Belediye Web Sitelerinde En Sık KVKK Hataları (2026)
Çok Ayrıntılı Kurumsal Risk Haritası (Yetkisiz Erişim • Telefonla Bilgi • Personel Yetkisi • Çerezler • Yeni Projeler • Kurumsal Küçümseme)
Belediyeler KVKK açısından “yüksek riskli veri sorumlusu” profilindedir. Çünkü aynı anda çok geniş bir yelpazede veri işlerler:
- Vatandaş başvuruları (beyaz masa, CİMER yönlendirmeleri, şikâyet/ihbar)
- Sosyal yardım ve hassas gruplar (gelir, sağlık, engellilik, aile bilgileri)
- İmar, ruhsat, rayiç, e-belediye işlemleri
- Personel/işçi süreçleri
- Kamera kayıtları ve kent güvenliği benzeri uygulamalar
- Web siteleri ve dijital hizmetler (e-ödeme, e-randevu, e-bilgi edinme)
Aşağıda, sahada en sık görülen KVKK hatalarını kök neden + senaryo + risk + çözüm kontrolü mantığında ayrıntılı şekilde bulacaksınız.
1️⃣ Kurum İçinde Yetkisiz Erişimler
“Her şey herkesin elinin altında” problemi, belediye bilgi sistemlerinde en yaygın ve en maliyetli risk kaynağıdır.
Tipik hata desenleri
- Ortak kullanıcı / ortak şifre (birim maili, CRM, beyaz masa paneli)
- Yetki matrisi yok: “işini görsün” diye geniş yetkiler
- RBAC yerine kişi bazlı keyfi yetki
- Ayrılan personelin hesabı kapanmıyor (devir teslim yok)
- Uzak erişim/VPN kontrolsüz (evden/telefonla giriş)
- Loglar yok veya izlenmiyor (kimin neyi açtığı belli değil)
Beyaz masa personeli, sadece kendi ilçesinin kayıtlarına bakması gerekirken panelde tüm ilçelerin sosyal yardım kayıtlarını görüntüleyebiliyor. İçerik: engellilik durumu, gelir, aile bireyleri, adres, çocuk bilgileri.
KVKK riski
- KVKK m.12 kapsamında veri güvenliği yükümlülüğü ihlali riski
- “Erişim kontrolü yok” bulgusu, ihlalde cezayı ağırlaştırır
- İç erişim suistimali halinde ihlalin bildirilmesi ve vatandaş mağduriyeti
“Erişim yetkileri nasıl veriliyor? Yetki değişiklikleri nasıl kayıt altına alınıyor? Loglar nerede?”
Uygulanabilir çözüm kontrolleri (belediye ölçeğinde)
- Yetki matrisi (RACI + RBAC): birim/rol bazlı asgari erişim
- MFA: özellikle uzaktan erişim ve admin hesapları
- Offboarding: 24 saat içinde hesap kapatma kuralı
- PAM: sistem yöneticisi erişimi kayıtlı/izlenebilir
- Loglama + düzenli inceleme: “kim hangi kaydı görüntüledi” denetimi
- Veri maskeleme: ekranda TC/telefon tam görünmesin (kısmi gösterim)
2️⃣ Telefon ile Verilen Bilgiler
Telefonla bilgi verme belediyelerde en yaygın sızıntı kanalıdır. Süreç hızlıdır ve çoğu zaman “vatandaş memnuniyeti” baskısı vardır.
En sık hatalar
- Arayan doğrulanmadan adres, borç, başvuru durumu paylaşılması
- “Ben akrabasıyım / memur arkadaşım / muhtarım” gibi sosyal mühendislik
- “Bilgi edinme” ile “genel bilgi” arasındaki ayrımın yapılmaması
- Telefonda ekran görüntüsü/WhatsApp üzerinden bilgi gönderilmesi
- Arayan kişi “eşim” diyerek sosyal yardım başvurusunun sonucunu soruyor; personel “onaylandı/ret” bilgisini paylaşıyor.
- “İmar durumunu öğrenmek istiyorum” diyen kişiye parsel bazında malik adı veya başvuru sahibinin iletişim bilgisi söyleniyor.
KVKK riski
- Açık ihlal: yetkisiz üçüncü kişiye aktarım
- Belediyeye güven kaybı + şikâyet süreçleri
- İhlal yaygınsa sistematik kusur
- Arayan doğrulama: e-Devlet doğrulama kodu / SMS OTP / kayıtlı hat doğrulaması
- Telefonla kişisel veri paylaşmama kuralı: “Başvurunuzu e-devlet/e-belediye üzerinden görüntüleyin”
- Temsilci/vekil: yazılı yetkilendirme + doğrulama
- Hassas konular: sosyal yardım, sağlık, şiddet vb. telefonda asla detay verilmez
3️⃣ Personelin Yetkisinin Uygunsuz Kullanması
“Yetki var ama amaç dışı kullanım” (iç tehdit) çoğu kurumda küçümsenir; oysa gerçek hayatta en çok hasar bırakan risk budur.
En sık suistimal türleri
- Eski eş/komşu/akrabaya dair kayıt bakma
- Siyasi/kişisel motivasyonla “kim nerede oturuyor” sorgulama
- İhale/ruhsat süreçlerinde rekabet amaçlı bilgi sızdırma
- Telefon listesi, adres listesi gibi verileri dışarı sızdırma
Bir personel, belediye sisteminden bir esnafın ruhsat/ceza bilgilerini görüntüleyip üçüncü kişiye iletiyor; esnaf üzerinde baskı ve itibar zedelenmesi oluşuyor.
KVKK riski ve kurumsal sorumluluk
“Kişisel kusur” olsa bile kurum, KVKK m.12 kapsamında sorgulanır: yetki kısıtlı mıydı, log var mıydı, izleme yapılıyor muydu, eğitim ve yaptırım mekanizması var mıydı?
Kontrol seti (iç suistimali azaltan)
- Görüntüleme logu zorunlu + düzenli raporlama
- Anomali tespiti: kısa sürede çok sayıda kayıt açılması
- İkili kontrol (4-eyes): yüksek hassas veri erişimlerinde
- Disiplin prosedürü: KVKK ihlali iç yönergesi (yaptırım net)
- Amaç beyanı: hassas kaydı açarken gerekçe seçimi (dropdown) + audit
4️⃣ Web Sitelerinde Toplanan Çerezler
Belediye web sitelerinde en sık görülen durum: banner var; ancak analitik/reklam etiketleri rızadan önce çalışıyor veya “devam edersen kabul” gibi hatalı tasarım uygulanıyor.
Sık hatalar
- Google Analytics/Tag Manager rıza öncesi tetikleniyor
- Ret butonu yok / eşit görünürlük yok
- Çerez kategorileri belirsiz: “performans çerezleri” altında reklam
- Üçüncü taraf script’ler (harita, video, sosyal medya embed) kontrolsüz
- Çerez politikası ve aydınlatma metni birbirinden kopuk
Belediye sitesi sayfa açılır açılmaz Analytics + YouTube embed ile üçüncü taraf çerezleri bırakıyor; kullanıcı “reddet” dese bile script yüklenmiş oluyor.
Minimum teknik standart (belediye için uygulanabilir)
- CMP (çerez yönetim platformu) veya eşdeğer mekanizma
- Rıza sinyali gelmeden Analytics/Ads/3rd party script yüklenmez
- “Reddet” seçeneği görünür ve tek tık
- Çerez envanteri: ad, sağlayıcı, amaç, süre, kategori
- Loglama: rıza zamanı + tercih kaydı
5️⃣ Yeni Belediye Projelerinde KVKK Süreçlerinin Atlanması
“Proje yetişsin, KVKK sonra bakarız” hatası; mobil uygulamalar, akıllı şehir sensörleri, AI destekli çağrı/beyaz masa, yüz tanıma/PDKS, sosyal yardım puanlama/önceliklendirme gibi projelerde sık görülür.
En sık atlanan adımlar
- Veri envanteri çıkarılmadan geliştirme
- Hukuki sebep analizi yapılmadan “rızaya bağlama”
- Veri minimizasyonu yapılmadan “ne bulursak alalım”
- Tedarikçi sözleşmelerinde KVKK maddelerinin olmaması
- Test ortamında gerçek veri kullanımı
- Yüksek risk projelerde DPIA benzeri risk analizi yapılmaması
“Akıllı şehir” projesi kapsamında toplu taşımada Wi-Fi ile cihaz tanımlayıcı/MAC benzeri veriler ve konum verisi toplanıyor; aydınlatma yok, saklama süresi belirsiz.
Çözüm: Proje KVKK Kapısı (Governance / Go–No-Go)
Her yeni projede yayına çıkmadan önce “go/no-go” kontrolü çalıştırılmalıdır:
| Kontrol | Soru | Çıktı |
|---|---|---|
| Veri türleri | Kişisel/özel nitelikli veri var mı? | Envanter |
| Hukuki sebep | Hangi dayanakla işlenecek? | Hukuki analiz |
| Saklama | Ne kadar süre tutulacak, nasıl imha edilecek? | Saklama–imha kuralı |
| Aktarım | Yurt dışına aktarım var mı? | Aktarım değerlendirmesi |
| Yetki & erişim | Kim erişecek, RBAC nasıl? | Yetki matrisi |
| Loglama | Kim ne yaptı izlenebilir mi? | Log planı |
| Aydınlatma | Hangi ekran/metinlerle bilgilendirme yapılacak? | Metin seti |
| Tedarikçi | Sözleşmede veri işleyen hükümleri var mı? | Sözleşme ekleri |
Bu kapı olmadan yayına çıkmamalıdır.
6️⃣ Kurumsal Küçümseme
“KVKK metni koyduk, bitti” yaklaşımı teknik değil kurumsal kültür sorunudur. KVKK uyumu bir “doküman seti” değil, işleyen kontrol sistemi olmalıdır. Belediyelerde başarı, üst yönetim sahiplenmesi ile olur.
Küçümsemenin belirtileri
- KVKK sorumlusu/ekibi “evrak işi” olarak görülür
- Birimler KVKK’yı “işi yavaşlatan engel” sanır
- İhlal olunca “personel hatası” denip sistemsel önlem alınmaz
- Eğitimler formalite; ölçüm ve takip yok
- Log, yetki, silme-imha gibi kontroller bütçelenmez
- Üst yönetim onaylı “KVKK Uyum Programı”
- Birim sorumluları (Data Steward) ataması
- Yıllık denetim planı + ihlal simülasyonu
- KPI’lar: yetki gözden geçirme oranı, olay müdahale süresi, eğitim test skorları, silme-imha uyumu
✅ Belediyeler İçin “Hızlı Teşhis” Kontrol Listesi (10 Madde)
- Ortak kullanıcı/şifre var mı?
- Ayrılan personel hesapları kapanıyor mu?
- Kim hangi kaydı görüntüledi loglanıyor mu?
- Telefonla kimlik doğrulama yapılıyor mu?
- Hassas veri ekranları maskeli mi?
- Çerezler rıza öncesi çalışıyor mu?
- Yeni projelerde KVKK kapısı var mı?
- Tedarikçi sözleşmelerinde KVKK veri işleyen maddeleri var mı?
- Test ortamında gerçek veri kullanılıyor mu?
- Üst yönetim KVKK’yı sahipleniyor mu?
Not: Bu 10 sorunun 3+ tanesi “hayır” ise belediyede yüksek riskli sistematik açık vardır.
