence Mekanları: Sinema, tiyatro, stadyum, kongre merkezleri
Log Tutma Yükümlülüğü
5651 sayılı kanun, toplu kullanım sağlayıcılarına kapsamlı log tutma zorunluluğu getirir:
Tutulması Gereken Kayıtlar:
- Kullanıcı IP adresi tahsisleri
- MAC adresi bilgileri
- Bağlantı başlangıç ve bitiş zamanları
- Kimlik doğrulama bilgileri
- Erişilen içeriklere ilişkin URL logları (opsiyonel)
Saklama Süresi:
- Minimum 2 yıl (24 ay)
- Logların değiştirilemez formatta saklanması
- Zaman damgası ile bütünlük garantisi
Erişim Zorunluluğu:
- Talep halinde adli makamlara sunulabilmeli
- Bilgi Teknolojileri ve İletişim Kurumu (BTK) denetimine açık olmalı
- Mahkeme kararıyla paylaşılabilmeli
Kimlik Doğrulama Gereksinimleri
5651, kullanıcı kimliklerinin doğrulanmasını gerektirir:
Kabul Edilen Yöntemler:
- T.C. Kimlik Numarası doğrulama
- Pasaport/yabancı kimlik numarası
- GSM SMS doğrulama (numara operatör tarafından kayıtlı)
- Sosyal medya girişi (Facebook, Google - dolaylı kimlik)
- Otel için: Oda numarası + Soyadı (PMS kaydıyla doğrulanmış)
Dikkat Edilmesi Gerekenler:
- Anonim erişim sunulmamalı
- Her cihaz bir kimliğe bağlanabilmeli
- Paylaşımlı hesaplar takip edilebilir olmalı
5651 İhlal Yaptırımları
Kanuna uyumsuzluk ciddi yaptırımlarla sonuçlanabilir:
- İdari Para Cezası: 10.000 TL - 100.000 TL arası
- Faaliyetin Durdurulması: İnternet erişiminin kesilmesi
- Cezai Sorumluluk: Ağır ihlallerde yöneticilere cezai işlem
- Lisans İptali: Tekrarlayan ihlallerde
OBIFI ile 5651 Uyumluluğu
OBIFI platformu, 5651 uyumluluğu için gerekli tüm altyapıyı sağlar:
Otomatik Log Tutma:
- Her bağlantı kaydedilir
- IP tahsisleri zaman damgalı olarak saklanır
- MAC adresi eşleştirmeleri tutulur
Güvenli Depolama:
- Türkiye lokasyonlu sunucularda saklama
- Şifreli veri depolama
- Değiştirilemez log formatı
- 2+ yıl saklama garantisi
Kolay Raporlama:
- Yetkili makam taleplerine hızlı yanıt
- Dışa aktarılabilir log formatları
- Denetim hazır raporlar
Kimlik Doğrulama Seçenekleri:
- SMS doğrulama entegrasyonu
- Sosyal medya girişi
- E-posta doğrulama
- PMS entegrasyonu (otel oda numarası)
- Yurt dışı veri aktarımı kuralları
- Özel nitelikli veri kategorileri
Obifi: KVKK ve 5651 Uyumlu WiFi Platformu
Obifi, işletmelerin müşteri verilerini toplamasını, sadakat kampanyaları yürütmesini, markalı WiFi giriş sayfaları oluşturmasını ve ziyaretçi davranışlarını analiz etmesini sağlayan bulut tabanlı bir WiFi pazarlama ve captive portal platformudur.
Obifi KVKK ve 5651 Özellikleri
Rıza Yönetimi: Katmanlı, ayrıştırılmış rıza mekanizmaları.
Bilgilendirme Araçları: Özelleştirilebilir gizlilik bildirimleri.
Veri Sahibi Hakları: Yerleşik erişim, düzeltme, silme desteği.
Veri Minimizasyonu: Özelleştirilebilir form alanları.
Saklama Yönetimi: Otomatik veri silme ve anonimleştirme.
Güvenlik: Şifreleme, erişim kontrolü, denetim izleri.
Dışa Aktarma: Veri taşınabilirliği için JSON/CSV export.
Dokümantasyon: Rıza kayıtları ve işleme kanıtları.
Obifi ile Uyumluluk Güvencesi
- Yerleşik KVKK/5651 özellikleri
- Düzenli uyumluluk güncellemeleri
- Güvenli bulut altyapısı
- Şeffaf veri işleme politikaları
- Uzman destek
Sıkça Sorulan Sorular (SSS)
S1: KVKK kapsamında WiFi veri toplama için hangi yasal dayanak kullanılmalı?
WiFi veri toplama için yasal dayanak seçimi amaca göre değişir: Pazarlama amaçlı veri toplama için rıza (Madde 6/1-a) en uygun dayanaktır - aktif eylem gerektiren mekanizma, amaç bazlı ayrı rızalar ve kolay geri çekme imkanı gerektirir. WiFi hizmeti sunumu için zorunlu teknik veriler (MAC adresi gibi) sözleşmenin ifası (Madde 6/1-b) dayanağına dayanabilir. Ağ güvenliği için bazı işlemeler meşru menfaat (Madde 6/1-f) dayanağına uyabilir ancak menfaat değerlendirmesi gerektirir.
S2: KVKK uyumlu captive portal tasarımında hangi unsurlar bulunmalı?
Zorunlu unsurlar: Bilgilendirme (kısa özet portal üzerinde, detaylı politikaya bağlantı), Aktif rıza mekanizması (işaretlenmemiş checkbox'lar), Ayrıştırılmış rızalar (WiFi kullanımı, e-posta, SMS, profilleme ayrı), Eşit görünürlük (rıza seçenekleri eşit belirginlikte), Rızasız erişim seçeneği (pazarlama rızası olmadan WiFi kullanabilme), Minimal form alanları (gerçekten gerekli veriler), Zorunlu/isteğe bağlı ayrımı, Gizlilik politikası bağlantısı.
S3: WiFi veri toplama süresince veri sahibi hakları nasıl karşılanır?
KVKK kapsamında veri sahibi hakları: Erişim hakkı (30 gün içinde verilerin okunabilir formatta sunumu), Düzeltme hakkı (self-servis profil güncelleme veya talep kanalı), Silme hakkı (talep işleme süreci, yasal saklama değerlendirmesi), Kısıtlama hakkı (işlemenin geçici durdurulması), Taşınabilirlik hakkı (JSON/CSV dışa aktarma), İtiraz hakkı (pazarlama itirazında derhal durdurma). Bu hakları destekleyen süreçler ve mekanizmalar önceden kurulmalıdır.
S4: WiFi veri güvenliği için hangi teknik önlemler alınmalı?
KVKK uyumlu güvenlik önlemleri: Aktarım güvenliği (TLS/SSL şifreleme, HTTPS zorunluluğu), Depolama güvenliği (veritabanı şifreleme, güvenli anahtar yönetimi, şifreli yedekler), Erişim kontrolü (güçlü parola politikaları, çok faktörlü doğrulama, rol bazlı erişim, minimum ayrıcalık), İzleme ve denetim (erişim günlükleri, anomali algılama, düzenli güvenlik değerlendirmeleri), Veri ihlali yönetimi (tespit mekanizmaları, 72 saat bildirim süreci, dokümantasyon).
S5: GDPR ve KVKK arasındaki temel farklar nelerdir?
Temel benzerlikler: Kişisel veri tanımı, temel ilkeler (amaçla sınırlılık, minimizasyon), veri sahibi hakları, açık rıza gerekliliği, güvenlik yükümlülükleri. Önemli farklar: KVKK için VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı zorunluluğu, idari para cezası yapıları farklı, yurt dışı veri aktarımı kuralları farklı (KVKK açık rıza veya Kurul izni gerektirir), özel nitelikli veri kategorileri biraz farklı tanımlanmış. Her iki düzenlemeye de uyum için platformun (Obifi gibi) her ikisini de desteklemesi önemlidir.
Obifi ile Başlayın
KVKK ve 5651 uyumlu WiFi'yı güvenle uygulayın. Obifi, yerleşik gizlilik özellikleri ve uyumluluk araçları sunar.
- Demo Talep Edin — Uyumluluk özelliklerini canlı görün
- Fiyatlandırmayı İnceleyin — Tam uyumluluk araçları dahil planlar
- Güvenlik ve Gizlilik — Veri korumaya bağlılığımız
İlgili Kaynaklar
- WiFi Pazarlama Platformu — Kapsamlı platform rehberi
- WiFi Müşteri Veri Toplama — Uyumlu veri stratejileri
- Captive Portal Nedir? — WiFi giriş teknolojisi
- Otelcilik WiFi Pazarlama — Uluslararası misafirler için uyumluluk
- Perakende WiFi Analitik — Gizlilik odaklı analitik
Sektör Çözümleri
- Otel KVKK Uyumluluğu — Uluslararası misafir gizliliği
- Perakende Gizliliği — Müşteri veri koruması
- Kafe Uyumluluğu — Basit gizlilik uygulaması
Kaynaklar
- Gizlilik Politikası — Obifi verileri nasıl işler
- Güvenlik — Güvenlik uygulamalarımız
- Veri İşleme Sözleşmesi — Standart VİS mevcut
Başlamaya Hazır mısınız?
Misafir WiFi'nızı güçlü bir pazarlama kanalına dönüştürün.